Notions et pratiques en matière de Management des risques

Préliminaires

De manière générale, toutes les entreprises adoptent leur propre système stratégique en matière de Management des risques, selon la situation dans laquelle elles se trouvent. C’est pourquoi, il n’y a pas un système, mais des systèmes propres à chaque personnalité morale.

Qu’est-ce que le Management des risques, et ce qu’il inclut…

Plus souvent connu sous le nom de Gestion des risques, le Management des risques est l’ensemble des actions menées par une entreprise, dans le but d’éviter tous facteurs perturbateurs qui pourraient nuire à celle-ci, en tout cas tous ceux qui pourraient nuire à l’atteinte des objectifs de cette dernière.

En général, ce sont des facteurs environnant l’entreprise elle-même. C’est pourquoi, dans la Gestion des risques, l’on veille particulièrement à stabiliser le milieu environnant, de façon à rendre ce dernier le plus stable possible. De cette façon, la survenue des risques est réduite au maximum.

Pour autant, si jamais, ceux-ci n’ont pas pu être totalement évités, pour une raison ou pour une autre, les démarches de sauvegarde peuvent être optimisées, dès lors que les types de risques sont clairement identifiés.

De quel risque s’agit-il, précisément ?

En Management des risques, le Responsable en charge de prémunir l’entreprise à l’égard de ceux-ci, doit prendre en considération tous les risques, sans exception.

Nous distinguerons, en tout, au sein de ce propos,  5 types de risques, à savoir :

– En premier lieu, il y a les risques naturels. Comme leur nom l’indique, il s’agit de tout ce qui est causé par les catastrophes naturelles : cyclone, séisme, neige, etc..

– En second lieu, nous trouverons les risques humains, c’est-à-dire, ceux qui incluent l’industriel, l’urbain et le domestique, matérialisés au travers de manipulations inappropriées et dommageables. A ce titre, nous classerons dans cette catégorie les risques environnementaux qui en découlent, et de façon plus terre à terre une communication déficiente relatifs à ces derniers, à l’attention de tiers.

– En troisième lieu, les risques financiers suivent. En effet, la faillite de l’entreprise en est un exemple très concret.

– Ensuite, les risques politiques ; en réalité, ce sont les éventuels dégâts causés par la politique, lors des changements de réglementation technique, environnementales et/ou fiscales. Sans aller jusqu’au changement de loi(s) quelconque(s), cela peut être dû également à de simple changement de posture concernant un secteur d’activité et/ou une profession.

– Enfin, et non des moindres, les risques sociaux.

Quelle démarche faut-il adopter dans le Management des risques ?

Comme nous l’avons évoqué précédemment, chaque entreprise a sa propre manière de mener son dispositif de Management de risque. Mais généralement, les concepts sont les mêmes (nous en parlerons de manière plus détaillée à la fin de cet article).

Ainsi, tout commence tout d’abord, par la prise en compte du contexte. En effet, les entreprises du BTP n’auront pas les mêmes caractéristiques qu’une société qui intervient dans le marketing et/ou le commerce, par exemple.

La première étape est donc la détermination du domaine sur lequel on va travailler, sans oublier les enjeux qui y sont liés. Ce n’est qu’alors que les critères clés d’analyse de risques pourront être fixés.

Ensuite, il faut apprécier et/ou affermir les risques. Autrement dit, il faut identifier d’où ils peuvent provenir, ainsi que leur(s) impact(s) éventuel(s), dans la vie et/ou l’organisation de l’entreprise. Pour ce faire, l’on essaiera d’envisager quelques scénarios susceptibles de survenir, tout en veillant à ce qu’ils demeurent plausibles.

L’évaluation du risque renvoie à l’appréciation d’une échelle de criticité allant de la plus faible à la plus préjudiciable. Ce n’est donc qu’une fois ces étapes satisfaites, que l’on peut décider de la manière dont on traitera les risques potentiels. Pour cela, il existe plusieurs moyens de les gérer !

