Upload
nguyencong
View
216
Download
1
Embed Size (px)
Citation preview
Frédéric DUGAST, Cabinet QUALIENSE Conseil
La gestion des risques : de l'importance de connaître ses risques pour gérer efficacement son entreprise.
Connaitre ses risques pour diriger efficacement son entreprise
Frédéric Dugast – Directeur Associé.
Thomas RIVET – Directeur Associé.
Décembre 2014
La gestion des risques
« Connaitre ses risques, c’est déjà commencer à les gérer »
Risques Intrinsèques + Facteurs environnementaux – système de management des risques
=
Risques résiduels
Les Risques ! Approche Globale
Risques intrinsèques L’usine à créer du risque
5
Activités Industrielles *
Risques de défauts Sécurité
dit « risques industriels »
Risques de défauts Hygiène
Risques financiers
(trésorerie, capitaux)
Risques de non qualité
Risques humains (compétences,
social …)
Risques Clients/fournisseurs
Risques de non-conformité
…et
Risques Externes De nombreuses normes, un objectif commun :
• Norme ISO 31000 : principes, cadre et lignes
directrices (et guide ISO 73) et ISO CEI 31010 :
Techniques d’évaluation des risques. Elle reflète
les bons usages actuels et répond aux
questions suivantes:
• Que se passe-t-il et pourquoi ?
• Quelles sont les conséquences ?
• Quelle est la probabilité d’occurrence des
risques ?
• Existe-t-il des facteurs permettant de limiter
la conséquence du risque ou de réduire sa
probabilité d’occurrence ?
• Normes SEVESO : explosion, pollution de l’air,
des sols et eaux.
Les générateurs de risques sont regroupés en deux familles :
- Les industries chimiques produisent des produits
chimiques de base, des produits destinés à l'agroalimentaire
(notamment les engrais), les produits pharmaceutiques et de
consommation courante (eau de javel, etc.) ;
- Les industries pétrochimiques produisent l'ensemble des
produits dérivés du pétrole (essences, goudrons, gaz de
pétrole liquéfié).
Les conséquences d'un accident dans ces industries sont regroupées sous trois typologies d'effets :
- Les effets thermiques.
- Les effets mécaniques (déflagration ou détonation.
- Les effets toxiques.
Risques intrinsèques Qu'est-ce qu'un risque industriel ?
Un risque industriel majeur est un événement accidentel se produisant
sur un site industriel et entraînant des conséquences immédiates graves
pour le personnel, les populations avoisinantes, les biens et/ou
l'environnement.
Risques intrinsèques La première marche : l’identification et classification
Une explosion présente deux dangers primaires:
- Par les projectiles (qui peuvent endommager les biens,
blesser ou tuer les personnes).
- Par l’onde de pression ou « effet de souffle » (qui peut
briser les vitres voire les murs, détériorer les tympans
voire les poumons).
Danger secondaire possible : émission d’un nuage toxique,
si un réservoir est endommagé par l’explosion.
Ex : Le risque d’explosion
Exemple : AZF L'explosion qui s'est produite le vendredi 21 septembre 2001 dans la banlieue de Toulouse, est la plus grande catastrophe industrielle de l'après-guerre en France :
• 31 personnes décédées. • 2400 blessées victimes soit de brûlures, soit de
lésions dues aux projectiles, soit de "blast" (dégâts sur les organes causés par l'onde de pression).
• Plusieurs milliers de personnes n'ont plus de logement.
• Beaucoup de commerces et d'industries sont affectés durablement dans leur activité.
• Les équipements publics sont aussi très touchés. • Environ deux mille personnes sont mises au
chômage technique.
Le risque toxique
env
Environnement Interne de
l’Entreprise
Environnement Externe
Accélérations, ruptures, et mutations technologiques
Choix et objectifs stratégiques
Culture, valeurs, missions, règles et procédures
• Les risques auxquels vous devez faire face ont des origines diverses, ils ont toujours existé, car inhérents à
toute activité (et sous certains aspects souhaitables).
