Gestion des risques

Un article de Wikipédia, l'encyclopédie libre.
(Redirigé depuis Gestion du risque)
Aller à : navigation, rechercher
Exemple d'analyse de risque : modèle de la station spatiale internationale cartographiant les probabilités d'un impact.

La gestion des risques, ou plus rarement le management des risques, est la discipline qui s'attache à identifier, évaluer et prioriser les risques relatifs aux activités d'une organisation, quelles que soient la nature ou l'origine de ces risques, pour les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés, et réduire l'impact éventuel de ces événements.

À ce titre, il s'agit d'une composante de la stratégie d'entreprise qui vise à réduire la probabilité d'échec ou d'incertitude de tous les facteurs pouvant affecter la décision.

Définition du terme « risque »[modifier | modifier le code]

Article principal : Risque.
La pluie n'est pas nécessairement un « risque » pour une promenade à deux.

Effet des incertitudes[modifier | modifier le code]

Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque[1] qui a été revu lors du développement de la norme ISO 31000:2009 – Management du risque — Principes et lignes directrices[2], le risque est nouvellement défini comme « l’effet de l’incertitude sur les objectifs » et s'ajoute en note[3] que « Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels ou à une combinaison des deux. »

Un évènement n'est perçu comme un risque que dans la mesure où il peut avoir un impact (en principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser, ou sur une valeur à laquelle on adhère et que l'on veut respecter dans son activité. Ainsi, si je veux organiser une promenade familiale, une mauvaise météo peut être un « risque », soit parce qu'elle m'obligerait à annuler la sortie (objectif abandonné), soit parce qu'elle transformerait la sortie en mauvaise expérience (valeur de confort compromise) ; mais inversement, si la pluie n'est pas jugée inconfortable, elle ne constitue pas un « risque » à proprement parler, mais une simple éventualité. L'appréciation d'un tel impact est nécessairement subjective, elle dépend de l'entité qui formule cette appréciation, des valeurs qu'elle respecte, et de l'importance qu'elle accorde au projet potentiellement compromis.

Dans l'analyse et la gestion des risques, le « risque » est en principe un évènement aux conséquences négatives. C'est par abus de langage que l'on entend parfois parler d'un « risque de gagner au loto » (la formulation correcte dans ce cas est que l'on a « une chance de gagner »). Pour parler des évènements imprévus aux conséquences positives, on parlera plutôt d'une « opportunité ».

La part d'incertitude qui représente réellement un risque est normalement faible, c'est à dire que le déroulement « normal » d'une activité raisonnable est celui où l'objectif visé est atteint (sauf accident). Cela ne signifie pas qu'il n'y a que peu d'incertitude dans un projet raisonnable, mais plutôt que le niveau d'incertitude habituellement rencontré est normalement maîtrisé, et n'est pas de nature à compromettre l'atteinte de l'objectif. Si par exemple je me propose de traverser une ville en voiture, je n'aurai clairement aucune certitude sur l'état des feux rouges, mais l'un compensant l'autre je peux espérer faire en général cette traversée dans un délai assez prévisible, tout en acceptant un certain risque résiduel (faible) de « me prendre tous les feux rouges » et d'arriver en retard, malgré la marge que j'avais prise. Contrairement à l'appréciation de l'impact, la probabilité d'un évènement redouté peut généralement être évaluée objectivement, même si c'est de manière très approximative : le caractère réaliste ou non d'un scénario peut en principe faire l'objet d'une analyse et d'un examen critique n'impliquant pas de jugement subjectif, même s'il est souvent inutile en pratique de procéder à une analyse très détaillée.

Lorsque le risque fait l'objet d'une analyse chiffrée, sa probabilité d'occurrence est donc normalement faible, voire très faible. Si la probabilité d'un scénario présenté comme « risque » est chiffrée à plus d'une dizaine de pour-cent, il s'agit en réalité d'un scénario alternatif de l'activité ; et si elle dépasse 50%, ce que l'on qualifie de « risque » est en réalité devenu le scénario qu'un pronostic raisonnable doit retenir comme référence.

Concepts dans la gestion des risques[modifier | modifier le code]

Selon les normes européennes (EN 292-1 et 2, EN 1050) le risque est défini par une combinaison de la gravité et de la probabilité d'apparition d'une lésion ou d'une atteinte à la santé, pouvant survenir dans une situation dangereuse. Le risque est traditionnellement formalisé à partir de trois concepts : le facteur de risque (péril, danger…), la vulnérabilité, et la criticité.

