33 1 1MB
JEAN-DAVID DARSA
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
INFRASTRUCTURE SÉCURISATION INDUSTRIE ENVIRONNEMENT JURIDIQUE INFORMATIQUE HUMAIN… COLLECTION AGIR FACE AUX RISQUES
Les risques opérationnels de l’entreprise Un environnement toujours plus risqué ? Édition 2013 Ouvrage conçu et réalisé sous la direction de Catherine FOURMOND Auteur : Jean-David DARSA Suivi éditorial, conception graphique intérieure : GERESO Édition Conception graphique couverture : ATMOSPHÈRE COMMUNICATION Angers - France
© GERESO Édition 2013
26 rue Xavier Bichat - 72018 Le Mans Cedex 2 - France Tél. 02 43 23 03 53 Fax 02 43 28 40 67
www.la-librairie-rh.com e-mail : [email protected] Reproduction, traduction, adaptation interdites Tous droits réservés pour tous pays Loi du 11 mars 1957 Dépot légal : Octobre 2013 ISBN : 978-2-35953-124-4 EAN 13 : 9782359531244 GERESO SAS au capital de 160640 euros - RCS LE MANS B 311 975 577 Siège social : 28 rue Xavier Bichat - 72018 Le Mans Cedex 2 - France
Dans la même collection : • La gestion des risques en entreprise
À paraître dans la même collection : • La gestion de crise dans l’entreprise • La gestion du risque client • Communication de crise • Le coût du risque
www.la-librairie-rh.com
Remerciements Une nouvelle fois, je tiens à remercier toute l’équipe GERESO pour la qualité de son accompagnement dans ce nouveau livre, et plus particulièrement Catherine FOURMOND. Depuis plusieurs années, Catherine poursuit sans relâche son soutien inconditionnel envers ma démarche rédactionnelle, avec gentillesse, grand intérêt et constance. Quoi de plus enrichissant pour un auteur d’ouvrages professionnels que d’être ainsi épaulé, au quotidien, par sa responsable d’édition ? Catherine, un grand merci, une nouvelle fois, pour ton soutien permanent et tes marques d’intérêt envers chaque projet éditorial que je me permets de te soumettre. Tes conseils, ta curiosité intellectuelle face à chaque nouveau sujet proposé, ta bonne humeur et ta gentillesse sont pour moi autant de témoignages de la qualité du lien que tu sais créer avec les auteurs. Merci pour tout cela, en attendant d’autres publications originales ! Après sept ouvrages publiés (et une bande dessinée !) sur la gestion des risques en entreprise, j’espère que les écrits à venir sauront toujours t’étonner ! Également, je remercie Raphaëlle CORMIER pour sa collaboration et son aide constructive dans le cadre de ce nouvel opus consacré cette fois aux risques opérationnels. J’espère avoir le plaisir de collaborer à nouveau avec vous à l’avenir. Enfin, je remercie tous mes lecteurs, professionnels, dirigeants, salariés, étudiants, simples curieux, qui continuent de me faire part de leurs marques d’intérêt envers les ouvrages que je leur propose et cette réflexion amorcée depuis de nombreuses années sur les risques en entreprise, que je souhaite continuer à faire partager au plus grand nombre.
Signification des pictogrammes Exemple Bon à savoir Important
Sommaire Remerciements.................................................................................... 5 Introduction........................................................................................ 11
Partie 1 - Les risques de l’entreprise........................... 15 Chapitre 1 - L’entreprise : un environnement toujours plus risqué ?..................................................................................... 17
Le principe de précaution érigé en modèle de vertu par nos sociétés modernes........................................................ 22 Nous sommes tous concernés !................................................. 26
Chapitre 2 - Les différentes classes de risques en présence................................................................................ ......29
De la diversité.............................................................................. 29 Démarche de la pyramide.......................................................... 31 Structure de la pyramide............................................................ 33
Chapitre 3 - Les 13 classes de risques..................................... 35 Les risques projet........................................................................ 44 Le risque ultime........................................................................... 47 Les 1 000 risques. ........................................................................ 48 Impact financier.......................................................................... 48
7
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Partie 2 - Risques opérationnels.................................... 53 Introduction..................................................................................... 55 Chapitre 1 - La notion de risque opérationnel..................... 57
Un impératif avant toute autre chose : faire l’inventaire de l’existant.................................................................................. 66
Chapitre 2 - Infrastructure, accès, sécurisation.................. 71
De la sécurisation des infrastructures. ..................................... 80 Au-delà des actifs, ne pas oublier la dynamique des flux....... 84 Identification des dangers. ........................................................ 86 Une multitude de dangers en présence.................................... 87 De la problématique particulière du contrôle des accès........ 90 Enjeu de la détectabilité............................................................. 93
Chapitre 3 - Sous-traitants et activités externalisées. ..... 95
De la maîtrise de la sous-traitance............................................ 95
Chapitre 4 - Fraude interne et externe................................... 99 Chapitre 5 - De la conformité des opérations. ................... 103 Chapitre 6 - Maîtrise des processus opérationnels : de la R&D à l’archivage. ............................................................. 107 Rappel sur la notion de processus. ......................................... 108
Chapitre 7 - De la maîtrise de la connaissance.................. 117 Chapitre 8 - Plan de continuité d’activité, plan de reprise d’activité.................................................................... 121 Le coût du risque opérationnel................................................ 131
8
SOMMAIRE
Partie 3 - Risques industriels.......................................... 137 Introduction................................................................................... 139 Chapitre 1 - La problématique du risque industriel........ 141 Chapitre 2 - Les différents modèles en présence.............. 145
Analyse préliminaire des risques (méthode APR).................. 145 Méthode HAZOP........................................................................ 148 La méthode AMDEC................................................................... 150 L’utilisation des arbres décisionnels....................................... 152 La méthode MOSAR. ................................................................. 156 Des méthodes statistiques poussées...................................... 158
Chapitre 3 - Environnement, hygiène, sécurité................ 161 Chapitre 4 - Protection des personnes et des biens. ....... 163
Document unique ..................................................................... 168 De la sécurité des biens............................................................ 172
Chapitre 5 - Risque environnemental et risque image... 175
Du risque image......................................................................... 177
Partie 4 - Risques juridiques, Informatiques, Sociaux : des enjeux opérationnels critiques à ne pas négliger..................................................................... 181 Introduction................................................................................... 183 Chapitre 1 - Risques juridiques............................................... 187
De la notion de risque juridique.............................................. 188 Du droit des contrats. ............................................................... 189 Conformité................................................................................. 195 Pré-contentieux et contentieux............................................... 199 Du droit pénal............................................................................ 200
Chapitre 2 - Risques informatiques....................................... 207
De l’utilisation de listes (ou de check-lists)............................ 210 Approche générale.................................................................... 214 Approche par les menaces en présence. ................................ 215 9
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
L’approche synthétique............................................................ 218 L’approche informatique.......................................................... 220 Du risque projet......................................................................... 225
Chapitre 3 - Facteurs Humains................................................ 231
Il n’est de risques que d’hommes............................................ 232 Risques sociaux......................................................................... 235 Risques psychosociaux............................................................. 248 Comment les facteurs humains alimentent les risques opérationnels de l’entreprise................................................... 253 Communication, fédération, animation................................. 255
Conclusions. ..................................................................................... 261 Bibliographie.................................................................................... 265 À propos de l’auteur........................................................................ 267
10
Introduction « Le moment est temporaire, mais le souvenir demeure toujours.»
Bud Meyer Quoi de commun entre l’explosion d’une plateforme pétrolière, une fuite de gaz en mer du Nord, de la viande de cheval dans des lasagnes de bœuf surgelées, un produit non conforme, le suicide d’un cadre en entreprise et l’indisponibilité d’une donnée sur un ordinateur ?
A priori, rien, me direz-vous. Et vous aurez peut-être raison. Mais si vous endossez un costume de dirigeant, de risk manager, de cadre responsable ou de salarié engagé, vous vous apercevrez assez vite qu’à la source de ces événements dramatiques ou secondaires réside une multitude de risques qui, à un moment ou à un autre, se sont concrétisés. Et cette concrétisation des risques, source de coûts (coups ?) et de douleurs pour l’organisation, apparaît directement liée aux cycles d’exploitation de l’entreprise qui produit, qui transforme, qui vend, qui travaille
ou dont les processus de maîtrise et de contrôle défaillants des cycles opérationnels ont permis l’émergence et la concrétisation trop souvent douloureuse. Tous ces risques – et des milliers d’autres - constituent ce qu’il convient d’appeler selon nous, des risques opérationnels. Nous allons essayer, à travers les pages de cet ouvrage, d’en définir les contours, et de vous apporter des clés de compréhension vous permettant de les identifier, de les détecter, de les comprendre et de les maîtriser au mieux. Bien évidemment, le premier qualificatif qui vient à l’esprit lorsqu’on aborde la question des risques opérationnels dans l’entreprise sera celui de 11
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
la diversité. Nous pouvons par défaut considérer qu’ils seront, par nature, innombrables. Chaque risque ne serait-il pas un risque opérationnel pour l’organisation ? En fait, de la rupture d’un processus opérationnel à l’arrêt d’une chaîne de montage, d’une mise en danger de la vie d’un salarié à l’existence de clauses léonines dans un contrat, les risques opérationnels sont quasiment partout. Ils sont toujours présents, à l’affût, prêts à se montrer. Quelle que soit l’activité de l’entreprise, la mise en oeuvre de ses cycles d’exploitation va immanquablement provoquer l’opportunité de concrétiser des centaines, pour ne pas dire des milliers de risques opérationnels. Infrastructure, accès, informatique, processus industriels, enjeux juridiques, facteurs humains, autant de périmètres d’actions et d’interventions en contact direct ou indirect avec le client, et qu’il conviendra de maîtriser au mieux dans toute logique de pérennisation d’entreprise. Les risques opérationnels font partie des risques que chaque société devrait maîtriser. Car ils matérialisent par essence les fragilités opérationnelles ou organisationnelles de la structure dans son ADN le plus intime : la qualité de ses cycles d’exploitation et d’activité courante. Maîtriser les risques opérationnels revient à maîtriser le coût du risque du « coeur métier » de l’organisation. Si l’entreprise identifie, détecte et maîtrise son exécution opérationnelle, il y a fort à parier que sa pérennité sera presque garantie. Ou, à tout le moins, moins exposée que celle des autres. Bien sûr, les risques stratégiques et financiers ne sauraient être absents du débat lorsque les vecteurs de pérennisation seront abordés en entreprise. Mais les risques opérationnels sont l’illustration immédiate de la capacité – ou l’incapacité – de la structure à maîtriser son activité courante, ses modes opératoires, son fonctionnement nominal quotidien. Les risques opérationnels sont protéiformes par nature, et illimités par essence. Nous avons choisi d’aborder cet enjeu difficile à sérier de manière pragmatique. Dans la première partie de cet ouvrage, nous reviendrons sur les fondamentaux nécessaires à la bonne compréhension de l’enjeu risk management en entreprise : les principales classes de risques en
12
INTRODUCTION
présence, afin de permettre une meilleure appropriation des différentes thématiques associées aux risques opérationnels. Puis, dans une seconde partie, nous aborderons les risques opérationnels eux-mêmes. Nous essayons de délimiter de manière simple les périmètres à considérer et les moyens d’action à engager afin de les maîtriser au mieux. Dans une troisième partie, nous abordons la problématique spécifique des risques industriels. À partir du moment où l’organisation produit ou transforme quelque chose, les risques opérationnels associés aux cycles de production ou de transformation appellent une lecture méthodologique parfois différente des risques opérationnels en présence. De nombreuses démarches méthodologiques particulières viendront éclairer la réflexion. Dans une quatrième et dernière partie, nous réaliserons enfin un point de focalisation sur trois classes de risques particulières qui s’inscrivent selon nous en totale cohérence avec l’enjeu des risques opérationnels en entreprise, car elles contribuent en permanence à la composition du coût du risque opérationnel : les risques juridiques, les risques informatiques et les risques associés aux facteurs humains dans l’organisation. Les risques opérationnels peuvent répondre à de multiples définitions, en fonction des spécificités sectorielles ou réglementaires. Chaque secteur d’activité a essayé de définir ce que sont, ou ce que ne sont pas, les risques opérationnels. Nous nous sommes attachés à éviter toute posture dogmatique ou spécialisée, en vous proposant une lecture transversale, pragmatique et simple de l’enjeu. Complexes, diversifiés, les risques opérationnels constituent le sel de l’entreprise. Tous les jours, l’entreprise sécrète des risques opérationnels, plus ou moins dangereux, plus ou moins coûteux. La question de leur identification et de leur maîtrise demeure une constante pour chaque dirigeant. D’où notre souhait de vous accompagner au mieux dans votre réflexion et vous proposer, aujourd’hui, cette publication exclusivement dédiée aux risques opérationnels. Partons dès à présent à l’assaut des risques opérationnels ! Il est plus que temps, le ciel s’assombrit déjà autour de votre entreprise !
13
Partie 1
LES RISQUES DE L’ENTREPRISE
Chapitre 1 L’entreprise : un environnement toujours plus risqué ? « Ne pas prévoir, c’est déjà gémir ».
Léonard de Vinci
L’enjeu de la maîtrise des risques préoccupe toutes les entreprises, et ce de manière encore plus prégnante depuis ces dernières années, quels que soient leur taille, leur histoire, leur dimensionnement ou leurs activités. L’intérêt sociétal, mobilisé par les sollicitations permanentes de la sphère médiatique apparaît désormais plus que jamais focalisé sur les récentes catastrophes financières, industrielles, sanitaires et/ou environnementales des entreprises, concrétisant de manière brutale et souvent spectaculaire des risques souvent complexes, parfois multiples, et qui démontrent avec soudaineté l’implacable justesse des principes énoncés, il y a bien longtemps déjà, par les lois dites de Murphy, puis celles de Finagle. Ces derniers prédisent statistiquement, et pour simplifier, que « le pire événement prévisible pouvant arriver va arriver », et ce, « de la manière la plus désastreuse, au pire moment, et au pire endroit ». Les scandales financiers des années 2000, la crise dite des subprimes amorcée en 2007-2008, les récents désastres écologiques provoqués par l’explosion de la plateforme pétrolière BP dans le golfe du Mexique en 2010, la catastrophe nucléaire de Fukushima résultant du tremblement de terre et du tsunami au nord-est du Japon au printemps 2011 et autres joyeusetés découvertes dans nos assiettes en témoignent en permanence, chaque jour
Proches de nous, les scandales sanitaires et alimentaires nourrissent, 17
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
quotidiennement ou presque, notre rapport aux risques. Défaut de traçabilité, de détectabilité, de maîtrise des risques
Autant de fragilités qui aboutissent, à court ou moyen terme, à la fragilisation de l’entreprise et de ses composantes directes ou indirectes : clients, fournisseurs, salariés, actionnaires, simples mortels… Et avec, à la clé et à la source de tous ces risques, quels qu’ils soient, l’Homme
encore et toujours. Les principes statistiques de persistance de la malchance (ou de la chance) se vérifient en permanence et donc, s’appliquent par essence au monde de l’entreprise. Ainsi, chaque jour, et au-delà des cas médiatiquement porteurs, les chroniques récurrentes sur des acteurs économiques en proie à des difficultés financières ou industrielles majeures se multiplient, s’accumulent, se renouvellent, et sont transmises en temps réel aux décideurs réels ou supposés, aux quatre coins du monde, démultipliées par le biais de tous les canaux d’information disponibles, à la vitesse de l’éclair. Le monde ne semble désormais plus vivre qu’au rythme de l’évolution erratique, virtuelle ou réelle, des dernières crises d’entreprises, des derniers dévissages des cours de Bourse, des inflexions de croissance de taux, des variations de devises et de matières premières, des tensions géopolitiques, des communications stratégiques ou institutionnelles erronées ou mal interprétées
Le monde, en temps réel, guette et analyse chaque mouvement d’anticipation des professionnels, des experts, des analystes, des commentateurs, mais aussi chaque décision de dirigeant, et leurs impacts directs ou indirects, réels, supposés voire fantasmés
Avec, pour résultat fréquent d’en accroître le plus souvent les effets, volontairement ou non, mais qui s’avèrent potentiellement dévastateurs pour le secteur d’activité ou la firme éventuellement concernés
La création – ou la destruction – de valeur n’est plus forcément en cohérence avec le partage du risque et/ou son coût induit, voire ses conséquences
et ce de manière plus ou moins désastreuse pour l’humanité dans son ensemble, la plupart du temps. La traduction de ce contexte permanent d’information, d’anticipation et d’action sur une multitude d’indicateurs ou de paramètres économiques ou financiers par une diversité d’acteurs plus ou moins éclairés engendre ou amplifie a priori une multitude de risques, plus ou moins nouveaux, 18
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
pour les entreprises. Et ces risques fragilisent de plus en plus vite les organisations. Y aurait-il de nos jours plus de risques pour les entreprises que par le passé ? Ou serions-nous tellement hyper-connectés à notre environnement, grâce notamment à nos gadgets électroniques, que nous serions simplement, et désormais, de plus en plus hyper-connectés aux risques ? Les risques seraient-ils une nouveauté ou plutôt une prise de conscience accélérée pour notre monde ? Et bien, non ! Car un premier constat s’impose : les risques ne sont pas une invention du monde moderne, aggravés par l’existence de vecteurs toujours plus performants de communication, ou la virtualisation accrue de l’économie, de la valeur ou des échanges. Ils ont toujours existé. Le risque fait partie de la vie de l’homme, donc de l’entreprise, au quotidien. Sans vouloir réécrire l’Histoire ni reprendre en détail les concepts terminologiques de la notion de risque, de menace ou de danger1, il est utile de rappeler en préambule de notre réflexion que les risques en entreprise, d’une manière générale et au-delà des risques opérationnels, objet du présent ouvrage, ne sont pas une invention récente. De l’homme préhistorique, premier risk manager historique, aux mécanismes souhaités de contrôle réglementaire et effectif des risques, l’humanité a toujours été confrontée à l’enjeu de la maîtrise des risques. Faisant de tout temps partie de notre histoire commune, mesure de l’évolution et de la capacité de développement de nos sociétés modernes, le risque est un facteur inhérent à notre environnement, car en interaction forte avec la notion d’incertitude qui lui est rattachée. Et les entreprises ne font pas exception. Pour simplifier, depuis que « l’homme est homme », les risques cernent et concernent ses activités, quelles qu’elles soient. Avec un spectre plus ou moins médiatiquement élargi ou focalisé sur des thématiques particulières, en fonction des tendances et des préoccupations du moment. Mais la logique d’incertitude permanente du risque à se concrétiser un jour in fine, demeure. Car, un risque sera par nature toujours potentiel… Décréter le principe de précaution comme vecteur de sécurisation absolue ne changera rien à la donne. Ni passer d’une culture statistique de l’appréciation des risques à une démarche volontairement empirique et 1. cf. Jean-David Darsa, La gestion des risques en entreprise, GERESO Édition, Le Mans, 2011.
19
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
systématique des zones ou des événements sources de fragilités. Dans les deux cas, la couverture exhaustive des enjeux en présence ou l’interdiction quasi systématique de la prise de risque ne saurait répondre de manière pertinente à la problématique sociale ou sociétale posée. Car, au-delà des catastrophes naturelles (inondations et feux de forêt partout dans le monde, tremblement de terre et tsunami au Japon en 2011, séismes, intempéries, tornades aux États-Unis en 2013
), des crises sanitaires latentes ou déclarées (grippe aviaire, pandémies, épidémies…), des accidents industriels (accident de Tchernobyl, explosion de l’usine AZF, désastre pétrolier dans le golfe du Mexique, mais aussi présence de viande de cheval dans les lasagnes de boeuf !), des enjeux géopolitiques sensibles (conflits régionaux séculaires, évolution des équilibres désormais multipolaires, révolutions sociales et conflits ouverts récents au ProcheOrient
) et des contraintes économiques trop souvent subies (impacts multiples et durables de la crise dite des subprimes, stagflation ou récession longue au sein de vastes zones économiques), l’environnement de l’entreprise apparaît fondamentalement risqué par nature. De plus en plus. Comme nous l’exprimions dans un ouvrage précédent, et à la lumière de notre environnement, nous sommes tentés de réaffirmer d’emblée en amorce de ce livre qu’« il n’est de risques que d’hommes ». Mais nous serons peut-être tentés d’affirmer, tout au long de cet ouvrage, « qu’il n’est de risques majeurs pour l’entreprise que d’enjeux opérationnels ». Même si les enjeux stratégiques et financiers demeurent critiques pour la pérennité de l’entreprise (élaboration et exécution financière de la vision du business model de l’organisation), il apparaît sans conteste que l’homme constitue très souvent le vecteur essentiel de la concrétisation – ou non – du risque et que cette concrétisation apparaît à l’aube des actes opérationnels quotidiens la plupart du temps.
Il n’est de risques que d’hommes Nous y reviendrons ultérieurement et longuement, car cette vision constitue la clé de lecture principale de cet ouvrage, ou, plus précisément, l’idée que les risques opérationnels constituent l’enjeu quotidien prioritaire pour chaque organisation. Ainsi, chaque acteur d’entreprise doit – ou devra – s’attacher à identifier, comprendre et maîtriser du mieux possible les risques opérationnels de sa structure, de ses processus, de ses 20
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
procédures, qu’il s’agisse d’enjeux locaux ou transversaux complexes… Et à l’appui de sa lecture, du rôle de l’homme dans la structure. Nous y reviendrons en considérant notamment l’enjeu « facteurs humains » comme une classe de risques opérationnels à part entière. Face au front des risques, complexes et multiples, auxquels chaque entreprise est quotidiennement confrontée, nous observons a priori une évolution marquée de la perception du risque par l’opinion publique, et plus particulièrement par les chefs d’entreprise, tout au moins concernant certaines thématiques. Par exemple, la dimension du risque relatif à l’intégrité comptable et financière des acteurs semble désormais plus renforcée, accompagnée, il est vrai, par la médiatisation massive – et justifiée – des récents comportements délictueux de certains dirigeants peu scrupuleux. Chaque mois apporte au lecteur curieux son lot de désastre comptable ou financier annoncé, ce qui maintient et renforce l’exigence d’intégrité sur ce sujet, de moins en moins remise en cause a priori. En un mot, la destruction de valeur, donc de richesse par l’entreprise, suite à l’émergence de comportements délictueux ou inadaptés relativement à l’intégrité comptable et/ou financière, individuelle et/ou collective des acteurs, semble de moins en moins acceptée
ou de plus en plus visible. Cette avancée contribue à l’amélioration de cette exigence de maîtrise globale du risque en entreprise, seul vecteur de pérennité. En outre, et grâce au principe de précaution, instauré parfois en véritable dogme sociétal, nous observons en parallèle une réelle évolution de la prise de conscience effective du rôle du risque dans l’environnement des entreprises et de leurs impacts induits, ce qui est, convenons-en, une bonne chose. Mais cette relation désormais quasi systématique du risque au principe de précaution, qui, nous le verrons, témoigne d’un désir conscient (ou inconscient) de réduction permanente et absolue du risque, traduit en fait une évolution sociale manifeste même si elle ne saurait répondre de manière satisfaisante à l’enjeu.
21
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Le principe de précaution érigé en modèle de vertu par nos sociétés modernes Avant d’entrer dans le vif du sujet et le coeur de notre problématique, à savoir, la maîtrise des risques opérationnels de l’entreprise, arrêtons-nous un instant sur l’enjeu du principe de précaution. Il semble que nos sociétés modernes refusent de plus en plus la prise de risque. Même si chaque individu va présenter un rapport ou une expérience au risque particulière (en fonction de son éducation, de son histoire personnelle, de ses cadres de référence
), la manière dont nos sociétés appréhendent et maîtrisent les risques constitue aujourd’hui un véritable étalon de mesure de notre propre développement. Comme l’a parfaitement expliqué le sociologue allemand Ulrich Beck2, le partage du risque est devenu aujourd’hui la mesure du développement de la Société dans son ensemble ou, plus précisément, la manière dont le risque est in fine partagé entre les acteurs. Le traitement d’un risque, quel qu’il soit, et nous y reviendrons en détail ultérieurement, peut être appréhendé, selon la méthode élaborée par Riskeal, de six manières différentes. Le risque peut ainsi être : 1. évité (on ne le prend pas) ; 2. contourné (on prend un autre risque, a priori mieux maîtrisé que le risque nominal identifié) ; 3. accepté (on prend le risque en toute conscience, en assumant les conséquences le cas échéant) ; 4. réduit partiellement (on limite le coût du risque/de ses impacts directs et indirects) ; 5. réduit totalement à zéro (en mettant en oeuvre des stratégies de réduction absolue du risque, très coûteuses, et laissant in fine un risque résiduel, le risque zéro n’existant pas) ; 6. transféré vers un tiers (le transfert du risque pouvant se réaliser de trois manières : par la vente, par son refinancement ou par la mise en oeuvre de la démarche d’assurance).
2. Dans son essai intitulé La société du risque, Aubier, 2001.
22
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
Nous y reviendrons en détail tout au long des différentes parties de cet ouvrage, en mettant en oeuvre ces différentes méthodes de couverture du risque aux enjeux opérationnels. Mais, parmi les stratégies présentées ci-dessus, figure la stratégie de réduction totale du risque identifié. Cette stratégie consiste en fait à refuser le coût du risque net in fine, quel qu’il soit. Il s’agit de l’illustration du fameux principe de précaution : un refus absolu du risque par refus de l’incertitude de ses impacts. Le principe de précaution peut prendre plusieurs formes, mais il revient fondamentalement à refuser la prise de risque par défaut en l’absence de certitude de résultat en cas d’occurrence du risque identifié (et donc, de ses impacts directs ou indirects). Par principe, l’entité, l’organisation, et, nous le verrons, l’entreprise n’accepte pas la prise de risque proposée ou les risques identifiés à assumer en cas d’émergence dudit risque. Elle met en œuvre des actions souvent maximalistes, toujours extrêmement coûteuses, permettant la réduction à zéro (ou, plus précisément, anticipée à zéro) des impacts directs ou indirects des risques potentiels à prendre en cas d’émergence. Le principe de précaution s’illustre par exemple dans le retrait d’un produit, dans le refus de déploiement d’un produit ou d’un service, dont les incidences sur la santé publique ou l’environnement sont incertaines pour le citoyen. Exemple : refus de mise sur le marché d’un médicament dont le rapport bénéfices/risques est peu connu, abattage systématique d’animaux dans un périmètre épidémique identifié, destruction d’un stock de produits dont la conformité à l’étiquetage est remise en cause, etc. La notion de principe de précaution peut donc être définie comme le renoncement d’une activité humaine, quelle qu’elle soit, en l’absence de qualification et de quantification certaine ou raisonnable de ses impacts directs et/ou indirects sur la société, notamment en cas d’émergence d’un risque. Le principe de précaution, relatif à des risques probables, est d’application réduite. Il devra donc être complété par d’autres principes complémentaires qui, eux, véhiculeront des dimensions différentes. Ainsi, et par exemple : -- le principe dit de prudence, lequel sera destiné à couvrir des risques avérés (ex : on ne boit pas un café sur un clavier d’ordinateur pour éviter des impacts certains en cas d’occurrence !) ;
23
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- le principe de prévention, dédié quant à lui à des risques avérés mais dont l’incertitude d’occurrence demeure (ex : le risque d’une explosion nucléaire). Or, il semble que le principe de précaution soit devenu aujourd’hui, pour nos sociétés « civilisées » ou « développées », une norme sociétale habituellement acceptée. Mesure de la maîtrise technologique de notre environnement voire de notre devenir, pour ne pas dire de notre capacité à maîtriser notre avenir, nos sociétés modernes n’acceptent plus la prise de risque, et considèrent trop souvent de facto comme la réponse ultime et acceptable à la maîtrise du risque, le fameux principe de précaution. Le risque, l’incertitude, ne sont plus acceptables, encore moins leurs impacts.
Les sociétés humaines dites « développées » acceptent de moins en moins facilement la prise de risque, et recherchent de plus en plus vite l’application systématique du désormais sacro-saint principe de précaution. S’agit-il réellement d’une avancée ? Notre développement devrait inconsciemment nous garantir la pérennité individuelle et collective de notre propre devenir, donc, de l’humanité dans son ensemble
Or, cette perception désormais exacerbée de refus du risque peut s’avérer in fine contre-productive car la création de valeur (ou l’économie de dépenses liées au coût du risque) ne peut avoir lieu qu’avec ou grâce à la prise de risque(s). En termes économiques, le prix Nobel d’économie Markovitz a démontré, dès les années 1950, la relation intime existant entre la rentabilité d’une action (financière, avantage concurrentiel, gain économique
) et la prise de risque elle-même. Cette vision économique, qui introduit notamment l’exigence de dilution et de dispersion des décisions pour parvenir à un rendement optimum en fonction des risques pris ou à prendre, se révèle tout à fait adaptée pour l’entreprise. Sans prise de risque, jamais l’humanité n’aurait découvert la radioactivité, ne serait allée explorer la Lune, n’aurait découvert l’Amérique, encore moins les vaccins. Il n’y a pas si longtemps, la prise du risque était valorisée, réalisée par des héros, sacralisée
Qui rêve encore devant le lancement d’une fusée ? Qui en accepte encore le risque d’intégrité physique des équipages, lorsque celui-ci, malheureusement, arrive ?
24
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
La prudence n’était pas encore instituée en principe de fonctionnement intrinsèque de société aux siècles précédents. Le sacro-saint principe de précaution n’aurait-il pas eu un effet castrateur certain sur les expérimentations audacieuses (pensons à Marie Curie), ni, d’une manière générale, sur la capacité à innover de certains visionnaires, prenant des risques par la nature même de leur essence ? Aujourd’hui, plus personne – ou presque – ne prend de risque, ou n’est à même d’accepter le risque, partiel ou total, individuel ou collectif. Comme l’exprime avec justesse Jean de Kervasdoué dans Les prêcheurs de l’apocalypse : « Être prudent, analyser les risques pour tenter de les éviter, constituent de sages conseils ; mais d’avoir fait de la précaution un principe est un drame : il ne s’agit plus de tenter d’analyser des évolutions vraisemblables, compte tenu des informations disponibles, mais d’imaginer l’irréel, l’impensable, sous prétexte que les dommages causés pourraient être importants. ». Et le principe de précaution annihile par défaut la prise de risque acceptable. Ainsi, si l’on revient un instant sur le fameux risque de pandémie de grippe aviaire, des centaines de millions de doses de vaccins ont été acquises, stockées, distribuées puis détruites en pure perte, face à l’émergence d’un risque éventuel de pandémie grippale. Bien sûr, il est toujours aisé de constater a posteriori les erreurs, les prises de décision excessives et de les commenter. Que se serait-il passé en cas de déclaration réelle et majeure d’une pandémie, et qu’il n’y ait pas eu de vaccins disponibles sur le territoire national ? Certes… Mais le principe de précaution, qui guida toute cette action, étaitil réellement la seule réponse à retenir ? Fut-il dimensionné avec sagesse, au-delà d’enjeux politiques ou de risque d’image associé ? Et que penser aujourd’hui de la défiance des citoyens vis-à-vis d’une campagne de vaccination émanant des autorités sanitaires à l’avenir ? N’est-ce pas là le principal risque a posteriori d’une mauvaise application du principe de précaution ?
Le principe de précaution s’impose de plus en plus dans nos sociétés contemporaines. Or, sans prise de risque, il n’y a pas création de valeur. L’enjeu est complexe. Quel degré de prise de risque notre société est-elle capable d’accepter face à un risque sanitaire, par exemple ? Et, au-delà de cette capacité d’acceptation, de quelles ressources dispose-t-on pour 25
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
allouer, de la meilleure manière, les stratégies et les moyens de couverture appropriés, sans se ruer par défaut sur le principe du refus du risque, fut-il minime, face à l’incertitude de ses effets de bords, plus ou moins identifiés, qualifiés et quantifiés ? Cette question, à multiples entrées, est très complexe à résoudre. Le rapport au risque de l’individu est spécifique et propre à chacun. En fonction de son expérience, de son vécu, de son cadre de référence, l’individu ne présente pas un rapport au risque homogène, nous y reviendrons. Se faire vacciner contre la grippe relève tant de moteurs internes factuels (fonction d’utilité à ne pas être malade, historique de l’expérience, appréhension des injections !), qu’irrationnels, émotifs, affectifs, etc. Dans l’entreprise, cette question du principe de précaution et de son utilisation, nous le verrons, sera essentielle, notamment en ce qui concerne les risques opérationnels, car le principe de précaution sera difficile à manœuvrer, quant à l’enjeu opérationnel. Nous y reviendrons en détail ultérieurement.
Nous sommes tous concernés ! La question du risque en entreprise devient aujourd’hui un enjeu essentiel beaucoup plus présent dans les organisations. L’évolution sociétale, le rapport du monde au(x) risque(s) y contribue fortement. Désormais, toutes les entreprises commencent, de plus en plus, à se préoccuper de la maîtrise effective des risques susceptibles de remettre en cause leur pérennité et pas uniquement pour des motivations réglementaires, prudentielles ou éthiques. Cette tendance de fond semble vouloir s’affirmer depuis quelques années, et de plus en plus d’organisations créent, structurent et déploient des mécanismes de plus en plus robustes de maîtrise des risques. C’est une excellente nouvelle. Cette évolution structurelle constitue une bonne tendance de fond pour les entreprises, même si de très nombreux progrès restent à réaliser, notamment en TPE, PME et PMI. Naturellement, en contexte de pénurie latente de ressources, le choix d’allouer des ressources financières, humaines et/ou matérielles aux processus de détection, de compréhension, de couverture et de maîtrise des risques demeure pour l’instant l’apanage des structures significatives ayant les moyens – et la volonté réelle – de le 26
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
faire. Et même si les risques opérationnels peuvent être considérés comme les enjeux les mieux dotés par les organisations, il n’en demeure pas moins que la culture du risque dans l’entreprise demeure largement perfectible. Néanmoins, la prise de conscience d’un environnement de plus en plus incertain, des enjeux et de l’exigence de réduction impérative du coût du risque s’impose progressivement à toutes les entreprises. La porte d’entrée des risques opérationnels, notamment, y contribue grandement.
Toutes les entreprises, y compris les TPE, les PME et les PMI, doivent se préoccuper de la maîtrise de leurs risques, et ce de manière structurée. L’environnement, le contexte général les y invitent en permanence. Appréhender l’enjeu risk management en entreprise par le biais des risques opérationnels constitue une excellente porte d’entrée pour engager l’action. Toutefois, un travail important reste à conduire afin d’assurer la meilleure maîtrise des risques au sein de toute organisation, et plus particulièrement les TPE, les PME et les PMI, par nature exposées et moins disposées à allouer, dans un contexte permanent de pénurie de ressources financières, des moyens humains et financiers dédiés à des dimensions de gestion et de couverture des risques. L’heure est clairement à la nécessaire maîtrise des risques de la société, donc de l’entreprise, mais sans toutefois verser dans une dérive paranoïaque de refus permanent du risque, selon le sacro-saint principe de précaution illustré précédemment pour les risques sanitaires. Car sans prise de risque, et nous le verrons ultérieurement, il n’y a pas de création de richesse ni création de valeur. Mais la préoccupation de la question du risque s’impose désormais à toute entreprise, plus que jamais, compte tenu des coûts induits par un coût du risque non maîtrisé. Cette démarche de maîtrise affirmée des risques s’inscrit dans une logique sociétale, dont l’expression en entreprise va vraisemblablement se renforcer au cours des prochaines décennies. Aux risques gérés de manière fonctionnelle par les grandes entreprises, devrait se succéder une véritable dynamique de gestion des risques dans toutes les entreprises, comme véritable outil managérial, stratégique et différenciateur de pérennité. 27
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
De fait, la gestion des risques en entreprise, et plus particulièrement la maîtrise des risques opérationnels quotidiens en premier lieu, va devoir progressivement s’imposer à toutes les organisations de manière plus marquée. Et ce, quels que soient sa taille, son secteur d’activité ou son exposition réelle, supposée ou perçue, au facteur risque. Cette démarche s’inscrit désormais dans une approche naturelle de tout dirigeant, donc de toute stratégie à long terme pour l’entreprise, dans une recherche permanente de pérennité, de manière structurée et organisée ou, tout au moins, devrait faire partie de ses composantes essentielles par nature. L’entreprise va donc – ou devrait en conséquence – apprendre à identifier, comprendre et maîtriser les multiples risques qui la menacent au quotidien. Mais quels sont-ils au juste ? Et surtout, pourquoi les risques opérationnels constituent-ils une priorité majeure et la porte d’entrée des risques à privilégier au quotidien par les dirigeants et les acteurs responsables ? Positionnons maintenant l’enjeu des risques opérationnels parmi les multiples risques en présence dans l’entreprise.
28
Chapitre 2 Les différentes classes de risques en présence Afin de garantir la pérennité de l’entreprise, le risk manager (c’est-àdire la personne en charge des risques dans l’entreprise, mais aussi, et très souvent, le premier d’entre eux : le dirigeant !) va devoir identifier, comprendre et maîtriser les risques susceptibles de fragiliser, voire remettre en cause, sa viabilité. Mais
quels sont-ils en fait ? Comment l’enjeu des risques opérationnels s’inscrit-il dans la présentation générale et globale des risques de l’entreprise ? Et là se pose une question majeure : comment présenter, de manière efficace, exhaustive, précise, et complète les risques de l’entreprise, compte tenu de la multitude des situations potentiellement aptes à fragiliser toute organisation ? Quels risques ? Comment présenter simplement et visuellement la multitude des risques à couvrir ? Et comment le rendre compréhensible et intelligible, sans lourdeur ni « inventaire à la Prévert » repoussant ?
De la diversité Fondamentalement, il existe une extrême diversité des risques en entreprise, pouvant remettre en cause sa pérennité au quotidien. Car, même si la situation de déclaration de cessation des paiements (premier pas vers la fin de l’organisation) consacre une rupture de trésorerie structurelle ou accidentelle, et constitue de facto le seuil primordial et unique qui déclenchera la mise en liquidation judiciaire, en redressement 29
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
judiciaire ou en anticipation d’une procédure de sauvegarde, la rupture de trésorerie résultera au préalable et essentiellement d’un faisceau de risques convergents non gérés… au premier rang desquels figurera très certainement la contribution de multiples risques opérationnels concrétisés ! Leur traduction financière ne sera peut-être, au final, qu’un effet secondaire, même si c’est ce qui conduira le dirigeant au tribunal de Commerce ! Y aurait-il, à la source d’une rupture de trésorerie, la concrétisation systématique de risques opérationnels ? Il s’avère donc nécessaire, dans un premier temps, d’identifier, de comprendre et de maîtriser tous les risques susceptibles, directement ou indirectement, de fragiliser l’entreprise. La rupture de trésorerie ne constitue qu’une résultante technique de la concrétisation effective de risques non maîtrisés à l’origine. Il y aura toujours, à l’origine d’une défaillance, l’existence d’un ou d’une multitude de risques convergents, non maîtrisés et ayant des conséquences négatives. Pour chaque secteur d’activité il existe un faisceau spécifique de risques susceptibles d’impacter les entreprises intervenant dans ledit secteur, de manière propre et spécifique. Et, pour chaque entreprise du même secteur d’activité, le spectre des risques à couvrir sera spécifique, en fonction de son histoire, de sa taille, de son ancienneté, de son organisation, de son mode de fonctionnement, de son encadrement, de la vision de son équipe dirigeante, du profil individuel de chacun de ses salariés
De même, chaque entreprise, chaque dirigeant, chaque acteur de chaque organisation présente, par nature, un profil risque particulier, bâti en fonction de ses connaissances, de son expérience, de sa vision, de son ancienneté dans l’entreprise, de son profil psychologique, de son âge, de sa maturité professionnelle, de son appétence – ou son aversion – aux risques, de sa sensibilité individuelle aux enjeux ou aux impacts, de sa capacité de décision, de responsabilisation, etc. Chaque processus, chaque sous-processus traduisant une activité dans l’entreprise va être aussi exposé à un spectre de risques spécifiques. Schématiquement, les processus « achat de matières premières dangereuses » et « nettoyage des bureaux » ne seront pas exposés aux mêmes risques mais ils présenteront, chacun, des menaces particulières, plus ou moins sévères, à maîtriser. Chaque individu présente une appétence, une prédisposition face à la problématique de la gestion des risques : risque adverse, preneur de 30
LES DIFFÉRENTES CLASSES DE RISQUES EN PRÉSENCE
risque, indifférence au risque, forte sensibilité au risque, autant de profils que d’individus. Bref, comment prendre en compte tous ces critères, toutes ces contraintes antinomiques, toute cette diversité et représenter, malgré tout, les différentes classes de risques des entreprises de manière homogène, cohérente, donnant du sens sans spécificité sectorielle, fonctionnelle et/ ou technique ? Vaste enjeu à traiter
. De cette interrogation, et après mûres réflexions, je vous propose cidessous une approche déjà proposée dans une publication précédente3 et qui permet a priori, et de manière simple et efficace, de présenter une vision cohérente, complète et adaptable à toutes les entreprises, de toute taille et de toute nature, à tous les secteurs d’activité, le spectre des risques auquel chaque organisation sera potentiellement exposée. À vous de juger.
Démarche de la pyramide Reprenons brièvement certains fondamentaux de la question des risques en entreprise. Tout d’abord, et nous venons de le préciser précédemment, une réflexion. L’entreprise, quelle qu’elle soit, va être par essence exposée à une multitude de risques. Chaque risque va impacter l’entreprise à travers un coût économique et/ou financier, susceptible de déstabiliser ses fondamentaux, d’obérer sa capacité de financement ou d’investissement, de remettre en cause de facto son existence à court, moyen ou long terme, donc de fragiliser sa pérennité. Partant de ce constat, l’image de la pyramide s’est imposée à moi, visualisant l’entreprise solidement ancrée sur ses fondations, représentées par la base de la pyramide, et devant maîtriser de grandes familles de risques, intrinsèques à sa propre existence, susceptibles de faire s’effondrer la belle construction. Je renvoie le lecteur curieux à mon précédent ouvrage sur la gestion des risques de l’entreprise, pour plus d’explications détaillées.
3. Cf. La gestion des risques en entreprise, GERESO Édition, Le Mans, 2013.
31
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
En réfléchissant aux différentes familles de risques à aborder, je me suis aperçu qu’il y avait peut-être une certaine logique à représenter les différents risques selon une approche duale : -- l’une, relative à l’homme : partir de l’individu, entité unique, c’est-àdire le salarié, le dirigeant, le client, le fournisseur
et progresser vers le groupe (la somme collective des humains soit l’équipe, le service, l’unité, le département, l’usine, la société, la collectivité, le pays, le monde, la société humaine dans son ensemble) ; -- l’autre, relative à l’environnement de l’entreprise elle-même : évoluer des considérations et des dimensions macroéconomiques de l’environnement de l’entreprise (l’environnement géopolitique, le marché, les zones géographiques) vers les entités microéconomiques (l’entreprise elle-même comme aboutissement final). Enfin, cette représentation visuelle des risques de l’entreprise est conçue pour être par nature généraliste, non spécifique à un secteur d’activité, à un métier, à une fonction managériale, ou à un processus. Au final, le fruit de cette réflexion permet de représenter les différentes classes de risques auxquelles l’entreprise est exposée, de manière structurelle, de la manière suivante :
32
LES DIFFÉRENTES CLASSES DE RISQUES EN PRÉSENCE
Structure de la pyramide Sur la base de cette représentation (du macroéconomique vers le microéconomique, de l’individu vers le groupe), de haut en bas ou de bas en haut, il reste à définir puis positionner les différentes classes de risques au sein de cette pyramide. Les principales familles – ou classes – de risques identifiées selon cette démarche méthodologique de la pyramide sont les suivantes, à la lumière de mon expérience et de ma perception du monde des entreprises : -- risques géopolitiques ; -- risques économiques ; -- risques stratégiques ; -- risques financiers ; -- risques opérationnels (l’objet central de cet ouvrage) ; -- risques industriels (une famille particulière de risques opérationnels) ; -- risques juridiques (risques opérationnels spécifiques) ; -- risques informatiques (risques opérationnels particuliers) ; -- risques sociaux et psychosociaux (faisant également partie des risques opérationnels) ; -- risque d’image et de réputation ; -- risque de Knowledge management (ou de « gestion de la connaissance ») ; -- autres risques (famille à périmètre élargi : risque environnemental, de surqualité, de défaillance de contrôle, de défaillance des dispositifs de pilotage
) ; -- risque d’intégrité (le risque individuel ultime). Sur cette base des 13 grandes classes de risques peut être ensuite organisé le positionnement de chacune des classes. Cette pyramide constitue in fine une présentation rapide et efficace des différents types de risques auxquels toute organisation est – ou sera – potentiellement exposée.
33
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
INDIVIDU
MICRO Risque INTÉGRITÉ Risques
AUTRES Risques KNOWLEDGE
MANAGEMENT Risques
IMAGE-RÉPUTATION Risques JURIDIQUES
INFORMATIQUES
Risques
OPÉRATIONNELS
R.H.
Risques
INDUSTRIELS
Risques FINANCIERS Risques STRATÉGIQUES
GROUPE
Risques GÉOPOLITIQUES
Risques ÉCONOMIQUES
MACRO
Si l’on parcourt la pyramide de bas en haut, les grandes familles de risques, au nombre de treize, sont organisées de manière rationnelle, témoignant in fine d’une démarche cohérente : -- assurer la cohérence de la démarche macro/micro et individu/groupe, essentielle à mon sens ; -- positionner les risques financiers dans le centre de la pyramide, chaque classe de risques engendrant potentiellement, par nature et par défaut, un impact financier ; -- considérer les risques opérationnels, objet de notre ouvrage, comme la classe de risques primordiale à traiter au quotidien, ainsi que les risques opérationnels sous-jacents (industriels, informatiques, juridiques, etc.) ; -- présenter en haut de la pyramide le risque individuel ultime, directement lié à l’individu : son intégrité personnelle ; de cette intégrité personnelle pourront naître de multiples risques directs, indirects ou collatéraux pour l’entreprise, ses clients, ses fournisseurs, ses partenaires…
Il existe 13 grandes classes de risques au sein des entreprises.
34
Chapitre 3 Les 13 classes de risques Présentons maintenant de manière succincte les principales classes de risques en présence, telles que présentées précédemment. Nous en identifions treize :
1 - Risques géopolitiques Fondamentalement, il s’agit des risques liés à l’environnement global de l’entreprise hors de ses frontières. À partir du moment où une organisation évolue à l’extérieur de son pays d’origine (localisation du siège social), pour quelque raison que ce soit (présence de clients, de fournisseurs, de sous-traitants, de franchisés, de prospects, de partenaires industriels ou commerciaux, d’équipes dédiées, d’actifs, d’investissements, d’engagements
), elle est par nature exposée au « risque pays » où sont localisées ses activités et/ou ses actifs, et à ses composantes de déstabilisation potentielle liée à son exposition géographique hors frontière. Blocus économique, attentats, guerres, climat insurrectionnel, catastrophes naturelles, mouvements sociaux, instabilité économique, politique ou sociale, tels sont les risques majeurs à appréhender et à traiter, pays par pays, zones géographiques par zones géographiques. Ces zones de fragilité seront bien évidemment et également à appréhender au niveau du pays d’origine et d’implantation initiale de l’entreprise, mais elles seront considérées a priori comme mieux connues et maîtrisées par les dirigeants, les fondateurs et/ou les actionnaires impliqués. La notion de « risque pays » amène un point d’intérêt spécifique à ne pas négliger.
35
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Ces risques sont donc regroupés sous une appellation un peu pompeuse (« risques géopolitiques »), mais qui demeure toutefois appropriée. Traiter un « risque pays » consiste bien à analyser un contexte donc des risques géopolitiques. Il s’agit donc de l’analyse du cadre initial d’évolution de l’entreprise en dehors de ses frontières, dont les risques sous-jacents géopolitiques associés doivent être maîtrisés au mieux. Les risques géopolitiques constituent donc la première brique de stabilité de l’édifice entreprise. Ils constituent donc, naturellement, la partie basse, la base de la pyramide, en partie gauche. C’est la première classe de risques à appréhender de manière dédiée, dans le cheminement macroéconomique de la maîtrise de l’environnement d’intervention de l’entreprise.
2 - Risques économiques Une fois l’environnement géopolitique de l’entreprise connu – et, si possible, maîtrisé – la compréhension, l’analyse et la prise en compte efficace de l’environnement économique de l’entreprise s’imposent (au sens macroéconomique du terme). Inflation, conjoncture, évolution des conditions de financement et de refinancement, évolution de la cherté, de la disponibilité et de la rareté des ressources de l’entreprise nécessaires à son bon fonctionnement (ressources financières, matières premières, marchandises), situation conjoncturelle locale, régionale, nationale et internationale, perspectives macroéconomiques constituent autant de risques économiques majeurs pouvant durablement et profondément remettre en cause la pérennité des organisations et de leurs activités. Les risques économiques sont positionnés également dans le socle de la pyramide, en partie droite de la base de la pyramide, aux côtés des risques géopolitiques précédemment explorés. Il s’agit, conjointement avec les risques géopolitiques, d’une classe de risques essentielle et primordiale à identifier, comprendre et maîtriser, ce qui, nous le verrons, ne sera pas forcément des plus simples. Les deux classes de risques, risques géopolitiques et risques (macro) économiques, que nous détaillerons plus loin, constituent le cadre de stabilité, d’instabilité – ou d’environnement initial – de l’entreprise. La 36
LES 13 CLASSES DE RISQUES
maîtrise de leurs risques associés demeure la priorité essentielle à la survie de toutes les entreprises, quel que soit le secteur d’activité considéré.
3 - Risques stratégiques Une fois maîtrisé l’environnement macroéconomique de l’entreprise, nous abordons le coeur de la problématique, ce qui constitue, à nos yeux le risque long terme essentiel pour chaque entreprise : la qualité de son modèle stratégique. Quelle que soit sa taille, chaque entreprise, artisan, commerçant, TPE, PME, PMI, grand groupe national, multinationale, tous bâtissent et proposent un modèle stratégique, en constante évolution et en adaptation permanente. Seules la complexité, la disparité et la densité de ses composantes (les segments stratégiques) et de ses interactions différencieront le modèle stratégique d’une boulangerie de celui d’une multinationale. Mais les fondamentaux de cette notion clé que constitue un modèle stratégique sont les mêmes. Composés de multiples segments stratégiques, le modèle stratégique est exposé à de multiples risques, et notamment le risque d’incohérence entre les différents éléments constitutifs dudit modèle. Sa constitution, sa validité, sa robustesse, la capacité d’ajustement et de réponse des processus cibles le composant seront le coeur de la réussite de toute entreprise. Essentielle, critique à la pérennité, la maîtrise des risques stratégiques nous amène à positionner les risques stratégiques dans le coeur de la pyramide, appuyés sur le socle précédent constitué des risques géopolitiques et (macro) économiques.
