Frédéric DUGAST, Cabinet QUALIENSE Conseil

La gestion des risques : de l'importance de connaître ses risques pour gérer efficacement son entreprise.

Connaitre ses risques pour diriger efficacement son entreprise

Frédéric Dugast – Directeur Associé.

Thomas RIVET – Directeur Associé.

Décembre 2014

La gestion des risques

« Connaitre ses risques, c’est déjà commencer à les gérer »

Risques Intrinsèques + Facteurs environnementaux – système de management des risques

=

Risques résiduels

Les Risques ! Approche Globale

Risques intrinsèques L’usine à créer du risque

5

Activités Industrielles *

Risques de défauts Sécurité

dit « risques industriels »

Risques de défauts Hygiène

Risques financiers

(trésorerie, capitaux)

Risques de non qualité

Risques humains (compétences,

social …)

Risques Clients/fournisseurs

Risques de non-conformité

…et

Risques Externes De nombreuses normes, un objectif commun :

• Norme ISO 31000 : principes, cadre et lignes

directrices (et guide ISO 73) et ISO CEI 31010 :

Techniques d’évaluation des risques. Elle reflète

les bons usages actuels et répond aux

questions suivantes:

• Que se passe-t-il et pourquoi ?

• Quelles sont les conséquences ?

• Quelle est la probabilité d’occurrence des

risques ?

• Existe-t-il des facteurs permettant de limiter

la conséquence du risque ou de réduire sa

probabilité d’occurrence ?

• Normes SEVESO : explosion, pollution de l’air,

des sols et eaux.

Les générateurs de risques sont regroupés en deux familles :

- Les industries chimiques produisent des produits

chimiques de base, des produits destinés à l'agroalimentaire

(notamment les engrais), les produits pharmaceutiques et de

consommation courante (eau de javel, etc.) ;

- Les industries pétrochimiques produisent l'ensemble des

produits dérivés du pétrole (essences, goudrons, gaz de

pétrole liquéfié).

Les conséquences d'un accident dans ces industries sont regroupées sous trois typologies d'effets :

- Les effets thermiques.

- Les effets mécaniques (déflagration ou détonation.

- Les effets toxiques.

Risques intrinsèques Qu'est-ce qu'un risque industriel ?

Un risque industriel majeur est un événement accidentel se produisant

sur un site industriel et entraînant des conséquences immédiates graves

pour le personnel, les populations avoisinantes, les biens et/ou

l'environnement.

Risques intrinsèques La première marche : l’identification et classification

Une explosion présente deux dangers primaires:

- Par les projectiles (qui peuvent endommager les biens,

blesser ou tuer les personnes).

- Par l’onde de pression ou « effet de souffle » (qui peut

briser les vitres voire les murs, détériorer les tympans

voire les poumons).

Danger secondaire possible : émission d’un nuage toxique,

si un réservoir est endommagé par l’explosion.

Ex : Le risque d’explosion

Exemple : AZF L'explosion qui s'est produite le vendredi 21 septembre 2001 dans la banlieue de Toulouse, est la plus grande catastrophe industrielle de l'après-guerre en France :

• 31 personnes décédées. • 2400 blessées victimes soit de brûlures, soit de

lésions dues aux projectiles, soit de "blast" (dégâts sur les organes causés par l'onde de pression).

• Plusieurs milliers de personnes n'ont plus de logement.

• Beaucoup de commerces et d'industries sont affectés durablement dans leur activité.

• Les équipements publics sont aussi très touchés. • Environ deux mille personnes sont mises au

chômage technique.

Le risque toxique

env

Environnement Interne de

l’Entreprise

Environnement Externe

Accélérations, ruptures, et mutations technologiques

Choix et objectifs stratégiques

Culture, valeurs, missions, règles et procédures

• Les risques auxquels vous devez faire face ont des origines diverses, ils ont toujours existé, car inhérents à

toute activité (et sous certains aspects souhaitables).