  • Le facteur de risque (quelquefois appelé péril ou danger) est un élément présent susceptible de causer un risque, c'est-à-dire la survenance de l'accident. Par exemple, le fait d'abuser de consommation d'alcool avant de prendre le volant augmente fortement la probabilité d'un accident, le fait de travailler sur un échafaudage peut provoquer une chute de hauteur. Les facteurs de risque se qualifient par leur domaine (humain, culturel, matériel, technique (risque toxique, thermique, d'explosion..), juridique, etc.) ou leur point d'application (le projet lui-même, et l'organisation au sein de laquelle il va s'insérer). Ils se quantifient en niveau d'incertitude et/ou de complexité.
  • La vulnérabilité est identifiée par les trois paramètres : l’objet du risque, ses causes (facteurs de risque, périls) et ses conséquences, son résultat potentiel. C'est donc un concept plus englobant que celui de criticité.
  • La criticité est la combinaison de l'impact (ou effet ou gravité) et de la probabilité d'un risque (AFNOR) ; évaluée souvent sur une échelle de 1 à 4, elle est liée à l'intensité de l'accident (ou gravité, ou sévérité) lorsqu'il se produit. La vulnérabilité se caractérise par les pertes induites par la réalisation d'un événement aléatoire frappant une ressource de l'entreprise.

La survenance d'un accident est donc le résultat d'une combinaison de facteurs de risque, dont les criticités deviennent telles qu'elles engendrent une forte vulnérabilité conduisant à un accident.

Un accident de voiture pourra par exemple se produire pour un conducteur qui a bu de l'alcool, en présence d'un camion, sur une route dangereuse, alors qu'il pleut (quatre facteurs de risque), la probabilité et l'impact de l'accident étant d'autant plus importants que la dose d'alcool absorbée par le conducteur était importante, le camion puissant et lourd, la route sinueuse et sans visibilité, et la pluie battante (criticités).

Il est donc fondamental, pour bien percevoir, identifier et évaluer les risques sur le plan collectif, de ne pas omettre un facteur de risque. La dimension psychologique (au niveau individuel) ou culturelle (au niveau collectif) ne doit pas être sous-estimée, car les biais cognitifs sont fréquents dans les groupes, et ils peuvent aveugler les individus ou des groupes par rapport à certains types de risques, et lorsque les mêmes biais cognitifs se répètent dans les individus d'une même communauté et au sein de divers groupes, cela aboutit à un biais culturel, qui amplifie le facteur de risque.

Organisation de la gestion du risque[modifier | modifier le code]

Le risque de la grande entreprise à la PME[modifier | modifier le code]

Dans les grandes entreprises, on trouve des équipes spécialisées à la tête desquelles œuvre un gestionnaire du risque ou risk manager. Il a donc vocation à gérer les risques de l'entreprise qui l'emploie. Les entreprises de taille moyenne sont encore peu préoccupées de gestion des risques. Selon une étude du cabinet d'audit Mazars, qui a interrogé environ 200 entreprises affichant des chiffres d'affaires de 100 millions à quelques milliards d'euros, les risques qui les inquiètent le plus sont ceux qui peuvent entraîner une sanction du client, suivis des risques techniques ou opérationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et informatiques." (Les Échos 09/05/2007 "La gestion des risques s'installe aussi dans les entreprises de taille moyenne").

Quelle que soit la taille de l'entreprise, chaque type de risque nécessite une réponse appropriée avec des ressources humaines dédiées externes et/ou internes. On a vu, avec le passage informatique à l'an 2000, qu'il était nécessaire de mettre en place dans les entreprises des équipes spécialisées dans la gestion du risque sous l'angle du management du système d'information. Aujourd'hui, les questions de responsabilité sociétale des entreprises nécessitent, de la même manière, la prise en compte d'un risque global, vis-à-vis de la société civile (impacts de l'activité, risques liés aux produits défectueux, etc, ), la dématérialisation impose un traitement attentif des dirigeants.

La gestion en continu de la grille de risques d'une entreprise suppose vision et vigilance du dirigeant et de ses conseils et cadres, pour la réadapter aux réalités du terrain et des systèmes régulatoires qui s'y appliquent.

Finesses de l'analyse des risques[modifier | modifier le code]

Exemple d'une évaluation qualitative des risques, typique d'une gestion de projet : classement par classe d'impact et classe de probabilité (ici en cinq classes).

Bien que les concepts mis en oeuvre soient dans tous les cas essentiellement les mêmes, les buts et méthodes employés vont être très différents suivant que la gestion du risque s'intéresse à la maîtrise des risques d'un projet, à l'analyse de sécurité d'un système, à la maîtrise du fonctionnement d'une institution, du contrôle qualité ou du contrôle interne, à des risques de santé publique, à la couverture de risques de change,...