4 - Risques financiers La mise en oeuvre du modèle stratégique engendre, par essence, la création d’une multitude de risques financiers. Du risque d’illiquidité au risque de taux de change, du risque de crédit au risque de dilution du capital, du risque de financement aux risques comptables et fiscaux, les risques financiers constituent l’étape suivante dans notre présentation structurée des différents risques de l’entreprise.
37
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Multiples, complexes, directement impactants, pouvant remettre en cause en une journée la pérennité complète de l’organisation, les risques financiers constituent une famille de risques spécifiques, à part, située dans le coeur même de la pyramide. Le positionnement central des risques financiers, au cœur de la pyramide, n’est ni fortuit, ni le fruit du hasard. Tout risque, toute classe de risques, toute décision d’entreprise aura une incidence financière sur l’entreprise, donc favorisera l’émergence potentielle d’un risque financier. Son positionnement central traduit également cette dimension : les 13 classes de risques, en se concrétisant, engendreront par nature et systématiquement, un risque financier, plus ou moins difficile à assumer par l’entreprise. Causés directement par la mise en oeuvre du modèle stratégique de l’entreprise, directement ou indirectement, les risques financiers complètent le coeur de notre réflexion centrale, compte tenu de leur diversité et de leur gravité potentielle.
5 - Risques opérationnels Objet de notre ouvrage, la notion de risques opérationnels est extrêmement large : elle exprime tous les risques pouvant engendrer un dommage, une perte, un coût, créés ou subis lors de la réalisation de l’activité courante de l’entreprise : infrastructures, cycles de production, de distribution, processus logistique, gestion documentaire, etc. En résumé, les risques opérationnels matérialiseront tous les impacts directs ou indirects engendrés par l’entreprise dans son activité quotidienne. Ils figurent immédiatement après les risques financiers, résultant du « coeur opérationnel » de l’entreprise. Leur analyse devra être réalisée par grandes familles de processus opérationnels. Trois types de risques opérationnels spécifiques, particulièrement importants, seront à considérer de manière dédiée et à traiter de façon particulière dans l’entreprise : les risques juridiques, les risques informatiques, et les risques sociaux et psychosociaux (plus simplement dénommés les risques « ressources humaines »).
38
LES 13 CLASSES DE RISQUES
6 - Risques industriels Les risques industriels couvrent, comme leur nom l’indique, une catégorie particulière de risques opérationnels, rencontrés exclusivement dans les activités de fabrication, de transformation, donc de production de biens. Qu’il s’agisse d’emboutissage de pièces simples, de construction mécaniques complexes (avions, voitures, bateaux, machines-outils, gros oeuvre
), de chaînes de montage ou d’assemblage, d’activités de finition légère ou de transformation, les cycles industriels sont à considérer de manière exclusive et leurs risques associés, multiples et complexes, nécessitent un traitement ainsi qu’une approche spécifique. Un certain nombre de démarches méthodologiques exclusivement dédiées à la maîtrise des risques industriels existe, et le savoir-faire des grands groupes industriels, réputés pour la maîtrise des cycles techniques de production, participe à la maîtrise des risques industriels, particulièrement critiques pour les entreprises concernées. Un chapitre leur est dédié dans notre livre.
7 - Risques juridiques Les risques juridiques constituent la première classe de risques opérationnels à traiter selon notre approche de manière différenciée. Ils couvrent pour l’essentiel les problématiques contractuelles des relations d’affaires, des obligations de respect de la conformité des lois et des règles en vigueur (notion de conformité juridique), les problématiques liées à la contrefaçon, ainsi qu’un approfondissement d’un risque juridique particulier : la responsabilité pénale du dirigeant. Compte tenu de la pénalisation croissante du monde des affaires, de la tendance générale observée d’une certaine dérive du nombre des actions à l’encontre des personnes morales et de leurs représentants mandataires sociaux, de la médiatisation marquée des abus toutefois marginaux de la fonction de direction d’entreprise en contexte social tendu, et de la multiplication des dérives « sociales » actuellement observées (séquestration, conflits sociaux délicats, conjoncture difficile
), les risques juridiques deviennent désormais un véritable piège pour les entreprises à court, moyen et long terme.
39
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Facteur aggravant de la bonne maîtrise des risques juridiques, l’inflation législative et la multiplication effarante des textes et des décrets rendent désormais pratiquement illisibles et/ou inapplicables la connaissance et donc le bon respect des lois en vigueur, sans l’aide permanente d’un juriste spécialisé par domaine de compétences : droit social, fiscal, pénal, civil, droit des contrats, droit des assurances, etc. Nous leur consacrons une partie de l’ouvrage.
8 - Risques informatiques Seconde famille de risques opérationnels spécifiques, les risques informatiques sont une source permanente, récurrente et coûteuse de risques critiques pour les entreprises de nos jours, compte tenu de l’usage intensif, permanent et structurel des outils informatiques (matériels, logiciels, applications, infrastructures réseaux, etc.) et de la multitude des risques associés au périmètre informatique. Vulnérabilité, sécurité physique et logique, qualité des couvertures applicatives, gestion des coûts associés, perte de données, disponibilité des outils et des réseaux, fiabilité/confidentialité/intégrité/disponibilité des données, performance des applications et des traitements, autant de risques informatiques à traiter et à maîtriser impérativement, compte tenu de la permanence et de la prégnance de l’outil IT dans le monde de l’entreprise aujourd’hui. Quelle que soit la dimension de la structure, l’outil informatique est désormais essentiel à l’activité quotidienne, et la pérennité de l’infrastructure informatique – et de communication associée – devient critique. Ses risques associés, multiples et lourdement impactant, constituent un gisement de risques majeurs à identifier, comprendre et maîtriser. Un chapitre leur est également consacré.
9 - Risques « ressources humaines » Derrière cette dénomination peu valorisante, les risques « ressources humaines » sont constitués en fait de deux grands types de risques distincts : les risques sociaux (climat social, maîtrise du turn-over, gestion de la compétence, perte homme clé
) et les risques psychosociaux (mal-être, stress, harcèlement sexuel et/ou moral, suicide, conduites additives
). Cette classe de risques, également rattachée indirectement aux risques 40
LES 13 CLASSES DE RISQUES
opérationnels, nécessitera un traitement particulier et délicat, compte tenu du périmètre et de la sensibilité du domaine abordé. « Il n’est de richesse que d’hommes ». Au-delà de l’adage fameux de Jean Bodin, nous serons tentés de dire « qu’il n’est de risques que d’hommes ». Clé de voûte de tout projet de création et de développement d’entreprise, la gestion du risque humain sera primordiale, complexe, passionnante, mais source de nombreuses fragilités à appréhender puis à maîtriser. De même, les enjeux du management intergénérationnel (et la prise en compte de la fameuse « Génération Y », de ses désirs, de ses contraintes, de ses codes, de ses valeurs et de ses apports), la question de l’encadrement interculturel pour les entreprises internationales, le développement et la pérennisation des connaissances, des compétences et des savoirs des acteurs, la création et le maintien d’un lien social efficace et serein, sont autant d’enjeux RH à traiter au titre de ce risque opérationnel générique. Nous y reviendrons dans le cadre d’une partie dédiée.
10 - Risque d’image et/ou de réputation Le risque d’image ou le risque de réputation peut être considéré, à tort, comme des problématiques de haut niveau dont l’intérêt et/ou la portée, en cas d’émergence, ne concernent que les grandes entreprises, médiatisées, significatives en dimensionnement ou en respectabilité. Bien au contraire… Connaître l’image de son entreprise et la maîtriser vis-à-vis de ses salariés, de ses clients, de ses fournisseurs, de ses partenaires, de ses tiers de confiance, ne constitue pas l’apanage des stars du CAC 40 ou des entreprises intégrées aux indices phares des places boursières internationales. Autant la construction d’une image interne et externe va s’avérer complexe, difficile, longue, autant sa destruction – ou sa dégradation – constituera des risques extrêmement rapides en concrétisation, difficilement maîtrisables, dont les impacts en termes de gravité seront très lourds, voire impossibles à surmonter.
41
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Contrefaçon, rumeurs, guerre économique, diffamation, contrebande, concurrence déloyale, autant de vecteurs de risques que l’entreprise devra contrôler afin de maîtriser son image. Gérer un risque image ne s’improvise pas, et chaque entreprise devra garder en permanence un oeil sur sa réputation, dont les dommages seront lourds de sens. Un risque à ne pas négliger, même pour une toute petite entreprise
Il contribuera à la pérennité de la structure et demeure intimement lié aux risques opérationnels, même si cette classe de risques ne sera pas considérée comme faisant partie des enjeux opérationnels, objet du présent ouvrage.
11- Risque knowledge management/gestion de la connaissance Principal actif de l’entreprise, la connaissance et les savoir-faire de l’organisation, des équipes, des salariés, son évolution et sa capitalisation exposent toutes les entreprises aux risques liés à ce que la terminologie anglo-saxonne appelle le knowledge management, autrement dit la gestion de la connaissance. Documentation des procédures et des processus, actualisation des modes opératoires, gestion de la donnée et de l’information en interne et en externe, veille prudentielle, autant de sources de risques que la gestion de la connaissance devra encadrer, afin de sanctuariser l’actif essentiel de toute entreprise : son savoir. Vecteur de transmission, de formation, de capitalisation et de différenciation de l’entreprise, la maîtrise de la connaissance et de ses risques associés constitue un risque particulièrement sensible à gérer. Il permettra également d’optimiser l’efficacité de l’activité. Souvent perçue comme contraignante, la maîtrise de ce risque demeurera critique, à bien des égards. Ce risque nourrit bien évidemment les risques opérationnels, mais nous avons décidé de ne pas le considérer de manière dédiée, afin de limiter notre propos et la cohérence de notre démarche.
42
LES 13 CLASSES DE RISQUES
12 - Autres risques : de multiples sources de risques à ne pas négliger Avant-dernière famille des risques identifiés dans l’entreprise, la classe des « autres risques », comme son nom l’indique, regroupe toute une série de risques à traiter de manière individuelle dans le temps et dans l’espace, mais qui ne constitue pas de classes de risques dédiées, ne pouvant proposer au lecteur une multitude infinie de thématiques différenciées. Il nous a semblé que, bien que significatifs pour la plupart d’entre eux, ces types de risques pouvaient être trop spécifiquement marqués de complexité d’un secteur d’activité à l’autre, ce qui nuisait à la présentation homogène et graduelle souhaitée de la pyramide initiale retenue. D’où le choix méthodologique de créer une « classe élargie » de risques, à ne pas oublier toutefois. Parmi les grands risques constitutifs de cette classe n° 12, nous trouverons notamment les problématiques de surqualité, de risque environnemental et de maîtrise du développement durable, de défaillance des dispositifs de contrôle interne, de défaillance de pilotage, de gouvernance de l’entreprise, etc. Ces risques ne font toutefois pas partie d’une classe de risques transversale dédiée, compte tenu de la spécificité de chacun de ces risques, et de leur non-applicabilité dans un certain nombre de situations. Ils pourraient également être considérés pour certains, directement ou indirectement, comme des risques opérationnels. Là encore, nous avons fait le choix de ne pas les considérer comme tels, même si certains d’entre eux demeurent directement liés aux enjeux opérationnels de l’organisation.
13 - Risque d’intégrité Enfin, le sommet de la pyramide est représenté par le risque individuel ultime, en cohérence avec la philosophie de présentation des treize classes de risques. Le risque d’intégrité sera à percevoir et analyser tant d’un point de vue individuel (démarche, comportement ou action inappropriée, réalisés par un acteur individuel : discrimination, injure, non-respect des règles d’entreprise, vol, fraude
) que d’un point de vue de conformité/ déontologie (respect par les acteurs de l’entreprise – et l’entreprise ellemême – des règles, lois et décrets en vigueur).
43
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Fondamentalement, l’intégrité individuelle d’un dirigeant, d’un collaborateur, d’une organisation pourra potentiellement remettre en cause la pérennité même de l’entreprise. Ce risque d’intégrité est positionné en haut de la pyramide, représentant le sommet de l’action individuelle et du risque éventuel associé. De cette culture de l’intégrité individuelle et/ou collective, du respect – ou non – des règles établies (internes et/ou externes à l’entreprise) découle une vision d’entreprise, de mise en oeuvre du modèle stratégique, appliqué à chaque acteur. Il s’agit du risque individuel ultime, potentiellement dommageable et pouvant impacter ou engendrer tous les risques précédents : risque d’image, risque financier, juridique, opérationnel, jusqu’au socle primal. Il n’est donc pas exclusif ni spécifique à l’enjeu opérationnel dans l’entreprise même si, au quotidien, le non-respect d’un mode opératoire engendrant la concrétisation d’un risque opérationnel pourrait être considéré comme un risque opérationnel ! Nous avons fait le choix de ne pas l’intégrer dans notre lecture des risques opérationnels. Ces treize classes de risques spécifiques permettent d’appréhender de manière simple les principaux enjeux conceptuels à traiter en entreprise. Mais cette pyramide ne couvre malheureusement pas tous les risques à appréhender.
Les risques projet Dernière dimension à ne pas négliger, et notamment dans le cadre des actions et activités opérationnelles courantes, car elle demande une démarche propre, particulière, et bien que ne constituant pas une classe de risques « spécifique » dans notre modèle de présentation des enjeux, nous préconisons également d’identifier et de maîtriser une classe « méthodologique » de risques spécifiques : la maîtrise des risques inhérents au mode projet. En mode projet, certaines fragilités potentielles et spécifiques à la démarche projet vont être mises en exergue, et elles seront à traiter de manière dédiée, dans le cadre d’une démarche indépendante particulière de type « risque projet ». 44
LES 13 CLASSES DE RISQUES
Qu’il s’agisse de projets informatiques, organisationnels, opérationnels, industriels ou de toute autre nature, l’appréhension des risques associés au projet sera à réaliser de manière dédiée. Les grandes étapes d’un projet, de quelque nature qu’il soit, peuvent être résumées de la manière suivante :
Pour chacune des étapes du mode projet, les risques, multiples, vont se présenter et menacer la bonne exécution du projet considéré. Et ce, tout au long du processus projet. Trop souvent, les risques s’accumulent et remettent en cause, soit le projet lui-même, soit l’intérêt initial de la démarche, compte tenu des surcoûts associés à une mauvaise maîtrise des risques du projet (coût d’opportunité, délais, ressources additionnelles, études complémentaires, inadéquation des ressources aux besoins
). Sans entrer dans un détail trop marqué, il est toutefois à noter que figurent, parmi les principales dimensions « risques » à appréhender en mode projet, les points suivants : -- Risques « RH » : fondamentalement, tout projet ne verra sa réussite concrétisée que grâce à la performance de l’équipe et des acteurs qui le portent. Les enjeux spécifiques de gestion de la compétence requise pour la bonne exécution du projet et de maîtrise de la connaissance capitalisée au titre du projet sont critiques à maîtriser. En outre, la dimension comportementale des acteurs impliqués au projet, et plus particulièrement la capacité de fédérer et conserver l’adhésion et la motivation des acteurs contributifs au projet sur toute sa durée, constitue une source de risques non négligeables, à ne pas sous-estimer. 45
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Risques « pilotage du mode projet » : tout projet initié doit être piloté avec efficacité. Les risques issus d’un mauvais pilotage de l’exécution du projet ou d’un dimensionnement inadapté des ressources nécessaires à sa bonne réalisation doivent être particulièrement étudiés. Notamment, les enjeux associés au pilotage des activités des tiers sous-traitants apparaîtront critiques. -- Risques « gestion de la planification » : en mode projet, la maîtrise du planning projet est essentielle. De multiples risques sont susceptibles d’obérer le bel édifice, pour de multiples faits générateurs : projections prévisionnelles incohérentes, irréalistes, temps contraint marqué dans l’exécution de certaines phases du mode projet, sous-dimensionnement des charges (et des ressources financières, humaines et/ou matérielles à mobiliser) nécessaires à la bonne réalisation dudit projet, etc. -- De multiples autres risques propres au projet considéré sont également à traiter. Par exemple, les enjeux liés à la budgétisation appropriée et à la disponibilité assurée des compétences à mobiliser dans le cadre du projet, la multiplication des sources de modification des cahiers des charges initiaux (aux enjeux parfois antinomiques), l’interdépendance des phases du projet entre elles (bloquant l’avancement), les rôles et responsabilités des acteurs (maîtrise d’œuvre, maîtrise d’ouvrage, assistance à maîtrise d’ouvrage, confusion des rôles…), la qualité des soustraitants (exigence de résultat ou de moyens), des contractants (risque de défaillance pendant la vie du projet), sans oublier les risques techniques, organisationnels et/ou opérationnels associés au projet lui-même.
En mode projet, les risques sont à appréhender de manière dédiée, indépendamment des démarches existantes dans l’entreprise. Un projet, au-delà de sa pertinence, c’est avant tout un ensemble de risques particuliers à maîtriser. Les risques d’un projet seront donc à traiter dans le cadre d’une démarche méthodologique normée, performante, dédiée et si possible, pertinente. Il en va de la qualité de l’exécution, voire de la bonne fin du projet initié à l’origine. Notre présentation des différentes classes de risque en pyramide aurait été incomplète sans cet apport spécifique à la dimension associée des risques en mode projet, à ne pas oublier dans la réflexion. Au final, un seul risque menace vraiment l’entreprise. Il s’agit d’un risque ultime.
46
LES 13 CLASSES DE RISQUES
Le risque ultime Chacune des treize classes de risques présentées précédemment, ainsi que la démarche spécifique « risque projet » présentée ci-dessus, va potentiellement, en cas de survenance, contribuer à engendrer un coût du risque, donc un risque financier additionnel pour l’entreprise. Sa gravité sera bien sûr significativement variable en fonction de la classe de risques considérée, du coût du risque net et de ses composantes particulières, mais elle aura des impacts certains, plus ou moins dommageables pour l’organisation. Et cette certitude conduit à notre volonté de mise en oeuvre d’une démarche tant préventive que curative de maîtrise du risque, quelle que soit la classe de risques considérée. Mais, au-delà des impacts multiples et variés que l’entreprise devra assumer en cas d’émergence d’un risque, quel qu’il soit, le risque ultime de toute entreprise reste et restera, somme toute, assez simple. L’entreprise, quelles que soient sa taille, son activité, sa maîtrise préventive ou curative des risques, est confrontée à un seul risque primordial : celui de la déclaration de cessation des paiements, unique et premier pas vers : -- la liquidation judiciaire ; -- la mise en redressement judiciaire et ses plans de suivi post-RJ (plan de redressement, plan de cession, partielle ou totale
) ; -- la mise sous procédure de sauvegarde (dispositif créé par la loi du 27 juillet 2005, au final peu usité, anticipant toutefois la situation de déclaration de cessation des paiements) ; -- la cessation d’activité pure et simple par volonté unilatérale de son dirigeant et/ou de ses actionnaires/fondateurs, le cas échéant. Toutefois, la concrétisation de ce risque ultime ne sera, au final, que directement lié à la matérialisation d’un ou de plusieurs risques faisant partie d’une ou de plusieurs classes de risques proposées ci-dessus. Très souvent, ce sont des risques opérationnels qui ouvriront la boîte de Pandore des risques, conduisant l’entreprise vers le chemin de la concrétisation du risque ultime.
47
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Le risque ultime de toute entreprise est la déclaration de cessation des paiements, dont l’issue est, le plus souvent, définitive pour l’entreprise (redressement judiciaire, liquidation judiciaire).
Les 1 000 risques Au-delà de notre démarche méthodologique, de ce support visuel de la pyramide, et à travers l’expérience et la vision de la gestion des risques acquise en entreprise depuis de nombreuses années, il va sans dire que cette représentation, extrêmement synthétique, ne permet – et ne permettra pas – de lister objectivement et de manière exhaustive l’intégralité des risques susceptibles d’impacter et de fragiliser une entreprise. Toutefois, cette présentation permet de ne pas oublier certaines dimensions fondamentales de sources de fragilité, souvent méconnues quoique profondément risquées. Il existe, en entreprise, plusieurs centaines de risques potentiels à identifier, comprendre et maîtriser. Pour ne pas dire plusieurs milliers. De notre expérience acquise en entreprises puis au sein de la société Riskeal, spécialisée en audit/conseil, formation et accompagnement des entreprises et des dirigeants dans leur gestion des risques, nous avons identifié, au bas mot, plusieurs milliers de risques individualisés, potentiellement aptes à affecter une entreprise, de manière plus ou moins sensible. Il convient, en outre, de démultiplier chacune des grandes classes de risques présentées dans cette pyramide et de maîtriser, société par société, département par département, service par service, processus par processus, sous-processus par sous-processus, les différentes classes de risques proposées et les effets de leurs interactions, afin de contrôler les éventuelles sources d’exposition. Notre lecture et notre présentation des risques opérationnels s’inscrit tout naturellement dans cette démarche.
Impact financier Il est également essentiel de noter, dès à présent, que chaque risque opérationnel, quel qu’il soit, engendrera, en cas de survenance, un coût 48
LES 13 CLASSES DE RISQUES
financier pour l’entreprise. Nous reviendrons ultérieurement sur la notion de coût du risque (et des coûts associés des stratégies de couverture à mettre en oeuvre), mais compte tenu de ce critère contributif partagé par toutes les classes de risques, nous avons volontairement placé la classe de risques « risques financiers » au centre de la pyramide. La pertinence de souhaiter positionner de manière centrale les risques financiers s’en trouve de facto également renforcée. Bien évidemment, chaque risque opérationnel concrétisé engendrera un coût financier pour l’entreprise. Positionnée au coeur de l’édifice, chaque classe de risques, et notamment celles dédiées aux enjeux opérationnels, objet du présent ouvrage, impactera, directement ou indirectement, le coût financier, donc le risque financier de l’entreprise. Il faudra en permanence conserver à l’esprit le coût du risque associé aux enjeux opérationnels. Car ils ne seront pas négligeables, bien au contraire
Nous y reviendrons.
Il existe, au bas mot, plus de 1 000 risques pouvant remettre en cause ou fragiliser la pérennité de l’entreprise au quotidien. Les enjeux opérationnels demeurent la priorité quotidienne à traiter de manière permanente, lucide et pragmatique. De façon pragmatique, et au-delà de la dimension symbolique portée par cette volumétrie « des 1 000 risques », précisons qu’il existe en fait des milliers de risques individuels à appréhender. Le choix du dimensionnement limité, volontaire, ne doit cependant pas laisser à penser que « seulement » mille risques sont à identifier, comprendre et maîtriser. Et parmi ces milliers d’enjeux individuels à identifier, comprendre et maîtriser, les risques opérationnels constitueront l’épine dorsale de toute organisation, car ils refléteront l’exposition aux risques de l’entreprise dans le cadre de l’exécution quotidienne et d’exploitation courante du modèle stratégique et financier de l’entreprise. Autant de miroirs susceptibles d’illustrer ou de démontrer la robustesse – ou la fragilité – opérationnelle de l’organisation. De nombreux enjeux en perspective ! Abordons à présent le vif du sujet et explorons ensemble cette notion des risques opérationnels. 49
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
50
LES 13 CLASSES DE RISQUES
À retenir • Chaque entreprise, quels que soient son secteur d’activité, son historique, son métier, sa taille, est par nature exposée à une multitude de risques qu’il convient d’identifier, de comprendre et de maîtriser. • Il existe plusieurs milliers de risques susceptibles de remettre en cause la pérennité d’une organisation ; ils peuvent être représentés autour de 13 classes de risques différentes. • Hormis les entreprises soumises à des contraintes réglementaires, la grande majorité des entreprises ne met pas en oeuvre de véritable politique de gestion des risques, à tort. • Les risques ne sont pas une invention du monde moderne ; ils existent depuis toujours, et existeront toujours mais la médiatisation accrue de leurs impacts renforce le sentiment perçu d’incertitude chronique de l’environnement dans lequel évoluent les organisations. • Dans un monde incertain, la maîtrise des risques permet de renforcer la pérennité de l’entreprise. Toutefois, la survie d’une organisation ne dépend pas uniquement de sa capacité à maîtriser les risques. • Chaque individu possède sa propre sensibilité au risque, forgée à partir de son expérience personnelle, son caractère, sa sensibilité, sa formation, son appétence aux risques. • Sans risque, donc sans prise de risque, il n’y a pas d’entreprise. Néanmoins, chaque dirigeant doit identifier, comprendre et maîtriser les risques pris ou subis, donc les gérer de manière préventive et curative. • Il n’est de risques que d’hommes. • Les principaux risques à considérer par l’organisation sont les risques opérationnels quotidiens ; ils nourrissent en permanence le coût du risque de l’entreprise, et peuvent remettre en cause la pérennité de l’organisation en quelques heures. 51
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
• Les risques opérationnels sont de multiples natures ; leur concrétisation relève de la robustesse – ou de la fragilité latente ou avérée – des processus opérationnels et/ou organisationnels de l’entreprise.
52
Partie 2
RISQUES OPÉRATIONNELS
Introduction « Crains seulement de rester immobile. »
Sagesse Chinoise
Après avoir contextualisé notre démarche et parcouru succinctement les treize grandes classes de risques en présence dans l’entreprise, abordons à présent les risques opérationnels, objet de cet ouvrage. Cette classe de risques se trouve positionnée au coeur de la pyramide des risques que nous vous avons présentée dans la partie précédente. Ce positionnement est tout à fait logique, car cette classe de risques va cristalliser toutes les activités opérationnelles quotidiennes de l’entreprise au titre de son coeur métier. Et nous verrons progressivement qu’au titre de cette classe de risques, objet de notre ouvrage, d’autres classes de risques dédiées viendront également enrichir notre rapport aux risques opérationnels : risques juridiques, risques informatiques, risques sociaux et psychosociaux… Il est possible qu’au final nous aboutissions à la conclusion que tous les risques seront des risques opérationnels en puissance ! Pour commencer, interrogeons-nous simplement : que représente réellement un risque opérationnel pour une entreprise ?
55
Chapitre 1 La notion de risque opérationnel Tout d’abord, soyons pragmatiques. À partir du moment où une organisation se crée, se développe, et quels que soient son objet social, son dimensionnement ou les processus d’exploitation qu’elle s’emploie à concevoir, déployer et optimiser, elle va immédiatement ouvrir la boîte de Pandore des risques. Ceux-ci prendront naturellement et vraisemblablement le visage d’un risque qu’il conviendra d’appeler : « risques opérationnels ». Ce qui reviendrait en fait à dire, sans abus de langage et en préambule de notre propos que, théoriquement, tous les risques présents en entreprise sont potentiellement, par nature et par essence… des risques opérationnels, car directement liés, de près ou de loin, aux cycles opérationnels de l’entreprise ! Quand je conçois, quand je produis, quand je stocke, quand je livre, quand je facture, quand je saisis, recouvre, paye, recrute et forme, je suis dans l’opérationnalité de l’entreprise. Donc, par nature, tout risque peut être considéré a priori comme un risque opérationnel à première lecture ! Car, de la rupture d’une chaîne de production à la perte d’une donnée informatique, d’un vol de matériel à l’inondation d’un stock, d’une attaque à main armée à un détournement frauduleux d’identité, d’une coupure électrique à un accident du travail, d’un incendie à une destruction inopinée d’archives, tout risque peut être l’expression ou la conséquence d’un risque opérationnel pour l’entreprise. Voilà qui complique les choses ! Comment sérier plus précisément cette classe de risques qui ressemble à s’y méprendre à des poupées gigognes, et dont l’amplitude apparaît, à première vue, quasiment illimitée ?
57
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Essayons tout d’abord de définir simplement ce qu’est un risque opérationnel. Fondamentalement, la notion de risque opérationnel se présente comme étant extrêmement large, diversifiée et diffuse car les différents exemples proposés ci-dessus peuvent tous être qualifiés de risques opérationnels. Quoi de commun entre une rupture d’approvisionnement et un vol de données informatiques ? L’existence d’un coût économique induit pour l’organisation en cas d’émergence ? Ce critère n’est pas suffisant, chaque risque engendrant un coût pour l’entreprise. Essayons de forger une définition de cette notion de risques opérationnels, loin des visions parfois dogmatiques de certains secteurs d’activité qui définissent les risques opérationnels selon des appréciations ou des contraintes d’origine essentiellement réglementaire (banque, assurance). La notion de risque opérationnel recoupe selon moi, et par nature, l’intégralité des risques dont les impacts, directs ou indirects, sont susceptibles d’engendrer un dommage, une perte ou un coût financier à l’organisation, de manière subie ou causée, à court, moyen ou long terme, lors de la réalisation de son activité courante ou quotidienne de l’entreprise. À partir de cette réflexion, nous pouvons exprimer que, selon nous, la notion de risque opérationnel s’avère en conséquence intimement liée à celle du cycle d’exploitation de l’entreprise, ou plutôt des différents cycles d’exploitation de l’organisation. Chaque processus ou sous-processus opérationnel dans la société peut faire naître des risques opérationnels. Fondamentalement, un risque opérationnel participe à la concrétisation potentielle d’une perte économique pour l’entreprise (coût effectif du risque, coût d’opportunité, coût du risque net, etc.) dans le cadre du déploiement des activités d’exploitation de l’organisation. À partir de là, toute activité d’exploitation peut logiquement être la source de concrétisation de risques opérationnels.
Un risque opérationnel est un risque susceptible d’engendrer un dommage, une perte ou un coût pour l’organisation lors de la réalisation de ses cycles d’exploitation, de manière directe ou indirecte, subie ou causée, à court ou long terme, ou dont le client ressentira les effets induits à plus ou moins longue échéance. 58
LA NOTION DE RISQUE OPÉRATIONNEL
En conséquence, la notion de risques opérationnels recoupe par défaut toutes les activités, processus, sous-processus, procédures et modes opératoires déployés par l’entreprise dans le cadre de son cycle d’exploitation et dont la résultante peut affecter à terme le client. Comme l’objectif d’une entreprise consiste, avant toute autre chose, de servir au mieux son client, en constance et avec qualité, nous pouvons également définir cette notion de risque opérationnel comme un risque susceptible de remettre en cause la satisfaction client dans le cadre des activités nominales d’exploitation de l’entreprise. Quel que soit le processus considéré mobilisé dans le cycle d’exploitation d’une entreprise, tout risque concrétisé susceptible d’altérer, de dégrader, de remettre en cause la qualité de services ou de produits offerts au client peut être considéré comme un risque opérationnel. Il existe donc une relation induite forte entre cette notion de risque opérationnel, ses impacts internes pour l’entreprise et les impacts client qu’il peut engendrer, directement ou indirectement, à plus ou moins longue échéance. Nous pouvons donc enrichir cette première approche du risque opérationnel en lui attribuant le vecteur « impact client » comme critère éventuel de discrimination. Si la réponse à la question posée « ce risque présente-t-il un impact client » est affirmative, ce risque peut être considéré comme un risque opérationnel.
Ce risque impacte-t-il le client à plus ou moins longue échéance ? Si vous pouvez répondre « oui » à cette question, cela signifie que vous êtes confronté à un risque opérationnel. Il existe donc une relation intime entre l’impact du risque opérationnel pour l’entreprise au titre de ses cycles d’exploitation, et ses conséquences ressenties par le client de la société. Cette dualité de lecture permet de qualifier, en premier lieu, l’enjeu à couvrir qui apparaît dès lors immense.
Au-delà de cette première clé d’interprétation, discriminante à souhait, revenons à notre réflexion. Par nature, un risque peut être considéré comme risque opérationnel s’il est en lien direct ou indirect avec les cycles d’exploitation de l’entreprise. Où plutôt, s’il peut se concrétiser dans le cadre des processus et autres sous-processus mis en oeuvre par l’entreprise dans la réalisation de ces cycles d’exploitation. 59
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À partir de ce point d’ancrage, si l’on souhaite avoir une première approche des grandes typologies transversales des risques opérationnels présents dans l’entreprise, il y a lieu de s’intéresser tout d’abord aux grands cycles d’activité de l’organisation concernée. En conséquence, les risques opérationnels concernent par nature les grandes familles d’activités suivantes, à première vue et en première approche :
Nous pouvons ainsi commencer à prédéfinir les grands axes de travail et de réflexion qui seront à considérer dans la lecture pragmatique et efficace des enjeux associés aux risques opérationnels présents dans l’entreprise. Ainsi, les quatre thématiques que nous préconisons de considérer au titre de la délimitation des grandes familles d’enjeux peuvent être proposées comme ci-après.
L’intégralité des enjeux associés aux infrastructures de l’entreprise Si le premier prisme d’identification des risques opérationnels s’articule autour de l’existence d’un impact client (direct/indirect) et ou l’interaction des différents cycles d’exploitation de l’entreprise, la nécessaire pérennisation des actifs de la société se pose afin d’assurer la continuité
60
LA NOTION DE RISQUE OPÉRATIONNEL
des services offerts au client. Ainsi, une première étude des risques opérationnels met en lumière les différents enjeux suivants : -- accès : qui a accès à quoi, quand, où, comment, pourquoi, etc. ; -- sécurité des personnes : comment assurer la sécurité physique des acteurs sur le lieu de travail, où qu’ils soient, quoi qu’ils fassent, à tout moment ; -- sécurité des biens : assurer la sécurité des actifs matériels de l’entreprise contre tout type de dommages (internes, externes, volontaires ou non, malveillants ou non, etc.) ; -- sécurité des produits et services : assurer la continuité de la qualité des biens et services produits, proposés aux clients ; -- sécurisation des actifs physiques : préserver le patrimoine économique mis à disposition de l’entreprise par les tiers (actionnaires, financiers, assureurs) ; -- sécurisation des actifs logiques : sécurité des actifs immatériels de l’entreprise (nom commercial, marques, brevets, licences, connaissances, etc.) ; -- sécurité des actifs virtuels : sécuriser la pérennité d’actifs virtuels tels la réputation d’un nom, d’une enseigne ; -- sécurisation des différents flux de l’entreprise (énergie, eau, chauffage, télécoms…) : l’utilisation de ressources « flux », quel que soit le type de flux considéré ; -- sécurisation de l’environnement physique de l’entreprise : pérennisation de l’environnement de l’organisation (environnement physique) ; -- etc.
L’intégralité des enjeux associés aux cycles d’exploitation courante de l’entreprise Au-delà des enjeux d’infrastructure utilisés ou mis à la disposition de l’entreprise s’impose la lecture judicieuse des différents cycles d’exploitation mis en oeuvre par l’organisation, quelle qu’elle soit et quels qu’ils soient. La notion de cycle d’exploitation résulte plutôt de la conjonction d’une multitude de cycles d’exploitations divers et variés. Parmi les principaux enjeux à considérer dans cette lecture initiale des
61
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
risques opérationnels, nous pouvons identifier d’ores et déjà les cycles d’exploitation suivants (non exhaustifs) : -- cycles d’approvisionnement et d’achats de matières premières, dangereuses ou non : comment assurer la sécurisation des approvisionnements, sans rupture, et la maîtrise de la dangerosité des matières premières destinées à être transformées ? -- cycles d’approvisionnement et d’achats des marchandises, dangereuses ou non : comment pérenniser l’approvisionnement des marchandises sans rupture ? -- cycles de stockage des matières premières, dangereuses ou non : comment pérenniser les zones de stockage de produits destinés à être transformés ? -- cycles de stockage des marchandises, dangereuses ou non : comment pérenniser cet actif souvent critique dans l’entreprise ? -- cycles de production de l’entreprise : comment assurer la capacité productive et qualitative de l’entreprise en constance tout au long de son cycle de production ? -- cycles industriels mis en œuvre par l’entreprise : pérennisation des procédés industriels développés et/ou utilisés par l’entreprise dans le cadre de la réalisation de son objet social ? -- cycles logistiques de l’entreprise, amont et aval (acheminement, livraison) : comment sécuriser la mécanique logistique de l’entreprise, à tous les niveaux d’exécution ? -- cycles de la maîtrise d’exécution de l’offre (délais, qualité, suivi, retour) : comment maîtriser les risques de perte de qualité, de dérapage de délais, de mauvaise traçabilité des retours ou des rebuts ; -- etc. Une myriade de risques opérationnels directement liés à l’exécution opérationnelle de l’entreprise dans son « moi intime ». La lecture affinée des différents cycles d’exploitation permet de prendre conscience de la complexité de l’enjeu « risques opérationnels » au sein des organisations. Souvent, il s’agira d’ailleurs de la porte d’entrée de cette famille de risques particuliers.
62
LA NOTION DE RISQUE OPÉRATIONNEL
L’intégralité des enjeux associés aux cycles commerciaux de l’entreprise De la même manière, l’intégralité des processus permettant à l’entreprise de commercialiser son offre, de sa conception à la gestion de la relation client, risque d’être un puits sans fond de risques opérationnels, en connexion intime avec le client ou le prospect : -- cycles d’écoute du marché, de veille concurrentielle : comment s’assurer que les études de marché, les dispositifs de veille concurrentielle ne conduisent pas l’entreprise à concrétiser à l’avenir d’innombrables risques opérationnels plus graves encore ? -- cycles d’écoute du client, de ses besoins, de ses attentes : pérennisation des dispositifs de maîtrise du cycle client ; -- cycles de prospection commerciale : qualité et pertinence des dispositifs et des pratiques de commercialisation au sein de l’organisation en prospection ; -- cycles de commercialisation de l’offre produite ou service : multiples risques opérationnels à maîtriser dans le cadre de la gestion de la relation commerciale ; -- cycles de gestion de la relation client : la fidélisation client expose l’organisation aux risques opérationnels liés à leur perte ! ; -- cycle de gestion de la fin de la relation client : le risque image va notamment se nourrir de la fin de la relation client et de la manière dont l’organisation va gérer au mieux la « sortie » de la relation ; -- etc.
L’intégralité des enjeux associés aux processus supports de l’entreprise De même, une multitude de processus supports va être mobilisée par l’entreprise dans la mise en oeuvre de son modèle stratégique, sources innombrables de risques opérationnels quasi permanents : -- cycles des processus administratifs internes : comment sécuriser toute la mécanique administrative de l’entreprise, de la saisie comptable des opérations à la gestion des congés (tous deux susceptibles d’impacter, directement ou non, le client) ?
63
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- cycles de facturation, d’achat, de règlements : pérenniser la qualité des activités administratives déployées pour ou avec le client ; -- cycles de recouvrement : maîtrise des activités de relances et de gestion de la relation client, tant en relance amiable, pré-contentieux que contentieux ; -- cycles de gestion des réclamations client : risques image et commerciaux induits par la mauvaise gestion d’éventuelles réclamations clients ; nondétection de fragilités opérationnelles sources de réclamations client ; -- cycle des enjeux qualité : maîtrise de la qualité des produits et services offerts au client et des outils de pilotage de l’entreprise ; -- cycle des dispositifs de contrôle interne et externe : pérennisation des sondes destinées à piloter l’organisation, à l’appui de dispositifs robustes de contrôle ; -- cycle de gestion de la connaissance : comment sécuriser l’un des principaux actifs de l’entreprise ? Connaissances, savoirs, savoir-faire… Comment les pérenniser ? -- cycle de gestion des archives, des documents, des données : maîtriser l’histoire de l’entreprise en cas de besoin. Au-delà de ces quatre grandes familles initiales de risques opérationnels, l’enjeu opérationnel s’élargit aux dimensions suivantes, compte tenu de leurs interactions permanentes avec les processus d’exploitation de l’entreprise au quotidien : -- L’intégralité des enjeux associés aux processus et activités externalisés : • sous-traitance de tout ou partie d’un cycle d’exploitation (production, stockage, livraison, retraitement, destruction), • sous-traitance de tout ou partie d’un cycle client (plateforme téléphonique), • sous-traitance de tout ou partie d’un cycle support (comptabilisation des opérations, R&D, développement informatique, etc.), • sous-traitance de tout ou partie d’enjeux sociaux (recrutement, formation), • etc. -- L’intégralité des enjeux associés à la problématique des fraudes internes et externes.
64
LA NOTION DE RISQUE OPÉRATIONNEL
-- L’intégralité des enjeux associés aux problématiques de la conformité (conformité des produits et des services avec la législation, le droit en vigueur, les pratiques opérationnelles internes, etc.). -- L’intégralité des enjeux opérationnels associés aux risques informatiques. -- L’intégralité des enjeux opérationnels associés aux risques juridiques. -- L’intégralité des enjeux opérationnels associés aux risques sociaux. -- L’intégralité des psychosociaux.
enjeux
opérationnels
associés
aux
risques
-- Etc. Bref, le risque opérationnel couvre, globalement, tous les processus opérationnels, métiers, fonctionnels, organisationnels et d’exploitation de l’entreprise. Au quotidien, et en substance, tout ou presque peut être source de concrétisation d’un risque opérationnel, et/ou peut-être considéré comme tel. Nous vous proposons une méthode spécifique d’identification des enjeux opérationnels, au titre de grandes familles d’enjeux à considérer prioritairement.
Délimiter le périmètre initial des risques opérationnels peut se structurer autour de quatre grandes thématiques à questionner : l’infrastructure de l’entreprise, ses cycles d’exploitation, ses cycles commerciaux et ses cycles dédiés aux activités support. Cela revient in fine à exprimer l’idée initiale que tout ou presque peut être considéré comme un risque opérationnel ! Il appartient en conséquence à chaque organisation, au-delà de l’existence éventuelle d’une définition dogmatique de l’enjeu, à définir individuellement ce qui constituera pour elle, un risque opérationnel.
Tout - ou presque - peut être considéré comme un risque opérationnel dans l’entreprise. Il appartient à chaque entreprise de définir, au cas par cas, les risques qui seront considérés comme des risques opérationnels et ceux qui seront exclus du périmètre d’intervention. Car n’importe quel risque peut, directement ou indirectement, traduire une activité courante de l’organisation dans son exploitation courante, avec impact direct ou indirect vers le client, et ce quel que soit le prisme d’analyse, de détection ou de traitement du risque. Nous vous conseillons en conséquence dans votre réflexion première d’appréhension de l’enjeu 65
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
des risques opérationnels d’adapter une démarche de type « processus » puis de systématiser la lecture des enjeux opérationnels à l’appui d’un inventaire exhaustif et rigoureux des pratiques opérationnelles effectivement en présence dans l’organisation, avant de délimiter l’éventail des enjeux à considérer prioritairement.
Un impératif avant toute autre chose : faire l’inventaire de l’existant Afin d’identifier au mieux et de la manière la plus exhaustive possible les multiples risques opérationnels dans l’entreprise (et aider à leurs identifications et déterminations précises !), nous vous conseillons de commencer par initier la démarche d’identification des risques opérationnels sur la base d’un inventaire déclaratif et exhaustif de l’existant opérationnel dans l’entreprise. Pour ce faire, nous vous conseillons de réaliser les actions suivantes : -- Collecter l’intégralité d’éventuels signes précurseurs témoignant de l’existence de risques opérationnels déjà expérimentés : • réclamation clients, • insatisfactions salariés, • plaintes fournisseurs, • expressions ou remarques négatives des tiers, quels qu’ils soient : banquiers, assureurs, concurrents, partenaires, prospects, anciens salariés, • etc. -- Réaliser des audits et des visites au sein de l’organisation : inspection, visites de sites, visites clients, visites fournisseurs, etc., en collectant la parole exprimée. -- Collecter les incidents, dysfonctionnements ou anomalies rencontrés au sein de l’entreprise, ayant engendré un coût du risque pour l’organisation, en lien avec ses activités opérationnelles. Par exemple : • pertes liées à un défaut perçu par le client (qualité, délai
), • pertes liées à une mauvaise gestion des actifs (stocks), • pertes liées à une rupture opérationnelle (approvisionnement, stock, chaîne), 66
LA NOTION DE RISQUE OPÉRATIONNEL
• pertes liées à une mauvaise organisation ou gestion (données, informations), • etc. -- Identifier et élaborer une cartographie des processus en vigueur dans l’entreprise, traduisant le fonctionnement opérationnel de l’organisation : • par service, par département, par entité, par unité opérationnelle, par entité organisationnelle (qui fait quoi, quand, pourquoi, comment…), • par processus, • par sous-processus, • par mode opératoire (work-flows, schéma de flux). -- Identifier et qualifier les processus et sous-processus critiques pour l’organisation, nécessitant d’identifier, de comprendre et de maîtriser au mieux les risques opérationnels en présence.
À l’issue de ce travail d’inventaire, vous vous retrouvez confronté… à la multitude ! Des milliers de risques opérationnels ont été identifiés, collectés, recensés et qu’il faudra critériser ! Il est alors nécessaire de déterminer, de manière collégiale, les signes précurseurs, les dysfonctionnements, la structuration des processus et 67
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
procédures critiques que l’entreprise va souhaiter considérer en priorité dans son travail de maîtrise des risques opérationnels. Or, et nous l’avons déjà exprimé, l’enjeu de la multitude des risques à traiter se pose. Plusieurs milliers de risques individuels seront à traiter. Il sera donc essentiel de collecter de manière exhaustive les principaux risques opérationnels à considérer dans un premier temps. Face à la diversité des risques individuels, nous vous conseillons de définir, pour chaque risque identifié, un degré de mesure de l’enjeu en présence, afin de permettre de prioriser les actions et déterminer ainsi les risques prioritaires à considérer. L’une de nos publications pourra vous aider en ce sens dans cette démarche.
Il sera nécessaire de prioriser les risques opérationnels à considérer au titre des processus critiques de l’entreprise, compte tenu de la diversité et du volume potentiel des enjeux en présence dans l’organisation. Pondérer et critériser les risques individuels peut utilement y contribuer. La notion des risques opérationnels nécessite donc de déterminer avec précision le périmètre éligible et la définition précise de ce que vous considérerez comme étant – ou non – un risque opérationnel qui sera à considérer. Une approche maximaliste et exhaustive est à considérer de prime abord, avant d’en déterminer les axes critiques et prioritaires à traiter. Pour résumer, tout risque pourra logiquement être considéré comme un risque opérationnel. À vous de définir simplement ce qui ne sera pas un risque opérationnel, et de considérer tous les autres en tant que tels. Par contre, il sera impératif, au-delà du devoir d’inventaire, de limiter les enjeux essentiels à considérer dans cette réflexion destinée à réduire le coût du risque opérationnel dans l’entreprise.
Définissez avez précision les risques qui ne seront pas considérés comme des risques opérationnels. Il est plus simple de définir en la matière ce qui n’est pas, et non pas ce qui est, afin de délimiter le spectre des risques opérationnels à considérer en tant que tels.
68
LA NOTION DE RISQUE OPÉRATIONNEL
Une nouvelle fois, nous vous conseillons d’appréhender la définition des risques opérationnels de la manière la plus simple et pragmatique possible : -- Un risque opérationnel est un risque dont votre client subit, directement ou indirectement, la concrétisation, à plus ou moins longue échéance. -- Un risque opérationnel traite d’enjeux directement ou indirectement liés aux multiples cycles d’exploitation de l’entreprise, quels qu’ils soient. Maintenant que nous avons identifié plus précisément cette notion de risques opérationnels, abordons dès à présent les principales thématiques initiales à considérer, afin de les maîtriser au mieux.
69
Chapitre 2 Infrastructure, accès, sécurisation Le premier point d’intérêt que je vous propose de considérer au titre des risques opérationnels « classiques » résulte de la problématique de l’infrastructure, de ses accès et, d’une manière générale, des enjeux associés à la sécurisation de l’outil de travail de l’entreprise. C’est très souvent grâce à ce premier point d’entrée et de confrontation avec les risques que l’entreprise appréhendera de la manière la plus efficace ses risques opérationnels. Toute entreprise va, en première instance, devoir sécuriser ses infrastructures physiques. Cette obligation sécuritaire des infrastructures utilisées, mises en oeuvre ou déployées par l’organisation s’impose à plusieurs titres : -- sécurisation physique des installations (prévention des dangers directs ou indirects susceptibles d’altérer, de dégrader, de restreindre ou de détruire, de manière totale ou partielle, permanente ou temporaire, les sites, outils et équipements de l’organisation, par cause interne ou externe) ; -- sécurisation des personnels sur site ou à proximité des sites exploités (préservation de l’intégrité physique et morale des équipes sur leur lieu de travail, ou en proximité du lieu de travail ou d’opérations), en tous lieux d’espace et de temps ; -- sécurisation opérationnelle des actifs meubles ou immeubles utilisés par l’entreprise (préservation des actifs patrimoniaux de l’entreprise, afin d’en assurer la pérennité patrimoniale et d’usage, mis à la disposition de l’entreprise) ; 71
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- respect des obligations réglementaires en matière de sécurité des personnes et des biens (maîtrise des obligations afin d’assurer la conformité des installations, des équipements et des outils utilisés aux lois et règlements en vigueur, dans le respect de la personne humaine, de l’environnement, de la responsabilité sociale et sociétale de l’entreprise, et des responsabilités associées du dirigeant au titre de l’obligation de sécurisation des salariés et de la préservation de l’environnement sur le lieu de travail) ; -- maintien en conditions opérationnelles des activités, produits et services réalisés par l’entreprise, dans le cadre de la réalisation de son objet social (préserver le fruit des activités réalisées, destinées aux clients, prospects, partenaires, fournisseurs, tiers, etc.). Il est parfois bon de le rappeler, audelà de toute autre contingence ! Bien évidemment, la sécurisation des personnels constitue la première grille de lecture à considérer prioritairement, au titre notamment des obligations sociales et sociétales relatives aux contraintes de type EHS (Environnement, Hygiène, Sécurité) et des éléments « métier » identifiés au titre du Document Unique dans le cadre de la prévention des risques professionnels des salariés. Cet axe de travail doit constituer la priorité n° 1 des préoccupations du chef d’entreprise et des cadres responsables lorsqu’est abordée la question des risques opérationnels en entreprise.
La sécurisation physique des personnes doit constituer la priorité n° 1 des dirigeants dans leur réflexion sur les risques opérationnels au sein de l’entreprise. Cette sécurisation des infrastructures physiques s’impose à tout dirigeant à plusieurs titres : obligation de mise en sécurité des salariés sur le lieu de travail (absence de mise en danger, obligation de sécurisation et de mise en oeuvre des moyens adaptés à la réalisation de la mission), sécurisation du patrimoine de l’entreprise (patrimoine mobilier et immobilier pérenne dans l’entreprise) ; maintien en conditions opérationnelles des processus de l’entreprise (à l’appui des actifs mis à disposition par l’actionnaire, utilisés et disponibles). Il apparaît essentiel de piloter la lecture initiale des risques opérationnels au titre de la mise en sécurité absolue des personnes et des biens. Les enjeux associés au maintien en conditions opérationnelles des processus 72
INFRASTRUCTURE, ACCÈS, SÉCURISATION
d’exploitation à destination des clients doivent être considérés en seconde lecture.
Chaque dirigeant doit mettre en oeuvre une politique de sécurisation des personnes et des biens au sein de l’entreprise. La pérennisation de l’organisation s’appuie avant tout sur la sécurisation des personnels et des actifs critiques de l’entreprise, dans le respect des lois et règlements en vigueur, avant toute autre chose.
