Gestion Et Management Des Risques [PDF]
• Jean Le Ray www.afnor.org/editions De la gestion des risques au management des risques Pourquoi ? Comment ? Copy
67 1 76MB
Papiere empfehlen
![Gestion Et Management Des Risques [PDF]](https://vdoc.tips/img/200x200/gestion-et-management-des-risques.jpg)
- Author / Uploaded
- mohamed bangoura
Datei wird geladen, bitte warten...
Zitiervorschau
•
Jean Le Ray
www.afnor.org/editions
De la gestion
des risques au management des risques Pourquoi ? Comment ?
Copyright© 2015 AFNOR.
De la gestion des risques au management des risques d zlL.
0
,
o. 0
u
XII
Avant-propos
À l'image de Gérer les risques - Pourquoi ? Comment ?, cet ouvrage ne traite pas d'un risque en particulier, mais aborde globalement la problématique du risque. Il ne se situe pas dans le champ des risques techniques ou technologiques mais dans celui de l'organisation. Le métier gère ses risques techniques. Mais l'efficience de cette gestion dépend totalement de la « capabilité » de l'organisation à encadrer et à accompagner le métier dans la gestion de ses risques. C'est bien sur ce thème, et exclusivement
sur ce thème, que se positionne le présent ouvrage, ce qui lui permet de s'adresser très globalement à tous les types d'organismes, y compris à ceux qui, heureusement, possèdent une expertise très forte en matière de risques métier, au motif que celui-ci les implique dans des situations dangereuses (activités nucléaires, chimiques, etc.) voire même qu'il consiste intrinsèquement à gérer des risques (activités bancaires ou d'assurances par exemple). Cette fois encore, nous traiterons de systèmes, de processus, de projets, de management... Nous tenterons de livrer une approche très concrète du sujet, sans jamais prétendre - bien au contraire - que la rationalité pragmatique est une panacée universelle et sans non plus tomber dans la simplification outrancière. Maîtriser les risques c'est aussi, et même avant tout, accepter la complexité de notre environnement et de nos comportements.
Environnement
Organisati/ a'. 0 z u..
0.. 0
u
Figure 0.1 Influence de l'organisation sur les risques métier
XIII
De la gestion des risques au management des risques
Quitte à faire quelques redites au regard de notre précédent ouvrage, nous reprendrons ici une partie théorique indispensable à la compréhension des méthodologies proposées. Conformément au titre même de l'ouvrage, nous étudierons ici comment passer d'une « simple » gestion des risques, objet affiché de notre précédent livre, à un management du risque. Ce management devra cependant pas instituer (encore) un système de plus mais constituer un dispositif de pilotage, stratégique et opérationnel, intégré aux processus organisationnels et décisionnels existants, ainsi que le recommande la norme ISO 31000:2009 que nous avons déjà citée. Nous avons en revanche voulu conserver le même sous-titre (Pourquoi ? Comment?) pour ce qu'il associe deux éléments qui nous semblent essentiels au management : le sens en réponse à la question du pourquoi, l'action en réponse au comment. Ce qui nous ramène d'ailleurs à la définition du mot méthode qui caractérise la présence conjointe d'une démarche et d'outils. La démarche donne du sens et organise l'action. Les outils viennent concrétiser la démarche en offrant un support tangible à l'action. Une démarche sans outils reste une intention. Des outils sans démarche sont une mécanique sans âme qui n'a pas de pérennité car ses utilisateurs n'en perçoivent pas la finalité, donc l'utilité. Notre ambition est bien de poser au travers ces pages une méthodologie de management du risque. Intégrer la maîtrise du risque dans les principes et les pratiques de management, réduire les menaces mais saisir les opportunités, c'est diminuer la vulnérabilité de l'entreprise, donc éviter les crises et concourir à la pérennisation, au profit de tous. Intégrer le management du risque au pilotage de l'organisation permet de mieux garantir le bien-fondé des actions engagées et de valider la pertinence des priorités établies. Le management du risque, fondé sur une logique économique, est un remarquable outil d'efficience qui facilite la prise de décision et l'atteinte des objectifs. Sous réserve d'une approche socio-éthique du risque, c'est également un moyen de convergence, une démarche d'équilibre qui peut amortir les possibles excès de certains projets dits « d'optimisation » et concrétiser très formellement l'engagement de responsabilité sociétale qui est aujourd'hui attendu de tout organisme.
ri.
0
z
LL ,
o. 0
u
De par le lien, que nous établirons, entre risque et responsabilité, cet ouvrage s'adresse à toute personne ayant ou aspirant à endosser des responsabilités au sein d'une organisation, quel que soit le statut ou la fonction de cette personne et quels que soient le statut, la dimension ou le métier de cette organisation. XIV
Introduction Contexte actuel des risques
1.1
l.1.1
d zLL
0
la vitesse d'un véhicule ; > l'inflammabilité d'un produit, un produit polluant ; > l'absence d'un mode opératoire ;
> la non-solvabilité d'un client, la fragilité d'un fournisseur ; 8
Définition générale du risque
> l'ambition ; > l'ignorance ; > etc.
•
La cible
Le risque existe si le danger peut toucher et affecter une ou plusieurs cibles. Un danger identifié mais ne pouvant atteindre aucune cible ne représente aucun risque. Vivre sur la planète Mars serait certainement s'exposer à de nombreux dangers mais ... tant que personne ne vit sur Mars, il n'y a aucun risque ! Les cibles peuvent certes être de diverses natures mais, au final, le risque existe parce qu'il représente une menace pour l'être humain . Ceci est exclusif. Avouons-le, si nous pouvions vivre sans préjudice aucun dans un environnement naturel fortement dégradé, nous nous préoccuperions assez peu d'écologie !
>
Exemples de cibles :
> les promeneurs au bord d'une falaise ; > le chauffeur d'un véhicule ou le piéton qui traverse la route ; > l'utilisateur d'un produit inflammable ; > un site naturel, une rivière, l'air ambiant ; > un processus de fabrication, une entreprise, un pays ; > l'économie d'une zone géographique, l'économie mondiale ; > etc. ri.
•
La menace
0
z
LL Produit inflammable/opérateur : c::> l'opérateur pourrait se brûler, c::> risque de brûlure. 9
De la gestion des risques au management des risques
> Produit polluant/rivière : c::> le produit pourrait se répandre dans l'eau ; c::> risque de pollution de la rivière. > Absence de mode opératoire/opération, c::> l'opération pourrait ne pas être exécutée correctement; c::> risque de mauvaise exécution de l'opération.
> Non-solvabilité d'un client/entreprise : c::> le client pourrait ne pas régler ses factures ; c::> risque d'impayé. > Fragilité d'un fournisseur/entreprise : c::> le fournisseur pourrait disparaître et donc ne plus livrer ; c::> risque de rupture d'approvisionnement. > Ignorance/exécution d'une action, c::> la personne pourrait se tromper, ne pas savoir faire ; c::> risque de ... beaucoup de choses !
> Etc.
•
L'estimation du risque
L.:estimation du risque mesure la potentialité du danger à causer des dommages à la cible. La potentialité est quantifiable : il s'agit d'évaluer la vraisemblance25 de survenance du risque, la probabilité de l'accident, pour le dire plus simplement. Les dommages que l'accident est susceptible de produire sont également quantifiables : il s'agit d'évaluer la gravité des conséquences possibles de l'accident, lesquelles peuvent être multiples et diverses (économiques, sociales, environnementales, etc.).
ri.
0
z
Cette estimation est partie intrinsèque du risque : le risque est une mesure ! Seule son estimation donne un sens au risque et fait que l'on s'en préoccupe ou pas. Dire « risque de chute » n'est pas signifiant. En revanche, « risque permanent de chute mortelle » fait immédiatement réagir alors que« risque exceptionnel d'égratignures » ne fait pas ciller grand monde.
LL ,
o. 0
u
~ Exemples d'estimations de menaces (vraisemblance/menace/gravité/cible): > risque : fréquent/de chute/mortelle/pour les promeneurs ; > risque : à cette vitesse/d'accident/invalidant/pour les passagers du véhicule ; 25
10
La norme ISO 31000:2009 (Management du risque - Principes et lignes directrices) a consacré le terme « vraisemblance » en lieu et place de probabilité, de fréquence ou d'occurrence. Voir le paragraphe « La prévention et la protection » en 1.2.2 « La mesure et la maîtrise du risque ».
Définition générale du risque
> risque : quotidien/de brûlure/au deuxième degré/pour l'opérateur ; > risque : lors d'une opération mensuelle/de pollution/irréversible/de la rivière ; > etc.
•
Les dispositions prises pour contrer la menace
Pour établir une estimation juste du risque, il est aussi nécessaire de considérer comme caractéristiques du risque l'ensemble des dispositions, de prévention ou de protection (nous reviendrons plus loin sur la distinction entre ces deux termes), que le management des risques va mettre en œuvre afin de réduire le risque, d'éviter qu'il ne se concrétise et/ou d'en minimiser les conséquences s'il arrivait malgré tout qu'il se concrétise. Notons déjà qu'à ce niveau ce ne sont pas seulement les dispositions ellesmêmes qui intéresseront !'évaluateur du risque mais surtout leur degré d'efficacité. Comme dit précédemment, hors toute disposition de réduction, nous évaluons un risque inhérent (ou brut), celui qui existerait « en l'état » si rien n'était fait pour qu'il en soit autrement. Après prise en compte des dispositions efficaces de réduction, nous mesurons un risque résiduel (ou net), celui qui subsiste « en l'état actuel » des choses.
>
Exemples de préventions : > une barrière de sécurité, un panneau de signalisation ; > la limitation de vitesse ;
ri.
0
z
LL la formation à la conduite ; > etc.
>Exemples de protections : > le système ABS et l'airbag ;
.s=.
> la limitation de vitesse ;
ï::
o.
> l'assurance du véhicule ;
u
> etc.
Ol
>,
0
Il ressort de ces exemples qu'une même disposition peut agir sur les deux tableaux. Ainsi, la limitation de vitesse diminue la vraisemblance d'un accident de la route, parce que l'analyse des situations d'urgence et le contrôle du véhicule sont plus aisés, et diminue aussi la gravité possible d'un accident, puisqu'à moindre vitesse la structure du véhicule résistera mieux et protégera plus les passagers. 11
De la gestion des risques au management des risques
• Quelques cas de figure Notre expérience de conseil ou de formation nous a apporté moult fois la preuve que ces notions élémentaires - danger, cible, menace, prévention, protection ... - n'étaient pas si faciles à manipuler qu'il y paraît de prime abord. Pour rassurer le lecteur, rappelons toutefois qu'un tel niveau de détail n'est pas requis lorsque les situations analysées sont claires et que le risque s'exprime tout aussi clairement. La précision devient nécessaire dès lors que l'identification du risque est floue ou contestée, afin de s'assurer d'une part que la situation décrite est possible, d'autre part que l'évaluation qui en est faite est justifiable.
Les promeneurs sur la falaise Des promeneurs marchent le long d'une falaise en calcaire d'une hauteur de près de 50 mètres. Sur l'ensemble du parcours, des panneaux informent les promeneurs de l'instabilité des bords de la falaise, les infiltrations d'eau rendant le calcaire friable. Aux endroits les plus dangereux, des barrières ont été posées afin d'empêcher les promeneurs de trop s'approcher. Tableau 1.1 Les promeneurs sur la falaise
Danger(s)
Hauteur de la falaise et friabilité de ses bords
Cible(s)
Promeneurs
Menace(s)
Pour chaque promeneur, risque de chute mortelle s'ils s'approchent du bord
Prévention
Panneaux d'information, barrières
Protection
-
CD Remarques
ri.
0
Les barrières souvent dites « de protection » sont bien ici un dispositif de prévention. La menace citée étant la chute, elles réduisent la vraisemblance de la chute en évitant que les promeneurs ne s'approchent du bord. Si le promeneur tombe, peut-être après avoir enjambé les barrières, ce ne sont pas celles-ci qui limiteront les conséquences de sa chute. Le court texte qui nous est ici proposé ne décrit aucune mesure de protection . Nous connaissons un golf en bord de falaise où le positionnement d'un green a justifié que des filets soient scellés sur la paroi. Ces filets constituent bien une protection puisqu'ils n'empêchent pas la chute mais en limitent les conséquences : les golfeurs imprudents en seront quittes pour une belle frayeur !
z
LL ,
o. 0
u
Le serveur informatique de la société ServRix Pour installer son serveur informatique, la société ServRix s'est dotée d'une salle spécifique où elle a installé l'air conditionné. Pour palier à tout incident potentiel, ServRix réalise chaque soir des sauvegardes de l'ensemble des données gérées par ce serveur. 12
Définition générale du risque
Tableau 1.2 Le serveur informatique
Danger(s)
Chaleur dans la salle informatique
Cible(s)
Serveur
Menace(s)
Si température supérieure à 35 °C, panne du serveur entraînant des pertes de données
Prévention
Climatisation
Protection
Sauvegarde des données
CD Remarques Nous avons ici déduit le danger du moyen de prévention constaté : la chaleur n'est pas citée dans le texte, seule la climatisation est mentionnée. Ceci est une pratique courante qui mérite cependant vigilance : le risque existe si le danger existe, pas parce qu'une mesure de réduction existe. On peut rencontrer nombre de situations où des mesures (parfois coûteuses) sont présentes pour réduire un risque qui n'existe plus : des modes opératoires, des assurances, etc. Dans cet exemple, on pourrait ensuite poursuivre l'analyse en posant la perte de données, conséquence d'une panne, comme un danger pour l'entreprise car pouvant provoquer un arrêt de la production ...
L'opérateur de la scie pour tubes métalliques Le poste de travail observé est une scie à ruban, machine permettant
ri.
de découper des ronds dans des barres ou des tubes d'acier. La scie est munie d'un capot de protection et elle ne démarre que si ce capot est fermé. D'autre part, l'opérateur (ou l'un de ses collègues) peut actionner d'un bouton d'arrêt d'urgence ... au cas où ! Pour manipuler les pièces issues du découpage, l'opérateur a reçu pour consigne de porter des gants pour éviter les éclis de métal présents sur la surface de coupe avant l'opération d'ébavurage.
0
z
Tableau 1.3 La scie pour tubes métalliques
LL 0.. 0
u
•
La vraisemblance et la gravité
Par définition, le risque se mesure puisque nous avons cité son estimation comme l'une de ses caractéristiques intrinsèques. Le risque est une valeur, sa criticité, que l'on peut déterminer en associant deux critères et deux seulement: ~
la vraisemblance que l'événement redouté ne se produise : la vraisemblance évalue la possibilité de survenance du risque, autrement dit la potentialité que l'accident se produise ; 15
De la gestion des risques au management des risques
~
la gravité estimée des conséquences de cet événement, s'il se produit : la gravité évalue l'importance du ou des impacts envisagés en cas de survenance du risque, en cas d'accident.
Ce qui nous donne une première formule, correspondant bien à une représentation matricielle (voir figure 1.4). Le lecteur constatera que, par simplification sémantique, nous nous autorisons à confondre le risque lui-même et sa criticité. Risque
= Criticité = Vraisemblance x Gravité
Vraisemblance Très forte Forte Faible Très faible
Figure 1.4 Matrice d'évaluation du risque
a'. 0 z u..
,
o. 0
u
Pour être cohérents avec le parti pris précédemment de prendre en considération les dispositions existantes dans l'estimation du risque pour contrer la menace, intégrons maintenant les notions de prévention et de protection dans la formule de calcul (voir figure 1.5 ci-après).
27
28
L'AMDEC (Analyse des modes de défaillance, de leurs effets et de leur criticité) est une méthode d'analyse pour déterminer les risques liés à la conception puis à l'utilisation de produits fabriqués. Et nous le disons ici très humblement car notre précédent ouvrage restait ambigu sur ce point.
17
De la gestion des risques au management des risques
Vraisemblance Très forte Forte Faible Très fai ble
Gravité
Figure 1.5 Prévention et protection
Puisque le risque s'exprime par la combinaison de deux dimensions, il n'existe que deux typologies de solutions pour le réduire, ainsi que le représente la figure 1.5. Tout type d'action pourra donc être assimilé soit à de la protection, soit à de la prévention. La prévention désigne les dispositions prises pour éviter, autant que faire se peut, que l'événement redouté ne se produise ou que l'accident ne se concrétise. La prévention diminue la vraisemblance du risque. C'est presque un pléonasme : la prévention agit toujours avant que l'accident n'arrive. a'. 0 z
La protection regroupe les dispositions prises pour limiter, autant que faire se peut, les conséquences de l'événement redouté, lorsque celui-ci, malgré les préventions présentes, se produit quand même. La protection diminue la gravité du risque. Elle agit pour réduire les effets pendant l'accident et/ou pour en rendre les suites supportables.
u..
0.. 0
u
>
Nouveaux exemples de préventions : > une barrière empêchant de s'approcher d'une zone dangereuse ;
> un panneau d'alerte avertissant de la dangerosité d'une situation ; > une campagne de vaccination ; > l'organisation d'une formation ;
> la connaissance et la conscience des dangers présents ; > etc. 18
Définition générale du risque
~ Nouveaux exemples de protections : > un casque de sécurité ; > des sauvegardes de données ;
> le confinement de produits explosifs ; > une assurance ; > un plan de secours ; > etc. La formule de calcul du risque peut désormais se poser comme suit :
. C. . . . ( Vraisemblance ) ( Gravité ) R1sque net = nt1c1te = x Prévention Protection
=(
Vraisemblance x Gravité ) Maîtrise
Prévention et protection constituent la maîtrise du risque. Jouant chacune sur un registre différent, il est à notre sens préférable de les différencier l'une de l'autre plutôt que de mesurer globalement une maîtrise dont on ne saurait pas très bien lequel des deux axes elle améliore. La prévention est exclusivement liée à la vraisemblance et la protection est exclusivement liée à la gravité. Penser réduire la vraisemblance en prescrivant une action de protection est une faute. Imaginer réduire la gravité grâce une démarche de prévention l'est aussi.
a'. 0 z u..
Installer un panneau prévenant les promeneurs d'un risque de chute mortelle, parce que le bord de la falaise s'effrite, diminue le nombre d'imprudents qui vont quand même s'approcher du bord et réduit donc la vraisemblance d'une chute. Toutefois, ceux ou celles qui tomberont pour n'avoir pas tenu compte de cette alerte n'auront pas plus de chance d'en réchapper que s'il n'y avait pas de panneau .
0.. 0
u
Prendre une assurance afin de couvrir les frais occasionnés par un accident potentiel est l'une des formes les plus courantes de protection. Mais souscrire une assurance ne modifie ni la probabilité de l'accident, ni la dangerosité de celui-ci. Cela permet seulement à la cible ainsi protégée de mieux supporter, financièrement en l'occurrence, les conséquences de l'accident. Bien évidemment, seules les dispositions de maîtrise efficaces seront intégrées au calcul. Imaginez que vous ayez organisé une formation ayant pour objectif d'informer les salariés de la nécessité de suivre scrupuleusement un mode opératoire pour éviter un danger identifié et que les participants n'aient pas compris ce que vous attendiez d'eux : la prévention envisagée n'aura aucun effet réel. 19
De la gestion des risques au management des risques
Mettre un casque pour passer sous une charge de 200 kg constituera certainement une protection insuffisante si ladite charge se décroche et vous tombe sur la tête. Il ne s'agit donc pas simplement d'identifier et de compter ce qui a été mis en place mais surtout de vérifier la pertinence et l'efficacité de ce qui a été mis en œuvre. Ce qui, quoique demandé par toutes les normes de management ISO, n'est pas toujours si facile à démontrer dans les faits. Dans tous les cas, la formule de calcul du risque nous confirme qu'à partir du moment où il y a vraisemblance et gravité, le risque « zéro » n'existe pas : la prévention et la protection sont des diviseurs et, même augmentées à l'infini, elles ne peuvent mathématiquement jamais rendre nul le résultat de la division. Pour supprimer le risque, seules deux solutions sont possibles: supprimer le danger pour annuler la gravité ou supprimer la cible pour annuler la vraisemblance. Et, puisque la cible est le plus souvent humaine, nous préférerons l'éloigner du danger que la supprimer ! Ceci rejoint le début de la présente sous-partie : le risque nécessite effectivement la présence d'un danger et d'une cible. Notre formule peut-elle également mesurer une opportunité ? Son résultat peutil être négatif? Le risque deviendrait alors positif ! La vraisemblance ne pouvant être négative, il faut que le facteur gravité s'inverse, qu'il devienne effectivement un avantage, un gain possible. Cependant, pour que l'opportunité soit forte, il faut aussi que la maîtrise soit la plus faible possible ! C'est bien pour cela que, dans la réalité, plus l'incertitude est grande, plus le risque est potentiellement rémunérateur : il n'y a qu'à prendre l'exemple des placements financiers pour en faire la démonstration. Notons enfin que la terminologie du risque (c'est-à-dire l'utilisation des mots « prévention » et « protection ») n'est pas en totale en adéquation avec celle des normes Qualité ISO 9000:2005 et ISO 9001 :2008 lorsqu'elles parlent d'actions préventives et d'actions correctives. Première remarque, ces actions Qualité font systématiquement référence à des non-conformités la non-conformité est le danger - qui ne sont pourtant pas les seules sources de risques au sein d'un organisme. À cette objection près, prévention et action préventive s'accordent à peu près puisque les normes de la série 9000 définissent une action préventive comme « visant à éliminer la cause d'une non-conformité potentielle29 ». En revanche, la protection n'est pas une action corrective, laquelle « vise à éliminer la cause d'une non-conformité détectée30 » et intervient donc a posteriori et sur les causes alors que
ri.
