piimt.usLa norme ISO 31000 « Management du risque » est intéressante car elle permet d aboutir à une convergence potentielle entre une méthodol ogie normative et une méthodologie

102

Notion de risque

« Le pire risque c’est de ne pas en

prendre » Sarkozy

Définition

Le risque est un concept bien maldéfini et encore plus galvaudé !On dira ainsi :� Il y a un risque d’orage (situation) ;� La machine risque une surcharge

électrique (cause) ;� Je risque la perte de mon

investissement (conséquence) ;� Cette usine est un risque majeur

pour ses assureurs (victime).

103

Notion de risque (suite)

Il importe donc d’adopter une définition précise, qui se démarque des différentes

acceptions du langage courant.

Un risque est une situation (ensemble d’événements simultanés ou consécutifs)

dont l’occurrence est incertaine et dont la réalisation affecte les objectifs de

l’entité (individu, famille, entreprise, collectivité) qui le subit.l’entité (individu, famille, entreprise, collectivité) qui le subit.

Certains risques pourront avoir des effets positifs . Ce sont ceux que l’on

recherche, et que l’on appelle « chance » ou « opportunités ». D’autres auront

assurément des effets négatifs . Ce sont ceux que l’on craint (menaces ).

Un risque se caractérise donc par deux grandeurs :

• Sa probabilité d’occurrence, ou fréquence f.

• Ses effets, ou gravité G.

Un risque se mesure par le produit de ces deux grandeurs, sa criticité C :

C = G x F

104


Causes, effets, incertitude et objectifs

Les risques sont exprimés dans les termes d’une relation de

cause à effet .

105


Causes, effets, incertitude et objectifs (suite)

Le risque est caractérisé par un événement incertain (ou incertitude) pouvant

affecter l’organisation. Cette notion d’événement incertain est l’élément central

dans la définition. Le défi est d’identifier un événement potentiel qui, s’il sedans la définition. Le défi est d’identifier un événement potentiel qui, s’il se

produisait, pourrait déclencher une série de conséquences indésirables pour

l’Organisation.

La notion d’événement incertain doit être interprétée de manière large afin de

couvrir un grand nombre de situations mais elle doit être suffisamment

précise pour permettre d’identifier les causes menant à l’événement, leur

effet ou leur conséquence et, par conséquent, les mesures à prendre pour

gérer le risque.

106



Formuler un risque peut représenter un exercice complexe requérant de

différencier correctement entre les causes, l’événement d éclenchant le

risque et la conséquence / impact de ce risque .

Les risques doivent être appréciés et hiérarchisés en relation avec des objectifs.

La formulation d’un risque doit comprendre la cause de ce risque et son impact

possible sur l’objectif.

107



108


Causes, effets, incertitude et objectifs (suite)Il faut en tout cas avoir à l’esprit qu’un risque formulé de manière peu

rigoureuse rendra impossible de l’apprécier et d’y appliqu er les contrôles

appropriés ainsi que de poursuivre le processus de gestion du risque.

109


Plan de management des risques :

Surveillance

GESTION DES RISQUES

Objectifs (priorisés)

Identification des risques

Évaluation qualitative

Évaluation quantitative

Traitement des risques

Surveillance et maîtrise

Retours d’expériences

ANALYSE DES RISQUES

110


La démarche de conception et

déploiement d’un dispositif déploiement d’un dispositif

de maîtrise des risques :

111

Le référentiel COSO : Entreprise Risk Management

L’incertitude est une donnée intrinsèque à la vie de toute or ganisation . Aussi

l’un des principaux défis pour la direction réside-t-il dans la détermination d’un

degré d’incertitude acceptable afin d’optimiser la création de valeur , objectif

considéré comme le postulat de base dans le concept de management desconsidéré comme le postulat de base dans le concept de management des

risques. L’incertitude est source de risques et d’opportunités , susceptibles de

créer ou de détruire de la valeur.

Le management des risques offre la possibilité d’apporter une réponse

efficace aux risques et aux opportunités associés aux incertitudes auxquelles

l’organisation fait face, renforçant ainsi la capacité de création de valeur de

l’organisation .

112

Le référentiel COSO : Entreprise Risk Management (suite)

Le management des risques comprend les éléments suivants :

� Aligner l’appétence pour le risque avec la stratégie de l’or ganisation : L’appétence pour lerisque est une donnée que la direction prend en considération lorsqu’elle évalue les différentesoptions stratégiques, détermine les objectifs associés et développe le dispositif pour gérer lesrisques correspondants.