• Cependant certains facteurs internes et externes peuvent venir amplifier ou modifier la cartographie
connue des risques de votre entreprise.
• Ainsi, les différents facteurs environnementaux de votre entreprise conditionnent les transformations qui
s’opèrent sur vos activités et vos compétences.
Environnement immédiat
Risques intrinsèques La première marche : l’identification et classification
Risques externes
Risques stratégiques
Risques évitables
Management des risques La première marche : l’identification et classification
La gestion de vos risques doit
s’adapter à ces évolutions
afin de rester pertinente
Ces facteurs induisent une
transformation permanente du
profil de risques de votre
entreprise
Les entreprises intelligentes adaptent leur approche à la
nature des menaces auxquelles elles sont confrontées
Renforcer votre résilience Anticiper et être prêt
Management des risques Une gestion des risques adaptées
Identification / évaluation / gestion appropriée
Type de
Dispositif
Éviter qu’ils ne se
produisent
Objectif de
maitrise des
risques
Réduire leur probabilité et
leur impact
Réduire leur impact dans le
cas où ils surviendraient
Risques internes à l’entreprise, ne génèrent aucun gain stratégique
Risques accepté stratégiquement
pour dégager un avantage
convenable
Risques aux sources extérieures
et incontournables
Modèle intégré et conformité:
Développement et formalisation
de la culture, règles et
formalisation des procédures et
contrôles
Modèle d’évaluation
dynamique des risques liés
aux objectifs stratégiques:
Outils d’identification :
cartographie
sévérité/occurrence,
probabilité d’impacts, KRI
Modèle d’évaluation :
Évaluation des risques
extrêmes, tests de résistance,
planification scénario et jeux
de test
Typologie de
risques
Management des risques Les outils de gestion du risque
Avec la cartographie, les analyse de scénario, les
tests, le MCA
Avec la gestion des incidents, les KRI, les plans de remédiation
Analyse prospective : on analyse ce qui peut se passer, on cherche à les éviter ou on se prépare à minimiser les impacts.
Amélioration continue : on analyse le passé pour s’améliorer.
PILOTAGE
PERFORMANCE
Management des risques Les outils d’aide à la Performance
Gestion des incidents
• Plan de sensibilisation et de prévention (rappel des normes et règles, des
conséquences possibles…).
• Gouvernance dans l’entreprise.
• Allocation de ressources (task force, responsable Risques, valeurs de l’entreprise).
KRI
Plans de remédiation et Amélioration
Continue
• Organisation de la collecte (fiche de remontée, classification, périodicité).
• Analyse (causes / impacts) : mesure de l’impact et de la sévérité.
• Communication : échanges terrain, recherche du consensus, appui du management. • Suivi des Plan d’actions.
• Mesures de la production (du KPI au KRI).
• Définition de seuils d’alerte.
• Tableau de bord.
Comprendre et s’améliorer
Management des risques Les outils de pilotage (identifier)
Cartographie
fréquence
sévérité
A couvrir absolument
Minimiser l’impact s’il se réalise Gestion à
moindre coûts
Amélioration continue
Humaines Processus Machine
SI Stratégique
Externes
Fraude Erreur fabrication
Dommages physiques RH
Défaillances Machine Défaillance SI
Pratiques commerciales
Sécurité Hygiène Qualité
Pertes financières Coût d’opportunité Image/ réputation Conditions emploi Environnement
Causes Conséquences /
Impacts
Evénement
de risques
Analyse de probabilité / impacts Analyse Causes / Conséquences
Risque majeur (courbe Farmer)
• Ex risque naturel majeur phénomènes géologiques ou atmosphériques aléatoires. • Le risque technologique majeur est le risque engendré par l'activité humaine.
• Résilience : minimiser l’impact en cas de survenance d’un évènement majeur.
• Principe clef: dégradation des activités.
• Mise en place de scénarii probables.
• Définition du niveau d’appétit / risque maximum.
• Quantification des moyens et ressources nécessaires.