73
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Toute démarche de sécurisation des infrastructures de l’entreprise doit donc pouvoir s’appuyer sur une démarche méthodologique robuste qui peut se résumer de la manière suivante :
Étape 1 : Identification exhaustive des infrastructures de l’entreprise Nature, dimensionnement et destination des locaux immobiliers détenus, utilisés, loués ou mis à la disposition de l’entreprise : • siège social ; • succursales, points de vente ; • locaux commerciaux, représentation ; • filiales en France ou à l’international ; • site de production ; • site de transformation ; • site de stockage, site d’entreposage ; • site de traitement et de gestion logistique ; • centre de recherche et développement ; • centre de services, centre supports partagés ; • etc. La première démarche à effectuer consiste à disposer, en permanence et en temps réel, de la liste exhaustive de l’intégralité des sites physiques d’infrastructures de l’entreprise susceptibles d’exister, de loger des actifs 74
INFRASTRUCTURE, ACCÈS, SÉCURISATION
matériels ou immatériels appartenant à l’organisation, et où se situent des salariés, conjoints, clients, sous-traitants, fournisseurs, partenaires, tiers, etc. Cet impératif de connaissance s’impose à chaque entreprise, sans exception. Seuls le dimensionnement et la complexité de l’organisation peuvent rendre plus complexes cette identification exhaustive et impérative. Combien de fois des dirigeants ont-ils découvert, au hasard d’un accident ou d’un incident, l’existence d’actifs, de salariés ou d’activités au détour d’un espace géographique dont ils ignoraient jusqu’à l’existence ? Lorsque cet inventaire exhaustif des sites est réalisé, la grille de lecture adossée à la notion d’actifs – et de leur classification – s’impose.
Étape 2 : Identification exhaustive et classification des actifs de l’entreprise Nature, dimensionnement et destination (usage) des actifs corporels et incorporels de l’organisation : • équipements, machines outils, outils, machines, matériels ; • matériels de stockage (racks, échelles, dispositifs d’automatisation et de traçabilité
) ; • matériels de transport (véhicules, matériels roulants, transpalette, gerbeur, remorque, porteur, camion, tracteur, etc.) ; • mobilier (bureau, tables, armoires, racks, etc.) ; • moyens informatiques et bureautiques (fixes, portables, serveurs, routeurs, etc.) ; • moyens de télécommunication (téléphones fixes et portables, smartphones, visioconférences, infrastructure informatique…) ; • actifs physiques associés à la « connaissance » : archives, documentation, dossiers clients, éléments de comptabilité, pièces comptables, historique d’activité client, fournisseurs, dossiers salariés, fiches de paie, documents sociaux, documents gouvernance (comptes rendus d’instances, ordres du jour, cahiers de présence, activités sociales et syndicales, CE, DP, CHST, CODIR, COMEX, Conseil d’administration, etc.) ; • actifs incorporels : licences, brevets, marques, droits, actifs détenus en propriété intellectuelle, etc. ; • signalétique ; • etc. 75
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Cette classification des actifs doit être réalisée de la manière la plus précise possible et l’inventaire associé doit garantir la traçabilité des actifs identifiés au titre de la classification. Notamment, de nombreuses entreprises perdent la trace des actifs par défaut de gestion de stocks d’actifs, de traçabilité suite à mobilité interne, etc. L’objectif de cette action de classification des actifs de l’entreprise consiste, pour l’essentiel, à identifier l’existant physique, matériel et incorporel des actifs d’infrastructure de l’entreprise, afin d’assurer la meilleure traçabilité aux actifs opérationnels de l’organisation. En complément de cette classification des actifs, il peut être judicieux de critériser les actifs selon trois qualificatifs : -- les actifs critiques, dont la sécurisation sera considérée comme essentielle et prioritaire ; -- les actifs importants, dont la sécurisation interviendra en phase 2 (après le traitement effectif de la sécurisation des actifs critiques) ; -- les actifs autres, dont la sécurisation interviendra en phase 3, à l’issue des deux précédentes. La critérisation des actifs peut être judicieusement réalisée lors de la phase de classification des actifs, afin de gagner en efficacité lors de la mise en oeuvre des plans de sécurisation et de secours des actifs d’infrastructure.
Pour une entreprise utilisant plusieurs sites à même vocation, certains lieux pourront être considérés comme « critiques », alors que d’autres seront qualifiés « d’importants ». De la même manière, certains actifs pourront être critiques, et d’autres pas, même s’ils sont peut-être de même nature : un serveur informatique, un routeur particulièrement sensible, etc. La notion de criticité de l’actif doit être attachée à sa fonction d’utilité, au-delà de sa nature propre. La criticité d’un actif doit se déterminer à l’appui de sa fonction d’utilité, pas uniquement sa nature.
76
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Étape 3 : Classification et valorisation des actifs immobiliers et mobiliers, corporels et incorporels de l’entreprise L’identification et la classification des actifs critiques peut être réalisée selon plusieurs critères : • valeur brute d’acquisition (valeur nominale du bien acquis : coût historique) ; • valeur d’usage (valeur de marché : Fair Market Value ou valeur dite Blue Book) ; • coût de remplacement de l’actif en cas de dégradation ou de destruction temporaire ou permanente ; • ancienneté (année d’acquisition) ; • nombre d’années d’usage restant disponibles (vie technique) ; • criticité de la fonction d’utilité de l’actif (à quoi sert l’actif ?) ; • difficulté à remplacer l’actif (rareté, cherté de l’actif, disponibilité, coût) ; • latence de remplacement de l’actif en cas de besoin (durée de la réparation, du remplacement, du renouvellement ?) ; • contraintes particulières associées à la réparation, au remplacement ou à la substitution de l’actif ; • capacité et difficultés techniques, organisationnelles pour remplacer l’actif.
opérationnelles
ou
L’étape de valorisation des actifs et de leur classification s’appuie très souvent sur la capacité de l’entreprise à classifier de manière fine chacun de ses actifs, car elle participe à la qualification de la criticité – ou non – de l’actif de l’infrastructure considérée. Parfois, il sera inutile de chercher à valoriser l’actif, si cela ne sert pas à grand-chose. Afin de réaliser ce travail d’inventaire, plusieurs démarches peuvent être réalisées et leurs résultats doivent être croisés, afin d’aboutir à une classification et une critérisation cohérentes : -- données comptables : base de données bilancielles (inventaires des actifs incorporels, corporels et financiers détenus par l’entreprise) ; -- données d’investissement : base reprenant investissements réalisés par l’entreprise ; 77
l’historique
des
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- liste déclarative : liste des actifs produite par les salariés eux-mêmes (par département, service, unité), reflétant l’exhaustivité des actifs corporels, incorporels et immobiliers utilisés ; -- liste déclarative par processus : liste des actifs mobilisés au titre des processus opérationnels de l’entreprise (fabrication, stockage, livraison, saisie, recouvrement, etc.). Amorcer ces travaux d’inventaire des actifs à partir de plusieurs démarches conjointes permet de croiser les résultats de différentes natures et renforcer l’exhaustivité des actifs concernés, la traçabilité des actifs et leurs degrés et fonctions réelles d’utilité, relatifs et absolus. Entre la valeur comptable d’un outil obsolète calculée par les services financiers, la rareté d’un outil totalement essentiel à un processus métier et la fréquence de son utilisation par de multiples processus, la valorisation et la classification de l’actif peut être radicalement différente !
Multiplier les démarches d’inventaires : données comptables, politique générale d’investissements, liste d’usage des salariés, approche par les processus.
Un actif peut devenir critique en fonction de l’auteur de l’inventaire ! Soyez vigilant dans la réalisation de l’inventaire des actifs d’infrastructures, afin de bien critériser la fonction d’utilité des actifs de manière pragmatique et non dogmatique. La zone de confort des utilisateurs doit être remise en perspective à la lumière de la fonction d’utilité réelle (et non vécue par l’acteur) de l’actif considéré. La plus grande vigilance s’impose dans la compréhension de la fonction d’utilité réelle d’un actif. Un salarié qui utilise au quotidien un équipement peut le considérer comme critique. À l’échelle de l’entreprise, l’actif en question sera peut-être valorisé différemment
Attention à ne pas surestimer (ni sous-estimer d’ailleurs) les actifs, expression de la zone de confort de leurs utilisateurs. Ce travail d’inventaire doit donc être réalisé de plusieurs manières, et pas uniquement à l’appui exclusif des utilisateurs, bien au contraire
Ce travail d’inventaire a également pour vertu d’accroître la traçabilité des actifs (profitez-en pour marquer les actifs et renforcer leur détermination formelle !) et affirmer la responsabilisation individuelle des salariés. 78
INFRASTRUCTURE, ACCÈS, SÉCURISATION
La détention ou l’usage d’un actif peut conduire certains salariés peu soigneux à changer de comportement, simplement à l’appui d’une affectation ou d’une identification plus formelle de la mise à disposition d’un actif ou de son caractère éventuellement critique et reconnu par l’entreprise. Au-delà des travaux d’inventaire de l’existant, de la classification et de la valorisation des actifs d’infrastructure de l’entreprise, quelles que soient leurs natures, il peut également apparaître judicieux de s’interroger simplement à l’appui d’un questionnement trivial mais efficace.
Identifier les risques opérationnels associés à l’infrastructue de l’entreprise revient à répondre à quelques questions simples : où sont les actifs de l’entreprise ? Quels sont les actifs critiques ? Quelle est leur valeur d’usage, de remplacement, ou de valeur résiduelle ? Sont-ils sécurisés ? Contre quoi ? À l’issue de ces actions d’inventaire, l’entreprise est à même de bâtir son identification exhaustive et critique de ses actifs immobiliers, mobiliers et incorporels et de les critériser sur une base cohérente et crédible. À l’appui de cet inventaire des actifs dédiés « infrastructure », il y aura ensuite lieu d’identifier les dangers susceptibles de remettre en cause leur pérennité, par degré de criticité. Enfin, la question prioritaire à se poser face aux enjeux d’infrastructures peut être résumée de la manière suivante : -- qui à accès à quoi ? (gestion des accès, délégation aux accès, capacité d’utilisation, formation, pour tous types d’actifs : immobiliers, mobiliers, corporels, incorporels, données, etc.) ; -- quand ? (gestion de l’accessibilité, procédures anti intrusion, dispositifs de traçabilité des accès et des utilisations : qui a utilisé quoi, où, quand ?) ; -- comment ? (sécurisation des sites, des actifs de toute nature (corporels, incorporels, données, etc. ) : technologies, accessibilité, traçabilité des accès, des intrusions, etc.).
79
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
De la sécurisation des infrastructures Face aux risques opérationnels identifiés au titre de l’infrastructure de l’entreprise et de ses actifs, il convient de questionner le rapport au risque de l’organisation et définir, de manière formelle et pragmatique, la meilleure stratégie à mettre en oeuvre afin de sécuriser les actifs et les infrastructures utilisés par l’entreprise. Nous rappelons tout d’abord qu’il n’existe pas de solution optimale de couverture des risques en entreprise. Il n’existe que la réponse adaptée à l’entreprise elle-même, compte tenu de son expérience du risque, de sa culture, de sa volonté stratégique, politique, économique ou opérationnelle. Classiquement, nous avons précisé dans une précédente publication qu’il existe six stratégies de maîtrise des risques en entreprise : -- la stratégie d’évitement (le risque opérationnel n’est pas pris, tout simplement) ; -- la stratégie de contournement (le risque A est évité par prise du risque B) ; -- la stratégie d’acceptation (le risque est accepté tel quel, ainsi que son coût) ; -- la stratégie d’acceptation avec réduction (le risque est accepté mais son coût est réduit) ; -- la stratégie de réduction (le risque est réduit à néant, bien que le risque zéro n’existe pas) ; -- la stratégie de transfert (le risque est transféré à tiers via la vente, le refinancement ou l’assurance). Ces différentes stratégies sont précisées en détail dans un ouvrage précédent4.
Il existe six stratégies différentes de maîtrise des risques dans l’entreprise : chacune de ces six possibilités existe au titre de la maîtrise des risques opérationnels.
4. Cf. La gestion des risques en entreprise, GERESO Édition, Le Mans, 2011.
80
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Toute entreprise doit donc au préalable définir sa propre « politique risque », et mettre en œuvre sa propre démarche volontariste de maîtrise du risque considéré et de la limitation de l’impact du coût du risque induit, en cas de survenance. Classiquement, le risque zéro n’existe pas. Chacune des six stratégies présentées peut être déployée au titre des risques opérationnels associés à l’infrastructure et à la sécurisation des actifs de toute nature. Prenons quelques exemples :
Exemple R1 : Risque d’inondation d’une salle informatique où sont logés plusieurs actifs critiques (serveurs de données critiques ; données confidentielles, etc.) Stratégie d’évitement : pour que le risque soit évité, il faut déménager la salle informatique et l’installer dans une zone géographique et un espace physique certifiés non inondables (localisation de la salle dans un immeuble, à un étage élevé ; localisation de l’actif dans un site éloigné des zones maritimes ou exposées au risque de débordement par crue d’un cours d’eau ; actif positionné dans une zone d’insensibilité à d’éventuelles intempéries remarquables, absence de circuit d’eau dans les locaux concernés, imperméabilité démontrée, etc.). Cette stratégie d’évitement peut engendrer la fabrication de nouveaux risques, et conduit in fine à une stratégie de contournement (ex : inondation par le sol évité mais contourné par des risques d’infiltration par les toits !). Stratégie de contournement : le risque d’inondation suite à intempéries ou crues peut être évité en relocalisant la salle dans un étage supérieur mais le risque d’inondation par fuite d’un circuit d’eau ou du toit demeure. Très souvent, les stratégies d’évitement sont en fait des stratégies de contournement, le risque initial étant contourné par l’exposition à un nouveau risque, jugé plus maîtrisable. Stratégie d’acceptation : le risque d’inondation est accepté tel quel par l’entreprise. En conséquence, aucune action ni ressource particulière n’est mobilisée pour lutter contre ce risque. Les stratégies d’acceptation sont complexes car elles consistent à exprimer une acceptation par défaut du danger, ce qui peut être compliqué à justifier en cas de survenance du point de vue d’un salarié, d’un client, ou d’un actionnaire. Appliquer
81
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
une stratégie d’acceptation ne constitue pas une solution simple, contrairement aux apparences. Stratégie d’acceptation avec réduction : le risque est accepté mais il est réduit en installant, par exemple, des planchers permettant de surélever les matériels et les circuits d’alimentation de quelques mètres (plancher hors sol). Stratégie de réduction : la salle informatique est intégralement sauvegardée en temps réel, permettant la réplication immédiate, permanente de l’intégralité des données, outils et processus dans deux, trois, voire quatre autres sites distincts protégés au plus haut niveau de sécurité anti inondation. Stratégie de transfert : l’entreprise ne gère plus de salle informatique : elle vend ou sous-traite intégralement la maîtrise de ce risque aux tiers en confiant sa salle informatique (ou les actifs considérés) à un tiers de confiance qui, lui, assumera le risque. Les autres stratégies de transfert peuvent classiquement s’appuyer sur des solutions purement assurantielles (les locaux sont assurés).
Exemple R2 : Dégradation involontaire d’une chaîne de production (ex : un cariste « loupe son coup » et endommage par inadvertance l’amorce d’une chaîne de production ou de conditionnement, rendant indisponible le processus opérationnel) Stratégie d’évitement : le processus opérationnel interdit l’accès physique d’un équipement à risque à proximité d’une chaîne de production, engendrant une refonte des processus opérationnels d’approvisionnement de la chaîne. Par exemple, le risque « endommagement du tunnel d’entrée des produits par un transpalette » disparaît). Stratégie de contournement : l’approvisionnement n’est pas réalisé à l’appui de l’équipement risqué A, mais par un autre moyen technique, moins risqué. Stratégie d’acceptation : le risque est accepté tel quel par l’organisation, qui assume le risque d’indisponibilité (et les coûts associés, directs ou indirects), en cas de survenance. 82
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Stratégie d’acceptation avec réduction : le processus opérationnel est refondu, imposant à plusieurs acteurs d’agir afin de réduire le risque de dégradation éventuelle (personnel à proximité de la chaîne qui coordonne l’action de chargement de la chaîne, dédoublement des employés à la manoeuvre, séparation des tâches, etc..). Stratégie de réduction : le processus opérationnel interdit le débattement de l’équipement lui permettant éventuellement d’entrer en contact avec l’obstacle (détection de présence, blocage physique des équipements, limitation des débattements, installation de portiques physiques interdisant l’accès à la ligne de production, etc.). Stratégie de transfert : l’approvisionnement est confié à un tiers qui assume le risque opérationnel (sous-traitance du processus d’approvisionnement physique sur la ligne de production ou d’approvisionnement).
Exemple R3 : Intrusion d’une personne non autorisée dans un site sensible de l’entreprise (accès aux baies de brassage informatique, à des données ou actifs physiques critiques, etc.) Stratégie d’évitement : personne n’est autorisé à accéder au site, quel que soit le motif. L’espace est définitivement condamné, tant d’un point de vue physique que logique. Aucun accès n’est rendu techniquement possible (niveau de sécurité rendu impossible dans la pratique, à l’exception des États eux-mêmes). Stratégie de contournement : seule une partie de l’espace est sécurisée au plus haut niveau. L’accès aux locaux et aux étages est filtré par système de cartes ou autres, mais le risque spécifique d’accessibilité demeure. Stratégie d’acceptation : le risque est pris « tel quel » et ses conséquences acceptées, en cas de survenance effective du risque. Stratégie d’acceptation avec réduction : quelques dispositifs de sécurisation et de pilotage des accès sont déployés, sans atteindre le niveau de réduction à zéro du risque : contrôle d’entrée, dispositifs de sécurisation unique (badge, contrôle biométrique, codage, gestion limitative des horaires et des profils autorisés, etc.).
83
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Stratégie de réduction : les accès sont sécurisés par les dispositifs disponibles de limitation d’accès les plus robustes et les plus fiables : contrôles biométriques (empreintes digitales, reconnaissance de l’iris, de la voix) + systèmes de sas filtrants multiples (séquençage de doubles sas blindés) + accès nécessitant la réalisation d’une séquence d’authentification et d’identification plurielle (plusieurs personnes pour ouvrir l’accès en même temps), aléatoire (dispositifs d’identification aléatoires), individuelle (codes, mots de passe renouvelés et sécurisés), cryptée, etc. La multiplication des outils, méthodes et démarches de sécurisation physique et logique rend la réduction du risque quasiment possible à zéro, en l’état actuel des connaissances et des technologies disponibles. Seule se posera la question du coût et de l’opportunité à déployer une telle stratégie ! Stratégie de transfert : l’enjeu est externalisé à un tiers de confiance qui prend en charge le processus et devient ainsi « propriétaire » du risque d’intrusion. L’enjeu de la sécurisation des infrastructures et des actifs se pose donc à la lumière : -- de la stratégie de couverture des risques que souhaite effectivement déployer l’organisation ; -- du coût d’opportunité à faire – ou à ne pas faire – la mise en oeuvre de l’action ; -- de la valorisation du risque résiduel et du coût du risque net associé à l’enjeu opérationnel.
Au-delà des actifs, ne pas oublier la dynamique des flux En complément de ce travail d’inventaire des actifs en présence et des moyens de les sécuriser au mieux le cas échéant, et ce quelles que soient leurs natures et selon leur criticité, nous vous conseillons de réaliser en même temps que l’inventaire physique des actifs d’infrastructure, l’inventaire des flux présents dans l’entreprise. Il s’agit des flux susceptibles d’irriguer l’entreprise, quelle que soit la nature de ces flux, en fonction de leur point d’entrée et de leur point de sortie. 84
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Ainsi, parmi les principaux flux à identifier et à sécuriser, transitant à travers ou via les actifs physiques ou virtuels de l’entreprise : -- flux électrique (gestion de l’énergie électrique : entrée, sortie) ; -- flux physique (gestion des flux d’eau ou d’air ; entrée, sortie – gestion des corps étrangers : poussières, outils, objets, pollution
entrée, sortie) ; -- flux des personnes physiques (entrée, sortie du personnel, des intérimaires, des sous-traitants, des fournisseurs, des clients, des instances, des stagiaires, des candidats, des visiteurs prévus et imprévus), etc. -- flux des matériels roulants (entrée, sortie des véhicules de toute nature) ; -- flux énergétique (gestion du chauffage, de la climatisation, lumière (entrée, sortie)) ; -- flux de communication (gestion des flux télécoms, informatique) ; -- flux des matières premières (entrée, sortie en approvisionnement, en stock, en production…) ; -- flux des marchandises (entrée, sortie en approvisionnement, en stock, en transfert…) ; -- flux des stocks de produits finis (entrée, sortie) ; -- flux des stocks de produits semi-finis (entrée, sortie) ; -- flux des stocks de toute nature « autres » (consommables, périssables) ; -- flux des déchets (entrée, sortie) ; -- flux des documents papier (archivage, destruction, collecte, stockage…) ; -- etc. Bâtir une cartographie des flux de toute nature sera riche de sens dans l’identification des dangers sources des risques opérationnels dans l’entreprise. Nous vous conseillons d’élaborer cette réflexion en parallèle de l’identification des actifs vue précédemment, afin de coupler deux notions essentielles et complémentaires dans toute démarche d’identification des risques opérationnels : approche par les stocks (stocks d’actifs de toute nature) et approche par les flux dans l’identification des dangers en présence, donc des risques opérationnels potentiels à considérer.
Lors de l’audit de l’existant de l’entreprise, ne pas oublier, au-delà de l’identification et de la critérisation des actifs en présence, l’existence et 85
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
le traitement des différentes natures de flux multiples et variés présents dans l’entreprise : flux énergie, matière, communication, données, stocks, personnes, matériels, équipements, etc. Cette double lecture « stock/flux » apparaît à l’usage extrêmement riche dans l’identification des risques opérationnels à considérer au titre de la sécurisation des infrastructures et des accès à l’entreprise.
Réaliser un inventaire physique exhaustif des actifs immobiliers, mobiliers, corporels et incorporels de l’entreprise. Critériser chaque actif en fonction de son degré de criticité et d’utilité. Coupler cet inventaire à l’identification d’une cartographie des flux de toutes natures présents dans l’organisation. Toujours débuter par la sécurisation des personnes, puis celles des biens au titre de l’infrastructure.
Identification des dangers À l’appui de l’inventaire exhaustif des actifs et des flux en présence dans l’organisation, l’exercice d’identification des risques opérationnels classiques à considérer par l’entreprise consiste à déterminer en premier lieu la liste des dangers en présence susceptibles de conduire à la concrétisation des risques opérationnels prédéfinis. Ce travail doit naturellement accompagner la réflexion dans la maîtrise des risques opérationnels : quels sont les dangers susceptibles de favoriser la concrétisation potentielle des risques identifiés ? Identifier un danger revient, de manière assez triviale, à essayer de répondre à la question suivante : qu’est-ce qui pourrait altérer, dégrader ou remettre en cause l’intégrité d’un actif, d’une personne ou d’un flux, et qui pourrait affecter économiquement, directement ou indirectement, à plus ou moins long terme, l’entreprise, en concrétisant un risque ? Afin de stimuler l’imagination dans cette phase d’identification des dangers, développer la créativité de chacun et enrichir le questionnement, nous vous conseillons de vous interroger de la manière suivante, à l’appui d’une question qui peut apparaître simple, voire simpliste à première lecture, mais qui va s’avérer riche de sens et de valeur à l’usage :
86
INFRASTRUCTURE, ACCÈS, SÉCURISATION
-- Qu’est-ce qui est et pourrait ne pas être ? Exemple : il y a un flux électrique permettant de faire fonctionner un serveur informatique. Que se passe-t-il en cas d’absence de ce flux électrique ? -- Qu’est-ce qui n’est pas et pourrait être ? Exemple : il n’y a pas d’eau dans cet espace de stockage. Que se passe-t-il en cas de présence de 30 cm d’eau à cet endroit ? Mêler l’identification, la localisation et la critérisation des actifs avec les flux en présence, à l’appui du double questionnement précédent permet d’identifier un nombre très important de dangers potentiellement en présence, sources de multiples risques opérationnels à considérer.
Identifier un danger au titre des risques opérationnels consiste à se questionner sur ce qui pourrait être (et ne devrait pas être), ou sur ce qui ne pourrait pas être (et devrait être), et en mesurer l’impact sur l’organisation. Comment et pourquoi l’existence de ce danger participe-til à la concrétisation du risque ? Toute la question de l’identification exhaustive des dangers résume l’enjeu de la gestion des risques opérationnels de l’entreprise dans le cadre de ses différents cycles d’exploitation ayant des conséquences sur les clients de manière directe ou indirecte. Partant du principe que tout est possible et que tout peut arriver, comment identifier ce qui pourrait arriver, et en mesurer les impacts, à l’appui de notre réflexion initiale et de notre prisme d’identification des risques opérationnels : l’existence d’impact(s) client et l’implication de processus d’exploitation ? Tout l’enjeu de la gestion des risques opérationnels consiste pour l’essentiel à identifier cet univers des possibles, quasiment infini, à les critériser et chercher à en réduire l’impact en cas de survenance, au meilleur coût préventif possible, compte tenu du contexte de pénurie des ressources existant.
Une multitude de dangers en présence À l’appui de la liste des actifs de l’entreprise déterminés précédemment et des flux en présence, une multitude de dangers est susceptible d’engendrer la concrétisation effective d’une multitude de risques opérationnels, dont nous avons balayé précédemment l’univers des possibles. 87
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Parmi les principaux dangers au titre des infrastructures physiques, et même si chaque entreprise est unique, nous pouvons citer notamment les grands enjeux de dangerosité suivants, afin de faciliter l’appropriation de la démarche : -- Existence d’événements externes susceptibles de remettre en cause la continuité d’un processus d’exploitation : • inondations (d’un site de production, de transformation ou de stockage, d’un site opérationnel, du siège, d’une représentation commerciale
), • explosions (d’un site de production, de transformation ou de stockage, d’un site opérationnel, du siège, d’une représentation commerciale
), • rupture de flux critiques, quelle que soit la cause (interne ou externe) de la rupture (approvisionnement en énergie, en eau, en télécommunications, en matières premières, en marchandises, etc.), • arrivée de flux critiques (eau, feu, matières dangereuses ou chimiques, matières premières, énergie, électricité, chaleur, humidité, etc.). -- Existence de causes internes : • toutes les causes externes précédentes peuvent être une cause interne éventuelle : rupture d’une canalisation, fuite d’eau, section d’un câble électrique ou de télécommunication, pollution chimique, etc., • maladresse d’un opérateur ou d’un acteur de l’entreprise (erreur de manipulation, vitesse excessive, mauvaise utilisation d’un actif, mauvaise maîtrise d’un geste technique, chute, malchance, etc.), • erreur humaine (inattention, fatigue, énervement, mauvaise interprétation d’une procédure, d’un mode opératoire, geste technique inadapté, erreur, omission actions inutiles, dangereuses, comportement malveillant, etc.), • défaut de conception du produit ou service utilisé (dangerosité intrinsèque de l’outil, de l’équipement, du produit, manoeuvre malaisée, délicate, dangereuse
), • mauvaise utilisation d’un ou plusieurs actifs (équipement, machine, matériels, outils), par détournement d’usage, mauvaise utilisation, erreur humaine ou malveillance. -- Défaut d’entretien ou de maintenance (équipements, outils, matériels, véhicules
) : • vétusté, 88
INFRASTRUCTURE, ACCÈS, SÉCURISATION
• corrosion, • défaillance de suivi des programmes d’entretien ou de maintenance (préventif), • non-réalisation des actions curatives prévues (réparations prévues, modifications à réaliser), • etc. -- Défaillance d’un processus ou d’un sous-processus opérationnel impactant l’infrastructure de l’entreprise (immobilier, mobilier). -- Choc physique, accident, erreur de manipulation, d’interprétation, d’action de l’acteur dans le système considéré. -- Conditions météorologiques dégradées (pluie, neige, gel, froid, chaleur, eau…). -- Événements thermiques, chimiques ou de pollution subie ou causée (surpression, corrosion, chaleur, intoxication externe, pollution). -- Facteurs humains (défaut de formation, erreur humaine, maladresse, méconnaissance, mauvaise manipulation, défaillance opérationnelle). -- Fréquence, durée ou amplitude atypique d’un événement externe ou interne : intempéries (eau, vent, chaleur), indisponibilité des équipes ou des compétences nécessaires. -- Défaillance d’un processus, d’une procédure, d’un mode opératoire (subie ou causée), toutes causes et tous objets confondus, impactant via un cycle opérationnel l’infrastructure physique ou logique de l’entreprise. -- Vol, malveillance, dégradation volontaire ou involontaire au sein d’un système. -- Incendie volontaire ou involontaire, inondations. -- Défaillance électrique ou énergétique provoquant un incendie, une inondation, une rupture de stockage, une défaillance d’un processus opérationnel, etc. -- Phénomène naturel : tempêtes, inondations, glissement de terrain, tornades… -- Etc. Compte tenu de la multitude de dangers susceptibles d’entraîner la concrétisation d’un risque opérationnel impactant les infrastructures de l’entreprise, plusieurs stratégies de réduction seront à envisager. Nous y 89
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
reviendrons en fin de partie 2. L’objectif de l’identification des dangers consiste à mesurer l’impact des points précédents sur chaque élément composant l’infrastructure de l’entreprise. Une lecture exhaustive des actifs en présence et des dangers identifiés s’impose dans la cartographie des risques opérationnels de l’entreprise au titre des risques opérationnels d’infrastructure. Une lecture complète des actifs d’infrastructure en présence dans l’entreprise (immobiliers, mobiliers, stocks, flux
) et des sources de dangers, toutes causes, s’impose à la bonne identification des risques opérationnels en présence au titre de l’infrastructure.
De la problématique particulière du contrôle des accès Parmi les principaux risques opérationnels liés aux infrastructures se pose l’enjeu des accès aux sites, aux ressources, aux équipements, aux matériels et/ou aux actifs incorporels sensibles de l’entreprise (données, fichiers, formules, etc.). Nous vous conseillons de traiter cette problématique de l’accès de manière dédiée, en tant que risque opérationnel à part entière de l’enjeu des infrastructures utilisées par l’organisation. Pouvoir accéder à une ressource physique ou logique de l’entreprise doit faire partie du questionnement essentiel que doit – ou devrait – engager tout dirigeant responsable. Il y a lieu en permanence de pouvoir répondre à une question triviale mais essentielle : qui a accès à quoi, quand, comment, et pourquoi ? Un véritable contrôle de cohérence doit pouvoir être validé en permanence afin de s’assurer que les ressources de l’entreprise, quelles qu’elles soient et notamment les ressources critiques, sont suffisamment bien protégées et sécurisées. La question des accès se pose en toute lucidité, sans tomber dans la moindre paranoïa mais avec pragmatisme. Car au-delà des espèces sonnantes et trébuchantes et des stocks de matériels sensibles, l’intégralité des actifs de l’entreprise doit être sécurisée, et leurs accès maîtrisés. Accéder à une salle blanche, à un entrepôt, à un stock de lettres chèques, à des données clients critiques ou à un brevet, n’est pas anodin…
90
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Afin de sécuriser les accès aux actifs immobiliers, mobiliers, physiques ou logiques, posez-vous simplement les questions suivantes, en essayant d’y répondre a minima deux à trois fois par an. Qui a accès à quoi ? • gestion des accès au siège de l’entreprise (existence de bureaux, de salles, d’espaces sensibles ?) ; • gestion des accès aux produits et aux services ; • gestion des accès aux données informatisées ; • gestion des accès aux informations clients (base de données commerciale, prospects) ; • gestion des accès aux stocks ; • gestion des accès aux infrastructures sensibles (salles blanches, baies de brassage, énergie, climatisation, eau, chauffage, etc.). Quand ? • horaire d’éligibilité à l’accès (définition, traçabilité) ; • quid sur les accès hors horaire (indisponibilité, back up). Vérification de la cohérence entre profil utilisateur, fonction, mission et accès autorisé(s) • est-il logique que l’acteur X ait accès aux sites Y ? • est-il justifié que l’acteur Z ait accès aux données de W ? • etc. Définir le mode opératoire d’accessibilité au site ou à la ressource identifiée : • méthode de sécurisation des sites ou de la ressource (biométrie éligible, processus opérationnel d’accès retenu ? Niveau d’inviolabilité des mots de passe, règles d’authentification contraignantes, gestion des profils autorisés, etc.) ; • gestion et détection des tentatives d’intrusion (physique, logique) ; • historisation et vérification des accès réalisés (traçabilité des accès, contrôle de cohérence). 91
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La problématique des accès pose également en filigrane la question des délégations, des autorisations et du rapport à la responsabilité et à l’autonomie dans l’exercice de ses fonctions. Ces points dépassent largement les enjeux des risques opérationnels mais ils contribuent à la réflexion et aux pratiques autorisées ou non, et ce de manière cruciale, dans le cadre de la politique risque de l’entreprise.
Sécuriser un accès consiste à savoir répondre avec pragmatisme au questionnement suivant : qui a accès à quoi, quand, comment et pourquoi ? Cet accès est-il détectable ? Est-il cohérent avec l’usage pour lequel il a été autorisé ? L’objectif du contrôle des accès consiste pour l’entreprise à pouvoir s’assurer, en permanence, que l’accès aux ressources ou sites critiques est maîtrisé et sécurisé. La sécurisation des accès aux ressources de l’entreprise, quelles qu’elles soient, constitue l’une des priorités à ne pas oublier dans toute démarche de sécurisation des risques opérationnels associés à l’infrastructure de l’entreprise. Ne pas oublier que par « ressources » seront compris tous types de ressources : ressources physiques (sites, entrepôts, produits, matériels, locaux, etc.) et ressources immatérielles (données, informations, connaissance, etc.). La guerre économique s’inscrit notamment dans l’enjeu des risques opérationnels au titre des intrusions subies ou causées par une infrastructure défaillante en raison de son contrôle d’accès. Sans tomber dans l’angélisme ni verser dans la paranoïa, la sécurisation des accès aux ressources de l’entreprise constitue un risque opérationnel d’infrastructure à ne plus négliger. Et ce, quelle que soit la ressource considérée : actif matériel (équipements, machines, stocks de produits finis, semi-finis ou en cours de production, consommables, marchandises, matières premières, énergie, informations, données, tampons encreurs, signatures électroniques, moyens de paiement, papier à en-tête, systèmes de messageries, bref
contenus de toute nature !).
Enjeu de la détectabilité Qu’il s’agisse des risques opérationnels d’infrastructure, de sécurisation des actifs ou de contrôle des accès aux ressources critiques de l’entreprise, l’enjeu de la détection du risque entrant constitue une problématique 92
INFRASTRUCTURE, ACCÈS, SÉCURISATION
majeure pour l’entreprise. Autant il est important pour l’organisation d’identifier les dangers susceptibles de fragiliser un ou plusieurs éléments de son infrastructure (dans un objectif de sécurisation permanente des personnes et des biens), autant il apparaît vital pour l’entreprise de savoir détecter le risque concrétisé au titre de ces risques opérationnels classiques. Détecter un risque consiste à mesurer la capacité d’un système organisationnel, quel qu’il soit, à déceler le risque entrant et, surtout, avec quelle latence. Détecter un vol dans un entrepôt, c’est bien. Détecter un vol six mois après l’action, c’est moins bien. L’enjeu de la détection peut s’avérer aussi important que l’action elle-même. Aussi, nous vous conseillons de systématiser votre questionnement au titre des risques opérationnels d’infrastructure et d’accès avec cette question complémentaire : comment détecter le risque identifié ?
Toujours essayer de répondre à la question de la détectabilité du danger, au-delà de son identification, notamment au titre des risques opérationnels d’infrastructure ou d’accès ; une latence trop importante à la détection nuit gravement à la santé de l’entreprise, au-delà du risque opérationnel lui-même. Certains risques d’infrastructures ou d’actifs seront détectés sans aucune difficulté : inondation d’un stock, indisponibilité d’une infrastructure informatique, défaillance d’une machine, d’un outil, etc. Par contre, certains risques concrétisés pourront, le cas échéant, être détectés après plusieurs heures, plusieurs jours, plusieurs semaines, pour ne pas dire plusieurs mois. Par exemple : -- détection d’une intrusion ou d’un vol de données dans l’entreprise ; -- détection d’une fraude (rétrocession de commission en espèces d’un salarié vers un fournisseur) ; -- détection d’un détournement d’usage d’un actif (véhicule ou matériel utilisé à des fins privées) ; -- détection d’un vol organisé sous le seuil de signification d’un niveau de stock ; -- détection d’une défaillance opérationnelle sur une chaîne de production, ou dans un processus industriel, quel qu’il soit (ex : intégration de la viande 93
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
de cheval à la place de la viande de boeuf dans un produit alimentaire, non-respect d’un mode opératoire impactant le produit final
) ; -- etc. L’enjeu de la détectabilité du risque opérationnel en matière de sécurisation des infrastructures et des actifs se pose clairement. Il convient d’y répondre au mieux, sans omettre cette dimension critique dans l’identification des enjeux à mesurer et à sécuriser au mieux. L’enjeu de la détection des risques opérationnels se pose de manière incisive, particulièrement lorsque les acteurs en charge des processus ou modes opératoires demeurent dans une certaine zone de confort ou d’habitude.
Toujours envisager les risques opérationnels sous le jour de l’enjeu de la détectabilité. Le risque existe-t-il ? Est-il critique ? Quels sont les dangers susceptibles de l’amener à se concrétiser ? Et, en pareille circonstance, peut-on détecter facilement son apparition et/ou ses impacts ? Avec quelle latence ?
94
Chapitre 3 Sous-traitants et activités externalisées Parmi les risques opérationnels critiques sur lesquels je souhaite attirer votre attention dans le cadre de cet ouvrage, figure le spectre de plus en plus élargi des activités résultant d’actions réalisées par les sociétés en sous-traitance, ou des processus ou sous-processus externalisés à un ou plusieurs tiers de confiance. La sous-traitance et l’externalisation de processus à faible valeur ajoutée constituent de véritables zones de danger pour les risques opérationnels qu’il convient de maîtriser au mieux pour l’entreprise. Ce n’est pas parce qu’une activité n’est plus réalisée par l’entreprise que les risques opérationnels ont disparu. Bien au contraire
De la maîtrise de la sous-traitance À partir du moment ou une entreprise souhaite externaliser à un tiers de confiance tout ou partie d’un processus ou d’un sous-processus opérationnel, quel qu’il soit, elle s’expose automatiquement à de nouveaux risques opérationnels. Le premier point de vigilance consiste tout d’abord à bien choisir le soustraitant à qui vous allez confier une partie de vos activités. La sélection du prestataire ou de l’entreprise sous-traitante doit être réalisée avec le plus grand soin, sur la base de critères objectifs. Parmi les principaux risques
95
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
opérationnels à maîtriser au titre de la sous-traitance, retenons les points suivants : -- risque de défaillance financière du sous-traitant sélectionné : procédure de sauvegarde, mise en redressement judiciaire, liquidation judiciaire, arrêt d’activité ; -- risque de non-réalisation des actions prévues au contrat, ou de nonrespect des conditions exprimées dans le cahier des charges ; -- risque de non-respect des conditions de réalisations des activités sous-traitées : non-respect de la législation en vigueur, non-respect des conditions de travail, dommage à l’environnement, etc. ; -- risque de dégradation de l’image de l’entreprise en cas de risque de corruption avéré chez le sous-traitant ; -- risque de dégradation de l’image de l’entreprise en cas de mauvais niveau de qualité de service impactant vos propres clients ; -- risque de non-stabilisation des processus opérationnels portés par le sous-traitant, impactant vos propres processus internes (respect des délais, de la qualité, des normes fonctionnelles ou techniques
) ; -- risque de dégradation de la performance des modes opératoires de l’entreprise, compte tenu de niveaux d’expertise technique, métier ou de pratiques disparates. Face à ces multiples risques opérationnels dus à l’action incomplète ou inadaptée des activités sous-traitées ou externalisées, nous vous conseillons de déployer le maximum de barrières de sécurité destinées à maîtriser au mieux ces risques opérationnels majeurs. Notamment, il convient au préalable d’exprimer l’exigence attendue et les moyens adaptés pour la vérifier et la contrôler. Ainsi, et pour ce faire, nous préconisons la réalisation systématique des actions suivantes : -- élaboration automatique d’un cahier des charges technique et fonctionnel détaillé précisant les activités confiées au tiers de confiance. De l’exhaustivité et de la précision du cahier des charges dépendront en grande partie la qualité d’exécution des activités confiées en soustraitance ou externalisées ; -- définition précise des indicateurs, démarches et fréquence des outils de pilotage et de suivi de l’exécution des activités sous-traitées : quels 96
SOUS-TRAITANTS ET ACTIVITÉS EXTERNALISÉES
indicateurs retenus, définis et calculés comment ? Alimentés à quelle fréquence ? -- mise en oeuvre systématique et préalable des dispositifs d’audit et de contrôle prévus, destinés à contrôler le bon respect des conditions d’exécution de l’activité sous-traitée ; -- rédaction contractuelle d’un droit de suite juridique, permettant au donneur d’ordres de pouvoir, sur simple demande, constater la situation réelle et opérationnelle des dispositifs, moyens et démarches déployés par le sous-traitant dans la réalisation de son action ; -- définition et mise en oeuvre de pénalités en cas de non-respect des conditions contractuelles de sous-traitance, tant en termes de qualité de prestations réalisées que de non-respect des dispositifs d’exécution mis en oeuvre ; -- investissements massifs au départ dans la mise en oeuvre dans les dispositifs de formation, de sensibilisation, de suivi, de contrôle et de pilotage des activités sous-traitées, afin d’assurer la meilleure qualité attendue aux activités externalisées. L’action de sous-traitance ou d’externalisation concerne historiquement des processus, sous-processus et autres modes opératoires consommateurs de ressources et offrant a priori de faibles niveaux de valeur ajoutée. D’où la volonté de sous-traiter et d’externaliser un certain nombre de tâches ou d’activités de l’entreprise. Toutefois, les risques opérationnels majeurs observés depuis ces dernières années par la quasi-totalité des entreprises sous-traitant tout ou partie d’un processus, conduisent à rappeler à chacun l’essentiel :
Sous-traiter et externaliser ne signifie pas réduire les risques opérationnels. Transférer une charge à un tiers nécessite la mise en oeuvre de processus de pilotage et de contrôle extrêmement pertinents, afin de maîtriser les innombrables nouveaux risques opérationnels qu’une telle action engendre. Externaliser des risques opérationnels revient à en créer de nouveaux !
97
Chapitre 4 Fraude interne et externe Parmi les risques opérationnels à ne pas négliger figure celui de la fraude. Un pourcentage non négligeable d’entreprises est l’objet de cas de fraude avérée, et les dispositifs actuellement mis en place apparaissent, pour la plupart, très largement sous-dimensionnés. La problématique de la fraude se pose à plusieurs niveaux en entreprise : -- la fraude interne, engendrée par les acteurs internes de l’organisation : salariés, stagiaires, intérimaires, conjoints ou amis de salariés, etc. ; -- la fraude externe, occasionnée par des tiers situés à l’extérieur de l’entreprise : pirates, hackers, escrocs, acteurs du grand banditisme, petits bricoleurs, malfrats, etc. En outre, la notion de fraude s’articule autour de plusieurs dimensions complémentaires mais différentes, même si, in fine, elle revient à peu près à la même chose pour l’entreprise qui la subit. La fraude interne ou externe peut présenter plusieurs objectifs pour ses auteurs : -- Vol, dégradation, falsification, usurpation ou utilisation frauduleuse ou détournée d’un ou plusieurs éléments d’actifs de l’entreprise : • actif corporel : équipements, matériels, outillages, consommables, • actif incorporel : brevets, licences, marques, noms, enseignes, • actif incorporel particulier : usurpation d’identité de personne morale, d’objet social, • actif circulant : stocks de matière première, de marchandises, de produits finis, 99
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
• actif financier : espèces, disponibilités, valeurs mobilières. -- Action de guerre économique à l’encontre de l’entreprise : • détournement d’image statutaire, appuyée par des rumeurs de fraude, • contrefaçon de produits ou services, commercialisés sous enseigne frauduleuse, destinée à dégrader l’image institutionnelle (piètre qualité servie), • contrebande : détournement d’objets à destination de concurrents, • espionnage industriel : détournement d’actifs stratégiques à des fins de guerre concurrentielle. Les actions de fraude, qu’elles soient internes ou externes, constituent de puissants risques opérationnels que l’entreprise doit identifier et détecter de la meilleure manière. Et contrairement aux idées reçues, voire largement répandues, l’enjeu de la fraude n’est pas l’apanage des grandes entreprises, des multinationales ou des enseignes de luxe à très forte notoriété. Pratiquement, la majeure partie des entreprises, TPE, PME, PMI et groupe font l’objet de fraudes, quelle que soit l’activité de l’entreprise, quel que soit son dimensionnement ou sa notoriété. Une étude récente précisait qu’environ 30 % des entreprises étaient impactées par la fraude. Du vol de fournitures de bureau à la veille de la rentrée scolaire aux piratages de données informatiques sensibles, du détournement d’actifs à l’escroquerie en bande organisée, de la dégradation volontaire d’un actif au vol d’un carton dans un entrepôt de banlieue, la fraude est présente partout. Il s’agit d’un risque opérationnel majeur que l’entreprise doit détecter au mieux. Là encore, l’enjeu de la détection va se poser au plus près de l’entreprise, car toute l’efficacité de la lutte contre la fraude, qu’elle soit interne ou externe, reposera sur la robustesse des dispositifs de détection mis en oeuvre par l’organisation en amont.
De la robustesse des systèmes de détection dépend la performance des dispositifs de lutte contre la fraude, qu’elle soit d’origine interne ou externe. Afin de renforcer la maîtrise du risque opérationnel de fraude interne ou externe dans l’entreprise, nous vous conseillons de débuter votre réflexion 100
FRAUDE INTERNE ET EXTERNE
grâce à l’inventaire et à la classification des actifs de votre entreprise. À partir de cet état des lieux de l’entreprise, nous vous conseillons de vous substituer à différents profils de fraudeurs internes et externes et de répondre à cette lancinante question : Si je devais voler, usurper ou détourner un actif de l’entreprise, lequel présente le plus de valeur ? La réponse va immanquablement évoluer en fonction du profil de fraudeur que vous interprétez. L’enjeu monétaire et financier fera rapidement place, en fonction des types de fraudeurs, aux problématiques des actifs corporels ou incorporels, des stocks ou consommables, voire des enjeux de guerre économique. De la même manière, il sera nécessaire d’identifier les risques de fraude les plus conséquents pour l’entreprise, avec plusieurs niveaux de lecture simultanés : -- Mesures des impacts éventuels en cas de fraude avérée : • impact(s) financier(s) de la fraude, • impact(s) stratégique(s), • impact(s) image, • impact(s) opérationnel(s), • etc. -- Moyens matériels, humains et financiers nécessaires pour réaliser la fraude, et probabilité d’occurrence associée (y a-t-il un risque pour que ce risque de fraude se concrétise un jour ?). -- Moyens de détection à envisager permettant de détecter la fraude. La lutte contre la fraude, qu’elle soit interne ou externe, constitue un risque opérationnel à ne pas négliger par l’entreprise. Même si l’objectif ne consiste pas à traquer le moindre vol de crayon, la plus grande vigilance s’impose, compte tenu de la mondialisation de l’économie et de la volonté farouche de certains acteurs émergents prêts à tout – ou presque – pour gagner des années de recherche, de développement, ou tout simplement des devises en toute simplicité apparente.
101
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La fraude interne et externe, technologique ou économique, doit devenir, pour chaque dirigeant, une préoccupation constante, sans toutefois sombrer dans la paranoïa. La vigilance et le questionnement relatifs aux dispositifs de détection à engager et la sensibilisation des équipes à l’enjeu devrait, en grande partie, suffire pour limiter ce risque opérationnel en fort devenir. Une nouvelle fois, cet enjeu n’est pas l’apanage des grandes entreprises, des sociétés spécialisées en biotechnologies ou en phase de R&D critique. Toutes les entreprises doivent se préoccuper de leurs éléments clés et actifs critiques sur lesquels reposent leurs leviers de différenciation et de pérennisation. Un risque opérationnel à ne pas négliger, donc.
102
Chapitre 5 De la conformité des opérations La question de la conformité des opérations se pose à plusieurs niveaux lorsqu’on aborde l’univers des risques opérationnels. Car être conforme, pour une entreprise, relève de plusieurs niveaux de lecture et de compréhension du concept même de conformité. La notion de conformité peut tout d’abord être considérée comme la capacité de l’entreprise à concevoir et délivrer ses produits et ses services, quels qu’ils soient, en respectant par défaut, systématiquement et en constance, les lois, décrets et obligations réglementaires qui s’imposent à eux, et qui s’appliquent. Cette notion première de la conformité dans l’entreprise s’inscrit donc plutôt dans une lecture juridique de l’enjeu. Sera jugé conforme un produit, un service ou une action en cohérence réglementaire avec l’exigence édictée par une instance supérieure, qu’elle soit locale (décret d’une mairie), régionale (décret d’une préfecture), nationale (loi, décret d’application), supranationale (règlement européen) ou internationale (réglementation internationale type OMC, par exemple). La première réflexion au titre des risques opérationnels consiste donc à considérer que l’entreprise doit, par tous moyens, respecter les réglementations législatives et prudentielles qui s’imposent à elle, sous peine, en cas d’infraction, d’engendrer plusieurs risques opérationnels : -- pénalités, amendes sanctions diverses des instances de contrôle ; -- perte de labels, de certification, d’accréditation de la personne morale ; -- restriction ou interdiction de mise sur le marché d’un produit, d’un service ou d’une prestation par défaut de conformité ;
103
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- restriction, fermeture temporaire ou définitive d’un établissement, d’un site, d’une personne morale (action en dissolution) ; -- perte de satisfaction client, dégradation de l’image institutionnelle de l’organisme ; -- mise en danger de la vie d’autrui (produit frauduleux, défectueux, etc.) ; -- multitude des risques connexes : risques stratégiques, financiers, juridiques, sociaux, psychosociaux, d’image, de réputation, de contrôle, de gouvernance, de sous-qualité, etc 5. Ce premier niveau s’inscrit également dans une lecture de la qualité de la gouvernance de l’entreprise, assurant l’intégrité des activités de l’organisation par le biais de ces instances de direction et de pilotage. La question de la conformité et de ses risques opérationnels associés s’appuie donc en premier lieu sur la notion anglo-saxonne de compliancy , relevant tant de l’éthique, de l’intégrité que du respect des lois et règlements. À ce premier niveau de compréhension de l’enjeu de conformité s’ajoute une seconde appréciation complémentaire de la dimension associée à la conformité : la conformité des biens, des prestations et des services réalisés par l’entreprise dans le respect de la promesse (contractuelle, commerciale ou marketing !) qu’elle a émise envers ses prospects et ses clients. Cette conformité des produits et des services à l’engagement pris vis-àvis des clients (ou des prospects, futurs clients) engendre également une myriade de risques opérationnels qu’il appartient à l’entreprise de maîtriser au mieux. Parmi les principaux risques opérationnels susceptibles d’être générés par une défaillance de conformité dans la réalisation des produits et services : -- Non-respect des éléments de la promesse commerciale émise envers le client : • non-respect des spécificités techniques et/ou fonctionnelles des produits et services, • non-respect des éléments constitutifs de la demande initiale du client, • non-respect des niveaux d’exigence souhaités. 5. Nous invitons le lecteur curieux à se référer aux différents ouvrages publiés par l’auteur sur l’enjeu des risques en entreprise aux éditions GERESO !
