Gestion des risques

La gestion des risques est le processus de planification en fonction de ces

événements. Une bonne gestion des risques signifie réfléchir à l’avance
aux événements indésirables qui pourraient se produire et prendre des
mesures qui réduisent l’incidence potentielle de ces événements avant
qu’ils ne se produisent.

Un Risk Analyst (ou analyste des risques) est un professionnel qui a pour mission de :
Identifier, évaluer, prioriser et réduire les risques qui peuvent nuire aux performances,
à la sécurité ou à la conformité d'une entreprise.
Cela peut inclure :
 Des risques industriels (pannes, accidents, qualité)
 Des risques financiers ou juridiques
 Des risques organisationnels (retard, mauvaise communication)
 Des risques humains (fatigue, surcharge de travail)
 Des risques liés à la conformité (non-respect des normes)
Il ne cherche pas à supprimer tous les risques, mais à les gérer intelligemment.

Le Risk Analyst est plutôt opérationnel : il fait les analyses sur le terrain, avec les données.
Le Risk Manager est plus stratégique : il supervise, priorise les risques majeurs de
l'entreprise.

Quand une entreprise prend des décisions, elle doit penser aux conséquences pour la
société : pollution, sécurité des produits, santé publique, etc. L’auteur dit que gérer les
risques, ce n’est pas juste respecter la loi, mais agir de façon responsable et honnête.

Les maîtres mots de l’intégration prospective des risques de société dans les systèmes de
gestion de l’entreprise sont donc :
•Volonté : car rien ne se fait si on ne le veut pas vraiment
• Connaissance : car on n’agit que sur ce que l’on connaît
•Mesure : car le traitement dépend de la gravité
• Concertation : car seul le risque jugé acceptable peut être accepté
•Transparence : car la dissimulation est pire que l’imperfection

Ce texte critique les entreprises qui font « semblant » d’être responsables (avec des beaux
discours, des campagnes écolo, etc.) mais qui, en réalité, ne changent rien. Il dit que le vrai
changement demande du courage, du dialogue et de la sincérité.

Un système de management, fondé sur le principe de la « Roue de

Deming* » (Planifier, Faire, Contrôler, Réagir) est une bonne base, sous
réserve que ce système soit adopté par l’ensemble de la hiérarchie.

* Roue de Deming, également connue sous le nom de méthode

PDCA (Plan-Do-Check-Act), est un cycle itératif d'amélioration
continue utilisé pour améliorer les processus, les produits et les
service.
Un risque est une situation (résultant d’événements simultanés ou
successifs) dont l’occurrence est incertaine et qui affecte les
objectifs d’un individu ou d’une organisation.
Deux natures d’impact
 Effets positifs → opportunités ou « chance », souhaitables.
 Effets négatifs → ceux que l’on redoute et que l’on cherche à
éviter ou maîtriser.
Le risque n’est donc pas toujours synonyme de danger : il est
ambivalent et dépend de ses conséquences sur les objectifs
poursuivis.

Un risque se caractérise donc par deux grandeurs :

• Sa probabilité d’occurrence, ou fréquence f.
• Ses effets, ou gravité G.
Un risque se mesure par le produit de ces deux grandeurs, sa
criticité C :

C=fxG
Sources de risques = les origines possibles des événements
dangereux.
Source de Exemple industriel
Définition
risque réel

Panne ou défaillance
Compresseur qui
Technique d’équipement, de matériel,
tombe en panne
d’infrastructure

Mauvaise gestion, défaut

Organisationnell Oubli de mise à jour
de coordination ou
e d’un planning
d’information

Mécanicien mal
Erreurs humaines, fatigue,
Humaine formé qui mal serre
négligence
une vis

Phénomènes climatiques, Orage causant une

Naturelle
sismiques, etc. coupure de courant

Politique / Changement de loi, Nouvelle exigence

juridique nouvelle norme, grève FAA ou EASA

Augmentation
Économique / Variation de prix, crise,
brutale du prix d’une
financière budget insuffisant
pièce
 Source de Exemple industriel
Définition
risque réel