0
z
LL ,
o. 0
u
29 30
20
Norme ISO 9000:2005, paragraphe 3.6.4. Norme ISO 9000:2005, paragraphe 3.6.5.
Définition générale du risque
la protection intervient bien sûr a priori et sur les conséquences. Ces différences de langage, moins anodines qu'il n'y paraît car générant souvent des incompréhensions, vont s'amenuiser dans les années qui viennent puisque la version 2015 de l'ISO 9001 (actuellement en projet), si elle a conservé le principe d'actions correctives, devrait abandonner celui d'actions préventives au profit « d'actions à mettre en œuvre face aux risques et opportunités31 ».
•
Autres informations intéressantes pour mieux évaluer un risque
L'expérience est certainement la source d'informations la plus utile pour celui qui doit apprécier un risque. Encore faut-il qu'elle soit mémorisée et partagée. Il est clair que pouvoir s'appuyer sur des événements qui se sont effectivement produits ou se produisent encore, aléatoirement mais régulièrement, soustrait une bonne part d'incertitude à l'estimation du risque. Nous en reparlerons lorsque nous aborderons les bonnes pratiques d'un management du risque 32 • Le retour d'expérience n'est toutefois pas une référence absolue. Les futurs accidents auront peut-être une forme sensiblement différente de ceux qui les ont précédés, puisque le contexte aura évolué et que la combinaison des impacts sera nouvelle. Il se peut aussi qu'on décide d'estimer comme très vraisemblable un événement qui n'a été qu'exceptionnellement constaté jusqu'alors, pensant que c'est par pure chance que l'accident ne soit pas arrivé plus souvent. ..
ri.
0
z
LL ,
o. 0
u
Pour faciliter l'évaluation de la vraisemblance, quatre informations peuvent être analysées : 1. Le nombre de cibles exposées au danger : plus le nombre de cibles exposées est grand, plus la vraisemblance de l'accident est forte. Plus il y aura de promeneurs le long de notre falaise, plus la chute sera vraisemblable. Envoyez 10 ou 50 commerciaux sur la route et la vraisemblance d'un accident de voiture sera évidemment proportionnée à ce nombre. 31 32 33
ISO/DIS 9001 , juin 2014, paragraphe 6.1. Voir en 5.3 « Les bonnes pratiques ». Nous convenons avoir été tentés par ce type de calcul dans notre précédent ouvrage.
21
De la gestion des risques au management des risques
2. La fréquence d'exposition au danger : a priori, plus la fréquence d'exposition est forte plus la vraisemblance de l'accident est importante. Un opérateur qui passe une fois par jour sous une charge risque plus de la prendre sur la tête que celui qui n'y passe qu'une fois par an. Dans le premier cas, on entendra : « cela devait finir par arriver », dans le second : « c'était vraiment pas de chance ». Attention, pour être ainsi prise en compte dans l'estimation de la vraisemblance, cet a priori doit pourtant être considéré à iso-compétences. En effet, une exposition fréquente peut être synonyme d'expérience, ce qui va au contraire limiter la probabilité de l'accident alors qu'un individu candide tombera peut-être dans le piège du danger dès la première fois où il le rencontrera. À moins que l'expérience ne se transforme en habitude et n'engendre une baisse d'attention .. . Comme quoi, ce n'est pas si simple ! 3. Le temps d'exposition au danger : rester longtemps à proximité d'un danger augmente la vraisemblance que l'aventure ne se termine pas bien. Ce critère rejoint le précédent à ceci près qu'il ne s'inverse pas comme nous venons de le démontrer pour la fréquence d'exposition. Les salariés ayant respiré trop longtemps de la poussière d'amiante contractent malheureusement plus de cancers que ceux qui n'ont été que très épisodiquement en contact avec cette matière. 4. La probabilité de l'accident: si , en management, les probabilités ne sont pas requises pour estimer un risque, elles peuvent toutefois être utilisées lorsque l'on possède un retour d'expérience probant car fiabilisé par une occurrence élevée de situations homogènes. On sait aujourd'hui établir avec quelque certitude la probabilité d'un accident de la route compte tenu de certains critères comme la tranche d'âge, le lieu de circulation, etc. Notons que la probabilité pose un problème d'interprétation qui justifie que le terme vraisemblance lui ait été préféré par la norme ISO 31000. En effet, et la question a déjà été effleurée, la probabilité d'une erreur est plus forte lorsqu'une opération est réalisée par un candide incompétent que lorsqu'elle est confiée à un spécialiste chevronné. Pourtant, même en admettant que le spécialiste effectue l'opération 1 000 fois par mois et l'incompétent une seule fois dans le même laps de temps, la vraisemblance d'un accident pourrait être plus élevée pour l'incompétent que pour le spécialiste.
ri.
0
z
LL ,
o. 0
u
Pour étayer l'évaluation de la gravité, six autres informations peuvent être précisées: 1. L'intensité du danger : subir l'assaut d'un lance-flammes ou se brûler avec une allumette ne provoquera pas les mêmes blessures ! Un impayé 22
Définition générale du risque
de 10 000 ou de 100 000 euros n'aura pas les mêmes conséquences sur la trésorerie d'une entreprise. Une explosion nucléaire est plus grave qu'une autre explosion parce que la radioactivité a des effets durables et irréversibles. Etc. 2. Le nombre de cibles ou la taille de la cible : si un danger menace 5 ou 500 personnes, la gravité de l'accident ne sera évidemment pas la même. Les conséquences d'un incendie seront plus légères si celui-ci ne peut toucher qu'un atelier de l'entreprise au lieu de s'étendre à l'ensemble des infrastructures. La perte d'un contrat représentant 30 % du chiffre d'affaires (CA) prévisionnel d'une société sera plus douloureuse que celle d'un contrat qui ne pèse que 2 % de ce même CA. Etc. 3. Le temps d'exposition au danger : ce facteur a déjà été cité comme influençant la vraisemblance. Il peut également être source d'aggravation de la gravité. Le salarié qui aura porté des charges lourdes toute sa vie a non seulement une probabilité plus importante de s'abîmer un peu le dos mais il a également toutes les « chances » de finir avec un dos en très piteux état. C'est le sens des réglementations relatives à la pénibilité du travail qui sont en cours de mises en place.
ri.
0
z
LL ,
o. 0
u
5. La combinaison possible des impacts : lorsqu'un accident se produit, il engendre une ou plusieurs conséquences. Nous aurons l'occasion de revenir en détail sur ce mécanisme. La façon dont pourraient se combiner ces conséquences aura évidemment des répercussions sur l'évaluation de la gravité globale de l'événement redouté.
6. Les scénarios d'enchaînement d'impacts : au-delà des combinaisons possibles, l'enchaînement possible des événements sera évidemment à prendre en considération. C'est l'exemple de la grippe présenté précédemment : en provoquant l'absence de nombreux salariés, elle devient un danger pour l'entreprise puis pour l'économie en général. L.:exercice, qui se doit d'éviter tout catastrophisme, est une véritable difficulté dans
23
De la gestion des risques au management des risques
la mesure où le facteur temps vient encore compliquer l'analyse de ces enchaînements. Si certaines conséquences s'enchaînent les unes après les autres, d'autres effets peuvent n'apparaître que longtemps après. C'est par exemple le cas des maladies professionnelles. Multiplier ainsi les opérants participant directement ou indirectement à la valorisation d'un risque, permet parallèlement de multiplier les possibilités de solutions potentielles en cherchant ce qui peut modifier la valeur de chacun de ces opérants pour réduire la criticité finale : ~
Est-il possible de réduire la dangerosité d'une situation ?
~
Est-il possible de réduire le nombre de cibles exposées ?
~
Est-il possible de réduire la fréquence d'exposition des cibles au danger ?
~
Est-il possible de réduire le temps d'exposition des cibles exposées ?
~
Est-il possible de renforcer la cible, de la rendre plus solide face au danger?
~
Est-il possible d'isoler les conséquences pour en éviter les enchaînements?
~
Etc.
1.2.3 •
La limite d'acceptabilité
Le risque brut et le risque net
Avant tout essai de réduction, le risque est dit inhérent ou brut. Ce premier niveau de risque reste de fait très théorique car, même lors d'une toute première évaluation, il préexiste généralement des mesures de prévention ou de protection. Le vrai risque inhérent n'est donc que très rarement constatable. Son intérêt est d'ailleurs restreint sauf à vouloir indiquer aux acteurs d'une situation dangereuse ce qui pourrait arriver s'ils ne respectent pas les consignes. Ceci a par exemple du sens dans le domaine des risques SST (santé et sécurité au travail).
ri.
0
z
LL Un chef d'entreprise ayant déjà vécu le traumatisme des conséquences juridiques liées à un accident du travail qualifiera ensuite d'accident ou d'incident grave ce que d'autres continueront à considérer comme anodin. > Le départ d'un ingénieur, détenteur d'un savoir-faire spécifique, n'aura pas le même impact dans une PME où cette ressource est unique ou dans un groupe international où la ressource est probablement multiple. > Un impayé client d'une valeur donnée« X» n'aura pas la même gravité dans une petite entreprise de quinze salariés ou dans un groupe international employant plusieurs milliers de personnes. > Un même impayé client peut avoir des conséquences totalement disproportionnées selon que l'entreprise victime ait une trésorerie saine ou mauvaise. > Au sein d'une grande entreprise dégageant un résultat net de plusieurs millions d'euros, le dirigeant et un salarié percevant le SMIC34 n'auront pas la même perception d'une perte financière avoisinant les 250 000 euros ... même s'ils la déplorent tous les deux. > Etc.
ri.
0
z
LL ,
o. 0
u
34
28
Salaire minimum interprofessionnel de croissance.
Définition générale du risque
On pressent au travers ces lignes que l'une des difficultés de l'approche risque sera de trouver un terrain d'accord sur ce qui est grave ou non pour l'organisme, alors que chacun des individus qui le compose a sa propre idée sur le sujet. Nous verrons par la suite que « l'objectivation de cette subjectivité » est l'un des enjeux du management du risque.
•
De l'incident à l'accident
Très souvent, l'accident est lui-même la conclusion d'une succession d'incidents, produisant ou non des dommages. Ces incidents répétitifs sont généralement révélateurs d'une situation qui se détériore parce que sa dangerosité augmente. Ils sont le synonyme d'une gravité potentielle en hausse, situation dans laquelle la vraisemblance de survenance du risque augmente également, et parfois à tel point qu'au final cette survenance confine presque à la certitude. C'est sur cet argument recevable, qui rejoint le concept de signaux faibles ou forts, que nombre de préventeurs vantent aujourd'hui les bienfaits d'une gestion des « presqu'accidents », certains allant même jusqu'à prôner l'identification de « presqu'incidents ». En dehors de toute détérioration, ces incidents peuvent également être la résultante d'une situation qui s'est progressivement modifiée, sans que les dispositions pensées au regard d'un dimensionnement d'origine aient accompagné cette progression. C'est par exemple le cas de nombreuses entreprises qui, dans une période de croissance, n'adaptent pas leur niveau de protection ou de prévention à leur nouvelle taille, prenant alors jour après jour des risques de plus en plus importants. ri.
0
zLL
~
Une machine vieillissante et mal entretenue, sur laquelle des défauts sont de plus en plus fréquemment constatés et qui finit par tomber en panne causant un arrêt de production.
,-1
0
> Des règles de sécurité de moins en moins respectées, au point que des accidents bénins surviennent, puis un accident plus grave sans que cela ne surprenne vraiment.
N
@
...,
.s=.
> Le durcissement incessant et peu différencié d'une politique d'achats, aboutissant au renoncement d'un fournisseur pourtant capital pour l'approvisionnement de composants.
Ol
ï::
>,
o. 0
u
> Le cas bien connu du particulier (mais aussi de certaines entreprises) qui augmente la valeur mobilière de son habitation sans mettre à jour son contrat d'assurance 35 : si sinistre il y a, il se verra dédommagé d'un montant correspondant à la valeur déclarée initialement ! > Etc. 35
Les assurances alertent désormais leurs clients de ce risque et les encouragent à une mise à jour régulière de leur patrimoine.
29
De la gestion des risques au management des risques
•
La situation de crise
Les dommages consécutifs à l'accident peuvent amener une situation dégradée, caractérisée par une fragilisation de la cible touchée. Cette cible se trouve alors exposée à d'autres dangers ou périls contre lesquels elle est habituellement protégée et continue de se penser protégée. La situation dégradée devient alors une situation de crise (voir figure 1.10, ligne 1).
O
Situation normale
,,,,
Dangers
,,,,·
I
1
Cible
•
·. ~~,!.
~;·:.
Situation normale
Situation de crise /
Ill
!~!~ :, .
f)
Situation dégradée
•
1
/\
''
'
Situation de crise
~ , '
'
Situation de crise aggravée
---------- ----------------------------------~ Temps Figure 1.10 Évolution d'une situation à risque
Le monde médical nous livre nombre de références dans ce domaine : parce que son système immunitaire est déjà fortement mis à contribution, un malade devient vulnérable à d'autres maladies. Les précautions d'hygiènes prises dans un hôpital ont une véritable raison d'être et tout manquement provoque des conséquences que l'on sait parfois irrémédiables. l'.univers militaire peut également être pris en exemple : une brèche dans un système de défense et c'est tout le système qui est menacé.
a'. 0 z u..
0.. 0
u
Cette évolution résulte d'une logique économique simple : tout organisme possède des ressources en nombre limité et s'il doit mobiliser beaucoup de ces ressources pour réparer les dommages consécutifs à un accident, il n'en possède alors plus suffisamment pour se protéger d'autres assauts. 30
Définition générale du risque
Ceci implique, suite à un accident, qu'il faut non seulement réparer les dommages constatés, mais, dans le même temps, être plus que jamais attentif et préventif envers d'autres risques dont la criticité est momentanément en hausse brutale. Nous reviendrons plus exhaustivement sur ce point en développant la gestion de crise, pendant obligé de la gestion des risques 36 . Finissons par une note plus « souriante » en relevant que cette évolution des situations de crise est sans aucun doute ce qui justifie en jargon populaire, imagé mais ô combien réaliste, les adages de « loi des séries » ou encore et plus trivialement de « loi de l'emmer... maximum ». Ce pessimisme latent a été érigé en loi par Edward A. Murphy, capitaine de l'armée de l'air des États-Unis qui, irrité par un assistant « maladroit » ayant provoqué l'échec de l'une de ses expériences se serait écrié : « s'il existe un moyen pour que ce type fasse une erreur, il la fera ». L'expression a ensuite été condensée dans l'axiome : « si cela peut se produire, cela arrivera ». Il s'en est suivi une série de formules chocs que l'on attribue, sans doute un peu vite mais qu'importe, au même auteur :
..,. « Tout ce qui peut aller mal ira mal. » ..,. « Toute tâche qui peut être accomplie d'une manière incorrecte sera un jour accomplie de cette manière. » ..,. « Toute pièce susceptible d'avoir une défaillance faillira au moment le plus inopportun et le plus préjudiciable. » ..,. « Quelle que soit la difficulté pour endommager un équipement, on trouvera un moyen de le faire. » ri.
0
zLL
,
o. 0
u
... Etc. Au-delà de l'aspect humoristique de ces maximes, il ne s'agit en fait que d'une interprétation somme toute banale des lois statistiques, interprétation qui ne peut certes pas être prise en défaut, mais qui peut également s'appliquer à l'opportunité : le « double six » finira bien par sortir ! On peut aussi y voir un problème de dissymétrie connu des psychologues, pris en compte par les experts en communication et mis en exergue par la sphère médiatique, à savoir que les échecs ont plus de retentissements que les succès et qu'un seul effet négatif remet en question de multiples effets positifs. Nous le savons bien : sauf obligation, seules les personnes insatisfaites prennent le temps de remplir les questionnaires de satisfaction !
36
Voir en 5.4 « Quelques mots sur la gestion de crise ».
31
De la gestion des risques au management des risques
1.3 La dimension complexe du risque L'approche rationnelle que nous venons de décrire a l'avantage de poser clairement les fondamentaux du risque : danger, cible, menace, maîtrise, etc. Le raisonnement y est pragmatique et emporte aisément l'adhésion pour ce qu'il rend le concept de risque facilement appréhendable ; a priori du moins, car ces notions « simples » ne sont pas toujours aussi évidentes à manipuler qu'il y paraît, nous en avons fait la démonstration par quelques exemples37 • Il nous faut pourtant être conscient que cette dialectique par trop cartésienne ne rend que très partiellement compte de la complexité du risque. Apprécier un risque, c'est essayer de construire une représentation d'une situation et d'un phénomène complexes. Une situation : c'est-à-dire la présence de dangers multiples et polymorphes face à des cibles toutes différentes et inégalement vulnérables. Un phénomène : c'est-à-dire le déclenchement aléatoire, dans un contexte dont la spécificité momentanée est peu prévisible, d'un événement ou plus probablement d'un ensemble d'événements qui vont s'enchaîner et interagir sur une durée plus ou moins longue ... voilà un bel écheveau, un exemple parfait de complexité 38 . Par opposition au compliqué que l'on peut mettre en procédures, le complexe se caractérise par !'impondérabilité, l'impossibilité d'une maîtrise totale. La comparaison est souvent usitée : construire un avion, c'est compliqué, manger un plat de spaghettis, c'est complexe ! L'exercice d'appréciation d'un risque, modélisation plus ou moins formelle de la situation et du phénomène, est par essence réducteur et le résultat obtenu ne représentera qu'une partie simplifiée de la réalité, par nécessité - temps à passer, ressources à mobiliser, etc. - ou par capacité - d'analyse, d'imagination, de modélisation, etc. Cet exercice sera cependant suffisant à partir du moment où il offrira une schématisation lisible du risque et de ses composantes, initiera une réflexion sur le besoin de réduire ce risque et sera moteur d'amélioration pour l'organisme.
ri.
0
z
LL ,
o. 0
u
Avoir conscience de possibles erreurs ou assumer le fait d'être approximatif et incomplet ne doit pas rebuter les organisations à s'engager dans une démarche de management du risque. Ce n'est pas parce que les spaghettis ont des comportements insaisissables que nous allons refuser d'en déguster !
37 38
32
Voir le paragraphe « Quelques cas de figure >> en 1.2.1 « La dimension rationnelle du risque ». Complexité, du latin complexus : ce qui est tissé ensemble.
Définition générale du risque
Bien au contraire ! Mais non sans avoir préalablement un peu approfondi notre analyse de cette complexité qui, à défaut d'être maîtrisée, peut être mieux comprise et nous engager au respect de quelques principes méthodologiques adaptés au traitement du complexe. D'ailleurs, les grands mangeurs de spaghettis connaissent quelques manières appropriées qui, sans garantir un contrôle total de la situation , permettent néanmoins d'en limiter les aléas ... et les dégâts.
1.3.1
Connaissances et incertitudes
Parler d'évaluation des risques, de causes identifiées ou de conséquences quantifiées suppose à l'évidence une connaissance de ces causes et conséquences. Or, il nous faut avouer la présence d'un non-connaissable, non-identifiable donc non-quantifiable, parce que constitué de causes et de conséquences que nos connaissances du moment ne nous permettent pas d'imaginer et moins encore de modéliser. Et, si le champ des connaissances, même vaste, peut être analysé, voire maîtrisé, il est évident que celui de l'inconnaissance restera , par nature, incontrôlable (voir figure 1.11). Connaissable Connaissance
······
Figure 1.11 Connaissable et connaissance a'. 0 z u..
0.. 0
Le connaissable est l'ensemble des informations, des méthodes et des pratiques qu'un organisme est censé avoir en sa possession et dont la teneur devrait avoir été prise en compte dans son fonctionnement. Le connaissable est ce que l'organisme doit maîtriser de la Connaissance, la part de celle-ci qui le concerne. Le connaissable s'oppose à l'inconnaissable que, par définition , nul ne peut définir mais dont on peut craindre qu'il soit encore beaucoup plus insondable que le connaissable.
u
La connaissance (sans majuscule cette fois) est l'ensemble des informations, des méthodes et des pratiques que l'organisme a réellement intégrées à son fonctionnement en décidant d'en tenir compte ou pas. La connaissance s'oppose à l'inconnaissance. On pourrait penser que la connaissance et le connaissable sont identiques. Dans l'absolu, ils devraient effectivement l'être. Dans la réalité il n'en est rien ; l'adage « nul n'est censé ignorer la loi » fait aujourd'hui sourire tous les juristes. 33
De la gestion des risques au management des risques
Il revient aux chercheurs de repousser les limites de la Connaissance. De fait, cette dernière évolue sans cesse au fur et à mesure des découvertes scientifiques, d'où l'émergence continue de nouveaux risques ou plus exactement l'apparition ininterrompue de nouveaux dangers et de nouvelles cibles. Aux chercheurs s'ajoutent les législateurs et autres normalisateurs de tous poils qui, parce que le contexte les y pousse ainsi que nous l'avons évoqué dans la première partie de cet ouvrage, multiplient les lois, les réglementations et les exigences à respecter. Cette réalité est parfois déconcertante, tant elle donne l'impression fatigante que plus on travaille à réduire les risques et plus ceux-ci sont nombreux. C'est le tonneau des Danaïdes ! Au final, il faut admettre, sans pour autant se décourager, qu'il sera difficile de maîtriser totalement l'ensemble des techniques et technologies utilisées par l'organisme ou l'ensemble des textes qui lui sont applicables. Il subsistera toujours un écart entre connaissable et connaissance. Cet écart est par ailleurs dangereux : admettre qu'il est difficile d'aligner notre niveau de connaissance sur le connaissable ne nous dispensera pas de notre responsabilité si un accident dû à cet écart survient. C'est l'un des rôles du Risk Manager (responsable du management du risque) que d'élargir le champ des connaissances de l'organisme en y intégrant le plus possible de connaissable. Les dispositifs normatifs l'aideront en ce sens puisque la plupart d'entre eux insistent pour que soit amenée la preuve que l'organisme a identifié les exigences à respecter : « l'organisme doit démontrer son aptitude à fournir régulièrement un produit conforme [... ] aux exigences légales et réglementaires applicables39 ». Pour toute organisation, mais en réalité pour tout organisme « vivant », la connaissance des risques auxquels ils sont exposés est une question de survie. C'est de cette connaissance que dépendra leur aptitude à organiser leurs défenses pour diminuer leur vulnérabilité et, par anticipation, leur capacité à limiter les risques pris par rapport à ceux qui l'avantageront.
ri.