104
DE LA CONFORMITÉ DES OPÉRATIONS
-- Non-respect des caractéristiques des produits et services délivrés : • en contradiction avec les prototypes de l’offre, • en contradiction avec le contenu de l’offre commerciale émise, • en contradiction avec les besoins et demandes des clients. -- Non-respect des délais, des quantités et/ou du niveau de qualité attendu : • retards par rapport à la promesse de réalisation proposée, • quantité incohérente avec la commande émise, • niveau qualitatif perfectible des produits ou services. Ces trois atteintes à la conformité des produits et services génèrent l’émergence d’une multitude de risques opérationnels, directement liés aux enjeux précisés ci-dessus. Cette seconde perception du sens de cette notion de conformité produit, elle aussi, un vaste ensemble de risques opérationnels susceptibles d’impacter le client dans le cadre des cycles d’exploitation de l’entreprise. Troisième et dernière manière d’aborder la question de la conformité, la problématique issue de la qualité des produits et des services ouvre enfin la boîte de Pandore des risques opérationnels, à l’appui, cette fois, des exigences exprimées au titre des certifications Qualité obtenues par l’organisation. À partir du moment où une entreprise dispose d’une certification Qualité, quel que soit le référentiel considéré (ISO 9001, ISO 14000, etc.) et le périmètre certifié, la conformité des opérations doit être garantie, tout dysfonctionnement (ou non-conformité, selon le vocable autorisé) entraînant des risques opérationnels latents et multiples pour l’entité : -- perte de certification ; -- impact image client ; -- coût de traitement des non-conformités Qualité ; -- non maintien des niveaux qualitatifs souhaités, remettant en cause la robustesse et la constance des processus opérationnels de l’entreprise ; -- etc.
105
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Ainsi, l’enjeu de la conformité apparaît au final protéiforme pour l’entreprise, car il introduit de multiples dimensions, sources de risques opérationnels majeurs. Dès lors, il nous semble essentiel que l’entreprise s’approprie l’enjeu de la conformité pour chacun de ces trois niveaux, afin de réduire au maximum les risques opérationnels éventuellement produits par cette notion aussi complexe que diffuse.
L’enjeu de la conformité, source de multiples risques opérationnels, peut être appréhendé à trois niveaux : 1. Le respect des lois, décrets et règlements en vigueur, quels qu’ils soient. 2. La conformité effective des produits comparativement à la promesse client.
et
services
réalisés
3. La conformité à l’exigence Qualité certifiée. La question de la conformité se pose par défaut à chaque entreprise, à chaque secteur d’activité. Que l’on soit un établissement financier, un groupe pharmaceutique, un opérateur de télécommunication ou une boulangerie, l’enjeu de la conformité des activités s’impose à tous. Seuls le dimensionnement et la complexité des cadres réglementaires et opérationnels à maîtriser seront différents. Assez fréquemment, certains établissements se font « épingler » au titre de la non-conformité de leurs pratiques commerciales, de leurs démarches opérationnelles ou de la qualité « non conforme » de leurs produits ou services. Une bonne adéquation entre l’exigence de conformité souhaitée et les moyens mis en oeuvre pour la mettre en place, la réaliser et la contrôler effectivement, s’impose. Et vous ? Êtes-vous serein vis-à-vis de la conformité de vos activités au quotidien ? Un questionnement d’importance, et très souvent riche de sens lorsqu’on s’engage dans cette réflexion
106
Chapitre 6 Maîtrise des processus opérationnels : de la R&D à l’archivage Indirectement lié à l’enjeu de la conformité des produits et des services, la maîtrise des processus opérationnels de l’entreprise nécessite une lecture approfondie des enjeux encourus au titre des risques opérationnels engendrés au quotidien, en permanence, par l’organisation dans le cadre de son objet social. L’entreprise, à bien y regarder, est en fait une usine à fabriquer des risques opérationnels. Car à partir du moment où l’organisation met en oeuvre son objet social et déploie des moyens matériels humains et financiers pour le réaliser, elle va fabriquer d’innombrables risques opérationnels au titre de ses cycles d’exploitation. Nous avons abordé dans un premier temps les risques opérationnels relatifs à l’infrastructure de l’entreprise et à la pérennisation des actifs détenus et/ou utilisés, quelles que soient leur nature ou leurs fonctions d’utilité. La question des risques opérationnels doit également se comprendre et se traiter, au-delà des pistes de réflexions proposées précédemment, comme la nécessité de sécuriser, au quotidien, la majeure partie de l’intégralité des processus d’exploitation déployés par l’entreprise. Par cette définition, nous précisons à nouveau l’impérieuse nécessité de comprendre le risque opérationnel à travers le double prisme de la compréhension du cycle d’exploitation de l’entreprise et des impacts client éventuels. 107
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Afin de maîtriser les processus opérationnels de l’entreprise, une fois achevée la lecture et la sécurisation des infrastructures et des actifs (des biens et des personnes), l’analyse des risques opérationnels va se fonder sur l’approche processus.
Rappel sur la notion de processus Inutile de réinventer la roue. La notion de processus étant parfaitement et clairement définie par les standards internationaux de la norme ISO, nous vous proposons de vous attacher simplement à considérer l’entreprise comme une somme de processus et de sous-processus tels que définis par le standard ISO. Tout d’abord, et pour rappel, qu’entendre par le terme « processus » ? Un processus est une séquence d’actions successives qui se déroulent entre deux points. Le point d’entrée, appelé également input en anglais se voit appliquer différents moyens humains, matériels et/ou financiers. Cet apport de moyens engendre par essence un apport de valeur ajoutée au point d’entrée initial. Ce point d’entrée, rappelons-le, peut être de nature multiple : une donnée, un actif matériel, un objet, une information, etc. À l’issue de l’apport de valeurs appliquées au point d’entrée, le point de sortie, également appelé output en anglais, est enrichi comparativement à la valeur d’entrée. Ainsi peut se définir ce qu’est un processus : tout ce qui se passe, de manière séquencée, entre le point d’entrée et le point de sortie. À partir de cette définition, l’entreprise va donc être invitée à séquencer l’intégralité de ses activités selon cette approche dite par les processus et notamment, au titre du sujet qui nous préoccupe, elle va devoir diviser ses différents cycles d’exploitation en grandes familles de processus, puis décliner en une multitude de sous-processus, reflétant ainsi de manière formalisée et structurée ses différentes activités. Cette démarche permettra de mieux appréhender les risques opérationnels susceptibles de remettre en cause la pérennité de ses activités. Pour se faire, dans toute réflexion articulée autour de cette notion de processus, il faudra toujours conserver à l’esprit l’impératif apport de valeur (à l’appui de moyens qui seront mis en oeuvre) entre le point d’entrée et le 108
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
point de sortie. Cette approche par les processus permettra à l’entreprise d’allouer avec précision les moyens nécessaires à l’enrichissement de chaque processus déployé, et valider en permanence l’apport de valeur effectivement réalisé. La mise en évidence des risques opérationnels va donc se faire à l’appui de l’identification, de la formalisation puis de la documentation formelle de l’intégralité des processus opérationnels mis en oeuvre par l’entreprise au titre de ses différents cycles d’exploitation.
Séquencer l’entreprise en processus et sous-processus, à l’appui de la définition du terme par les standards ISO. Cette démarche sera riche de sens et d’intérêt avant d’aborder les risques opérationnels « coeur métier » de l’entreprise, au-delà des actions déjà présentées. Pour simplifier, nous pouvons considérer qu’il existera dans chaque entreprise trois grandes familles de processus qui entreront en ligne de compte, et ce quelle que soit son activité :
Famille de processus n° 1 : Les processus centrés « client » En considérant comme point d’ancrage le client, l’entreprise met en oeuvre un processus majeur et essentiel : le processus client. Cette famille de processus comporte ainsi, sans être exhaustive, les sous-processus suivants, tous contributifs : -- écoute du marché : intégralité des sous-processus destinés à l’analyse structurée du marché : veille concurrentielle, veille technologique, veille de l’offre ; -- écoute du client : intégralité des sous-processus destinés à l’analyse structurée des besoins et attentes des clients et des prospects : étude de satisfaction, écoute client, scorecards… ; -- conception de l’offre : intégralité des sous-processus d’élaboration de l’offre de produits, de prestations et de service : R & D, prototypage, tests marchés, retour d’expérience ; -- prospection : intégralité des sous-processus dédiés aux mécanismes de prospection : qualification et fiabilisation des bases de prospects, élaboration des argumentaires (contenus, vecteurs, outils), déploiement des démarches opérationnelles de prospection ;
109
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- commercialisation : intégralité des sous-processus dédiés à la commercialisation des produits et services : réseau de vente, outils de commercialisation, suivi de l’exécution commerciale ; -- relation client : intégralité des dispositifs de gestion de la relation commerciale avec le client ou le prospect : avant-vente, gestion de la relation courante, gestion des réclamations… ; -- fin de la relation : intégralité des sous-processus dédiés à la fin de relation client (formalisation de l’arrêt des relations, fréquence et nature des contacts futurs, maintien du lien). Chaque processus et sous-processus centré « client » expose l’entreprise à une multitude de risques opérationnels que l’organisation doit qualifier, détecter et maîtriser au mieux. Ainsi, parmi les principaux risques opérationnels à ne pas négliger, nous pouvons relever les enjeux suivants : -- défaillance des dispositifs de veille marché, obérant la détection d’un nouvel entrant ou d’une nouvelle offre concurrentielle mieux positionnée ; -- défaillance des dispositifs de veille technologique, rendant obsolète un développement inopportun suite à l’émergence d’un nouvel entrant plus pertinent ; -- défaillance des dispositifs d’écoute du besoin client, créant de l’insatisfaction et/ou une diminution du taux de fidélisation ; -- défaillance du mode projet dans l’une des phases de R & D, pénalisant le produit final ; -- défaillance de l’analyse des tests marché en phase pilote, engendrant un échec commercial futur ; -- défaillance des dispositifs de qualification des prospects, engendrant des pertes financières sur les clients insolvables ; -- défaillance de l’élaboration des argumentaires commerciaux, incohérent avec la cible prospectée ; -- défaillance de cohérence des outils de communication mobilisés par rapport à la cible souhaitée ; -- perte d’opportunité commerciale par défaillance des dispositifs internes de demande et de suivi des devis ; -- défaillance de pilotage des activités commerciales par suite de défaillance des outils de collecte, de remontée ou de traitement des indicateurs collectés ; 110
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
-- défaillance du pilotage de l’insatisfaction client ; -- défaillance de maîtrise des réclamations émises par des tiers, impactant potentiellement le client ; -- mauvaise gestion d’une fin de relation client, engendrant un litige juridique ou une erreur commerciale ou industrielle future ; -- etc. La liste des risques opérationnels directement liés à la gestion de la relation client est quasi infinie. Il est donc nécessaire de s’en préoccuper au mieux, au titre des enjeux opérationnels critiques de l’entreprise.
Famille de processus 2 : Les processus d’exécution de l’offre Le second axe de sources majeures de risques opérationnels au titre des cycles d’exploitation de l’entreprise relève bien évidemment du coeur de métier de l’entreprise : son activité courante. De fait, et au-delà des enjeux précédents centrés « client », l’organisation va devoir analyser et détailler chaque processus opérationnel d’exécution de ses cycles d’exploitation dédiés à la réalisation de son objet social. Pour simplifier, les sous-processus contributifs seront classiquement de nature suivante : -- élaboration des produits et services à destination du client : cycles de recherche et développement, quelle que soit la phase du projet ; -- pré-industrialisation des solutions proposées : évolution du prototype à la présérie, validant les orientations et les procédés de production de l’offre (produit, prestation, service) ; -- industrialisation : ensemble des sous-processus constitutifs de la production effective de l’offre (chaîne de production, d’assemblage, de montage, de conditionnement) ; -- ensemble des sous-processus amont et aval du cycle productif : approvisionnement, stockage, conditionnement, logistique ; -- ensemble des processus et sous-processus opérationnels annexes aux cycles productifs : sécurisation des biens et des personnes dans le cycle d’exploitation de l’entreprise.
111
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Il apparaît évident que ces quelques lignes ne sauraient présenter de manière exhaustive l’intégralité des processus d’exécution de l’offre. Prenons un exemple concret pour mesurer la nature, le dimensionnement et la complexité du travail d’identification des processus et sous-processus à traiter. Exemple : Une entreprise est spécialisée dans l’abattage et le conditionnement de volailles. Les grands processus mis en oeuvre dans le cadre de la production de l’offre peuvent s’articuler de la manière suivante : P1 : processus de réception des volailles vivantes (de l’accueil du camion de livraison des volailles vivantes à leur déchargement) : • A : sous-processus d’identification du fournisseur entrant et d’accès au site. • B : sous-processus d’accueil du camion de livraison sur le quai de débarquement. • C : sous-processus de vérification et contrôle de la traçabilité des produits livrés. • D : sous-processus de déchargement des volailles vivantes. P2 : processus d’intégration des volailles dans la chaîne d’abattage : • A : sous-processus de vérification des lots (origine, contrôles sanitaires, qualité). • B : sous-processus de qualification des processus de transformation à opérer. • C : sous-processus d’intégration des volailles dans la chaîne d’abattage. • D : sous-processus de contrôle qualité des actions réalisées. P3 : processus de découpe des volailles à la sortie de l’abattage : • A : sous-processus de définition de la typologie des actions de découpe à réaliser. • B : sous-processus d’exécution de la découpe à effectuer.
112
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
• C : sous-processus de contrôle de cohérence des actions de découpe réalisées. • D : sous-processus de contrôle qualité des actions réalisées. P4 : processus de conditionnement des éléments produits : • A : processus de qualification et de contrôle de cohérence des actions de conditionnement. • B : sous-processus d’exécution des actions de conditionnement. • C : sous-processus de contrôle de cohérence des actions effectuées. • D : sous-processus de contrôle qualité des actions réalisées. P5 : processus de stockage des produits finis : • A : processus de sortie de chaîne de production, de conditionnement. • B : processus d’intégration dans les zones de stockages. • C : processus de contrôle qualité de respect de la chaîne du froid. P6 : processus de sortie de stock, etc. À chaque étape critique du cycle de production et des différents cycles d’exploitation mis en oeuvre par l’entreprise, les processus opérationnels font naître un nombre conséquent de risques opérationnels que l’entreprise doit appréhender au mieux. Ainsi, et au-delà de l’exemple présenté, parmi les risques opérationnels à considérer au titre de cette seconde grande famille de processus d’exécution de l’offre, nous pouvons identifier les enjeux prioritaires suivants : -- défaillance d’un élément critique constitutif d’une chaîne de production ; -- défaillance d’un élément constitutif d’une chaîne d’assemblage ; -- rupture d’approvisionnement ; -- indisponibilité d’un processus technique ou opérationnel ; -- défaillance d’une chaîne logistique ; -- défaillance technique ou fonctionnelle d’un équipement, d’un outil, d’une machine ; 113
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- altération, perte ou détérioration de données ; -- défaillance d’un flux (énergie, lumière, chauffage, climatisation
) ; -- panne matérielle critique ; -- défaut qualité sur le produit ou le service réalisé ; -- non-conformité du produit ; -- défaillance de maîtrise des délais de réalisation prévus ; -- défaillance des contrôles qualité ; -- défaillance de la traçabilité des produits ou des approvisionnements ; -- défaillance de la traçabilité des actions opérationnelles conduites ; -- etc. De fait, une multitude de risques opérationnels associés à la production de l’offre, quelle qu’elle soit, nourrit au quotidien la fragilisation potentielle de la pérennité des pratiques. Il sera nécessaire de les appréhender au mieux et de manière constante.
Famille de processus 3 : Les processus supports Afin de mettre en oeuvre les familles de processus 1 et 2, chaque entreprise va devoir déployer une multitude de processus et sous-processus contributifs à la bonne réalisation de l’objet social de l’entreprise. Ainsi, au-delà des actions de production et de commercialisation de l’offre, l’organisation va déployer une multitude d’autres processus opérationnels qu’elle devra également maîtriser : -- processus comptables et financiers de saisie des activités réalisées : comptabilisation de l’intégralité des actions réalisées (achats, investissements, paiements, encaissements, facturation, etc.), et leurs résultantes comptables et financières ; -- processus associés aux dispositifs consacrés aux acteurs de l’entreprise : recrutement, paie, formation, développement, gestion des congés, des absences, des plannings, des déplacements, etc. ; -- processus associés aux outils déployés dans le cadre de la réalisation des activités support à travers la réalisation de l’objet social : infrastructure informatique, télécoms ; -- processus associés aux dispositifs de pilotage et de contrôle des activités : contrôle permanent, contrôle périodique, contrôle de conformité ; 114
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
-- processus associés aux dispositifs de maîtrise des activités : contrôle de gestion, comptabilité analytique, production et analyse des tableaux de bord d’activités ; -- processus associés aux dispositifs de contrôle qualité des activités ; -- processus associés aux dispositifs de gestion des risques de l’organisation ; -- processus associés aux dispositifs de veille et d’écoute de la voix des salariés ; -- processus associés aux démarches de communication interne et externe de l’entreprise ; -- processus associés aux dispositifs de gestion de la gouvernance de l’entreprise et de relations avec les tiers ; -- processus dédiés aux dispositifs d’assurance ; -- processus d’élaboration des politiques budgétaires d’investissement, d’exploitation ; -- etc. Une nouvelle fois, une multitude de processus supports sont mis en oeuvre dans le cadre de la réalisation des différents cycles d’exploitation de l’organisation. Une lecture affinée de tous ces processus sera alors nécessaire afin de déterminer s’ils font partie – ou non – de l’univers des possibles susceptibles d’être concernés par les risques opérationnels. Par exemple, les dispositifs de communication externe pourront être considérés comme natifs des enjeux opérationnels pour certaines entreprises, et pas pour d’autres. Les risques opérationnels associés au processus de cette troisième famille d’activités résultent pour l’essentiel d’enjeux déjà identifiés, soit au titre des risques d’infrastructure, soit au titre des enjeux d’exécution de l’offre ou des dispositifs centrés « client ». Ainsi, les risques à ne pas négliger au titre de cette troisième famille de processus peuvent être les suivants, à première lecture : -- défaillance d’un élément critique constitutif d’un processus supports (ex : système d’information défaillant) ; -- rupture d’approvisionnement (panne de
café !!) ; 115
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- indisponibilité d’un processus technique ou opérationnel métier (paie, comptabilisation) ; -- défaillance technique ou fonctionnelle d’un équipement, d’un outil, d’une machine ; -- altération, perte ou détérioration de données ; -- défaillance d’un flux (énergie, lumière, chauffage, climatisation
) ; -- panne matérielle critique ; -- non-conformité d’une action support (saisie erronée, frauduleuse de données) ; -- défaillance de maîtrise des délais de réalisation prévus d’une activité support ; -- défaillance des contrôles qualité ; -- défaillance de la traçabilité des activités supports ; -- etc. Nous vous conseillons d’identifier les risques des différentes familles de processus selon la méthodologie préconisée, puis de croiser les résultats, afin de disposer de la base la plus large possible des risques opérationnels identifiés. La critérisation et le traitement des enjeux et des risques prioritaires s’impose. Nous invitons nos lecteurs à se pencher avec intérêt sur l’ouvrage récent traitant de cette problématique de la critérisation des risques6. Il va sans dire que l’analyse, l’identification et la gestion des risques opérationnels associés à ces trois familles de processus seront des tâches significatives dans la consommation des ressources de l’entreprise. La maîtrise des risques opérationnels l’impose, compte tenu de la diversité et du dimensionnement de l’univers des possibles relativement à cet enjeu critique.
Il existe trois familles de processus essentiels à considérer dans l’entreprise pour toute démarche de risques opérationnels : les processus centrés « client », les processus d’exécution de l’offre, et les processus supports.
6. Cf. Le facteur risque, GERESO Édition, Le Mans, 2012.
116
Chapitre 7 De la maîtrise de la connaissance Élément incontournable, la maîtrise de la connaissance constitue une classe de risques à part dans l’entreprise. Logiquement, la problématique liée à la pérennisation des connaissances dans l’entreprise n’est pas naturellement liée aux enjeux associés aux risques opérationnels. Et pourtant… Nous vous conseillons de ne pas négliger cette dimension, car elle va très – trop ? – souvent impacter l’entreprise dans ses cycles d’exploitation et ses clients, directement ou indirectement. Alors, nous pensons utile de rappeler quelques fondamentaux sur cette question, et vous inviter à ne pas oublier que la gestion de la connaissance peut impacter significativement la dureté potentielle des risques opérationnels pour l’organisation. À l’appui d’une démarche risk management robuste, la maîtrise de l’un des principaux actifs de l’organisation (sa connaissance, ses données) s’avère critique. Un mode opératoire manquant ou mal appliqué, un savoir perdu, une connaissance indisponible, une donnée altérée, une information tronquée
Combien de projets, d’actions, de décisions, de temps, d’argent consommés à tort à cause d’un défaut de pérennisation des connaissances ? Comment aborder cette réalité à travers le prisme du risque et plus particulièrement, sous la lumière des risques opérationnels en entreprise ? Les méthodologies de risk management proposées précédemment s’appliquent parfaitement à la gestion de la connaissance dans l’entreprise. Il y a lieu de définir l’objectif recherché (quels savoirs/informations capitaliser ?), d’identifier l’univers des possibles en le cartographiant et 117
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
en le priorisant (inventaire des contenus, contrôle qualité, cohérence, manquants critiques - par exemple, processus critiques non documentés - …) ; puis, de définir la stratégie de couverture appropriée (contenus, supports, pratiques) ; enfin, déployer les moyens cohérents alloués et vérifier l’efficacité des décisions prises. Seules contraintes : l’exigence de cohérence entre objectifs et moyens, l’animation impérative des dispositifs et la réduction effective de coût du risque. La maîtrise des risques associés aux informations, à la connaissance et aux savoirs contribue à la pérennité de l’organisation et à la réduction de son coût du risque. Capitaliser son savoir et ses connaissances, c’est assurer la meilleure pérennisation des pratiques et des usages opérationnels. Nous vous conseillons donc de ne pas négliger cet enjeu opérationnel de taille. Afin d’assurer la meilleure efficacité à la maîtrise des risques de connaissance, nous vous proposons de suivre la démarche méthodologique suivante : Étape 1 : Définir l’objectif recherché Que souhaitez-vous capitaliser ? Identifier précisément les savoirs, savoirfaire et connaissances que vous souhaitez impérativement documenter et actualiser dans l’entreprise. Pour ce faire, une approche processus permet de mesurer l’effort à fournir afin de ne concentrer son action que sur les processus et savoirs critiques. Étape 2 : Cartographier les connaissances À la lumière des processus et procédures existantes, mesurer tout ce qui est à documenter, en définissant précisément les éléments manquants. Une approche par département, par service, par entité puis par fonction ou métier permettra à chacun de s’investir et de se responsabiliser dans cet exercice essentiel pour la pérennisation des savoirs. Étape 3 : Définir les moyens appropriés À l’appui de l’action à conduire, déterminer les outils, démarches et méthodes que vous allez privilégier pour capitaliser les savoirs. Supports physiques retenus, protocoles de capitalisation, de validation et d’actualisation des savoirs, animation des dispositifs. Ne négligez pas la dimension « mode projet » d’une telle action.
118
DE LA MAÎTRISE DE LA CONNAISSANCE
Étape 4 : Faire vivre le dispositif Au-delà de l’initialisation des démarches, il faut veiller à assurer la pérennisation des pratiques, afin de garantir au fil de l’eau la bonne continuité des démarches déployées : enrichissement permanent des connaissances et savoirs nouveaux, actualisation des contenus, disponibilité, indexation et véhicules porteurs adaptés, etc. Au final, vous réaliserez assez rapidement que l’investissement fourni au titre du maintien à terme des connaissances contribue nettement à la réduction des risques opérationnels de l’entreprise. Les risques d’interprétation, de méconnaissance ou d’erreurs disparaissent, à l’appui de dispositifs robustes de capitalisation et de partage des connaissances essentielles de l’organisation au titre des processus opérationnels engagés. Sous réserve d’une parfaite maîtrise des enjeux associés à la confidentialité des pratiques et des savoirs (qui doit savoir quoi, quand, comment, etc.), la pérennisation des connaissances s’impose dans la lecture affirmée et affinée des risques opérationnels en présence.
Pérenniser les savoirs et les connaissances permet de réduire les risques opérationnels de l’entreprise.
119
Chapitre 8 Plan de continuité d’activité, plan de reprise d’activité Parallèlement aux dispositifs de gestion des risques opérationnels, l’entreprise doit se préparer à gérer une crise d’un point de vue opérationnel. Cette préparation passe notamment par la réalisation de plans de continuité d’activité. Soucieux d’aborder cette dimension critique dans le cadre de cet ouvrage, nous intégrons cet enjeu dès la présentation générale des risques opérationnels. La maîtrise des risques en entreprise nécessite d’organiser, au-delà des démarches d’identification, d’évaluation et de déploiement des outils de contrôle et de suivi des risques identifiés susceptibles d’engendrer une crise, le maintien en conditions opérationnelles de l’organisation, notamment en cas de défaillance d’un processus critique. Tout un chacun le pense dans son for intérieur : « cela n’arrive qu’aux autres », « cela ne peut pas nous arriver », « ce serait vraiment la faute à pas de chance si
», « nous sommes trop solides pour nous effondrer », etc. D’autres pensent être suffisamment couverts par un contrat d’assurance, ou par la solidité des procédures et des dispositifs de contrôle en vigueur. Et pourtant, l’inéluctable arrive parfois. Le risque se concrétise malgré tout, en dépit des efforts mis en œuvre pour l’éviter. Et la crise arrive, là où on l’attend parfois le moins, engendrant une crise, qu’il va falloir affronter et maîtriser au mieux.
121
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Et le plus souvent, la crise se déclenche au mauvais moment et au mauvais endroit
Aussi, afin d’éviter le chaos et organiser de manière préventive la survie de l’entreprise à une crise majeure, la mise en place de plans de continuité d’activité (PCA), puis de plans de reprise d’activité (PRA) apparaît souvent judicieuse. Plus un plan de secours est préparé, validé, testé et diffusé en amont, et plus la crise sera maîtrisée avec souplesse et efficacité. Il n’y a pas de miracle. « Gouverner, c’est prévoir », dit l’adage
Alors, prévoyons ! Le principal objectif d’un PCA consiste à faire en sorte que l’entreprise dispose d’une réponse appropriée aux dysfonctionnements majeurs susceptibles de menacer sa survie ou, à tout le moins, de pouvoir maintenir en conditions éventuellement dégradées un niveau de prestations et de services internes et externes acceptables. Certaines organisations, notamment bancaires et financières, ont, d’ailleurs, l’obligation réglementaire d’organiser de tels plans de continuité, et allouer en conséquence un niveau de fonds propres susceptibles d’absorber des risques dits opérationnels (nouveau ratio de solvabilité, exigences de fonds propres définies par les règles dites Bâle II). L’avènement potentiel de crises majeures a incité les autorités à imposer à certaines branches d’activités critiques de constituer des PCA structurels, susceptibles d’être déclenchés en cas de besoin, face à une crise sanitaire, environnementale ou sociétale majeure (maintien des activités de transport et de logistique notamment, organisations judiciaires, sécuritaires, sanitaires, sociales, principaux acteurs économiques, etc.). Les approches transversales de gestion des crises, de gestion des risques et de mise en oeuvre de plans de continuité d’activité apparaissent complémentaires et non-concurrentes, car elles poursuivent des objectifs différents.
122
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
Gestion des risques
Plan de continuité d’activité (PCA)
Priorité
Analyse
Réduction d’impacts/ Détails
Risques
Tout type de risque
Dysfonctionnement majeur impactant un processus critique
Impact
Toute gravité
Survie suite à un incident majeur impactant un processus critique
La philosophie d’intervention des démarches de gestion de crise, des risques et de mise en oeuvre des PCA s’avère de fait par nature différente, les objectifs étant divergents. D’un point de vue méthodologique, il est à noter qu’un certain nombre de normes internationales régissent le cadrage de la mise en place de solutions de plans de continuité : BS 7799, ITIL, etc. Le lecteur curieux trouvera un certain nombre d’ouvrages dédiés au management des plans de continuité d’activité, au-delà des solutions structurelles déjà déployées dans les organismes rompus à ces méthodes.
Fondamentaux d’un plan de continuité d’activité (PCA) Établir un (ou plutôt des) PCA nécessite de réaliser les étapes suivantes : -- Identifier les processus critiques susceptibles de faire l’objet d’un PCA au sein de l’entreprise : l’objectif n’est pas de documenter un PCA pour tout, mais de mettre en place des PCA vitaux pour le maintien en conditions opérationnelles des processus clés de l’organisation (les processus critiques essentiels à l’entreprise). -- Définir la stratégie de l’entreprise dans le déploiement de la démarche PCA (global, par processus, limité à certains pans d’activité, etc.). -- Définir par PCA les objectifs les plus critiques à atteindre : en situation dégradée, quels sont les impératifs à maintenir ? -- Définir les seuils de délai maximum d’indisponibilité, fait générateur d’activation des PCA, avec graduation des solutions dégradées : quel sera le fait déclencheur de la mise en activation du PCA ? -- Documenter précisément les étapes de déclenchement, de mise en oeuvre, de restauration complète (ou en mode dégradé) et de retour à la 123
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
normale : en complément du PCA, un plan de reprise d’activité peut être à documenter également (reprise graduée et séquencée des activités interrompues). -- Tester au moins tous les ans les solutions définies et envisagées par un PCA : un PCA non valide et non testé est inutile. -- Analyser et commenter chaque sortie d’activation opérationnelle de PCA, afin d’identifier les points d’amélioration à envisager et amender en conséquence les démarches mises en place : retour d’expériences, amélioration de l’existant, analyse des dysfonctionnements, optimisation des pratiques. L’élaboration d’un PCA et sa mise en oeuvre nécessitent une allocation de ressources souvent significatives : inventaire, validation, documentation, diffusion, tests
à ne pas négliger avant toute initiation d’une démarche de PCA ! Un PCA a un coût non négligeable !
L’entreprise doit se doter, de manière préventive, de plans de continuité d’activité (PCA) lui permettant d’assurer en contexte latent ou déclaré de crise, et de manière éventuellement dégradée, le maintien en conditions opérationnelles de ses processus critiques.
Stratégie générale d’un PCA Parmi les principaux risques majeurs pouvant nécessiter la mise en oeuvre d’un PCA, et sans revenir sur l’approche méthodologique de l’identification des risques principaux à couvrir au titre de ces PCA et des moyens de gérer au mieux une éventuelle crise, il apparaît de manière générale que les enjeux suivants semblent être les plus critiques, pour toute entreprise, quel que soit le secteur d’activité ou le processus concerné : relocalisation des fonctions et/ou des activités suite à une indisponibilité permanente ou temporaire de sites, de moyens humains ou de matériels (catastrophe majeure, attentat, non accès aux locaux, inondations, mouvements sociaux, rupture de production, etc.). Parmi les actions à envisager et les scénarios classiques à évoquer en élaboration de PCA de cette nature, par exemple : -- dédier des ressources permanentes inactives, destinées uniquement à être activées en cas de déclenchement de PCA ;
124
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
-- définir une stratégie de réorganisation sur place : exploitation alternative des moyens humains et financiers, hiérarchisation des actions ; -- mise en oeuvre d’une stratégie de déplacement (transfert d’activités, de sites, de personnes, etc.) ; -- mise en oeuvre de solutions d’activité de processus à distance (travail à domicile, etc.) ; -- aménagement de sites alternatifs : espace dédié, location optionnelle d’espace, installations mobiles ; -- mise en oeuvre de solutions « clés en main » d’externalisation de fonctions ou de processus en cas de défaillance ; -- indisponibilité opérationnelle ou fonctionnelle majeure, par exemple : • perte des données informatiques (crash serveur, perte de disques durs non sauvegardés, etc.), • perte de réseau téléphonique ou de centre d’appel (instabilité des lignes IP, défaillance technique majeure réseau), • perte de réseau Internet (commerce en ligne), • perte de solutions de production, • perte de la chaîne logistique, • perte des zones de stockage (accès, destruction des stocks, etc.). Ces différents événements nécessitent de mettre en place des solutions préventives de repli afin d’assurer la continuité des activités critiques, en cas d’occurrence de l’incident. Parmi les principaux moyens de lutte préventive et curative à envisager et à intégrer dans la réflexion d’élaboration des plans de continuité d’activité :
Moyens de lutte à envisager -- Externalisation des processus et des activités critiques (prise en charge par un tiers du risque et de son traitement). -- Modification des processus (réduction du risque de non continuité par remise en cause des modes de fonctionnement susceptibles d’engendrer les risques de rupture de continuité).
125
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Cessation des activités risquées, source potentielle de non continuité critique (arrêt d’une chaîne de production sensible, source de danger pour les autres activités de l’atelier par exemple). -- Sécurisation extrême des sites ou processus difficilement « sécurisables » (approche sécuritaire triplée par défaut). -- Mise en place de solutions de restauration (back up préventif et curatif mis en oeuvre avec haute disponibilité : équipements informatiques par exemple). -- Mise en place de polices d’assurance (compensation financière en cas de perte d’exploitation et de sinistre financier majeur provoqué par une non continuité). La mise en place des plans de continuité d’activité nécessite au préalable de définir les règles de fonctionnement dégradé en cas de survenance d’un incident, les seuils de déclenchement du PCA en fonction de l’indisponibilité maximale tolérée (une heure, un jour, une semaine, etc.), et de veiller en permanence : -- à la validité des documents référents, à réactualiser en permanence ; -- à l’acuité des solutions proposées ; -- à la pertinence des règles d’activation et de suivi des situations de crise ; -- à la responsabilisation des acteurs, clé du succès en pareille circonstance. Le lecteur doit d’ores et déjà prévoir et anticiper le fait que, en cas de survenance d’un incident nécessitant le déclenchement d’un PCA : -- malgré le niveau de préparation et de réaction, les imprévus seront légion ; -- chaque événement sera à gérer l’un après l’autre, avec pragmatisme et discernement ; -- la persistance statistique de la malchance sera une nouvelle fois démontrée. « Le pire n’est jamais décevant », échangeaient Bernard Tapie et Fabrice Lucchini dans un film de Claude Lelouch. Toute la philosophie d’un PCA repose sur cette affirmation. Préparons-nous au pire, sans état d’âme ni paranoïa. Élaborer un plan de continuité d’activité y contribue
126
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
grandement. Le tester le rend crédible et permet à l’entreprise de gagner en sérénité, le cas échéant.
Plan de reprise d’activité (PRA) En complément de la documentation et de la mise en oeuvre de plans de continuité d’activité, il peut apparaître judicieux de travailler également sur les plans de reprise d’activité (PRA). En effet, en contexte de crise, et après une période sensible de conditions d’activité dégradées (activation d’un PCA), l’expérience montre que le cycle de retour à la normale peut également provoquer de nombreux incidents. Il est donc nécessaire de bâtir, de la même manière qu’un PCA, un plan de reprise d’activité, c’est-à-dire un planning formalisé d’ctions et de tâches séquencées permettant un retour serein aux conditions normales d’exploitation. Parmi les points non exhaustifs à couvrir en démarche PRA : -- identification du facteur décisif justifiant la sortie de phase PCA ; -- processus de décision et de communication d’initialisation du PRA ; -- séquençage des tâches à réaliser : • qui met en oeuvre quoi, quand, comment et pourquoi ? • tests de validation de l’intégrité des restaurations opérationnelles réalisées, • validation de chaque étape avant déclenchement de l’étape suivante ; -- organisation et suivi du retour progressif à la normale ; -- pilotage et suivi du retour effectif à la situation normale ; -- processus de désactivation effective du PRA ; -- retour à la normale. Parmi les principaux écueils à éviter dans la mise en place d’un PRA : -- mauvais séquençage des opérations de retour à la normale (paralysant le passage de l’étape n° 8 car l’étape n° 10 devait être réalisée en n° 5) ; -- mauvaise allocation des ressources nécessaires à la stabilisation d’une étape critique (l’étape 5 prend trois fois plus de temps que prévu, ayant été 127
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
mal dimensionnée dans sa réalisation. Exemple : « rebootage » des postes informatiques individuels de centaines de salariés) ; -- séquence incomplète de vérification avant retour à la normale, engendrant des loupés opérationnels ou organisationnels majeurs a posteriori (une étape critique a été oubliée par mégarde ou par absence de check-list appropriée en PRA). Là encore, la définition d’un PRA et la mise en oeuvre opérationnelle d’un cycle de retour à la normale ne s’effectuent pas « à la légère », après une interruption plus ou moins longue d’un processus, quel qu’il soit. La documentation formalisée des étapes à conduire et réalisées est essentielle. Exemples : -- En cas de plantage informatique général, les reprises de connexion et/ou d’accès au réseau doivent être le plus souvent organisées progressivement, afin d’éviter une surcharge informatique de capacité provoquant un nouveau blocage généralisé des sessions et des accès. -- En cas d’arrêt d’une ligne de production, son redémarrage doit être réalisé dans les règles de l’art, afin d’éviter tout risque industriel potentiel (cas du retour d’activité des sites de production d’acier ayant engendré plusieurs accidents après des semaines complètes d’arrêt de production). -- La qualité des produits post-PCA peut avoir été dégradée de manière volontairement intentionnelle ; le retour à la normale implique un retour aux référentiels et aux pratiques qualitatives initiales, avec un contrôle qualité renforcé. Bref, un PRA doit être envisagé comme un PCA, en fonction de la nature des activités à reprendre et des risques associés au retour à la situation normale. L’élaboration de PCA et de PRA, leurs tests annuels et leur maintien en conditions opérationnelles permettent à l’entreprise de se préparer à affronter une crise avec sérénité et souplesse. Exemples de PCA (ou de PRA) à envisager de manière préventive, permettant de renforcer les dispositifs internes de gestion de crise dans l’entreprise : -- pannes de serveurs, d’infrastructures ou de données informatiques ; -- non accès à un site de l’entreprise (piquet de grève, inondation) ; 128
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
-- perte partielle ou totale d’un processus opérationnel, externalisé ou non ; -- perte d’outils de production de stockage, de distribution ; -- perte de source d’énergie (électricité, télécoms, chauffage, eau…) ; -- perte de communication (téléphone, Internet, réseaux IT) ; -- absence de courrier, de transports en commun, de services d’État ; -- indisponibilité temporaire ou permanente de signataires ou délégataires critiques ; -- indisponibilité de plus de 20 % des collaborateurs d’une équipe, d’une équipe entière, d’un service entier, d’un processus complet (exemple : crise sanitaire) ; -- indisponibilité générale et massive de ressources humaines (pandémie) ; -- dirigeant en prison, en garde à vue, indisponible ; -- etc. Tout est possible ! La définition et la sélection des PCA (et des PRA) à élaborer doivent être envisagées et réalisées dans une démarche maximaliste, pragmatique et efficace, en cohérence avec les vrais enjeux et les priorités essentielles de l’organisation. Il sera nécessaire d’assurer la plus grande cohérence entre la qualité et la profondeur des PCA documentés et testés, et la réalité des crises que l’entreprise aura à subir. Dans un contexte permanent de pénurie latente de ressources financières, matérielles et humaines, l’entreprise doit gérer au mieux son investissement PCA sur les enjeux fondamentalement critiques pour elle. Le prisme de la réflexion des PCA à partir de l’enjeu « gestion de crise » s’avère, sur ce point, extrêmement pertinent. Prioriser la gestion et le test des PCA sur les vrais enjeux de l’entreprise, afin d’en assurer la meilleure acuité. Car documenter 500 PCA ne sert peut-être à rien, ne disposer d’aucun PCA est dangereux.
129
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Quelques règles d’élaboration De la même manière que la connaissance doit être maîtrisée de façon formelle, un PCA et un PRA doivent suivre certaines règles normatives, par souci de cohérence et d’efficacité. Notamment : -- un formalisme unique (un format de PCA et de PRA commun à l’entreprise : structuration, style rédactionnel, contenu, organisation du document, circuit de rédaction, de validation et de diffusion) ; -- un PCA par processus, un PCA global par service ou par département (principe de l’entonnoir) ; -- les PCA sont à tester annuellement (avec retour d’expérience) : documenter les tests effectués, les dysfonctionnements observés « à blanc », afin d’assurer la meilleure efficacité au PCA le cas échéant ; -- réactualiser les PCA à chaque changement organisationnel ou fonctionnel (ne pas utiliser un PCA sorti « de la naphtaline » et totalement inutilisable le cas échéant) ; -- communiquer sur l’existence et la localisation des PCA (qui, quoi, quand, comment, où ?) : qui doit savoir quoi, comment, quand, pourquoi ? -- penser à la version papier des PCA en cas de panne informatique ! (PCA informatique logé dans l’intranet de l’entreprise et panne de réseau informatique rendant inaccessible le document recherché en situation de crise !) ; -- faire valider les PCA par les acteurs concernés (les options prises, organisationnelles, fonctionnelles doivent être validées par les acteurs concernés au préalable) ; -- définir impérativement les règles factuelles d’activation des PCA (critère d’activation en fonction de délais d’indisponibilité : à définir le plus précisément possible pour ne pas déclencher de PCA inutilement : temps réel, heure, 2 heures, 4 heures, jour, 48 heures, etc.) ; -- prévoir les phases de sortie de PCA et de PRA (critère d’activation du PRA, critère de confirmation de retour à la normale post-PRA) : ne pas engendrer de nouveaux dysfonctionnements par retour « prématuré » à la normale. Concevoir et imaginer un plan de continuité d’activité (ou un PRA) dans le vif de l’événement n’est pas des plus simples. D’autres priorités sont alors à gérer
Autant se préparer sereinement et documenter efficacement les
130
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
conditions de maintien opérationnel des activités critiques de l’entreprise, quand on a le temps d’y réfléchir, sereinement et lucidement. Travailler à un PCA ou un PRA n’a jamais provoqué la survenance d’un risque opérationnel anticipé, encore moins l’émergence effective de la crise pour l’organisation. Mais cela améliore grandement son efficacité de traitement le jour J !
L’élaboration, la documentation et le test fréquent des PCA et des PRA contribuent à l’efficacité des dispositifs de gestion des risques opérationnels et des crises potentielles dans l’entreprise. Même s’ils ne sont pas systématiquement dédiés à gérer des situations critiques, ils constituent l’épine dorsale des plans d’actions prioritaires à déclencher en contexte de crise déclarée. PCA et PRA devraient logiquement faire partie des réflexions directement associées aux enjeux des risques opérationnels. Autant se préoccuper en même temps des causes et des moyens de les surmonter au mieux !
Le coût du risque opérationnel À l’appui de la réflexion initiale sur les risques opérationnels en entreprise que nous venons d’introduire, il nous semble essentiel de vous mobiliser d’ores et déjà sur la problématique du coût du risque, et plus particulièrement, de l’enjeu du coût du risque opérationnel. Mesurer le coût du risque pour l’entreprise revient à mesurer la conséquence financière et économique de la concrétisation des risques pour l’organisation. La notion de coût du risque consiste donc à quantifier l’impact de la concrétisation du risque, à partir du moment où celui-ci se concrétise. Nous identifions en fait différents coûts du risque dans la conception même de cette notion : -- le coût du risque brut, qui reflète le coût complet du risque lors de sa concrétisation effective ; -- le coût du risque net, qui prendra en compte la réduction du coût du risque brut grâce aux actions entreprises en amont du risque.
131
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Le chiffrage du coût du risque opérationnel, tant brut que net, va s’avérer particulièrement important car il conditionnera l’opportunité des décisions prises – ou à prendre – face à des enjeux directement liés aux cycles d’exploitation et d’activité de l’organisation, leur maintien, leur remise en cause ou leur arrêt. L’objectif de toute organisation résulte dans la réduction du coût du risque. Mais cette démarche s’appuie en permanence sur la recherche constante de cohérence entre les actions entreprises pour réduire les risques opérationnels, le coût induit par les risques lors de leur concrétisation, et la cohérence stratégique des politiques menées en ce sens. Le coût du risque opérationnel va être intimement et directement dépendant d’une multitude de facteurs : -- le coût des dispositifs de détection des risques opérationnels (conception, déploiement, maintien en conditions opérationnelles) ; -- le coût des dispositifs d’animation, de formation et de sensibilisation des acteurs à l’enjeu risques opérationnels ; -- le coût des dispositifs de réduction, de transfert, de contournement ou d’évitement des risques opérationnels (stratégies de couverture retenues) ; -- le coût du risque opérationnel proprement dit, en cas de survenance (impacts et dommages directs et indirects, à court, moyen et long termes, toutes classes de risques impactées confondues). Dès lors, tout l’enjeu de l’entreprise et de sa direction consiste à assurer en permanence et en constance une véritable exigence de cohérence entre trois dimensions essentielles : la politique risque de l’entreprise proprement dite et les moyens humains matériels et financiers déployés (adossés à la culture risque « maison » ) ; le coût du risque net souhaité par l’organisation (ou recherché, ou accepté, ou budgété) ; le coût du risque net final pour l’organisation. La mesure du coût du risque opérationnel peut très vite devenir abyssale. Prenons le cas de l’explosion de la plateforme pétrolière Deepwater Horizon du groupe pétrolier BP dans le golfe du Mexique. Les dernières estimations du coût du risque évoluent entre vingt et quarante milliards de dollars.
132
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
Au-delà du montant faramineux, qu’il y aura lieu de contextualiser et de comparer (pourcentage du CA, du résultat net, des fonds propres, etc.), le coût du risque prend tout son sens en fonction de ses impacts directs et indirects : -- perte d’exploitation lors de l’indisponibilité de la plateforme pendant et après l’explosion ; -- dépréciation des stocks de matière première perdue lors de l’explosion et des travaux de stabilisation ; -- pertes associées aux multiples dédommagements engendrés par la catastrophe : salariés, conjoints, éleveurs pollués, associations de sauvegarde de l’environnement, États, État Fédéral
; -- pertes associées au risque image concrétisé lors de l’événement ; -- pertes associées à la mise en oeuvre des nouvelles obligations sécuritaires ; -- pertes associées à la diminution de la valeur du cours de Bourse de l’action ; -- pertes associées aux multiples actions judiciaires engagées à l’encontre de BP ; -- pertes associées à la dégradation des actifs mobilisés ; -- pertes associées aux coûts d’opportunité de la gestion de cette catastrophe (quand la gouvernance de BP gère cette situation de crise, elle ne fait pas autre chose) ; -- etc. Bref, la concrétisation d’un risque opérationnel (ou plusieurs risques engendrant la catastrophe) a entraîné un coût du risque majeur pour l’enseigne. La diversité et le dimensionnement des coûts directs et indirects supportés rappellent à tous, si nécessaire, que le risque coûte très cher dans l’entreprise. Tout l’enjeu consistera donc à assurer la meilleure maîtrise du coût du risque net pour l’organisation, à l’appui d’une lecture affinée des risques opérationnels en présence, de la mise en oeuvre d’une stratégie de maîtrise des risques cohérente et adaptée aux enjeux, et surtout d’une véritable démarche volontariste d’appropriation du sujet des risques opérationnels par la gouvernance de l’organisation et ses relais
133
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
d’exécution opérationnelle : actionnariat, direction, encadrement, animation opérationnelle sur site des dispositifs et démarches initiés. Abordons à présent une famille de risques opérationnels particuliers : les risques industriels.
134
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
À retenir • Un risque opérationnel est un risque susceptible d’engendrer un dommage, une perte ou un coût pour l’organisation lors de la réalisation de ses cycles d’exploitation, ou dont le client ressentira les effets induits à plus ou moins longue échéance. • Délimiter le périmètre initial des risques opérationnels peut se structurer autour de quatre grandes thématiques à questionner : l’infrastructure de l’entreprise, ses cycles d’exploitation, ses cycles commerciaux et ses cycles dédiés aux activités support. • Tout – ou presque – peut être considéré comme un risque opérationnel dans l’entreprise. Il appartient à chaque entreprise de définir, au cas par cas, les risques qui seront considérés comme des risques opérationnels. • Définir avec précision les risques qui ne seront pas considérés comme des risques opérationnels. Il est plus simple de définir en la matière ce qui n’est pas, et non pas ce qui est, afin de délimiter le spectre des risques opérationnels à considérer en tant que tels. • La sécurisation physique des personnes doit constituer la priorité n° 1 des dirigeants dans leur réflexion sur les risques opérationnels au sein de l’entreprise. • Identifier les risques opérationnels associés à l’infrastructure de l’entreprise revient à répondre à quelques questions simples : où sont les actifs de l’entreprise ? Sont-ils critiques ? Quelle est leur valeur d’usage ? Sont-ils sécurisés ? Contre quoi ? • Ne pas oublier, au-delà de l’identification et de la critérisation des actifs, l’existence et le traitement des différentes natures de flux dans l’entreprise : énergie, matière, communication, données, stocks, personnes, matériels, etc. Ils contribuent à l’enjeu des risques opérationnels. • Identifier un danger consiste à se questionner sur ce qui pourrait être (et ne devrait pas être), ou sur ce qui ne pourrait pas être (et qui devrait être), et en mesurer l’impact sur l’organisation. 135
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
• De la robustesse des dispositifs de détection des risques opérationnels dépend l’efficacité de la politique risque de l’entreprise, pour l’essentiel. • La question du risque de conformité est à appréhender à plusieurs niveaux complémentaires : conformité des opérations au cadre légal applicable, conformité des opérations ayant trait aux processus internes déployés, et conformité des activités sous l’angle de l’exigence des éventuelles démarches qualité. • L’approche processus est à privilégier dans toute démarche relative à l’enjeu de la gestion efficace des risques opérationnels. • De multiples classes de risques spécifiques sont à considérer dans le cadre des enjeux associés aux risques opérationnels : connaissance, juridique, informatique, social. • PCA et PRA doivent contribuer à la réflexion du rapport aux risques opérationnels.