Ainsi, l'analyse de risque d'un projet de petite taille (de l'ordre de vingt personnes sur cinq ans) pourra le plus souvent se contenter d'une grille de probabilité à trois niveaux (~10%=possible, ~1%=incertain, ~0.1%=envisageable) et une grille de conséquences à trois niveaux (A=remise en cause du projet même, B=contrat non respecté, C=géreable avec les marges disponibles). En effet, la conduite d'un projet est par nature pleine d'imprévus, il ne sert donc à rien de se préoccuper de scénarios très improbables, sachant que les hasards du projet conduiront de toute manière à en modifier la planification longtemps avant que quoi que ce soit d'« improbable » n'ait eu le temps de survenir. Pour les mêmes raisons, les classes de risques et de conséquences peuvent être larges, dans la mesure où l'information nécessaire est ici surtout qualitative.

Inversement, l'analyse de risque sur la santé et sécurité au travail d'une industrie chimique ICPE portera sur des évènements situés sur une échelle de gravité très large (depuis « se couper légèrement » jusqu'à « nuage toxique faisant des milliers de morts extérieurs »). En conséquence, l'échelle de fréquence attendue doit être du coup également large (de « par semaine » à « par millions d'années »). En effet, le caractère préoccupant d'un risque étant fonction à la fois de son impact (coût) et de sa vraisemblance (probabilité), c'est à dire de l'espérance mathématique de perte qu'il entraîne (quand ces éléments peuvent être chiffrés), la gestion rationnelle du risque conduit à réduire en priorité ceux pour lesquels le produit « coût x probabilité » est le plus important. De ce fait, si cette analyse est conduite rationnellement, les risques que l'on accepte de subir en l'état, sans prendre de mesure complémentaire, tendent à être tous du même niveau « coût x probabilité », et donc l'échelle des coûts doit être aussi large que celle des probabilités.

Exemple de pyramide des risques : fréquence et gravité varient en sens contraire.

Si donc (pour fixer les idées) « se couper légèrement » est jugé (subjectivement, par l'autorité responsable) cent fois moins grave que « dix jours d'arrêt maladie », lui-même jugé dix mille fois moins grave que « un accident mortel », on voit que dans cette hypothèse l'échelle de gravité d'une telle ICPE porte sur neuf ordres de grandeur : s'il paraît éthiquement acceptable de ne pas prendre de mesure complémentaire tant que « se couper légèrement » n'arrive que deux fois « par semaine », une gestion rationnelle du risque doit alors conduire à continuer de réduire l'éventualité d'un « nuage toxique faisant des milliers de morts extérieurs », tant que la probabilité d'une telle catastrophe reste plus forte qu'une fois « par millions d'années » (c'est à dire une probabilité de 10-6 par an).

Sur ce dernier cas, on peut comprendre qu'une gestion purement qualitative est impossible pour apprécier l'importance respective d'évènements s'étageant sur neuf ordres de grandeur. Un niveau de sûreté éloignant une catastrophe à un niveau de 10-6 par an ne peut pas reposer sur des dispositifs simples, mais doit s'appuyer sur des mesures de conception, et des dispositions de sécurité et de contrôle multiples et indépendants, dont la fiabilité individuelle soit suffisante pour que la probabilité de leur défaillance simultanée (elle-même produit des probabilités individuelles de défaillances), laissant la porte ouverte à la catastrophe, soit au niveau attendu. Et l'analyse de risque associée ne peut plus être qualitative, mais doit être chiffrée en s'appuyant sur des données d'expérience objectives.

Compétences de gestion de risque[modifier | modifier le code]

Pour enclencher une action, il faut identifier des signaux d’alarme face aux dangers, c'est une question d’information. Mais pour penser stratégie, la question est bien plus celle du tri comme des prises de responsabilité autour des informations jugées pertinentes. C'est une question de gestion intelligente de l’information, donc de gestion des savoirs (Jean-Yves Mercier, 2002). Parfois, les risques sont identifiés par des lanceurs d'alerte qui agissent à titre individuel. Comme il n'existe pas toujours de dispositif public de traitement des alertes (comme c'est le cas en France par exemple), les lanceurs d'alerte peuvent s'exposer aux représailles de leur hiérarchie lorsque des intérêts financiers sont en jeu[4].

De ce fait, si la création d’une cellule d’observatoire des risques est utile, elle ne sera pas suffisante. Il faut activer les réseaux de compétences disponibles. On parle alors d’espaces de gestion au sein desquels les éléments du réseau peuvent interagir. Ces espaces sont au nombre de cinq :

  • Un espace de réflexion et d’orientation
  • Des espaces de tri individuel de l’information potentielle
  • Un espace de recensement de l’information
  • Un espace de traitement collectif des signaux
  • Et un espace de décision collective

Espace de réflexion et d’orientation

L’espace de réflexion et d’orientation est celui représenté par un observatoire du risque qui conduit l’ensemble de la démarche. Cet observatoire se veut un organe transversal, chargé dans un premier temps de diagnostiquer les risques éventuels vus depuis l’institution, puis de les organiser en grandes familles de préoccupations. À titre d’exemple, l’Observatoire du risque de Catalogne a choisi de concentrer son travail sur les risques de la circulation, du travail, de l’environnement, de santé publique, de rupture sociale et sur ceux liés à l’évolution du marché du travail (Albert Serra). Une fois ces orientations validées par le politique, l’observatoire devient un organe pilote.