� Développer les modalités de traitement des risques : Le dispositif de management des risquesapporte une méthode permettant de choisir de façon rigoureuse parmi les différentes options deapporte une méthode permettant de choisir de façon rigoureuse parmi les différentes options detraitement des risques que sont : l’évitement, la réduction, le partage ou l’acceptation du risque.

� Diminuer les déconvenues et les pertes opérationnelles : Les organisations améliorent leurcapacité à identifier et traiter les événements potentiels, ce qui leur permet d’atténuer lesimpondérables et de diminuer les coûts ou pertes associés.

� Identifier et gérer les risques multiples et transverses : Chaque entité est confrontée à unemultitude de risques affectant différents niveaux de l’organisation. Le dispositif de managementdes risques renforce l’efficacité du traitement des impacts en cascade et apporte des solutionsintégrées pour les risques à conséquences multiples.

� Saisir les opportunités : C’est en prenant en compte un large éventail d’événements potentielsque la direction est le mieux à même d’identifier et tirer parti des opportunités de façon proactive.

� Améliorer l’utilisation du capital : C’est en ayant une vision claire des risques de l’organisationque la direction peut évaluer efficacement les besoins en capitaux et en améliorer l’allocation.

113


Le management des risques traite des risques et des opportunités ayant une incidence sur lacréation ou la préservation de la valeur. Il se définit comme suit :

Le management des risques est un processus mis en œuvre par le c onseil d’administration,la direction générale, le management et l'ensemble des coll aborateurs de l’organisation.Il est pris en compte dans l’élaboration de la stratégie ains i que dans toutes les activités del'organisation. Il est conçu pour identifier les événement s potentiels susceptibles d’affecterl’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Ilvise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation.

Cette définition reflète certains concepts fondamentaux. Le dispositif de management des risques :

� Est un processus permanent qui irrigue toute l’organisation ;� Est mis en œuvre par l’ensemble des collaborateurs , à tous les niveaux de l’organisation ;� Est pris en compte dans l’élaboration de la stratégie ;� Est mis en œuvre à chaque niveau et dans chaque unité de l’organisa tion et permet d’obtenir

une vision globale de son exposition aux risques ;� Est destiné à identifier les événements potentiels susceptibl es d’affecter l’organisation , et à

gérer les risques dans le cadre de l’appétence pour le risque ;� Donne à la direction et au conseil d’administration une assurance raisonnable (quant à la

réalisation des objectifs de l’organisation) ;� Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories indépendantes

mais susceptibles de se recouper.

114


Lien entre le contrôle interne et la gestion des risques des e ntités :

À bien des égards, la gestion des risques des entités peut être considérée

comme une évolution naturelle du modèle de contrôle interne . La plupart des

organisations tendront à appliquer entièrement le modèle de contrôle interne

avant de mettre en œuvre les concepts inhérents à la gestion des risques des

entités, dont le contrôle interne fait intégralement partie. Le modèle de gestion

des risques des entités comprend le contrôle interne , mais représente en

outre une conceptualisation plus approfondie de la manière dont les décisions

de gestion prises par une organisation devraient découler d e sa mission

principale et des objectifs dérivés ; de plus, il représente un outil susceptible

d’aider la direction à déterminer la réponse correcte face à un événement

particulier .

115

ISO 31000

La norme ISO 31000 « Management du risque » est intéressante car elle permet

d’aboutir à une convergence potentielle entre une méthodol ogie normative

et une méthodologie réglementaire (COSO) . La norme ne concerne pas

seulement les groupes cotés mais l’ensemble des organisations privées ouseulement les groupes cotés mais l’ensemble des organisations privées ou

publiques.

La norme ISO 31000 est structurée en trois points :

� principes de management des risques ;

� cadre organisationnel du management des risques ;

� processus de management des risques.

116

ISO 31000 (suite)

Principes de management des risques :

La norme ISO 31000 prévoit un certain nombre de principes fédérateurs structurants :S’assurer de la création de la valeurÀ la différence de la méthodologie du COSO, la norme ISO fait ressortir explicitementl’exigence de création de valeur ou de protection de cette dernière via la protectiondes biens et des personnes et la protection de l’image de l’organisation.Faire partie intégrante des processus organisationnelsLa norme reconnaît le dispositif de risk management en tant que processus global ets’assure de l’existence d’une interrelation entre processus et risques.Être intégré dans la prise de décision stratégiqueISO 31000 reconnaît la dimension risk assessment comme étant une dimensionessentielle et met en exergue l’implication du top management en termes d’arbitragerisques/opportunités, ainsi que le niveau d’appétence des dirigeants en termes demaîtrise des risques.