0
zLL
,
o. 0
u
39
34
ISO 9001 :2008, paragraphe 1.1.
Définition générale du risque
la détectabilité, sous-entendu la connaissance du danger présent, comme facteur de calcul du risque. C'est aussi à ce titre qu'une formation, cadrée et assimilée, est une action adaptée à tout type de risque. Insuffisants ? C'est toujours le cas lorsque l'on veut quantifier le futur à partir des données du passé ou lorsque l'on entre dans le domaine de l'incertitude. Un événement est dit« en zone de certitude» à partir du moment où il est possible de définir, avec précision et avec fiabilité, l'ensemble des causes qui en sont à l'origine et l'ensemble des conséquences qu'il génère. Dans la zone de certitude « les mêmes causes produisent toujours les mêmes effets ». Nous sommes face à un événement « simple » qu'il est possible de décrire a priori et pour lequel nous possédons un retour d'expérience tel que nous pouvons établir des statistiques précises et fiables de sa vraisemblance et de sa gravité. Admettons toutefois que l'utilisation du mot certitude associé à celui de risque est ambiguë. Il demeure une vraie incertitude sur le moment où l'accident se produira. Et ce dernier prendra parfois, même dans cette zone, des proportions non anticipées, plus faibles ou plus fortes que celles qui sont normalement attendues.
ri.
0
z
LL ,
o. 0
u
En regroupant toutes ces notions on obtient la figure 1.12 qu'il convient d'imaginer en superposition avec la figure 1.1 qui présentait une modélisation élémentaire du risque : les causes proviennent du ou des dangers, les conséquences atteignent la cible. Notons tout d'abord que connaissance ne signifie pas certitude. Il n'y a pas non plus de hasard à ce que les champs de la connaissance ou de l'inconnaissance soient placés du côté des causes et à ce que les zones de certitude ou d'incertitude soient placées du côté des conséquences. 35
De la gestion des risques au management des risques
Les connaissances sont acquises préalablement à l'événement, impactent le déroulement de celui-ci et permettent d'en imaginer, avec plus ou moins de certitudes, les conséquences. Ensuite, l'analyse d'un premier accident enrichira la connaissance et permettra de mieux prévoir le second ... D'autre part et contrairement à ce que peut laisser paraître la figure cidessous, le champ de l'inconnaissable est probablement beaucoup plus étendu que celui du connaissable ... mais ceci reste incertain. En revanche, il est absolument certain que le champ du connaissable est en perpétuelle et exponentielle 40 extension. Réduit-il pour autant celui de l'inconnaissable ? La posture déterministe adoptée par certains scientifiques depuis le milieu du XIXe siècle nous avait préparés à croire que nous finirions peut-être, à force de données et de calcul, par délimiter la Connaissance. Illusion. Nous serions désormais enclins à envisager une sorte d'infini indéchiffrable dont les limites reculent au fur et à mesure de nos efforts pour le découvrir.
n N 0
a:~ -
Q. (D
a,.!!?
a'. 0 z
nN (D 0
E :g
IV C:
u..
.:. 0
Exemples de risques avérés mesurables : > le risque d'accident de la route ; > le risque d'incendie ; > le risque de rupture de trésorerie ; > le risque de malveillance ; > le risque de fourniture d'un mauvais composant ;
> etc. Nous verrons par la suite que, dans ce cas de figure, les mesures de prévention sont faciles à structurer puisque les causes sont déterminées, même si ce n'est que partiellement. Nous verrons également que ce type de risque peut faire l'objet d'une protection adaptée, tant sur le plan technique que sur le plan économique, puisque la gravité potentielle en est connue, même si ce n'est qu'imparfaitement.
•
Les risques avérés non mesurables
Comme précédemment, danger et cible sont identifiés grâce à des événements constatés. Toutefois, l'un des deux facteurs, la vraisemblance ou la gravité, n'est pas mesurable avec légitimité en l'état actuel des connaissances. Nous sommes ici, entre connaissance et inconnaissance, en pleine incertitude.
>Exemples de risques avérés non mesurables : > le risque lié à la maladie de Creutzfeldt-Jakob, maladie de la vache folle ;
> le risque lié aux ondes et, entre autres, à l'utilisation de la téléphonie mobile ; > le risque lié au réchauffement climatique ; > etc. ri.
0
z
LL ,
o. 0
u
Nous connaissons aujourd'hui les conséquences gravissimes de la maladie dite « de la vache folle » mais nous ne savons pas quelle fréquence de consommation de viande provoque cette maladie, sachant que cette fréquence n'induit sans doute pas pour tout être humain la même vraisemblance de contracter la maladie. Il semble que l'utilisation du téléphone portable provoque un réchauffement localisé du cerveau, mais, si nous savons aisément établir des statistiques sur la fréquence d'utilisation de ces appareils, nous ignorons beaucoup de la réalité de ce réchauffement et donc de la gravité de ces conséquences 42 . En termes de traitement, c'est la précaution qui s'impose ici, savant mélange de prévention et de protection, de faire et de« non-faire ». La difficulté réside bien évidemment dans le dosage et dans l'ajustement de mesures destinées à contrer quelque chose qu'on ne sait pas mesurer ! 42
38
Exemples empruntés à Jean-Marc Picard, « Appliquer le principe de précaution », in Classeur à feuillets mobiles Manrise des risques, AFNOR Éditions, 2003.
Définition générale du risque
•
Les risques supposables ( ou présumés)
Avançons encore vers l'incertitude. Nous appellerons risques supposables les risques pour lesquels nous ne pouvons établir ni la vraisemblance, ni la gravité. Toutefois, la modification peu naturelle d'une situation ou le retour d'expérience réalisé sur des situations semblables nous incite à supposer que ces risques sont possibles. Cette typologie de risques est surtout présente dans le domaine de l'innovation, des découvertes, au moment même où s'élargit le champ de la Connaissance.
>
Exemples de risques supposables : > les nouveaux produits ; > les nouvelles technologies ; > les nouvelles pratiques ; > etc.
Le traitement proposé sera souvent celui de la prédiction, non pas au sens des oracles d'antan, mais au sens de la surveillance d'indicateurs permettant de constater tout signal, même faible, d'une évolution défavorable et d'en déduire, par anticipation, la prochaine transformation du risque supposable en risque avéré.
ri.
0
z
LL Exemples de risques inconnaissables : > ... ? . > mais aussi.. . . ?. ?. > ou encore ... ? ? ? Ceci n'est pas que symbolique ou parole de bonne intention . Parce que l'on peut se préparer à affronter l'inconnaissable ou tout du moins à ne pas être totalement pris au dépourvu par l'imprévu. Mais puisque l'anticipation ne peut être de mise, seule la réaction sera envisageable.
1.3.3
Risque et systémique
Tout discours sur la complexité conduit inévitablement à la théorie des systèmes et à l'analyse systémique puisque cette dernière se définit comme « champ interdisciplinaire relatif à l'étude de choses complexes ». Notons déjà la mention faite à l'interdisciplinaire alors que nous allons, lorsqu'il s'agira d'aborder le traitement des risques, promouvoir la pluridisciplinarité. La systémique s'oppose à l'analytique dont l'inefficience à traiter du complexe est désormais avérée. « La simplification analytique du compliqué vers le simple appliqué au complexe a pour conséquence une aggravation de la complexité43 ». Nous l'avons déjà abordé, le risque, « idée de hasard », réalité immatérielle ou événement potentiel , nécessite que nous en construisions une représentation. Pour débattre du risque, en améliorer la gestion, nous devons d'abord donner un contenu au concept. C'est le sujet de la modélisation. Or seule l'approche systémique permet de modéliser le complexe, seul ce mode de raisonnement permettra de figurer les entités constitutives d'un risque et les relations qui s'établissent entre ses entités.
ri.
0
z
Une fois posée la définition d'un système comme un « ensemble d'éléments en interaction 44 » ou encore comme une« unité globale organisée d'interrelation entre éléments, actions ou individus45 », rappelons que la systémique s'appuie sur quatre piliers fondateurs :
LL ,
o. 0
u
2 . L'organisation: il s'agit de l'état momentané du système et de l'agencement de ses différentes entités et de leurs interrelations.
40
43 44
Jean-Louis Le Moigne, La modélisation des systèmes complexes, Dunod , 1990. Définition de Joël De Rosnay et d'Edgard Morin.
45
Idem.
Définition générale du risque
3. L.:interaction : cette dernière démontre que la modification d'une entité induit la modification des entités qui lui sont reliées et, par extension , l'évolution de l'ensemble du système. 4. L.:ouverture sur l'environnement : les interactions ne se limitent pas au périmètre du système mais englobent aussi des entités présentes autour du système. L.:appréciation des risques est bien une problématique d'interactions, de relations complexes entre des causes et des conséquences. Comme nous l'avons précédemment démontré, à partir du moment où nous nous situons dans la zone dite « d'incertitude », c'est-à-dire dans la grande majorité des situations observées, les mêmes causes ne produisent plus les mêmes effets et l'événement lui-même est contingent. Considérant cet axiome, le principe d'une approche analytique, consistant à étudier chacun des composants élémentaires d'un ensemble puis à présumer que le résultat de l'ensemble est l'addition des résultats élémentaires, n'est de toute évidence pas applicable au domaine des risques. C'est au contraire l'analyse des différents états du système en fonction des associations possibles entre des causes anthropiques et la modélisation des relations conjoncturelles entre ces causes et leurs effets qu'il faudrait mettre en œuvre. De même, en matière de risque, la prégnance de l'environnement est un fait indiscutable que nous démontrerons au chapitre suivant46 .
ri.
0
z
LL ,
o. 0
u
Ainsi, l'état de l'art voudrait que l'organisme réalise une analyse globale de ses risques avant d'étudier plus précisément, selon la démarche choisie, chacun de ses processus puis, le cas échéant, certaines des activités au sein de ces processus (voir figure 1.14 ci-après) ou chacune de ses Directions puis, le cas échéant, certains services au sein de ces Directions. Nous constaterons aussi et tout simplement que la surface à observer est souvent beaucoup trop importante pour que l'on puisse envisager une approche analytique économiquement viable.
46
Voir en 2.3.1 « Les environnements et les parties prenantes de l'entreprise ».
41
De la gestion des risques au management des risques
OrganiGme- Entreprise
+ ~-~-~Processus - Direction
Processus • Direction
-------
1
1
'
Activité Service
'
Activité Service
1 1
,-------- - -----
'
Activité Service
•
'
Activité Service
1
'
Activité Service
Figure 1.14 Approche descendante de l'analyse organisationnelle
>
Exemple
En matière de prévention des risques professionnels, le décret 2001-1016 oblige les entreprises à une évaluation annuelle des risques en proposant une analyse par unité de travail. Nous avons constaté que nombre d'entre elles, pour répondre à l'exigence réglementaire, ont engagé une démarche de type analytique, consistant à identifier et à quantifier les risques pour chaque poste de travail. Résultat, plus d'une année était nécessaire pour réaliser un travail. .. à reproduire au moins une fois par an ! Le tout pour un résultat extrêmement coûteux et souvent inexploitable, en tout cas en termes de pilotage et de décision.
À notre sens, l'erreur est dans l'approche. En proposant la notion d'unité de travail dans son texte, que nous voulons assimiler à celle de système, le législateur a anticipé la nécessité d'une approche globale par ensemble homogène. Approche largement suffisante dans une très grande majorité de cas. Ensuite, si, et seulement si nécessaire, le gestionnaire des risques a toute latitude pour décomposer un système (une unité) en sous-système, puis en sous-système d'un sous-système ... jusqu'à arriver parfois au poste de travail.
a'. 0 z u..
-
Notons en aparté que l'approche processus est basée sur les mêmes principes méthodologiques : on y dresse une cartographie des principaux processus avant de peut-être décrire les activités des processus, au sein desquelles, exceptionnellement, certaines tâches seront analysées car elles sont sources de dysfonctionnement.
0.. 0
u
Dans cette optique, tout module - Direction, processus, process, affaire, projet, etc. - dont les résultats sont jugés corrects sera considéré comme une sorte de « boîte noire » (voir figure 1.15). 42
Définition générale du risque
Feed-forward
Feed-forward
~
~
Entrées du module de pilotage
ëQ) E Q)
C C
e >
C
w 1
1/)
Q)
0
C Q)
w
Variables de contrôles et d'ajustement
~
0
.J
ii:
.Q> X
w
Retours du module technologique
g
Flux d'information
Flux technologique
Flux d'information
Flux technologique
Objectifs/Moyens
G;) Résultats - -
C
0
.in 1/)
~ Sorties du module de pilotage
'-----" Feed-back
Feed-back
Figure 1.15 Analyse modulaire des systèmes47
On n'entrera dans la « boîte noire » qu'à partir du moment où la compréhension
a'. 0 z u..
,
Par expérience, lorsque vous animez un groupe de travail chargé d'identifier
0
des risques, les personnes présentes vous citent d'abord des problèmes.
ï::
o.
u
Ces derniers sont plus faciles à décrire car ils sont bien réels. Ils polluent le fonctionnement quotidien, preuve qu'ils ne sont pas aléatoires, et sont donc au cœur des préoccupations. Les participants accepteraient donc assez mal que vous refusiez de les prendre en compte. En réalité, le problème équivaut à un danger, il est source de risque. Il convient donc de décaler la réflexion 51
Norme ISO 31000:2009, paragraphe 3.
51
De la gestion des risques au management des risques
d'un cran et d'interroger les acteurs du groupe de travail sur ce que pourrait générer le problème en termes d'événements aléatoires et de conséquences. Lesquelles apparaissent parfois être très limitées alors que le problème semblait pourtant majeur. Ou inversement.
>
Exemple Un groupe travaille sur l'identification des risques présents au sein du système d'information de l'entreprise. L'un des participants, en charge des approvisionnements, décrit un dysfonctionnement avéré dans l'interface entre la partie technique de ce système, où sont générées les nomenclatures issues d'une CA0 52 , et la partie GPA0 53 du système qui, plus précisément, abrite la gestion des approvisionnements. L'interface ne fonctionne pas. C'est un problème ! Qui pollue le quotidien de notre approvisionneur lequel vérifie chaque jour que les commandes passées sont bien justifiées : la réponse est parfois oui, parfois non. Le risque à évaluer est donc celui de commander inutilement des pièces. Si sa criticité est importante, peut-être trouverons-nous dans l'analyse du risque la justification recherchée pour enfin investir dans la correction de cette « maudite » interface.
De fait, l'évaluation des risques s'avère être une excellente façon d'objectiver puis de hiérarchiser les actions de résolution de problèmes, ce qu'a admis la norme ISO 9001 dans sa future version 2015 en intégrant la prise en compte des risques à ses exigences. A priori.
2.2
Impact financier du risque et vulnérabilité
Situons-nous maintenant dans l'hypothèse où l'accident se produit : l'entreprise ri.
doit faire face, surmonter les conséquences du risque ou disparaître. Que va-t-il
zLL
se passer ? L.:événement redouté engendre un certain nombre d'impacts
0
Exemples Une entreprise française, fabricant de téléviseurs, affiche une forte croissance, une excellente notoriété et une trésorerie saine. Elle est en réalité « un assembleur » : son activité consiste à assembler des pièces détachées qu'elle achète, la quasi-totalité de ces pièces étant importées. Un contrôle fiscal aboutit à un redressement, pour erreur dans le calcul des droits de douane. Le montant de ce redressement s'avère supérieur aux fonds propres de l'entreprise. Trois mois plus tard , l'entreprise n'existe plus. Ceci est une histoire vraie! L'.histoire d'un risque non-identifié, non-quantifié, quoique connaissable puisque d'origine réglementaire. Une grande banque française a subi en 2008 une perte colossale imputée par la justice au comportement de l'un de ces traders. La banque a survécu car ses fonds propres quoique fragilisés lui ont permis de faire face. Toutefois, quelques mois plus tard, elle a procédé à un important appel de fonds à hauteur de la perte subie afin de reconstituer ses capitaux propres. Ce mécanisme donne naissance à la notion de vulnérabilité, écart théorique entre le niveau des risques encourus par un organisme et le niveau de ri.
0
ses fonds propres. Si les conséquences financières d'un événement ou
,
o. 0
2.3.1
u
Les environnements et les parties prenantes de l'entreprise
La nécessité d'échanger des biens et des services place l'entreprise au cœur d'un environnement complexe, composé d'une myriade d'entités en interrelation les unes avec les autres (voir figure 2.3 ci après). L:entreprise est en relation avec ses clients, avec ses fournisseurs, avec ses banques, 60
Voir la remarque faite sur le cloisonnement de nos enseignements, en fin de sous-partie 1.3.3 .
57
De la gestion des risques au management des risques
avec des organismes publics, etc. lesquels coopèrent avec d'autres clients, d'autres fournisseurs, d'autres organismes, etc. Dans un contexte de mondialisation de l'économie, le réseau ainsi constitué forme une véritable toile d'araignée à laquelle Internet et son World Wide Web donnent aujourd'hui une réalité « physique ». Certaines de ces entités sont amicales, d'autres sont hostiles, mais toutes sont potentiellement porteuses de risques. Il convient donc d'identifier ces entités. Leur multiplicité implique alors que nous organisions cet environnement pour mieux le comprendre, que nous classifions les entités en fonction de caractéristiques utiles à notre thématique, le risque. Parce qu'au vu leur nombre, il faudra, sauf exception, les étudier par catégories et non individuellement.
Environnement
Figure 2.3 L'entreprise au cœur d'un système complexe d'entités en interrelations
En s'inspirant du modèle des parties prenantes de l'organisation, nous ferons de l'environnement une représentation en trois cercles concentriques au centre desquels se trouve notre entreprise (voir figure 2.4 ci-après). Ce qui va nous intéresser ici n'est pas tant la différenciation entre les shareholders (propriétaires de l'entreprise) et les stakeho/ders (contributeurs à l'activité de l'entreprise) que la distinction, parmi les stakeho/ders, entre les parties prenantes contractuelles et les parties prenantes diffuses.
a'. 0 z u..
0.. 0
u
L'identification des parties prenantes permettra de spécifier les relations que l'entreprise entretient avec chacune d'entre elles ou avec chaque catégorie d'entités et donc de mieux appréhender les risques. Au centre du modèle se trouve donc l'entreprise et les premières parties prenantes à identifier, c'est-à-dire les acteurs qui composent l'organisation, individuellement ou collectivement. 58
Les mécanismes du risque en entreprise
Environnement co ntractuel (entreprise éloodue ou élargie)
ENTREPRISE
Zone des parties prenantes contractuelles
Figure 2.4 Modélisation des environnements de l'entreprise
~ Exemple d'entités parties prenantes internes à l'entreprise : > les salariés, globalement, par catégorie socioprofessionnelle ou par métier ; > le dirigeant et l'encadrement ; > les instances représentatives du personnel ; a'. 0 z u..
0.. 0
u
> etc. Nous intitulerons le premier des cercles : l'environnement contractuel 61 . Il correspond tout d'abord au périmètre des clients, des fournisseurs et des sous-traitants se rapprochant ainsi du concept d'entreprise étendue. Plus largement, on peut y intégrer certains fournisseurs des fournisseurs ou certains clients des clients, lorsque ceux-ci ont un poids particulier dans la chaîne logistique : il est désormais courant dans les grandes entreprises industrielles de se préoccuper de certains fournisseurs ou sous-traitants, dits « de rang 2 » voire au-delà, mais qui jouent néanmoins un rôle-clé dans la supply chain 62 . Encore plus globalement, ce cercle regroupe toutes les parties prenantes ayant un contrat avec l'entreprise. L.:entreprise est totalement interdépendante des entités présentes au sein de ce cercle. 61 62
Nous l'avons également intitulé « sphère d'activité » dans des publications antérieures. Chaîne d'approvisionnement.
59
De la gestion des risques au management des risques
Mais, puisqu'il y a contrat, l'identification de ces entités est facile - elle devrait l'être en tout cas - et l'entreprise peut prétendre à la maîtrise de cet environnement : elle connaît les engagements qu'elle a pris face aux exigences de ces parties prenantes et les pénalités qu'elle risque de subir en cas de manquement à ces engagements.
