La gestion des risques : de l'importance de connaître ses risques pour gérer efficacement son entreprise. Frédéric DUGAST, Cabinet QUALIENSE Conseil
Frédéric Dugast Directeur Associé. Thomas RIVET Directeur Associé. Connaitre ses risques pour diriger efficacement son entreprise Décembre 2014
La gestion des risques «Connaitre ses risques, c est déjà commencer à les gérer» Risques Intrinsèques + Facteurs environnementaux système de management des risques = Risques résiduels
Les Risques! Approche Globale
Risques intrinsèques L usine à créer du risque De nombreuses normes, un objectif commun : Norme ISO 31000 : principes, cadre et lignes directrices (et guide ISO 73) et ISO CEI 31010 : Techniques d évaluation des risques. Elle reflète les bons usages actuels et répond aux questions suivantes: et Risques Externes Risques de défauts Sécurité dit «risques industriels» Risques de défauts Hygiène Que se passe-t-il et pourquoi? Quelles sont les conséquences? Quelle est la probabilité d occurrence des risques? Existe-t-il des facteurs permettant de limiter la conséquence du risque ou de réduire sa probabilité d occurrence? Normes SEVESO : explosion, pollution de l air, des sols et eaux. Risques de nonconformité Risques Clients/fournisseurs Activités Industrielles * Risques humains (compétences, social ) Risques financiers Risques de non qualité (trésorerie, capitaux) 5
Risques intrinsèques Qu'est-ce qu'un risque industriel? Un risque industriel majeur est un événement accidentel se produisant sur un site industriel et entraînant des conséquences immédiates graves pour le personnel, les populations avoisinantes, les biens et/ou l'environnement. Les générateurs de risques sont regroupés en deux familles : - Les industries chimiques produisent des produits chimiques de base, des produits destinés à l'agroalimentaire (notamment les engrais), les produits pharmaceutiques et de consommation courante (eau de javel, etc.) ; - Les industries pétrochimiques produisent l'ensemble des produits dérivés du pétrole (essences, goudrons, gaz de pétrole liquéfié). Les conséquences d'un accident dans ces industries sont regroupées sous trois typologies d'effets : - Les effets thermiques. - Les effets mécaniques (déflagration ou détonation. - Les effets toxiques.
Risques intrinsèques La première marche : l identification et classification Une explosion présente deux dangers primaires: - Par les projectiles (qui peuvent endommager les biens, blesser ou tuer les personnes). - Par l onde de pression ou «effet de souffle» (qui peut briser les vitres voire les murs, détériorer les tympans voire les poumons). Danger secondaire possible : émission d un nuage toxique, si un réservoir est endommagé par l explosion. Ex : Le risque d explosion Le risque toxique Exemple : AZF L'explosion qui s'est produite le vendredi 21 septembre 2001 dans la banlieue de Toulouse, est la plus grande catastrophe industrielle de l'aprèsguerre en France : 31 personnes décédées. 2400 blessées victimes soit de brûlures, soit de lésions dues aux projectiles, soit de "blast" (dégâts sur les organes causés par l'onde de pression). Plusieurs milliers de personnes n'ont plus de logement. Beaucoup de commerces et d'industries sont affectés durablement dans leur activité. Les équipements publics sont aussi très touchés. Environ deux mille personnes sont mises au chômage technique.
Risques intrinsèques La première marche : l identification et classification Les risques auxquels vous devez faire face ont des origines diverses, ils ont toujours existé, car inhérents à toute activité (et sous certains aspects souhaitables). Cependant certains facteurs internes et externes peuvent venir amplifier ou modifier la cartographie connue des risques de votre entreprise. Ainsi, les différents facteurs environnementaux de votre entreprise conditionnent les transformations qui s opèrent sur vos activités et vos compétences. Culture, valeurs, missions, règles et procédures Environnement Interne env de l Entreprise Choix et objectifs stratégiques Environnement immédiat Environnement Externe Accélérations, ruptures, et mutations technologiques
La première marche : l identification et classification Ces facteurs induisent une transformation permanente du profil de risques de votre entreprise Risques externes Risques stratégiques Risques évitables La gestion de vos risques doit s adapter à ces évolutions afin de rester pertinente Renforcer votre résilience Anticiper et être prêt Les entreprises intelligentes adaptent leur approche à la nature des menaces auxquelles elles sont confrontées
Une gestion des risques adaptées Identification / évaluation / gestion appropriée Typologie de risques Risques internes à l entreprise, ne génèrent aucun gain stratégique Risques accepté stratégiquement pour dégager un avantage convenable Risques aux sources extérieures et incontournables Objectif de maitrise des risques Éviter qu ils ne se produisent Réduire leur probabilité et leur impact Réduire leur impact dans le cas où ils surviendraient Type de Dispositif Modèle intégré et conformité: Développement et formalisation de la culture, règles et formalisation des procédures et contrôles Modèle d évaluation dynamique des risques liés aux objectifs stratégiques: Outils d identification : cartographie sévérité/occurrence, probabilité d impacts, KRI Modèle d évaluation : Évaluation des risques extrêmes, tests de résistance, planification scénario et jeux de test
Les outils de gestion du risque PERFORMANCE Avec la gestion des incidents, les KRI, les plans de remédiation Amélioration continue : on analyse le passé pour s améliorer. PILOTAGE Avec la cartographie, les analyse de scénario, les tests, le MCA Analyse prospective : on analyse ce qui peut se passer, on cherche à les éviter ou on se prépare à minimiser les impacts.