117

ISO 31000 (suite)

Traiter explicitement de l’incertitudeLa norme demande à l’organisation de donner sa définition des risques aléatoires etincertains ainsi que de qualifier la notion de risques acceptables et inacceptables.Avoir une approche systématique, structurée et proactiveLa norme est fondée sur la construction d’un dispositif récurrent basé sur le retourd’expérience et la notion d’éradication du risque.d’expérience et la notion d’éradication du risque.Se baser sur la meilleure information disponibleISO 31000 reconnaît l’exigence d’étayer le dispositif de risk management sur l’étudede séries chronologiques antérieures, mais aussi d’éléments de veille permettant demieux anticiper le futur.Être construit sur mesureLa norme ISO reconnaît la nécessité d’adapter le dispositif de management desrisques à l’organisation, aux spécificités culturelles de l’organisation. Cet aspect estfort intéressant et se différencie de la méthodologie du COSO, qui est relativementmonolithique.

118

ISO 31000 (suite)

Intégrer les facteurs humains et culturels de l’organisati onLa norme reconnaît le poids du comportemental dans la mise en œuvre d’un dispositif demanagement des risques efficace. À noter, là encore, une différence substantielle avec leCOSO, qui ne met en exergue que l’aspect méthodologique, sans s’intéresser à ladimension psychosociologique.

Être transparent et participatifISO 31000 met en exergue l’importance de construire un dispositif de management desISO 31000 met en exergue l’importance de construire un dispositif de management desrisques avec la collaboration des parties prenantes (fournisseurs, sous-traitants, entitésportant des processus externalisés).

Être dynamique, itératif et réactifISO 31000 reconnaît la nécessité d’être en veille permanente par rapport à l’identificationdes risques émergents.

Faciliter l’amélioration et l’évolution continue de l’org anisationLa finalité du dispositif est la montée en puissance du niveau de maturité du dispositif demanagement des risques (attributs d’un management des risques amélioré).

119

ISO 31000 (suite)

Le cadre organisationnel du management des risques

Le dispositif de management des risques de la norme ISO est structuré en cinqétapes .

1 - Mandat et engagement : Cette étape nécessite un engagement officiel des acteursde la gouvernance en conformité avec l’ensemble des réglementations en vigueur.de la gouvernance en conformité avec l’ensemble des réglementations en vigueur.2 - Conception du cadre organisationnel de management du ris que : Elle passe parune analyse stratégique du type forces et faiblesses, risques et opportunités en intégrantà cette démarche les parties prenantes externes. L’originalité de la norme ISO résidedans l’intégration systématique de ces dernières dans le dispositif de management desrisques, du fait qu’elles portent une partie significative des risques de sinistralité.3 - Mise en œuvre du management des risques : Elle passe par la mise en œuvre ducadre organisationnel de management des risques et se traduit, entre autres, parl’obligation pour l’organisation de justifier ses prises de décision, y compris ladétermination des objectifs alignés sur les résultats du processus de management desrisques.

120

ISO 31000 (suite)

4 - Surveillance et revue du cadre organisationnel : Cette étape impose la

construction d’indicateurs de performance permettant de monitorer la montée en

puissance de la maturité du dispositif de risk management et d’effectuer régulièrement

des revues de performance.

5 - Amélioration continue du cadre organisationnel : Cette étape doit se

matérialiser par une éradication des causes des risques les plus significatifs via retour

d’expérience.

121

ISO 31000 (suite)

Le processus de management des risques

Le processus décrit par la norme ISO se décompose en cinq étapes.

1 - Communication et consultation

Cette première étape vise à partager, avec les parties liées, une même vision du

dispositif de management des risques à mettre en œuvre, en échangeant les

hypothèses de travail communes.

2 - Établissement du contexte

Par la prise en compte de l’ensemble des contraintes et opportunités offertes par

les évolutions réglementaires (réglementaire, concurrentiel, monétaire,

démographique, etc.) et de la flexibilité de l’organisation interne mise en œuvre

pour anticiper ces risques environnementaux.

122

ISO 31000 (suite)

3 - Appréciation du risque

Identification du risqueL’objectif est de réaliser une cartographie des risques basée sur les événementssusceptibles de faciliter, d’empêcher, de différer l’atteinte des objectifs. Le dispositifvise aussi à s’intéresser aux risques liés à la non-saisie d’une opportunité. Dans cesens la norme ISO 31000 couvre à la fois les dimensions corporate et business riskmanagement.management.