Espace de recensement de l’information

Autour de chaque axe de travail, des équipes de recensement de l’information sont constituées. Celles-ci sont idéalement liées au département touché par les risques qu’elles ont à détecter, tel que la santé publique. Leur travail s’effectue pas à pas par une suite de questionnements typiques de la gestion des connaissances (Gilbert Probst), questions que ces équipes approfondissent par diagnostic avec les spécialistes gravitant au sein comme autour de l’institution : ainsi, par exemple, quels signaux nous informent de la progression des dommages psychosociaux dans les entreprises ? comment les recenser alors que les liens entre travail et troubles psychosomatiques ne sont pas clairs? comment en analyser la pertinence ? comment en évaluer le coût ? À chaque étape, les résultats sont croisés entre équipes sous l’égide de l’Observatoire du risque pour favoriser l’apprentissage mutuel autour de ces questions nouvelles.

Espace de traitement collectif des signaux

Parallèlement, des groupes de projets transversaux entre thèmes et départements sont créés pour organiser le traitement collectif de l’information collectée par ces différentes équipes. Quels outils statistiques communs sont nécessaires ? Quel instrument informatique peut permettre d’accéder aux données et de les enrichir ? Et comment structurer la base générale des connaissances ? Des enseignements récents prouvent que l’instrument informatique est extrêmement structurant pour les échanges de savoir. Comme l’information est difficile à cerner, l’idée est ici de bâtir un outil a posteriori, en fonction des situations rencontrées dans l’approfondissement des différents types de risque.

Espaces de tri individuel de l’information potentielle

La question est ensuite de nourrir cet ensemble qui s’institutionnalise peu à peu. C’est donc le rôle d’animateurs de forums du risque de soutenir le tri individuel de l’information potentielle en structurant des espaces de dialogue, que ce soit via Intranet ou via workshops par exemple. Comme nous créons ou percevons régulièrement de nouveaux risques (Michel Serres), le but en est à la fois de repérer les récurrences de signaux non encore connus – c’est la dimension de fréquence, comme dans le cas des risques psychosociaux – comme ceux plus épars qui semblent toucher un sujet à l’impact potentiel important – c’est le critère de gravité, comme dans le cas de l’ESB. Il ne s’agit pas ici de créer un filtre à l’information, mais au contraire de lui donner un canal qui ôte toute validité à la déresponsabilisation individuelle. Ces animateurs de réseau sont répartis dans l’organisation autour des familles de risques mises en évidence par l’Observatoire.

Espace de décision

Équipes thématiques, groupes de projets de traitement du savoir, animateurs de forums du risque, tous ces outils ne fonctionnent que de concert, sous l’égide de l’Observatoire déjà mentionné. Mais encore une fois, celui-ci n’est pas organe responsable. Il est simplement un facilitateur du réseau d’informations. Il a donc aussi pour rôle de centraliser les questions susceptibles de nécessiter traitement du risque, et d’identifier le niveau de responsabilité adéquat. Le problème avec les risques émergents est finalement de créer les espaces de décision et de responsabilité collective (Anthony Giddens). C’est à l’Observatoire de proposer les bonnes constellations aux dirigeants de l'entreprise ou de l'institution. Et c’est là que se situe la vraie responsabilité de ces derniers, non dans le fait d’assumer tout le poids de l’inconnu, mais de structurer et d’octroyer un budget à une cellule de gestion d’un nouveau risque encore flou mais identifié.

Phases de la gestion[modifier | modifier le code]

Identification[modifier | modifier le code]

Article détaillé : Analyse préliminaire des risques.

À ce niveau, il faut identifier le risque, c'est-à-dire, parmi les signaux faibles détectés, reconnaître ceux qui contiennent des risques importants. Si l'on se place dans le contexte scientifique du risque[5], ce qui est souhaitable, il apparaît difficile de parler « d'identification » des risques, mais plutôt des dangers. Le risque étant la probabilité de réalisation d'événements aux conséquences dommageables, le terme « identifier » est inadapté à la notion même de « probabilité ».

Le risque ou situation à risques découle d'une part de l'existence d'un danger (facteur de risque ou péril) et d'autre part de la présence de l'homme dans la zone de danger (objet du risque). Il est utile en la matière de se référer à la norme EN 1050. Lors de la phase d'identification des risques, on portera l'attention non seulement sur les causes (facteurs de risque ou périls), mais aussi sur les objets de risque, ressources de l'entreprise potentiellement concernées par ces facteurs de risque, en regardant les criticités associées.