>Exemple d'entités au sein de l'environnement contractuel : > les clients, les distributeurs ; > les fournisseurs et les sous-traitants de rang 1 ; > certains fournisseurs de matière première-clé, quel que soit leur rang contractuel ;
> les banques où l'entreprise détient des comptes, les assurances auprès desquelles elle a souscrit des contrats ; > le service des impôts des entreprises, l'URSSAF ; > les organismes de certification intervenant au sein de l'entreprise ; > etc. Le second cercle, que nous avons appelé l'environnement marché, représente l'ensemble des acteurs liés au métier et au marché de l'entreprise, mais qui n'ont pas de contrat avec elle. Dans la théorie des parties prenantes, ces entités sont désignées comme les parties prenantes diffuses. Comme précédemment, les perturbations au sein de ce cercle ont généralement une incidence directe sur l'entreprise. La connaissance des données est très souvent possible pour peu qu'on s'en donne la peine, mais la maîtrise des risques reste néanmoins aléatoire quand aucun accord, tacite ou formel , n'est passé avec les entités concernées, si tant est que ces accords ne soient pas condamnables (nous pensons évidemment aux règles de la concurrence). Le marché lui-même peut ici être considéré comme une entité à part entière dont le dynamisme a évidemment une incidence sur l'activité de l'entreprise.
ri.
0
z
LL Exemple d'entités au sein de l'environnement marché :
N
@
...,
.s=.
> les clients du client, le consommateur final ;
Ol
ï::
>,
o.
> les fournisseurs des fournisseurs (excepté ceux qui sont positionnés dans le premier cercle) ;
0
u
> les concurrents existants, les potentiels nouveaux entrants ;
> les sociétés capables de proposer des produits de substitution aux produits fabriqués par l'entreprise ; > les instances de régulation de marché ; > les instances en charge de la rédaction et/ou de la validation des normes métier ; > etc. 60
Les mécanismes du risque en entreprise
Le troisième et dernier cercle, nommé ici l'environnement général, est constitué du contexte global au sein duquel est immergée l'entreprise, comme toutes ses consœurs, qu'elles soient ou non du même secteur d'activité. À ce niveau, il n'est pas toujours possible de citer des parties prenantes, l'événement redouté étant alors directement invoqué (voir en 2.3.2 « Les risques endogènes et les risques exogènes»). En effet, ce cercle regroupe des éléments extrêmement divers, dont la maîtrise échappe partiellement ou totalement à l'entreprise et dont même la connaissance est parfois difficile. En fait, parler d'environnements généraux serait plus exact dans la mesure où nous allons pouvoir scinder l'environnement général en plusieurs sous-familles (on remarquera que l'acronyme obtenu est PRESSTIJE, un bon moyen mnémotechnique malgré son orthographe plus qu'approximative) :
..._ Politique : à considérer dans une dimension nationale ou internationale selon la taille de l'entreprise, il peut clairement influencer le présent ou l'avenir - c'est même sa fonction quelque part ! - au bénéfice ou au détriment de celle-ci. Il n'y a qu'à constater l'attentisme économique qui s'installe quelques semaines voire mois avant des élections importantes ! Les sociétés installées dans des régions où le pouvoir politique est instable savent qu'elles ne sont à l'abri d'aucun retournement de situations. Cet environnement est naturellement encore plus prégnant pour les organismes du secteur public .
ri.
0
z
LL ,
o. 0
u
..._ Réglementaire et normatif : souvent conséquences d'évolutions dans les autres familles d'environnement, les changements de règles peuvent s'avérer pénalisants pour l'entreprise, l'obligeant à revoir certains de ces fonctionnements, à renouveler plus tôt que prévu certains investissements, etc. Notons que nous parlons ici de réglementations générales ou de normes inter-métiers, comme des normes de management par exemple, les modifications spécifiques à l'activité ayant déjà été citées dans l'environnement marché.
....
Économique : sauf exception, les entreprises qui ont obtenu de bons résultats en 2008 ne sont pas brutalement devenues foncièrement incapables en 2009. C'est le contexte économique qui a brutalement changé, obligeant nombre d'entre elles à beaucoup de contorsions pour seulement survivre. Comme précédemment, nous devrons nous cantonner ici au contexte général : les problématiques spécifiques à un secteur d'activité, alors que le reste de l'économie va bien , sont plutôt à situer dans l'environnement marché .
..._ Social : la dégradation du climat social au niveau national peut avoir des conséquences au sein d'entreprises qui se pensaient a priori peu 61
De la gestion des risques au management des risques
concernées. Cela peut perturber à court terme leur activité. La détérioration initiée ailleurs pourra également se propager en leur sein , démontrant une fois de plus la connotation systémique de tout ceci. ~
Sociétal : il est l'occasion d'étendre la notion de parties prenantes à celles de parties intéressées, c'est-à-dire toutes les entités qui ne participent pas directement à l'activité de l'entreprise mais qui sont impactées par elle (les autres entreprises du bassin d'emploi, les habitants du lotissement voisin, les commerçants locaux, etc.). Signalons qu'à l'origine l'acronyme PRESTIJE ne comptait qu'un seul S pour social mais qu'il nous a paru intéressant d'en ajouter un second vu l'importance que prend le sujet sociétal dans le management actuel des entreprises au travers du concept de responsabilité sociétale.
~
Technologique : l'entreprise ne peut rester à l'écart de certaines techniques ou technologies qu'elle va devoir, selon les cas, intégrer à ses produits ou à ses modes de production, qu'il s'agisse de biens ou de services, faute d'être rapidement distancée par ceux qui auront été plus réactifs qu'elle. Il y va de l'attractivité des produits de l'entreprise comme de la performance de son fonctionnement. Les questions sont alors les suivantes: a-t-elle les moyens d'investir et a-t-elle la maturité nécessaire pour absorber le changement ?
~
Informationnel (que l'on pourrait aussi qualifier de médiatique) : cet environnement est très lié aux possibilités ouvertes par le précédent et les technologies de l'information. Il s'avère particulièrement obsédant pour les entreprises visibles du grand public ou qui se trouvent dans le collimateur de groupes de pression. Elles sont alors de potentielles victimes d'attaque médiatique ou de buzz inamicaux sur Internet. ..
~
Juridique ou Jurisprudentiel (nous ne conserverons qu'un J dans l'acronyme) : la jurisprudence est tout autant source du droit que la loi , laquelle comporte toujours des possibilités d'interprétations qui entraînent des contestations. Dans ces cas, la justice tranche et ses décisions peuvent dénoter d'une évolution de sa position face à certains événements. Cet environnement est fortement marqué par la culture du pays où l'entreprise exerce son activité : il est par exemple notoirement reconnu que le système américain est dans ce domaine très différent du système européen.
ri.
0
z
LL ,
o. 0
u
~ Écologique (autrement dit naturel, mais il nous fallait un E pour finaliser
l'acronyme) : il est singulièrement prégnant pour toutes les entreprises exerçant une activité en extérieur comme le BTP par exemple mais aussi
62
Les mécanismes du risque en entreprise
pour bien d'autres métiers industriels. Son impact est on ne peut plus direct sur le secteur agricole. Mais il peut aussi plus simplement s'agir des conditions d'implantation de l'entreprise, par exemple sur une zone inondable. Il existe également une méthodologie similaire dont l'acronyme est PESTE ou PESTEL pour Politique, Économique, Social, Technologique, Environnemental et Légal. Elle s'avère cependant moins complète et l'on remarquera surtout qu'elle présente l'environnement comme un danger, une peste, là où nous préférons le considérer comme un atout. En effet, si l'ensemble ainsi schématisé produit une foultitude de risques divers et variés, ce réseau de parties prenantes ou intéressées, source d'échanges de biens ou de services, est l'essence même de l'existence de l'entreprise, ce qui la justifie et la nourrit. Le jeu ne peut en aucun cas consister à s'y soustraire mais au contraire à s'y intégrer, à y tenir son rôle et à assumer les risques existants. Cette répartition en trois cercles nous ramène aux notions de connaissable et de connaissance traitées auparavant. Il semble en effet évident que le niveau de connaissance diminue au fur et à mesure que l'on s'éloigne du centre du modèle, de l'entreprise elle-même. Cette répartition fixe à l'entreprise des exigences d'adaptabilité que nous exprimerons comme suit. Elle se doit: ..,. de maîtriser son environnement contractuel et d'y être proactive pour éviter de subir les événements qui s'y produisent ; .... de connaître son environnement marché du mieux qu'elle peut pour anticiper les tendances qui s'y dessinent ; ri.
0
z
LL ,
o. 0
u
..,. d'être à l'écoute attentive de son environnement général pour réagir rapidement aux exigences qui s'y imposent.
>Exemple d'identification des parties prenantes Chauss'Risk est une entreprise familiale qui emploie 200 salariés et fabrique ... des chaussures. Elle est installée dans la zone artisanale d'une petite ville de province, aux abords d'une rivière aux humeurs fantasques. Ses produits sont vendus en France par l'enseigne Mode de cuirs. Chauss'Risk fait aussi quelques ventes directes grâce à son magasin d'usine. Depuis peu, la société exporte également ses produits en Amérique du Sud, ce qui a impliqué la signature d'un partenariat avec un distributeur argentin et le choix d'un transitaire qui se charge intégralement des formalités d'exportation par bateau. Pour faire face à son développement, Chauss'Risk a dû s'adosser à une société de capital-risque. Cet apport en capital lui a permis de contracter un emprunt sur le long terme auprès de la BNP, principale banque de l'entreprise. Sous pression de la concurrence asiatique, Chauss'Risk devait optimiser ses approvisionnements
63
De la gestion des risques au management des risques
et s'est associée avec trois autres entreprises au sein d'un groupement d'achat qui commande ses produits auprès de fournisseurs français ou étrangers. Depuis 1Oans, l'entreprise est certifiée ISO 9001 et a récemment entrepris, avec l'aide d'un consultant, une démarche SST à laquelle le CHSCT (Comité d'hygiène, de santé et de sécurité au travail) de l'entreprise participe activement. Voici un court texte qui référence déjà de nombreuses parties prenantes ou intéressées : > au sein de l'entreprise : • la famille actionnaire ; • les 200 salariés ; • le CHSCT ; • dans l'environnement contractuel : • la société de capital-risque ; • la banque BNP ; • le distributeur français Mode de cuirs ; • le distributeur argentin ; • le transitaire et la compagnie maritime ; • les clients du magasin d'usine ; • les trois partenaires du groupement d'achat ; • les fournisseurs français ou étrangers ; • le certificateur ISO 9001 et le consultant accompagnant la démarche SST ; > dans l'environnement marché : • les consommateurs français et sud-américains ; • les concurrents asiatiques ; ri.
• dans l'environnement général :
z
• les habitants de la petite ville (environnement sociétal) ;
LI)
• les autres entreprises présentes sur la zone artisanale (environnement sociétal) ;
0
LL Exemples de risques endogènes
z
Au sein même de l'entreprise :
0
LL une mauvaise stratégie ;
0
N
@
> une croissance non maîtrisée ;
.s=.
> un déséquilibre structurel au niveau du bilan, entraînant des problématiques de trésorerie;
..., Ol
ï::
>,
o. 0
u
> la faiblesse du processus achat ;
> la non-qualité de certains produits ; > une machine-clé, unique et vieillissante ; > la mauvaise exécution d'un contrat de travail ; > le départ non souhaité d'un salarié ; > une perte de savoir-faire ou de compétence ;
> etc. 65
De la gestion des risques au management des risques
Au sein de l'environnement contractuel : > un actionnaire souhaitant se retirer du capital de l'entreprise ; > l'insolvabilité d'un client ;
> la perte d'un client important ; > la rupture d'un contrat de partenariat ; > la livraison par un fournisseur de composants de mauvaise qualité ; > le refus par un établissementfinancier d'octroyer un prêt nécessaire au développement;
> un redressement fiscal ; > etc. Par opposition aux risques précédents, les risques exogènes sont donc ceux qui prennent naissance dans l'environnement marché ou dans l'environnement général de l'entreprise.
~ Exemple de risques exogènes Dans l'environnement marché : > la stagnation d'un marché ;
> l'agressivité d'un concurrent ; > l'inflation du cours des matières premières ; > l'inversion d'un taux de change ; > l'évolution des réglementations métiers ; > etc.
Dans l'environnement général :
> un changement dans le mode d'attribution d'une subvention publique (politique) ; > l'obligation de faire apparaître de nouvelles informations sur les bulletins de salaire
ri.
0
zLL
(réglementaire) ;
une crise financière dans un pays client (économique) ;
LI) ,-1
0
> un mouvement social engendrant de nombreux retards au travail (social) ;
N
@
...,
> un risque de plainte des habitants riverains pour nuisance sonore (sociétal) ;
.s=.
Ol
ï::
> l'incapacité à intégrer une nouvelle forme d'organisation (technologique) ;
>,
o. 0
> une campagne de dénigrement sur les méthodes de production (informationnel) ;
u
> un arrêt de la cour de cassation relatif au droit du travail (jurisprudentiel) ; > une inondation (écologique) ; > etc. Dans notre société de globalisation et de communication, une attention toute particulière doit être portée aux parties prenantes diffuses de l'environnement marché, lesquelles sont de plus en plus nombreuses. Leurs actions peuvent
66
Les mécanismes du risque en entreprise
avoir un impact considérable sur l'activité de l'entreprise. En termes de risques, nous serons donc bien avisés d'étudier leur comportement potentiel, leur réaction à telle ou telle information. Surtout si l'activité de l'entreprise la porte au contact du « grand public », objet à variabilité maximum. Il n'y a qu'à se souvenir de l'impact momentanément désastreux qu'a eu pour la société Nike l'information selon laquelle certains de ses articles étaient fabriqués par des enfants.
L'accélération du temps et la mouvance des risques L'entreprise transforme. Dans une perspective « ingénierique », c'est sa raison d'être. Elle répond parfaitement à la définition de la notion de processus : transformer des données d'entrées en données de sorties en y ajoutant une valeur. L'entreprise se transforme. Elle grandit ou se réduit, se décompose ou se recompose, au travers d'acquisitions, de cessions ou de fusions. Elle recherche, innove, fabrique et commercialise de nouveaux produits, acquiert de nouvelles parts de marchés, noue ou dénoue des partenariats, etc. Tout ceci induit du changement, du mouvement : mouvement de l'entreprise, mouvement des parties prenantes contractuelles, mouvements du marché et du contexte général. Ces mouvements, inégaux et désordonnés, engendrent des risques. Il s'agit presque d'un principe de physique, à moins que nous puissions le qualifier de principe d'entropie. Si notre univers des risques, tel que modélisé précédemment, était immobile et donc stable, les risques, mêmes nombreux, y seraient sans doute plus facilement connaissables. En tout état de cause, le progrès scientifique ri.
0
se justifierait par une posture déterministe : avec le temps nous finirions par
,
o. 0
u
des capacités de traitement de l'information. Sans remonter à l'évolution très lente des temps préhistoriques, il n'est qu'à se souvenir qu'il y a 40 ans à peine, les managers qualifiaient de moyen terme un horizon de 5 à 10 ans. Puis ce fut de 3 à 5 ans. Aujourd 'hui, le moyen terme serait plutôt de l'ordre de 18 mois .. . maximum. Cette accélération est sans doute en partie factice, car résultante d'un modèle économique basé sur une nécessité de création de valeur. Cette dernière, dans un marché où l'offre est nettement supérieure à la demande, ne semble possible qu'au travers d'une consommation toujours
67
De la gestion des risques au management des risques
renouvelée par la présence de produits nouveaux. En réalité, cette tendance à l'accélération a accompagné toute l'histoire de l'humanité. Mais, par règle d'exponentiation, elle devient quelque peu vertigineuse. Ceci renforce l'affirmation, dans la définition du risque, que ne rien faire est tout aussi risqué que de faire. Sinon plus. Nous avons déjà évoqué cette frustration motivée dans certaines entreprises par une augmentation du niveau de risque alors qu'en interne, aucune action notable de changement n'a été enclenchée. Nous en justifions ici la cause. Plus le mouvement s'accélère et plus les risques sont nombreux. Ils prolifèrent au gré des progrès technologiques et de l'intensification des échanges. Or, un rythme trop élevé peut à juste titre faire craindre une perte de maîtrise, laquelle maîtrise résulte de réflexions, d'appropriation, de maturation, etc. : toutes choses qui nécessitent du temps. Jusque-là, nous avons admis que ces risques méritaient d'être courus, car la technologie et l'industrialisation apparaissaient nécessaires à la prospérité et au bien-être de tous. Les risques bénéficiaient à la collectivité. Jusqu'à quand ? Jusqu'à ce que les risques soient jugés disproportionnés par rapport à un mieux-être toujours plus individualisé et parfois artificiel ? Parce que leur motivation n'est plus collective ? De par ses origines, la crise de 2008 nous a - presque fait toucher du doigt les limites d'un système qui semblerait ne pas profiter au plus grand nombre mais qui, en revanche, semble pénaliser tout le monde lorsque la machine s'enraye, sans équité comparé à la responsabilité de certains. Nous utilisons à dessein le terme de « presque », dans la mesure où quelques années plus tard , et alors que nous ne sommes même pas remis du cataclysme, il semblerait que n'ayons que modérément tiré d'enseignements de ses causes.
ri.
0
z
LL ,
o. 0
u
68
Les mécanismes du risque en entreprise
L'.immobilisme ne peut être une solution. Nous serions alors dans la position d'une automobile stoppée au beau milieu d'une autoroute alors que la circulation est dense et rapide ! Prendre du retard serait un risque majeur. Au contraire, les plus performants précéderont le mouvement, mais sans toutefois prendre trop d'avance au . .. risque (!) de se déconnecter du système.
2.3.4
Les risques subis et les risques produits
Les risques cités jusqu'à présent étaient des risques subis par l'entreprise, pour certains générés par elle, pour d'autres générés par ses différents environnements. Par effet miroir, l'entreprise n'est pas en reste vis-à-vis de ses diverses parties prenantes et de ses différents environnements. Partons du centre de la figure 2.5.
a'. 0 z u..
0.. 0
u
Figure 2.5 Risques produits par l'entreprise
L'.entreprise reproduit pour ses parties prenantes contractuelles les mêmes risques que celles-ci lui font courir. Il s'agit de bijection, c'est une question d'angle de vue : si l'entreprise est soumise aux risques du « réseau », c'est justement parce qu'elle fait courir des risques à ce réseau dont elle n'est qu'un maillon comme les autres.
69
De la gestion des risques au management des risques
L'entreprise produit des risques pour son environnement marché lorsqu'elle réussit à imposer de nouvelles pratiques, de nouveaux produits ou qu'elle fait preuve d'une grande agressivité tarifaire. L'entreprise produit des risques pour son environnement général : une déstabilisation, des pollutions, des préjudices ... Si, pour reprendre un exemple cité plus haut, le voisinage dépose une plainte pour nuisance sonore, c'est avant tout parce que l'entreprise est bruyante ! L'incidence des risques produits dépend évidemment de la dimension de l'entreprise, de son envergure économique et financière, de son rayonnement géographique - local, régional , national ou international - voire de son emprise « morale ». Entendons par ce dernier terme qu'une entreprise peut devenir, temporairement seulement, un exemple voire une référence qu'il est obligatoire ou tout au moins de bon ton de suivre : ce fut longtemps le cas d' IBM dans le domaine informatique - l'argument principal de la concurrence était alors la compatibilité (!) - ou celui de Canal+ dans le monde audiovisuel des années 1980. Preuve que les environnements bougent, le rôle de ces deux entreprises a bien changé depuis. Plus l'entreprise est importante, plus les perturbations qu'elle crée se répandent vers les cercles périphériques. « Quand l'entreprise X tousse, c'est toute la région qui s'enrhume ! ». Les difficultés d'une société d'envergure régionale, faisant vivre un bassin d'emploi, ont des répercussions sociétales évidentes. À Saint-Nazaire, lorsque les Chantiers de l'Atlantique sont en attente de commandes, c'est toute la région qui retient son souffle. Lorsqu'un conflit social s'envenime à la SNCF, nombre de secteurs économiques s'inquiètent. Lorsque le ministère de la Défense décide de fermer des casernes dans plusieurs villes de France, ce sont autant de maires qui se demandent comment leurs communes vont s'en sortir.
ri.
0
z
LL des délais de paiement trop importants ;
>,
0
> la rupture d'un contrat de partenariat ; > le sourcing63 de personnels chez un sous-traitant ;
> etc. 63
70
Le sourcing est un terme utilisé entre autres dans les achats ou les ressources humaines pour désigner le fait de trouver les ressources dont a ou pourrait avoir besoin l'entreprise {des fournisseurs, des compétences, etc.).
Les mécanismes du risque en entreprise
Pour son environnement marché :
> une forte baisse de ses prix de vente pour gagner des parts de marché ; > le doublement d'une capacité de production ; > l'annonce d'un nouveau produit périmant prématurément celui des concurrents ; > un lobbying « efficace » défendant et emportant les positions de l'entreprise ; > etc. Dans l'environnement général :
> des pratiques entraînant à terme une crise financière dans le pays ; > un mouvement social impactant l'économie locale voire nationale ; > une production malodorante et gênante pour les habitants riverains ; > une pollution durable des sols suite à une fuite de produits toxiques ; > etc. Cette production de risques nous amène directement au thème de la responsabilité de l'entreprise.