Base de données de
Informatique / Bug, cyberattaque, perte
maintenance
numérique de données
corrompue

Les objets du risque sont les éléments affectés par le risque. On

les appelle aussi les cibles du risque.
Objet du risque Description Exemple

Santé, sécurité du Technicien blessé par chute

L’homme
personnel d’une pièce lourde

L’environneme Pollution, bruit, Fuite d’huile hydraulique

nt déchets dans l’atelier

L’outil de Machines, Panne de tour ou retard

production installations machine

Qualité, conformité, Pièce non conforme ou

Le produit
délais livrée en retard

Image, finances, Retard client important →

L’entreprise
fonctionnement perte contrat

Satisfaction, sécurité, Avion bloqué au sol faute de

Le client
confiance documentation

Le traitement du risque est l’ensemble des actions mises en place pour

réduire la criticité d’un risque identifié.

Autrement dit, c’est :

 agir sur le risque, en réduisant sa fréquence (probabilité) et/ou sa

gravité (impact), jusqu’à un niveau acceptable.
Le but n’est pas toujours de l’éliminer, mais de le maîtriser
intelligemment.

Traiter le risque n’est pas une fin en soi. Ce qui compte, c’est trouver
l’optimum entre les coûts de traitement et le coût du risque.

Le choix d’un programme de gestion des risques se fait donc selon deux critères
:

• Un critère technique : quels sont les instruments les plus efficaces pour
traiter un risque, compte tenu de la nature de ce risque et de sa gravité
présumée ?
• Un critère financier : les instruments sélectionnés sont-ils d’un coût rai
sonnable par rapport à la criticité (fréquence x gravité) du risque ?

Éléme Significati
nt on

f× Criticité du risque avant traitement

G (fréquence × gravité)

f′ × Criticité après traitement

G′ (résiduelle)

Coût annuel moyen de l’investissement pour

I/n
traiter le risque

F Frais fixes annuels liés à ce traitement (entretien, formation,

F maintenance)

D’un côté, nous avons gagné : C - C’ = (f x G) - ( f’ x G’).

De l’autre, nous avons dépensé : I/n + FF

Le jeu en valait la chandelle si et seulement si le gain annuel lissé excède le

coût annuel moyen, soit si : (f x G) - ( f’ x G’) >
I/n + FF
Les étapes de la gestion des risques

Diagramme de KIVIAT

Le diagramme de Kiviat (radar), diagramme en toile d'araignée sert à

représenter sur un plan en deux dimensions au moins trois ensembles de
données multivariées .

En gestion des risques, on ne se contente pas d’un seul critère comme la

gravité. Il faut souvent prendre en compte plusieurs facteurs :

 Gravité du risque
 Probabilité d’occurrence
 Capacité de détection
 Coût du traitement
 Impact réglementaire
 Impact sur la réputation
 Délai de traitement

Le diagramme de Kiviat permet de voir tous ces critères à la fois, et de :

 Repérer les risques les plus critiques, comparer plusieurs scénarios ou

options, et décider quelle stratégie de traitement est optimale
 Comparer la situation initiale et finale cad les risques initiaux et les résiduels
 En gestion des risques, un tel diagramme pourrait être utilisé pour
visualiser le profil de risque d’un projet.

MATRICE DES RISQUES

Une matrice des risques est un outil d’analyse qui permet d’évaluer en
amont la probabilité et la gravité des risques liés à un projet. Une fois
ces deux éléments évalués, vous pouvez alors représenter chaque
risque de manière visuelle dans votre matrice afin d’en calculer les
éventuelles répercussions

Types de risques

Pour ce faire, vous devrez tout d’abord dresser une liste complète des risques à
représenter dans votre matrice.

 Risque stratégique : les risques stratégiques correspondent aux problèmes

de performances et mauvaises décisions, concernant par exemple le choix du
fournisseur à qui faire confiance ou du logiciel à utiliser pour un projet.

 Risque opérationnel : les risques opérationnels sont des erreurs de processus

ou de procédure, comme une mauvaise planification ou un manque de
communication entre les équipes.