La criticité dépend de la probabilité pour qu'un facteur de risque survienne (présence dans une zone dangereuse, en contact avec le phénomène dangereux, ou soumis à l'événement dangereux). Ce dernier paramètre est lui-même fonction de plusieurs facteurs propres au système travail, soit l'individu (sa formation, son expérience, ses connaissances…), ses tâches (ou ses fonctions, son besoin d'accès dans la zone dangereuse), le milieu de travail (l'environnement) et la matière utilisée pour accomplir le travail (outils, matière première…). La connaissance de ces différents paramètres n'est pas facile d'autant qu'il existe un troisième paramètre qui est la conséquence du risque, ou au contraire la possibilité d'évitement de l'évènement dangereux. La plupart du temps le passé nous donne les informations sur la gravité et sur l'occurrence d'un facteur ; c'est pourquoi il est difficile d'opposer méthode a priori et a posteriori, car la première se nourrit inévitablement de la seconde.

À ce stade, l'analyse des vulnérabilités peut se cantonner aux facteurs de risque et aux objets de risque. Les risques qui engagent la responsabilité civile ou pénale de l'entreprise feront aussi l'objet d'une identification particulière, prenant en compte les aspects juridiques. En matière économique, l'identification des risques nécessite la mise en place d'un dispositif d'intelligence économique coordonné, afin de procéder à une analyse fouillée des signaux faibles.

Évaluation[modifier | modifier le code]

Article détaillé : Évaluation des risques.

Généralités[modifier | modifier le code]

Après les phases de perception et d'identification des risques, dans laquelle le facteur humain et culturel joue un rôle essentiel, comme on vient de le voir, on doit aussi évaluer les risques en tenant compte des conséquences possibles. Dans cette phase d'évaluation, on prend maintenant en compte l'ensemble des paramètres de la vulnérabilité : causes (facteurs de risques ou périls), objets de risque (les organisations ou ressources à risque), et conséquences avec leurs gravités potentielles.

Une première méthode consiste à adopter une approche statistique. De même que les mathématiciens ont voulu quantifier le hasard en inventant les probabilités, les économistes ont voulu quantifier l'incertitude économique en modélisant les risques. Cette quantification qui garde toujours un côté plus ou moins estimatif, est réalisée à partir de séries statistiques historiques. La théorie financière tend à confondre le risque réel d'un actif financier et l'indicateur de risque qu'est la volatilité passée du prix de cet actif, bien que rien ne dise que les évolutions passées soient un bon indicateur du futur. La probabilités subjectives ou objectives, des algorithmes de calcul dont la célèbre méthode de Monte-Carlo ou des scénarios futurs de gains et pertes, peuvent également être mis en jeu.

C'est ainsi que, la théorie financière a fortement développé l'utilisation de mathématiques probabilistes pour estimer la valeur des actifs. En principe, plus le risque pesant sur un actif est fort, plus son prix sur le marché est bas et son rendement attendu élevé, si du moins le marché est efficient. Cette approche est surtout adoptée dans les milieux ou l'on peut disposer de statistiques et de modèles pour les exploiter. C'est en particulier le cas pour les milieux financiers. C'est pourquoi les experts en gestion des risques ont développé une méthode d'évaluation appelée « fréquence - gravité » qui consiste à calculer un poids du risque à partir de plusieurs critères. Les différents critères (généralement évalués de 1 à 4) varient selon experts et méthodes, mais on retrouve généralement la fréquence du risque quantifiant la probabilité que le risque devienne réalité, la gravité de la conséquence et la maîtrise par les personnes concernées des risques dans le domaine

Ces critères sont évalués, parfois de manière subjective. Ils sont ensuite multipliés, donnant un chiffre (donc de 1 à 64) permettant de classifier et attribuer une priorité de traitement du risque.

Selon la définition scientifique du risque (Pascal-Huygens-Bernoulli), l'approche subjective, par la méthode "fréquence-gravité" qui nous autorise à estimer d'une part, des « plausibilités » selon les termes de Georges Jousse ou des « vraisemblances » inspirés du tableau de Marcel Boll (mathématicien français) proposé dans Les Certitudes du hasard PUF, 1958 et d'autre part, des conséquences, conduit à la valeur d'un aléa (c'est-à-dire d'un événement dangereux prédéterminé) et non à un risque (le risque possédant une notion plus globale ; voir "Définition scientifique du risque"). Aussi, pour estimer un risque (sans historique statistique) il faut prédéterminer plusieurs événements possibles de même nature, estimer leurs plausibilités (leur somme devant être égale à 1 - la somme des probabilités étant égale à 1) estimer leurs conséquences possibles puis estimer chaque aléa. La réelle valeur scientifique du risque sera alors la somme des aléas[6].

