|
Principes
de l’analyse de risques (extraits) : Principes : L'analyse de risque est une phase clé de tout changement; bien menée, elle permet de prendre du recul et porter un regard neuf sur les enjeux et sur les embûches que l'entreprise risque de rencontrer. L'identification des risques potentiels permet en effet de préparer et affecter les ressources nécessaires pour anticiper et dépasser les obstacles. L'analyse de risque peut et doit être menée pour toute situation; une chaîne d'approvisionnement, un projet de changement informatique, un projet organisationnel ou de déménagement comporte tous des risques qui ne sont pas très différents et participent de la même démarche. L'analyse de risque peut déjà être menée tout en amont, lors de l'élaboration de l'idée initiale, et poursuivie lors de l'étude préalable, ce qui permettra de mieux la détailler. Elle peut aussi être effectuée avant chaque phase / étape ; dans ce cas, l’analyse de risque participe intimement au déroulement du projet et, à l’extrême, il est parfaitement possible d’envisager de piloter un projet par les risques. Pour un système opérationnel, l'analyse de risque est à mener de manière régulière (annuelle par exemple), même et surtout pour les entreprises qui n'y sont pas astreintes par le CO, lors de changement important ou de suite dès qu'une situation risquée se dessine. Par manque d'habitude et parfois également par optimisme, il n'est pas toujours aisé de mener une analyse de risque, raison pour laquelle elle est souvent mésestimée. Une démarche pour faciliter
l’approche : Pour combler ces difficultés, l'emploi d'une démarche est recommandée: Le lecteur trouvera ci-après un exemple de démarche comprenant 4 étapes principales, certaines facultatives et dépendant de la dimension du secteur où l'analyse de risque est effectuée : 1.
Détermination des missions, des secteurs et des projets
"critiques" (cf. outil de
gestion et de pilotage des projets) 2.
Identification des risques et conséquences (interne, externe, humaine,
fonctionnelle, etc.) 3.
Calculation du risque de défaillance (interne, externe, humaine,
fonctionnel, etc.) 4.
Elaboration de plan de parade associés (plan de prévention, plan de
correction / réparation) 5.
Simulation (prototype) du facteur de risque et des moyens de
corrections associés. Quelques remarques s’imposent sur cette démarche d’analyse : Les techniques mises en œuvre pour accomplir ces 4 étapes varient selon les situations, l’enjeu et le temps à disposition. Elles peuvent être utilisées conjointement ou successivement ; nous pouvons citer, pour exemple :
L’emploi de logiciels de recensement et de suivi des risques est recommandé, quelque soit la taille de l’entreprise (cf chapitre « logiciels de gestion des risques »). Certains contiennent des bibliothèques ou des types de risques standards, facilitant l'analyse et la mesure globale du risque de l'entreprise. La calculation du risque est faite par utilisation de tabelles de référence (tout le monde connaît les tables de mortalité, les lois de défaillance et d’erreur des logiciels, etc.), par des outils d’analyse, par recensement des cas historiques, par sondage ou par toute autre approche visant à apporter la plus grande part possible d’objectivité est à privilégier à la seule appréciation individuelle, souvent trop guidée. Il est malheureusement trop fréquent de constater que les entreprises limitent les plans de mesure aux seuls plans de « secours » ou aux plans de « réparation » (pour plus d'information, consulter le document "DRP & continuity plans"). L’expérience montre que ces plans de parade sont rarement complets et exhaustifs et que, si ils ne sont pas accompagnés de plans de prévention (basés tant sur les machines que sur l’être humain), ils sont insuffisants. Il convient donc d'y consacrer suffisamment de temps et d'énergie, d'autant plus que la démarche de construction des plans de prévention présente cette particularité qu’elle contribue souvent à améliorer le fonctionnement et le développement de l’entreprise, ce qui la justifie doublement ! La simulation est rarement menée, soit pour des raisons de coût, soit par crainte des conséquences possibles ; elle est pourtant à elle seule garante de la qualité de l’approche … et de la confiance de celui qui l’a menée ! |
||
Fig 1 :
Tableau utilisé lors de phase 3 de la démarche. |
Exemple de risque (extrait)
: Au niveau de l'entreprise : - fraude comptable / erreur - défaillance fournisseur - défaillance clients - risque géopolitique ... Au niveau d'un projet / d'un
produit acheté : - retard, niveau
fonctionnel, qualité - surcoût - risque technique - pérennité solution,
durabilité, ... Au niveau RH : - défaillance, burn-out - démission, démotivation - désaccord, non adhérence,
grève, ... |
|
|
Mesure du risque réactualisé des mesures prises; actualisation
périodique du risque Après avoir conçu les mesures de parade ou
préventives, il est nécessaire de mesurer le risque résiduel et de positionner dans la
grille de risque les risques ainsi déterminés. Ce travail doit être réactualisé périodiquement afin
de mettre en évidence les nouveaux risques au fur et à mesure du projet. Un « Monsieur risque 0 » Enfin, une analyse de risque qui se limiterait à des documents et à un tableau des risques serait insuffisante si elle n’était pas constamment actualisée et tenue à jour. Un risque faible peu en effet, sous la pression d’événements, devenir majeur. Citons par exemple le cas d’une défaillance technique d’une machine utilisée pour un projet, liée par exemple au départ à la casse d’une pièce dont on connaît parfaitement la durée de vie, la courbe de tolérance de fabrication et le temps de réparation / immobilisation (notée donc au début comme risque et impact faible), et qui va brusquement se transformer en un risque faible et impact majeur de par la faillite de la société ayant construit la machine, de par la rupture des lignes d'approvisionnement trans-continentales ou en cas de grève prolongée ! Il faut donc accompagner l’analyse de risque de mesures organisationnelles et de la désignation d’un « Responsable Risque 0 », au profil de compétence bien spécifique, chargé de suivre le « portefeuille des risques » et l'évolution du contexte économique, géo-politique et sociétal. |
|