136
Partie 3
RISQUES INDUSTRIELS
Introduction « Il n’y a pas de sécurité sur cette terre, seulement des opportunités. »
Douglas Mac Arthur
Fondamentalement intégrés à l’enjeu objet de notre ouvrage, les risques industriels constituent l’épine dorsale des risques opérationnels pour toute organisation dont l’objet social s’appuie sur une démarche de production ou de transformation d’un produit, qu’il soit technique, alimentaire, dédié à la santé, à la cosmétique ou pour un usage chimique, et quelle que soit sa complexité. À partir du moment où une entreprise fabrique, transforme ou assemble des éléments afin de produire un objet fini ou semi-fini destiné à être vendu à un tiers, les risques industriels existent naturellement, compte tenu de la mise en oeuvre spécifique d’enjeux opérationnels lourds de sens pour l’entreprise, à de multiples points de vue. Fabriquer un système roulant (voiture, poids lourd, autocar), un système aérien, (avion, hélicoptère) un bateau, une crème solaire, un pot de yaourt, une fourchette ou un objet technique quel qu’il soit, va conduire l’entreprise à déployer une multitude de processus et de procédés industriels exposant l’organisation à de très nombreux risques opérationnels. La complexité et le dimensionnement d’un système productif, d’élaboration ou de transformation, quel qu’il soit, doivent conduire l’entreprise à s’interroger sur sa maîtrise technique et opérationnelle des métiers qu’elle va exécuter, des modes opératoires qu’elle va déployer, des processus qu’elle va mettre en œuvre et des dangers auxquels elle va exposer ses équipes, ses actifs et l’environnement dans lequel elle évolue.
139
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Les risques industriels, dénomination commode pour exprimer la diversité et la complexité des risques associés à tout système de production ou de transformation, constituent en conséquence une classe de risques opérationnels à part, qu’il convient de considérer avec précision, rigueur et détermination, compte tenu des enjeux en présence. Et ce, tant pour le salarié que pour le client. À partir du moment où l’entreprise consomme ou transforme des matières premières, ou qu’elle s’appuie sur des marchandises ou des composantes pour en élaborer d’autres, le risque industriel apparaît en filigrane. Le risque industriel existe dès le prototypage du produit, lors de sa préindustrialisation et, bien évidemment, lors de son industrialisation. Et ce, quel que soit le client pour lequel le produit est élaboré : produits finis vers les clients finaux, produits semi-finis s’inscrivant dans l’élaboration d’un produit fini qui sera réalisé et/ou commercialisé par un tiers, clients particuliers ou entreprises, systèmes simples (un stylo, un plat cuisiné) ou complexes (un hélicoptère, un système lanceur de fusée, une machineoutil numérique). Essayons à présent d’en balayer les principaux enjeux.
Le risque industriel apparaît dès que l’entreprise met en oeuvre un modèle de production ou de transformation, quelle qu’en soit la complexité.
140
Chapitre 1 La problématique du risque industriel Fabriquer une boîte en métal, un ordinateur, une machine à laver, une navette spatiale, une voiture ou une fourchette revient fondamentalement à la même chose : il s’agit d’assurer en constance la qualité et la sécurité du produit, des salariés qui le produisent et de ses futurs utilisateurs, et ce, lors de tous les cycles d’exploitation qui le concerneront : lors de sa conception, de son élaboration, de sa production, de son transport, de son stockage, de son utilisation puis de son recyclage (ou sa destruction) à l’issue de sa durée de vie technique. Seuls le dimensionnement et la complexité des tâches et des interactions à concevoir et accomplir pour chacun de ces cycles, détermineront le niveau d’exposition aux risques – et la complexité à les maîtriser tout au long du processus considéré – qui ne manqueront pas de naître, lorsque l’entreprise réalisera son objet social. La maîtrise du risque industriel traduit, pour l’essentiel, le niveau de compréhension et de maîtrise désirée d’une direction d’entreprise de l’exigence de cohérence à déployer entre des systèmes différenciés et complémentaires qui vont alors se mettre en œuvre : -- un système dédié à la R & D du produit, c’est-à-dire de sa conception, son élaboration à son prototypage ; -- un système dédié à la pré-industrialisation performante et optimisée des procédés et processus permettant in fine de produire, en continuité et en maîtrise qualitative et sécuritaire, le produit créé en évoluant du prototype à la présérie (validation des options organisationnelles et procédurales) ; -- un système dédié à l’industrialisation performante et optimisée des procédés et processus permettant in fine de produire, en constance et
141
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
en maîtrise qualitative et sécuritaire, le produit créé pour sa diffusion à l’échelle souhaitée ; -- un système dédié au pilotage et à la maîtrise des risques potentiellement engendrés par l’intégralité des processus mis en oeuvre et par le « système produit » lui-même, en tant que tels (risques directement liés au produit intrinsèque). Un contrôle de cohérence permanent est à rechercher entre chacun de ces différents systèmes, afin d’assurer la maîtrise continue des risques tout au long du processus. Cette exigence de cohérence s’inscrit tant dans la concrétisation adaptée de la promesse du produit faite au client que dans l’allocation optimale et cohérente des ressources humaines, matérielles et financières pour chaque cycle de production concerné. De même, l’appréhension du risque industriel doit être construite à partir d’une lecture lucide et pragmatique des enjeux « facteurs humains » associés, particulièrement critiques en milieu opérationnel : l’expertise et les compétences techniques (risquant d’obérer l’humilité et la lucidité des acteurs concernés), l’existence de « zones de confort » parfois trop affirmées (adossées au profil des ingénieurs, techniciens et opérateurs trop souvent pétris de certitudes et d’habitudes), et une propension trop souvent limitée au pragmatisme (favorisant l’expression dogmatique trop souvent présente à l’esprit technique). La problématique associée à la délicate maîtrise du risque industriel repose également sur la complexité, l’interaction et le dimensionnement des enjeux à traiter. Concevoir, bâtir, produire et industrialiser la production d’un système complexe (avion de ligne, paquebot, pont, site industriel…) peut réellement conduire à des désastres industriels en cas de sous-estimation des enjeux à traiter au titre des risques en présence. De récents exemples ont encore démontré que les plus beaux projets sont, eux aussi, trop souvent exposés à des risques industriels et opérationnels très souvent mal identifiés ou quantifiés. Quel fut le coût du risque final des retards et difficultés enregistrés par les grands programmes d’Airbus pour l’A380 ? Quelles sont les hypothèses de travail de Boeing pour les retards annoncés de son dernier-né ? Combien a réellement coûté à BP l’explosion de la plateforme Deepwater Horizon dans le golfe du Mexique ? Vingt milliards de dollars ? Quarante milliards de dollars ? Plus ? Moins ? Tous ces cas sont-ils dus à une pénurie de ressources dédiées à la MAÎTRISE des risques industriels dans le cadre des projets engagés ? 142
LA PROBLÉMATIQUE DU RISQUE INDUSTRIEL
L’enjeu des risques industriels se pose donc à plusieurs niveaux, qui tous refléteront in fine la pertinence des réponses apportées par l’homme. Essayons à présent d’explorer les démarches et outils à disposition, étant bien entendu qu’aucune check-list ou inventaire à la Prévert ne saurait présenter la myriade de sujets à traiter au titre des risques industriels. L’enjeu initial de la maîtrise du risque industriel consiste pour l’essentiel à déployer des modèles et des démarches méthodologiques suffisamment éprouvés pour les identifier, les détecter, les comprendre puis les maîtriser. Nous allons à présent parcourir un certain nombre de démarches existantes, susceptibles d’éclairer la philosophie de la perception du risque industriel en présence. Là encore, aucune méthode ne doit prédominer dans la réflexion. Seul le contexte opérationnel permettra de définir la démarche méthodologique idéale à retenir.
Il existe de nombreuses démarches méthodologiques dédiées à la maîtrise des risques industriels : laquelle correspond le mieux à votre organisation ?
143
Chapitre 2 Les différents modèles en présence Lorsqu’on aborde la question de la maîtrise des risques industriels en entreprise, il faut tout d’abord remarquer qu’il existe une multitude de démarches méthodologiques en présence et que de nombreuses entreprises développent leurs propres systèmes et référentiels de pratiques au titre de la maîtrise desdits risques. Il n’existe pas de démarche fondamentalement différenciante qui permettrait à chaque dirigeant de s’approprier une méthode plutôt qu’une autre avec certitude. Tous les systèmes présentent des avantages et des inconvénients, au même titre d’ailleurs que les référentiels propres déployés par les entreprises elles-mêmes. La théorie du frottement devra fonctionner à plein régime lorsque l’enjeu du risque industriel sera à considérer. L’utilisation de démarches ou de conceptions différentes et complémentaires permettra, la plupart du temps, d’identifier de nouvelles zones de risques ou de dangers qui ne seraient pas forcément apparus spontanément. Nous invitons tous nos lecteurs à toujours conserver esprit critique et prise de recul avant d’engager une méthode plutôt qu’une autre, sauf si les exigences réglementaires imposent certains référentiels par défaut. Parcourons à présent les grandes méthodes en présence.
Analyse préliminaire des risques (méthode APR) Démarche préliminaire à toute réflexion sur les risques industriels, l’analyse préliminaire des risques consiste à évaluer les problèmes à 145
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
résoudre concernant la maîtrise des risques. Elle va globalement se structurer autour de trois grandes phases distinctes : -- l’identification des dangers à prendre en compte, de manière la plus exhaustive possible ; -- l’évaluation et la classification des risques associés aux dangers identifiés ; -- la proposition de mesures permettant de couvrir les risques. La première étape a pour objectif essentiel d’identifier avec exhaustivité les dangers en présence susceptibles d’impacter le système industriel considéré. La notion de système repose sur différents vecteurs : ses éléments constitutifs et leurs interactions (humains, matériels, techniques, organisationnels), les conditions qui l’entourent dans son cycle de vie (agressions extérieures, environnement externe
), ainsi que les différentes conditions de son exploitation, de sa maintenance, voire de la gestion de sa fin de vie. Cette identification exhaustive des dangers en présence pour chacun des systèmes dans leur environnement constitue la clé de la réussite d’une APR de qualité. À l’issue de cette identification, chaque risque va être évalué, à l’appui de deux critères essentiels : la gravité de l’impact du risque en cas de survenance, puis la fréquence de l’occurrence de l’événement. Lorsque tous les risques ont été évalués, les stratégies de couverture des risques constituent la troisième et dernière phase de la démarche. Quatre stratégies sont recherchées en démarche APR : -- stratégie de prévention : diminution de la fréquence de l’événement ; -- stratégie de protection : réduction de la gravité de l’événement ; -- stratégie d’élimination : suppression de la possibilité de l’apparition de l’événement ; -- stratégie de transfert : mise en oeuvre d’une assurance en cas de survenance de l’événement. La démarche APR est souvent utilisée lorsque le projet ou le procédé impliquent une exigence de sécurité importante, la mise en oeuvre d’un 146
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
système complexe, ou la prise en compte de facteurs significatifs associés à l’environnement du système. Elle repose pour l’essentiel sur la définition précise des besoins en analyse des risques, la répartition des rôles relatifs à l’enjeu de sécurité, et sur un système documentaire fourni détaillant l’enjeu « risque » à considérer. Fondamentalement, la méthode APR vise à détecter les situations dangereuses susceptibles d’engendrer l’émergence du risque (présence d’éléments dangereux associés à un événement particulier) et à déterminer la valorisation individuelle des risques en présence à l’appui de leur gravité et de leur fréquence potentielle d’apparition. Les dangers en présence sont bien sûr de toute nature : dangers électriques, mécaniques, chimiques, biologiques, de combustion, d’atmosphère, etc. La liste des situations dangereuses susceptibles d’occasionner la concrétisation du risque sont innombrables : -- fuite ; -- humidité ; -- explosion ; -- choc ; -- oxydation ; -- pression ; -- feu ; -- chaleur ; -- toxicité ; -- etc. La méthode APR permet ainsi d’identifier et de mesurer les principaux risques à considérer dans le cadre du processus ou du procédé industriel à déployer, quel qu’il soit. De nombreux outils permettant de discriminer chacune des séquences opérationnelles et les risques associés sont déployés.
La méthode APR constitue un prérequis méthodologique essentiel dans toute démarche de maîtrise des risques industriels.
147
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Méthode HAZOP La méthode HAZOP a été créée en 1965 en Angleterre par la société ICI. Elle constitue depuis plus de quarante ans l’une des démarches référence en matière de risques des installations industrielles. De nombreux secteurs d’activité industriels se sont emparés, depuis, de cette démarche : l’industrie nucléaire, les transports, mais aussi la sécurité alimentaire. Conceptuellement, la méthode HAZOP « Hazard and Operability Studies » s’appuie sur toute la philosophie de la sûreté de fonctionnement d’un système industriel, l’objectif reposant sur une démarche d’amélioration de la sécurité et des procédés d’un système industriel. Sans en présenter les détails techniques, la méthode HAZOP consiste, pour résumer, en un examen critique, formel et systématique des procédés mis en œuvre et de la démarche intrinsèque de conception d’une installation industrielle neuve ou existante. L’objectif prioritaire consiste à évaluer le potentiel de danger lié à la mauvaise utilisation ou au mauvais fonctionnement d’éléments d’équipements de l’infrastructure industrielle, et en évaluer leurs effets sur l’ensemble du système industriel en présence. La méthode HAZOP s’appuie sur la définition précise de nombreux concepts tels la notion de danger, de dommage, etc. Fondamentalement, le danger peut porter atteinte aux personnes, aux biens ou à l’environnement. Il sera par nature vérifiable et quantifiable, quelle que soit sa nature. Les notions d’accident, d’événement non désiré, d’événement redouté font l’objet d’une détermination rigoureuse. Depuis le développement de la méthode HAZOP – et ses nombreuses applications industrielles – un grand nombre de cadres réglementaires sont venus s’appuyer et enrichir le rapport aux risques industriels sur cette démarche. Notamment, et par exemple, les critères associés à la philosophie des sites classés SEVESO s’appuient pour l’essentiel sur la méthodologie et le retour d’expérience de la méthode HAZOP. La méthode HAZOP est structurée autour de plusieurs notions critiques. Relevons ici les principales dimensions de cette démarche, afin de vous permettre d’en appréhender les enjeux essentiels : -- Conceptuellement, la sécurité d’un processus industriel dépend de l’interaction de trois facteurs critiques, qu’il conviendra de maîtriser 148
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
et contrôler en permanence, tout au long du cycle. Ces trois facteurs critiques sont les suivants : le produit considéré, objet du cycle industriel ; le procédé utilisé pour l’élaborer ; les facteurs humains en présence mis en oeuvre pour son élaboration et/ou son usage (proximité, manutention, etc.). -- Toute étude HAZOP se fonde sur la définition et la délimitation des systèmes en présence (à partir des flux de circulation des produits, détaillés en séquences). Chaque système industriel va donc être décomposé en une série de sous-systèmes, en interaction. -- De nombreux mots-clés et paramètres sont utilisés lors de la qualification des déviations d’usage, critérisant les écarts réalisés par rapport au processus ou fonctionnement nominal à réaliser. Par nature, à l’appui de ces mots-clés, seront ajoutés les paramètres susceptibles d’engendrer une déviation du résultat final comparativement au résultat initialement attendu. Cette déviation peut engendrer le risque (mot-clé + paramètre = déviation). -- Chaque déviation observée sera analysée en détail (par rapport au résultat nominal attendu), afin de maîtriser au mieux les risques susceptibles d’être occasionnés. -- La probabilité d’occurrence et la gravité des événements seront modélisés et scénarisés systématiquement, pour chaque événement, dans chaque sous-système identifié. -- La gravité de chaque événement sera critérisée. Par exemple, dans le référentiel SEVESO II, la gravité d’un risque évolue sur une échelle de cinq paliers en fonction de l’impact sur les facteurs humains : palier « modéré « (pas de décès hors établissement, moins d’une personne touchée de manière irréversible), palier « sérieux » (pas plus d’un décès), palier « important « (de 1 à 10 décès), palier « catastrophique » (de 10 à 100 décès), ou enfin, palier « désastreux» (plus de 100 morts, plus de 1 000 personnes irréversiblement touchées). -- Chaque situation de risque déclaré entraîne la mise en oeuvre de barrières de sécurité déployant des procédés et modes opératoires spécifiques, en fonction de la gravité de la situation : de la conception des démarches d’audit de risque aux procédures d’évacuation et d’urgence des sites, en fonction de la gravité des risques concrétisés ou anticipés. La méthode HAZOP s’attache à la plus grande rigueur dans sa mise en oeuvre opérationnelle. Elle constitue l’outil méthodologique le plus souvent utilisé en industrie lourde. 149
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La méthode HAZOP constitue un référentiel usuel en risques industriels. Sa mise en oeuvre se fonde sur la décomposition du système industriel en sous-systèmes pour lesquels les risques seront critérisés avec exhaustivité.
La méthode AMDEC Cette méthode, extrêmement connue dans de nombreuses démarches méthodologiques autres que celles associées aux risques, consiste en une analyse des modes de défaillances des systèmes, de leurs effets et de leur sensibiblité. La démarche AMDE autant que la démarche AMDEC intègrent la mesure de la criticité des événements (AMDEC : Analyse des modes de défaillance, de leurs effets et de leur criticité / AMDE : Analyses des Modes de Défaillances et de leurs Effets). Le principe de l’AMDEC repose sur une approche relativement simple dans sa mise en oeuvre : -- L’étape 1 consiste à décomposer le système considéré en une multitude de composantes qui le constituent. -- L’étape 2 vise à recenser l’intégralité des modes de défaillance, pour chacun des composants identifiés lors de l’étape 1. -- L’étape 3 consiste à identifier les effets et les conséquences des modes de défaillance définis au préalable. -- La dernière étape consiste enfin à traduire en termes de risques les situations décrites précédemment. -- En cas d’AMDEC, la critérisation de chacun des risques conclut la démarche, à l’appui de la mesure de la criticité des enjeux et des risques identifiés. Prenons un exemple Considérons l’élaboration d’un AMDEC à partir d’un objet basique que chacun a logiquement sur son bureau : une lampe de bureau ! Si l’on analyse les différentes dimensions fonctionnelles d’une lampe du bureau, nous pouvons considérer qu’une lampe de bureau a pour principales fonctionnalités : -- d’éclairer (fonction d’utilité F1) ;
150
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
-- de ne pas éclairer (fonction d’utilité F2) ; -- de ne pas tomber… de tenir debout sur son pied ! (fonction d’utilité F3) ; -- d’être esthétique… le cas échéant ! (fonction d’utilité F4) ; -- de protéger par défaut son utilisateur des risques électriques associés à son usage (fonction d’utilité F5). Les différentes composantes d’une lampe de bureau, pour simplifier, peuvent se détailler de la manière suivante : un pied de lampe, une douille, une ampoule, un abat-jour, une fiche électrique, un conducteur électrique et un interrupteur. L’AMDEC de la lampe de bureau peut donc être présentée de la manière suivante : Composant pied : Fonction concernée : F3, F4. Mode de défaillance : le pied peut être cassé. Effet : risque de chute de la lampe, risque de blessure lorsque la lampe chute, perte d’esthétisme. Détection : visible a priori. Composant douille : Fonction : F1. Mode de défaillance : la douille peut être déformée, dégradée. Effet : l’ampoule ne fonctionne plus. Détection : impossibilité de mettre l’ampoule dans la douille. Composant ampoule : Fonction : F1, F5. Mode de défaillance : ampoule cassée. Effet : n’éclaire plus. Détection : visible. Etc. Ainsi, le composant « interrupteur » pourra être bloqué, ne fonctionnera plus à l’allumage ou à l’extinction, ou pourra être mal isolé, provoquant des risques de court-circuit, d’électrisation, de perte de fonction d’utilité d’éclairage, etc.
151
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
L’objectif d’un AMDEC constitue ensuite à critériser, pour chaque mode de défaillance les enjeux de criticité relevés au titre, par exemple : -- des enjeux sécuritaires (enjeux prioritaires : mise en danger de la sécurité des personnes et des biens) ; -- des enjeux esthétiques (dans le cas présent !) ; -- des enjeux fonctionnels (pérennisation des fonctions d’utilité). À l’issue de l’AMDEC, vous disposez ainsi d’une photo nominale des modes de défaillances à considérer, de leurs impacts, et de la manière de les critériser afin de prioriser leur traitement de la meilleure façon.
L’AMDEC constitue très souvent l’outil méthodologique de base en gestion des risques ; la critérisation des impacts de chaque mode de défaillance, par composante, demeure toujours riche de sens dans la réflexion et la décision « risque » à prendre face à chaque enjeu.
L’utilisation des arbres décisionnels Parmi les outils fréquemment utilisés en gestion des risques figure l’utilisation de trois arbres différents : l’arbre de défaillances, l’arbre des causes et l’arbre d’événements. Ces trois arbres sont similaires dans leur présentation mais proposent des fonctionnalités distinctes. L’arbre de défaillances est une méthode qui débute à partir de l’événement final pour remonter vers les causes et les conditions ayant permis sa survenance. Un arbre de défaillances vise à proposer une représentation visuelle des différentes combinaisons susceptibles de produire l’événement final. L’arbre de défaillances repose donc sur la définition précise et avec grande clarté de l’événement final à considérer. Par exemple, la collision de deux voitures ou la collision n’impliquant qu’une voiture ne constitue pas le même événement final. Ce point d’entrée – et la précision de sa définition – sera essentiel dans l’élaboration d’un arbre de défaillances performant et pertinent.
152
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
Bien définir l’événement final, point d’entrée et clé de la réussite d’un arbre de défaillances. À l’appui de cet événement final, source de l’arborescence, il reste à détailler les séquences intermédiaires et les connexions logiques entre chaque événement. Un système normalisé de représentation visuelle des événements et des connecteurs existe. Par exemple : -- Rectangle : événement final, ou événement intermédiaire. -- Rond : événement de base. -- Rectangle surmonté d’un triangle : condition. -- Losange : attente. -- Connecteurs « et », connecteur « ou » sont différenciés. Il existe un certain nombre de règles et principes à respecter lors de l’utilisation d’un arbre de défaillances : -- un seul connecteur par événement ; -- assurer l’indépendance des branches entre elles ; -- décrire des séquences d’événements réels (et non souhaités) ; -- mutualiser les connaissances de plusieurs acteurs lors de l’élaboration de l’arbre ; -- ranger et trier les informations ; -- séparer les fonctions d’animation et d’apport d’expertise lors de l’élaboration de l’arbre ; -- travailler en équipe ; -- face à la complexité, progresser par palier à l’appui de coupe, c’est-à-dire de regroupement d’événements permettant de définir un « événement sommet » ; ne pas hésiter à séquencer au maximum l’arbre en « sousarbres », pour simplifier la lecture. Exemple d’un arbre de défaillances simple : vous vous retrouvez face à la porte de votre garage, dans l’impossibilité de l’ouvrir. Si vous souhaitez
153
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
décrire la situation à l’appui d’un arbre de défaillances, vous pourriez le décrire ainsi : Événement sommet : porte de garage fermée Branche 1 : serrure fermée Sous-branche 1 : non fonctionnement de la télécommande Code erroné Code bon non connu Code bon oublié Télécommande hors service Télécommande dont les piles sont hors d’usage Télécommande dégradée (choc) Défaillance de réception du signal de la télécommande Perturbations électromagnétiques ou électriques Sous-branche 2 : non fonctionnement de la serrure Absence de clé Clé perdue Clé laissée à la maison Serrure obstruée Serrure cassée Branche 2 : Ouverture défaillante Sous-branche 1 : non fonctionnement du moteur électrique d’ouverture de la porte Défaillance de l’alimentation électrique Panne du moteur Défaillance de la transmission Sous-branche 2 : non fonctionnement du mécanisme d’ouverture Porte coincée Personne obstruant l’ouverture Objet obstruant l’ouverture L’arbre des causes est une méthode différente de l’arbre de défaillances. Elle part d’un événement qui s’est produit et présente la combinaison des facteurs ayant entraîné la concrétisation de l’action. En conséquence, l’arbre des causes ne traduit qu’un seul scénario dans l’enchaînement des 154
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
actions. Contrairement à l’arbre de défaillances qui propose les différentes possibilités de réalisation de l’événement final, l’arbre des causes ne traduit qu’un seul scénario, car cette méthode s’attache à identifier avec précision la causalité de l’événement ayant conduit à la concrétisation du risque. Le schéma sera structuré de la même manière (à partir du résultat final du risque consacré), mais sa déclinaison en causalité sera unique, une seule mécanique d’événements ayant produit le risque concrétisé. À la différence de l’arbre de défaillances, un seul scénario effectivement réalisé sera décrit en méthode d’arbre des causes. Enfin, l’arbre d’événements part d’un événement et décrit les conséquences que ce dernier peut engendrer. Par essence, l’arbre d’événements se réalise donc à l’appui du raisonnement inverse des précédents : il part de la cause pour aller vers les conséquences, alors que les méthodes précédentes partent des conséquences pour identifier les causes (ou la mécanique des causes unique).
Il existe trois outils d’arborescence puissants et complémentaires : l’arbre de défaillances, l’arbre des causes et l’arbre d’événements. À la différence des arbres de défaillances et de causes, l’arbre d’événements part en sens inverse : il part de la cause pour aller vers les conséquences. La base de la réflexion dans l’élaboration d’un arbre d’événements doit pouvoir répondre à la question suivante : que se passe-t-il, si ? Exemple : prenons la cause « feu dans une poubelle ». Feu dans une poubelle : Le feu est-il détecté ? Si non => incendie Si oui ðL’acteur présent à proximité réagit-il correctement ? l l
si non => incendie si oui => l’extincteur fonctionne-t-il ? n si oui : feu éteint n si non => incendie
155
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
L’utilité de ces trois méthodes d’arborescence repose fondamentalement sur une combinaison analytique riche de sens. Partir des causes vers les conséquences, ou cheminer à l’inverse permet de bien maîtriser les différentes chaînes de causalité et définir au mieux les séquences d’événements ou de causalité susceptibles d’engendrer un risque. Les arbres de défaillances, de causes ou d’événements sont différents dans leur conception mais complémentaires dans leur utilisation. Sachez les manipuler lors de vos réflexions orientées « risques ».
La méthode MOSAR La méthode MOSAR est également utilisée dans le cadre des installations industrielles, ou dès lors que la complexité des installations et des interactions entre les équipements, les machines, les produits et les stocks apparaît significative. MOSAR est l’acronyme de « Méthode Organisée Systémique d’Analyse des Risques ». Cette démarche fait fondamentalement appel à la modélisation systémique et s’articule autour de deux visions différentes mobilisées de manière complémentaire : -- La mise en oeuvre d’une vision macroscopique, destinée à réaliser une analyse des risques de proximité (l’analyse des risques principaux). -- La mise en oeuvre d’une vision microscopique, qui s’attache à une analyse détaillée et complémentaire des dysfonctionnements techniques et opérationnels, dédiée à une lecture de type « sûreté de fonctionnement ». Le modèle conceptuel mis en oeuvre s’appelle le MADS, terminologie décrivant une méthodologie de dysfonctionnement des systèmes, également appelé « l’univers des dangers ». Cet univers des dangers, modélisé conceptuellement par Jean-Louis Le Moigne, s’inscrit dans la somme des interactions entre deux systèmes : un système appelé système source engendrant la source du flux de danger, et un système cible, qui subira les effets du flux de danger émis par le système source. L’articulation de MADS dans la démarche systémique MOSAR s’appelle la méthode MADS MOSAR, usuellement utilisée dans les approches de gestion des risques industriels complexes. 156
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
Dans toute méthode MADS MOSAR, la modélisation du système en présence s’articule autour de grandes étapes consécutives : 1. La décomposition du système industriel étudié en sous-systèmes. Bien que non obligatoire, cette étape permet de simplifier la représentation et la détermination des enjeux risques à considérer. Elle peut se réaliser de multiples manières, en fonction du système considéré : -- décomposition hiérarchique des sous-systèmes en présence, en fonction notamment des relations entre chaque sous-système (par ordre chronologique des séquences, par exemple) ; -- décomposition topologique des sous-systèmes, en fonction de la distribution dans l’espace des différents sous-sytèmes en présence (localisation géographique séquençant les systèmes entre eux) ; -- décomposition fonctionnelle des sous-systèmes, en fonction de leur séquençage et de leurs interactions, sur la base d’une approche classique par les processus. 2. Identification des sources de danger : -- décomposition de chaque source de danger pour chaque sous-système en présence ; -- détermination des processus de danger en présence dans chaque sous-système. 3. Identification des scénarios de dangers, pour chaque sous-système en présence, à l’appui des méthodologies disponibles (AMDE, arborescences). 4. Évaluation des scénarios de danger, à l’appui de la critérisation gravité/ occurrence. 5. Détermination des moyens de protection et de prévention, à l’appui de barrières technologiques (statique : un capot de protection), dynamique (soupape de sécurité) ou de barrières d’utilisation (nécessitant une intervention humaine : action manuelle, protection individuelle de l’acteur sur site, etc.). 6. Identification des risques de dysfonctionnements opératoires ou techniques (à l’appui également des démarches AMDEC, HAZOP). Cette démarche permet de modéliser la multitude de risques techniques susceptibles de générer des impacts significatifs en environnement industriel. Nous invitons le lecteur curieux, de profil technique ou ingénierie, à approfondir les dispositifs en détail, l’objet de notre ouvrage 157
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
se limitant à sensibiliser aux enjeux opérationnels de toutes les entreprises, et pas uniquement ceux relatifs aux enjeux industriels.
Les méthodes MADS et MOSAR s’inscrivent dans une démarche structurée de l’appréhension du risque industriel. Elles nécessitent une lecture technique poussée des installations et des systèmes en présence et s’appuient très souvent sur les compétences techniques et en ingénierie de ses utilisateurs.
Des méthodes statistiques poussées Au-delà des méthodes décrites, il existe également de nombreuses démarches méthodologiques dont les fondamentaux se basent sur les modèles statistiques d’occurrence des événements et les calculs complexes de probabilité. Nous citerons simplement pour mémoire les démarches suivantes, susceptibles d’être un jour portées à votre intérêt : -- les simulations dites de Monte-Carlo ; -- le réseau de Petri (RdP). Ces méthodes reposent sur des modélisations statistiques poussées dans une démarche non plus qualitative, mais quantitative du risque. Elles consistent, pour l’essentiel, à modéliser les comportements des événements – et donc la probabilité d’occurrence des risques – à l’appui de la mise en oeuvre de processus stochastiques. Fondamentalement, l’appréhension des risques repose sur des enjeux sécuritaires (visant à réduire la fréquence d’occurrence des événements de risques), mais aussi sur des enjeux de disponibilités des outils et des méthodes industrielles, appelant, quant à eux, une lecture plus fréquente des événements. C’est plutôt dans ce contexte que les démarches probabilistes trouvent tout leur sens. Historiquement bâties sur la théorie du hasard et des jeux, les simulations de Monte-Carlo reposent sur les lois de probabilité décrivant les fonctions aléatoires d’événements et appuyées par les lois exponentielles, la théorie
158
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
de l’incertitude, etc. Il n’est pas dans notre volonté d’approfondir ces démarches, trop mathématiques et conceptuelles à notre goût. Néanmoins, vous pourrez peut-être être amené un jour à devoir utiliser les théories statistiques portées par ces méthodes dans la modélisation de vos risques. Si tel est le cas, et si vous n’êtes pas matheux, bon courage ! Comme vous l’avez vu, les méthodes et les référentiels ne manquent pas si vous souhaitez un jour explorer les démarches de maîtrise des risques industriels. Il vous appartiendra, par la suite, de déterminer la démarche que sera la mieux à même de répondre à vos contraintes et à vos besoins.
159
Chapitre 3 Environnement, hygiène, sécurité Un autre niveau de lecture et d’analyse du risque industriel consiste à déployer une démarche destinée à détecter et respecter toutes les exigences relatives aux contraintes d’environnement, d’hygiène et de sécurité. L’objectif de cette démarche vise à considérer le risque industriel à travers le prisme des enjeux réglementaires et sécuritaires existants, et d’en déduire une politique de risques industriels répondant simplement mais fondamentalement à l’exigence de pérennisation de l’acteur dans le système, qu’il soit interne et externe, endogène ou exogène à l’entreprise, à la lumière des enjeux réglementaires à respecter. La démarche consiste donc à collecter puis compiler l’intégralité des exigences réglementaires présentes au titre des quatre niveaux de lecture à prendre en compte dans toute démarche industrielle : -- La sécurité de l’homme dans le système entreprise : rédaction et actualisation du Document Unique d’identification des risques professionnels en présence, sécurisation des pratiques « métier » et des personnels sur le lieu de travail, respect des obligations et des usages au titre des obligations sécuritaires de l’employeur. -- La préservation de l’environnement et la limitation de l’impact environnemental des activités de l’entreprise : gestion traitement des déchets, consommation responsable, maîtrise des enjeux de pollution subie ou causée à l’environnement, bilan carbone, responsabilité sociale et environnementale de l’entité, etc.
161
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- La mise en sécurité des actifs, des procédés, des méthodes et des démarches opérationnelles et industrielles de l’entreprise. -- La mise en sécurité des pratiques « métier ». L’avantage de cette démarche réside pour l’essentiel d’appuyer toute action sur la base du corpus légal applicable existant. L’entreprise s’approprie le cadre réglementaire exigé et l’applique simplement, ni plus, ni moins. Si la législation est laxiste sur certaines dimensions ou enjeux de risques, l’entreprise décide – ou non – d’enrichir sa propre lecture de l’exigence. De nombreuses entreprises industrielles limitent ainsi leur lecture des risques industriels à ceux identifiés par les instances au titre des enjeux et obligations réglementaires, et se limitent à cette lecture. Cette démarche constitue un bon début de prise de conscience, mais apparaît souvent trop limitée à circonscrire la réalité des enjeux industriels et opérationnels à conduire, au-delà des effets recherchés.
L’entreprise peut appréhender ses risques industriels à travers l’échelle initiale des exigences réglementaires au titre des enjeux environnement, hygiène et sécurité tels que précisés par les instances réglementaires en présence. Cela peut constituer un bon point d’entrée de l’enjeu, mais il apparaît souvent trop limité compte tenu du dimensionnement réel de la problématique à considérer dans la réalité.
162
Chapitre 4 Protection des personnes et des biens Avec humilité, lucidité et pragmatisme, il peut tomber sous le sens de considérer que toute démarche de maîtrise des risques industriels d’une entreprise s’articule autour de deux nécessités différentes et complémentaires : -- assurer la sécurité des personnes ; -- assurer la sécurité des biens. Ce double axe de questionnement permet de considérer le risque industriel selon une approche relativement pragmatique : explorer les fragilités des systèmes opérationnels industriels en présence, en fonction des acteurs et des actifs qui les composent. La démarche que nous proposons, complémentaire aux précédentes, s’appuie sur un questionnement finalement assez simple, mais dont l’exhaustivité permet d’identifier au mieux les principaux enjeux industriels à couvrir.
Le risque industriel peut également être appréhendé à l’appui d’un double questionnement simpliste mais perspicace : quelles sont les personnes exposées ? Quels sont les actifs exposés ? Et, à quoi ?
163
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Sécurité des personnes Identifier et traiter le risque industriel à partir de ce premier axe consiste pour l’essentiel à réaliser trois actions différentes et complémentaires : 1. Quelles les personnes susceptibles d’être exposées aux risques industriels au sein d’un système industriel, quel qu’il soit ? 2. Quelles sont les activités desdites personnes concernées, susceptibles d’engendrer la concrétisation éventuelle d’un risque industriel ? 3. Quels sont les risques industriels susceptibles de porter atteinte à ces personnes ? Chacune de ces questions doit être traitée pour chaque système industriel mis en oeuvre. On entend par système industriel l’ensemble des actifs et des activités déployés pour la réalisation d’une tâche ou d’un procédé industriel. La première étape consiste donc à identifier, de manière exhaustive, l’intégralité des personnes physiques susceptibles d’être exposées aux risques industriels. Cette phase se réalise par nature d’acteurs au sein du système industriel. Cet inventaire des acteurs doit être réalisé méthodiquement, sans exclusive ni omission. L’objectif ne consiste pas à surreprésenter une typologie de personnes ou de fonctions, ni à en omettre une. Voici un exemple de type d’acteurs, par nature, pour une chaîne de conditionnement, lors de la réalisation de cette phase d’inventaire : -- techniciens opérateurs sur la chaîne de conditionnement proprement dite (les salariés qui travaillent physiquement sur la chaîne de conditionnement) ; -- techniciens opérateurs des pupitres de pilotage et de commande des équipements (les salariés qui travaillent physiquement à proximité de la chaîne, sur les consoles de pilotage, de paramétrage) ; -- techniciens opérateurs qui procèdent à l’approvisionnement amont de la chaîne de conditionnement (sourcing de la chaîne considérée, à alimentation manuelle ou automatique) ; -- techniciens opérateurs qui procèdent à la gestion des éléments de sortie de la chaîne de conditionnement (salariés figurant en aval de la chaîne : colisage, palettisation, logistique par exemple) ; 164
PROTECTION DES PERSONNES ET DES BIENS
-- techniciens qualité qui procèdent à des prélèvements ou des actions de contrôle sur la chaîne de conditionnement ; -- visiteurs externes susceptibles de se trouver à proximité de la chaîne de conditionnement (client, fournisseurs, médias, jeunes en formation, etc.…) ; -- encadrement des acteurs précédents susceptibles de réaliser des visites de contrôle ou de pilotage ; -- acteurs de maintenance ou d’entretien de la chaîne de conditionnement (fabricant, mainteneur professionnel) ; -- acteurs de maintenance des flux adossés à la chaîne de conditionnement (énergie, climatisation, froid, électricité, etc.) ; -- voisins dont la maison est située à moins de 100 m de la chaîne de conditionnement ; -- public passant à proximité de la chaîne de conditionnement (voirie) ; -- etc.
Identifier chaque acteur susceptible d’être un jour exposé à un risque industriel, et ce pour chacun des systèmes industriels présents au sein de l’organisation.
165
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À l’issue de cet inventaire des personnes physiques susceptibles d’être un jour exposées en cas de survenance d’un risque industriel, il va ensuite être nécessaire d’identifier les tâches élémentaires réalisées par chaque personne sur ou à proximité du système industriel considéré. Ainsi, il convient de décomposer l’intégralité des modes opératoires de chaque acteur potentiellement exposé. Cette décomposition peut être extrêmement complexe (multitude et complexité des actions réalisées par la personne considérée) ou totalement restreinte (déplacement physique uniquement à proximité de la chaîne de conditionnement). Par exemple, dans le cas précédent : Techniciens opérateurs réalisant l’approvisionnement de la chaîne de conditionnement : P1 : Chercher les caisses plastiques sur lesquelles sont positionnés les produits finis destinés au conditionnement. Chaque caisse est déposée sur des racks de stockage, situés à 5 m de la chaîne de conditionnement. P2 : Prélever une caisse plastique et la positionner sur la table placée à l’amorce de la chaîne. P3 : Sortir les produits finis trois par trois et les installer sur le tapis roulant, d’une manière précise (positionnement, espacement, etc.). P4 : Lorsque la caisse est vide, dépose de la caisse sur un rack prévu à cet effet, etc. Au-delà de cet exemple trivial, il est important d’identifier les modes opératoires réalisés par l’acteur au contact du système industriel considéré. À l’issue de cette action de décomposition des tâches par acteur, la dernière étape consiste à identifier les multiples risques susceptibles d’exposer le salarié considéré. Dans le cas présent, les risques peuvent être identifiés de la manière suivante, par processus, par exemple pour le processus P1 du cas volontairement trivial précédent : Risques : -- renversement du rack de stockage sur le salarié ; -- renversement d’une caisse plastique à la sortie du rack de stockage, blessant le salarié ; -- erreur de manipulation lors de la saisie d’une caisse plastique, engendrant une perte ou une dégradation des produits finis ; 166
PROTECTION DES PERSONNES ET DES BIENS
-- erreur de manipulation lors de la saisie d’une étagère du rack de stockage ; -- chute d’une caisse plastique à la suite d’une mauvaise préhension ; -- mauvais conditionnement unitaire du produit final occasionnant une blessure à l’opérateur ; -- défaut du produit final impactant le salarié (défaut intrinsèque du produit fini) ; -- défaut de la caisse plastique entraînant une blessure de l’opérateur ; -- défaut du rack engendrant une blessure ; -- perte de lumière, empêchant le salarié de poursuivre son action ; -- inondation du site où se trouve le salarié lors du processus P1 ; -- dégradation de l’environnement où se trouve le salarié lors du processus P1 : fumée, incendie, défaillance électrique, etc. ; -- chaleur ou froid excessif sur le site où se trouve le salarié lors du processus P1 ; -- etc. L’identification des risques, par mode opératoire et par salarié, sera donc relativement longue. Mais il sera utile à considérer, notamment pour identifier les personnes susceptibles d’être un jour affectées par l’émergence d’un risque industriel, et qui ne seraient pas identifiées « spontanément » soit par leur caractère atypique, soit par leur petit nombre (par exemple : salariés intérimaires ou sous-traitance procédant au nettoyage d’une chaîne en dehors des heures habituelles d’intervention ; mainteneur informatique réseau à proximité des équipements productifs ; usagers à mobilité réduite ; personnels handicapés non prévus sur la chaîne de production, etc.).
Identifier l’intégralité des acteurs présents à proximité de chaque système industriel. Inventorier les modes opératoires réalisés et leurs risques associés. Une grande vigilance est à observer notamment pour les personnes présentant un profil atypique (présence d’un handicap, difficulté de mobilité, corpulence, taille hors norme, etc.). Classiquement, la lecture des risques relatifs à la sécurité des personnes dans le cadre de leur activité professionnelle sera réalisée à l’appui de la rédaction du Document Unique. 167
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Document unique Le DUER (Document Unique d’Évaluation des Risques) traduit dans la législation française l’obligation faite à tout employeur d’évaluer les risques pouvant nuire à la sécurité du travail du salarié. Ce document structuré s’articule autour de plusieurs obligations : -- lister et hiérarchiser les risques en présence pour le salarié ; -- mettre en place des plans d’action visant, à travers différentes préconisations, à réduire voire supprimer les risques identifiés ; -- réaliser une réévaluation des risques en présence, a minima tous les ans. L’absence de ce Document Unique peut être lourde de sens en cas de contrôle de l’inspection du Travail. En cas de maladie professionnelle ou d’accident du travail, la responsabilité civile de l’employeur peut être engagée si la faute inexcusable est retenue. Au-delà des dimensions réglementaires et obligatoires attachées à ce type de document, il peut être judicieux de considérer le DU comme un vecteur essentiel de la politique de mise en sécurité des salariés sur le lieu de travail, au titre de la sécurité individuelle des personnes. En effet, pour chaque poste de travail dans l’entreprise, l’employeur est tenu d’identifier, à l’appui de ce Document Unique : -- les dangers en présence ; -- les risques en présence ; -- les conséquences des risques identifiés, en cas de survenance ; -- les causes de survenance des risques ; -- l’estimation de la gravité des risques, en cas de survenance ; -- l’estimation de la fréquence d’occurrence des enjeux en présence ; -- les mesures de prévention déployées par l’employeur. Pour chacun des postes de travail en présence dans l’entreprise, de multiples risques sont susceptibles d’être identifiés. Par exemple, et pour un acteur : -- risque routier, risque lié à l’utilisation d’un téléphone portable : accident ; 168
PROTECTION DES PERSONNES ET DES BIENS
-- pollution urbaine et gaz d’échappements ; -- agressions physiques et verbales ; -- station assise prolongée, contraintes de circulation du sang ; -- chute de hauteur, chute de plain-pied (neige, verglas) ; -- travail sur écran en permanence ; -- gestes répétitifs lors de la frappe sur le clavier ; -- manutention de dossiers pour consultation, mise à jour, archivage ; -- pression des clients ; -- bruit du téléphone ; -- nuisances organisationnelles ; -- risque incendie ; -- travail en périodes de fortes chaleurs ; -- harcèlement moral, harcèlement sexuel ; -- bruit des moteurs, des équipements, des outils, des machines utilisées ou à proximité ; -- produits gras, salissants, odeurs incommodantes ; -- lombalgies en cas d’efforts ; -- projection de corps étrangers dans les yeux (chaîne de production) ; -- port de charges (pièces détachées, outils, fournitures) ; -- etc. Face à ces différents risques typiques en fonction productive ou administrative des Documents Uniques, les actions de préventions suivantes peuvent être envisagées ou déployées, sous la responsabilité de l’employeur : -- respect de la réglementation des temps de conduite et des temps de repos (avec archivage des disques de chrono-tachygraphe ou utilisation d’outils numériques de collecte de données) ; -- ergonomie du poste de conduite (siège adapté réglable, protection éventuelle contre les agressions…) ; -- entretien mécanique, pneumatique, électronique du véhicule ;
169
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- visites médicales périodiques, examens approfondis des parties sensibles exposées (yeux) ; -- comportement sensibilisation) ;
adapté
aux
agressions
verbales
(formation,
-- écran d’ordinateur de bonne qualité, antireflet, nettoyé régulièrement ; -- organisation du temps de travail préservant les salariés ; -- suppression du tabagisme passif (en cohérence avec la loi sur le tabac) ; -- gestion des pauses et alternance des tâches (polyvalence des activités pour réduire la redondance) ; -- affichage de consignes concernant le harcèlement moral (formation, sensibilisation) ; -- rappeler les postures à adopter devant son écran ou sur son poste de travail ; -- protections individuelles de sécurité (gants, casques, masques, chaussures, tenues, etc.) ; -- aération et ventilation du local, chauffage et éclairage suffisants ; -- produits dangereux étiquetés et stockés dans des endroits dédiés et sécurisés le cas échéant ; -- outils en bon état et adaptés à la tâche ; non détournement des usages ou des utilisations ; -- extincteur à proximité des postes sensibles et/ou des équipes ; -- connaissance de la signalisation de sécurité et des symboles spécifiques des produits sensibles ou dangereux ; -- interdiction de boire, de manger et de fumer sur le lieu de travail ; -- consignes de sécurité et procédures d’évacuation affichées ; -- mise à la terre des appareils électriques, prises de courant protégées, infrastructure respectant les normes sécuritaires ; -- réduction du bruit à la source, port de protection individuelle ; -- réseau électrique aux normes et régulièrement contrôlé ; -- maîtrise des déchets, processus de traitement et de recyclage ; -- évacuation adaptée des gaz, des fumées, des vapeurs, des flux risqués ; -- etc.
170
PROTECTION DES PERSONNES ET DES BIENS
Au-delà de la dimension réglementaire sous-jacente à la documentation et au maintien des DUER, force est de constater que le Document Unique a malheureusement été très souvent mal compris ou mal utilisé. Beaucoup de dirigeants ont considéré cet exercice de style réglementaire comme « l’exercice ultime du risque », car directement lié à la sécurité des salariés sur le lieu de travail. Une certaine « mécanisation » de la démarche a d’ailleurs été observée, certains prestataires proposant des DUER clés en mains, pré-remplis ! Cela constitue une hérésie absolue, chaque poste de travail, chaque environnement étant spécifique. Les DUER le seront également, par la force des choses. Or, la notion de risque en entreprise, et plus particulièrement des risques opérationnels, s’inscrit dans un périmètre immensément plus vaste que celui proposé par la lecture de l’exigence du Document Unique, auquel de nombreuses entreprises se réfèrent comme stratégie unique de gestion des risques. Autant le Document Unique peut constituer une porte d’entrée opportune pour aborder l’enjeu du risque et de la sécurité des personnes sur le lieu de travail, autant cette démarche ne saurait, à elle seule, consolider la pérennité d’une organisation. L’enjeu à considérer est bien plus vaste, à commencer par la problématique portée des risques opérationnels. Nous attirons donc votre attention sur le fait de ne pas limiter votre réflexion sur les risques au prisme du Document Unique, bien au contraire. Car, même si vous êtes peut-être en règle avec la législation du travail en vigueur, le réveil pourrait être beaucoup plus rude que vous ne l’imaginiez ! Les risques associés à la sécurité des personnes ne se cantonneront pas à l’inventaire parfois limité d’un Document Unique. Soyons-en tous bien conscients.
Le Document Unique ne constitue pas la panacée de l’évaluation des risques en entreprise. Bien que réglementaire, il constitue une porte d’entrée pertinente à l’enjeu de la sécurisation des personnes sur le lieu de travail, mais il ne saurait réduire l’exposition aux risques de l’entreprise à des problématiques exclusivement orientées « facteurs humains ».
171
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Élaborez avec la plus grande vigilance votre Document Unique. À l’opposé des solutions toutes faites, l’identification des risques professionnels résulte d’une lecture approfondie des modes opératoires des cycles d’activité de l’organisation.
De la sécurité des biens La seconde lecture à effectuer, complémentaire à la précédente, s’articule autour de l’identification exhaustive des actifs présents au sein d’un système industriel. De la même manière, il convient de procéder à une démarche en trois étapes distinctes : 1. Identification de la liste des actifs en présence au titre du système industriel considéré : équipements, machines, outils, consommables, pièces, outils manuels, etc. 2. Détermination, par mode opératoire, de l’usage de chaque actif (quelle machine est utilisée quand, et pourquoi). 3. Identification des processus industriels d’utilisation des actifs (séquence des actions réalisées à l’appui de l’actif considéré) et des risques associés, par actif. De la même manière que pour la sécurité des personnes, la sécurité des biens doit être maîtrisée dans le cadre du risque opérationnel en identifiant, pour chaque actif, les risques susceptibles de remettre en cause la pérennité de l’actif proprement dit. Cette remise en cause de l’intégrité de l’actif se réalise bien évidemment à l’appui d’une classification efficace des actifs, selon la démarche présentée précédemment.
Complémentaires aux démarches dédiées à la sécurité des personnes, la mise en sécurité des biens – donc des actifs de l’entreprise – doit faire partie intégrante de toute démarche de maîtrise des risques opérationnels et, plus particulièrement, des risques industriels. Ainsi, pour chaque actif (ou bien) déterminé, il y a lieu d’identifier les risques susceptibles de remettre en cause l’utilisation normale du bien, que cette cause soit endogène ou exogène à l’actif lui-même. Prenons l’exemple d’une machine-outil : -- détérioration de l’actif par cause externe : incendie ; 172
PROTECTION DES PERSONNES ET DES BIENS
-- détérioration de l’actif par cause externe : inondation ; -- détérioration de l’actif par cause externe : choc ; -- détérioration de l’actif par cause externe : explosion ; -- détérioration de l’actif par cause interne : dysfonctionnement interne (corrosion, implosion) ; -- détérioration de l’actif par cause externe : mauvaise manipulation par l’opérateur ; -- détérioration de l’actif par cause externe : défaut du produit (intégration, séquence de production, etc.) ; -- détérioration de l’actif suite à mauvaise opération ou cycle de maintenance ; -- détérioration de l’actif suite à absence de maintenance ; -- détérioration de l’actif suite à obsolescence, usure ou casse d’un composant contributif ; -- détérioration de l’actif suite à un acte malveillant ; -- détérioration de l’actif suite à un déficit de flux (huile, eau, air, carburant, liquide spécifique) ; -- détérioration de l’actif suite à un excès de flux non prévu (eau, matière première, etc.). Bref, l’identification des risques associés à un actif peut être extrêmement longue. Ou alors, très simple, lorsqu’il s’agit d’un outil. Là encore, la classification des actifs permettra de déterminer les biens pour lesquels une lecture prioritaire et attentive sera nécessaire. La granularité de l’identification des risques associés à un bien utilisé au sein d’un procédé industriel résulte intimement de la criticité de l’actif lui-même. Au final, la lecture « sécurité des personnes » puis « sécurité des biens » permet une approche complémentaire de l’identification des risques industriels, par systèmes industriels. Bien évidemment, il conviendra de découper l’organisation en systèmes industriels distincts et cohérents, puis d’affiner la lecture des procédés mis en oeuvre à l’appui des processus, procédures et modes opératoires déployés. Un travail de longue haleine, particulièrement délicat dans toute organisation industrielle. Le risque industriel ne doit souffrir d’aucune 173
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
approximation ou omission, compte tenu des risques en présence lors d’une activité de production ou de transformation, quelle qu’elle soit.