• Outils d’identification, d’arbitrage (appétit aux risques) et de prise de décisions.
• Sensibilisation.
Analyse de scénarii, Stress tests
MCA (continuité d’activité)
Gestion de crise • Résilience : Evénement défensif extrême.
• Se préparer pour résister.
Penser les changements plutôt que changer les pansements !
Management des risques Les outils de pilotage (anticiper)
Management des risques Les outils de gestion du risque
PERFORMANCE
PILOTAGE
Gouvernance grande ETI
• Responsable désigné.
• Correspondant(s) Risques
Métiers.
• Comité Risques.
• Des outils formalisés
d'analyse et de reporting.
• Animation globale.
Gestion des risques TPE / PME
• Le DG ou un membre du codir
à l'initiative.
• Réflexions 15 mn par réunion.
• Mise en place de bonnes
pratiques et outils simples
(cartographie / KRI).
MISE EN PLACE ADAPTÉE
Objectif de Résilience : minimiser l’impact en cas de survenance de l’évènement :
1. Préparation des ressources et moyens de la résilience.
2. Formation / Sensibilisation.
MCA (continuité d’activité)
Management des risques Les outils de pilotage (anticiper)
1. L’analyse d’impact (BIA) et des besoins :
• Choix des scénarii retenus et à couvrir : indisponibilité partielle ou total de l’usine, grèves, épidémie …
• Découpage des activités en mode dégradé : analyse des process vitaux et critiques / clients vitaux.
• Durées critiques, DMIA et RTO = H+4 / J / M.
• Recensement des besoins : matrice de compétences, effectifs secours nécessaires.
• Définition des moyens de secours : back up logique et technique (DRP)/ télétravail / site secours / abandon.
Teleph Hardware
Commu
nicatio
n
enregis
trée
Besoin
materiel
IT
Type de flux Service concerné De qui/quoiType de
flux
Service
concerné
Vers
qui/quoi
Nature/T
ype du
produit
traité
Tâches effectuées en
secours
Tâches
abandonnées en
secours
Clients
finaux
%
d
e
s
o
p
Volumét
Activité
concernée
PNB ou
FGX
annuels
(en M€)
Descripti
on
activité/se
rvice
Flux entrants Flux sortants
Sigle
serviceSous-famille d'activité RTO
Commentaires
DMI
A
Durée
critique
(1)
2. Animation du MCA:
• Tests techniques et réels (déplacement physique).
• Procédure de déclanchement .
• Documentation de la procédure (arbre de décision, listes des tâches / acteurs.
• Sensibilisation du management intermédiaire.
Gestion de crise
Management des risques Les outils de pilotage (résister)
Résilience : Evénement défensif extrême.
1. Se préparer pour résister:
• Définition des rôles et responsabilités (Gouvernance/
organisation production/ communication interne et
externe) : call tree.
• Tests (scénarii).
2. Activation:
• Déclenchement de la cellule.
• Check list de crise.
• Gestion de la crise (gouvernance de crise).
3. Sortie de crise et retour à la normale:
• Organisation du retour à la normale.
• Reprise des activités dégradées.
• « lesson learnt » et plan d’amélioration.
Déclinaison par processus,
par business unit, par activité
18
Point d’évaluation : combinaison d’activités, de processus et de point organisationnel
Description du point d’évaluation
Collecte des pertes du périmètre
Risque 1
Risque N
Contrôle relatif 1
Contrôle relatif N
Evaluation du risque résiduel
Evaluation du risque résiduel
Plan d’action
Plan d’action
Management des risques Risque Résiduel
Outils d’aide à la décision
• Stratégique.
• Organisationnel.
• Opérationnel.
Conclusion :
La gestion des risques de votre entreprise consiste donc
À avoir une bonne vision des risques auxquels vos activités vous exposent.
Comprendre leurs impacts sur vos activités.
Décider de votre appétit à ces risques.
En conséquence, mettre en place les moyens organisationnels et humains …
… pour les éviter, ou modérer leur impact en cas de survenance.