Analyse du risqueLa norme demande de décrire les causes des risques affectant les processus ainsique leur impact positif ou négatif, en probabilisant les faits générateurs. Laméthodologie proposée va dans le sens des approches classiques développées entermes de contrôle interne et de management des risques.

Évaluation du risqueCette étape consiste à comparer le niveau de risque estimé lors de la simulation desscénarii de risques avec les critères de risque établis lors de l’établissement ducontexte. Si le niveau de risque ne satisfait pas les critères d’acceptabilité (parce qu’ilse traduit par une remise en cause de la pérennité de l’entreprise), il convient que lerisque fasse l’objet d’un traitement (duplication, séparation, suppression, etc.).

123

ISO 31000 (suite)

4 - Traitement du risque

L’objectif de cette étape est de supprimer le risque ou de réduire le niveau de

vulnérabilité de l’entreprise :

� éviter le risque en décidant de ne pas commencer une nouvelle activité ou de

supprimer une activité existante ;supprimer une activité existante ;

� supprimer la source du risque via des investissements de protection ;

� changer la probabilité d’occurrence via des investissements de duplication ;

� partager le risque avec une ou plusieurs parties prenantes (dont transfert par

l’assurance).

5 - Surveillance et revue

Cette phase passe par la construction d’un système d’information management

des risques permettant de suivre le monitoring des risques.

124

Identifier les risques

Quelques outils

L’identification des risques vise à obtenir un panorama de l’ensemble des

risques auxquels l’Organisation fait face. L’identification des risques peut être

menée soit par une équipe spécifique , qui peut être extérieure à

l’Organisation, soit par le biais d’un processus d’auto-appréciation au niveau

des responsables fonctionnels .

Les risques sont identifiés en fonction des cibles (objets de risque ), et non

pas des sources de risque :

� Risques associés aux fonctions ;

� Risques associés aux processus ;

� Risques associés aux ressources .

125

Identifier les risques (suite)

Quelques outils (suite)

1. Revues de documentation . 2. Analyse des listes de contrôle

3. Techniques de collecte des informations : Le remue-méninges / L'entretien /

Le Focus Group / L’analyse SWOT

En quoi les forces de l’organisation permettent-

elles de saisir telle ou telle opportunité ?

En quoi les faiblesses de l’organisation pourraient-elles empêcher de saisir

telle ou telle opportunité ?

En quoi les forces de l’organisation permettent-

elles de contrer telle ou telle menace ?

En quoi les faiblesses de l’organisation

renforceraient-elles telle ou telle menace ?

Opportunités

Menaces

Forces Faiblesses

126

Identifier les risques (suite)

Tout projet est

connecté à huit processus :L'identification des risques détermine

quels risques peuvent avoir un impact

sur le projet . L'identification des risques

est un processus itératif car de

nouveaux risques peuvent se révéler

Chaque processus est porteur de risques

caractéristiques, néanmoins selon des

intensités différentes en fonction du

type de projet.

nouveaux risques peuvent se révéler

pendant que le projet progresse dans son

cycle de vie .

127

Analyse qualitative

Méthodes inductives : des causes vers les effets

128

Analyse qualitative (suite)

Méthodes inductives : des causes vers les effets (suite)

Arbre des conséquences

AMDEC (Analyse des Modes de Défaillance etde leurs Effets et Criticité)

HAZOP (HAZard and Operability)

129



Arbre des conséquences

Permet d’élaborer un diagramme représentantl’ensemble des éventualités de diversescombinaisons d’évènements .combinaisons d’évènements .Le développement de l’arbre commence par unévènement déclencheur et progresse suivantune logique binaire : chaque évènementconduit à identifier deux états successifspossibles, l’un acceptable et l’autre non . Cettedémarche fournit ainsi la séquence logique desdifférents évènements susceptibles de seproduire en aval de l’évènement primaire(initiateur) et permet alors leur évaluation.

130



AMDEC : de quoi s’agit-il ?