Des approches élémentaires via le calcul de la criticité, produit de la probabilité et de la gravité du risque, servent de base à de nombreuses méthodes et représentations, comme le diagramme de Farmer.

Risque aryétique[modifier | modifier le code]

La notion de risque est issue de l'étude mathématique des jeux (Pascal, Fermat, Huygens, Bernoulli). Le risque apparaît alors comme le centre de gravité (la moyenne pondérée, le barycentre ou l'espérance mathématique) entre les conditions de gains et de pertes. Ainsi le risque est nul dans un jeu où l'on a autant de « chances » de gagner que de perdre. Georges Jousse, dans son Traité de riscologie (voir Bibliographie) introduit la notion de risque aryétique (du grec aryéticos qui signifie négatif).

Le risque aryétique — ou valeur aryétique du risque — est évalué lorsque l'on ne tient compte que des événements ayant eu des conséquences négatives. Ce n'est donc pas la valeur réelle du risque (au sens scientifique) car on ne tient pas compte des événements qui n'ont pas eu de conséquences dommageables.

Ainsi, en prenant l'exemple des accidents de voiture (un accident étant un événement ayant une conséquence dommageable), pour avoir une valeur réelle du risque, il faut, au cours d'une période d'observation, faire le rapport entre le nombre de fois où les individus ayant pris leur voiture ont eu un accident (nombre d'événements) et le nombre total de fois où les individus ont pris leur voiture au cours de la même période d'observation, en comptabilisant

  • le nombre d'accidents et
  • le nombre d'absence d'accidents

(nombre total d'événements) ; chaque fois que l'on prend sa voiture, on n'a pas toujours un accident (heureusement !). On voit que cette valeur du risque est extrêmement difficile à évaluer.

Dès lors, si on calcule la valeur du risque (somme des aléas ou somme des produits f×g, pour avoir la moyenne pondérée) à partir des événements (nombre d'accidents), on ne calcule pas la véritable valeur du risque mais celle du risque aryétique, c'est-à-dire une valeur moyenne de l'événement dommageable. Selon Georges Jousse, il est important d'en être conscient.

Nombre d'incidents sur les joints Morton-Thiokol de la navette spatiale Challenger en fonction de la température de lancement.

On pourrait avoir l'impression que la prise en compte des seuls événements dommageables augmente la perception du risque, et donc pousse à être plus prudent (approche dite « conservative »). Cela n'est pas toujours le cas.

Par exemple, dans le cas des incidents sur les joints Morton Thiokol de la navette spatiale Challenger, la température extérieure au moment du lancement était répertoriée avec le nombre d'incidents. Initialement, on ne représentait que les événements incidentels (points noirs sur le graphique ci-contre), ce qui ne permettait pas de faire ressortir une tendance. Si les lancements sans incident avaient été reportés (points blancs), alors on aurait vu clairement qu'au dessus de 65 °F (18 °C), la très grande majorité des lancements étaient sans problème, alors qu'en dessous de cette température, il y avait systématiquement des problèmes.

On voit qu'ici, le fait d'omettre les événements sans conséquence a empêché de percevoir que le problème de la température était critique, ce qui a été déterminant dans la survenue de la catastrophe du 28 janvier 1986[7].

En conclusion, lorsque l'on ne tient compte que des événements ayant eu des conséquences dommageables (aspect négatif), on évalue le risque aryétique et non le risque réel.

Gestion[modifier | modifier le code]

Veille, identification des risques par l'audit, analyse par la recherche des facteurs de risques et des vulnérabilités, maîtrise des risques par les mesures de prévention et de protection : c'est la démarche classique de gestion des risques.

La gestion du risque est l'avant-dernière phase de traitement du risque. Elle vise à en réduire les différentes formes ou sources. Dès que l'on a évalué les plus fortes vulnérabilités, on connaît mieux les causes, les objets de risque, et les conséquences pour ces vulnérabilités. Il existe diverses stratégies pour traiter les risques, telles que la prévention, les actions correctives et les palliatifs.

  • La prévention : Empêcher que l'événement redouté se produise

La prévention consiste à diminuer la probabilité d'occurrence du risque en diminuant ou supprimant certains des facteurs de risque. Nous pouvons citer comme exemple les nombreuses actions faites pour empêcher de conduire sous l'emprise de l'alcool. La prévention est souvent la meilleure stratégie pour ses ressources propres. Par exemple, former son personnel aux risques professionnels, choisir une méthode de fabrication sécurisée. Exemple d'action préventive : face au risque de coupure de réseau de courant électrique un hôpital s'équipera d'un groupe électrogène à démarrage automatique.