2.4 Le thème de la responsabilité des entreprises 2.4.1
Définition de la responsabilité
La responsabilité implique des obligations. L:obligation engendre des risques . Au sens juridique du terme , la responsabilité est obligation, celle de réparer un préjudice, c'est-à-dire un dommage causé à autrui. Le champ de la respon~
sabilité évolue régulièrement depuis la fin du XVIW siècle jusqu'à nos jours,
rE
dans une sorte de jeu de yo-yo. D'abord cantonnée au pénal , elle s'est
LI)
progressivement répandue dans toutes les branches du droit et surtout
~
au niveau du civil.
,
o. 0
u
82
72
François Boucher,« Normalisation et management de risques », in Classeur à feuillets mobiles Maîtrise des risques, AFNOR Éditions, 2007.
73
Jean Le Ray, « Lecture critique de la norme NF ISO 31000 », in Classeur à feuillets mobiles Maîtrise des risques, AFNOR Éditions, 201 O.
La norme NF ISO 31000
3.1 De la difficulté de l'exercice normatif Depuis l'origine, les normes ont pour objectif de poser des principes et de proposer des schémas de mise en œuvre desdits principes dont le domaine d'application se superpose à celui des réglementations nationales. Leur cible n'est pas un territoire mais une profession, un métier, un secteur d'activité, un système, etc. Rappelons que les premières normes de l'ère industrielle étaient comptables et voulaient donner aux actionnaires une lisibilité homogène d'une entreprise à l'autre, où qu'elles se situent dans le monde. Ce sens premier a peu changé. Nous cherchons, au travers des normes actuelles et des diverses certifications qui s'y rattachent à savoir si le produit acheté, bien ou service, a été conçu dans le respect de règles partagées dont nous savons, supposons ou espérons qu'elles nous garantissent la qualité, non seulement du produit fini, mais aussi de son processus de fabrication. Le terme « qualité » étant ici à entendre très globalement, non seulement dans une dimension technique, c'est-à-dire en tant qu'objet des normes de produits, mais aussi dans une dimension organisationnelle, c'est-à-dire en tant que sujet des normes dites « de management ».
ri.
0
z
LL ,
o. 0
u
Nous pourrions aussi remonter beaucoup plus loin dans l'histoire en assimilant à des normes les règles mises en œuvre dans !'Antiquité par les grands empires multi-ethniques comme l'empire Perse ou l'empire Romain. Preuve que la problématique ne date pas d'hier. En tout état de cause, la multiplication actuelle des normes peut sans doute être vue comme un pendant de la mondialisation, phénomène moins récent qu'on veut bien le dire (voir les voyages de Marco Polo) mais dont l'ampleur est nouvelle : à force de mondialisation, nous sommes devenus mondialisés ! Ceci aboutit à une véritable contradiction entre l'espace géographique des nations et l'espace géographique des marchés : les marchés, de production comme de consommation, sont plus vastes que les nations et certaines entreprises, justement dites multinationales, sont présentes sur de multiples territoires. Les législations nationales, dont l'application est de fait limitée aux frontières des états, ne suffisent plus à réglementer les fonctionnements et les échanges. Pour pallier à cela, les états se regroupent au sein d'organisations internationales - l'ONU 74 , l'OMC 75 , l'ISO, le COSO, etc. - qui ont donc pour rôle, comme nous l'avons dit au début de ce paragraphe, de poser des principes et de proposer des schémas 74 75
Organisation des Nations Unies. Organisation Mondiale du Commerce.
83
De la gestion des risques au management des risques
de mise en œuvre de ces principes. Chacune de ces organisations a son domaine de compétences et construit un système de contrôle permettant à l'ensemble des acteurs politiques et/ou économiques de vérifier que les principes édictés sont respectés: c'est l'exemple de la certification. Pourquoi ce long préambule ? Pour rappeler qu'une norme internationale s'adresse a priori à tout organisme qui devra ou voudra 76 en appliquer les principes, quelle que soit sa taille, quel que soit son secteur d'activité, quels que soient le ou les pays dans lesquels il est installé. La norme touche souvent des cultures (là aussi , de production ou de consommation) très diverses, traverse des réglementations nationales aux exigences très inégales, se confronte à des intérêts très divergents, etc.
ri.
0
z
LL ,
o. 0
u
Convenons donc qu'il est extrêmement ambitieux de concevoir un texte qui intègre tous ces paramètres, potentiellement contradictoires, à l'issue de longues négociations : un texte suffisamment consensuel pour qu'il puisse être accepté par tous mais proposant suffisamment de contenu pour qu'il soit utile à tous. L'exercice est délicat ; l'ambition en fixe également la limite. Après tous ces efforts, certains penseront que le résultat est trop global, trop généraliste, pas assez concret, peu applicable ... Mots qui tous traduisent d'abord une déception. Et, sans langue de bois, il est vrai que la norme NF ISO 31000 est, comme d'autres, un document générique. Qualificatif qu'elle revendique puisqu'on y parle de « l'approche générique décrite dans la présente norme » ou « du processus générique de management du risque ». Mais pouvait-il en être autrement ? Et d'ailleurs, n'est-ce pas préférable ? Accepterions-nous un référentiel par trop contraignant que nous jugerions vite inadapté à nos contraintes, à la conjoncture particulière dans laquelle s'exerce notre activité et aux compétences dont nous disposons ? Non, sans aucun doute. Avouons alors une forme de schizophrénie qui nous pousse tous d'une part, à souhaiter des outils « packagés », au motif que nous espérons gagner un peu de ce temps précieux dont nous manquons tant et d'autre part, à n'accepter que des démarches sur-mesure et proportionnées à notre singularité, parce que nous savons que seules celles-là seront efficientes. Les normes sont là pour inciter l'organisme à construire ses propres référentiels, respectant certes les demandes normatives mais adaptés à son contexte spécifique et définissant précisément le niveau d'exigence fixé et les politiques décidées puis mises en œuvre pour atteindre ce niveau d'exigence.
76
84
Les normes ISO ne sont pas coercitives mais d'application volontaire. C'est donc le terme « voudra » qui s'applique à elles.
La norme NF ISO 31000
Pour compléter notre propos, rappelons enfin que, dès leur parution puis au fil du temps et de leurs versions, les normes s'entourent de documents annexes qui proposent parfois des outils plus immédiatement utilisables que la norme elle-même. C'est aussi le cas pour la NF ISO 31000, pour laquelle nous citerons à ce jour7 7 : ..,. FD ISO GUIDE 73:2009, Management du risque - Vocabulaire ; ..,. NF EN ISO 9004:2009, Gestion des performances durables d'un organismeApproche de management par la qualité ; ..,. FD X 50-252:2006, Management du risque - Lignes directrices pour l'estimation des risques ; ..,. NF EN ISO 31010:2010, Gestion des risques - Techniques d'évaluation des risques 7 8 ; ..,. FD ISO 31004:2014, Management du risque - Lignes directrices pour l'implémentation de /'ISO 31000.
3.2 Posture générale de la NF ISO 31000 3.2.1
ri.
0
z
LL ,
o. 0
u
Une démarche managériale
Le titre de la norme est explicite : Management du risque - Principes et lignes directrices. Il ne s'agit pas seulement d'indiquer des règles de gestion ou de maîtrise des risques, mais bien de poser des fondamentaux de management. .. qui ne sont ou ne font pas un système, conformément à la revendication française. En effet, le mot système n'est pas mentionné par la NF ISO 31000 alors qu'il est bien question de systèmes de management dans les normes QSE : de la qualité pour l'ISO 9001, environnemental pour l'ISO 14001, de la santé et de la sécurité au travail pour l'OHSAS 18001 , pour ne prendre l'exemple que des plus diffusées. La NF ISO 31000 ne préconise donc pas un système de plus, ni la mobilisation de ressources supplémentaires. Au contraire, elle recommande une intégration des principes qu'elle édicte au sein des autres normes de management dans lesquelles il est question de risque. 77 78
Les trois premiers documents cités, complétés du texte de la norme NF ISO 31000 ont été réunis au sein du Vade-mecum de l'auditeur risques, Jean Le Ray, AFNOR Éditions, 201 O. Cette norme est à l'origine le fruit d'une coopération entre l'ISO et la CEi (Commission électrotechnique internationale).
85
De la gestion des risques au management des risques
Ceci devrait être réalisé au fur et à mesure des évolutions, qui sont annoncées en 2015 pour les ISO 9001 et 14001 , en 2016 ou 2017 pour l'OHSAS 18001 à l'occasion de sa conversion en ISO 45001 . Contradiction ? La norme NF ISO 31000 décrit bien, et même particulièrement bien, un système de management si l'on considère la recommandation d'un cadre organisationnel, appuyé sur une politique explicite en matière d'acceptation des risques et sur une logique d'amélioration continue. Ce cadre garantit la mise en œuvre d'un processus itératif de management du risque mesurant les résultats du système afin d'en vérifier l'efficacité. Pourtant, nous pensons qu'il ne s'agit pas là non plus de créer une structure spécifique mais plutôt que chaque manager intègre dans ses missions celle de gérer les risques présents au sein de son périmètre de responsabilité. Terminons en revenant sur l'ambition de la norme et quelques mots forts extraits de son introduction, comme « améliorer la gouvernance », « établir une base fiable pour la prise de décision », « minimiser les pertes » ou « améliorer la résilience organisationnelle », toutes choses qui passent par « prendre conscience de la nécessité d'identifier et de traiter le risque à travers tout l'organisme ».
3.2.2
Une vision globale des risques
Remarquons l'utilisation du mot « risque » au singulier, dès le titre de la norme : Management du risque. La norme ne suppose évidemment pas que l'organisme est exposé à un risque unique. Elle pousse au contraire à identifier et à gérer tous les types de risques et toutes les natures de risques. Mais l'usage du singulier induit de facto un traitement harmonieux de l'ensemble de ces risques. Cette position était déjà explicitement annoncée en 2006 dans le FD X 50-252 (op. cit.) qui stipulait : « Ce fascicule de documentation repose sur le principe que, quel que soit le domaine de risques, une même démarche peut s'appliquer. »
ri.
0
z
LL ,
o.
Il est intéressant d'observer comment sont utilisés les vocables « du risque » ou « des risques » dans le texte de la NF ISO 31000.
0
u
Premier exemple : « Toutes les activités d'un organisme comprennent des risques. Les organismes gèrent le risque en l'identifiant, en l'analysant, et en évaluant ensuite la nécessité de le modifier par un traitement afin de satisfaire aux critères de risque [.. .] » L'organisme est donc bien exposé à des risques , mais il les gère globalement puisqu'il gère au regard de critères s'appliquant au risque. 86
La norme NF ISO 31000
Deuxième exemple quelques lignes plus loin : « Alors que tous les organismes gèrent des risques à différents niveaux, la présente norme internationale fixe un certain nombre de principes qui doivent être appliqués pour rendre le management du risque efficace. » Cette fois, l'organisme gère des risques, mais au sein d'un management du risque, le passage du pluriel au singulier ayant pour effet d'induire la nécessité d'un management homogène et cohérent, quel que soit le type de risque envisagé. À la lecture de ces deux extraits, nous pouvons affirmer que la norme
préconise une gestion de tous les risques, mais aussi une gestion des risques dans tous les secteurs de l'organisme. Elle nous incite à rechercher tous les types de causes et à étudier tous les types de conséquences. Il nous faut aborder aussi bien les risques stratégiques que le risque projets, les risques processus ou process que les risques structurels ... Cette approche très globale est encore confirmée par la liste des« utilisateurs » cibles de la norme. Entre les personnes définissant la politique et les objectifs, les personnes chargés de mesurer les risques et celles en charge de leur traitement, les personnes censées prescrire les règles et celles qui évaluent les pratiques, les responsables de processus et les responsables de projets .. . on y retrouve quasiment tout l'organigramme !
3.2.3
ri.
0
z
LL ,
Parce que l'atteinte des objectifs est incertaine
Le lien indissociable entre risque et objectif est annoncé dès la première phrase de l'introduction : « Les organismes de tous types et de toutes dimensions confrontés à des facteurs et des influences internes et externes ignorent si et quand ils vont atteindre leurs objectifs. L'incidence de cette incertitude sur l'atteinte des objectifs d'un organisme constitue le "risque". » L'introduction du DIS 79 , paru le 15 juin 2008, était encore plus directe : « Les organismes de tous types et de toutes tailles sont confrontés à divers risques susceptibles d'affecter l'atteinte de leurs objectifs. »
o. 0
u
La définition du risque ainsi formulée par le DIS était aussi moins complète. Dans la version définitive, le rédacteur a insisté sur le lien tout aussi indissociable entre risque et incertitude. Nous l'avons évoqué longuement : si nous sommes dans le champ de la certitude, ce n'est plus de risque dont il est question , mais de problème. Quelle différence en matière de traitement? 79
DIS : draft international standard, projet de norme diffusé pour information et validation avant sa publication définitive.
87
De la gestion des risques au management des risques
Peu en fait, si ce n'est le moment où la solution est mise en œuvre et la posture managériale que ceci révèle. Car traiter les risques aujourd'hui nous évitera peut-être de subir les problèmes demain. Remarquons par ailleurs que la norme n'oublie pas les aspects potentiellement positifs de la prise de risques et qu'elle s'attache aussi bien aux menaces qu'aux opportunités : « La présente norme internationale peut s'appliquer à tout type de risque, quelle que soit sa nature, que ses conséquences soient positives ou négatives. »
3.2.4
De bonnes pratiques mais pas de certification
« La présente norme internationale n'a pas vocation à servir de base à une certification ». C'est dit. La NF ISO 31000 expose des « principes et lignes directrices ». Il faudra trouver d'autres motivations que le sacrosaint certificat pour se lancer dans un management du risque : sans doute se convaincre que c'est utile, voire nécessaire ou même impératif dans le monde où nous vivons. Admettre que, si nous gérons tous quotidiennement nos risques individuellement, ceci ne peut être considéré comme une démarche de management qui mobilise des équipes autour de projets communs d'amélioration et de pérennisation .
ri.
0
z
LL ,
o.
Avouons que cette posture n'est pas pour nous déplaire. Si l'on admet, et c'est le postulat que nous n'avons de cesse de rappeler, que « manager un organisme, c'est gérer des risques », quel sens aurions-nous donné à une certification dans ce domaine ? Si l'on considère, comme la NF ISO 31000 le préconise, que le management du risque doit intégrer toutes les dimensions de l'entreprise (la stratégie, la structure, les finances, les aspects sociaux, l'image, etc.), comment aurions-nous dimensionné une certification « management du risque » ? Si l'on affirme, en résultante des deux questions précédentes, qu'acceptabilité des risques et processus de décision sont intimement liés, fusionnels même, ne risquerions-nous pas de confondre jugement et certification ?
0
u
De fait , nous trouverions dommage qu'un dirigeant d'entreprise ait besoin de la motivation d'un certificat pour s'engager dans un management du risque. D'ailleurs, tous vous répondrons qu'ils y sont déjà et jusqu'au cou ! C'est leur métier. Aussi , loin de prétendre faire découvrir aux dirigeants l'existence du risque , la norme convient que « même si la pratique du management du risque s'est développée au fil du temps et dans de nombreux secteurs pour répondre à différents besoins, l'adoption de processus cohérents dans 88
La norme NF ISO 31000
un cadre organisationnel complet peut contribuer à garantir que le risque est géré de façon efficace, performante et cohérente au sein d'un organisme ». La réalité est bien que les organismes gèrent tous les jours des risques mais que, comme évoqué précédemment, cette gestion ne suffit pas à constituer un acte de management. Espérons pour le coup que la parution d'une norme légitime ceux qui incitent à développer du sens autour d'une démarche visant à la maîtrise des risques, sens qui passe par la vision commune du risque (au singulier bien sûr !). Faisons maintenant un peu de prospective. Imaginons que, sur la base de référentiels spécifiques, les principes de la norme NF ISO 31000 s'insinuent au sein des relations entre clients et fournisseurs ou entre donneurs d'ordre et sous-traitants. Peut-on imaginer une évaluation 360° entre un client et un fournisseur, basée sur un référentiel de management des risques ? Cette initiative serait toutefois à observer avec prudence. Elle paraît totalement judicieuse, alléchante même, et pourrait compléter harmonieusement les recommandations faites pour l'établissement de « relations mutuellement bénéfiques 80 ». Mais elle nécessiterait aussi beaucoup de transparence entre les parties intéressées pour que s'instaure un véritable partage des risques, revalorisant le terme de partenaires, et non un jeu quelque peu pervers qui voudrait que l'on cherche à connaître les risques pris par l'autre sans vouloir lui dire ceux auxquels on est soi-même confronté. Pire encore, le management du risque pourrait aboutir à une « passe en retrait » dont la motivation serait de faire prendre à autrui un risque que l'on ne veut pas assumer soi-même.
ri.
0
z
LL ,
o. 0
u
La norme NF ISO 31000 comporte cinq chapitres que nous allons parcourir dans ce paragraphe : ..,. Domaine d'application ..,. Définitions ..,. Principes [de management du risque] 80
Voir le FD X 50-193:2006, Outils de management - Relations mutuellement bénéfiques : facteur de croissance durable - Lignes directrices pour une approche des relations mutuellement bénéfiques entre organismes.
89
De la gestion des risques au management des risques
~
Cadre organisationnel [du management du risque]
~
Processus [de management du risque]
Toutefois, l'essentiel du contenu est concentré dans les trois derniers chapitres (voir figure 3.1) : ~
les principes de management du risque (chapitre 3 « Principes »), au nombre de onze, forment un socle de recommandations sur lequel s'appuient les deux chapitres suivants ;
~
le cadre organisationnel du management du risque (chapitre 4 « Cadre organisationnel ») décrit comment le management du risque doit s'insérer dans l'organisation de l'entreprise pour que la politique de maîtrise des risques puisse être déployée ;
~
le processus de management du risque (chapitre 5 « Processus ») décrit les activités à mettre en œuvre pour que les objectifs donnés au management du risque soient atteints. Chapitre4 Cadre organisationnel du management du risque
Chapitre 5 Processus de management du risque
Établissement du contexte
Mandat et engagement
G)
:::,
r:;
Ill
·.:
.,, :::,
ëG) (")
E G)
G)
C) CU
!: Q, CU
.c
(.)
C CU
_( _
~ganisationnel
E
ü
,
o. 0
De cela, il a également été question dans ce qui précède 86 . Nous ne sommes pas là pour résoudre des problèmes mais pour nous préoccuper des risques. En retour, l'évaluation des risques engendrés par un problème va effectivement nous aider à décider si le problème doit être évacué ou si nous pouvons vivre avec.
u
85 86
94
Voir en 1.3.4 « La place du risque dans la prise de décision ». Voir en 2.1 « Définition du risque en entreprise ».
La norme NF ISO 31000
•
Le management du risque est systématique, structuré et utilisé en temps utile» «
Il est clairement demandé au management du risque de s'organiser, c'est le sens du mot « structuré », pour être présent tout le temps et partout, le mot « systématique » renvoyant à l'idée qu'il serait dommage de focaliser notre énergie sur un risque lorsque d'autres sont peut-être encore plus critiques. Observons en revanche plus d'ambiguïté dans la locution « utilisé en temps utile ». Dans une interprétation où le mot « systématique » intègre une dimension temporelle, l'apposition de la mention « en temps utile » pourrait sembler tenir de l'injonction paradoxale. En réalité, une lecture plus directe permet de s'entendre sur le fait que le management du risque doit être systématique pour pouvoir être utilisé dès que le besoin s'en fait sentir. Et gageons que le temps utile est celui de la décision. •
Le management du risque s'appuie sur la meilleure information disponible » «
Établir le lien entre risque et information est fondamental 87 et s'inscrit dans le continuum logique du lien entre risque et décision. Dans la mesure où le risque est en quelque sorte un non-événement, sa perception et son évaluation vont effectivement être conditionnées aux informations dont nous disposons pour l'apprécier.
ri.
0
z
LL ,
•
«
Le management du risque est adapté »
o. 0
u
Le management du risque est affaire de contexte. La norme décrit un cadre organisationnel et un processus de management qui devront être adaptés au contexte spécifique de l'organisme. Tant dans leur structuration que dans leur fonctionnement. La prise en compte du contexte est un élément sur lequel, à juste titre, la norme insiste énormément. Tant mieux. C'est réaliste. 87 88
Voir en 1.3.4 « La place du risque dans la prise de décision ». Voir en 7 .3 « Management du risque et système d'information ».
95
De la gestion des risques au management des risques
Les risques techniques dans le secteur automobile et le secteur nucléaire ne sont pas les mêmes. Les risques structurels dans une PME et dans un groupe international détenu pour partie par des capitaux publics ne sont pas les mêmes. Les pratiques de management, sources de nombreux risques, sont très différentes d'un organisme à l'autre. De même, la vulnérabilité d'une PME 89 de 5 personnes n'a aucune commune mesure avec celle d'une multinationale de 130 000 collaborateurs. Etc. •
Le management du risque intègre les facteurs humains et culturels »
«
Sans cette affirmation, il nous semble que l'ensemble du texte aurait été peu crédible. l'.Homme est au cœur de la thématique du risque. Il en est souvent - certains disent toujours - l'instigateur, il en est souvent les mêmes disent toujours - la cible. Il est différent s'il est jeune ou vieux, novice ou expérimenté, européen ou asiatique, issu d'un environnement urbain ou rural. .. et il aura des aptitudes et attitudes tout aussi différentes face aux risques. Ces différences fondent aussi la richesse des ressources humaines. Oser ce principe, c'est aussi admettre les limites de la normalisation quand il s'agira de mettre en place des plans de réduction des risques. Du moins est-ce la lecture que nous voulons en faire. Le management du risque ne pourra se borner à la standardisation de règles, où l'intention , pour respectable qu'elle soit, ne se traduira jamais en faits et encore moins en résultats. ri.
