Altaïr Conseil Transformation Gouvernance - Risques Elaborer la cartographie des risques (Démarche et méthode) 33, rue Vivienne, 75 002 Paris 01 47 33 03 12 www.altairconseil.fr contact@altairconseil.fr Copyright Altaïr Conseil Reproduction strictement interdite
Objectifs Identifier et hiérarchiser les facteurs de risque (référentiel) Dresser un état des lieux complet des vulnérabilités Construite à partir d une approche globale, la cartographie constitue un outil d aide à la décision pour les responsables de l entreprise ou de l organisation A ce titre, elle s inscrit dans le dispositif de gouvernance des risques Altaïr Conseil 2008 Elaborer la cartographie des risques 2
Démarche globale d élaboration de la cartographie 1 ère étape 2e étape 3e étape 4e étape 5e étape Identification des évènements Evaluation des risques Analyse des situations à risques Cartographie Préconisations Evènements internes Evènements externes Cartographie processus Probabilités & occurrences Impacts & conséquences Risques critiques Risques résiduels Interdépendance Modélisation Représentation Plan de maîtrise des risques Dispositif de prévention et de protection Stratégie de continuité Gouvernance Des approches opérationnelles et adaptées Enquêtes auprès des collaborateurs Collecte de données externes (observatoires) Entretiens individuels (responsables) Animation de groupes de travail Séminaire Un appareillage méthodologique éprouvé Base évènementielle Questionnaires Matrice de cotation des risques Outils de représentation graphique Altaïr Conseil 2008 Elaborer la cartographie des risques 3
1 ère étape : identifier les évènements et les risques 1- La constitution d un référentiel d évènements adaptés à l organisation étudiée Classes de risques (internes et/ou externes) Evènements Conséquences Externes : économique, politique et sociétal, technologique, réglementaire, naturel, industriel, Internes : Infrastructure, sanitaire, RH, produits, clients, fournisseurs, systèmes d information, organisation, management, gouvernance et pilotage, Externes : inflation, krach boursier, conflits, émeutes, grèves, terrorisme, vandalisme, pénurie énergétique, cyber attaques, évolution réglementaire, inondation, incendie, tempête, pandémie grippale, accident NRBC, Internes : incendies, dégâts des eaux, pannes d équipements, légionellose, intoxication, défaillance client, défaillance fournisseur critique, réclamations clients, retour produits, perte Homme Clé, arrêt informatique, Spécifiques à un secteur d activités : énergie, santé, banque/finance, télécommunications, collectivités, Destruction/dégradation des bâtiments, arrêt des activités, indisponibilité de ressources critiques, indisponibilité des compétences, perte d exploitation, diminution brutale de productivité, de rentabilité, 2- Le recensement des processus (cartographie) Les processus et ressources métiers (Distribution, production, ) Les processus et ressources support (Finance, RH, IT, ) Les processus de pilotage Altaïr Conseil 2008 Elaborer la cartographie des risques 4
2 e étape : évaluer les risques 1- Estimer / mesurer la probabilité de survenance A partir : De données statistiques internes De la perception des responsables et des collaborateurs D informations externes (Experts, observatoires, ) Classes de risques Naturels Pol. / Soc. Evènements Inondation Attaque Nul/Très faible Probabilité /Occurrence Faible Moyen Elevé 2 Très élevé 5 2- Apprécier les impacts sur différents compartiments de l organisation Typologie d impacts adaptée aux caractéristiques et aux objectifs de l entreprise : Clients/Usagers/Patients, RH, financier, infrastructures, ressources critiques, Classes de risques Naturels Pol. / Soc. Evènements Inondation Attaque Impacts / Conséquences Clients RH Financier ( ) Moy. 1 2 5 2,6 2 4 4 3,3 Altaïr Conseil 2008 Elaborer la cartographie des risques 5
3 e et 4 e étape : analyser les situations à risque et modéliser 1- Identifier et approfondir les risques critiques Focus sur les risques les plus critiques nécessitant des actions spécifiques de maîtrise en raison d'une occurrence ou d'impacts potentiellement élevés. Approfondissement des scénarios de risques : Causes / conséquences Interdépendance Parades Classes de risques Naturels Evènements Inondation Probabilité / Occurrence P Impacts & conséquences I Criticité C = P x I 0 < P < 5 0< I < 5 0 < C < 25 2- Bâtir une représentation graphique adaptée (mapping) Mise en évidence des critères d'évaluation : Gravité (impacts et conséquences) Fréquence / probabilité Gravité 5 4 3 2 1 Défaillance fournisseur Incendie Pollution chimique Arrêt informatique Défaillance client Agression Inondation 5 4 3 2 1 0 0 1 2 3 4 5 Risques critiques Nécessite : Un plan de maîtrise des risques Un plan de continuité des activités (PCA 0 Perte 'homme clé' 0 1 2 3 4 5 Fréquence / Probabilité Risques acceptables Altaïr Conseil 2008 Elaborer la cartographie des risques 6