Des actions préventives peuvent être mises en œuvre pour limiter l'apparition de l'événement redouté (on parle de "tuer le risque"). Cette stratégie est le plus souvent appliquée en premier lieu, et surtout lorsque le danger est grand (brûlure grave, chute de grande hauteur, coupure, pouvant entrainer la mort ou des effets sublétaux).

La prévention peut aussi se faire par "évitement", c'est-à-dire, l'activité présentant un risque peut être suspendue. Du point de vue des décideurs, cette stratégie est la moins risquée et la moins chère, mais est parfois un frein au développement de l'entreprise ou peut consister à reporter (externaliser) le risque sur d'autres entreprises, ou à le repousser dans le temps.

Concernant les entreprises, de nombreux retours d'expérience montrent que prévenir améliore la performance économique et globale des entreprises. Ainsi, dans le secteur du bâtiment en France dans les années 2010 : « pour 100 euros engagés dans une action de prévention, l’entreprise du bâtiment peut retirer 220 euros de gain, soit un excédant de 120 euros » [8].

  • La réduction du risque : Diminuer les conséquences de l'événement redouté

En sus des actions préventives (voir ci-dessus) des actions correctives peuvent être mises en œuvre pour limiter les conséquences de l'apparition de l'événement redouté.

Les actions correctives visent à diminuer l'effet du risque lorsque celui-ci intervient. Par exemple, un harnais de protection sur un échafaudage n'a aucun effet sur les risques de chute, mais diminue fortement (voire supprime complètement) les traumatismes causés par la chute.

Minimiser l'impact est souvent une stratégie efficace lorsque l'on ne peut agir sur le facteur de risque lui-même, mais que l'on peut agir sur ses conséquences. Par exemple, on ne peut pas empêcher une avalanche, mais on peut aménager des couloirs d'avalanche pour la canaliser.

  • Le transfert : Transformer l'aléatoire en sur-coût déterminé

Le palliatif, ou changement de périmètre, consiste en quelque sorte à « profiter de l'occurrence du risque », non pas pour en diminuer la probabilité ou les conséquences, mais en utilisant à son profit l'événement. C'est le cas typique de l'assurance, qui n'empêche ni l'accident, ni votre maison de brûler, mais qui vous propose un « dédommagement » pour le préjudice subi. S'assurer est le dernier moyen de traiter les conséquences d'événements aléatoires complètement subis. La gestion des risques consiste donc à agir sur tous les paramètres de la vulnérabilité sur lesquels on a un levier d'action possible, les causes endogènes, ou les causes exogènes sur lesquelles l'organisation aurait des moyens d'action (parties prenantes proches), les ressources, en cherchant à en diminuer les faiblesses, et à en augmenter les forces (voir SWOT) et les conséquences, en prenant les décisions propres à éviter les plus grands dangers.

À titre financier, le transfert de risque s'établit lorsqu'une assurance ou toute autre forme de couverture de risque financier ou garantie financière est contractée par le dirigeant confronté au risque (ex. assurance crédit). Ces garanties ne sont pas exhaustives pour couvrir le risque économique et financier. En cas de risque pénal pris par le dirigeant, ce transfert peut être réduit à néant.

À titre opérationnel et économique, ce transfert s'effectue lorsque l'entreprise sous-traite l'activité à risque sous une forme ou une autre (sous-traitance directe, en cascade, cotraitance, externalisation ou outsourcing en anglais) ; un sous-traitant sérieux et qualifié pourra faire payer très cher sa prestation mais aussi démontrer qu'il gère mieux le risque pour un prix équivalent voire inférieur, et le recours à un sous-traitant non qualifié ou dédaigneux du risque fera courir un risque encore plus grand.

Bien qu'apparemment très similaires, ces deux approches aboutissent à des stratégies et des prises de décision très différentes et parfois opposées. C'est très vrai dans le cadre de la gestion de projets, et en particulier de projets informatiques, où la question posée en elle-même (comment minimiser les risques de dérapage de date d'un côté, ou comment « assurer » une date de l'autre) renvoie à un aspect négatif ou positif de l'équation économique. La connotation négative associée au risque conduit malheureusement plus souvent à « minimiser les risques » qu'à « maximiser les gains. »

  • L'acceptation : Le risque est trop faible pour justifier le coût d'une réduction

L'acceptation d'un risque fait suite à une étude de danger. Cette étude permet d'évaluer les dommages pouvant être causés à des personnes exposées si l'événement redouté a lieu. Ainsi, un risque sans gravité conséquente peut être accepté par les travailleurs au compte de l'entreprise. Par exemple "certains électriciens refusent de porter de gros gants en caoutchouc lorsqu'ils travaillent hors-tension, et de devoir les retirer toutes les 10 minutes pour dénuder un fil". L'acceptation est aussi valable lorsque le moyen de protection coûte trop cher ou gêne énormément l'ouvrier dans sa tâche. Cette approche ne permet pas de protéger le personnel ni l'outil de production tant qu'aucune volonté de réduction du risque ne se manifeste.