0
Le management du risque est transparent et participatif »
z
•
LI)
Participatif d'accord. Cela n'est pas toujours simple à mettre en œuvre, mais ce n'est en revanche pas très compliqué à imaginer. À la complexité, à la multi-causalité, nous devrons opposer la pluridisciplinarité. l'.appréciation des risques doit s'appuyer sur les connaissances et capter les retours d'expériences qu'il faut aller chercher auprès de ceux qui les possèdent ou qui les ont vécus.
LL ,
o. 0
u
«
Le mot transparent est pour le moins interpellant. Communication, explications .. . soit. Mais transparence ! Est-ce possible ? Alors que la norme prône une vision globale des risques comprenant les aspects stratégiques, structurels ... Certes le commentaire associé à ce principe pondère l'ambition 89
96
Petite ou Moyenne Entreprise.
La norme NF ISO 31000
mais il y est quand même question de la participation des parties prenantes et de la prise en compte de leurs opinions. À quel niveau ? Participer ne serait-ce qu'à l'évaluation supposerait qu'elles ont connaissance de l'acceptabilité de l'organisme, autrement dit de ses critères de décision dont certains sont difficiles à divulguer lorsqu'ils sont par exemple transposables en seuils de négociation, en avantage concurrentiel, etc. Une autre interprétation possible - mais peu suscitée par la norme - serait d'affirmer que le management des risques doit surmonter les non-dits, tous ces événements que l'on connaît mais qu'on ne révèle pas pour « X » raisons insondables. Il s'agit là d'une vraie problématique que nous développerons par la suite90 . •
Le management du risque est dynamique, itératif et réactif au changement » «
Le contexte évolue très rapidement et très fortement. Nous avons abordé la mouvance des environnements et affirmé son impact sur l'identification et l'évaluation des risques. L'appréciation du risque a une durée de vie courte. Le système mis en place devra donc être non seulement « itératif», résultante d'une récurrence programmée, mais aussi réactif, la périodicité d'évaluation pouvant être variable selon la nature spécifique du risque considéré.
ri.
Sur ce point, la norme semble nous inviter au développement d'un système léger. Ce qui peut sans aucun doute être obtenu, si l'on respecte parallèlement la demande d'intégration du management du risque au sein des processus préexistants à son déploiement. Car c'est bien de cette intégration que viendra la réactivité d'une démarche « qui colle au terrain ».
0
z
LL ,
o. 0
u
C'est le fondement de tout système de management ! Une clause commune à tous les référentiels ISO. Cependant, la formulation de ce dernier principe est révélatrice de la volonté de ne pas faire du management du risque un système mais un facilitateur de systèmes. Il reste que la schématique utilisée - une boucle organisation/planification/action/feedback pour le cadre organisationnel et un enchaînement itératif d'activités pour le processus de management - conforte que tout a été effectivement pensé dans une logique d'amélioration continue. 90
Voir le paragraphe « Transparence et Vérité les groupes de travail ».
>>
en 5.3. 1 « Les démarches participatives,
97
De la gestion des risques au management des risques
3.3.4
Chapitre 4 - Cadre organisationnel
La norme NF ISO 31000 présente une première boucle d'amélioration continue pour la conception, puis l'ajustement du cadre organisationnel du management du risque. Que les choses soient claires : « Ce cadre n'est pas destiné à prescrire un système de management, mais plutôt à aider l'organisme à intégrer le management du risque dans son système de management global. » La connexion du cadre organisationnel avec les onze principes énoncés au paragraphe précédent se fait par la prise en compte desdits principes dans la définition du mandat et de l'engagement qui est énoncée par la Direction.
•
Paragraphe 4.2 - Mandat et engagement
Note de l'auteur : sans que cela soit systématique, le premier paragraphe d'un chapitre ou le premier article d'un paragraphe sont souvent consacrés à l'exposé de généralités. Nous sommes ici dans le paragraphe des normes classiquement consacré à l'engagement de la Direction. Si le chat ne s'engage pas, les souris continueront de n'en faire qu'à leur tête. Rien de très nouveau il est vrai, mais convenons que nous sommes dans un registre que tout le monde décrit comme essentiel, mais que ce même « tout le monde » ne met toujours pas en musique. Combien entendons-nous encore de Directions qui , certes, parlent le politiquement correct mais qui se contentent de (belles) paroles sans apporter le soutien nécessaire aux systèmes. Aucune bien entendu, ces temps-là sont révolus, tout le monde le sait. ..
ri.
0
z
LL ,
o. 0
u
91
98
Voir en 7.4, « Management du ri sque et management intégré ».
La norme NF ISO 31000
Deux exigences de la norme attireront plus particulièrement notre attention : liJI,,
1iJ1,,
liJI,,
« La Direction s'assure que la culture de l'organisme et sa politique de management du risque sont en phase. » Ce rappel, issu du sixième commandement (indice pour le retrouver: un postulat, dix commandements!), est un pied de nez aux politiques de l'intention, faites pour « vendre » le système, mais déconnectées de la réalité.
« La Direction s'assure de la conformité légale et réglementaire. » Il est évident qu'une norme ne peut pas dire autre chose. Que nous ne pouvons pas plus dire autre chose. Pourtant, une partie du jeu se situe à ce niveau ainsi que le rappelle Jean-Paul Louisot92 . Quel équilibre de gouvernance devons-nous trouver entre risque et conformité ? Est-il possible de ne pas toujours être strictement conforme ? La conformité n'est-elle pas, dans certaines situations, source de risques plus importants que ceux générés par la non-conformité ? Paragraphe 4.3 - Conception du cadre organisationnel.
C'est le paragraphe central de ce chapitre. Il s'agit ici de décrire l'organisation mise en place pour activer le processus de management et permettre la réalisation des engagements pris au paragraphe précédent. Article 4.3.1 - Compréhension de l'organisme et de son contexte
ri.
0
z
LL ,
o. 0
u
En réalité, cette posture est assez naturelle dans la mesure où la norme tient à prendre l'existant de l'organisme en considération, préférant s'insérer dans cet existant plutôt que de s'y superposer au travers un énième système. Elle se doit donc de tenir compte de l'organisation en place, de sa culture, de ses compétences, de son système d'information et de ses circuits de décision, des relations qu'elle entretient avec ses clients ou ses fournisseurs , etc. En fait, il s'agit juste de ne pas créer d'incohérences notoires. De plus, 92
Jean-Paul Louisot, op.cil.
99
De la gestion des risques au management des risques
le métier de l'organisme va le soumettre à un champ de réglementations très spécifique, plus ou moins prégnant, qui conditionnera la qualité et la quantité de ressources à déployer pour s'assurer du respect de ces réglementations. Article 4.3.2 - Établissement de la politique de management du risque
Nous revenons ici à du très classique. La Direction de l'organisme, au-delà d'avoir affirmé son engagement dans la démarche managériale, doit décliner cet engagement en objectifs justifiés, temporels, quantifiés, etc.
À ce stade, il est très intéressant de noter que la norme insiste, d'une part sur le fait que l'organisme doit prouver que les objectifs du management des risques ne sont pas en contradiction avec ceux des autres systèmes (toujours ce souci d'intégration), d'autre part demande à ce que les procédures d'arbitrage permettant de traiter les conflits d'intérêts soient formalisées. Ce dernier point n'est pas des plus aisés quand on craint que la réduction d'un risque ne provoque la progression d'un autre risque. Doutons quand même que l'on puisse toujours anticiper par des règles préalablement définies l'arbitrage qui sera fait lorsque le dilemme se posera. Larbitrage en question, qu'il soit prédéterminé ou non, fournira sans doute le moment de parler d'éthique, pour savoir comment les valeurs de l'organisme influencent son acceptabilité des risques et la hiérarchisation de ses actions. Article 4.3.3 - Responsabilité
Les objectifs doivent être pris en charge par des responsables informés des indicateurs qui mesureront leur performance et conditionneront donc la reconnaissance de leur travail.
ri.
0
z
LL ,
o.
Ce paragraphe se décompose en fait en deux grandes parties.
0
u
Articles 5.3.2 et 5.3.3 - Établissement des contextes externes et internes La première partie renvoie à ce qui est couramment appelé « l'analyse du contexte », « l'analyse des environnements de l'organisme » ou parfois encore « l'analyse de l'écologie des systèmes ». Il s'agit de comprendre globalement l'organisme, d'identifier les contraintes auxquelles il est soumis et les exigences qu'il doit respecter pour honorer les contrats passés. Celles-ci peuvent provenir de différentes sources - politiques, réglementaires, 104
La norme NF ISO 31000
sociales, sociétales, technologiques, informationnelles, jurisprudentielles ou environnementales. Nous trouvons ici justification à avoir précédemment décrit les différents environnements d'un organisme au travers de la modélisation dite des parties prenantes96 . Pour concrétiser la mise en œuvre de la norme, il nous restera à proposer97 une méthode pour réaliser une analyse rapide des points qui structurent l'organisation-son activité, sa culture, sa stratégie, ses structures, ses moyens, ses compétences, etc. - afin de répondre à la demande d'établissement du contexte interne, mais sans non plus engager un diagnostic analytique complet qui prendrait trop de temps. Articles 5.3.4 et 5.3.5 - Contexte du processus risque et définition des critères de risque
C'est à ce niveau que l'on définit tout d'abord le périmètre du management du risque, même si nous avons bien compris que la norme NF ISO 31000 conseillait une approche globale, puis les méthodes utilisées pour l'appréciation des risques, y compris la manière dont seront abordées les problématiques complexes liées à l'interdépendance des risques entre eux ainsi qu'à l'enchaînement potentiel des causes et des conséquences. Cette méthode doit bien s'appuyer sur un référentiel déterminé (et véritablement prédéterminé puisque nous sommes au point d'entrée du processus de management) comprenant des échelles de cotation de la vraisemblance et des impacts ainsi qu'une définition de l'acceptabilité. C'est ce que nous appelons le référentiel de management du risque, sémantique qui n'est pas celle de la norme mais que nous allons largement réutiliser par la suite 98 . ri.
0
zLL
,
o. 0
u
Il est clair que nous n'avons au sein de la norme aucune indication concrète pour aider l'organisme à l'établissement de cette méthodologie. Le FD ISO 31004, sorti début 2014, s'il précise les attendus, ne fournit en revanche toujours pas ou très peu d'outils. Il est à peu près dit ce qu'il faut faire , mais pas comment il est possible de le faire. Certains lecteurs de la norme ont été un peu frustrés sur ce point. S'il était certes impensable que la norme dise l'acceptable ou l'inacceptable, ceci étant du ressort ou de la législation ou de la volonté des dirigeants, il était tout de même envisageable d'avoir plus d'informations sur les bonnes pratiques permettant de construire un référentiel pertinent. D'autant que, en dehors de tout objectif de certification, la norme s'érige justement comme un recueil de lignes directrices. 96 97 98
Voir en 2.3.1 « Les environnements et les parties prenantes de l'entreprise ». Voir en 4.1.2 « L'analyse du périmètre de management >>. Voir en 4 .2 « Le référentiel de management du risque ».
105
De la gestion des risques au management des risques
•
Paragraphe 5.4 - Appréciation du risque
La norme NF ISO 31000 pose à ce niveau la nécessité évidente d'identifier les risques, puis de les analyser pour pouvoir enfin les évaluer, c'est-à-dire se prononcer sur leur criticité.
Article 5.4.2 - Identification du risque « Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur les événements susceptibles de provoquer, de stimuler, d'empêcher, de gêner, d'accélérer ou de retarder l'atteinte des objectifs. » L.:ambition est posée : une identification exhaustive des risques est demandée - en langage normatif on parle d'exigence. Ce qui en soit est une absurdité (dans la traduction française en tout cas). Car à l'impossible nul n'est tenu et associer incertitude à exhaustivité tient du paradoxe. Nous nous contenterons donc d'espérer
approcher cette exhaustivité, ce qui, déjà, demandera beaucoup de méthode99 . « [.. .] que leur source soit ou non sous le contrôle de l'organisme [...] » La norme traite donc aussi bien des risques exogènes que des risques endogènes. Ceci paraît important, dans la mesure où nombre d'entreprises négligent ces risques exogènes au prétexte qu'elles n'ont pas les leviers pour les réduire. Cet a priori s'avère d'ailleurs faux dans bien des cas. Quoique possible, la prévention de ces risques est effectivement difficile en dehors de mesures souvent drastiques, ce qui n'empêche cependant pas la mise
en place de protection. « Il convient que l'identification du risque comporte l'examen des réactions ri.
0
zLL
,
o.
Toutes ces demandes sont éminemment logiques. Nous pouvons une fois de plus regretter que la norme ne propose aucune piste pour garantir l'exhaustivité qu'elle préconise.
0
u
Article 5.4.3 - Analyse du risque Il s'agit ici, au-delà d'une première identification, de comprendre les mécanismes du risque observé. Quelles sont ses véritables causes ? L.:événement redouté peut-il entraîner des réactions en chaîne et provoquer l'apparition de nouveaux risques peu identifiables à première vue? Globalement, la norme met surtout 99
106
Voir en 4.2.6 « La notion de registre des risques ».
La norme NF ISO 31000
l'accent, et à juste titre nous semble-t-il, sur la nécessité d'approfondir l'analyse, en écartant les a priori simplistes pour tenir compte de la complexité ... la contingence des causes entraîne la contingence de l'événement qui entraîne la contingence des conséquences! « Il convient que le degré de confiance dans la détermination du niveau du risque et de sa sensibilité à des conditions préalables et à des hypothèses soit pris en compte dans l'analyse et communiqué effectivement aux décideurs et, si nécessaire, aux autres parties prenantes. » Cette remarque
sur le degré de confiance semble intéressante car pragmatique : dans un domaine d'incertitude comme celui des risques, permettre aux personnes de s'exprimer sur le degré de confiance qu'elles accordent aux hypothèses posées libère la parole. Article 5.4.4 - Évaluation du risque
Une fois identifié puis analysé, le risque peut être évalué en termes de vraisemblance et de conséquences, ce qui clôturera le sous-processus d'appréciation. « L.:évaluation du risque consiste à comparer le niveau de risque déterminé au cours du processus d'analyse aux critères de risque établis lors de l'établissement du contexte. » Il s'avère donc bien que la norme justifie ici l'établissement a priori d'un référentiel d'évaluation.
ri.
0
z
L.:évaluation du risque permettra la prise de décision. Nous avons pu voir que la modélisation du processus de management des risques incluait bien un questionnement essentiel : l'organisme doit-il traiter ce risque ou peut-il le laisser en l'état ? Cette décision sera guidée par les critères d'acceptation qui ont été définis précédemment, lors de l'établissement du contexte.
LL ,
o. 0
u
La norme liste de façon générique les différents traitements des risques , sans entrer dans le détail de ce qu'il est possible de faire. Avouons que, étant donné la disparité des situations potentielles, il lui aurait été bien difficile de tenir un discours pertinent en la matière. Cela aurait même été contre-productif si l'on imagine que la norme aurait pu donner l'impression trompeuse qu'il suffisait de quelques règles d'or pour que les risques diminuent. .. comme par enchantement. Ceci n'est qu'un rêve. Tenter de le présenter comme une possible réalité aurait fâché, à juste titre, tous ceux qui admettent la complexité des comportements humains, individuels ou collectifs. 107
De la gestion des risques au management des risques
La NF ISO 31000 se contente donc de rappeler les différents choix possibles, en insistant en revanche pour que l'organisme sache justifier les options prises et les expliquer aux différentes parties intéressées impactées par la décision, c'est-à-dire : ~
accepter le risque en l'état ;
~
refuser de risque, au sens d'abandonner l'activité ;
~
augmenter le risque;
~
réduire le risque :
T supprimer la ou les sources de risques, T réduire la vraisemblance, autrement dit mettre en œuvre des mesures de prévention, T réduire les conséquences, autrement dit mettre en place des mesures
de protection ; ~
partager le risque avec d'autres, ceci incluant les possibilités de financement du risque, dont les assurances.
Les différentes actions décidées seront organisées dans un plan d'action structuré, affichant un calendrier précis, déterminant les responsabilités, les moyens nécessaires à l'accomplissement des actions et les résultats attendus.
•
ri.
0
z
LL 1 fois par semaine
Ill
cr ::J
"C
g_ ;:;:
ii" C:
n,
c.. C:
-, n,, -+, n,, -, n,
....
::J
ni"
c.. n,
3 Ill ::J
Ill ~
n,
3n,
::J ....
a. C:
-,
iii"
..0 C:
n,
< 1 fois par semaine
v::/ \ !:.- :..· ·.
~.1:-:f~~.. pafim~f4.i.: •.:·· 1
•. •
:
< 1 fois par an
D ........... DiD .
-,
vï
..Q
par semaine -li--""tl
\
DIO ........ ..
D
,.
DDi
~o~ o~ ~ e.:::; ~;;., ~ -~ ~o o~ "~ '~ "e ~o ,e.:::; o·~r.., ~f -~~ ~" b ~" ",.. b ~ . _
2
6
1
3
8
Il Il
1111 11 11 11 1111
al 6
2
1
3
8
Gravité
Il Il Gravité
Figure 4.13 Solution de valorisation pour une matrice 5>, .... .0
CCl
>, .... .0
0
.;::::: ..... ::::1
E
C:
UJ
E
UJ
1
1
1
2
..... C: VJ
0
.;::::: ..... ::::1
E
C:
2
1
2
1
4
2
VJ
....
Cl)
Cl)
CCl
:::s ....
s·:::s
8
4
>, .... .0
0
Valeurs possibles pour la prévention (niveau d'efficacité)
2
1
.....u
Cl)
·m
Cl)
C: C:
(.)
>, .... .0
.... .... 0
.... tl)
o. tl)
..... C: Cl)
CCl VJ
.....u
Cl)
.... .... 0
Cl)
..... ::::1 Cl)
0
.;::::: ..... ::::1
E
C:
4
1
2
4
8
1
8
4
2
1
UJ
VJ
(.)
CCl :::I:
iij" "'O -,
0 .... n .... tl)
s· :::s
UJ
0
::J
, tl)
iii'
Faible
a..
-" tl),
Forte
o· ::J
l"'t-
Vl
..Q
C:
~
Prise en compte du contexte de l' organisme
Notons que cette technique est plus souvent utilisée pour répondre à des problématiques de gravité qu'à des problématiques de vraisemblance. Elle peut néanmoins s'appliquer à la vraisemblance, ainsi que démontré dans le tableau ci-dessus, lorsqu'une entreprise exerce deux activités aux « vitesses » très différentes. Deux règles sont fondamentales à ce niveau : ..,. les échelles secondaires, gravité comme vraisemblance, doivent s'imbriquer parfaitement dans celles du référentiel primaire, parce qu'il doit impérativement être aisé de passer des premières à la seconde ; ..,. les échelles de gravité concernant l'impact juridique ou les règles d'éthique restent bien sûr toujours identiques puisqu'elles décrivent des critères qualitatifs et non quantitatifs. Au sein d'une entreprise découpée en établissements, par exemple des agences réparties sur le territoire, les échelles secondaires peuvent être déterminées par une règle de trois, au regard du poids que constitue l'agence par rapport au tout. Nous en donnons un début d'exemple ci-dessous (voir tableau 4.6 ci-après). Il en va de même pour adapter le référentiel à des activités différentes au sein d'un même organisme.
ri.
0
z
LL 1 000 000 d'euros
< ;:;:
00. (1)
"'l"I
::J
(D,
0
< 150 000 euros
> 150 000 euros
..Q
::::,
C:
l"I
(1)
Vl
C:
"'O
< 250 000 euros
> 250 000 euros
0
s: "'o. "'::::, (D (D
....;:;:
(D,
...
Vl
....
0
o. < 100 000 euros
l"'t-
-, v,
ci ::::, < 25 000 euros
3(1)
:;·
....
Établissement 2 (25 %)
0
a.. (1)
(D
< 60 000 euros
0
::::,
o. QI < 15 000 euros
C:
3 ::J
(D
Établissement 1 (15 %)
Vl
ao. ., QI
< 100 000 euros
-, v,
..Q
Œ..
"'o. Primaire
Vl l"'t-
o· ::J
"'
Prise en compte du contexte de l'organisme
--
•Q)
·s; CO
- B
( !)
Q)
CO
&.,,.
E .i:
,).
~~
~
C.
&,1,
Q)
~~
:;;
---
~o
C: Q)
~
• Q)
• Q)
::s Il)
&-1
0
CO
::s
CO
>
&
..,~
.0
E Q) Il)
·-CO >
•W
~
v/
0 C: CO
-C:
·~~
Q)
·~·~~
ci)~
Cl)
Cl)
Cl)
Cl)
t:
t:
::0
.c
n, LL
~
0
~
1/1
0 LL
... t-
, Cl)
-~
-~
Ill
...
·Cl>
t-
Q)
a'. 0 z u..
-
Cl.
0
u
5.1 L'appréciation du risque Dans la norme NF ISO 31000, l'appréciation du risque est une macro-activité qui, au sein du processus de management, regroupe les trois activités d'identification, d'analyse et d'évaluation (voir figure 5.1). Celles-ci aboutissent à l'établissement d'une cartographie des risques, représentation visuelle de l'évaluation dont la norme ne fait pas spécifiquement mention alors que ce terme de cartographie est presque toujours associé aux démarches risque engagées par les entreprises.
