LA GESTION DES RISQUES POUR LA PME

UN ATOUT POUR UN MEILLEUR DEVELOPPEMENT?

Lausanne
Hotel Mövenpick
Le vendredi 28 juin 2013

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 1

 Sommaire

Pourquoi mettre en place une gestion des risques?

Périmètre et définitions

Quelle démarche pour mettre en place une gestion
des risques

Identification, évaluation des risques et granularité

Illustration d’une démarche

A faire

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 2

 Pourquoi mettre en place une gestion des risques ?

Pour répondre à des exigences réglementaires

(art. 663b du CO, art 728b du CO, MSST…)
Gestion des risques

Pour répondre à des normes que vous avez souhaitées

mettre en place (ISO 27001, 22000 et 31000, COSO, etc…)

Pour les besoins de votre organisation interne (bug, erreur,

anticiper une éventuelle criminalité économique
interne ??? etc….)

Pour répondre aux exigences de vos administrateurs,

banquier, assureur, partenaire, clients…

Pour dégager une méthode commune et un

système de gestion commun.

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 3

 Les grandes familles de risques

Informations
non financières
Informations
Image financières
(Etats financiers)

Management
Santé des des risques Financier
personnes
d’entreprise

Opérationnel
Environnement
(yc qualité)

Conformité
aux lois

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 4

 Définition d’un risque

Risque (ISO 31000):

« le risque est l’effet de l'incertitude sur les objectifs »

Anciennement:
« le risque est la combinaison de probabilité
d’évènement et de sa conséquence »

Objectif:
les informations
financières doivent être
justes

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 5

 Définition d’un risque brut et résiduel

Risque brut et risque résiduel

Le risque brut ou inhérent est le risque avant le
traitement du risque
Le risque résiduel est le risque subsistant après le
traitement du risque

Un risque résiduel peut également être appelé « risque pris »

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 6
 Définition d’un contrôle

Contrôle = Moyen de maîtrise = protection

Mesure qui modifie un risque

Un contrôle du risque inclut n'importe dispositif,

pratique ou autres actions qui modifient un
risque

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 7

 Les acteurs

MEMBRES DU CONSEIL MEMBRES DE LA DIRECTION

ADMINISTRATION • Nomme le risk manager
• Annexe des comptes • Communique
• Libère les ressources • Oriente les ressources
nécessaires

RISK MANAGER PROPRIETAIRES DU RISQUE

• Chef de projet • Responsable du risque
• Promeut la culture • Gère le risque
• Centralise les infos

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 8

 ISO 31000 Management du risque

a) Crée de la valeur Mandat et

b) Fait partie intégrante du cadre Etablissement du
Engagement
organisationnel contexte
c) Eléments de prise de décision
d) Traite explicitement de
Conception du cadre Appréciation
l’incertitude

Communication et concertation
organisationnel du du risque
e) Systématique, structuré et en
management du risque

Surveillance et revue
temps utile Identification du
f) S’applique sur la meilleure risque
information possible
g) Adapté Amélioration Mise en œuvre du
h) Tient comptes des facteurs Analyse du
continue du cadre management du
humains et culturels risque
organisationnel risque
i) Transparent et participatif
j) Dynamique, itératif et réactif Evaluation du
au changement risque
Surveillance et
k) Facilite l’amélioration revue du cadre
continue et le développement organisationnel
de l’organisation Traitement du
risque

PRINCIPES CADRE PROCESSUS

Art. 3 Art.4 Art.5

Source: International Standard Organization 31000

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 9

 Quelle démarche pour identifier les risques ?

Méthode inspirée d’ISO 27001 : en partant des actifs

Actifs = locaux, personnes, information, machines, mobilier,
surfaces autour des locaux, etc.
1. Identifier les actifs de l’entreprise (yc les personnes)
2. Classer les actifs par importance pour l’entreprise et par
impact sur un autre actif
3. Evaluer les risques
4. Mettre en place les protections/contrôles/mesures
5. Surveiller les protections/contrôles/mesures
6. Inventorier les incidents, accidents et presque accidents
7. Réévaluer les risques

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 10

 Evaluation des risques

Niveau de probabilité (occurrence d’un événement)

Une fois les risques identifiés, nous pouvons attribuer une
probabilité d'occurrence de la concrétisation du risque.

Niveau d'impact
De même, l'impact d'un risque est déterminé par rapport aux
conséquences d'un incident ou accident.

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 11

 Probabilité et impact – détails et pondération

PROBABILITES IMPACTS
POSSIBLES POSSIBLES

Peu probable 1 Insignifiant 1

Probable 2 Modéré 3

Très probable 4 Significatif 6

Certain 6 Critique 15

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 12

 Niveau de probabilité

Langage commun
Probabilités possible Note
Peu Le risque doit être considéré car il peut se
1
probable produire.

Le risque est connu sur la base de comparaisons

Probable 2
interprofessionnelles ou produits.