 Risque financier : ces risques concernent l’ensemble des événements

entraînant des pertes de bénéfices pour l’entreprise, notamment les évolutions
du marché, les actions en justice ou encore la concurrence.
 Risque technique : les risques techniques sont en lien avec la technologie de
l’entreprise. Il peut s’agir par exemple de failles de sécurité, de pannes de
courant et de connexion internet ou de dommages matériels

 Risque externe : les risques externes échappent totalement à votre contrôle :

inondations, incendies, catastrophes naturelles ou encore pandémies.

Les étapes pour réaliser une matrice des risques :

Qu’est-ce qu’un risque résiduel ?

Le risque résiduel est le risque qui reste après avoir appliqué les mesures de
traitement (réduction, transfert, etc.).
Même si on traite un risque, on ne peut jamais le supprimer à 100 %, donc il
reste une part de perte potentielle : c’est ça qu’on appelle le risque résiduel.

Deux grandes méthodes de financement

Méthod
Description Exemple
e

L’entreprise garde le risque Constitution d’un fond de

Rétenti
et le paie avec ses propres réserve, auto-assurance,
on
ressources si besoin. provision comptable.

Assurance, contrat de
Transfe L’entreprise transfère le
garantie, outsourcing avec
rt coût potentiel à un tiers.
clause de responsabilité.

Une méthodologie en 3 étapes :

Gérer un risque consiste après l’avoir identifié et mesuré, à prendre

des dispositions permettant :

• D’abord de limiter l’incertitude, en réduisant sa probabilité d’occurrence ou

ses conséquences,

• Ensuite, de financer les conséquences résiduelles du risque

METHODES DE MAITRISE DES RISQUES :

AMDEC : (Analyse des Modes de Défaillance, de leurs

Effets et de leur Criticité)
Identifier les défaillances possibles d’un système, en prévision, pour éviter ou
limiter les conséquences négatives (qualité, sécurité, coût, fiabilité...).
C’est une méthode structurée, préventive, collaborative, utilisée avant que le
problème ne survienne.

Défaillance
C’est la perte partielle ou totale d'une fonction attendue d’un système,
composant ou processus.

TYPES D’AMDEC
Type Cible analysée Exemple industriel

AMDEC Composant, sous- Injecteur, capteur,

Produit système structure

AMDEC Étapes de Peinture, usinage,

Processus production assemblage

AMDEC Ensemble Chaîne d’alimentation

Système technique électrique, avion

STRUCTURE D’UNE AMDEC

Éléments à analyser :
Élément Définition technique

Fonction Fonction que le système doit remplir

Mode de
Façon dont la fonction peut échouer
défaillance

Effet Impact de la défaillance sur le système/client

Origine de la défaillance (technique, humaine,

Cause
etc.)

Gravité (G) Niveau de conséquence si la défaillance survient

Occurrence (O) Fréquence estimée de la cause

Détectabilité Probabilité que la défaillance soit détectée AVANT

(D) l’effet

Indice de Priorité du Risque : IPR=G×O×D\

IPR (ou RPN)
text{IPR} = G × O × DIPR=G×O×D

La détectabilité représente la probabilité que la cause d’un mode de défaillance

soit détectée AVANT que l’effet n’apparaisse.

Elle répond à la question :

"Avons-nous une chance de détecter le problème avant qu’il ne provoque une
conséquence négative ?"

Plus D est ÉLEVÉ, plus la détection est DIFFICILE.

Donc un score élevé de D = MAUVAISE capacité de détection.

Types d’AMDEC :

AMDEC PRODUIT :
Appliqué au produit, l’AMDEC consiste à analyser la conception d’un produit
dans le but d’améliorer sa qualité et sa fiabilité prévisionnelle
AMDEC PROCESSUS :
Avant même le choix des machines, l’AMDEC Process a pour but d’évaluer les
points critiques du procédé établi. Suite à cette analyse, des modifications
pourront être apportées. C’est aussi l’occasion de d’élaborer le plan de
surveillance.

AMDEC MOYENS :
L « AMDEC moyens » est aussi appelée « AMDEC moyens de production » ou «
AMDEC Machine ». Elle concerne l’analyse des défaillances liées aux machines.