L’AMDEC est une Analyse des Modes de Défaillance, de leurs Effets et de leurCriticité . C’est une technique d’analyse qui part de l’examen des causes possibles dedéfaillance des éléments d’un système pour aboutir aux effets de ce système. Il existe cinqprincipaux types d'AMDEC :principaux types d'AMDEC :� l'AMDEC fonctionnelle , permet, à partir de l'analyse fonctionnelle (conception), de

déterminer les modes de défaillances ou causes amenant à un événement redouté ;� l'AMDEC produit (ou service) , permet de vérifier la viabilité d'un produit (ou service)

développé par rapport aux exigences du client ou de l'application ;� l'AMDEC process , permet d'identifier les risques potentiels liés à un processus

conduisant à des outputs non conformes ou des pertes de cadence ;� l'AMDEC moyen de production (ou servuction) , permet d'anticiper les risques liés au

non fonctionnement ou au fonctionnement anormal d'un équipement, d'un matériel… ;� l'AMDEC flux , permet d'anticiper les risques liés aux ruptures de flux matière ou

d'informations, les délais de réaction ou de correction, les coûts inhérents au retour à lanormale.

131



AMDEC : Démarche

1. Une connaissance précise du système étudié et son environ nement est

impérative. Ces informations sont généralement les résultats de l'analyse

fonctionnelle, et éventuellement du retour d'expériences. Il faut également

définir les moyens nécessaires, l'organisation et les responsabilités

associées.

2. Évaluer les effets des modes de défaillance.

3. Classer les effets des modes de défaillance par niveau de criticité, par

rapport à certains critères de sûreté de fonctionnement préalablement définis

au niveau du système en fonction des objectifs fixés (fiabilité, sécurité, etc.).

4. Identifier les composants les plus critiques et de proposer alors les

actions et les procédures « juste nécessaires » pour y remédier .

132



HAZOP

Permet d’étudier l’influence de déviations des divers paramètres régissant lesystème analysé par rapport à leurs valeurs nominales de fonctionnement. Àl’aide de mots -clefs , les dérives imaginées de chaque paramètre sontl’aide de mots -clefs , les dérives imaginées de chaque paramètre sontexaminées systématiquement afin de mettre en évidence leurs causes , leursconséquences , les moyens de détection et les actions correctrices .

Repère Dérive Cause ConséquenceMoyens de détection

Gravité FréquenceActions

correctives

Mots – guide : TROP DE excès d’un paramètre (débit, pression, température,viscosité,…) / PAS DE absence du paramètre désiré / MOINS DE insuffisance d’unparamètre / EN PLUS présence intempestive (vapeur, solide,… impuretés, eau,air,…) / AUTRES démarrage intempestif, arrêt, fonctionnement trop rapide, troplent,…

133


Méthodes déductive : des effets vers les causes

Arbre des causesL’arbre des causes est la représentation graphique del’enchaînement logique des faits qui ont provoqué unaccident (évènement non souhaité ou redouté) .

Recueil de données :Recueil de données :� Collecter les faits (concrets, précis) ;� Examiner l’ensemble des éléments en relation avec le thème analysé ;� Remonter le plus loin possible en partant de l’incident (effet) ;� Rechercher en priorité les faits inhabituels.

Comment construire l’arbre des causes :� Rechercher le ou les faits ultimes (initiateur, à l’origine…) ;� Se poser plusieurs questions pour chaque fait :

1. Qu’a-t’il fallu pour que cela arrive ?2. Est-ce nécessaire ?3. Est-ce suffisant ?

� Vérifier.

134


Méthodes déductive : des effets vers les causes (suite)

Arbre des causes : exemples

135

Analyse quantitative

L'analyse quantitative du risque consiste à évaluer la probabilité d'un risque et

à estimer la façon dont ses complications peuvent avoir des répercussions

sur les objectifs de l’organisation (ou d’un projet). Elle repose sur l'utilisation

d'outils statistiques permettant en premier lieu d'obtenir une mesure

rationnelle des incertitudes, et sur l'utilisation de l'approche probabiliste .

Le concept de variable aléatoire formalise la notion de grandeur variant selon

le résultat d'un tirage ou d'une expérience aléatoire . Le concept

de probabilité , quant à lui, formalise et quantifie le sentiment

d'incertitude vis-à-vis de l'événement en considération.

La probabilité d'occurrence d'un événement E est notée P(E).

� P(E) est un nombre variant entre zéro et un : 0 ≤ P(E) ≤ 1.

� La probabilité d'un événement inévitable est la valeur unité , celle d'un

évènement impossible est la valeur nulle .

136

Hiérarchiser les risques

Après une appréciation probabiliste du risque, on est à même d’élaborer des

matrices de risque permettant de systématiser l’appréciation et la

hiérarchisation des risques.