Les différentes manières de piloter efficacement le Management de risques ?

Les entrepreneurs ont un large choix, pour ce qui est de la façon avec laquelle ils vont intégrer le Management des risques.

Premièrement, il y a la prévention du risque ; il s’agit des actions préventives qui visent à éviter les mauvaises surprises. Si pour certaines entreprises, l’achat de matériels de sécurité constitue leur seule manière de manager le risque, pour d’autres, cela se manifeste autrement.

On sait que les entreprises sont toutes différentes. Chacune d’elle agit dans son propre domaine. Or, le mode de fonctionnement de certaines de ces firmes est on ne peut plus dangereux ; citons, ici, les industries, par exemple. Pour celles-ci, l’acceptation du risque est une étape importante. En effet, elles prennent entièrement la responsabilité de faire face aux éventuelles conséquences du risque encouru, et agissent (ou non) en conséquence.

D’autres sociétés optent pour les activités de réduction de risque. Pour cela, elles procèdent à ce que nous appelons, communément, un “Audit interne”. En d’autres termes, elles examinent le respect des procédures et des règles de Management, aux fins d’évaluation des dispositifs de contrôle, ce qui participe à l’analyse et à la maîtrise des risques qui peuvent survenir.

Il n’est pas rare, alors, de voire émerger dans certaines structures, dont la taille et les moyens le permettent, un service de Risk Management. Celui-ci, après cartographie des risques, aura pour principale mission de s’assurer de l’absence d’écart entre la réalité du moment et la situation « souhaitée » pré-analysée. Mais, il pourra également faire évoluer la stratégie de l’entreprise, si nécessaire, en remontant les informations ad’hoc auprès de la Direction, à cet effet.

Aussi, cela n’empêche nullement de transférer ces risques potentiels vers d’autres entreprises. Ces dernières étant spécialement créées pour assurer les risques…Point d’origine de contrats d’assurance.

PCA, le Management des risques et l’ISO… Des liens assez étroits

Peut-être avez-vous déjà entendu parler de PCA, Plan de Continuité d’Activité ou bien, dans votre entreprise, avez-vous adopté l’acceptation anglophone de ce dernier, matérialisé sous forme d’un processus spécifique, à savoir « Business Continuity » ?

La gestion de la continuité d’activité est définie par la norme ISO 22301:2012 comme un « processus de management holistique qui identifie les menaces potentielles pour une organisation, ainsi que les impacts que ces menaces, si elles se concrétisent, peuvent avoir sur les opérations liées à l’activité de l’organisation, et qui fournit un cadre pour construire la résilience de l’organisation, avec une capacité de réponse efficace préservant les intérêts de ses principales parties prenantes, sa réputation, sa marque et ses activités productrices de valeurs ».

Il a pour principal objectif de maintenir tout ou partie des activités de l’entreprise opérationnelles, quels que soient les événements. Sa finalité essentielle est d’assurer en toutes circonstances, le maintien en service, à un niveau jugé suffisant, des processus clé de l’entreprise, et garantir la préservation de ses intérêts critiques et de l’ensemble des parties concernées, dont notamment ses Clients et ses Actionnaires.

Grâce au PCA, la considération de divers scénarios, et de leur(s) enchaînement(s), via l’approche « Processus » se fait plus aisément. Cela passe évidemment par la proposition de solutions adéquates, et la mise en oeuvre de ces dernières, si la situation s’y prête.

Maintenant, comment organise-t-on un PCA  ?

                  Figure 1 — Exemple d’organisation du PCA – Référentiel de Bonnes Pratiques

                                    Source : AFNOR, Outil méthodologique – PCA Centre – 2010

Par nature, toutes les  entreprises : TPE, PME ou Grands-Comptes ont besoin d’un PCA.