• Cependant certains facteurs internes et externes peuvent venir amplifier ou modifier la cartographie

connue des risques de votre entreprise.

• Ainsi, les différents facteurs environnementaux de votre entreprise conditionnent les transformations qui

s’opèrent sur vos activités et vos compétences.

Environnement immédiat

Risques intrinsèques La première marche : l’identification et classification

Risques externes

Risques stratégiques

Risques évitables

Management des risques La première marche : l’identification et classification

La gestion de vos risques doit

s’adapter à ces évolutions

afin de rester pertinente

Ces facteurs induisent une

transformation permanente du

profil de risques de votre

entreprise

Les entreprises intelligentes adaptent leur approche à la

nature des menaces auxquelles elles sont confrontées

Renforcer votre résilience Anticiper et être prêt

Management des risques Une gestion des risques adaptées

Identification / évaluation / gestion appropriée

Type de

Dispositif

Éviter qu’ils ne se

produisent

Objectif de

maitrise des

risques

Réduire leur probabilité et

leur impact

Réduire leur impact dans le

cas où ils surviendraient

Risques internes à l’entreprise, ne génèrent aucun gain stratégique

Risques accepté stratégiquement

pour dégager un avantage

convenable

Risques aux sources extérieures

et incontournables

Modèle intégré et conformité:

Développement et formalisation

de la culture, règles et

formalisation des procédures et

contrôles

Modèle d’évaluation

dynamique des risques liés

aux objectifs stratégiques:

Outils d’identification :

cartographie

sévérité/occurrence,

probabilité d’impacts, KRI

Modèle d’évaluation :

Évaluation des risques

extrêmes, tests de résistance,

planification scénario et jeux

de test

Typologie de

risques

Management des risques Les outils de gestion du risque

Avec la cartographie, les analyse de scénario, les

tests, le MCA

Avec la gestion des incidents, les KRI, les plans de remédiation

Analyse prospective : on analyse ce qui peut se passer, on cherche à les éviter ou on se prépare à minimiser les impacts.

Amélioration continue : on analyse le passé pour s’améliorer.

PILOTAGE

PERFORMANCE

Management des risques Les outils d’aide à la Performance

Gestion des incidents

• Plan de sensibilisation et de prévention (rappel des normes et règles, des

conséquences possibles…).

• Gouvernance dans l’entreprise.

• Allocation de ressources (task force, responsable Risques, valeurs de l’entreprise).

KRI

Plans de remédiation et Amélioration

Continue

• Organisation de la collecte (fiche de remontée, classification, périodicité).

• Analyse (causes / impacts) : mesure de l’impact et de la sévérité.

• Communication : échanges terrain, recherche du consensus, appui du management. • Suivi des Plan d’actions.

• Mesures de la production (du KPI au KRI).

• Définition de seuils d’alerte.

• Tableau de bord.

Comprendre et s’améliorer

Management des risques Les outils de pilotage (identifier)

Cartographie

fréquence

sévérité

A couvrir absolument

Minimiser l’impact s’il se réalise Gestion à

moindre coûts

Amélioration continue

Humaines Processus Machine

SI Stratégique

Externes

Fraude Erreur fabrication

Dommages physiques RH

Défaillances Machine Défaillance SI

Pratiques commerciales

Sécurité Hygiène Qualité

Pertes financières Coût d’opportunité Image/ réputation Conditions emploi Environnement

Causes Conséquences /

Impacts

Evénement

de risques

Analyse de probabilité / impacts Analyse Causes / Conséquences

Risque majeur (courbe Farmer)

• Ex risque naturel majeur phénomènes géologiques ou atmosphériques aléatoires. • Le risque technologique majeur est le risque engendré par l'activité humaine.

• Résilience : minimiser l’impact en cas de survenance d’un évènement majeur.

• Principe clef: dégradation des activités.

• Mise en place de scénarii probables.

• Définition du niveau d’appétit / risque maximum.

• Quantification des moyens et ressources nécessaires.

