Notre méthodologie
La gestion globale des risques dans les entreprises
Maîtriser les risques
Cette étape consiste à décider de ce que l’entreprise va faire pour limiter les risques qu’elle juge inacceptables. Au préalable, il est donc nécessaire pour un dirigeant / une équipe de direction de définir des limites financières, environnementales, sociales et de sécurité, juridiques et de dégradation de l’image que l’entreprise ne doit pas franchir. Cet exercice permettra de connaître les risques à traiter en priorité.
Le coût de la maîtrise des risques ne doit pas dépasser le gain lié à la réduction espérée des conséquences. En effet, si votre risque menace de vous faire perdre 100 et que les mesures du traitement vous couteront 120, il est inutile d’engager ces mesures sauf si elles concernent une mise en conformité obligatoire. Dans ce cas le calcul ne s’applique pas.
Les mesures de maîtrise peuvent être de deux natures (tableau 1):
1) les mesures de prévention vont agir sur la probabilité de réalisation. Exemple : je construis un mur d’enceinte autour de mon usine, cela empêchera l’eau de venir détruire mes stocks. Je limite la probabilité du risque d’inondation au sein de mon entreprise.
2) les mesures de protection vont agir sur les conséquences - exemple : j’équipe mon usine de sprinklers et de murs coupe-feu, je réduis ainsi les conséquences d’un incendie.
Mesures de maîtrise (liste non exhaustive) | Prévention | Protection |
---|---|---|
Travaux d’infrastructures / bâtiments | x | x |
Procédures / contrôle interne | x | x |
Formations | x | x |
Plans de continuité d’activités | x | |
Plan de gestion de crise | x | x |
Transfert aux assurances | x | |
Stockage | x | |
Transfert à un sous-traitant | x |
Tableau 1 : Nature des mesures de maîtrise des risques (Source AMRAE).
Les mesures de maîtrise peuvent avoir plusieurs objectifs :
- objectif de réduction des risques : l’entreprise met en œuvre des actions permettant de diminuer la probabilité de réalisation de l'évènement et/ou de ses conséquences.
- objectif de suppression de la source du risque : l’entreprise décide d’actions et de mesures permettant d’annuler l’objet / l’activité porteuse du risque (exemple : j’ai une activité de revente de déchets soumises à de multiples normes. Je préfère stopper cette activité car la probabilité que je ne sois pas conforme est très importante et les mesures à prendre pour s’assurer de la conformité trop onéreuses).
- objectif de transfert de la source ou des conséquences du risque :
> l’entreprise préfère confier à un sous-traitant l’activité car elle estime que celui-ci est plus compétent, plus fiable qu’elle sur ces sujets. Cela n’exonère pas l’entreprise de ses responsabilités (il est même recommandé de réaliser des audits régulièrement chez les dits sous-traitants) mais permet de limiter la probabilité de réalisation d’un risque (exemple : je transfère à un prestataire informatique l’hébergement de mes serveurs afin de limiter le risque de destruction au sein de mon entreprise).
> l’entreprise souhaite transférer les conséquences financières d’un risque (exemple : je ne peux pas totalement exclure le risque d’incendie dans mon entreprise, si cela m’arrive, je souhaite recevoir un chèque me permettant de reconstruire mon usine et de limiter les pertes liées à la non-exploitation de l’usine. Je vais transférer à une assurance les conséquences financières).
- mention spéciale sur l’acceptabilité du risque : comme évoqué précédemment, cette « non-mesure » a pour objectif de décider que les moyens à engager sont trop importants par rapport aux gains espérés.