174
Chapitre 5 Risque environnemental et risque image Intimement lié aux enjeux industriels, le risque environnemental et le risque image de l’organisation s’inscrivent en filigrane dans toute perspective de maîtrise des enjeux industriels. Les derniers exemples récents de catastrophes industrielles positivement ou négativement gérées, rappellent à tous que l’entreprise, quelles que soient sa taille, son activité ou son histoire, doit impérativement, et de plus en plus, maîtriser son impact sur l’environnement et stabiliser au quotidien, au fil de l’eau, son image institutionnelle. La concrétisation d’un risque industriel, quel qu’il soit, expose d’autant plus l’entreprise considérée à ces deux enjeux désormais majeurs pour nos sociétés modernes. Tout le monde se souvient de l’impact extrêmement négatif de l’explosion de la plateforme Deepwater Horizon, dans le golfe du Mexique, pour le Groupe BP, ses partenaires et ses sous-traitants concernés. Chacun d’entre nous a en mémoire la tempête médiatique qui se déchaîna à l’encontre de l’une des plus anciennes sociétés pétrolières du monde. Le coût du risque de ce dommage majeur à l’environnement demeure encore incertain (quarante milliards ? Cinquante milliards de dollars ?), et l’on ne mesure plus la perte économique et financière du groupe lorsque cette plateforme explosa. Le dommage environnemental constitue désormais un risque majeur que toute entreprise doit appréhender et maîtriser au mieux, et plus particulièrement toutes les entreprises présentant des enjeux industriels 175
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
dans le cadre des cycles d’exploitation. Fabriquer, transformer, livrer, stocker peut engendrer de sévères impacts à l’environnement. Il convient dès lors, pour chaque entreprise concernée, de considérer le risque environnemental à l’unisson du risque industriel.
Le risque environnemental est à considérer tout comme les dispositifs de maîtrise des risques industriels, compte tenu de l’enjeu sociétal qui lui est lié, désormais non négligeable. Divers référentiels normatifs permettent aujourd’hui de maîtriser au mieux les contextes et impacts environnementaux de l’entreprise au titre de ces processus opérationnels. Cette démarche de maîtrise du risque environnemental par rapport aux risques industriels doit être comprise tant concernant les risques environnementaux causés que subis par l’entreprise. Exemple : la pollution d’une rivière, suite au déversement d’un déchet toxique émanant d’un processus industriel, constitue une atteinte à l’environnement. Mais la contamination de ses propres stocks de produits finis suite à un dégagement chimique d’un hangar voisin au vôtre constitue également une préoccupation environnementale à maîtriser. Les normes ISO proposent dans le cadre de leurs dispositifs des standards dédiés aux risques environnementaux. Sachez les adopter le cas échéant : ils peuvent constituer une base pertinente de réflexion, notamment lors de la phase des risques environnementaux en présence. Afin de détecter au mieux les enjeux environnementaux, ne pas négliger de consulter l’intégralité des éléments documentaires et réglementaires mis à la disposition des entreprises par les instances officielles et des collectivités locales et territoriales présentes : mairies, communauté d’agglomération, syndicats des Eaux et Forêts, ministère de l’Écologie, du Développement durable et de l’Énergie, directions spécialisées dans l’environnement, écologistes, etc. Le risque environnemental n’est pas à négliger, vous l’aurez compris. Autant l’intégrer par défaut à toute réflexion relative aux risques industriels, par souci d’efficacité et de pérennité.
176
RISQUE ENVIRONNEMENTAL ET RISQUE IMAGE
Du risque image Lorsque l’entreprise met en oeuvre des processus industriels, le risque image ou de réputation de l’organisation s’en trouve décuplé. Car la sensibilité de la sphère publique (et de la collectivité en général) se rapportant aux processus industriels susceptibles de créer des risques pour les biens, les personnes et l’environnement, est particulièrement avérée. Bien évidemment, tout risque industriel nuisant à la santé ou à la salubrité publique impactera de manière significative l’image de l’entreprise responsable du dommage. Qu’il s’agisse d’une pollution environnementale ou de la mise en danger de la vie d’autrui, la maîtrise de l’image s’appuie notamment sur la maîtrise des processus industriels mis en oeuvre par l’organisation. Bien qu’intimement liée à la maîtrise des risques industriels, la question de la maîtrise du risque d’image relève d’une classe de risques particulière, que nous vous invitons à traiter de manière dédiée. Nous invitons le lecteur curieux à se référer aux publications relatives à cet enjeu d’importance, mais que nous ne saurions considérer comme un risque opérationnel à part entière.
L’image et/ou la réputation de l’organisation peut être significativement impactée en cas de risque industriel concrétisé. Toutefois, il s’agit d’une classe de risques particulière, qu’il convient de traiter de manière dédiée.
177
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À retenir • Le risque industriel apparaît dès que l’entreprise met en oeuvre un modèle de production ou de transformation, quelle qu’en soit la complexité. • Il existe de nombreuses démarches méthodologiques dédiées à la maîtrise des risques industriels : lequel correspond le mieux à votre organisation ? • La méthode APR constitue un prérequis méthodologique essentiel dans toute démarche de maîtrise des risques industriels. • La méthode HAZOP constitue un référentiel usuel en risques industriels. Sa mise en oeuvre se fonde sur la décomposition du système industriel en sous-systèmes. • L’AMDEC constitue très souvent l’outil méthodologique essentiel en gestion des risques. • Il existe trois outils d’arborescence puissants et complémentaires : l’arbre de défaillances, l’arbre des causes et l’arbre d’événements. À la différence des arbres de défaillances et de causes, l’arbre d’événements part en sens inverse : il débute de la cause pour aller vers les conséquences. • L’entreprise peut appréhender ses risques industriels à travers le prisme initial des exigences réglementaires au titre des enjeux Environnement, Hygiène, Sécurité. Cela peut constituer un bon point d’entrée de l’enjeu, mais il apparaît souvent trop limité. • Le risque industriel peut être appréhendé à l’appui d’un double questionnement simpliste mais perspicace : quelles sont les personnes exposées ? Quels sont les actifs exposés ? Et, à quoi ? • Identifier l’intégralité des acteurs présents à proximité de chaque système industriel. Inventorier les modes opératoires réalisés et leurs risques associés. 178
RISQUE ENVIRONNEMENTAL ET RISQUE IMAGE
• Le Document Unique ne constitue pas la panacée de l’évaluation des risques en entreprise. Il ne saurait réduire l’exposition aux risques de l’entreprise à des problématiques exclusivement orientées « facteurs humains » et sécurité physique des acteurs. • Élaborez avec la plus grande vigilance votre Document Unique. À l’opposé des solutions toutes faites, l’identification des risques professionnels résulte d’une lecture fine des modes opératoires des cycles d’activité de l’organisation. • Complémentaire aux démarches dédiées à la sécurité des personnes, la mise en sécurité des biens doit faire partie intégrante de toute démarche de maîtrise des risques industriels. • Le risque environnemental est à considérer en même temps que les dispositifs de maîtrise des risques industriels, compte tenu de l’enjeu sociétal lié, désormais non négligeable. • L’image et/ou la réputation de l’organisation peut être significativement impactée en cas de risque industriel concrétisé. Toutefois, il s’agit d’une classe de risques particulière, qu’il convient de traiter de manière dédiée.
179
Partie 4
RISQUES JURIDIQUES, INFORMATIQUES, SOCIAUX : DES ENJEUX OPÉRATIONNELS CRITIQUES À NE PAS NÉGLIGER
Introduction « On ne veut pas, c’est le motif, on ne peut pas, c’est le prétexte. »
Sénèque
Nous pourrions limiter l’appréhension des risques opérationnels aux enjeux définis précédemment, en s’attachant à une définition restreinte de la problématique. Ainsi, la réflexion sur les risques opérationnels pourrait essentiellement se concentrer sur l’impérieuse nécessité de sécuriser les personnes et les biens dans le cadre de la réalisation de l’objet social de l’organisation. Cette conception limitative de la notion de risques opérationnels pourrait donc nous conduire à dédier toute action de maîtrise desdits risques aux menaces associées aux cycles d’exploitation de l’entreprise, avec impact direct ou indirect pour le client, dans une réflexion purement sécuritaire des personnes et des biens. Une démarche de cette nature conduit à considérer les risques opérationnels uniquement sous le prisme des enjeux associés, de près ou de loin, et pour simplifier, aux problématiques EHS (Environnement, Hygiène, Sécurité) des acteurs et des actifs de l’entreprise. Cette considération est tout à fait légitime. Elle peut prendre ainsi tout son sens lorsqu’on considère, par exemple, une entreprise dédiée à la transformation ou à la production d’un produit ou d’un bien. Toute activité industrielle peut, légitimement, restreindre le spectre des risques opérationnels aux problématiques industrielles, éventuellement élargies aux questions environnementales. Mettre en oeuvre des processus 183
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
industriels engendre tellement de risques quotidiens que réduire les risques opérationnels aux enjeux d’exploitation au jour le jour peut se justifier pleinement. Or, cette lecture peut s’avérer parfois contre-productive car il existe trois grands thèmes d’intérêt qu’il convient de ne pas négliger. Bien au contraire. Et même s’ils n’apparaissent pas directement liés aux questions de sécurité des personnes et des biens. Quoi que... Quelle que soit son activité, toute organisation va mobiliser une multitude de ressources variées, et nourrir ainsi, au cours de ses cycles d’exploitation, de très nombreux risques susceptibles de remettre en cause sa pérennité. Et ce, dans le cadre de ses activités opérationnelles, même si celles-ci ne concernent pas directement une problématique client immédiate. Il s’agit de trois familles de risques que nous vous proposons de considérer comme faisant partie intégrante des risques opérationnels, compte tenu de leur criticité, mais aussi de leur récurrence. Car elles concernent toutes les entreprises et présentent une véritable exposition opérationnelle que nous vous invitons à explorer maintenant. Les trois enjeux que nous vous conseillons de considérer de manière complémentaire à toute démarche dédiée aux risques opérationnels concernent les périmètres suivants : -- les risques juridiques ; -- les risques informatiques ; -- les risques sociaux et psychosociaux, que nous considérerons sous le terme synthétique de « facteurs humains ». Pourquoi considérer ces trois enjeux comme intimement liés à la problématique des risques opérationnels ? Reprenons notre définition d’un risque opérationnel, énoncée en partie 2 de cet ouvrage : Un risque opérationnel est un risque susceptible d’engendrer un dommage, une perte ou un coût pour l’organisation lors de la réalisation de ses cycles d’exploitation, de manière directe ou indirecte, subie ou causée, à court ou long terme, ou dont le client ressentira les effets induits à plus ou moins longue échéance. 184
INTRODUCTION
Force est de constater que nos trois enjeux répondent tous positivement, et potentiellement, à cette définition. Ainsi, et par exemple, l’indisponibilité temporaire d’un serveur hébergeant un Intranet dans lequel sont logées, par exemple, des procédures opérationnelles ou des connaissances, peut rendre impossible la capacité à répondre à une sollicitation client. Également, et toujours par l’exemple, le débrayage d’une plateforme téléphonique réalisant les activités de service après-vente auprès de la clientèle peut durement impacter l’image d’une organisation. Enfin, la mise en cause de la responsabilité pénale d’un dirigeant peut, là encore, dégrader significativement la confiance d’un client envers l’entreprise. Autant d’enjeux diversifiés susceptibles d’engendrer un dommage ou une perte à l’entreprise , même si leur concrétisation n’est pas totalement intégrée à l’un des cycles d’exploitation de la société. La notion de risque opérationnel consolide ainsi la diversité de sa texture. Notre inquiétude initiale semble se confirmer : tous les risques sont des risques opérationnels en puissance ! Néanmoins, nous limiterons notre propos à ces trois familles d’enjeux, directement liées aux cycles d’exploitation de l’organisation et qu’il conviendra de ne pas négliger.
Les risques informatiques, les risques juridiques et les risques associés aux facteurs humains sont à considérer comme partie prenante des risques opérationnels de l’entreprise. Donc, comme des risques opérationnels à part entière. Explorons maintenant chacun de ces trois périmètres opérationnels riches de sens pour les entreprises.
185
Chapitre 1 Risques juridiques
La pénalisation croissante du monde des affaires, l’émergence de plus en plus marquée de litiges juridiques d’importance engageant des multinationales et la complexité accrue du paysage juridique et judiciaire provoque pour l’entreprise une exposition de plus en plus importante à une multitude de risques juridiques. Ces risques juridiques sont à considérer aujourd’hui comme de véritables risques opérationnels, car ils peuvent mettre à mal l’organisation, de manière directe ou indirecte, compte tenu de leur diversité, de leur 187
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
complexité et de leur caractère intrinsèquement considéré comme « non opérationnel » pour la plupart des acteurs d’entreprise. Pour beaucoup en effet, la question juridique ou la question de droit fait partie du domaine de jeu, du terrain dédié à certains experts, avocats, conseils et autres spécialistes du droit, que le dirigeant ou le cadre d’entreprise souhaite éviter au maximum. Compte tenu de la difficulté associée à la maîtrise des lois, des décrets et autres règlements en présence, l’acteur d’entreprise souhaite, la plupart du temps, soustraiter cette question du respect du droit et orienter son temps et ses préoccupations vers d’autres sujets. Or, la question du risque juridique se pose désormais avec la plus grande vigilance, compte tenu justement du contexte dans lequel nous évoluons. Plus que jamais, la question et la maîtrise du cadre juridique des activités de l’entreprise, les moyens de contractualiser les relations professionnelles de la meilleure manière et l’obligation de sécuriser juridiquement actions, relations et comportements individuels, s’impose à tous et à chacun. Il nous semble ainsi primordial de ne pas négliger cette thématique susceptible d’engendrer une multitude de risques plus opérationnels les uns que les autres, comme nous le verrons ci-après.
De la notion de risque juridique La notion de risque juridique peut apparaître assez floue au non initié. Fondamentalement, un risque juridique constitue un risque susceptible d’impacter financièrement l’entreprise, directement ou non, à la suite de l’utilisation, l’application ou l’adoption inadaptée d’un ou plusieurs éléments contractuels ou comportementaux susceptibles d’être régis par la doctrine juridique et/ou les us et coutumes en vigueur. La notion de risque juridique peut donc être assez souvent associée à la problématique de la conformité des activités de l’organisation et de ses acteurs. La question posée face au risque juridique consiste à s’interroger simplement : avons-nous le droit de faire ou d’écrire telle ou telle action ? La loi nous y autorise-t-elle ?
188
RISQUES JURIDIQUES
Le risque juridique existe à partir du moment ou une action, un écrit et/ ou un comportement apparaît inadapté à la loi ou aux usages sociétaux en vigueur. Cette notion du risque juridique introduit donc une multitude de risques dont le périmètre est extrêmement vaste. Cette boîte de Pandore du risque constitue donc un enjeu totalement opérationnel à ne pas négliger, même si sa relation avec les cycles d’exploitation de l’entreprise peut sembler, à première vue, assez éloignée des centres d’intérêt essentiels portés par les risques opérationnels.
Du droit des contrats La première démarche que nous vous invitons à considérer dans toute réflexion associée au risque juridique consiste, une nouvelle fois, à mesurer de manière pragmatique l’enjeu. Comment appréhender de la manière la plus pertinente la problématique en question ? Tout simplement, en s’interrogeant sur les deux vecteurs factuels dont nous disposerons tout au long de notre questionnement : les écrits et les textes disponibles. L’un des premiers axes de travail à considérer lorsqu’on souhaite traiter lucidement la question du risque juridique en tant que risque opérationnel majeur pour l’entreprise consiste, une nouvelle fois, à réaliser un inventaire. De la même manière que pour l’identification des actifs (cf. partie 2), nous vous invitons à réaliser un véritable droit d’inventaire, afin de cerner et d’identifier au mieux les problématiques à considérer. Logiquement, et cela constitue l’étape essentielle à engager, l’entreprise a contractualisé avec
beaucoup de monde ! À partir du moment où l’entreprise débute son activité, son dirigeant, ses cadres, ses acteurs opérationnels vont passer leur temps à signer des documents. Il apparaît donc judicieux de balayer l’intégralité des relations contractuelles entre l’entreprise et le reste du monde, et d’analyser ce qui a été signé !
189
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Parmi les principaux points d’intérêt que nous vous invitons à identifier et analyser, voici la liste des sujets susceptibles d’attirer votre attention au titre des risques opérationnels : -- Qualité et intégrité des contrats commerciaux : les contrats que vous signez, que vous avez signés ou que vous signerez avec vos clients sontils « blindés »? Comportent-ils les clauses essentielles destinées à vous protéger en cas de difficulté, de désaccord, de conflit ou de litige futur ? Les conditions générales de vente ou de location intégrées dans vos contrats sont-elles éligibles ? Toujours d’actualité ? Parmi les points d’intérêt, ne pas négliger : • l’existence et la capacité de mise en oeuvre des clauses de réserve de propriété, • l’existence et la capacité de mise en oeuvre des pénalités éventuelles, • l’existence et la capacité de mise en oeuvre des clauses de résiliation anticipée. -- Qualité et intégrité des supports et contenus commerciaux, de toute nature et de tous vecteurs : les documents que vous remettez au client sont-ils solides? Légitimes ? En accord avec le droit applicable ? Vérifiez la cohérence et l’exactitude de votre système documentaire à destination de vos clients, et notamment : • la qualité et la validité des supports de vente (flyers, plaquette, affichage…), • la qualité et l’intégrité des supports dédiés à l’exécution de la vente (bon de commande, bon de livraison, rapport d’inspection, facture
), • la qualité et l’intégrité des contenus commerciaux transmis aux clients ou aux prospects (proposition commerciale, devis, courrier d’accompagnement, communication tous canaux
). Soyez particulièrement vigilant en cas d’usage industrialisé des outils et contenus dématérialisés (newsletters, site Web, messagerie Twitter ou Facebook, forum, chat, etc.). -- Qualité et intégrité des contrats fournisseurs : en tant que client, vérifiez que les clauses que vous vous apprêtez à accepter dans vos contrats fournisseurs sont éligibles. Certaines clauses sont-elles abusives ? L’équilibre des parties est-il respecté ? Notamment, interrogez-vous sur : • le lieu du tribunal susceptible d’être engagé en cas de litige (frais de représentation, de déplacement géographique, de connaissance des parties en présence
), 190
RISQUES JURIDIQUES
• les clauses de résiliation, de reconduction éventuelle, • les moyens et modes de paiement (respect de la LME - Loi de modernisation de l’économie - ?). -- Qualité et intégrité des contrats de franchise : avant de vous engager à accepter un contrat de franchise vérifiez impérativement la portée des engagements pris, notamment : • prix et obligations relatives à l’usage de la franchise, • montant et obligations associées aux redevances à reverser, • obligations relatives aux achats (via centrale, via maison-mère, etc.). -- Qualité et intégrité des contrats distributeurs : toujours vérifier les obligations mises à la charge du distributeur en charge de la diffusion de vos produits ou services. Les obligations et pénalités éventuelles en cas de manquement sont-elles bien définies ? Nous attirons particulièrement votre vigilance sur les points juridiques suivants : • existence ou non de clauses de droit de suite, permettant de vérifier les moyens et pratiques mis en oeuvre par le distributeur, • clauses de « retour arrière », conditions de sortie de la relation, • contraintes logistiques ou opérationnelles associées aux contrats distributeurs.
--Qualité et intégrité des contrats de prestations critiques : lorsque vous avez externalisé tout ou partie d’un processus opérationnel, quel qu’il soit, toujours vérifier votre capacité à définir, mesurer et piloter l’exigence souhaitée auprès de votre partenaire, notamment : • existence ou non de clauses de droit de suite, vous autorisant à contrôler in situ les méthodes et moyens mis en oeuvre par le prestataire sous-traitant, • conditions de mise en oeuvre de clause de « retour arrière », en cas d’insatisfaction avérée, • capacité de pérennisation de la connaissance et des actifs portés par les partenaires sous-traitants. -- Qualité et intégrité des contrats d’assurance : outils de réduction des risques via stratégie de transfert, les contrats d’assurance constituent 191
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
souvent une réponse adaptée aux enjeux à couvrir. Néanmoins, interrogezvous sur l’opportunité et la qualité des contrats d’assurance proposés ou contractualisés, car ils sont souvent peu adaptés : • qualité des clauses associées aux enjeux de la responsabilité civile de l’organisation, • qualité des clauses associées aux enjeux de la responsabilité pénale du dirigeant et de l’organisation, • qualité des clauses de garantie des flottes automobiles, • qualité des polices dédiées aux pertes d’exploitation, • qualité des polices couvrant les actifs physiques de l’entreprise (équipements, matériels), • qualité des contrats d’assurance couvrant les locaux (toute nature), • qualité des clauses associées aux enjeux de la responsabilité professionnelle de l’organisation. -- Qualité et intégrité des contrats de baux : avez-vous connaissance de la qualité et des exigences associées aux contrats relatifs aux immeubles dans lesquels tout ou partie de votre entreprise est logée ? Les clauses d’un contrat de bail, quel qu’il soit, doivent être maîtrisées au mieux au titre des risques juridiques, et surtout: • clauses de résiliation anticipées (conditions, délais incompressibles), • clauses d’accès à la propriété, • clause de responsabilité et d’obligation (cohérence de l’objet social par rapport à l’objet des locaux), • clause de renouvellement, d’indexation des loyers et des charges, • clauses associées aux responsabilités propres du propriétaire et du locataire, • clauses de sous-location (en cas de cascade juridique de plusieurs personnes morales). Enfin, et au-delà des contrats signés avec les tiers, quels qu’ils soient, nous vous invitons à analyser avec précision les enjeux contractuels associés aux salariés, à l’appui des obligations du droit du travail. Notamment, nous vous conseillons de bien explorer les risques juridiques éventuels
192
RISQUES JURIDIQUES
associés aux problématiques suivantes, compte tenu de la complexité du droit du travail : -- Qualité et intégrité des contrats de travail : • nature des contrats et respect des obligations associées : contrat à durée indéterminée, à durée déterminée, contrat d’apprentissage, contrat d’intérim, stagiaires, • respect des obligations du droit du travail et du Code du travail, • respect des obligations associées à des clauses professionnelles ou conventionnelles spécifiques (spécificités sectorielles, représentatives, etc.), • respect des clauses contractuelles particulières avec le salarié : clause de non-concurrence, clause de mobilité, clause de loyauté, propriété intellectuelle, • clauses de période d’essai, de rupture contractuelle (conditions de mise en oeuvre), • formalisme et mentions obligatoires au titre du droit du travail. Également, ne pas oublier la spécificité des contrats que vous aurez certainement à mener avec les tiers critiques à l’entreprise, par exemple : -- Qualité et intégrité des contrats associés aux dispositifs de financement de l’entreprise : • nature et contenu des clauses associées aux outils de financement : contrat de prêt, ligne de découvert, contrat d’affacturage, contrat de crédit-bail, contrat de leasing, contrat de location financière, contrat de cession de créances, etc., • conditions de résiliation anticipée (obligation et délais d’information, motivation des décisions, mécanismes de médiation éventuelle
), • conditions et moyens techniques déployés (outils et moyens de paiement, outils de pilotage et de suivi de la relation bancaire…). • Qualité et intégrité des contrats associés aux investisseurs : • nature, contenu et engagements associés aux outils de prise de capital dans l’entreprise, • obligations associées aux dispositifs de financement : comptes courants, obligations, capital social, 193
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
• obligations associées aux dispositifs d’entrée, de maintien et/ou de sortie du capital de l’entreprise : délais, détention minimale ou maximale, droit de vote, politique de distribution des dividendes, règles de sortie du capital, droit de préemption, orientation stratégique du capital, etc., • qualité et contenu des pactes d’actionnaires, • mécanismes associés à une éventuelle ouverture du capital social aux marchés financiers, • etc. Nous vous conseillons en conséquence d’identifier de manière exhaustive les contrats en présence dans votre structure opérationnelle, d’identifier les principaux risques juridiques associés au contenu contractuel desdits contrats, afin de maîtriser au mieux cet enjeu opérationnel de plus en plus significatif. Dernier point à ne pas négliger dans toute démarche d’analyse du risque juridique de l’entreprise : la validité du formalisme et la légitimité des acteurs à signer les documents quels qu’ils soient. Nous vous rappelons que tout document juridique doit, dans la plupart des cas, respecter des règles de formalisme et de contenu : -- formalisme et mentions obligatoires existantes ; -- formalisme et portée des actes mentionnés (durée, dimension, cohérence) ; -- qualité et formalisme des garanties et sûretés mises en oeuvre ; -- légitimité du signataire (la personne qui signe a-t-elle bien délégation et qualité pour le faire ?) ; -- formalisme et éligibilité des délégations de pouvoirs ; -- véracité des signatures (contrôle des signataires, usurpation d’identité, absence de délégation, etc.).
Toujours vérifier tant le formalisme et la qualité du cadre contractuel ou documentaire que la légitimité du signataire : le document sera-t-il in fine éligible et/ou légitime ? La judiciarisation accrue du contexte économique doit engager l’entreprise dans une maîtrise fine de ses relations contractuelles, quelle que soit la partie considérée en tant que tiers signataire. 194
RISQUES JURIDIQUES
Procédez à l’inventaire des contrats en présence ou à venir dans l’entreprise, quels que soient leurs natures. Identifiez, pour chacun d’eux, les risques juridiques susceptibles de fragiliser votre structure ou votre relation au tiers, qu’il soit client, salarié, fournisseur, partenaire commercial, propriétaire des locaux, investisseur, assureur, stagiaire, financeur ou sous-traitant.
Conformité En parallèle d’une approche purement contractuelle, nous considérons opportun de traiter la question du risque juridique sous l’angle de la conformité. Cette réflexion relative à cet enjeu va se révéler totalement complémentaire de la démarche précédente, et elle sera très souvent riche de sens, car elle va utilement mêler droits et obligations juridiques avec l’approche processus que nous décrivions précédemment. La lecture des risques juridiques à travers le prisme de la conformité consiste à se questionner une nouvelle fois de manière pragmatique mais lucide : les processus opérationnels mis en oeuvre par la structure sont-ils en accord avec la loi au sens large ? À partir de ce questionnement, une multitude de risques juridiques apparaît à l’appui des nombreux textes, règlements, droits et obligations qu’il convient de respecter afin d’être effectivement en conformité avec les textes de loi, quels qu’ils soient. Tout d’abord, rappelons un adage célèbre qui traduit bien la logique de notre démarche dans cette seconde approche du risque juridique : « Nul n’est censé ignorer la loi ». Cela signifie donc que chaque dirigeant, chaque cadre responsable, chaque salarié, chaque partenaire d’entreprise doit être à même : -- d’identifier les textes de lois qui s’appliquent à son ou ses activités ; -- de les connaître, de les comprendre et de les maîtriser ; -- de contrôler que ses pratiques correspondent bien à l’exigence exprimée. Bien évidemment, certains risques juridiques tomberont sous le sens et feront par nature appel au bon sens. Le vol, la fraude, le détournement 195
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
d’actifs, autant de risques faciles à identifier et déterminer pour tout un chacun. Par contre, et dans certains cas, l’identification du risque juridique né d’une non-conformité avec la loi peut s’avérer beaucoup plus complexe. Soit parce que l’ensemble des textes parfois en contradiction rend illisible la bonne compréhension « de ce qu’il faut faire », soit parce que la source du droit peut être sujette à interprétation, rendant opaque le choix de la bonne pratique à appliquer in fine.
Traiter le risque juridique à partir de la conformité revient à questionner tout processus opérationnel de l’entreprise à travers le prisme des textes de lois en vigueur : le processus X est-il en cohérence et en conformité avec l’exigence de la loi ? Toute approche de conformité juridique s’amorce en conséquence avec, une nouvelle fois, un droit d’inventaire. Cet inventaire va s’articuler selon deux axes : -- Quels sont les textes, règlements, décrets, usages et coutumes auxquels l’entreprise est astreinte ? -- Quels sont les processus de l’entreprise qui doivent par essence les respecter, étant exposés à leurs obligations ou contraintes ? À l’appui de ce double questionnement, le risque juridique peut être appréhendé de manière plus systématique. Il serait inutile, voire inopportun de rappeler ici la liste presque illimitée des textes, droits et obligations imposés aux entreprises dans l’exercice de leurs activités. La multitude des textes et règlements en vigueur rend la démarche totalement stérile, compte tenu de leurs applications infinies et la nécessaire contextualisation de l’enjeu à l’entreprise, son activité et ses métiers. Mentionnons simplement ici quelques règles et partages de bonnes pratiques dans la réalisation de ce droit d’inventaire des textes applicables en vue de réduire le risque juridique en entreprise : -- Toujours utiliser si possible une approche dite « en entonnoir » : commencer par les textes les plus génériques, puis évoluer vers les textes les plus spécialisés. Par exemple : débuter votre réflexion avec le Code de 196
RISQUES JURIDIQUES
la consommation, avant d’identifier d’éventuelles limitations spécifiques au secteur ou au produit que vous vous apprêtez à commercialiser. -- Mettre en oeuvre une démarche descendante du « macro vers le micro » : débuter l’identification des obligations à partir des textes internationaux, puis européens, et enfin nationaux. Les enjeux supranationaux ont certainement orienté au préalable le risque juridique applicable à votre échelle. -- Toujours se faire accompagner par un conseil expert du sujet juridique que vous souhaitez aborder. La complexité du droit, les nombreux textes auxquels vous serez confronté rend aujourd’hui totalement illusoire de considérer que vous pouvez, vous ou votre responsable juridique en autonomie, être capable de traiter en profondeur un sujet de droit avec acuité et efficacité. S’appuyer sur l’expert « métier » de la question juridique que vous souhaitez engager aidera de manière très précieuse l’appréhension des enjeux juridiques en souffrance. Parmi les principales sources de risques juridiques que nous vous invitons à aborder dans votre démarche de contrôle de conformité des activités de votre organisation avec les lois en vigueur, il nous apparaît opportun de focaliser votre attention sur les thématiques suivantes, de plus en plus prégnantes lorsqu’on aborde les questions du risque juridique : -- Droit du consommateur : le Code de la consommation est essentiel à maîtriser en cas d’interaction avec les particuliers. -- Droit Commercial : le Code de commerce est essentiel à maîtriser. -- Droit de la concurrence. -- Code de la propriété intellectuelle (marques, licences, brevets, noms). -- Code monétaire et financier (pour les établissements éligibles). -- Obligations associées à la CNIL (Commission Nationale Informatique et des Libertés). -- Code du travail. -- Code des marchés publics. -- Droit pénal des affaires. -- Droit des marques. -- Législation comptable et financière. -- Législation fiscale et sociale.
197
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Législation associée aux paiements sur Internet. -- Existence de clauses léonines dans le corps des conditions de ventes. -- Législation associée à la gestion des données (CNIL), etc. Bien évidemment, cet inventaire des textes et sources éligibles s’appuie sur les référentiels européens ou internationaux en présence. Pour rappel, le site interne www.legifrance.fr permet à chacun d’identifier la source du texte juridique en vigueur. Ce référentiel sera ensuite à compléter par les textes et obligations spécifiques afférents au métier exercé dans l’entreprise. Nous vous invitons à vous rapprocher des instances consultatives ou décisionnelles de vos activités pour identifier les sources critiques d’informations juridiques à considérer : syndicats professionnels, fédérations professionnelles, instances représentatives des secteurs d’activité ou des métiers, chambre de métiers, chambre de commerce et d’industrie, associations, etc. La difficulté ne résidera pas dans l’identification des sources de lois, mais leur discrimination cohérente pour vos activités éligibles ! En parallèle de ce travail d’inventaire des cadres réglementaires et juridiques en vigueur, il va être nécessaire d’identifier les processus de l’entreprise. À l’appui d’une approche processus, vous serez à même d’identifier si votre activité est exposée ou non aux risques juridiques. Ainsi, et par exemple : -- processus achats ; -- processus vente ; -- processus production ; -- processus stockage ; -- processus distribution ; -- processus recouvrement ; -- processus recrutement ; -- processus formation ; -- processus paie ; -- processus R & D ; -- processus paiement ; -- etc. 198
RISQUES JURIDIQUES
Pour chacun des processus de l’entreprise, il reste à identifier les textes éligibles et applicables, puis de vérifier la conformité des pratiques aux textes. Très souvent, un grand nombre de textes impactera un simple processus opérationnel : droit du travail, CNIL, droit pénal, etc.
À l’appui d’une démarche par processus, identifiez les textes et règlements applicables. Très souvent, une multitude de sources sera à considérer pour un seul processus opérationnel au titre des risques juridiques.
Pré-contentieux et contentieux Parmi les risques juridiques à ne pas négliger, il existe une problématique directement liée aux activités opérationnelles de l’organisation, et donc à son cycle d’exploitation. Vous avez produit, vous avez livré, vous avez facturé
et le client ne paye pas ! Voilà un risque juridique à considérer avec la plus grande pertinence, compte tenu de ses impacts ! Comment maîtriser au mieux la mécanique juridique permettant à l’entreprise de se faire payer ? Explorons à présent cet enjeu juridique majeur, commercial et financier. Nous invitons le lecteur curieux à se référer à l’ouvrage que nous avons consacré à la problématique de la maîtrise du risque crédit client7. Sans rappeler les fondamentaux de la prise de risque et de la gestion du risque client, il est judicieux de rappeler que parmi les risques juridiques à ne pas négliger, résident les risques directement liés à la contractualisation client. La maîtrise du risque juridique associé au client repose pour l’essentiel sur l’intégralité des leviers amont et aval de l’action de vente. Il convient ainsi de ne pas oublier l’importance : -- des conditions générales de vente ou de location transmises au client (traçabilité, qualité des CGV) ; -- des conditions, modes, délais et moyens de paiement consentis au client ;
7. Cf. La gestion du risque crédit client, GERESO Édition, Le Mans, 2010, du même auteur.
199
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- de la robustesse des actions de relance amiables, des argumentaires et des méthodes ; -- de la rigueur des actions de relance pré-contentieuses ; -- de l’efficacité des actions contentieuses mises en oeuvre et de leur cohérence ; -- des mécanismes de détection des défaillances judiciaires (risque de forclusion). Les risques juridiques associés au recouvrement des créances client sont nombreux, compte tenu de la diversité des cas potentiels à traiter : mauvaise foi client, litige commercial ou technique, fragilité du processus d’identification ou de prise de risque client, défaillance financière du débiteur, situation d’insolvabilité organisée, défaut de pilotage des encours clients, comportements commerciaux inadaptés, maîtrise imparfaite de la relation client, conditions contractuelles incomplètes ou inadaptées, défaillances des prestations, du produit ou des services rendus, etc. Il importe de maîtriser au mieux la relation juridique avec le client, afin de limiter au maximum les risques juridiques sous-jacents, extrêmement nombreux au demeurant. Ne négligez pas les risques juridiques associés au chiffre d’affaires non encaissé, compte tenu du coût du risque induit en pareille situation.
Faire du chiffre d’affaires, c’est bien. Faire du chiffre d’affaires encaissé, c’est mieux. Faire du chiffre d’affaires encaissé et rentable, c’est encore mieux. Les risques juridiques associés au client ne sont donc pas à négliger, bien au contraire
Ils constituent une famille de risques particuliers à appréhender et maîtriser au mieux.
Du droit pénal Autre point de sensibilité sur lequel nous désirons attirer votre attention au titre des risques juridiques de l’organisation : la problématique du risque pénal du dirigeant. Le risque pénal constitue une réalité que chaque dirigeant, chaque mandataire social, chaque cadre en responsabilité doit appréhender au mieux. Voire, chaque salarié. 200
RISQUES JURIDIQUES
Pas une semaine, pas un mois ne se passe sans qu’un dirigeant ne soit placé sous les feux des projecteurs médiatiques à la suite d’une erreur ou d’une malversation engageant sa responsabilité pénale. Et ce, au-delà de l’affaire des prothèses PIP en gel de silicone ! Très récemment, les cas se sont multipliés, tant au titre de l’escroquerie que de manipulation financières des cours de Bourse, de tromperie aggravée sur la marchandise ou de défaillance d’obligation sécuritaire. Chaque jour ou presque, la responsabilité pénale du dirigeant d’entreprise peut être engagée. Les cas se multiplient, sans que les dirigeants, les créateurs ou les repreneurs d’entreprise cernent avec précision les enjeux judiciaires et juridiques encourus. Quels sont donc les principaux risques pénaux auxquels le dirigeant, le mandataire ou le cadre responsabilisé est susceptible de se retrouver un jour confronté ? Il faut tout d’abord démystifier la problématique, en rappelant à chacun quelques notions essentielles. Précisons tout d’abord que la responsabilité pénale est engagée lorsqu’une personne porte atteinte à l’intérêt public. L’acte pénal engage donc la responsabilité de l’individu (et/ou de la personne morale, le cas échéant) vis-à-vis de la collectivité. Cette responsabilité peut entraîner une amende, voire une peine d’emprisonnement, ferme ou avec sursis. Sans déployer une approche académique de la responsabilité pénale ni du droit pénal des affaires en général, il nous apparaît toutefois approprié de rappeler ici quelques fondamentaux relatifs au risque pénal, car un certain nombre de grands principes participe à la critérisation de la responsabilité pénale. Ainsi, et pour ne citer que les principales notions primordiales à connaître, notons au préalable les points suivants : -- Une infraction pénale n’existe que s’il existe un texte de loi, c’est-àdire une qualification juridique de l’infraction. Sans texte, il n’y a pas d’infraction. -- Il n’existera aucune rétroactivité de la loi pénale. Une infraction non qualifiée ne pourra pas être requalifiée a posteriori de l’existence nouvelle d’un nouveau texte.
201
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Il existe par défaut une application stricte de la loi pénale. En conséquence, il n’y a ni interprétation possible de la loi, ni jurisprudence au titre du droit pénal. -- Un principe fondamental gouverne le droit pénal : celui de l’opportunité des poursuites. Le juge qualifie l’opportunité à poursuivre la personne physique ou morale au préalable de toute démarche judiciaire (aucune poursuite n’est réalisée de manière systématique). -- Toute infraction pénale engage automatiquement la responsabilité civile de son auteur. Au titre du droit pénal, nous rappelons que trois dimensions critiques constituent l’infraction, quelle qu’elle soit : l’existence d’un élément légal (un texte sanctionnant l’infraction existe), l’existence d’un élément matériel (il existe un fait délictueux, par action positive ou par abstention), et l’existence d’un élément moral (la connaissance ou la volonté de commettre l’infraction existe pour l’auteur). En droit pénal, trois catégories d’infractions existent : les crimes, jugés en cour d’assises ; les délits, jugés au tribunal correctionnel ; les contraventions, jugées devant le tribunal de police. Les dates de prescriptions varient en fonction de la nature de l’infraction (dix ans pour les crimes, trois ans pour les délits, une année pour les contraventions). Depuis l’avènement de la loi dite Perben en 2006 et les évolutions récentes en matière de récidive, la responsabilité de la personne morale peut être recherchée pour toutes les infractions existantes en droit pénal, même si elle n’existe pas de manière dédiée en droit pénal des affaires. La personne morale peut voir sa responsabilité engagée comme auteur, coauteur ou complice de l’infraction. La responsabilité pénale de la personne morale peut être engagée à partir du moment où certains critères ou conditions sont respectés : -- l’acte délictueux doit être commis par un organe de direction de la personne morale (conseil d’administration, représentant légal, mandataire social, représentant de fait, mais aussi tout délégataire de pouvoir) ; -- l’acte délictueux doit avoir été commis pour le compte de la personne morale ; -- l’acte doit avoir été commis de manière intentionnelle.
202
RISQUES JURIDIQUES
En cas de culpabilité, les sanctions pénales à l’encontre de la personne morale peuvent être pécuniaires (cinq fois le montant des sanctions prévues pour la personne physique) mais aussi administratives (dissolution de la personne morale, restriction d’activité, fermeture de site, placement sous surveillance, exclusion des marchés publics, interdiction d’accès à l’épargne, affichage et diffusion de la condamnation, sanction de la CNIL, du syndicat professionnel de rattachement, etc.). Lorsqu’on aborde la question du risque pénal en entreprise, la question principale demeure : quelles sont les infractions les plus « courantes », si l’on souhaite l’exprimer ainsi ? Voici les principales infractions sur lesquelles nous attirons la plus grande attention de nos lecteurs dans leur réflexion relative aux risques pénaux en entreprise, compte tenu de la sensibilité des enjeux concernés : -- abus de confiance (ou recel d’abus de confiance) ; -- infraction à la législation de la CNIL (êtes-vous sûr de vos traitements informatiques ? De vos pratiques en matière de données personnelles ? Avez-vous bien déclaré à la CNIL ce que vous devez ?) ; -- contrefaçon de logiciels (vos salariés n’ont-ils pas installé, à votre insu, des applications piratées ou d’objet illégal ou illicite ?) ; -- pratique de taux usuraires (vos conditions et délais de paiement sont-ils légaux ?) ; -- banqueroute ; -- financement du terrorisme (êtes-vous certain de bien connaître vos clients ? Vos prospects ? Ce qu’ils vous achètent est-il cohérent avec leur objet social ? Par exemple, un accord de paiement comptant ou en avance, sans négociation, en espèces, doit engager le questionnement) ; -- faux en écriture (quid de vos états financiers ? Reflètent-ils effectivement une image sincère et fidèle, sans omission ni altération ?) ; -- délit d’escroquerie ; -- complicité de banqueroute ; -- entente illicite (vos pratiques commerciales, vos relations avec certains concurrents ne faussent-elles pas les règles de la concurrence ?) ; -- atteinte à la vie privée (quid des données privées de vos salariés ? De vos clients ?) ;
203
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- atteinte à l’intégrité physique d’autrui (la sécurité des personnes est-elle bien assurée ?) ; -- recel d’abus de biens sociaux ; -- abus de biens sociaux ; -- usurpation d’identité ; -- usurpation de qualité (de signataire) ; -- fausse évaluation des apports en société ; -- non-respect des délais de convocation aux assemblées générales ; -- travail dissimulé (salariat déguisé, travail illégal ou non déclaré) ; -- non vérification de la situation fiscale ou sociale des sous-traitants ; -- délit d’entrave (envers les instances représentatives du personnel) ; -- défaut de formation des salariés à la sécurité ; -- non-conformité des matériels en matière de sécurité (mise en danger) ; -- délit de marchandage ; -- prêt illicite de main-d’œuvre ; -- infraction à la durée du travail ; -- accident du travail, maladies professionnelles ; -- discrimination ; -- harcèlement moral ; -- harcèlement sexuel ; -- restriction de la liberté des salariés (contrôle de présence, traçabilité des mouvements, GPS) ; -- responsabilité associée aux pratiques illicites des sous-traitants ; -- etc. Comme vous pouvez le constater, la liste des risques pénaux susceptibles d’engager la responsabilité pénale du dirigeant et/ou de la personne morale concernée n’est pas limitée, bien au contraire. Le questionnement se pose dès la réalisation d’actions parfois a priori anodines mais lourdes de sens d’un point de vue pénal en cas de qualification effective de la responsabilité.
204
RISQUES JURIDIQUES
Ainsi, comment considérer l’utilisation ponctuelle d’une machine à affranchir de l’entreprise pour envoyer des courriers personnels ? A priori, rien de bien méchant
Dans la réalité, il s’agit peut-être… d’un délit pénal ! La plus grande vigilance s’impose donc à tous, afin de limiter au mieux les enjeux pénaux susceptibles de déstabiliser en profondeur l’entreprise. Le risque pénal ne se limite pas à quelques cas d’entente illicite médiatisés (téléphonie en France, par exemple), ni à quelques dirigeants peu scrupuleux. La plus grande vigilance s’impose, notamment dans le cadre des enjeux associés au droit du travail (travail dissimulé, sécurité des salariés
) ou à l’usage des actifs de l’entreprise. TPE, PME, ETI, tout le monde est concerné par le risque pénal ! Un enjeu à ne pas négliger, donc, dans l’appréhension des risques juridiques de l’entreprise
Les risques pénaux ne sont ni marginaux, ni anodins. Ils concernent potentiellement toutes les entreprises. Il convient de les identifier au mieux, afin d’éviter la concrétisation d’un risque juridique majeur pour le dirigeant, puis pour l’entreprise tout entière.
205
Chapitre 2 Risques informatiques
Depuis ces trente dernières années, la révolution numérique est en marche, et la prédiction de Steve Jobs, fondateur d’Apple, s’est largement accomplie. En 2013, il y a un ordinateur présent – ou presque – sur chaque bureau, dans chaque foyer, dans chaque chambre d’adolescent. Nous serions presque tentés d’écrire qu’il y a plus d’écrans de toute nature que d’individus dans le monde développé. Même si la fracture numérique demeure encore présente dans de nombreuses parties du monde, l’informatique a révolutionné en l’espace de quelques décennies notre rapport au monde, à la connaissance et à l’information.
207
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La révolution informatique accélère en continu, de manière exponentielle, reléguant les prouesses techniques d’hier à un lointain souvenir. Quel étudiant sait que la calculatrice ou le dernier téléphone portable qu’il utilise au quotidien pour surfer sur Internet ou positionner ses états d’âme sur les réseaux sociaux dispose de plus de puissance de calcul que les ordinateurs qui ont permis à l’Homme d’envoyer l’Humanité sur la Lune il y a quarante ans ? Technologie, innovation et informatique ont ainsi fait évoluer, au fil des ans, les anciens lecteurs préhistoriques de bandes magnétiques et autres terminaux immenses en une multitude d’écrans, de tablettes, de Smartphones toujours plus connectés, toujours plus puissants, toujours plus agiles, toujours plus fonctionnels et conviviaux, et qui échangent sans arrêt et en temps réel des informations, des décisions, des données, des contenus sonores ou visuels, mais aussi des émotions. Monde virtuel, lien social, évolution contrastée des contenus et des supports, évolution des métiers et des pratiques professionnelles, création d’une multitude de nouvelles fonctions dans l’entreprise, qualité intrinsèque des contenus indépendamment proportionnelle à la puissance des outils déployés, tout cela est aujourd’hui une réalité. Cette réalité se concrétise à l’appui d’une Toile désormais mondialisée et hyper connectée, et grâce à des technologies toujours plus innovatrices et toujours plus puissantes. Force est de constater que l’informatique au sens large est devenue désormais critique pour toutes les entreprises, et ce, quel que soit le secteur d’activité concerné. Existe-t-il un salarié d’une société qui n’utilise pas un système de messagerie par e-mail ou Internet au quotidien ? Existet-il encore une TPE qui ne dispose pas d’un site Web, qu’il soit vitrine ou marchand ? Quel acteur d’entreprise n’est-il pas encore absorbé par les derniers messages reçus directement dans sa poche, où qu’il se situe et quelle qu’en soit la nature ou l’importance ? Bref, l’informatique fait désormais partie de notre vie courante de dirigeant, de créateur, de salarié, d’entrepreneur, au quotidien. Il serait inconcevable de ne pas considérer les multiples risques associés à l’univers informatique, de toutes natures et variés, dans une lecture méthodologique des risques opérationnels de l’entreprise. Car même si l’objet social de l’organisation n’est pas le développement informatique de solutions, ni la tierce maintenance applicative (TMA), ni la conception, 208
RISQUES INFORMATIQUES
la maintenance ou le déploiement d’outils et d’infrastructures, il apparaît évident aujourd’hui que l’outil informatique, ses contenus, ses structures, ses données, ses applications et ses infrastructures font désormais partie des risques opérationnels majeurs pour chaque organisation. Voilà pourquoi nous considérons les risques informatiques comme des risques opérationnels à part entière, plus précisément comme une classe de risques opérationnels à considérer de manière dédiée. Et ce, au même titre que les risques juridiques abordés précédemment. Si certaines entreprises font, volontairement ou non, l’impasse sur les risques juridiques, peu d’entre elles délaissent les risques informatiques.
Les risques informatiques représentent aujourd’hui une classe de risques opérationnels à part entière. Certaines entreprises négligent leurs risques juridiques, peu mettent de côté leurs risques informatiques. La question du risque informatique peut apparaître pour beaucoup de dirigeants comme une thématique comparable à celle des risques juridiques, même si ce sujet sera plus traité que celui des risques juridiques. C’est-à-dire, un enjeu dédié pour les spécialistes, une thématique à réserver aux experts, et un point d’intérêt opérationnel parfois limité, audelà des questions de coûts d’exploitation et/ou d’investissements. Or, rien n’est plus dangereux, car les risques informatiques font désormais partie du domaine des possibles que chaque dirigeant doit identifier, comprendre et maîtriser au mieux, et ce, à de multiples points de vue, et pour de multiples raisons. Qu’il s’agisse de la définition d’une stratégie informatique, de la sélection d’un projet de développement, du choix d’un langage de développement ou d’une technologie, ou encore des arbitrages techniques à réaliser par rapport au dimensionnement des dispositifs de sauvegarde et de continuité, l’informatique doit être considérée avec la plus grande acuité, ainsi que ses risques associés. Car, et vous l’aurez immédiatement compris, les risques informatiques sont à considérer avec méthode mais ils ne doivent pas être cantonnés aux seules directions des systèmes d’information ou aux acteurs en charge de la sécurité informatique. Bien au contraire… Interrogeons-nous simplement : comment appréhender au mieux ce risque technique ou technologique, vecteur d’innovation, de différenciation, 209
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
de valeurs mais aussi de risques majeurs, afin de renforcer la pérennité opérationnelle de l’organisation ? Face aux risques informatiques, certains considèrent que la fiabilité des matériels, des applications, des bases de données et des infrastructures est telle aujourd’hui qu’elle atteint, malgré les menaces et les virus, un niveau de complexité et de qualité si développé qu’il suffit de confier son informatique à un tiers et ne plus se préoccuper de l’enjeu. D’autres, au contraire, ont une approche anxiogène de l’outil informatique par nature et l’appréhenderont avec beaucoup – trop ? – de rigueur et d’engagement. Comme d’habitude, et par expérience, seul le pragmatisme peut s’inscrire dans une démarche efficace de traitement des risques informatiques. Externalisation, sous-traitance, internalisation de la compétence et des outils, toutes les positions peuvent être légitimes, à condition qu’elles soient en cohérence avec la volonté et le positionnement stratégique de l’entreprise. Face aux risques informatiques, une approche dogmatique des enjeux ne saurait suffire. Plus que jamais dans le contexte informatique, il faut lutter en permanence contre les querelles de chapelle et les appréciations rapides même si, comme l’exprime avec justesse Stuart Chase dans un tout autre contexte, « pour celui qui croit, la preuve n’est pas nécessaire, pour celui qui ne croit pas, la preuve n’est pas possible. » La compréhension des risques informatiques s’inscrit parfaitement dans cette difficulté.