• Outils d’identification, d’arbitrage (appétit aux risques) et de prise de décisions.

• Sensibilisation.

Analyse de scénarii, Stress tests

MCA (continuité d’activité)

Gestion de crise • Résilience : Evénement défensif extrême.

• Se préparer pour résister.

Penser les changements plutôt que changer les pansements !

Management des risques Les outils de pilotage (anticiper)

Management des risques Les outils de gestion du risque

PERFORMANCE

PILOTAGE

Gouvernance grande ETI

• Responsable désigné.

• Correspondant(s) Risques

Métiers.

• Comité Risques.

• Des outils formalisés

d'analyse et de reporting.

• Animation globale.

Gestion des risques TPE / PME

• Le DG ou un membre du codir

à l'initiative.

• Réflexions 15 mn par réunion.

• Mise en place de bonnes

pratiques et outils simples

(cartographie / KRI).

MISE EN PLACE ADAPTÉE

Objectif de Résilience : minimiser l’impact en cas de survenance de l’évènement :

1. Préparation des ressources et moyens de la résilience.

2. Formation / Sensibilisation.

MCA (continuité d’activité)

Management des risques Les outils de pilotage (anticiper)

1. L’analyse d’impact (BIA) et des besoins :

• Choix des scénarii retenus et à couvrir : indisponibilité partielle ou total de l’usine, grèves, épidémie …

• Découpage des activités en mode dégradé : analyse des process vitaux et critiques / clients vitaux.

• Durées critiques, DMIA et RTO = H+4 / J / M.

• Recensement des besoins : matrice de compétences, effectifs secours nécessaires.

• Définition des moyens de secours : back up logique et technique (DRP)/ télétravail / site secours / abandon.

Teleph Hardware

Commu

nicatio

n

enregis

trée

Besoin

materiel

IT

Type de flux Service concerné De qui/quoiType de

flux

Service

concerné

Vers

qui/quoi

Nature/T

ype du

produit

traité

Tâches effectuées en

secours

Tâches

abandonnées en

secours

Clients

finaux

%

d

e

s

o

p

Volumét

Activité

concernée

PNB ou

FGX

annuels

(en M€)

Descripti

on

activité/se

rvice

Flux entrants Flux sortants

Sigle

serviceSous-famille d'activité RTO

Commentaires

DMI

A

Durée

critique

(1)

2. Animation du MCA:

• Tests techniques et réels (déplacement physique).

• Procédure de déclanchement .

• Documentation de la procédure (arbre de décision, listes des tâches / acteurs.

• Sensibilisation du management intermédiaire.

Gestion de crise

Management des risques Les outils de pilotage (résister)

Résilience : Evénement défensif extrême.

1. Se préparer pour résister:

• Définition des rôles et responsabilités (Gouvernance/

organisation production/ communication interne et

externe) : call tree.

• Tests (scénarii).

2. Activation:

• Déclenchement de la cellule.

• Check list de crise.

• Gestion de la crise (gouvernance de crise).

3. Sortie de crise et retour à la normale:

• Organisation du retour à la normale.

• Reprise des activités dégradées.

• « lesson learnt » et plan d’amélioration.

Déclinaison par processus,

par business unit, par activité

18

Point d’évaluation : combinaison d’activités, de processus et de point organisationnel

Description du point d’évaluation

Collecte des pertes du périmètre

Risque 1

Risque N

Contrôle relatif 1

Contrôle relatif N

Evaluation du risque résiduel

Evaluation du risque résiduel

Plan d’action

Plan d’action

Management des risques Risque Résiduel

Outils d’aide à la décision

• Stratégique.

• Organisationnel.

• Opérationnel.

Conclusion :

La gestion des risques de votre entreprise consiste donc

À avoir une bonne vision des risques auxquels vos activités vous exposent.

Comprendre leurs impacts sur vos activités.

Décider de votre appétit à ces risques.

En conséquence, mettre en place les moyens organisationnels et humains …

… pour les éviter, ou modérer leur impact en cas de survenance.