Les risques identifiés sont soumis à un exercice d’appréciation en termes de

deux critères :

� leur probabilité – une description qualitative ou quantitative de la probabilité

– quelle est la probabilité que tels risques/incertitudes se produisent. Et, s’ils

se produisent :

� leur impact potentiel – les implications positives ou négatives d’un risque

ou d’une incertitude – quelles sont les conséquences possibles et quelle est

l’ampleur de leur impact ? (implications/conséquences/effets quant aux

effets et résultats attendus).

137

Hiérarchiser les risques (suite)

Une matrice de risque présente une

vue d’ensemble ordonnée des

risques auxquels une organisation

fait face.fait face.

La vulnérabilité est la combinaison

de l’impact qu’un risque peut avoir

sur l’achèvement d’un objectif et sa

probabilité de survenir.

138


La matrice Probabilité / Gravité

PréventivePréventive

Secours

139


La matrice Probabilité / Gravité(autre présentation)

140

Différents modes de traitement des risques

Réduire un risque, c’est soit réduire sa probabilité

d’occurrence (prévention ), soit réduire ses conséquences

(protection, action de secours ).

Trois attitudes de base possibles face à un risque :Trois attitudes de base possibles face à un risque :� Élimination du risque ;� Atténuation du risque ;� Acceptation du risque.

Risque moyen Risque fort

Risque faible Risque moyen

Probabilité d’occurrence

Gra

vité

de

l’ef

fet

Contrôler - Prévenir

Transférer - Partager Éviter - Mitiger

Retenir - Accepter

La règle des 4 T (+1) :� Tolérer ;� Traiter ;� Transférer ;� mettre un Terme.� Tirer profit d’une opportunité.

141

Différents modes de traitement des risques (suite)

Il existe diverses stratégies pour traiter les risques, comme la prévention , les actionscorrectives et les palliatifs .La prévention (atténuation) :Elle consiste à diminuer la probabilité d’occurrence du risque en diminuant ou supprimantcertains des facteurs de risque. La prévention est souvent la meilleure stratégie.Les actions correctives :Les actions correctives :Elles visent à diminuer l’effet du risque lorsque celui-ci intervient. Minimiser l’impactconstitue souvent une stratégie efficace lorsque l’on ne peut agir sur le facteur de risquelui-même, mais que l’on peut agir sur ses conséquences. Par exemple, on ne peut pasempêcher une avalanche, mais on peut aménager des couloirs d’avalanche pour lacanaliser.Le palliatif ou changement de périmètre (transfert) :Il consiste en quelque sorte à « profiter de l’occurrence du risque », non pour en diminuerla probabilité ou les conséquences, mais en utilisant à son profit l’événement. C’est le castypique de l’assurance, qui n’empêche ni l’accident, ni une maison de brûler, mais quipropose un « dédommagement » pour le préjudice subi. S’assurer est le dernier moyende traiter les conséquences d’événements aléatoires complètement subis.

142


Pour cela, on peut utiliser, seuls ou en combinaison :

d’organisation

des instruments

techniques

d’organisation

juridiques

143


Instruments techniques :� de prévention , tels que des détecteurs, des équipements de sécurité, des

contrôles d’accès ;� de protection , tels que des murs coupe-feu, des stockages cloisonnés, des

équipements de protection individuels, des stocks de pièces détachées ou deproduits finis, la partition des moyens, voire leur duplication (exemple :produits finis, la partition des moyens, voire leur duplication (exemple :sauvegardes informatiques (back-up informatique)).

Instruments d’organisation :� de prévention , par exemple des procédures opératoires, des consignes de

sécurité, l’externalisation de certaines fonctions… ;� de protection , tels que des plans de sauvegarde ou de survie, des

fournisseurs redondants.

Instruments juridiques :

tels que des clauses contractuelles de limitation de responsabilités, des contratsde travail.

144


145

Contrôler l’application du plan

� Le niveau des risques sur un projet évoluent dans le temps ;

� Deux actions à appliquer régulièrement et rigoureusement :

� Revoir régulièrement la situation d’ensemble du projet pour

déterminer comment les risques ont évolués ;

� S’assurer que les actions préventives du plan d’atténuation

des risques sont bien appliquées … en évaluer l’efficacité.

� Communiquer régulièrement la situation du projet en termes

de risques.

Documents

piimt.usLa norme ISO 31000 « Management du risque » est intéressante car elle permet d aboutir à une convergence potentielle entre une méthodol ogie normative et une méthodologie