5 e étape : établir des préconisations Mise en place d'un dispositif de vigilance et de pilotage des évènements (référentiel) Indicateurs clés Tableau de bord risque Mise à jour de la cartographie Définition et déploiement d'un plan de maîtrise des risques Durcissement des mesures de prévention et de protection Gouvernance des risques Définition d'une ou plusieurs stratégie de continuité des activités Orientations PCA Dispositif de gestion de crise Altaïr Conseil 2008 Elaborer la cartographie des risques 7
La valeur ajoutée d'altaïr Conseil Une double expertise : Organisation et management (transformation des organisations) Risques : cartographie des risques, gestion de crise, plan de continuité des activités La mise à disposition d'une base évènementielle enrichie continuellement Un appareillage méthodologique adapté Démarches d'animation et d'implémentation Questionnaires Outils de modélisation et de visualisation Une capacité d'intervention légère et rapide Capacité à comprendre rapidement les métiers, les environnements et les enjeux stratégiques et opérationnels Capacité à animer la démarche dans une optique de vision partagée et de déploiement opérationnel La force d'un fonctionnement en réseau Relations avec les autorités : anticipation des évolutions, sollicitation d'experts, accès aux bases de données et observatoires Altaïr Conseil 2008 Elaborer la cartographie des risques 8
Quelques extraits de nos références Gestion de crise d'une Caisse victime d'un sinistre Retour d'expérience Constitution d'un référentiel national de maîtrise des risques Elaboration de la cartographie des risques Définition du dispositif de gestion de crise Elaboration du Plan de Continuité des Activités Elaboration et déploiement d'un plan de fonctionnement dégradé Agence Autres références Risques Formation des membres du Comité de Direction et de l'encadrement d'une entreprise industrielle aéronautique à la gestion de crise Animation d'une réflexion sur l'identification de risques réputés "improbables" pour une entreprise multinationale du secteur de l'énergie Elaboration du plan de continuité des activités d'une société d'assurance Animation d'une réflexion sur les dispositifs de secours et de continuité des activités à déployer pour le compte de plusieurs entreprises de la Grande Distribution. Altaïr Conseil 2008 Elaborer la cartographie des risques 9
La gestion des risques dans les établissements de santé : Répondre à un enjeu stratégique Déployer une politique de gestion stricte des risques Des risques accrus qui menacent la mission de service public des établissements de santé 1/ L'atteinte aux personnes Violences physiques Menaces sur l'intégrité des personnes Addictions 2/ L'atteinte aux biens Dégradations de matériels Vols / disparition Intrusion 3/ Les dysfonctionnements logistiques Non-conformité Non respect des procédures et des règlements Pannes des équipements de servitude ( ) Identification des risques et des évènements (cartographie) Veille et surveillance permanentes Reporting et pilotage Contrôle interne Mettre en place des mesures de prévention et de protection Matériels et équipements Procédures Formation, information, sensibilisation Définir et rendre opérationnel le dispositif de gestion de crise Détection des signaux faibles Organisation des responsabilités et des attributions Système de communication Infrastructures Développer la couverture financière Altaïr Conseil 2008 Elaborer la cartographie des risques 10
Plusieurs axes d'actions sont généralement engagés,. Lutter contre toutes les formes de violence Lutter contre le risque d'incendie Des mesures organisationnelles Sécuriser les sites pour protéger les biens et les personnes Des mesures d'aménagements techniques Définir de nouveaux protocoles de soins pour garantir la sécurité des patients Altaïr Conseil 2008 Elaborer la cartographie des risques 11
Une première étape essentielle est l'élaboration de la cartographie des risques Identifier les risques et les évènements liés à la vie hospitalière Les risques externes Economiques Politiques et sociétaux Technologiques Réglementaire Industriel Les risques internes Risques professionnels Risques sanitaires et alimentaires Risques techniques Ressources Humaines et sociaux Système d'information Financiers Organisation & Management Gouvernance et pilotage compléter par une identification des risques et des évènements liés à la prise en charge des patients Les risques spécifiques aux secteurs Risques infectieux : développement des infections nosocomiales (pollution eau, air, surfaces, déchets, linge), épidémies et pandémies (grippes aviaires, ), Risques produits de santé : médicaments, produits sanguins, dispositifs médicaux, Risques activités médicales : bloc opératoire, urgences, Risques activités médico-techniques : laboratoires d'analyse, imagerie, Altaïr Conseil 2008 Elaborer la cartographie des risques 12