Les comparaisons interprofessionnelles

Très
montrent que le risque se produit relativement 4
probable
souvent

Certain Le risque peut difficilement être évité. 6

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 13

 Niveau d’impact

Langage commun
Impacts possible Note

Pas ou très peu d'influence sur la marche de

Insignifiant 1
l’établissement

Baisse ponctuelle du chiffre d'affaire, du

Modéré 3
bénéfice ou de la valeur de l’établissement

Baisse significatif du chiffre d'affaires, du

Significatif 6
bénéfice annuel ou de la valeur de l’entreprise

Met en péril l’établissement et/ou ses

Critique 15
partenaires

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 14

 Evaluation des risques

Calcul du RPN (Risk Priority Number)

Le niveau de risque est calculé sous la forme du RPN
RPN = Probabilité * Impact

Niveaux possibles de risque

Nom Définition Couleur

Grave RPN ≥ 15 Rouge

Important 6 ≥ RPN > 14 Jaune

Faible 0 ≥ RPN > 5 Vert

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 15

 Evaluation des risques

Ceci permet de construire la matrice des niveaux en fonction de l'impact et la

probabilité estimés du risque:

Probabilité estimée

Peu probable (1) Probable (2) Très probable (4) Certain (6)

Critique (15) Grave (15) Grave (30) Grave (60) Grave (90)
Impact

Significatif (6) Important (6) Important (12) Grave (24) Grave (36)

Modéré (3) Faible (3) Important (6) Important (12) Grave (18)

Insignifiant (1) Faible (1) Faible (2) Faible (4) Important (6)

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 16

 Exemple d’évaluation du risque

Risque de vol dans le magasin

Brut / Inhérent Résiduel Futur

Protections/ Mesures Projets
Probabi- Probabi- Probabi-
Impact contrôles existants Impact d’amélioration Impact
lité lité lité
• Caméra de surveillance • Engager un
• Ronde dans le magasin agent de
• Affichage de mise en Signifi- sécurité Peu
Très Signifi- Probable
catif Probable Modéré
probable catif garde (2)
(6) (1) (3)
(4) (6) • Accord d’intervention
avec la police

= (24) grave = (12) important = (3) faible

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 17

 Quelle granularité du risque adopter ?

Granularité d’un risque:

La notion de granularité définit la taille du plus petit

élément, de la plus grande finesse d'un système.

? ? ?
02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 18
 Risque Protection/Contrôle Risque
BRUT/INHERENT Mesure RESIDUEL/NET

 Système de
Risque badge Risque
d’intrusion  Caméras d’intrusion

 Système
d’alarme

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 19

 Risque Protection/Contrôle Risque
BRUT/INHERENT Mesure RESIDUEL/NET

Risque d’intrusion Risque d’intrusion

physique par badge  Système de badge physique par badge
 Caméras
Risque d’intrusion Risque d’intrusion
physique par  Présence 24/24 physique par
effraction  Système d’alarme effraction

 Firewall
 Cryptographie
Risque d’intrusion Risque d’intrusion
informatique par  Antivirus & troyen informatique par
Internet software Internet
 Droits d’accès IT
Risque d’intrusion Risque d’intrusion
 Mobile computer
informatique depuis informatique depuis
policy
les bureaux les bureaux

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 20

 Illustration d’une démarche
Situation inhérente Situation résiduelle / actuelle Situation à atteindre
Identifier (sans protections / contrôles) (avec protections / contrôles actuels) (avec protections / contrôles à mettre en place)
vos actifs
1 4 Risque d’incendie 5 Protections / contrôles 8 Projets d’amélioration
Mesures

Installation d’extincteurs et

Détecteurs fumée de couverture anti-incendie

Assurance incendie perte
Contrôle des installations
d’exploitation électriques

Interdiction de fumer
Installation de zones fumeurs
à l’extérieur des locaux
Causes
2
Négligence 6 Evaluation du risque
Classer actifs
Malveillance Critique Certain
par importance
Défaillance technique
Significatif Très probable
=
Modéré Probable Important
Conséquences
Insignifiant Peu probable
- Financières
Procédure
3 d’évacuation des Surveillance de contrôles clés Evaluation du risque
Evaluation du risque
7
locaux
Check du bon fonctionnement
Critique Certain des détecteurs de fumée Critique Certain

Significatif Très probable Réévaluation de la police Significatif Très probable

= d’assurance =
Modéré Probable Majeur Modéré Probable Faible

Insignifiant Peu probable Insignifiant Peu probable

02.07.13 etheos Sàrl – www.etheos.ch – [email protected] 21

 Avantages d’une gestion des risques

5 % d’augmentation de productivité

3 % de réduction des coûts de production

5 % de réduction des coûts de maintenance

1 % de réduction des investissements

20 % de réduction des frais d’assurance.

Etude The business case for process safety, effectué par le Center for Chemical
Process Safety (CCPS) Canada. http://gpp.oiq.qc.ca/gestion_des_risques.htm

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 22

 A faire

Etablir un manuel détaillant la méthodologie

Le risque zéro n’existe pas.

Obtenir l’adhésion des principaux acteurs

Faire évoluer la gestion des risques

Les experts métiers sont vos collaborateurs

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 23

 Merci pour votre attention

etheos
Mayoresses 3
1012 Lausanne
www.etheos.ch
[email protected]

Robert Corminboeuf
+41 21 653 5927
+41 79 434 9569

Partenaire éditeur de logiciel

02.07.13 Copyright © - etheos Sàrl - www.etheos.ch - [email protected] 24