La gestion du risque fait parfois appel à la théorie des jeux qui associe une équation économique à des événements aléatoires, et donc un chiffre (généralement un coût) au risque. Cette théorie apporte un éclairage particulier sur la gestion des risques. Il existe en effet deux stratégies très différentes d'optimisation qui consistent soit à maximiser les gains soit minimiser les pertes. Pour minimiser les pertes, il s'agit de faire en sorte que l'espérance mathématique des pertes soit la plus faible possible. Les produits financiers font preuve dans ce domaine d'une très forte créativité. Celui qui cherche à maximiser les gains fera en sorte que l'espérance mathématique des gains soit la plus forte possible. Dans cette optique, ignorer les risques est malheureusement souvent la meilleure stratégie.

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Références[modifier | modifier le code]

  1. Référence officielle ISO Guide 73:2009 - Management du risque — Vocabulaire [1]
  2. Référence officielle ISO 31000:2009 – Management du risque — Principes et lignes directrices [2]
  3. Référence officielle ISO 31000:2009 – Management du risque — Principes et lignes directrices [3], section 2.1 risque, page 9
  4. Fabien Piasecki, Christian Vélot, et Sciences Citoyennes, Risques et lanceurs d’alerte, lundi 9 janvier 2012
  5. G. Jousse Le Risque, cet inconnu ou Traité de riscologie, Imestra Éditions
  6. G. Jousse, Traité de riscologie - La science du risque, Imestra Éditions, 2009
  7. Christian Morel, Les décisions absurdes : Sociologie des erreurs radicales et persistantes, Gallimard, coll. « Folio essais »,‎ (ISBN 978-2-07-031542-0), p. 113, 114
  8. selon Joël Poix, chef de projet "Dimension économique de la Prévention", à l’OPPBTP, cité par BatiActu dans un article en ligne intitulé Prévention des risques : le rendement sur investissement est supérieur à 3 dans les TPE

Bibliographie[modifier | modifier le code]

  • Diagnostic des risques : Identifier, analyser et cartographier les vulnérabilités. Sophie Gaultier-Gaillard, Jean-Paul Louisot. Éditions AFNOR. 2007. ISBN 2124755757.
  • Revue trimestrielle Riseo (Risques : études et observations) sur www.riseo.fr
  • "Norme ISO/CEI", 31000:2009 Management du risque - Principes et lignes directrices novembre 2009.
  • "Norme ISO/CEI", 31010:2009 Management du risque - Techniques d'évaluation des risques novembre 2009.
  • Management du risque. Approche globale. AFNOR. 2002. (ISBN 2-12-169211-8)
  • Management du risque - Principes et lignes directrices. ISO 31000:2009(F)
  • 100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et CARM Institute (Cercle des Affaires en Risk Management) (ISBN 2-12-475087-9)
  • Gestion des risques, Michel Lesbats, Dunod, 2012, (ISBN 978-2-10-057740-8)
  • Fonction Risk manager, Catherine Véret, Richard Mekouar, Dunod, 2005 (ISBN 2-10-048697-7)
  • Prévenir les risques. Agir en organisation responsable, Andrée Charles, Farid Baddache, Éditions AFNOR, 2006 (ISBN 2-1247-5519-6).
  • Anticiper les risques par la gestion du savoir, Conférence devant les conseillers aux États, Jean-Yves Mercier, Contrôle Fédéral des Finances, Berne, septembre 2002
  • Hominescence, Michel Serres, Le Pommier, Paris, 2001
  • La cartographie: un outil de gestion des risques .2007 Collection AMRAE www.amrae.fr.
  • Cambon, J., Guarnieri, F., 2008, Analyse des défaillances organisationnelles, la méthode TRIPOD. Collection Sciences du Risque et du Danger, Éditions Lavoisier.
  • Cros, M., Gaultier-Gaillard, S., Harter, H., Pech, P., 2010, "Catastrophes et Risques Urbains : nouveaux concepts, nouvelles réponses", Coll. "Risques et Sciences du danger", Ed. Lavoisier
  • Martin C., Guarnieri, F., 2008, État des pratiques de prévention dans les PME-PMI. Collection Sciences du Risque et du Danger, Éditions Lavoisier.
  • Rasse G., 2008, Les plans de prévention des risques, Collection Sciences du Risque et du Danger, Éditions Lavoisier.
  • Sansévérino-Godfrin, 2008, Le cadre juridique de la gestion des risques naturels, Collection Sciences du Risque et du Danger, Éditions Lavoisier.
  • Van Wassenhove W., Garbolino E., 2008, Retour d'expérience et prévention des risques, Collection Sciences du Risque et du Danger, Éditions Lavoisier.