Cependant, il est vrai qu’il n’est pas forcément nécessaire de déployer le modèle, ci-dessus, dans son intégralité, en mode « copié-collé ». Des adaptations et des aménagements sont toujours rendus nécessaires, pour ajuster l’organisation aux besoins pressentis, et en fonction également des niveaux d’interactions intra- et inter- entreprises.

Factuellement, nous avons constaté que certains types d’entreprises étaient plus aguerries que d’autres à l’usage cet outil, notamment celles du secteur de la finance et/ou de l’aviation. Et, un constat s’impose, les petites et moyennes entreprises y ont moins recours, alors que justement c’est elles qui sont vraisemblablement le plus exposées aux risques.

Pour initier une telle démarche, le simple fait d’être en mesure de formaliser les étapes d’un PCA, grâce à un diagramme type SIPOC (Suppliers Inputs Processes Outputs Customers), auquel il pourra être adossé une matrice des responsabilités telle que RASCI (Réalisateur Approbateur Support Consulté Informé) sera déjà des plus profitables (se c.f. exemple en Figure 3).

Figure 2 — Exemple de modélisation d’un diagramme SIPOC – Business Continuity

Le PSI, l’autre outil dédié au Management des risques

Pour simplifier les choses, le PSI, Plan de Secours Informatique correspond, comme son nom l’indique, au volet informatique du PCA. C’est l’une de ses composantes.

Ses finalités consistent à garantir la survie du Système d’Information et de permettre la continuité (en mode dégradé ou non) ou le redémarrage de l’activité, le plus rapidement possible, avec un minimum de perte de données.

Dans la pratique, il peut d’ailleurs être formalisé et mis en place de manière totalement dé-corrélée du PCA. En effet, rien n’oblige à lier les deux, même si mis bout à bout, ils constitueront un système global, dès lors qu’ils soient pertinents, cohérents et convergents.

Par ailleurs, le PSI se différencie du PCA, par le fait qu’ici, l’on ne considère, généralement, que les pires scénarios. Si jamais, l’un d’eux se produit, l’entreprise ne sera pas ainsi prise au dépourvue.

En revanche, elle disposera de solutions : Techniques, Organisationnelles et Humaines (TOH), préparées à portée de main, prêtes à être déployées. Il y aura donc peu de chance que ses activités professionnelles soient perturbées, voire interrompues, si le déploiement opérationnel desdites solutions est immédiat, pour contrer les impacts du sinistre, et maintenir opérationnelles les fonctions Clé de l’entreprise.

L’objectif est, en cas d’apparition d’un aléa et/ou dommage majeur est de permettre à l’entreprise, de manière bordée, un « retour à la normale » du fonctionnement de ses : infrastructures, plate-forme de gestion et, dans certains cas, parce que dissocié, sa plate-forme d’exploitation.

Le risque zéro n’existant pas, il se peut, néanmoins, malgré toutes les précautions prises, qu’une phase de régression soit constatée.

Le niveau de préparation, ainsi que la célérité avec laquelle le PSI sera enclenché, seront, à ce titre, déterminants.

Maintenant, ce type de Management des risques est assez compliqué. Seuls, les professionnels de l’informatique y trouveront aisément leur compte. C’est pourquoi, par précaution, il est toujours judicieux de faire appel à un Expert externe, afin d’enrichir la vision de la situation « souhaitée », et d’y apporter les réponses les plus abouties.

Les normes ISO, référentiels pour un Management des risques efficace

Il est fait principalement référence à l’ISO 31000:2018. Cette dernière renferme l’ensemble des bonnes pratiques applicables en matière de Management des risques. A tout le moins, les principes et méthodes décrites, au sein de ce référentiel, sont de nature à vous permettre de faire émerger probablement nombre d’opportunités pour vous prémunir de risques.

En effet, l’ISO 31000:2018 est le fruit d’une étude approfondie portant sur la gestion des risques, issue de retours d’expériences et de bonnes pratiques témoignées par des professionnels de secteurs d’activités totalement différents, voire hétérogènes.

