Principes de l’analyse de risques (extraits) :

 

 

Principes :

 

L'analyse de risque est une phase clé de tout changement; bien menée, elle permet de prendre du recul et porter un regard neuf sur les enjeux et sur les embûches que l'entreprise risque de rencontrer. L'identification des risques potentiels permet en effet de préparer et affecter les ressources nécessaires pour anticiper et dépasser les obstacles.

L'analyse de risque peut et doit être menée pour toute situation; une chaîne d'approvisionnement, un projet de changement informatique, un projet organisationnel ou de déménagement comporte tous des risques qui ne sont pas très différents et participent de la même démarche.

L'analyse de risque peut déjà être menée tout en amont, lors de l'élaboration de l'idée initiale, et poursuivie lors de l'étude préalable, ce qui permettra de mieux la détailler.

Elle peut aussi être effectuée avant chaque phase / étape ; dans ce cas, l’analyse de risque participe intimement au déroulement du projet et, à l’extrême, il est parfaitement possible d’envisager de piloter un projet par les risques.

Pour un système opérationnel, l'analyse de risque est à mener de manière régulière (annuelle par exemple), même et surtout pour les entreprises qui n'y sont pas astreintes par le CO, lors de changement important ou de suite dès qu'une situation risquée se dessine.

 

Par manque d'habitude et parfois également par optimisme, il n'est pas toujours aisé de mener une analyse de risque, raison pour laquelle elle est souvent mésestimée.

 

Une démarche pour faciliter l’approche :

Pour combler ces difficultés, l'emploi d'une démarche est recommandée: Le lecteur trouvera ci-après un exemple de démarche comprenant 4 étapes principales, certaines facultatives et dépendant de la dimension du secteur où l'analyse de risque est effectuée :

 

1.      Détermination des missions, des secteurs et des projets "critiques" (cf. outil de gestion et de pilotage des projets)

2.      Identification des risques et conséquences (interne, externe, humaine, fonctionnelle, etc.)

3.      Calculation du risque de défaillance (interne, externe, humaine, fonctionnel, etc.)

4.      Elaboration de plan de parade associés (plan de prévention, plan de correction / réparation)

5.      Simulation (prototype) du facteur de risque et des moyens de corrections associés.

 

Quelques remarques s’imposent sur cette démarche d’analyse :

 

Les techniques mises en œuvre pour accomplir ces 4 étapes varient selon les situations, l’enjeu et le temps à disposition. Elles peuvent être utilisées conjointement ou successivement ; nous pouvons citer, pour exemple :

  • les techniques participatives (séances de travail, brainstorming, etc),
  • les techniques d’analyse et de propagation (analyse des composants, analyse des causes fondamentales, etc.)
  • les techniques basées sur des checklists sectorielles (les risques typiques de défaillance dans un projet de changement organisationnel, les risques dans des projets de migration, les  risques dans le cas d’études fonctionnelles, les risques pour les projets de construction, etc.),
  • l’appel à des experts externes,
  • les approches basées de type « boîte noire » ;
  • les approches inverses, où l’on analyse plutôt les conséquences que les causes, ce qui privilégie les solutions de remplacement ;
  • etc.

 

L’emploi de logiciels de recensement et de suivi des risques est recommandé, quelque soit la taille de l’entreprise (cf chapitre « logiciels de gestion des risques »). Certains contiennent des bibliothèques ou des types de risques standards, facilitant l'analyse et la mesure globale du risque de l'entreprise.

 

La calculation du risque est faite par utilisation de tabelles de référence (tout le monde connaît les tables de mortalité, les lois de défaillance et d’erreur des logiciels, etc.), par des outils d’analyse, par recensement des cas historiques, par sondage ou par toute autre approche visant à apporter la plus grande part possible d’objectivité est à privilégier à la seule appréciation individuelle, souvent trop guidée.

 

Il est malheureusement trop fréquent de constater que les entreprises limitent les plans de mesure aux seuls plans de « secours » ou aux plans de « réparation » (pour plus d'information, consulter le document "DRP & continuity plans"). L’expérience montre que ces plans de parade sont rarement complets et exhaustifs et que, si ils ne sont pas accompagnés de plans de prévention (basés tant sur les machines que sur l’être humain), ils sont insuffisants. Il convient donc d'y consacrer suffisamment de temps et d'énergie, d'autant plus que la démarche de construction des plans de prévention présente cette particularité qu’elle contribue souvent à améliorer le fonctionnement et le développement de l’entreprise, ce qui la justifie doublement !

 

La simulation est rarement menée, soit pour des raisons de coût, soit par crainte des conséquences possibles ; elle est pourtant à elle seule garante de la qualité de l’approche … et de la confiance de celui qui l’a menée !

 

Fig 1 : Tableau utilisé lors de phase 3 de la démarche.

Exemple de risque (extrait) :

 

Au niveau de l'entreprise :

-  fraude comptable / erreur

- défaillance fournisseur

- défaillance clients

- risque géopolitique

...

 

Au niveau d'un projet / d'un produit acheté :

- retard, niveau fonctionnel, qualité

- surcoût

- risque technique

- pérennité solution, durabilité,

...

 

Au niveau RH :

- défaillance, burn-out

- démission, démotivation

- désaccord, non adhérence, grève,

...

 

 

 

 

 

Mesure du risque réactualisé des mesures prises; actualisation périodique du risque

 

Après avoir conçu les mesures de parade ou préventives, il est nécessaire de mesurer le risque résiduel et de positionner dans la grille de risque les risques ainsi déterminés.

Ce travail doit être réactualisé périodiquement afin de mettre en évidence les nouveaux risques au fur et à mesure du projet.

 

Un « Monsieur risque 0 » 

 

Enfin, une analyse de risque qui se limiterait à des documents et à un tableau des risques serait insuffisante si elle n’était pas constamment actualisée et tenue à jour.

Un risque faible peu en effet, sous la pression d’événements, devenir majeur. Citons par exemple le cas d’une défaillance technique d’une machine utilisée pour un projet, liée par exemple au départ à la casse d’une pièce dont on connaît parfaitement la durée de vie, la courbe de tolérance de fabrication et le temps de réparation / immobilisation (notée donc au début comme risque et impact faible), et qui va brusquement se transformer en un risque faible et impact majeur de par la faillite de la société ayant construit la machine, de par la rupture des lignes d'approvisionnement trans-continentales ou en cas de grève prolongée !

Il faut donc accompagner l’analyse de risque de mesures organisationnelles et de la désignation d’un « Responsable Risque 0 », au profil de compétence bien spécifique, chargé de suivre le « portefeuille des risques » et l'évolution du contexte économique, géo-politique et sociétal.

 

 

 

Retour au haut de la page

 

                                                                                                                                                                                                                                  

© 2007-2022 SBMC Management Consulting