De la gestion des risques au management des risques
Communication et concertation
Gl
-
:s
CT
-~ Cl)
C: Q) Gl-
E >
préciser les responsabilités et les marges de manœuvre ; > hiérarchiser les priorités, par exemple entre risques, qualité, délais, coûts, etc. ; > mettre en place un système de management SST ;
> réfléchir à l'intégration des systèmes ; > élaborer un système de pilotage objectifs/indicateurs ; 196
L'appréciation et le traitement du risque
> mettre en œuvre une démarche d'amélioration des compétences ; > favoriser la pratique des groupes de progrès, des groupes de réflexion ; > etc.
Les solutions du type « Organisation »
Nous classerons dans ce poste les démarches et les outils de l'organisation, c'est-à-dire les travaux nécessitant des méthodologies spécifiques, sans toutefois faire appel à la technologie. Bien que nous ayons dissocié organisation et management, force est de convenir que, pour être pérennes, il est largement préférable d'inscrire ces outils organisationnels au sein d'une démarche de management.
>
Exemples:
> cartographier et analyser les processus ; > rédiger des procédures et des instructions de travail ;
> optimiser les flux, physiques, d'informations et des flux financiers ; > optimiser les procédés ; > mettre en œuvre une démarche de résolution de problèmes ; > analyser méthodiquement les incidents et accidents (5M , arbres de causes, etc.) ; > s'assurer du fonctionnement de la veille technologique ;
> lancer un chantier 5S (rangement et propreté) ; > utiliser les techniques issues de l'ergonomie ; > mettre en place des systèmes anti-erreurs (poka-yoke) ; > organiser la maintenance des équipements ; ri.
> établir des plans de prévention pour les entreprises extérieures ;
zLL
> etc.
0
,
o. 0
u
Ces solutions seront basées sur la formation des Hommes et des équipes, quels que soient le contenu et la forme donnés à cette formation . Les solutions d'apprentissage sont effectivement adaptables à toutes les causes possibles de risques : il existe des formations techniques destinées à une meilleure utilisation de tel ou tel outil, des formations au management, etc.
>
Exemples:
> former les manager au management(!) ; > développer l'art d'instruire ; > sensibiliser aux risques inhérents à l'activité ou aux postes de travail ; 197
De la gestion des risques au management des risques
> former aux gestes et aux postures ; > former à la conduite à tenir en cas d'incident ; > réaliser des exercices d'évacuation en cas d'incendie ;
> concevoir un circuit d'intégration pour les nouveaux embauchés ; > favoriser la pratique du tutorat ; > développer une base de retours d'expérience et de connaissances sur un Intranet ; > etc. Les solutions du type « Techniques »
Évoquons d'abord les outils du travail. Du et non de. Nous retrouverons classé ici, tout ce qui concerne l'amélioration des équipements de travail. Pour lutter contre les fumées de soudage, il est possible de mettre en place des procédés techniques d'aspiration. Pour prévenir un risque d'incendie, il faut mettre en place les extincteurs appropriés. Ces solutions techniques sont peu comparables d'un domaine de risques à l'autre. Nous venons de citer deux exemples issus des risques professionnels. Autre domaine, autre exemple : pour ne pas oublier la saisie d'une donnée essentielle, on peut modifier la transaction informatique afin de rendre cette saisie obligatoire. Etc.
ri.
0
z
LL ,
o. 0
u
Parlons ensuite des outils juridiques. Ils consistent surtout à mettre en place des clauses spécifiques, mais non léonines138 , dans les contrats liant l'entreprise à ses parties prenantes, internes ou externes. Ils sont sousutilisés par nombre d'entreprises, et surtout par les plus petites, pour ce qu'ils paraissent compliqués à maîtriser - et ils le sont malheureusement souvent et souffrent d'une mauvaise réputation d'emberlificoteurs tatillons. « Mettez un juriste dans l'affaire, il va tout nous embrouiller et nous emplafonner les délais ... ». Ce qui est injuste. Certes l'action du juriste peut se traduire par un temps de négociation plus long, ce qui peut s'avérer dommageable si son intervention n'avait pas été planifiée, mais le contrat est aussi l'occasion d'éviter pas mal de soucis a posteriori ! L'avantage des outils juridiques est qu'ils jouent sur les deux tableaux, quand ils prévoient des dédommagements pour non-respect des engagements pris : cela leur confère un rôle dissuasif, assimilable à de la prévention, les dédommagements prévus étant eux assimilables à une protection . Abordons enfin les outils financiers. Ceux de ces outils qui participent au financement des risques ont déjà été listés plus haut : rétention d'une part, assurance d'autre part. Ce sont exclusivement des outils de protection. Il en existe d'autres, plus préventifs, comme par exemple, les ventes ou achats 138 Se dit d'un partage où quelqu'un se réserve la plus grosse part, la part du lion (source: Larousse).
198
L'appréciation et le traitement du risque
à terme qui consistent à fixer au jour J les prix ou les taux d'une opération réalisée ultérieurement, afin de prévenir une fluctuation défavorable des cours (matières premières ou devises).
•
Les principes de ségrégation
En gestion des risques, les méthodes de ségrégation - terme peu engageant
mais adéquat en la matière - s'appuient sur l'identification des ressources critiques, méthode que nous avons décrite précédemment139 • Il s'agit, rappelons-le, des ressources dont la disparition, très vraisemblable, mettrait l'organisme en grande difficulté. La sagesse populaire nous dit : « Il ne faut jamais mettre tous ses œufs dans le même panier. » La ségrégation dite « par partition » consiste à répartir les ressources critiques dans au moins deux endroits. Ainsi, elles ne seront pas toutes simultanément endommagées. Attention cependant aux « fausses » répartitions, consistant
à envisager deux endroits, certes distincts, mais si proches qu'ils sont en réalité exposés simultanément à un même risque, par exemple d'incendie ou d'explosion.
~ Exemples de ségrégation par partition : > ventiler les stocks stratégiques dans deux magasins distincts ; > ne pas mettre les sauvegardes informatiques dans la salle de l'ordinateur ; ri.
0
z
LL ne pas faire voyager tous les dirigeants dans un même véhicule ou dans un même avion; > etc.
LI) ,-1
0
N
@
...,
La sagesse populaire nous dit également : « Il faut toujours avoir plusieurs cordes à son arc. »
.s=.
Ol
ï::
>,
o. 0
u
C'est une formulation de la ségrégation par duplication. Une ressource critique doit être présente au moins deux fois au sein de l'organisme ou, tout au moins, une solution de remplacement ou de restauration doit pouvoir être mise en place instantanément en cas de défaillance de ladite ressource. La ségrégation par partition renvoie aux principes de sauvegarde, le backup bien connu du domaine informatique et transposable à tout autre domaine de risques.
139 Voir le paragraphe « L'identification des ressources critiques » en 5.1.1 « L'identification du risque».
199
De la gestion des risques au management des risques
Remarquons que l'externalisation, un type de solution décrit précédemment, peut aussi être vue comme une manière particulière d'envisager la ségrégation, par partition si le prestataire ne se trouve pas dans le même espace géographique, par duplication lorsqu'une opération réalisée au sein de l'organisme peut parallèlement être confiée à un prestataire. C'est même une bonne solution pour les petites entreprises qui n'ont que rarement les moyens d'assumer la présence de plus d'une ressource sur des postes-clés, que nous parlions de matériels ou de compétences humaines. L'efficacité de cette technique repose sur une bonne définition de la fréquence de duplication. Pour des éléments soumis par nature à des modifications incessantes, la duplication peut être complétée d'une procédure de type mirroring assurant la parfaite et constante similitude entre l'original et son double et le basculement immédiat, a priori automatique, de l'un vers l'autre en cas d'incident. Il faut cependant avoir conscience que ceci mobilise tout aussi constamment une partie des ressources disponibles qui sont alors utilisées pour dupliquer et non plus pour produire.
>Exemples Il est souhaitable de posséder deux machines capables de réaliser une tâche située sur le chemin critique d'un process. Ceci passe parfois par le maintien en état de fonctionnement d'une ancienne machine, laquelle ne sera pas ou peu utilisée en fonctionnement normal, mais que l'on sollicitera de nouveau en mode dégradé. Si ce scénario n'est pas possible, on peut limiter le risque en disposant de pièces de rechange pour les éléments les plus fragiles de la machine-clé (et de la compétence pour effectuer la réparation). L'.informatique a d'abord intégré le principe des sauvegardes. Notons au passage, qu'elles sont généralement faites quotidiennement sur les ordinateurs centraux de l'entreprise, mais que les informations décentralisées sur les ordinateurs sont rarement sauvegardées correctement. Au-delà des sauvegardes, il est possible de mettre en œuvre des solutions de mirroring des disques, techniques type RAID (Redundant Amw of lndependant Disks - regroupement redondant de disques indépendants). Lorsque l'interruption des services est jugée impossible, c'est l'ordinateur dans sa totalité qui est dupliqué.
ri.
0
z
LL ,
o. 0
u
200
L'appréciation et le traitement du risque
5.2.4
L'analyse détaillée d'un risque
Au sein du processus de management du risque, l'appréciation du risque comporte une activité dite « d'analyse », préalable à l'évaluation. Nous avons toutefois décrit cette première analyse comme devant comme devant se limiter au juste nécessaire pour procéder à une évaluation satisfaisante du risque .. . sans penser aux solutions pour le réduire140 . Or, l'objet de ce chapitre, le traitement du risque, est maintenant d'imaginer et d'implanter ces solutions. Au regard de l'évaluation du risque, il a été décidé de le traiter: ceci peut conduire l'organisme à approfondir les éléments issus de sa première analyse. Cette démarche signifie préciser les causes et les conséquences de l'événement redouté. Si l'analogie entre problème et risque était remarquable dans l'énoncé des solutions possibles, c'est parce qu'elle l'est tout autant dans le travail d'analyse qui amène à la proposition de ces solutions. Les techniques d'analyse de risques ressemblent à s'y méprendre aux techniques d'analyse de problème. Il faut poser clairement le problème avant d'en analyser les causes. Il faut cerner tout aussi clairement l'événement redouté avant d'en étudier les causes et les conséquences. En considérant le contexte et la conjoncture.
ri.
0
z
LL ,
o. 0
u
Notons ici que la norme ISO/CEi 31010:2009, déjà citée dans cet ouvrage, propose une palette de 31 méthodes applicables à une analyse détaillé des risques (voir tableau 5.2). Pour chacune d'entre elles, la norme précise, les données d'entrée nécessaires, le mode opératoire, les résultats obtenus ainsi que les avantages et les limites de la méthode. Elle indique en outre à quelles étapes du processus risque la méthode est applicable. Il s'agit toutefois d'un document d'émanation technique qui ne précise pas pour quels types de risques la méthode est appropriée. Or, par exemple, utiliser un arbre de panne (outil 14) pour analyser la vraisemblance d'un risque de management ou d'un risque pays pourrait être moins « strongly applicable » (SA - parfaitement applicable) que ne l'affirme la norme ! Dans le même état d'esprit, la matrice Vraisemblance/Gravité est présentée comme juste « applicable » (A) car elle s'avère effectivement insuffisante à l'évaluation d'une sûreté de fonctionnement sur des ensembles techniques complexes. Nous l'avons pleinement reconnu . Nous réaffirmons qu'elle est satisfaisante pour évaluer l'organisation.
140 Voir en 5.1.2 « L'analyse du risque».
201
Copyright© 2015 AFNOR. l'J
0
l'J
0
Analyse Outils et techniques
Identification
Évaluation Vraisemblance
Gravité
Maîtrise
o} CT
iii tu
C:
1. Brainstorming 2. Entretiens structurés ou semi-structurés
SA SA
NA NA
NA NA
NA NA
NA NA
3. Techniques Delphi
SA
NA
NA
NA
NA
4. Listes de contrôle
SA
NA
NA
NA
NA
5. Analyse préliminaire des dangers
SA
NA
NA
NA
NA
6. HAZOP(HAZard and OPerability study- Étude de danger et d'exploitabilité) 7. HA CCP (Hazard Analysis and Critical Contrai Points Système d'analyse des dangers - Points critiques pour leur maîtrise)
SA SA
SA SA
A NA
A NA
A
V1
i,.i
0
C:
!:!.
iii
..,
8. Évaluation des risques environnementaux
SA
SA
SA
SA
SA
9. SWIFT (Structured "What-lf" Techniques- Techniques « et si. .. » structurées)
SA
SA
SA
SA
SA
10. Analyse de scénario
SA
SA
A
A
A
11. Analyse d'impact sur l'activité
A
SA
A
A
A
12. Analyse des causes profondes
NA
SA
SA
SA
SA
13. Analyse des modes de défaillance et de leurs effets
SA
SA
SA
SA
SA
14. Analyse par arbre de panne
A
NA
SA
A
A
15. Analyse par arbre d'événements
A
SA
A
A
NA
A
SA
SA
A
A
Vl M-
o· ::J
a.. ~
-, v,
..Q
n,.
C:
:::s ,..
Ill
"O tu
.., iii'
C: (1) Vl
0
3 0
::J 0
:::s
00. (1)
3 n,
::J
3(1) M-
V'I
a.. (1)
rn
-, v,
-,..0
... ...
\,/J
0 0
ij 0 0
-"° )>
16. Analyse causes/conséquences
00. (1)
"O n,. Ill n,
..,0 SA
(1)
ë
:::s :::s n,
>< n,
}>
,.. tu
CT
iii tu C:
:!:' ...._,
Vl
..Q
C:
~
Copyright© 2015 AFNOR.
Analyse Outils et techniques
Identification
Évaluation Vraisemblance
Gravité
Maîtrise
17. Analyse des causes et de leurs effets
SA
SA
NA
NA
NA
18. LOPA (Layer of protection analysis- Analyse des couches de protection)
A
SA
A
A
NA
19. Arbre de décision
NA
SA
SA
A
A
20. Analyse de fiabilité humaine
SA
SA
SA
SA
A
21 . Analyse « nœud de papillon »
NA
A
SA
SA
A
22. Maintenance basée sur la fiabilité
SA
SA
SA
SA
SA
23. Analyse transitoire des conditions insidieuses
A
NA
NA
NA
NA
24. Analyse de Markov
A
SA
NA
NA
NA
25. Simulation de Monte-Carlo
NA
NA
NA
NA
SA
26. Analyse bayésienne et réseaux de Bayes
NA
SA
NA
NA
SA
27. Courbes FN (fréquence cumulée (F) à laquelle au moins N membres de la population seront affectés)
A
SA
SA
A
SA
28. Indices de risque
A
SA
SA
A
SA
29. Matrice vraisemblance/gravité
SA
SA
SA
SA
A
30. Analyse coût/bénéfice
A
SA
A
A
A
r-
i:::.'
"O "O -.,
11h
-("\
ëi'
a · :::s 11)
iiï'
ci
;:;:
11)
3
11)
31. Analyse de décision à critères multiples (ADCM)
A
SA
A
SA
A
:::s
Q.
SA= parfaitement (strongly) applicable NA = non applicable A = applicable ~
0
w
t:
-.,
vï
..Q
t:
11)
De la gestion des risques au management des risques
•
Le diagnostic des causes
Évidence pléonastique ... Seule l'identification des véritables causes permet de choisir des solutions véritablement adaptées. La classification de causes au regard de leur environnement source
La première classification à rappeler concernant les causes est celle que nous avons esquissée en décrivant les environnements de l'organisme au paragraphe 2.3.2141 du présent ouvrage : ~
les risques générés par l'organisme lui-même ;
~
les risques générés par l'environnement contractuel de l'organisme ;
~
les risques générés par l'environnement marché de l'organisme ;
~
les risques générés par l'environnement général et ses « prestigieuses » composantes (en clin d'œil à l'acronyme mnémotechnique PRESSTIJE bien sûr).
Nous verrons plus tard que cette classification nous servira à proposer un registre des risques pour une approche globale des risques142 • Nous n'y reviendrons pas plus largement dans ce chapitre. La classification T.O.M.C. des causes
Revenons en revanche, pour la troisième et dernière fois , sur notre classification des causes en quatre principales catégories. Sachant qu'au sein de chacune de ces catégories, l'origine du risque, le danger donc, peut être endogène ou exogène. Et ajoutons ici quelques exemples : ~
ri.
0
z
LL ,
o. 0
u
>
Exemples:
> des infrastructures en mauvais état ; > des machines non mises en conformité ; > des véhicules mal entretenus ; > des équipements de protection individuelle (EPI) non adaptés ; 141 Voir en 2.3 .2 « Les risques endogènes et les risques exogènes ». 142 Voir en 6.1.2 « Registre global des risques >>.
204
L'appréciation et le traitement du risque
> la présence de matières dangereuses ; > des conditions de stockage non adaptées ; > des incompatibilités de stockage ;
> des extincteurs en nombre insuffisant ; > des déchets dangereux incorrectement confinés ; > des chantiers d'intervention non-sécurisés ; > etc .
..._ Les causes organisationnelles : il s'agit d'étudier comment sont organisées les ressources - humaines, matérielles, financières, informationnelles et la manière dont elles s'associent dans le fonctionnement de l'organisme : les flux, les règles de gestion, les procédures, etc.
>Exemples: > des responsabilités et des missions non définies ou mal définies ; > une mauvaise compréhension des activités et de leurs interfaces ; > des compétences nécessaires à une bonne exécution des activités non recensées ; > des données d'entrée nécessaires à une bonne exécution des activités indisponibles ; > une veille réglementaire défaillante ;
> l'absence de procédures ou procédures non adaptées ; > des temps alloués insuffisants ; > des ateliers non rangés ; > une absence de revues des exigences après la signature d'un contrat ; > des EPI non disponibles ; ri.
0
z
LL ,
o. 0
u
> etc. ..._ Les causes managériales : pour bien différencier ces causes du poste précédent, on se focalisera ici sur la réalité du management et non sur ce qu'il affiche être c'est-à-dire sur ses pratiques, ses comportements et son dynamisme plutôt que sur ses préceptes et intentions .
>Exemples: > pas de relais de l'engagement de la Direction ; > une absence de communication sur la politique de l'entreprise ; > des budgets alloués insuffisants au regard des objectifs fixés ;
> des arbitrages incompréhensibles ; > des cloisonnements forts entre les différentes Directions de l'organisme ; > une absence de transparence dans l'identification et l'évaluation de certains ; > une alimentation faussée de certains indicateurs ; 205
De la gestion des risques au management des risques
> une incohérence dans les prises de décision ; > une absence de volonté pour faire appliquer les consignes ; > l'absence de rigueur pour faire appliquer l'obligation de port des EPI ;
> une réaction agressive face aux incidents ; > etc. ~
Les causes comportementales : elles renvoient au facteur humain sur lequel nous allons zoomer un peu plus loin. Elles sont étroitement dépendantes des causes organisationnelles et managériales vues ci-avant et, a contrario, elles sont assez rarement la cause racine du risque sauf à devenir une forme d'exutoire pour les personnes en charge de l'analyse du risque.
~ Exemples : > un non-respect des consignes données ;
> une démotivation, des contestations, de la résistance ; > un refus, formel ou non, de porter les EPI ; > un masquage d'un certain nombre de risques ;
> une agressivité, du harcèlement, des violences ; > une malveillance, des actes délictueux ;
> une inconscience face aux risques présents, malgré les formations reçues ; > etc. L'exemple du non-port des EPI est édifiant. Il démontre combien il est facile de reporter la faute sur les comportements alors que ses origines sont très souvent à rechercher dans les trois autres typologies de causes. Et moins ils sont portés, plus ceci est vrai :
ri.
0
z
LL ,
o. 0
u
Au final , l'analyse par typologie de cause peut être synthétisée comme proposé ci-après (voir figure 5.10).
206
Copyright© 2015 AFNOR.
.....
N
0
0
I!
Unité de gestion 1
Cl)
:::, f:T
t/)
t/)
("')
.,,.
U')
(0
,._
0
0
0
0
0
Cl)
:::, f:T
t/)
Cl)
Cl)
:::,
:::, f:T
:::,
f:T
t/)
CO 0
:::,
f:T
Exemple
Un des exemples couramment exposé pour imager ce propos des alarmes est celui de l'accident de la centrale nucléaire américaine de Three Miles lsland 143 • Suite à la panne de plusieurs pompes du réacteur, plus de 100 alarmes se sont simultanément déclenchées transformant la salle de contrôle en véritable « Foire du trône ». En moins ludique cependant. On aurait pu comprendre que l'opérateur de permanence cette nuit-là prenne ses jambes à son cou ! Il ne l'a pas fait mais a initié une succession de mauvais choix qui ont transformé l'incident en catastrophe. L.:utilisateur perçoit et interprète les indicateurs ou les alarmes et se construit une représentation mentale de la situation. C'est à ce niveau que se situe sa variabilité. Cette représentation mentale dépend des capacités et des compétences de chaque individu , elles-mêmes intimement liées à son « historique » - son éducation, sa formation, ses expériences, etc. mais également à des facteurs conjoncturels et contextuels comme un état de fatigue, une mauvaise humeur ou une inquiétude, tous facteurs n'ayant souvent aucun rapport avec la situation et impossible à prévoir dans leur intégralité.