Quel que soit le secteur dans lequel une entreprise travaille, l’ISO 31000:2018 reste valable.  De facto :

– Les principes de management du risque, qui sont les critères clés de sa réussite,
– La mise en exergue du leadership de la Direction et de l’intégration du management du risque, à commencer par la gouvernance de l’organisme,
– L’importance à accorder à la nature itérative du Management du risque, en notant que de nouvelles expériences, connaissances et analyses peuvent conduire à une révision des éléments, actions et moyens de maîtrise du processus à chacune de ses étapes,
– Le maintien d’un modèle de système ouvert pour s’adapter à de multiples besoins et contextes,

sont immuables !

                                            Figure 3 — Principes, cadre organisationnel et processus

Source : www.ISO.org

 

Une entreprise ne peut que tirer profit de l’ISO 31000:2018. Cette norme est de nature à guider sa démarche, en évitant de perdre du temps, mais elle réduira surtout grandement les dépenses engendrées par toutes activités liées au management de risque, en structurant la mise en oeuvre. Les démarches de gestion en seront d’autant plus faciles à appréhender, avec une meilleure rentabilité au rendez-vous !

En cas de doute ne pas hésiter à s’informer auprès d’un Consultant spécialisé susceptible d’enrichir la réflexion de l’équipe en charge de(s) étapes(s) et chapitre(s) inhérents à la norme.

Pour ceux qui souhaite amorcer un projet plus ramassé consacré à ce type de démarche, la norme ISO 9001:2015, indique déjà les principes incontournables à prendre en compte, en la matière. Dans le même temps, l’approche processus, dans ses fondements, reste identique, tout en étant moins développée, puisqu’à la base à vocation généraliste « Produits/Services ».

Sur un plan pratique, cette norme constitue une excellente entrée en matière, avant d’y dédier un service spécifique.

Il pourrait être fait mention également, ici, de l’existence de la norme ISO 22399:2007 & la famille de normes ISO/IEC 27000 :

  • L’Iso/PAS 22399 établit le processus, les principes et la terminologie de la préparation aux incidents et de la gestion de continuité opérationnelle (d’entreprise) dans le contexte de la sécurité sociétale.  Attention l’ISO 22399:2007 est assez difficile à appréhender par un néophyte, car elle est complexe puisque très large, tout en étant assez spécifique. L’ISO/PAS 22399:2007 ne donne aucune spécification précise, elle donne des conseils.
  • Quant à la famille des normes ISO 27000, plus connue, sa vocation est d’aider les organisations à assurer la sécurité de leurs informations.Ces normes vous faciliteront le management de la sécurité des informations, notamment les données financières, les documents soumis à la propriété intellectuelle, les informations relatives au personnel ou les données qui vous sont confiées par des tiers.L’ISO/IEC 27001, qui expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI), est la norme la plus célèbre de cette famille.

Pour compléter ce qui précède, n’oublions pas les normes du British Standard Institute (BSI) BSI 2599-1 & -2, et la bibliothèque d’Infrastructure de Technologie d’Information (ITIL), cadre de gestion de services informatiques le plus utilisé au monde, traitant des processus « Business Continuity Management » et « Avalaible Management ».

Un développement ultérieur de notre part sur ces normes et référentiels sera effectué dans les semaines à venir.

Conclusion

Vous l’avez compris, le Management des risques n’est pas chose facile, et s’avère être un domaine vaste. Il nécessite beaucoup d’efforts d’analyse et de compréhension des inter-relations entre les différents domaines couverts de l’entreprise.

Pour autant, nul doute que cela en vaille la peine, et ce, pour éviter certaines catastrophes programmées d’avance, donc prédictibles, qu’elle que soit la taille de l’entreprise.

Un doute, une appréhension, un besoin d’information ? Consultez nos équipes qui vous répondront avec plaisir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.