De l’utilisation de listes (ou de check-lists) Afin de déterminer puis maîtriser les risques informatiques au sein de l’entreprise, compte tenu du dimensionnement des risques individuels à considérer, multiples et variés, nous vous invitons à utiliser par défaut différentes listes d’items, qui, en fonction de leurs structures, seront adaptées aux enjeux en présence. Toute la difficulté en matière de risques informatiques consiste à ne pas s’enfermer dans des référentiels ou des listes prédéfinies, mais bien confronter les démarches, les méthodes et les approches afin d’enrichir la lecture des enjeux en présence en s’appuyant notamment sur la création de valeurs grâce aux frottements entre les différentes méthodes. 210
RISQUES INFORMATIQUES
ITIL, COBIT, ISO, PCI DSS, normes sécuritaires internationales, mécanismes de cryptage et de sécurisation des données, des accès et des infrastructures, sont autant de dispositifs et de démarches susceptibles de répondre à l’enjeu. Toutefois, et au-delà des outils et démarches normées existantes, nous vous invitons à vous adosser sur plusieurs méthodes, afin de véritablement maîtriser les risques informatiques en présence.
Ne pas se limiter à l’adoption d’un référentiel normatif ou méthodologique unique. Confrontez les démarches d’identification des risques informatiques entre elles, et bâtissez vos propres approches méthodologiques, en favorisant leurs interactions. Attention à une lecture trop dogmatique de l’enjeu des risques informatiques. Bien évidemment, nous ne saurions vous recommander une démarche plutôt qu’une autre dans votre réflexion sur les risques informatiques. Néanmoins, voici différentes approches qui, au-delà des référentiels existants, nous apparaissent riches de sens et adaptées aux risques. Une première analyse des risques informatiques consiste à sérier les enjeux informatiques par nature d’actifs, puis de hiérarchiser les enjeux par classification des actifs en présence. Ainsi, par exemple, une première démarche peut s’articuler de la manière suivante : -- Sécurisation et pérennisation des actifs matériels (physiques) : • risque de remise en cause de la disponibilité des infrastructures (réseaux, connexions, architecture physique portant les flux de données en présence), • risque de remise en cause de la disponibilité des infrastructures (énergie, eau, climatisation, chauffage, électricité, ventilation, etc.), • risque de remise en cause de la disponibilité des matériels réseaux (switch, routeurs, baies de brassage, équipements dédiés à l’infrastructure réseau…), • risque de remise en cause de la disponibilité des matériels partagés (serveurs, racks, postes de pilotage des réseaux et des ressources), • risque de remise en cause des matériels fixes de travail d’exploitation métier (postes de travail, unités centrales, écrans), • risque de remise en cause de la disponibilité des matériels périphériques (imprimantes, webcam, souris, clés USB, périphériques divers), 211
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
• risque de remise en cause de la disponibilité des matériels mobiles (ordinateurs portables, lecteurs autonomes, tablettes tactiles, Smartphones, etc.), • risque de remise en cause des matériels de sauvegarde physique des données (serveurs, disques durs externes, dispositifs de sauvegarde physique de toute nature, clés USB, etc.). -- Sécurisation et pérennisation des actifs immatériels (logiciels) : • remise en cause de la disponibilité des logiciels métiers (applications acquises), • remise en cause de la disponibilité des logiciels bureautiques (outils bureautiques), • remise en cause de la disponibilité des logiciels propres (applications développées, interfaces métiers, adaptation de logiciels, création de bases de données spécifiques, création et maintenance des routines de traitement des données, batch, requêtes, outils de requête, outils dédiés à la Business Intelligence (BI), applications de reporting), • remise en cause de la disponibilité des environnements réseaux (site Web, Internet, Intranet, portails, profils sur les réseaux sociaux, forum, etc.). -- Sécurisation et pérennisation des données : • risque de remise en cause de la disponibilité des données, • risque de remise en cause de l’intégrité des données, • risque de remise en cause de l’exhaustivité des données, • risque de remise en cause de la traçabilité des données, • risque de remise en cause de la confidentialité des données. -- Sécurisation et pérennité des savoirs informatiques : • risque de perte de connaissances sur le périmètre informatique, • risque de perte de compétences sur le périmètre informatique, • risque de perte de connaissances sur les activités externalisées (tierce maintenance applicative, tierce recette applicative, développement pour compte, gestion pour compte, etc.).
212
RISQUES INFORMATIQUES
Bien évidemment, la notion de disponibilité des matériels physiques, logiques ou des données doit se comprendre de manière élargie. Lorsque la question de la disponibilité se pose, le questionnement structurel des éléments concernés est également à poser de manière systématique, et ce, quel que soit l’élément physique ou logique : -- exhaustivité des éléments concernés ; -- non altération des éléments concernés ; -- non dégradation des éléments concernés ; -- maintien de la confidentialité des éléments (si adapté : données, par exemple) ; -- absence de violation d’intégrité ; -- traçabilité et détection des intrusions, vols ou détérioration des actifs. Ce type d’approche peut ensuite se décliner à l’infini, à l’appui de l’identification des menaces susceptibles de provoquer les risques proposés. Elle se structure fondamentalement sur la classification des actifs informatiques de l’entreprise, leur discrimination et leur critérisation en fonction de leur criticité et de leur sensibilité. Ne pas oublier, comme précisé ci-dessus, que chaque élément d’actif, physique ou logique, matériel, application ou donnée, doit être questionné sur la problématique complémentaire des enjeux de confidentialité, de disponibilité, de traçabilité, d’intégrité et d’exhaustivité des éléments. Cette première approche permet à chaque entreprise d’amorcer une véritable démarche d’identification des risques informatiques dans l’entreprise, de manière relativement simple et efficace. Nous reviendrons par la suite sur les stratégies de couverture des risques à envisager. Une seconde approche, plus pragmatique et moins orientée « actifs », consiste à balayer un certain nombre d’items susceptibles de remettre en cause la pérennité informatique de l’entreprise. Pour ce faire, il existe de multiples check-lists disponibles ou que l’entreprise peut élaborer à sa guise, afin de déployer l’approche la plus exhaustive possible des enjeux en présence. Parmi des exemples de listes, nous vous soumettons les différentes démarches méthodologiques suivantes. Bien évidemment, il n’existe pas de méthode magique, ni de référentiel à privilégier par rapport à 213
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
d’autres. Il existe simplement des démarches d’inventaires susceptibles de plus retenir votre attention, ou qui seront plus adaptés à votre contexte d’entreprise dans votre réflexion sur les risques informatiques en présence. Ainsi, et par exemple, voici quelques check-lists que nous vous conseillons de parcourir et de vous approprier, voire de les adapter à vos propres enjeux.
Approche générale Une première lecture de check-list dédiée aux risques informatiques, que nous définissons comme « approche générale », s’articule autour de grands thèmes fonctionnels ou organisationnels à considérer dans l’identification des risques informatiques présents dans l’entreprise. Cette check-list s’articule autour des axes suivants : -- Risques associés à la qualité de la stratégie informatique de l’entreprise : définition, cohérence et suivi de la définition et du pilotage budgétaire de la stratégie informatique ; adéquation des ressources aux objectifs ; mécanismes de sélection et de pilotage des prestataires extérieurs ; existence de solutions de substitution en cas de défaillance d’acteurs critiques ; qualité et adaptation des dispositifs de pilotage et de gouvernance de l’informatique d’entreprise (infrastructure, actifs, outils, couverture applicative, etc.). -- Risques associés au pilotage et au suivi de l’exploitation courante des outils, données, applications et moyens informatiques : existence et fiabilité des outils de pilotage de l’exploitation informatique, gestion des parcs matériels et logiciels, pilotage et suivi des incidents d’exploitation et des indisponibilités, suivi et pilotage des procédures d’exploitation informatique, contrôle de cohérence entre les besoins utilisateurs (internes et externes) et les réalisations des systèmes d’information. -- Risques associés à la sécurisation des procédés, des applications et des actifs informatiques : existence et qualité des plans de continuité d’exploitation, séparation des fonctions développement et exploitation, qualité des démarches méthodologiques « mode projet », sécurisation des données et des informations structurantes, déploiement de tests de sécurité et de vulnérabilité des actifs matériels et immatériels, mécanismes de gestion des authentifications, des accès, des habilitations, des mots de passe, maîtrise des données…
214
RISQUES INFORMATIQUES
-- Risques associés à la vulnérabilité des systèmes informatiques : étude de vulnérabilité des systèmes, sécurité physique et logique des accès aux ressources matérielles et logicielles, stockage des données et des matériels, tests sur intrusion physique ou logique, plan de continuité.
-- Risques associés aux données et aux systèmes en cas de nécessité de restauration des applications, des données ou des actifs de substitution : cohérence et enjeux des plans de secours, qualité des plans de reprise d’activité, gestion des connaissances et des compétences critiques, gestion documentaire des connaissances et des procédures, etc. -- Risques associés à la sécurité logique des systèmes et des données : fiabilisation et gestion des mots de passe, mécanismes de traçabilité en cas d’intrusion dans les systèmes, vols, détournement ou altération des données, suivi des accès aux ressources sensibles, virus, bombes logiques, piratage des données. -- Risques associés à la qualité de la couverture applicative : incohérence des outils et applications déployées avec les besoins « métier », capacité évolutive insuffisante des outils, langage de développement mal sélectionné, blocage de l’évolution des outils ou des systèmes. Cette première check-list orientée « métier » permet d’affiner les principaux périmètres à considérer compte tenu de la diversité des enjeux à traiter au titre des risques informatiques. Elle permet notamment de ne pas oublier qu’au-delà des outils, des moyens et des démarches méthodologiques, l’informatique d’entreprise doit s’inscrire en cohérence avec la stratégie de l’entreprise en une déclinaison pilotée et définie d’une véritable stratégie informatique.
Approche par les menaces en présence Une seconde approche des risques informatiques peut s’articuler à la lumière d’un certain nombre de thématiques consolidées à partir de la nature des menaces en présence susceptibles d’engendrer la concrétisation des risques informatiques. Cette seconde liste s’articule autour de dix-huit points d’ancrage différents, proposés ci-dessous : 1. Accident physique sur les matériels : dégradation, altération ou indisponibilité d’un actif matériel physique informatique, quelle que soit sa nature (serveurs, PC, portables, routeurs, baies de brassage,
215
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
switch, lignes physiques réseaux, racks matériel, alimentation électrique, climatiseur, etc.). 2. Accident physique logiciel : dégradation, altération ou indisponibilité d’une application, d’un logiciel ou d’un traitement logique, quelles que soient la nature et la cause du problème (attaque virale, bug informatique, erreur de programmation, régression de développement etc.). 3. Action de malveillance physique : dégradation, altération ou indisponibilité d’un actif physique de l’entreprise suite à choc, malveillance, destruction totale ou partielle, attaque extérieure, événement externe (inondation, incendie, écrasement, accident, événement climatique). 4. Panne des systèmes d’information : indisponibilité des systèmes utilisés suite à la défaillance volontaire ou involontaire d’un composant du processus informatique : défaillance technique d’un composant, rupture de réseau, attaque virale, etc. 5. Carence du personnel : altération des systèmes et/ou du service suite à l’indisponibilité de connaissances ou de compétences au sein des équipes informatiques (absence, maladie, compétences absentes suite à démission ou départ en retraite, non remplacement, difficulté de recrutement, surcharge de travail des équipes opérationnelles, déficit de maîtrise du mode projet
). 6. Carence des prestataires : altération des systèmes et/ou du service suite à l’indisponibilité de connaissances ou de compétences au sein des équipes de prestataires (absence, maladie, compétences insuffisantes ou absentes, surcharge de travail, mauvaise gestion ou organisation des ressources, défaillance du mode projet
). 7. Interruption des réseaux : indisponibilité ou altération des capacités informatiques suite à une rupture temporaire ou permanente des réseaux informatiques : coupure de lignes, surcharge de lignes, perte de réseaux de données, défaillance matérielle, électrique, de télécommunication. 8. Erreur de saisie : altération ou dégradation des données, traitements ou services suite à une erreur humaine ou manuelle de saisie de données ou d’actions au sein des systèmes d’information : erreur humaine, action erronée, traitement incohérent des protocoles, modes opératoires défaillants, erreur de saisie ou de paramétrage, etc. 9. Erreur de transmission : altération ou dégradation de données ou de traitement suite à erreur humaine ou matérielle dans l’action de transmission de l’information (information tronquée, partielle, erronée, dégradée), à la suite d’une défaillance matérielle, humaine ou de réseau.
216
RISQUES INFORMATIQUES
10. Erreur d’exploitation : altération ou dégradation de données ou de traitement suite à une erreur d’exploitation : erreur humaine ou matérielle dans la mise en oeuvre d’un traitement (batch, routines
), oubli, omission, manquement, défaillance d’un mode opératoire, surcharge de travail. 11. Erreur de conception ou de développement : altération ou dégradation de données ou de traitement suite à une erreur de conception de l’application ou des traitements à réaliser : mauvais cahier des charges, phase de recettage incomplète, acceptation incohérente de livrables, erreur humaine, déficit de pilotage du mode projet, détectabilité de l’erreur à forte latence, régression, effet de bord de développements complémentaires. 12. Vice caché dans une application : altération ou dégradation de données ou de traitement suite à la mise en lumière d’un vice caché applicatif : effet de bord non détecté, erreur de programmation aléatoire, cahier des charges incomplet, recettage insuffisant. 13. Détournement de fonds : utilisation frauduleuse des outils, démarches ou modes opératoires informatiques pour détourner des actifs financiers de l’entreprise : virement non détecté, détournement d’objet de flux, modification d’objet de paiement, création de comptes virtuels, escroquerie, défaillance technique, erreur de saisie, modes opératoires non sécurisés, dispositifs de contrôle et de suivi inadaptés, mécanismes de détection des risques insuffisant. 14. Détournement de biens : vol, détournement ou altération d’un actif de l’entreprise pour usage personnel ou détourné, quelle qu’en soit la nature : matériel, logiciel, donnée, donnée personnelle, donnée bancaire, flux monétaire, etc. 15. Copie illicite d’application ou de données : réalisation frauduleuse de copies de données, de développement ou d’application, permettant à son usager d’obtenir un avantage concurrentiel ou illégal : détournement de bases de données client (contacts, historique de relation, conditions financières
), de programmes (R&D, lignes de codes, structuration de données ou d’application), d’application (copie illicite d’applicatifs métiers, de bases de données, de référentiels, d’outils de travail
). 16. Détournement d’information : copie ou détournement d’informations via piratage de flux, de base de données, d’interception de flux de données lors de transferts d’informations ou de fichiers, intrusion dans les systèmes informatiques de l’entreprise. 17. Sabotage immatériel : attaques virales contre l’entreprise via virus, trojan, programmes malveillants, attaque bloquante des réseaux, 217
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
saturation des infrastructures logiques et physiques, destruction de données, altération d’applications, vol de données, altération des actifs de toute nature, indisponibilité de services (client, Internet, Intranet, données, applications…). 18. Attaque logique réseau : attaque virale ou applicative contre l’infrastructure réseau de l’entreprise, engendrant la saturation ou l’indisponibilité des services et des infrastructures, détournement de contenus, deny of service, contenus illicites ou erronés en substitution (détournement de pages Web, de profils sur réseaux sociaux), error type 404, etc. Cette seconde check-list, orientée menaces, permet à l’entreprise d’articuler et prioriser sa réflexion sur les grands types de menaces susceptibles d’impacter l’entreprise à travers ses dispositifs informatiques en présence. Elle présente comme vertu essentielle d’être intelligible par tous et de couvrir la majeure partie des risques informatiques susceptibles d’impacter l’opérationnalité de l’entreprise.
L’approche synthétique Une troisième check-list, complémentaire de la précédente, permet d’identifier les principaux risques informatiques à considérer prioritairement dans l’entreprise. Cette troisième liste s’articule autour de 27 points d’intérêt, là encore totalement compréhensibles pour le néophyte : 1. Départ ou disparition de personnel stratégique (gestion de la connaissance/compétence). 2. Arrêt de maintenance des logiciels, par disparition de la SSII, du fournisseur, des sources. 3. Blocage des centres informatiques, des locaux sensibles hébergeant les équipements. 4. Dégâts des eaux ou autres liquides. 5. Accident naturel (tremblement de terre, inondation, ouragan, tempête…). 6. Vandalisme sur équipement sans intrusion. 7. Vandalisme sur équipement avec intrusion dans les locaux de l’entreprise. 218
RISQUES INFORMATIQUES
8. Vol d’équipement sans intrusion. 9. Vol d’équipement avec intrusion dans les locaux de l’entreprise. 10. Vol d’informations (sensibles ou non). 11. Vol d’informations et diffusion au public des informations volées. 12. Destruction volontaire d’informations. 13. Modification volontaire d’informations. 14. Altération volontaire d’informations. 15. Intrusion dans les systèmes informatiques de l’entreprise (détection ?). 16. Perturbation des services rendus (indisponibilité, régression, perte de fonctionnalités). 17. Détournement d’un site, d’un service vendu (site Web, contacts e-mails…). 18. Écoute d’informations sur le réseau (intrusion réseau interne). 19. Altération accidentelle des données par l’exploitation (perte ou dégradation de données). 20. Abus de pouvoir par une maintenance externe (TMA, mainteneur outrepassant ses droits). 21. Dysfonctionnement d’un matériel (panne physique). 22. Dysfonctionnement d’un logiciel (panne logique). 23. Dysfonctionnement d’un service externe (perte de compétence d’un tiers). 24. Divulgation de données confidentielles. 25. Erreur de saisie (erreur manuelle, création d’anomalie commerciale, comptable…). 26. Absence de données critiques (perte de données sensibles particuliers, CNIL…). 27. Virus informatique (attaque virale). Cette démarche, là encore accessible, permet à chaque acteur d’entreprise de prendre la mesure des risques informatiques majeurs qu’il convient de considérer en priorité, dans toute démarche de mise en oeuvre d’une politique appropriée de maîtrise des risques opérationnels et informatiques. 219
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Là encore, aucune check-list ne sera à privilégier ou prioriser par rapport à l’autre. Seule la prise en compte du contexte de l’organisation sera à même de déterminer la démarche méthodologique à initier : objet social, dimensionnement, structuration, organisation interne, etc.
L’approche informatique Dernière démarche méthodologique que nous vous soumettons à la réflexion, l’approche informatique s’attache à balayer dans les grandes lignes la majeure partie des enjeux à considérer à partir du moment où l’on aborde la question opérationnelle de maîtrise des risques informatiques. Bien évidemment, cette liste peut apparaître un peu trop exhaustive et non adaptée pour la plupart des TPE et PME qui décideront d’appréhender l’enjeu des risques informatiques de manière structurée. Néanmoins, nous considérons que cet inventaire à la Prévert a pour vertu d’illustrer au mieux la diversité et la multitude des thèmes à envisager lorsqu’on questionne son rapport aux risques informatiques. Risque opérationnel critique, le risque informatique en entreprise mérite bien un inventaire structuré ! Voici la centaine de points d’intérêt prioritaires que vous pourrez être un jour amené à parcourir dans votre réflexion informatique d’entreprise : 1. Organigrammes hiérarchiques et fonctionnels. 2. Existence d’un comité sécurité. 3. Suivi régulier de la mise en oeuvre de la sécurité. 4. Étude de vulnérabilité de l’entreprise. 5. Existence d’un responsable de la sécurité des systèmes d’information. 6. Existence d’un plan de continuité des activités de l’entreprise. 7. Couverture de la micro-informatique par le plan de continuité des activités de l’entreprise. 8. Existence d’un comité des systèmes d’information. 9. Existence d’un schéma directeur des systèmes d’information. 10. Suivi du schéma directeur des systèmes d’information. 220
RISQUES INFORMATIQUES
11. Élaboration et suivi du budget informatique. 12. Existence de tableaux de bord de gestion de la fonction informatique. 13. Désignation de propriétaires des informations. 14. Analyse spécifique des comptes sensibles. 15. Classification des informations selon les risques. 16. Étude des contrôles automatisés et des contrôles utilisateurs lors de la conception des applications. 17. Formalisation des délégations de signature. 18. Normes de contrôle des traitements d’informations stratégiques. 19. Archivage et sécurité des documents originaux. 20. Audit de sécurité des systèmes d’information. 21. Déclaration des fichiers nominatifs. 22. Protection des données nominatives informatisées ou non. 23. Respect de la réglementation sur les moyens de chiffrement. 24. Respect des lois sur la protection des logiciels. 25. Respect des lois sur la fraude informatique. 26. Étude sur le respect des exigences légales et réglementaires. 27. Climat social correct. 28. Éthique et déontologie dans le règlement intérieur. 29. Définition des responsabilités par le règlement intérieur. 30. Sensibilisation du personnel à la sécurité micro-informatique. 31. Étude sur la sécurité extérieure des locaux informatiques. 32. Protection périphérique. 33. Étude sur la sécurité interne des installations. 34. Gestion de parc. 35. Contrôle d’accès aux salles informatiques. 36. Contrôle centralisé d’accès aux locaux. 37. Contrôle d’accès physique aux serveurs (exemple : 302-A). 38. Stockage sécurisé des petits matériels.
221
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
39. Étude des facteurs de pollution. 40. Consignes de sécurité. 41. Étude spécifique incendie et compartimentage des locaux. 42. Détection et extinction automatique dans les bâtiments et locaux attenant aux locaux informatiques. 43. Détection et extinction automatique dans les salles informatiques. 44. Exercices de lutte contre l’incendie. 45. Études spécifiques dégâts des eaux. 46. Évacuation de l’eau. 47. Environnement technique (électricité, climatisation). 48. Choix sécuritaire des configurations. 49. Études préliminaires (impact après sinistre). 50. Étude de la solution de back up (moyens de secours). 51. Existence d’un plan de secours. 52. Mise à jour régulière du plan de secours. 53. Existence d’une solution de back up. 54.Choix sécuritaire des liaisons de télécommunication de secours. 55. Tests de la solution de back up. 56. Organisation d’un back up des compétences (risque d’expertise). 57. Existence d’une solution de back up en temps réel. 58. Choix des équipements micro-informatiques. 59. Moyens de sauvegarde. 60. Moyens de lutte antivirus. 61. Cohérence des systèmes répartis. 62. Système cohérent et centralisé de contrôle des accès logiques. 63. Suivi des accès aux ressources sensibles (log). 64. Identification et authentification de chaque utilisateur. 65. Suivi des tentatives de connexions infructueuses. 66. Mise à jour des droits et des habilitations lors d’un mouvement de personnel. 222
RISQUES INFORMATIQUES
67. Étude préalable de la sécurité physique du réseau. 68. Étude préalable de la sécurité logique des réseaux. 69. Utilisation de protocoles sécuritaires normalisés dans les échanges interentreprises. 70. Sécurité spécifique des transmissions sensibles dans les échanges internes de l’entreprise. 71. Privilège et contrôle d’accès aux fonctions de communication. 72. Sécurisation des connexions externes aux serveurs de l’entreprise. 73. Sécurité des accès externes des postes de travail et/ou des réseaux locaux. 74. Séparation des fonctions exploitation/administration. 75. Structure d’administration des bases de données. 76. Formalisation des procédures d’archivage. 77. Existence d’une fonction de gestion des supports archivés. 78. Stockage sécurisé des supports informatiques. 79. Stockage sécurisé des supports originaux et licences des logiciels. 80. Procédures de transfert sécurisé des supports informatiques. 81. Procédures de sortie d’informations sensibles de l’entreprise. 82. Plan de sauvegarde/restauration des données (utilisateur et techniques). 83. Test régulier de restauration des sauvegardes. 84. Sauvegarde régulière des serveurs. 85. Séparation des fonctions développement et exploitation. 86. Moyens de lutte contre les sabotages immatériels. 87. Règles de journalisation des accès aux réseaux locaux. 88. Procédures de lutte antivirus. 89. Suivi des incidents d’exploitation. 90. Suivi des prestations de sous-traitance. 91. Procédures de recette avant mise en exploitation. 92. Définition d’un dossier de recette utilisateur pour chaque projet.
223
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
93. Prise en compte de la sécurité dans la méthode de conduite de projet. 94. Prise en compte de la piste d’audit dans la méthode de conduite de projet. 95. Normalisation des contrôles programmés. 96. Documentation des applications. 97. Sécurisation des programmes sources. 98. Formalisation des relations avec les fournisseurs de logiciels. 99. Choix des fournisseurs de progiciels. À l’issue de ces différents contenus, nous invitons nos lecteurs à parcourir ces différentes démarches méthodologiques et autres check-lists, puis les confronter à d’autres référentiels méthodologiques ou normatifs existants : ITIL, COBIT, ISO, etc. L’objectif consiste, pour chacun d’entre vous, de construire puis utiliser une démarche adaptée à vos besoins, permettant de maîtriser au mieux les risques informatiques. Vous l’aurez compris, je ne plaide pas pour l’utilisation d’une démarche plutôt qu’une autre, pour une check-list plutôt qu’une autre ou pour un référentiel normatif plutôt qu’un autre. Toutes les approches sont intéressantes, légitimes, positives et potentiellement riches de sens et d’impacts pour votre organisation. Une seule priorité : réduire en permanence le coût du risque associé aux enjeux opérationnels majeurs que représente l’informatique d’entreprise. À vous de déterminer, individuellement, l’approche qui vous correspond le mieux, et qui répond le mieux, surtout, aux besoins de votre organisation.
Quels que soient les référentiels ou démarches méthodologiques utilisés, un seul objectif doit vous guider en permanence : réduire le coût du risque informatique pour votre organisation. Adopter méthodes et stratégies de couverture des risques en cohérence avec vos objectifs stratégiques d’entreprise.
224
RISQUES INFORMATIQUES
Du risque projet Alors que vous explorez les risques informatiques dans le cadre de votre réflexion sur les risques opérationnels de l’entreprise, il me semble opportun de vous soumettre une dernière approche susceptible d’apporter du sens et de la valeur à votre action. Comme vous le savez certainement, la majeure partie des risques informatiques est issue d’une défaillance du mode projet dans l’organisation. En effet, combien d’entreprises ont-elles déjà passé par pertes et profits des montants exorbitants de temps et d’argent en développements informatiques qui, au final, s’avéraient inadaptés aux besoins initiaux ? Combien d’entre nous ont été engagés dans des modes projet coûteux et consommateurs de temps et d’énergie, parfois, en pure perte ?
La majeure partie des risques informatiques provient d’une maîtrise inadaptée du mode projet informatique : besoins mal qualifiés, démarche projet défaillante, défaut de cohérence entre objectifs, besoins et livrables, déficit de compétences, erreurs techniques, fonctionnelles ou organisationnelles, etc. Au final, le principal risque informatique, c’est peut-être le projet informatique en lui-même, quel qu’il soit ! La question méritant d’être posée, à la lumière de mon expérience personnelle, je vous propose de vous approprier, dans le cadre de la maîtrise des risques informatiques de votre entreprise, une démarche méthodologique destinée à réduire les risques projet de l’entreprise, de manière plus particulièrement dédiée à la mécanique du mode projet informatique. Un projet constitue un objet organisationnel bien particulier. Et la mise en oeuvre d’un projet informatique expose l’organisation à de nombreux risques informatiques qu’il convient de maîtriser au mieux. Parmi les risques à considérer dans le cadre d’un mode projet informatique, il peut être utile de se questionner sur les points suivants : 1. Modèle de données incohérent pour comptabilité avec autres modèles. 2. Modèle de données non évolutif. 225
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
3. Non-conformité aux règles internes (charte informatique, stratégie de l’entreprise, instructions…). 4. Non-conformité aux règles externes (lois et réglementation en vigueur). 5. Non prise de connaissance exhaustive des normes internes à respecter. 6. Non prise de connaissance exhaustive des normes externes à respecter. 7. Absence de mécanisme de veille réglementaire externe. 8. Absence de mécanisme de veille réglementaire interne. 9. Absence de cohérence avec le schéma directeur du SI. 10. Absence de cohérence avec la politique de sécurité du SI de l’entreprise. 11. Méconnaissance des règles de la politique de sécurité de l’entreprise. 12. Mauvaise interprétation des règles de la politique de sécurité de l’entreprise. 13. Action de malveillance sur données détenues par l’entreprise. 14. Action de malveillance sur les applications utilisées, installation d’applications illicites. 15. Action de malveillance sur matériels (détérioration ou vol d’équipements informatiques). 16. Mise en production d’une application nouvelle non pertinente (couverture applicative inadaptée). 17. Mise en production d’une application défectueuse (régression applicative, bugs non corrigés). 18. Mise en production d’une application instable (régression de l’existant). 19. Oubli de traitement des non-conformités rencontrées en phase recettage d’une nouvelle application. 20. Absence de plan de formation lors du déploiement d’une nouvelle application (accompagnement). 21. Qualité perfectible du plan de formation lors du déploiement d’une nouvelle application (perte de valeur). 22. Plan de déploiement non réalisable (par manque de ressources humaines ou matérielles). 23. Non-respect des délais par les partenaires internes à l’entreprise (service informatique).
226
RISQUES INFORMATIQUES
24. Obsolescence des outils en cours impactant la bonne réalisation des activités (capacité, temps de réponse). 25. Méconnaissance des normes et des standards exigibles (règlement en ligne, sécurisation des paiements). 26. Non-respect des normes et des standards exigibles (sécurisation des transactions EDI, contraintes CNIL…). 27. Non application effective des normes et des standards exigibles (mise en oeuvre incomplète). 28. Non prise en compte de l’évolutivité des normes et des standards exigibles (système figé non évolutif). 29. Absence de gestion du parc matériel (incohérence, performances dégradées). 30. Mauvaise gestion du parc matériel (identification, localisation, perte des actifs mis en oeuvre). 31. Absence de maintenance du parc matériel (panne, indisponibilité, helpdesk saturé). 32. Mauvaise gestion de la maintenance associée au parc matériel. 33. Incompatibilité des configurations (hétérogénéité des environnements logiques). 34. Incompatibilité des modèles de données (limitation de développements nouveaux). 35. Dégradation de performance par suite d’une mauvaise utilisation (défaut de formation). 36. Pertes de données. 37. Pertes d’accès. 38. Non-respect des procédures ou des modes opératoires. 39. Évolution des procédures associées non prises en compte, évolution organisationnelle incohérente. 40. Méconnaissance des évolutions de procédures associées (diffusion, formation, suivi). 41. Absence de visibilité sur la traçabilité des évolutions de procédures réalisées (formalisation). 42. Absence de visibilité sur la traçabilité des évolutions logicielles réalisées (gestion de la connaissance). 227
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
43. Absence de visibilité sur la traçabilité des évolutions matérielles réalisées. 44. Documentation non réalisée (gestion de la connaissance). 45. Documentation incomplète (qualité de la documentation produite). 46. Documentation présentant des erreurs (gestion de la connaissance). 47. Documentation potentiellement indisponible (absence de back up, disque local non sauvegardé). 48. Dégradation des performances des prestataires internes. 49. Dégradation des performances des prestataires externes (TMA, maintenance parc matériel). 50. Non-conformités fonctionnelles trop importantes (perte de compétitivité, de productivité). 51. Non-conformités techniques trop importantes. 52. Délai lors du déploiement de la solution (gestion des délais de livraison, de mise en production). 53. Rejet par l’utilisateur de l’outil ou de la solution mise en oeuvre (projet final inadapté). 54. Régression de la performance suite à mise en oeuvre de la solution. 55. Performance de la solution inférieure aux attentes du cahier des charges initialement produit. 56. Mise en production de la solution avec existence d’anomalies majeures récurrentes. 57. Problème d’intégrité des données émises/données reçues. 58. Problème de traçabilité des données émises/données reçues. 59. Problème de confidentialité des données émises/données reçues. 60. Délai de mise à disposition des données pour analyse, traitement, exploitation (lenteur, fiabilité). 61. Défaillance majeure d’un processus impacté par la solution déployée. 62. Défaillance majeure d’outils/système impactés par la solution déployée. 63. Non détection d’anomalie ou d’incident post-déploiement. 64. Non traitement d’anomalie ou d’incident post-déploiement.
228
RISQUES INFORMATIQUES
65. Gestion de la communication utilisateurs défaillante suite à incident. 66. Non-respect des procédures mises en place. 67. Défaillance des procédures mises en place. 68. Données transmises au client : erronées, indisponibles, non intègres, inexactes. 69. Données créées pour exploitation : erronées, indisponibles, non intègres, inexactes. 70. Mauvaise définition des spécifications souhaitées pour la solution envisagée. 71. Absence d’outil de pilotage de fiabilité de la solution nouvellement mise en place. 72. Absence d’outil de pilotage de disponibilité de la solution nouvellement mise en place. 73. Absence d’outil de pilotage d’activité de la solution nouvellement mise en place. 74. Absence d’outil de mesure d’activité de la solution nouvellement mise en place. 75. Absence d’outil de mesure de la qualité des données émises/reçues/ transmises. 76. Absence d’outil de mesure de la productivité de la solution déployée. 77. Prise en compte des interactions avec les autres systèmes potentiellement impactés. 78. Prise en compte des interactions avec les processus métiers impactés. Au final, cette liste vous permettra de mieux identifier les principaux risques informatiques à ne pas oublier lors de tout amorçage d’un projet informatique dans l’entreprise. C’est, du moins, ce que nous espérons ! Ne pas oublier d’identifier et de maîtriser les risques directement ou indirectement liés à la mise en oeuvre d’un mode projet informatique dans l’entreprise. Il peut engendrer de multiples risques à ne pas négliger. Vous l’aurez compris, les risques informatiques constituent une famille de risques opérationnels à part, mais qu’il convient de maîtriser au mieux,
229
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
compte tenu de leur permanence et de leur prégnance sur les activités opérationnelles de toute entreprise. Même si vos activités ne sont pas liées aux métiers de l’informatique, ne pas négliger l’importance de l’outil informatique dans le cadre de votre lecture des risques opérationnels de l’organisation. La plupart des cycles d’exploitation, pour ne pas dire l’intégralité des cycles d’activités et des processus opérationnels de la majeure partie des organisations repose sur la qualité, la fiabilité et la sécurité des transferts d’information et de données, donc sur la qualité et la robustesse des outils, applications et traitements mis en oeuvre via l’informatisation des modes opératoires. Qu’il s’agisse de flux, de stocks, de procédés, de modes opératoires, de processus ou d’opérations physiques, l’informatique contribue de manière essentielle à la structuration et à l’élaboration de la chaîne de valeurs que chaque entreprise délivre à son client. C’est un risque opérationnel essentiel à ne pas sous-estimer, encore moins à négliger. Et cela est vrai tant pour la TPE que pour la multinationale ! Le risque informatique constitue, avec une très grande lucidité, l’un des risques opérationnels majeurs que l’entreprise doit maîtriser au mieux, mais pas à n’importe quel prix. La maîtrise du coût du risque informatique doit engager une réflexion approfondie relative aux coûts d’opportunité (à faire ou à ne pas faire), et à la meilleure stratégie à adopter pour l’organisation. Cette réflexion lucide sur le coût du risque informatique dans l’entreprise s’impose, afin de ne pas tomber dans le syndrome de la surqualité ou le déploiement de solutions maximalistes de sur-sécurité, trop souvent contre-productives pour l’organisation. Plus que jamais, la gestion de la rareté des ressources (et donc des moyens de couverture des risques à déployer) s’impose dans toute démarche structurée de maîtrise des risques informatiques. Néanmoins, sachez adopter une démarche offensive vis-à-vis de ce risque opérationnel d’importance. Ne subissez pas votre informatique, vos infrastructures, l’indisponibilité de vos données ou de vos traitements. Prenez l’enjeu informatique dans sa globalité, avec humilité, lucidité et pragmatisme, et investissez dans la maîtrise des risques informatiques ! Vos risques opérationnels vous remercieront ! 230
Chapitre 3 Facteurs Humains « Par nature, les hommes sont tous semblables, en pratique, ils sont très différents. »
Confucius
Cette citation de Confucius traduit à mon sens, et de la meilleure manière, l’enjeu opérationnel que nous abordons à présent. Pourquoi considérer les facteurs humains et leurs risques associés comme des risques opérationnels ? Tout simplement parce qu’ils constituent l’essence même de toute organisation, la base de toute création de valeur et de pérennité d’un projet d’entreprise. La mise en œuvre d’une organisation à but professionnel, quelle qu’elle soit, s’appuie avant tout sur ses composantes humaines, sur leurs connaissances, sur leurs compétences, et sur leurs talents. La MAÎTRISE des risques relatifs aux enjeux sociaux et psychosociaux des organisations s’impose comme l’un des risques source majeur de tout risque opérationnel. Ainsi, il semble essentiel de considérer les risques « facteurs humains » comme des risques opérationnels à part entière, et de manière dédiée. Abordons en conséquence cet enjeu dans cette double perspective : un élément contributif majeur de tous les risques opérationnels en présence, et une classe de risques opérationnels spécifique.
231
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Il n’est de risques que d’hommes Quel que soit le projet d’entreprise, le dimensionnement des espérances portées par l’entrepreneur, le créateur ou le repreneur, l’historique, l’activité ou la taille de l’organisation, force est de constater que les facteurs humains représentent le mât d’artimon, la clé de voûte de toute organisation. Au-delà de l’énoncé de cette banalité, il apparaît primordial de rappeler à chacun que derrière chaque risque, pour ne pas dire à la source de chaque risque, il y a un homme, ou presque. Même si une inondation, un tremblement de terre ou une explosion sont le fait d’éléments ou d’événements qui nous échappent encore la plupart du temps (et heureusement !), la majeure partie des risques concrétisés en entreprise est l’expression, à un moment ou à un autre, de l’action, de la réflexion, de l’absence ou de la démarche volontaire ou non d’un acteur interne ou externe à l’organisation. Nous avons écrit, dans un précédent ouvrage, « qu’il n’est de risques que d’hommes. » Plus que jamais, et à la lumière de notre expérience du risque en entreprise, cette maxime semble se révéler plus vraie que jamais, traduisant effectivement la réalité du risque en entreprise. Du dirigeant à l’actionnaire, du partenaire bancaire au fournisseur, de l’agent d’accueil au directeur financier, du gérant au salarié, du responsable de service au stagiaire, chacun d’entre nous va contribuer à la construction du risque dans l’organisation, à son émergence, à sa maîtrise et/ou à son coût induit en cas de survenance. Nous sommes tous les acteurs du risque de nos entreprises. Nos activités opérationnelles, au quotidien, nourrissent notre fabrique des risques. Chaque jour, la moindre de nos actions, de nos décisions, de nos réflexions engendre la potentialité future de la concrétisation d’un risque. Nous devons tous en être conscients et nous interroger au quotidien, à travers les actions que nous entreprenons, à l’impact de nos décisions et leur traduction en termes de risques. Que se passera-t-il si je décide de ne pas suivre la procédure 212 ? Quel sera l’impact du lancement du produit Y sur le marché Z ? Devons-nous racheter ce concurrent ? Faut-il implanter un magasin à cet endroit plutôt qu’un autre ? 232
FACTEURS HUMAINS
Toutes les décisions quotidiennes d’entreprise créent, évitent ou réduisent des risques. Et nous devons prendre des risques, au quotidien, tous les matins. Et ce pour une raison simple : sans prise de risque, il n’y a pas – ou il n’y aura pas – de création de valeur. Le questionnement au risque doit être intégré comme une démarche volontariste et positive de la création de valeur. Les dirigeants, les entrepreneurs, les créateurs, les responsables passent leurs journées à prendre des risques, avec humilité, lucidité et pragmatisme. Soyons-en tous bien conscients. Sans prise de risque, il n’y a pas d’entreprise qui réussit. Mais toute prise de risque doit être réalisée en conscience, avec humilité et pragmatisme, à la lumière des enjeux pris et de leurs conséquences éventuelles.
Sans prise de risque, il n’y a pas de création de valeur. L’entreprise, c’est la prise de risque permanente, mais dont les tenants et les aboutissants doivent être, si possible, compris et maîtrisés. Ainsi, et individuellement, nous exposons l’entreprise au risque. Et nous avons tous un profil risque particulier. Compte tenu de notre éducation, de notre parcours individuel, de notre formation, de notre expérience, de nos schémas de pensées, de nos cadres de référence, notre rapport au risque va se forger en permanence, en quotidien. Et ainsi, orienter notre appétence – ou notre rejet – de manière plus ou moins marquée, face au risque.
Chacun d’entre nous présente un profil risque individuel, spécifique et particulier. Il est le fruit de notre parcours personnel et professionnel, de notre vécu, de notre personnalité, de notre expérience individuelle et collective des risques. L’appétence ou le rejet du risque conditionnera ainsi, à des degrés divers, chaque acteur d’entreprise et chaque comportement individuel face aux risques qui se présenteront, quels qu’ils soient. Interrogez-vous brièvement sur le « profil risque » de votre collègue, de votre pair, de votre adjoint, de votre responsable. Est-il/elle « risque adverse » ? Ou plutôt preneur de risques ? Se questionner permet ainsi de mesurer l’importance du profil risque de chacun, et la manière dont ce profil influe – ou peut influer – le comportement individuel, la prise de
233
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
décision ou l’action au quotidien dans l’entreprise lorsqu’on est confronté au risque. Voilà pourquoi il nous apparaît essentiel de ne pas négliger l’appréhension des facteurs humains lorsqu’on traite des risques opérationnels en entreprise. Car les risques « facteurs humains », qui vont s’articuler entre risques sociaux et psychosociaux, seront à la racine de chaque concrétisation potentielle des risques opérationnels que nous avons déjà parcourus. Et ils constitueront également une classe de risques opérationnels à part entière, à traiter et considérer comme telle, compte tenu de son incidence sur la qualité, la performance et la pérennité des cycles d’exploitation de l’entreprise. Le choix d’une infrastructure technique, organisationnelle et/ou de solutions sécuritaires pour un site ne serait-il pas conditionné, avant toute autre chose, par le profil risque du responsable des moyens généraux qui en a la charge ? La décision de lancer – ou de ne pas lancer le produit X ne serait-elle pas influencée par la « culture risque » de l’équipe qui prendra la décision ultime ? Quel est l’empreinte « risque » du responsable en charge d’une décision ? Comment expliquer la mise en oeuvre d’un mode opératoire sans points de contrôle, si ce n’est à travers le prisme du profil risque du décideur ? Quelle est l’expérience du risque de l’acteur en charge du dispositif ? Ainsi, au fil de l’eau, vous allez peu à peu intégrer la perception du risque et le profil risque des acteurs qui vous entourent dans votre rapport au risque et à la manière dont les décisions seront prises. Vous serez surpris de l’impact que cette réflexion peut engager si vous l’exposez lors d’un échange. Une lecture lucide, franche et pragmatique permettra très souvent d’amender ou de relativiser une position ou une prise de décision, à la lumière des motivations « risques » des parties prenantes. Prenons un exemple. Vous lancez un projet et constituez ainsi une équipe projet. Si tous les membres de cette équipe présentent le même profil risque (même formation, parcours professionnel similaire, personnalités proches
), face à une situation donnée, vous obtiendrez logiquement la même réponse collégiale, la même solution à mettre en place. Or, votre valeur ajoutée viendra de la confrontation des points de vue et des idées différentes pour traiter le problème ou l’incident, à l’appui d’un rapport au risque 234
FACTEURS HUMAINS
différencié. Combien d’équipes projet sont-elles en échec à cause de la non détermination appropriée des d’un manque de diversité dans les profils risques de leurs acteurs ? La mesure d’un coût d’opportunité à faire – ou à ne pas faire – une action, est très souvent enrichie par l’apport de profils risques en contradiction, qui nourriront la réflexion collective. Attirons, d’ores et déjà, l’importance du profil risque de chaque acteur d’entreprise, afin d’en mesurer l’impact dans le cadre de la réalisation des processus opérationnels. En conséquence, abordons les principaux risques associés aux facteurs humains, c’est-à-dire à l’interaction de l’homme et du système organisationnel dans lequel il évolue, car elle sera très souvent source de risques multiples, et majeurs. Nous distinguerons en conséquence deux grandes natures de risques associés aux facteurs humains dans l’entreprise : d’une part, les risques sociaux, et d’autre part, les risques psychosociaux. Ces deux catégories nourrissent l’enjeu du risque « facteurs humains » dans l’entreprise, constituant ainsi un périmètre de risques opérationnels critiques pour toutes les organisations, quelles qu’elles soient.
Risques sociaux Par expérience, et afin d’assurer une articulation pertinente et simplifiée des enjeux associés aux facteurs humains, les risques sociaux de l’entreprise peuvent être, selon nous, considérés à travers le prisme de trois grandes dimensions. Ces trois grands axes de réflexion au titre des risques sociaux dans l’entreprise s’avèrent fondamentalement complémentaires, distincts mais profondément interconnectés. Nous vous proposons de considérer l’enjeu social dans l’entreprise autour des dimensions suivantes : -- Les risques liés, directement ou indirectement, à la qualité et à la sérénité du climat social dans l’entreprise, permettant à chacun, dans son rôle, d’exercer ses activités dans les meilleures conditions d’interaction, de compréhension et de vision partagée. Ces risques seront in fine fondamentalement conditionnés à la capacité de l’équipe dirigeante (et ses relais opérationnels) de créer et/ou maintenir les conditions propices à l’émergence d’un climat social serein.
235
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Les risques liés au turn-over des équipes constitutives de l’entreprise, et notamment l’enjeu critique de la perte de compétences non anticipée et/ou non préparée. Au-delà des risques associés à la gestion des connaissances (qui constitue dans notre démarche une classe de risques à considérer à part entière), l’instabilité des ressources de l’organisation engendre une multitude de risques opérationnels indirects (notamment en cas de perte de compétences critiques). -- Les risques liés à l’application du droit social dans l’entreprise, compte tenu de la complexité, de la densité et de l’évolutivité des règles légales et sociales encadrant les relations de travail au sein de l’organisation. De nos jours, les règles sociales et légales à respecter dans le cadre du rapport au travail apparaissent d’une complexité telle que de multiples risques liés sont à identifier, comprendre et maîtriser au mieux. Ces trois dimensions, fortement liées, permettent de mettre en perspective cette notion de risques sociaux dont le périmètre peut apparaître assez flou car l’appréhension des risques liés à l’individu, acteur critique dans la création de valeur produite par l’entreprise, demeure complexe et sensible, compte tenu de la difficulté à traiter le « facteur humain » dans l’organisation. L’homme constitue le vecteur critique de stabilité et de développement des connaissances, des compétences, et la bonne adéquation entre les talents mis en oeuvre et les besoins réels ou potentiels, immédiats ou à venir, de l’entreprise. Mais cette contribution critique à la valeur ne peut se réaliser complètement et de manière pérenne que dans un cadre d’action serein (la qualité du climat social), où les acteurs contributifs, quels qu’ils soient, se projettent en toute confiance, quelle que soit la durée de la présence minimale requise (la maîtrise du turn-over), et où les conditions d’exécution des activités résultent d’une lecture appropriée des obligations légales et en cohérence acceptée par tous avec les enjeux de l’organisation (conformité au droit social et du travail).
Maîtriser les risques sociaux résulte pour l’essentiel de la qualité du climat social, de la maîtrise du turn-over et des compétences et de la mise en adéquation des conditions d’exécution des métiers et des fonctions avec les obligations légales et réglementaires en présence.
236
FACTEURS HUMAINS
Du climat social Le premier risque susceptible de fragiliser l’entreprise au titre de ses risques sociaux en présence est donc lié à la qualité du climat social dans l’entreprise. La qualité du climat social résulte fondamentalement de la capacité de l’équipe de direction, tant au sein de ses instances qu’au sein de l’entreprise, quel que soit le niveau hiérarchique ou opérationnel considéré, à assurer aux acteurs de l’entreprise un environnement humain propice à la réalisation sereine des activités. Cette réalisation au quotidien va permettre à chacun, quelle que soit sa fonction, de mener à bien les tâches, actions et missions confiées de la meilleure manière avec efficacité, pragmatisme et pertinence, et assurer ainsi le meilleur niveau de contribution à la chaîne de valeur globale de l’entreprise. De la qualité du climat social va découler la qualité des interactions entre les collaborateurs, au sein des équipes, entre les équipes, dans le cadre des échanges hiérarchiques ou fonctionnels, et permettre ainsi une véritable sérénité des actions et des comportements au sein de l’organisation. Bien évidemment, nul angélisme n’est approprié lorsqu’on aborde les enjeux sociaux dans l’entreprise. Il y aura toujours, en permanence, des désaccords, des contradictions, la gestion de situations ou de positions incohérentes, incomprises, nourrissant frustration, rancune ou aigreur potentielle. Telle est la réalité de tout groupe humain, et nul ne peut changer la nature humaine. Par contre, la qualité du climat social sera à même de permettre et de favoriser la libération de la parole et la confrontation positive, source de valeur. Autant le conflit pour le conflit, pour l’influence, le pouvoir ou l’expression de la volonté sont stériles, autant l’échange, le partage et la confrontation bienveillante des idées et des points de vue seront riches de sens pour l’organisation. Il apparaît, en conséquence, essentiel de tout faire pour que le climat social de l’organisation soit apaisé.