>
Exemples:
> si vous êtes fatigués, pour quelque raison que ce soit, vos réflexes, votre attention et vos réactions ne sont plus les mêmes ; > si votre enfant était souffrant lorsque vous l'avez quitté pour venir travailler, vous êtes dans un état spécifique, inhabituel et source d'inattention ; > exécutez sur votre ordinateur un jeu de course automobile puis prenez votre véhicule, le« vrai », et vous observerez des changements dans votre propre comportement. ri.
0
zLL
,
o. 0
u
Et encore ne décrivons-nous ci-dessus qu'une interaction individuelle. Si la situation réclame la présence de plusieurs acteurs, nous devrons ajouter aux difficultés déjà annoncées celle de la distorsion entre les différentes représentations imaginées par chacun des acteurs ainsi que celle du langage et de la communication. Ce qui nous amène au sujet de l'influence du groupe sur les comportements de l'individu . Complexité supplémentaire, puisqu'ils seront différents voire divergents de ceux adoptés lorsque l'individu est seul. Ils seront même 143 Jean-Louis Deschannels, « Maîtrise du risque, s'appuyer sur l'expérience », in Classeur à feuillets mobiles Manrise des risques, AFNOR Éditions, 2003.
213
De la gestion des risques au management des risques
dépendants de la composition du groupe et de la nécessité que l'individu a de s'y imposer ou de s'y fondre, pour quelques motifs que ce soit, rationnels comme irrationnels. Plusieurs causes, interférentes et cumulables, peuvent être distinguées et aboutissent au même résultat, l'aggravation des risques encourus par l'individu et par l'organisme : ~
L'inaptitude : l'individu n'est pas « taillé » pour la tâche qu'il doit effectuer. Il peut s'agir d'inaptitude physique (la manutention par exemple), physiologique (le travail posté par quart) ou psychique (la résistance au stress ou à la pression).
~
L'incompétence : le niveau d'expérience, d'éducation et de formation de l'individu n'est pas en adéquation avec la tâche à réaliser.
~
L'ignorance : l'individu ne sait pas que l'action qu'il effectue peut être dangereuse. Nous voulons distinguer ignorance et incompétence, l'ignorance pouvant être la conséquence d'informations cachées à un acteur pourtant compétent.
~
L'inconscience : l'individu sait qu'il prend un risque mais il le fait quand même. Il pense qu'il va « assurer » ! S'il surestime ses limites ... l'accident est inévitable. C'est aussi l'attrait du danger, plus souvent constaté chez les populations jeunes.
~
L'habitude : elle est l'ennemi de la sécurité. L'individu travaille face au même danger depuis longtemps, et même s'il a conscience de ce danger, son niveau d'attention baisse.
~
La résistance : l'individu a toujours « fait comme ça » et ne perçoit pas pourquoi il devrait changer de comportement, puisque jusqu'à présent rien de fâcheux n'est arrivé. Mais le risque est une notion probabiliste ! La résistance est très souvent proportionnée à l'habitude.
~
La démotivation : l'individu sait qu'il prend un risque, mais il pense qu'il ne lui sera jamais donné les moyens de faire autrement : « je sais, je l'ai signalé au moins dix fois , mais que voulez-vous, ils ne veulent rien entendre ».
~
La rébellion : l'individu prend consciemment un risque dans le but de pénaliser l'organisme : « ça leur fera les pieds ». La rébellion se constate dans des périodes de climat social tendu et se traduit alors par une contestation systématique d'autant plus difficile à gérer qu'elle est parfois irraisonnée. Elle peut aussi être l'effet d'un stress durable.
ri.
0
z
LL ,
o. 0
u
Pour faire écho avec le paragraphe précédent, nous terminerons en réaffirmant l'incidence forte de l'organisation et des pratiques managériales sur les comportements humains. Systématiquement reporter sur l'individu les causes des 214
L'appréciation et le traitement du risque
accidents serait exonérer un peu vite les organisations auxquelles ils appartiennent. S'il est souvent fautif, l'individu est plus rarement responsable, ou tout au moins seul responsable, et encore plus rarement coupable. Est-ce une erreur que de s'endormir lorsque l'on est fatigué ou encore d'être soucieux de la santé de ses enfants ?
Quelques exemples frappants issus d'accidents mémorables Dans l'un des tous premiers articles de l'ouvrage à feuillets mobiles d'AFNOR Éditions, Manrise des risques, Jean-Louis Deschanels144 revenait sur quelques exemples riches d'enseignements car transposables à d'autres situations, personnelles ou professionnelles. En voici six extraits : ..,. Le refus du risque (exemple de l'Opéra de Paris) : en 1887 et 1923, l'Opéra de Paris subit deux incendies successifs du fait de la nondécision d'y réaliser les travaux de protection. Pourquoi entreprendre ces travaux alors que ces accidents n'avaient pour certains décideurs aucune probabilité de se produire ? Autre exemple classique du refus du risque, celui de l'accident de voiture. Statistiquement, il faudrait cumuler plus d'un million heures de conduite pour constater un accident de la route. Or, un conducteur effectuant pendant 50 ans de vie active une moyenne de 20 000 kilomètres par an n'accumule que 17 000 heures de conduite 145 . Ces 17 000 heures, pour considérables qu'elles soient rapportées à un conducteur, sont négligeables par rapport au nombre exigé pour atteindre une estimation réelle de la probabilité. Traduction en adage courant : « l'accident, ça n'arrive qu'aux autres ». Même cause, mêmes comportements lorsqu'il s'agit de travailler sur les risques professionnels. ri.
0
zLL
,
o. 0
u
....
La déviance des missions (exemple du Titanic) : en avril 1912, l'armateur du Titanic, présent lors de son voyage inaugural , a poussé le commandant à concourir pour le Ruban Bleu, distinction attribuée au navire le plus rapide sur la traversée de l'Atlantique. Sans cet objectif dévié, le commandant aurait plus que probablement entendu les messages d'alerte parvenus par radio et annonçant la présence d'icebergs. Or, la mission première du Titanic n'était pas de battre des records mais de mener à bon port (expression particulièrement adaptée en l'occurrence) quelques milliers de passagers et hommes d'équipage. Moralité : un outil - quelle que soit sa nature : technique, organisationnelle, etc. ne doit jamais être utilisé qu'à ce pour quoi il a été destiné.
144 Exemples empruntés à Jean-Louis Deschanels, op. cit. 145 Pour cet exemple Jean-Louis Deschannels s'est inspiré de Annick Carnino , Jean-Louis Nicolet et Jean-Claude Wanner, Catastrophes ? Non merci!, Masson, 1989.
215
De la gestion des risques au management des risques
~
Les modifications non maîtrisées (exemple de Flixborough) : en juin 1974, une fuite est détectée sur l'un des réacteurs chimiques de l'usine et une réparation provisoire est effectuée, mais sans tenir compte des contraintes liées à l'ensemble du process. Résultat, l'explosion d'un nuage de cyclohexane a détruit ou endommagé 2 450 maisons et fait 28 morts ! Les dommages matériels ont été évalués à plusieurs dizaines de millions de dollars. Leçon : la modification ou l'évolution d'un système complexe impose que l'on évalue le système dans sa globalité. Convenons que l'exercice est parfois très difficile lorsque lesdits systèmes ont été conçus longtemps auparavant, qu'ils utilisent des technologies obsolètes dont on a perdu la maîtrise ou qu'ils sont peu documentés... Le syndrome du passage à l'an 2000 pour les systèmes informatiques en a été la preuve.
~
Un environnement agressif (exemple de Feysin) : en janvier 1966, suite à une mauvaise manipulation, une quantité importante de propane s'échappe d'une cuve. Le système de sécurité de la raffinerie se met en place et paraît maîtriser l'incident. Une heure plus tard , une voiture passant sur la route bordant l'usine produit l'étincelle qui fait exploser la nappe de propane. La catastrophe fait 18 morts et engendre des dégâts matériels à plus de 8 kilomètres à la ronde.
~
Les dysfonctionnements organisationnels (exemple de la navette Challenger) : nous sommes à Houston, le 28 janvier 1986. Des doutes sérieux ont été émis sur la capacité de certains composants à résister aux conditions de froid entourant le lancement de la navette qui s'est désintégrée peu après son décollage. Pourtant ces doutes ne sont pas remontés aux niveaux de décision autorisés à stopper le processus de lancement. Cet exemple est aussi celui de la canicule d'août 2003 pendant laquelle de nombreuses alertes ont été remontées par les services d'urgence mais ont atterri dans des bureaux vides du fait des congés.
~
La pression économique (exemple de Bhopal) : le 3 décembre 1984 vers minuit, un nuage de gaz toxique s'échappe de l'usine d'Union Carbide située à Bhopal, provoquant la mort de 2 300 personnes et l'intoxication de 170 000 autres. En déficit depuis quelques années, l'usine n'est maintenue que par la volonté du gouvernement Indien de préserver des emplois dans cette région. Union Carbide y pratique une politique drastique de réduction des coûts indirects - peu de maintenance des équipements, peu de formations , etc. - qui aboutira à une catastrophe presque programmée. Autre exemple du même ordre, prouvant qu'il n'est pas besoin d'aller jusqu'en Inde pour subir de tels accidents, celui du ferry
ri.
0
z
LL ,
o. 0
u
216
L'appréciation et le traitement du risque
Herald of Free Enterprise qui, pour assurer des rotations plus rapides, est sorti du port de Zeebrugge avant que sa porte avant ne soit totalement fermée : le ferry a chaviré et 188 personnes ont péri. Que dire, pour terminer, du récent accident nucléaire de Fukushima au Japon, le 11 mars 2011 ? Comment être a priori surpris qu'un tremblement de terre déclenche un tsunami, le tout dans une zone connue pour son intense activité sismique ? Peut-on en revanche construire un mur de 10 mètres de hauteur pour protéger une usine et ne rien faire pour empêcher les vagues d'envahir les zones alentours, causant plus de 18 000 disparitions ... On ne peut quand même pas construire un mur tout le long du littoral ! Reposons alors la question en la déplaçant sur le champ de la morale : peut-on alors construire un mur autour de la centrale ? Nous n'avons ici que des questions à proposer. Chacun aura ensuite son opinion sur ce qu'il aurait souhaité qu'il fût fait. Admettons toutefois que la problématique posée ici est bien celle de l'acceptabilité. Or, si cette problématique trouve une réponse méthodologique plutôt simple rapportée au périmètre d'un organisme, lieu où les décisions s'imposent du fait de la volonté de la Direction, elle s'avérera beaucoup plus complexe au regard d'une nation surtout lorsque celle-ci se veut démocratique.
Le diagnostic des impacts C'est sans doute un des points sur lequel notre discours a beaucoup évolué entre 2005, année de parution de notre précédent ouvrage Gérer les risques Pourquoi ? Comment ?, et aujourd'hui.
ri.
0
z
LL ,
o. 0
u
Sans refuser notre propre responsabilité, permettons-nous d'y voir un peu l'influence de ces systèmes de management consacrés spécifiquement aux risques professionnels ou aux risques environnementaux, dont l'objectif se focalise donc sur un impact particulier (respectivement l'impact sur le salarié ou l'impact sur l'environnement) au détriment des autres. Nous avions heureusement affirmé que la vraisemblance restait identique quel que soit l'impact étudié (voir page 124 de l'édition de 2005 et page 126 de l'édition de 2010). 217
De la gestion des risques au management des risques
L'expérience aidant, il nous est depuis apparu que la quantification du risque ne pouvait être ainsi scindée mais qu'elle devait au contraire refléter l'appréciation globalisée de l'ensemble des impacts possibles de l'événement redouté. C'est l'unité de temps (entendons par là que les impacts sont analysés simultanément) et l'unité de lieu (c'est-à-dire que les impacts sont visualisés ensemble pour être étudiés ensemble) qui qualifient l'évaluation. C'est cette fusion (sans confusion) des analyses qui permet de progresser d'une gestion des risques vers un management du risque. Il est impératif d'associer les impacts économiques, juridiques et éthiques dans une même décision : s'agit-il d'accepter, d'augmenter ou de réduire le risque ? C'est pourquoi nous avons tant insisté sur la nécessité d'intégrer au sein d'un même référentiel de gravité, des critères économiques, juridiques et éthiques. Cette introduction faite, le diagnostic détaillé des impacts consiste à imaginer assez précisément les scénarios possibles une fois que l'accident est survenu. Incertitude oblige, ces scénarios seront parsemés d'hypothèses plus ou moins fiables. Mais l'intérêt est évidemment de vérifier l'exhaustivité des conséquences envisagées et de s'assurer que, parmi les événements engendrés, aucun ne soit plus important que le premier déclenché : ce qui modifierait la gravité du risque.
À ce titre, le sujet prête toujours à débat. Ne faut-il pas faire cette analyse précise systématiquement plutôt que d'attendre la décision d'un traitement et l'analyse détaillée ? La réponse est difficile car elle passe par l'acceptation d'une erreur toujours possible (mais dont l'expérience démontre qu'elle est peu fréquente) versus la rapidité nécessaire d'une évaluation qui préfère couvrir globalement le spectre des risques plutôt que de se concentrer longuement sur certains événements au ... risque d'en laisser d'autres de côté.
ri.
0
z
LL ,
o. 0
u
Probabilité de l'embauche interne d'un intérimaire = 0,3 x 0,3 x 0,9 = 0,081 Coût de l'embauche interne= 6 000 euros Part de l'embauche interne dans l'impact global de l'événement = 486 euros Cette analyse a aussi l'avantage de mettre en évidence les solutions les moins coûteuses et donc les chemins de l'arbre à favoriser autant que faire se peut afin de réduire les conséquences du risque. Ainsi, dans ce qui précède, l'embauche définitive d'un salarié ou d'un intérimaire d'une part, la fidélisation d'un soustraitant d'autre part, apparaissent comme des solutions à privilégier, lorsque les solutions à plus de 10 000 euros, comme le remplacement par de multiples intérimaires, sont évidemment à éviter. 221
Copyright© 2015 AFNOR.
"'"' "'
0
ni
Probabilité Départ en fin de projet
Coût
Impact
i:i" 00. ni
Vl .....
0,288
8 000
2 304
o· :::s
a..
ni Vl
-,
.,, ~..,
0,192
C:
~
Q.
iii
iii"
cr :::s
C
-
.s::. :::,
VI
Ill
~
3· "O QI
n ,...
3 0
0,009
10 000
90
~
00. ni
3 :::s ..... a.. (1) (1)
Conforme au poste
~
3 n,
..,n,
0 C:
:::s Perte de savoir-faire
Embauche
i:,
n,
C:
1440
Ill
-41
,...
12 000
0
-41
·~ .,,
n
(1) Vl
Départ anticipé
n,
11),
vï
..Q
C:
0,120
°'..,)>
Q.
960
Conforme au poste
n,
..,n,C"
5 000
0,081
6 000
486
Vl
-,
vï
Intérim
..Q
interne
0
C
il~r-1 ,
Remplacements multiples
-
0,210
__i... 0,060
16 000
3 360
1
4 000
1
240
1
14 000
1
560
~
r - - i "'I Fidélisation ~040 Non renouvellement 1
1 Coût global de l 'impact 1
9 440
C:
(1) Vl
L'appréciation et le traitement du risque
5.2.5 •
La surveillance et la revue des plans d'action
La vérification de l'efficacité des actions de réduction
La mise en place d'une action ne signifie malheureusement pas sa réussite. En gestion du risque comme ailleurs, il convient donc de vérifier l'efficacité des actions engagées, exigence bien fondée de toutes les normes de management. Cette étape est sans doute encore plus importante ici que dans tout autre domaine. En effet, l'échec de la résolution d'un dysfonctionnement se voit : le dysfonctionnement se poursuit, il est toujours aussi avéré qu'auparavant, avec peut-être moins d'intensité. L.'.échec de la réduction d'un risque ne se perçoit absolument pas tant que l'événement ne se reproduit pas. Et encore ! L.'.accident suivant pourrait démontrer, s'il est effectivement moins grave, le succès d'une solution de protection, tant est que les conditions de sa survenance tiennent de la « normalité ». En revanche, il ne nous apprendra pas grand-chose de l'efficacité d'une solution de prévention, sauf à attendre qu'il se reproduise encore et encore.
ri.
0
z
LL
-w
~ .;: ; C
~
CIi Cl)
"'
c(
CIi
::,
cr Cl)
"C
CIi
u
CIi
::,
0
"'
::,
::, C
._E CIi
ïo...
Figure 5.17 « Place des bonnes pratiques » au sein de la norme NF ISO 31000
148 Bernard Barthélémy, op.cit.
226
L'appréciation et le traitement du risque
Dans la norme NF ISO 31000, norme de « principes et lignes directrices » (il s'agit de son sous-titre), les bonnes pratiques sont disséminées un peu dans tous les chapitres et dans tous les paragraphes. On peut toutefois considérer qu'une bonne partie d'entre elles se retrouvent dans l'activité « Communication et concertation » (voir figure 5.17).
5.3.1
Les démarches participatives, les groupes de travail
La Direction, leader impliqué, doit encourager la concertation, les démarches participatives auxquelles la norme NF ISO 31000 conseille même d'associer les parties prenantes externes de l'organisme. Ce qui nous paraît parfois difficile quand il s'agit d'analyser la stratégie ou le management mais peut effectivement être très productif pour étudier des situations opérationnelles. Toute réflexion passe par la constitution de groupes de travail qui doivent selon les cas, envisager des scénarios pour apprécier les risques ou proposer des solutions pour lutter contre un danger. Il ne s'agit pas de « réunionnite » aiguë : un groupe de travail, ce n'est pas forcément quinze personnes qui se réunissent pendant des jours entiers ! Ce peut être seulement trois à cinq personnes qui prennent une demi-heure pour échanger sur un sujet ardu . Et qui, se faisant, évitent peut-être la mise en œuvre de trois plans d'action successifs, tous aussi peu efficaces les uns que les autres.
•
ri.
0
z
LL ,
o. 0
u
« Le management du risque est transparent et participatif » : neuvième principe de la norme NF ISO 31000. Associé au mot participatif, nous interprétons
le mot transparence comme le conseil de ne pas enjoliver des situations aux fins d'en taire les risques. Or, l'expérience démontre que cette transparence n'est pas facile à obtenir. Pour au moins deux raisons. Les multiples représentations du travail
La première de ces raisons réside dans les multiples représentations que peut revêtir le travail, dont nous avons tenté une modélisation ci-dessous (voir figure 5.18 ci-après). 227
De la gestion des risques au management des risques
Au centre du modèle se trouve le travail réel, celui que l'individu réalise et qui est finalement un peu différent chaque jour, même lorsqu'il s'agit de tâches extrêmement formatées. C'est évidemment celui qui intéresse le management du risque, celui qu'on souhaiterait percevoir pour estimer les risques qu'il subit comme les risques qu'il produit. Ce qui signifierait aller sur le terrain pour observer les situations de travail, la manière dont sont exécutées les tâches opérationnelles, la manière dont se pratique le management. Or, on sait que l'observation modifie le comportement de l'observé, ce qui revient à dire que le travail observé est une modification du travail réel. Même doté de marges de manœuvre, ce dernier est censé respecter quelques procédures et autres règles de gestion : c'est-à-dire le travail prescrit. Dans les faits, le réel ajuste le prescrit en permanence, parfois à tort (par exemple par méconnaissance des dangers et des enjeux), parfois à raison (le prescrit ne s'adaptant pas à la variabilité des situations de travail). Il faudrait donc s'attacher à comprendre les écarts constatés sans les critiquer a priori. Au final , l'observation transcrit la traduction que l'individu fait du travail prescrit. .. en la modifiant. Travail prescrit
Ajustement Interprétation
Traduction Travail réel
a'. 0 z u..
0.. 0
u
Figure 5.18 Les différentes interprétations du travail
Tout ceci reste conditionné par notre possibilité de descendre sur le terrain. Ce qui peut être le cas pour une analyse détaillée des risques mais est finalement assez rarement possible lors de l'évaluation des risques. Comme dans de nombreuses phases de réflexion, on réunit les personnes, on les extrait de leur poste de travail pour qu'elles nous décrivent et expliquent leurs situations 228
L'appréciation et le traitement du risque
de travail. Très souvent, ce travail raconté livre une interprétation très calculée du travail prescrit mais surtout une sublimation du travail réel. Exceptionnellement quelques diatribes mais finalement plutôt rarement : l'embellissement est plus fréquent que le dénigrement sans doute parce que ce dernier est source de souffrance. Nous venons donc de tourner autour du travail réel sans jamais pouvoir affirmer qu'on en a décrit la vérité. C'est ainsi, c'est normal, personne n'est à blâmer, sauf peut-être ceux qui affirment qu'il suffit d'analyser le travail prescrit pour savoir comment l'organisation fonctionne.
>Exemple Nous avons vécu cette expérience un peu déroutante d'un groupe d'ingénieurs méthode refusant d'accepter ce que nous leur rapportions de nos observations de terrain. Nous avions certes pris soin de rappeler qu'elles comportaient une part d'erreur due aux modifications induites par l'observation, modifications qui se traduisent d'ailleurs le plus souvent par un travail plus proche du prescrit qu'à l'habitude : méfiance de l'observé qui craint d'être rappelé à l'ordre ! Pourtant l'écart était encore suffisamment conséquent pour provoquer le refus de ces ingénieurs qui se considéraient comme remis en cause dans leur autorité : ce que nous disions n'était pas possible puisque les procédures qu'ils avaient écrites disaient le contraire ! «-
Mais nous l'avons vu de nos propres yeux !
- Impossible, vous avez mal observé ! » La présence d'un risque n'est pas une faute professionnelle
ri.
0
z
LL