Les outils d aide à la Performance Comprendre et s améliorer Gestion des incidents Organisation de la collecte (fiche de remontée, classification, périodicité). Analyse (causes / impacts) : mesure de l impact et de la sévérité. Communication : échanges terrain, recherche du consensus, appui du management. Suivi des Plan d actions. KRI Mesures de la production (du KPI au KRI). Définition de seuils d alerte. Tableau de bord. Plans de remédiation et Amélioration Continue Plan de sensibilisation et de prévention (rappel des normes et règles, des conséquences possibles ). Gouvernance dans l entreprise. Allocation de ressources (task force, responsable Risques, valeurs de l entreprise).
Les outils de pilotage (identifier) Cartographie Analyse Causes / Conséquences Analyse de probabilité / impacts Causes Evénement de risques Conséquences / Impacts fréquence Humaines Processus Machine SI Stratégique Externes Fraude Erreur fabrication Dommages physiques RH Défaillances Machine Défaillance SI Pratiques commerciales Sécurité Hygiène Qualité Pertes financières Coût d opportunité Image/ réputation Conditions emploi Environnement Amélioration continue Gestion à moindre coûts A couvrir absolument Minimiser l impact s il se réalise Risque majeur (courbe Farmer) sévérité Ex risque naturel majeur phénomènes géologiques ou atmosphériques aléatoires. Le risque technologique majeur est le risque engendré par l'activité humaine.
Les outils de pilotage (anticiper) Penser les changements plutôt que changer les pansements! Analyse de scénarii, Stress tests MCA (continuité d activité) Mise en place de scénarii probables. Définition du niveau d appétit / risque maximum. Quantification des moyens et ressources nécessaires. Outils d identification, d arbitrage (appétit aux risques) et de prise de décisions. Sensibilisation. Résilience : minimiser l impact en cas de survenance d un évènement majeur. Principe clef: dégradation des activités. Gestion de crise Résilience : Evénement défensif extrême. Se préparer pour résister.
Les outils de gestion du risque MISE EN PLACE ADAPTÉE PERFORMANCE Gouvernance grande ETI Gestion des risques TPE / PME PILOTAGE Responsable désigné. Correspondant(s) Risques Métiers. Comité Risques. Des outils formalisés d'analyse et de reporting. Animation globale. Le DG ou un membre du codir à l'initiative. Réflexions 15 mn par réunion. Mise en place de bonnes pratiques et outils simples (cartographie / KRI).
Les outils de pilotage (anticiper) MCA (continuité d activité) Objectif de Résilience : minimiser l impact en cas de survenance de l évènement : 1. Préparation des ressources et moyens de la résilience. 2. Formation / Sensibilisation. 1. L analyse d impact (BIA) et des besoins : Choix des scénarii retenus et à couvrir : indisponibilité partielle ou total de l usine, grèves, épidémie Découpage des activités en mode dégradé : analyse des process vitaux et critiques / clients vitaux. Durées critiques, DMIA et RTO = H+4 / J / M. Recensement des besoins : matrice de compétences, effectifs secours nécessaires. Définition des moyens de secours : back up logique et technique (DRP)/ télétravail / site secours / abandon. Activité concernée Sigle service Descripti on activité/se rvice Sous-famille d'activité Teleph Hardware Commu nicatio Besoin n materiel enregis IT trée Flux entrants Type de flux Service concerné De qui/quoi Type de flux Flux sortants Service concerné Vers qui/quoi Clients finaux PNB ou FGX annuels (en M ) Volumét Nature/T ype du produit traité % d e s o p Tâches effectuées en secours Commentaires Tâches abandonnées en secours Durée critique (1) DMI A RTO 2. Animation du MCA: Tests techniques et réels (déplacement physique). Procédure de déclanchement. Documentation de la procédure (arbre de décision, listes des tâches / acteurs. Sensibilisation du management intermédiaire.
Les outils de pilotage (résister) Gestion de crise Résilience : Evénement défensif extrême. 1. Se préparer pour résister: Définition des rôles et responsabilités (Gouvernance/ organisation production/ communication interne et externe) : call tree. Tests (scénarii). 2. Activation: Déclenchement de la cellule. Check list de crise. Gestion de la crise (gouvernance de crise). 3. Sortie de crise et retour à la normale: Organisation du retour à la normale. Reprise des activités dégradées. «lesson learnt» et plan d amélioration.
Risque Résiduel Point d évaluation : combinaison d activités, de processus et de point organisationnel Déclinaison par processus, par business unit, par activité Description du point d évaluation Risque 1 Collecte des pertes du périmètre Contrôle relatif 1 Evaluation du risque résiduel Plan d action Outils d aide à la décision Stratégique. Organisationnel. Opérationnel. Risque N Contrôle relatif N Evaluation du risque résiduel Plan d action 18
Conclusion : La gestion des risques de votre entreprise consiste donc À avoir une bonne vision des risques auxquels vos activités vous exposent. Comprendre leurs impacts sur vos activités. Décider de votre appétit à ces risques. En conséquence, mettre en place les moyens organisationnels et humains pour les éviter, ou modérer leur impact en cas de survenance.