237
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Concrètement, les risques associés au climat social sont assez simples à détecter lorsqu’ils se concrétisent. Ainsi, parmi ces principaux risques, on remarquera aisément : - les risques de voir émerger, puis perdurer, un mouvement social, partiel ou total, perturbant un ou plusieurs processus opérationnels, de manière temporaire, permanente ou diluée ; - les risques de voir émerger, puis perdurer, une grève, partielle ou totale, susceptible de bloquer ou paralyser entièrement un cycle d’exploitation, un site, une activité ; - les risques de voir émerger, puis perdurer, des actions de débrayage d’activité, perturbant la réalisation de certains modes opératoires (perte d’efficacité, sous-performance, baisse qualitative et/ou quantitative des activités, impact sur les autres dimensions opérationnelles de l’entreprise) ; -- les risques de voir émerger, puis perdurer, toute action de salariés détériorant l’activité, les pratiques ou les actifs de l’organisation (blocage ou détérioration volontaire ou involontaire des actifs par négligence ou malveillance, altération des équipements ou des matériels, dégradation des stocks de matière première par grève du zèle, production d’incidents ou d’insatisfactions clients, quels qu’ils soient…). Fondamentalement, les risques sociaux vont donc impacter le client, directement ou indirectement, à cause d’un climat social dont les conditions de réalisation apparaissent heurtées ou dégradées. Le climat social de toute organisation constitue le risque social prioritaire à considérer. La maîtrise de la qualité de climat social nécessite donc : -- une lecture lucide de la part de l’équipe de direction et d’encadrement ; -- une démarche volontariste, cohérente et affirmée de l’équipe dirigeante dans sa stratégie d’élaboration, d’animation et de maintien de la qualité espérée du climat social dans l’organisation ; -- une méthode et des outils de détectabilité de signes précurseurs permettant d’identifier d’éventuelles dégradations futures dudit climat social. Le rôle de l’encadrement – et de ses relais de communication et de direction – s’avère primordial dans la qualité effective du climat social déployé dans l’entreprise. 238
FACTEURS HUMAINS
La qualité du climat social de l’entreprise constitue l’enjeu majeur des risques sociaux. Elle repose sur la capacité de l’équipe de direction et d’encadrement à définir et animer le climat social recherché, à l’appui d’une démarche cohérente et volontariste d’animation et de détection des signes précurseurs d’éventuelles dégradations. Au-delà des risques sociaux décrits précédemment, d’autres situations à risque sont susceptibles d’émerger dans l’organisation et seront sources de risques opérationnels potentiellement significatifs, notamment à l’appui de l’existence de conflits latents. Ces conflits latents entre personnes ou équipes, individualisés ou collectifs, peuvent apparaître à tout moment et à tous les échelons de l’entreprise, sans restriction : -- au sein de la gouvernance de l’entreprise (conflit entre actionnaires, au sein du conseil d’administration) ; -- au sein des instances de direction de l’entreprise (comité exécutif, comité de direction, comité fonctionnel) ; -- au sein des directions opérationnelles de la société ; -- entre la direction de l’entreprise et les salariés ; -- entre la direction de l’entreprise et les membres des instances représentatives (instances et représentations syndicales, comités d’établissement, délégations du personnel…) ; -- entre les responsables de services, de département et collaborateurs [interactions dégradées entre (N-1) et (N-2)] ; -- entre les collaborateurs, les salariés, les services, les filiales, les entités opérationnelles différentes ou identiques. La qualité du climat social demeure notamment intimement liée à la qualité des échanges au sein des instances représentatives du personnel et à la qualité des échanges lors des réunions entre direction d’entreprise et représentants des salariés, syndiqués ou non. L’enjeu prioritaire pour toute organisation consiste donc à maintenir une véritable paix sociale, solide et durable, et assurer le fonctionnement permanent et serein de l’entreprise, dans une démarche pérenne d’écoute, de respect et de compréhension mutuelle, malgré l’antinomie potentielle des objectifs recherchés et des contraintes subies.
239
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La maîtrise du climat social et de ses risques associés, principaux enjeux des risques sociaux, passe en conséquence par plusieurs fondamentaux managériaux que nous estimons judicieux de rappeler ici, afin de maîtriser au mieux ce risque social critique pour toute organisation : -- existence, qualité et fréquence effective des mécanismes de communication interne, ascendants et descendants ; -- écoute et pilotage effectif de la « satisfaction salariés » ; -- partage d’une vision, de valeurs et d’objectifs collectifs reconnus par tous et source de fédération, de motivation et d’engagement individuel et collectif ; -- renforcement de certaines notions essentielles dont la compréhension et l’adhésion doivent être non négociables au sein de l’organisation, quelle qu’elle soit et quels que soient ses enjeux ou ses objectifs : intégrité, exemplarité, respect de l’autre et rapport à l’exigence. À l’appui de ces quelques leviers, la qualité du climat et ses risques associés doit être plus simplement définie et maîtrisée, en constance. Chaque dirigeant, chaque responsable d’encadrement doit se questionner au quotidien sur la qualité du climat social au sein de son organisation, de son équipe, et demeurer à l’écoute permanente de la détection de signaux précurseurs de risque de dégradation, afin de pouvoir réagir de manière appropriée.
Le risque du turn-over Le risque social lié au turn-over des collaborateurs, c’est-à-dire à la rotation des équipes constitutives des entreprises par suite de départ non souhaité ou non anticipé d’un collaborateur, constitue le second risque social sur lequel nous souhaitons attirer votre attention. En effet, la maîtrise des connaissances, des compétences et des talents constitue le levier critique de la pérennité de l’entreprise. Une entreprise n’existe que grâce à la valeur créée par chacun de ses maillons. Si l’un des maillons de la chaîne disparaît, de manière non détectée ou non anticipée, la structure de la chaîne de valeur peut être significativement impactée et déstabiliser en profondeur l’organisation. La perte d’un homme-clé, d’une compétence critique non prévue est source de risque majeur pour l’entreprise. Il convient donc de maîtriser 240
FACTEURS HUMAINS
au mieux ses causes profondes, en commençant par les identifier et les comprendre de manière lucide et pragmatique. Le risque de turn-over doit être apprécié à plusieurs niveaux : -- turn-over des équipes opérationnelles, c’est-à-dire des acteurs opérationnels en charge de tout ou partie d’un processus contributif aux différents cycles de l’entreprise : production, commercialisation, fonctions supports, dispositifs de contrôle, etc. ; -- turn-over des équipes d’encadrement (middle management), qui animent les équipes opérationnelles et qui sont très souvent exposées au double feu des tensions et des critiques, tant de la part des équipes qu’elles encadrent que de leur propre hiérarchie ; -- turn-over des équipes de direction (comité de direction, comité exécutif), dont l’engagement et la criticité d’action et de réflexion rendent particulièrement sensible tout départ subi ou non maîtrisé. Nous vous invitons à engager la réflexion sur le risque de turn-over à l’appui de cette segmentation non pour des raisons de hiérarchie, mais pour des raisons d’homogénéité des enjeux à maîtriser. Subir le départ inopiné d’un cadre dirigeant, d’un encadrant critique ou d’un acteur opérationnel clé ne se traitera pas de la même manière, car les risques associés seront souvent différents. Le risque de turn-over engendre potentiellement l’émergence des fragilités suivantes : -- perte de connaissances sensibles ou critiques détenues par le salarié (à appréhender par niveau précédent), et dont la capitalisation du savoir est impossible, non réalisée ou non actualisée ; -- perte de compétences directement détenues par le salarié en partance, et dont le contenu sera difficilement capitalisable par l’entreprise, audelà de la documentation de pratiques opérationnelles ou de retour d’expérience ; -- risque de désorganisation de l’entreprise, avant, pendant ou après le départ du collaborateur (départ collectif d’un département, d’une équipe commerciale, d’une équipe opérationnelle, impacts de dommages collatéraux en cas de démissions mal gérées en interne…) ;
241
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- incapacité ou difficulté à recruter ou remplacer en interne le profil en partance le cas échéant (pénurie de compétences identiques sur le marché du travail, cherté du profil ou du recrutement à engager…) ; -- perte d’un « homme clé », dont le départ impacte lourdement et/ ou durablement l’entreprise (acteur commercial essentiel majeur représentant plus de x % du chiffre d’affaires, renom ou réputation du collaborateur qui quitte l’organisation, rareté du profil, collaborateur parti à la concurrence, perte d’une compétence technique essentielle, perte de réseaux ou de carnets d’adresses, impacts sur les autres salariés, démotivation, désengagement, multiplication de l’exemple…). Fondamentalement, et malgré les risques directs ou indirects liés au turnover, nous sommes personnellement intimement convaincus de l’intérêt de la rotation des équipes, des emplois et des compétences au sein des organisations. Donc, de l’acceptation, voire l’encouragement de turn-over au sein des organisations. En effet, autant l’incapacité à détecter le départ impromptu d’un collaborateur critique peut refléter l’inconsistance des dispositifs de gestion des compétences et des talents dans l’entreprise, autant le départ de collaborateurs ou d’équipes non dédiées ad vitam aeternam m’apparaît nécessaire, voire bénéfique. Apporter en permanence « du sang neuf » dans l’entreprise, gérer le plus finement possible l’équilibre subtil entre expérience et vision nouvelle, apport renouvelé de compétences et maturité des connaissances, profils « juniors » et « seniors » constituent des vecteurs essentiels de création de richesse pour les entreprises. Certes, le turn-over constitue un risque social majeur à maîtriser dans l’organisation. Nous en avons parcouru les principaux impacts ci-dessus. Toutefois, le risque semble plus concentré sur l’enjeu de la détection des signes précurseurs permettant d’identifier les futurs partants (et de préparer et organiser leur départ et leur remplacement), que le risque lui-même. De nombreuses grandes entreprises bâtissent leur politique de gestion des compétences sur un modèle de rotation quasi permanente des équipes, et ce de manière très structurée (trois ou quatre années maximum dans un poste, changement d’affectation, de poste, de métier ou de société tous les 242
FACTEURS HUMAINS
trois ou quatre ans…), partant du principe qu’au-delà d’un certain temps, tout collaborateur intègre une certaine « routine », consciemment ou non, et perd ainsi sa capacité d’innovation, de motivation voire de remise en cause individuelle ou d’engagement personnel. Dans cette démarche, la stagnation est synonyme de régression, et il n’existe pas de bonnes habitudes, seulement des mauvaises habitudes qui sclérosent l’individu dans une zone de confort marquée, annihilant à terme prise de risque, ouverture d’esprit et innovation psychologique. Le collaborateur doit évoluer, et l’entreprise avec, en permanence. D’où une mobilité provoquée et voulue, de manière permanente et culturelle. Cette stratégie de « mise sous tension permanente » de l’organisation et de ses équipes, à l’appui d’un turn-over assumé voire affirmé, potentiellement positif et source d’agilité, peut toutefois entraîner la mise en oeuvre systématique de stratégies « court terme » (les salariés n’étant pas « engagés » plus de quelques années sur une mission particulière), engendrant in fine des prises de décision « long terme » sur des résultats essentiellement « court terme ». D’autres entreprises, au contraire, veillent à la stabilité et au maintien absolu des compétences en interne, chaque départ ou démission d’un collaborateur étant vécu individuellement par le dirigeant ou l’encadrant comme une trahison, un abandon illégitime et, dans tous les cas, une perte sensible pour l’entreprise. Ce type de stratégie provoque parfois des prises de décisions contestables, voire totalement aberrantes (niveau de rémunération ou de prime incohérent pour conserver à tout prix le collaborateur qui finira par partir, réorganisation critiquable, décision d’affectation perfectible, etc.). Entre ces deux stratégies à l’opposé l’une de l’autre, il nous semble qu’il appartient ensuite à chaque lecteur de définir sa propre vision de la gestion des équipes et des compétences au sein de l’entreprise. Le turnover apparaît, selon nous, tout à fait sain, pour ne pas dire essentiel, au minimum souhaitable. Il est cependant nécessaire de bien comprendre et d’anticiper si possible les motifs du départ du collaborateur (évolution bloquée, volonté de changement, offre concurrente alléchante, conflits individuels…), en fonction des enjeux, et surtout de préparer de la meilleure manière, dans la mesure du possible, son départ (grâce à une gestion efficace des connaissances).
243
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Car, au-delà des attitudes essentielles à adopter (écoute, compréhension, communication) et des pratiques ou décisions légitimes à mettre en oeuvre le cas échéant (renégociations, évolutions fonctionnelles ou organisationnelles…), il apparaît totalement contre-productif à long terme de tout faire pour conserver un salarié désireux de quitter l’entreprise. Nul n’est irremplaçable… L’identification et la compréhension du risque de turn-over – et de ses impacts pour la société –doivent être également sources de réflexion profonde de l’entreprise dans sa gestion des équipes et des compétences. Au-delà des motivations objectives et subjectives de chaque départ non voulu, le turn-over « subi » résulte souvent de la concrétisation inadaptée de politiques internes non partagées de l’entreprise, ou de « sondes de détection » non mises en œuvre. Notamment : -- contenu, cohérence et performance de la politique de recrutement (adéquation besoins/compétences recherchés, canaux et modes de recrutement, politique salariale et sociale cohérente avec le marché) ; -- contenu, cohérence et performance de la politique de formation (adéquation besoins/plan de formation, cohérence de la stratégie retenue, mise en oeuvre des solutions de formation appropriées : e-learning, présentiel, formation inter ou intra-entreprises…) ; -- contenu, cohérence et qualité de la politique de gestion des emplois et des compétences (parcours d’évolution individuelle des salariés, écoute des besoins et des facteurs de motivation, vecteurs et contenus des communications internes…). Enfin, dans la réflexion sur le risque de turn-over et de ses risques associés, il existe un risque « naturel » et subi à ne pas négliger : l’incidence de la pyramide des âges de l’entreprise et ses composantes. L’anticipation des départs à la retraite, les flux massifs de départs dus au « papy boom » constituent autant de sources de risques potentiels que l’entreprise doit identifier, comprendre et maîtriser dans le cadre de sa gestion prévisionnelle et proactive des emplois et des compétences. Une démarche proactive ainsi que la mise en œuvre appropriée d’une stratégie de recrutement et de gestion des départs, doivent permettre à l’entreprise de faire face, avec sérénité, aux risques de turn-over « naturel », à ne pas négliger toutefois.
244
FACTEURS HUMAINS
Risque social majeur, le départ des connaissances et des compétences doit être maîtrisé et non subi, à l’appui de dispositifs de détection et d’animation adéquats. L’enjeu de la détection du risque de turn-over prévaut largement sur celui du départ lui-même et de ses effets. Le turn-over est bénéfique pour l’organisation, même s’il provoque parfois l’émergence de risques induits. Détection et anticipation participent structurellement à sa maîtrise appropriée.
Le risque social à travers le respect des obligations sociales et légales Dernier volet des risques sociaux qui nous apparaît essentiel pour chaque entreprise, le dirigeant doit être extrêmement vigilant à l’égard des risques sociaux « techniques », liés pour l’essentiel au respect des droits et obligations sociales de l’entreprise vis-à-vis de ses salariés. La complexité du droit et de la législation du travail ainsi que l’interprétation des textes et règlements en vigueur à l’appui de cas de jurisprudence toujours plus complexes à décrypter, appellent de nos jours à une réelle maîtrise technique s’agissant des relations dans le cadre du travail, des rapports humains dans l’entreprise et des relations entre l’équipe dirigeante et les salariés, cette troisième famille de risques sociaux relevant, désormais, de l’expertise. Parmi les principaux risques sociaux techniques à identifier et maîtriser au titre de la législation du travail et des textes associés, et bien que notre lecture juridique des enjeux demeure limitée, nous attirons votre attention sur les risques suivants : -- Respect des obligations de déclaration, de cotisation et de reversement aux différents organismes paritaires collecteurs : Sécurité sociale, URSSAF, caisses cadres, caisse de retraite, mutuelles, complémentaires santé, organisations sociales, etc. ; cohérence et fiabilité des calculs et des montants versés par le salarié et l’employeur. D’expérience, de nombreuses entreprises et, indirectement, de nombreux salariés ne déclarent pas ou ne cotisent pas les montants effectivement nécessaires. La complexité des calculs sociaux est telle que la seule manière de limiter ce premier risque technique consiste à se faire accompagner par défaut, d’experts en droit social. La fonction paie, par exemple, relève désormais, et de plus en plus, de l’expertise de quelques acteurs susceptibles de décrypter réellement et 245
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
avec acuité la cohérence des éléments chiffrés des différentes natures de charges sociales à verser de la part des salariés et des entreprises. -- Respect des obligations sociales de tout employeur vis-à-vis de ses salariés : droit à la formation (notamment DIF), règles sur la représentation du personnel et des organes représentatifs (attention aux effets de seuil : seuil des 20 salariés = existence d’un règlement intérieur ; seuil des 50 salariés = mise en place d’un comité d’entreprise…), obligations associées à la médecine du travail, obligations liées aux contraintes de type Environnement, Hygiène, Sécurité… Là encore, la densité du Code du travail impose une lecture approfondie des obligations, tant au titre des dispositifs à déployer que du formalisme à respecter dans la mise en oeuvre des actions (délais de convocation des instances, délais de carence, dimension consultative ou non des instances, composantes de la représentativité syndicale
). L’avis d’experts en droit social peut, là aussi, s’imposer. -- Contenu, intégrité et formalisme du processus de la paie des salariés (complexe) : un spécialiste paie n’est pas de trop à la lumière de la complexité française d’un bulletin de salaire ! Nous ne saurions que trop vous conseiller d’appeler un expert en la matière, compte tenu de la complexité du système français eu égard à la rédaction et aux calculs des différents postes d’une fiche de paie. Complexité, quand tu nous tiens ! Et toutes ces complications entraînent, malheureusement, le risque de se tromper et de devoir un jour payer des pénalités ! -- Respect des règles en vigueur du formalisme et des pratiques de l’entrée en relation contractuelle avec un salarié : formalisme et mise en oeuvre du contrat de travail à durée indéterminée ; formalisme et mise en oeuvre des contrats à durée déterminée, des missions d’intérim, des stages, des contrats d’apprentissage, des contrats en alternance, vigilance particulière à apporter aux thématiques de la durée du travail, aux périodes d’essai, aux modes et procédures des ruptures des contrats ; cohérence, équité et validité des traitements apportés aux conditions salariales : avantages en nature, éléments variables de rémunération individuels ou collectifs, etc., principe permanent et démontré de l’égalité de traitement, de droit et de chance (recrutement, évolution de carrière, rémunération). -- Respect des règles administratives en vigueur relatives à la mise en oeuvre des décisions managériales délicates en contexte sensible : chômage partiel, chômage technique, plan social, licenciement économique, rupture conventionnelle, mise en oeuvre des politiques de recrutement des stagiaires et des intérimaires, etc.
246
FACTEURS HUMAINS
Ces différents risques sociaux, purement techniques et appelant à l’exemplarité des comportements et des pratiques dans le cadre des relations entre le salarié et son employeur peuvent représenter un coût du risque non négligeable pour l’organisation, et notamment engendrer de multiples risques indirects : impact image, dégradation des conditions de réalisation des cycles opérationnels, dégradation ou altération de la qualité du climat social (cf. précédent), etc. Nous invitons chaque dirigeant responsable à une lecture acérée des conditions techniques de mise en oeuvre des activités des salariés à la lumière des obligations que le droit du travail impose. Là encore, cet enjeu direct, concernant les ressources vives de l’entreprise, doit également être appréhendé dans le cadre de la maîtrise des activités externalisées. Le non-respect des obligations minimales ou le travail dissimulé pratiqué par un sous-traitant peut appeler la responsabilité directe de l’entreprise. Les enjeux financiers et pénaux n’étant pas négligeables, ce risque social indirect doit être apprécié de la meilleure manière.
Respecter les obligations de la législation du travail s’impose, à l’appui de l’expertise souvent nécessaire d’acteurs spécialisés des domaines considérés (droit du travail, paie, droit social, etc.). Ne pas oublier les pratiques de vos sous-traitants et autres partenaires, vous pourriez être tenu pour responsable de leurs agissements indélicats ! Qu’il s’agisse de la qualité du climat social, du niveau de turn-over de l’entreprise ou de risques sociaux techniques décrits ci-dessus, n’oublions pas l’essentiel… la COMMUNICATION au sein de l’entreprise.
Communiquer, encore et toujours Les récentes affaires de séquestration de cadres ou de dirigeants, les cas de suicide de salariés sur leurs lieux de travail, les situations de dégradation des sites de travail par les salariés ou de blocage de sites de production ou de stockage, témoignent de la grande sensibilité des enjeux liés à la gestion du risque social dans l’entreprise, aggravée par un climat économique détérioré. Continental, Molex, Goodyear, Arcelor Mittal, Virgin, PSA, Renault, Orange, La Poste, Michelin, Fralib, mais aussi la PME du coin, la TPE bretonne, le restaurant du quartier… autant de situations différentes, mais autant de risques sociaux variés et de stratégies de gestion sociale à considérer 247
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
avec la plus grande acuité. Car au-delà du dimensionnement ou de la complexité des situations et des enjeux à gérer, tous particuliers, le risque social provoque immanquablement émotion, passion, et ouverture de la boîte de Pandore des risques, directement ou indirectement. La clé de la maîtrise du risque social réside, pour l’essentiel, dans la capacité de la direction de l’entreprise à écouter ses partenaires, expliquer et fédérer si possible autour de décisions difficiles, mais, plus que tout, à COMMUNIQUER, encore et toujours. Et gérer les conflits avec la plus grande finesse, dans l’intérêt de tous. 80 % des situations de crise rencontrées seront dues à des problèmes de communication, particulièrement sensibles en situation de risque social, quel qu’il soit. On ne le dira jamais assez : la clé de la maîtrise des risques sociaux reste – et restera – la communication et le respect mutuel des uns et des autres ainsi que de la parole donnée… La qualité du climat social, une gestion appropriée du turn-over et une parfaite maîtrise du droit social ne doivent pas masquer l’essentiel pour la maîtrise du risque social : la qualité de communication et des échanges au sein de l’organisation, fondés sur la franchise, la transparence, la sincérité et le respect.
Risques psychosociaux Risque social à part entière, le risque psychosocial relève, quant à lui, de l’individu lui-même, quels que soient son rôle, sa fonction, son métier ou son positionnement dans l’entreprise. Les risques psychosociaux doivent être compris et anticipés sans a priori, et à tous les échelons de l’entreprise, sans exception. Chaque collaborateur peut, potentiellement, être exposé un jour à l’émergence d’un risque psychosocial le concernant ou concernant un collègue, un collaborateur, un responsable. Et ce, quel que soit son profil personnel, son parcours professionnel, son contexte familial, sa fragilité ou solidité psychologique… de manière subie ou causée. Même si les grandes entreprises, les grandes enseignes ou les organisations à forte notoriété occupent le devant de la scène lorsque des situations de 248
FACTEURS HUMAINS
concrétisation de risques psychosociaux, l’enjeu du risque se pose pour chaque entreprise, de la TPE à la multinationale, tous secteurs d’activité confondus. Il n’y a pas d’exclusive ni de dimensionnement face au risque psychosocial. Tout le monde est concerné. Vous êtes peut-être vousmême, ami lecteur directement ou indirectement concerné. Alors, de quoi parle-t-on exactement, lorsqu’on aborde les risques psychosociaux dans l’entreprise ? Et pourquoi sont-ils à considérer comme des risques opérationnels majeurs ? Les principaux risques psychosociaux en présence dans l’entreprise sont pour l’essentiel les suivants : -- Le stress ou toute forme de mal-être ou de souffrance du collaborateur, de l’encadrant, exprimé de manière explicite ou implicite ; le salarié, le responsable d’équipe stressé est en profond mal-être, au quotidien, dans l’entreprise. Éloigné du stress positif source de création de valeur, d’émulation et de stimulation, le stress engendre mal-être, baisse de performance, désocialisation, et peut impacter la santé physique et/ou mentale de l’acteur. -- Les risques ou les conduites suicidaires des salariés, des encadrants et/ou des dirigeants de l’entreprise, susceptibles d’altérer leur intégrité physique sur le lieu de travail ou non ; le cas du suicide constitue le risque psychosocial critique à maîtriser impérativement dans l’entreprise. -- Toute forme d’agression, physique ou verbale, entre collaborateurs, entre collaborateurs et responsables, vis-à-vis de clients, de prospects, de fournisseurs, de partenaires bancaires… -- Le risque de hold-up, d’enlèvement, de séquestration et/ou d’assassinat de collaborateurs ou d’encadrants, quels que soient son site d’activité, sa fonction, son métier, ou lors d’un déplacement professionnel (également un risque opérationnel). -- Toute forme de harcèlement moral, désormais qualifié en droit français (avec facteur aggravant d’abus de position dominante, hiérarchique ou d’abus de faiblesse). -- Toute forme de harcèlement sexuel (avec facteur aggravant d’abus de position dominante, hiérarchique ou abus de faiblesse). -- Risques liés à l’émergence de conflits professionnels ou privés entre collaborateurs (adultère, divorce, conflits de voisinage pouvant se reporter sur le lieu de travail, difficultés sociales…). 249
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Risques liés à la pratique de conduites addictives : tabac, alcool, psychotropes, neuroleptiques, médicamentation inappropriée, drogues, cannabis, substances interdites de toute nature ou surconsommation de produits sur le lieu de travail ; ils peuvent remettre en cause la santé physique et/ou mentale des acteurs, et sont à rechercher dans tous les échelons de l’organisation. -- Effets psychologiques, directs ou indirects de tout événement pouvant fragiliser les salariés les plus fragiles : annonce d’un plan social, licenciement, fermeture de site, délocalisation, externalisation de processus, mutualisation de ressources, réorganisation… ainsi que tous les risques sociaux et psychosociaux que de telles situations de crises, notamment en contexte d’incertitude économique marquée, peuvent engendrer (grève, séquestration, occupation des sites, suicides, etc.). De natures variées, les risques psychosociaux sont parfois difficiles à identifier et à appréhender pour le dirigeant ou l’encadrant, compte tenu de la difficulté à connaître la situation réelle ou supposée des équipes, de leur état d’esprit, de leurs ressorts internes, voire de leur psyché. Les causes de l’émergence de risques sociaux ou psychosociaux sont innombrables ; il serait illusoire de prétendre les exposer ici. Leurs conséquences, par contre, sont critiques pour l’entreprise : remise en cause de l’intégrité physique ou morale des collaborateurs, perte de motivation, d’engagement, de créativité, d’efficacité des équipes, climat délétère dans l’entreprise, rumeurs, bruits de couloirs, détérioration de l’image interne ou externe de l’entreprise… Face aux risques sociaux et psychosociaux, pas de miracle. Il faut, encore et toujours : -- communiquer, échanger avec les salariés et les encadrants ; -- écouter les plaintes, les réclamations, les sources d’inquiétude ou de préoccupation ; -- comprendre les leviers d’événements engendrant ces situations (naissance de la rumeur, origine des nuisances, sources de la souffrance réelle ou supposée…) ; -- accompagner, décider, expliquer et obtenir l’adhésion (notamment en cas de décision difficile à prendre) ;
250
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Risques liés à la pratique de conduites addictives : tabac, alcool, psychotropes, neuroleptiques, médicamentation inappropriée, drogues, cannabis, substances interdites de toute nature ou surconsommation de produits sur le lieu de travail ; ils peuvent remettre en cause la santé physique et/ou mentale des acteurs, et sont à rechercher dans tous les échelons de l’organisation. -- Effets psychologiques, directs ou indirects de tout événement pouvant fragiliser les salariés les plus fragiles : annonce d’un plan social, licenciement, fermeture de site, délocalisation, externalisation de processus, mutualisation de ressources, réorganisation… ainsi que tous les risques sociaux et psychosociaux que de telles situations de crises, notamment en contexte d’incertitude économique marquée, peuvent engendrer (grève, séquestration, occupation des sites, suicides, etc.). De natures variées, les risques psychosociaux sont parfois difficiles à identifier et à appréhender pour le dirigeant ou l’encadrant, compte tenu de la difficulté à connaître la situation réelle ou supposée des équipes, de leur état d’esprit, de leurs ressorts internes, voire de leur psyché. Les causes de l’émergence de risques sociaux ou psychosociaux sont innombrables ; il serait illusoire de prétendre les exposer ici. Leurs conséquences, par contre, sont critiques pour l’entreprise : remise en cause de l’intégrité physique ou morale des collaborateurs, perte de motivation, d’engagement, de créativité, d’efficacité des équipes, climat délétère dans l’entreprise, rumeurs, bruits de couloirs, détérioration de l’image interne ou externe de l’entreprise… Face aux risques sociaux et psychosociaux, pas de miracle. Il faut, encore et toujours : -- communiquer, échanger avec les salariés et les encadrants ; -- écouter les plaintes, les réclamations, les sources d’inquiétude ou de préoccupation ; -- comprendre les leviers d’événements engendrant ces situations (naissance de la rumeur, origine des nuisances, sources de la souffrance réelle ou supposée…) ; -- accompagner, décider, expliquer et obtenir l’adhésion (notamment en cas de décision difficile à prendre) ;
250
FACTEURS HUMAINS
-- agir (ne pas laisser s’installer une rumeur, une situation conflictuelle lourde ; communiquer de manière proactive face à une décision ou un événement à venir, en s’appuyant sur des relais internes…) ; -- ne jamais accepter une situation intolérable : toute forme de discrimination, de harcèlement, de racisme, de violence physique ou verbale, d’agressivité, etc. Ne jamais légitimer l’inacceptable… et, si possible, toujours anticiper les événements : un dirigeant ou un encadrant découvrant un beau matin, par surprise, un mouvement social, un débrayage, une plainte pour harcèlement ou un suicide, est fondamentalement un mauvais cadre. Chaque cadre responsable maintenir et déployer en permanence ses antennes pour « humer » l’air ambiant et identifier toute source de risque social ou psychosocial émergent. C’est une mission et un devoir vital de tout acteur responsable d’entreprise, quel qu’il soit. Enfin, afin de dédramatiser cette partie du livre et relativiser l’enjeu des risques psychosociaux dans le cadre de cette réflexion sur les risques opérationnels particuliers, je vous laisse méditer une autre stratégie de gestion des risques sociaux et psychosociaux, propres aux Shadoks et à l’humour dévastateur de Rouxel, qui définissait sa propre vision de la gestion des ressources humaines : « Pour qu’il y ait le moins de mécontents possible, il faut toujours taper sur les mêmes ! »
Anticiper et faire face Afin de maîtriser au mieux l’émergence de risques sociaux et psychosociaux dans l’entreprise, et au-delà des outils appropriés de veille et de contrôle de la bonne application par de la réglementation sociale, l’organisation doit impérativement mettre en oeuvre toute une batterie d’outils et de démarches susceptibles de cultiver et d’améliorer sa compréhension et sa connaissance du facteur humain et de l’existant social qu’elle met en oeuvre : -- Définition, existence et mise en place effective de mécanismes d’échanges entre direction, encadrement et salariés : • échanges formels permettant de communiquer et de véhiculer la vision, la situation, le devenir et les enjeux de l’entreprise (« donner du sens » aux réalisations et aux missions) : réunions plénières,
251
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
séminaires annuels, sessions de fédération, de motivation, de partage et d’échanges autour de l’entreprise, • échanges formels lors des entretiens annuels d’évaluation (essentiel), • échanges informels entre salariés, encadrement et direction d’entreprise : pots de départ ou d’arrivée, naissance, événements festifs, formations, • échanges fréquents et respectueux avec les instances représentatives (CE, délégués du personnel, CHSCT), • remontées formelles et informelles des missions d’audit interne, d’audit externe, d’audit qualité, etc. « Savoir humer l’air ambiant » et utiliser les canaux alternatifs (« radio moquette », bruits de couloirs, rumeurs internes ou externes…), • développement des activités festives, sources d’informations essentielles. -- Mise en oeuvre de démarche d’écoute structurée des salariés, des clients, des fournisseurs, des partenaires : • enquête salariés formalisée (si possible tous les deux ou trois ans), • enquête qualité clients (toujours riche d’enseignement sur l’image et l’expérience des clients avec l’entreprise et ses acteurs, si possible annuellement). -- Développement des outils de communication internes appropriés à la taille de l’entreprise : • lettre interne mensuelle, gazette de l’entreprise, forum de discussions contrôlé, • news postées sur l’intranet de l’entreprise (faits marquants, annonces…), • formation interne, séminaires, sessions de réflexion et de motivation, groupes d’échanges. -- Développer les synergies et les interactions entre départements, entre unités, entre services, de manière transversale : groupes de travail transversaux, approche projet, mise en place de missions thématiques… Fondamentalement, l’équipe d’encadrement doit canaliser les sources de risques sociaux ou psychosociaux en développant une véritable vision de l’entreprise à moyen terme et en fédérant les collaborateurs autour de cette
252
FACTEURS HUMAINS
vision partagée (matérialisée en objectifs ou indicateurs d’alignement) autour desquels les équipes se retrouveront et se mobiliseront. L’écoute, la compréhension et le respect mutuel des uns et des autres constituent l’essence même de la relation humaine dans l’entreprise, même si elle fait si souvent défaut ! Car là consiste l’essentiel vecteur d’adhésion de fédération et de motivation des équipes autour du projet d’entreprise. Il appartiendra ensuite au dirigeant soucieux de maîtriser les risques sociaux et psychosociaux de l’organisation de gérer au quotidien, et au mieux, les compétences, les conflits, les susceptibilités, les ambitions, les motivations, les inquiétudes des uns et des autres… avec le meilleur talent. Vaste programme, mais essentiel à la pérennité de l’entreprise ! L’enjeu de la qualité du facteur humain sera notamment critique en mode création. Les entrepreneurs et/ou repreneurs d’entreprise doivent être particulièrement vigilants à assurer que leur équipe projet s’articule bien à l’appui des compétences et des connaissances nécessaires. La maîtrise du risque social et psychosocial en entreprise peut être résumée ainsi par les mots suivants : humilité, lucidité, écoute, pragmatisme, ambition, réalisme, exigence.
L’émergence des risques sociaux ou psychosociaux traduit la qualité de l’encadrement de l’organisation et sa capacité à organiser et pérenniser son action à l’appui de dispositifs fiables de détection d’éventuels signes précurseurs significatifs relatifs à sa ressource critique : l’homme.
Comment les facteurs humains alimentent les risques opérationnels de l’entreprise Comme nous le précisions au début de ce chapitre, les risques sociaux et psychosociaux constituent des classes de risques opérationnels à part entière, qu’il convient de traiter et considérer au mieux, compte tenu de l’impact de leurs risques induits. Une autre démarche dans l’appréhension des risques sociaux et psychosociaux, complémentaire de la précédente, consiste à s’interroger 253
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
à la lumière des risques opérationnels précédents, hors enjeux « facteurs humains », sur la pérennité des dispositifs. Que se passerait-il si un acteur X ou Y, venait à agir ou réagir de manière inadaptée au sein d’un processus opérationnel ? Dans cette démarche, nous reprenons l’intégralité des cycles d’exploitation et des processus opérationnels pré-identifiés au préalable, et nous nous interrogeons simplement sur l’impact que les facteurs humains pourraient avoir sur la stabilité, l’efficacité ou la pérennité dudit dispositif. Prenons un exemple : une chaîne de montage dans une usine. Le point d’entrée de la réflexion consiste à se poser la question suivante : -- Que se passe-t-il si l’acteur X ou Y n’est pas présent à son poste ? 1. Que se passe-t-il si l’acteur X ou Y réalise de mauvaise manière le mode opératoire qui lui est confié ? 2. Que se passe-t-il si l’acteur X ou Y débraye ? S’il se met en grève ? 3. Que se passe-t-il si l’acteur X ou Y dégrade son outil de travail ? (comment pourrait-il le faire ? Comment l’en empêcher ? Comment y remédier, etc. ?). -- Que se passe-t-il si l’acteur X ou Y est malade ? Stressé ? Déprimé ? Quelles en seraient les causes professionnelles ? -- Etc. Cette interrogation permet d’identifier, indirectement, les conséquences que les facteurs humains pourraient engendrer sur l’organisation, ces processus, ses activités, sa pérennité. Cette lecture permet aussi de mettre en perspective la capacité d’impact de l’acteur (et donc l’importance du processus, du sous-processus ou du mode opératoire qu’il anime), avec beaucoup de lucidité. Et préparer, en conséquence, et de la meilleure manière possible, les solutions et stratégies de couverture des risques ainsi identifiés.
Questionnez l’importance de l’acteur au sein du système. Que se passeraitil si
? Cette interrogation permet souvent d’identifier des risques et des enjeux insoupçonnés ! La gestion des risques sociaux et psychosociaux doit fondamentalement s’inscrire dans une démarche humaniste, altruiste et empathique du 254
FACTEURS HUMAINS
rapport à l’autre dans le cadre professionnel. Même si cette vision peut sembler être une utopie ou un voeu pieux, il apparaît néanmoins que la majeure partie des risques psychosociaux voire sociaux serait amenée à disparaître (ou tout au moins, à être significativement réduite) si cette ambition trouvait plus écho dans les organisations
Plus que jamais, et pour longtemps encore, il n’est de risques que d’hommes.
Communication, fédération, animation Afin de maîtriser au mieux les facteurs humains au sein de l’organisation, toute entreprise doit pouvoir s’appuyer sur trois leviers complémentaires et essentiels. Le premier levier permettant de réduire les risques sociaux et psychosociaux relève du vecteur de la communication. Plus la communication existe dans l’entreprise, plus la parole est libérée, plus les avis circulent au sein des dispositifs de pilotage et d’animation et plus le risque psychosocial s’éloigne. Nous sommes intimement convaincus que de très nombreuses situations de tension sont uniquement liées à des incompréhensions, à des nondits, à des interprétations, bref, à des dimensions de communication inexistantes, inabouties ou insuffisantes, d’un point de vue qualitatif ou quantitatif. Le principal objectif d’une direction d’entreprise consistera toujours à maintenir et autoriser la parole et l’échange, au sein d’interactions franches et honnêtes entre chacun. De la communication individuelle et collective résultera la capacité de l’entreprise à mettre en place un modèle organisationnel pérenne, appuyé par des pratiques acceptées et favorisées de communication réussie. Le second levier à promouvoir en constance au sein de l’organisation, afin de réduire les risques sociaux et psychosociaux, consiste à favoriser la fédération des acteurs autour d’objectifs communs et partagés. Quel que soit son rôle, chaque salarié doit être impliqué dans la vision que la
255
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
direction de l’entreprise souhaite déployer, à l’appui de valeurs partagées et d’objectifs riches de sens. Chaque salarié doit pouvoir s’inscrire dans une perspective dynamique d’objectifs et de réalisations ambitieuses mais réalistes, dans lesquels il pourra trouver sens, s’engager et se reconnaître. Fédérer équipe constitue le meilleur rempart à opposer aux risques sociaux et psychosociaux. Si l’individu sait pourquoi il travaille, dans quels buts, et qu’il les partage, la moitié du chemin est faite… Le troisième levier à mobiliser dans la lutte contre les risques sociaux et psychosociaux relève de l’efficacité des dispositifs d’animation, permettant de faire vivre au quotidien, le sens donné et les démarches opérationnelles initiées. L’animation passe bien sûr par la mise en oeuvre de dispositifs pertinents et adaptés, permettant de véhiculer les messages essentiels à chacun. Une animation perfectible des dispositifs de communication, par exemple, peut remettre en cause la sérénité des équipes et engendrer l’émergence de risques psychosociaux ou sociaux futurs. Rumeurs, non-dits, autant d’enjeux susceptibles de provoquer des situations de fragilité sociale interne. À l’appui de ces trois leviers, les risques sociaux et psychosociaux seront maîtrisés au mieux, sous réserve de la pertinence, de la qualité et du charisme des acteurs qui les utiliseront !
La réduction des risques sociaux et psychosociaux s’articule à l’appui de trois leviers critiques : communication, fédération et animation. Risques opérationnels à part entière, les risques sociaux et psychosociaux constituent des enjeux critiques que nous vous invitons à considérer par défaut lors de la mise en oeuvre de toute démarche dédiée aux risques opérationnels. Il n’est de risques que d’hommes. Peut-être qu’en fait, il n’est de risques opérationnels que d’hommes, finalement.
256
FACTEURS HUMAINS
257
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À retenir • Les risques informatiques, les risques juridiques et les risques associés aux facteurs humains sont à considérer comme partie prenante des risques opérationnels de l’entreprise. Donc, comme des risques opérationnels à part entière. • Le risque juridique existe à partir du moment ou une action, un écrit et/ou un comportement apparaît inadapté à la loi ou aux usages sociétaux en vigueur. • Toujours vérifier tant le formalisme et la qualité du cadre contractuel ou documentaire que la légitimité du signataire : le document sera-t-il in fine éligible et/ou légitime ? • Procédez à l’inventaire des contrats en présence ou à venir dans l’entreprise, quelles que soient leurs natures. Identifiez, pour chacun d’eux, les risques juridiques susceptibles de fragiliser votre structure ou votre relation au tiers, quels qu’ils soient. • À l’appui d’une démarche par processus, identifiez les textes et règlements applicables. Très souvent, une multitude de sources sera à considérer pour un seul processus opérationnel au titre des risques juridiques. • Les risques pénaux ne sont ni marginaux, ni anodins. Ils concernent potentiellement toutes les entreprises. • Les risques informatiques font partie d’une classe de risques opérationnels à part entière. Certaines entreprises négligent leurs risques juridiques, peu mettent de côté leurs risques informatiques. • Confrontez les démarches d’identification des risques informatiques entre elles, et bâtissez vos propres approches méthodologiques, en favorisant l’interaction entre les approches. • La majeure partie des risques informatiques provient d’une maîtrise inadaptée du mode projet informatique. 258
FACTEURS HUMAINS
• Chacun d’entre nous présente un profil risque individuel spécifique. Il est le fruit de notre parcours personnel et professionnel, de notre vécu, de notre personnalité, de notre expérience individuelle et collective des risques. • Maîtriser les risques sociaux résulte pour l’essentiel de la qualité du climat social, de la maîtrise du turn-over ainsi que des compétences et de l’adéquation adaptée des conditions d’exécution des métiers et des fonctions avec les obligations légales et réglementaires en présence. • Le turn-over est bénéfique pour l’organisation, même s’il provoque parfois l’émergence de risques induits. Détection et anticipation participent structurellement à sa maîtrise appropriée. • L’émergence des risques sociaux ou psychosociaux traduit la qualité de l’encadrement de l’organisation et sa capacité à organiser et pérenniser son action à l’appui de dispositifs efficaces de détection d’éventuels signes précurseurs significatifs relatifs à sa ressource critique : l’homme. • La réduction des risques sociaux et psychosociaux s’articule à l’appui de trois leviers critiques : communication, fédération et animation.
259
Conclusion Alors que je rédige cette conclusion, mon questionnement se poursuit, de manière toujours plus prégnante. Ai-je tout dit ? Certainement pas. N’aurais-je pas oublié une famille ou un volet de risques opérationnels critique ? Peut-être, après tout
Pourquoi ai-je délibérément exclu les enjeux de risque image ou de gestion de la connaissance, à la problématique des risques opérationnels ? Parce que… À propos, la définition proposée des risques opérationnels fait-elle réellement sens ? Face à toutes ces questions, je réalise que je ne sais pas y répondre avec certitude. Voilà qui est gênant, alors qu’il est temps de conclure mon écrit ! Bref, la question soulevée dans ce nouvel opus en engendre beaucoup d’autres
et me laisse un vrai sentiment d’inachevé. C’est peut-être cela, en fait, la meilleure définition des risques opérationnels dans l’entreprise, après tout ! Les risques opérationnels apparaîtront toujours pour ce qu’ils sont intimement : des éléments au final difficiles à cerner, à définir ou à identifier avec certitude. Des enjeux complexes à maîtriser, au-delà de problématiques techniques ou opérationnelles usuelles. Une thématique toujours mouvante, susceptible d’être contextualisée, remise en cause, adaptée à l’infini. Une seule constante, par contre : les risques opérationnels sont d’immenses contributeurs au coût du risque. Et ce, pour toutes les entreprises, quels
261
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
que soient leur taille, leur dimensionnement, leur secteur d’activité ou leurs processus mis en oeuvre. Voilà ma seule certitude, pour être sincère. Alors, que dire en conclusion, pour résumer mon propos ? Tout simplement, je tiens à vous exprimer une dernière fois ce sentiment de dispersion permanente qui m’anime face aux risques opérationnels et qui vous assaillira peut-être, vous aussi, dès que vous aborderez cette question au sein de votre entreprise, et surtout pour cette dernière. Et ce sera tout à fait légitime, je vous rassure ! Car les risques opérationnels apparaissent in fine insaisissables. Protéiformes. Variables et variés. Ils représentent ainsi, peut-être mieux que n’importe quel autre risque, toute la complexité et la diversité du risque en entreprise, de la dispersion des thèmes à traiter lorsqu’on aborde la problématique du risk management de manière méthodologique et posée. Compte tenu de l’impérative pénurie de ressources à laquelle chaque organisation est confrontée, les arbitrages qui permettront – ou non – d’allouer avec efficacité et pertinence des ressources humaines, matérielles ou financières pour mieux maîtriser les risques opérationnels, seront toujours complexes. Seul le juge de paix « coût du risque » saura témoigner in fine de la pertinence des décisions prises et des actions entreprises. À supposer que vous arriviez à en déterminer le montant avec certitude, sans omission ni exclusive inadaptée. Allouer des ressources certaines à des objets incertains, ce n’est pas simple. Mais allouer des ressources limitées à un univers des possibles quasi illimités et difficiles à cerner relèvera peut-être de l’exploit. Tel est pourtant le pari et le challenge que devront relever, au quotidien, les chefs d’entreprise, les directeurs des risques, chaque acteur de la pérennité des organisations. C’est, je crois, ce qui caractérise le mieux, au fond, les risques opérationnels : des enjeux innombrables à définir, à sérier et à traiter de la meilleure manière, à l’appui d’une démarche méthodologique adaptée, afin de renforcer la pérennité de l’entreprise et réduire le coût du risque dans l’intégralité de ses cycles d’exploitation et d’activité. Et ce, pour l’intérêt du client, de l’organisation et de son environnement dans son ensemble.
262
CONCLUSION
J’espère avoir contribué, par cette modeste publication, à apporter un éclairage pertinent sur l’enjeu. Si tel est le cas, l’objectif de ce travail aura largement été atteint. Il n’est de risques que d’hommes. Il n’est peut-être de risques opérationnels que d’hommes. Si lire ce livre constitue un premier pas pour vous vers une gestion plus efficace des risques opérationnels, il n’en demeure pas moins qu’une modeste étape, face à la complexité, la diversité et au dimensionnement de l’enjeu à couvrir. Il reste à espérer que vous saurez vous en approprier les fondamentaux et l’adapter au mieux à vos contextes d’activité respectifs, avec humilité, lucidité et pragmatisme. Saint-Malo, Juillet 2013
263
Bibliographie Beck Ulrich - La société du risque : sur la voie d’une autre modernité Collection Champs - Éditions Flammarion, 2006. Besson Bernard, Possin Jean-Claude – De l’intelligence des risques à la mission de protection - IFIE, 2008. Charbonnier Jacques - Le risk management - Éditions L’argus de l’assurance, 2007. Collectif - La Gestion de crise - 100 questions pour comprendre, AFNOR, 2006. Darsa Jean-David – La gestion du risque crédit client – Éditions Gereso, 2010. Darsa Jean-David – La gestion de crise en entreprise – Édition Gereso, 2010. Darsa Jean-David – Risques stratégiques et risques financiers de l’entreprise – Édition Gereso, 2011. Darsa Jean-David – Les aventures de Monsieur RISKALO – Édition GERESO, 2010. Darsa Jean-David – La gestion des risques en entreprise – Édition GERESO, 2012. Darsa Jean-David – Le facteur risque en entreprise – Édition GERESO, 2012.
265
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Gaultier-Gaillard Sophie, Louisot Jean-Paul - Diagnostic des risques AFNOR, 2007. Gaussen René - Les risques professionnels, Kit d’élaboration du Document Unique - Éditions d’organisation, 2004. Hull John, Merli Maxime, Godlewski Christophe - Gestion des risques et institutions financières - Pearson Éducation, 2007. Institut français de l’audit et du contrôle interne (IFACI) - Le Management des risques de l’entreprise - Éditions d’organisation, 2007. Jokung Nguéna Octave - Management des risques - Éditions Ellipses, 2008. Le Ray Jean - Gérer les risques : Pourquoi ? Comment ? - AFNOR, 2006. Liaisons sociales VTE (Collectif) - Risques psychosociaux au travail : vraies questions, bonnes réponses - Groupe Liaisons, 2008. Mekouar Richard, Véret Catherine - Fonction : Risk manager - Éditions Dunod, 2005. Métayer Yves, Hirsch Laurence - Premiers pas dans le management des risques - AFNOR, 2007. Périlhon Pierre - La gestion des risques : Méthode MADS-MOSAR II Manuel de mise en œuvre - Éditions Demos, 2007. The Business Continuity Institute - Management de la continuité d’activité - AFNOR, 2007. Verdun Franck - La gestion des risques juridiques - Éditions d’organisation, 2006. Sites internet : www.iso.org www.riskeal.fr www.afnor.fr
266
Jean-David DARSA est un grand spécialiste de la gestion des risques en entreprise, grâce à une large expérience professionnelle acquise notamment au sein de grands groupes français et internationaux. Il dirige aujourd’hui la société RISKEAL, spécialisée en audit/conseil, formation et accompagnement en gestion des risques des entreprises. Aidant au quotidien les dirigeants, les cadres et les équipes opérationnelles à mieux identifier, comprendre et maîtriser les risques de leurs organisations. Il intervient auprès de nombreux organismes de formation initiale et continue, accompagne de nombreuses entreprises de renom et aide les PME/PMI à gérer leurs risques, tant en France qu’à l’international. Ses qualités pédagogiques, son expérience, sa vision transversale, pragmatique et efficace des principaux enjeux des entreprises font de lui un interlocuteur privilégié des PME/PMI et des groupes nationaux et internationaux soucieux de mieux maîtriser leurs risques, désireux de réduire leur coût du risque et conforter leur pérennité. Identifier, comprendre et maîtriser les risques, définir et déployer une véritable politique risques dans l’entreprise constituent aujourd’hui de véritables vecteurs de différenciation et de fédération des équipes autour d’un objectif commun unique mais primordial : assurer la pérennité de l’entreprise. Un ouvrage essentiel, pragmatique et opérationnel, à mettre d’urgence entre toutes les mains ! Contact : [email protected] Site internet : www.riskeal.fr Contact : [email protected]
267
Prépresse : GERESO Édition 2013 Achevé d’imprimer par CPI Firmin-Didot à Mesnil-sur-l’Estrée en octobre 2013 N° d’impression : - Dépôt légal : octobre 2 013 - Imprimé en France
JEAN-DAVID DARSA
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Q
uoi de commun entre l’explosion d’une plateforme pétrolière, une fuite de gaz en mer du Nord, de la viande de cheval dans des lasagnes de bœuf surgelées, un produit non conforme, le suicide d’un cadre en entreprise et l’indisponibilité d’une donnée sur un ordinateur ? A priori, rien !
Mais si vous endossez un costume de dirigeant, de cadre responsable, de risk manager ou de salarié engagé, vous vous apercevrez assez vite qu’à l’origine de ces événements dramatiques ou secondaires résident une multitude de risques qui, à un moment ou à un autre, se sont concrétisés. Et cette concrétisation des risques, source de coûts (coups ?) et de douleurs pour l’organisation, se révèle directement liée aux cycles d’exploitation de l’entreprise, qui produit, qui transforme, qui vend, qui travaille… Fort de son expérience et de ses nombreuses publications sur la gestion des risques, l’auteur vous apporte les clés de compréhension pour identifier, détecter et maîtriser au mieux tous les risques opérationnels de l’entreprise. Jean-David DARSA est expert de la gestion des risques en entreprise. Il dirige sa propre société, spécialisée en audit, conseil, formation et accompagnement en gestion des risques en entreprise.
COLLECTION AGIR FACE AUX RISQUES