Quel que soit le risque rencontré par une organisation, celle-ci doit savoir l'appréhender, l'évaluer et le gérer, ce qui est la mission du dirigeant. Pour cela, il doit connaître les différentes méthodes de gestion des risques comme l'analyse des causes ou les 5 « Pourquoi ». Grâce à ces méthodes, il augmentera la performance et l'efficacité de son entreprise.
Qu'est-ce qu'un risque en entreprise ?
Un risque est un événement qui peut nuire à la réussite de l'entreprise et avoir de lourdes conséquences sur son fonctionnement. Risques financiers ou risques stratégiques, les entreprises sont confrontées à de nombreuses menaces comme les accidents, les catastrophes naturelles, les menaces de sécurité informatique, le non-respect de la responsabilité légale, les erreurs de gestion, le ralentissement économique, la fluctuation du cours des matières premières, les épidémies ou l'atteinte à la réputation de la marque, mais il ne s'agit là que de quelques exemples.
Le risque désigne une action ou un événement qui empêche l'entreprise d'atteindre les objectifs qu'elle a fixés précédemment. Elle pourra alors rencontrer des difficultés à appliquer sa stratégie d'entreprise, le risque pouvant également impacter la solidité financière de l'entreprise.
L'équipe de direction d'une entreprise est régulièrement chargée de prendre des décisions sur la manière de développer et d'exploiter la société. Cependant, chaque décision concernant une nouvelle offre de produits, un nouveau marché cible ou une fusion potentielle par exemple, peut potentiellement échouer et mettre en péril la capacité de l'entreprise à fonctionner.
Des facteurs à multiples facettes peuvent influencer le risque d'entreprise. Par exemple, si une entreprise n'est pas en mesure de produire les unités nécessaires pour réaliser des bénéfices, le risque commercial est considérable. Même si les dépenses fixes sont normalement connues en amont, il y a des coûts qu'une entreprise ne peut éviter - par exemple, les frais d'électricité, le loyer, les frais généraux, les frais de main-d'œuvre et de matières premières, etc.
Le risque en entreprise est donc le danger planant sur une activité ou une situation, un aléa, un événement probable qui pourrait entraîner un dommage. Le risque désigne des événements connus, répétés de manière identique et mesurables, mais, par exemple, la norme ISO 31000 prend en compte l'incertitude. L'incertitude désigne des événements inconnus, et impossibles à connaître, comme un nouveau marché, une épidémie, une guerre ou une nouvelle technologie.
Il faut aussi savoir qu'il existe les risques dits « favorables » qui correspondent à une opportunité. Les services qualité utilisent aussi beaucoup ce terme qui leur permet d'analyser les forces et les faiblesses de leur entreprise. Un risque favorable est donc un bénéfice pour l'entreprise.
Les différents types de risques
Il y a différentes catégories de risques, mais ces catégories sont non-rigides. En effet, certains risques peuvent faire partie de plusieurs catégories comme les risques de protection des données qui font partie des risques opérationnels et des risques en lien avec la conformité.
Les risques stratégiques sont des risques associés à l'exploitation au sein d'une industrie en particulier. Ils comprennent les risques de l'activité de fusion et d'acquisition, des changements dans l'industrie, de la recherche et du développement, de changement interne chez les clients ou de la demande. Par exemple, le risque peut être l'apparition de nouveaux concurrents sur le marché ou l'agissement de concurrents peu scrupuleux.
Les risques en lien avec la conformité désignent des risques liés au besoin de respecter des lois et des règlements ou un besoin d'agir de la façon à laquelle s'attendent les investisseurs ou les clients comme le fait de garantir la gouvernance d'entreprise appropriée. L'entreprise doit, en effet, respecter la conformité des réglementations. Elle doit donc par exemple introduire les nouvelles lois en matière de santé et de sécurité. Si une entreprise ne peut pas suivre ces normes ou règlements, il lui est difficile d'exister et de rester pérenne.
Les risques financiers sont associés à la structure financière de l'entreprise, aux transactions et aux systèmes financiers. Ces risques peuvent être un événement interne ou externe qui menace la valeur de l'entreprise sur les marchés financiers. Par exemple, un client refuse de se soustraire au paiement de ses factures. Il peut aussi s'agir d'une augmentation des frais d'intérêt relatifs à un prêt commercial. Il est aussi possible de prendre l'exemple du tabac et de l'amiante qui sont moins commercialisés en raison de la loi et de la législation, ce qui occasionne une perte financière pour les entreprises.
Les risques opérationnels sont associés aux procédures opérationnelles et administratives d'une entreprise. Ils incluent la chaîne d'approvisionnement, le recrutement, le contrôle comptable, le système de l'information, la réglementation ou la composition du conseil d'administration. Par exemple, si un processus opérationnel échoue ou si une machine cesse de fonctionner, l'entreprise ne sera pas en mesure de fabriquer ses produits. Par conséquent, l'entreprise ne pourra pas vendre sa production et subira une perte de chiffre d'affaires.
Alors que le risque stratégique est assez difficile à résoudre, le risque opérationnel peut être résolu en remplaçant les machines ou en fournissant les bonnes ressources pour démarrer le processus commercial.
Les risques numériques et informatiques désignent des pertes et des dommages qui se produisent à la suite de l'exploitation d'une vulnérabilité du matériel ou des logiciels. Il peut s'agir par exemple d'une cyberattaque qui menace le fonctionnement normal de l'entreprise. Il faut savoir que les failles de sécurité sont répertoriées dans la liste publique CVE (Common Vulnerabilities and Explosures).
Les risques environnementaux désignent des dommages causés à l'environnement par l'entreprise. Il faut savoir que toutes les entreprises ont une responsabilité environnementale. Si elles ne respectent pas celle-ci, elles doivent par conséquent payer pour réparer les dommages. De nombreuses entreprises sont confrontées à ce type de risque, par exemple les usines de produits chimiques. Elles doivent donc prendre en charge les frais occasionnés pour les dommages et même financer les actions préventives pour éviter une réitération de ces risques environnementaux.
Les risques climatiques et naturels peuvent être causés par des événements météorologiques comme les intempéries. Par exemple, les inondations, tempêtes ou orages peuvent être violents et dévastateurs et représentent un véritable danger pour les entreprises. Ils menacent les employés et les infrastructures et endommagent les locaux et le matériel.
Les entreprises et ses collaborateurs peuvent également rencontrer des risques sanitaires. Ces risques sont maîtrisés par les autorités, mais également parfois par les acteurs privés. Ces risques comprennent les problèmes de contamination, mais aussi les problèmes technologiques et les risques naturels. Ils deviennent une catastrophe sanitaire lorsqu'ils ne sont pas maîtrisés.
Par exemple, la crise du COVID-19 est un risque sanitaire auquel les entreprises ont dû faire face récemment. Il existe de nombreux cas de contamination possibles par exemple par les virus, les parasites, les bactéries, les hydrocarbures, les métaux lourds, le rayonnement ou autres expositions diverses et variées.
Qu'est-ce que la gestion des risques ?
La gestion des risques désigne une méthode permettant d'identifier et d'évaluer les risques et de mettre en place un plan, avec des actions préventives et curatives, qui a pour objectif de minimiser et de maîtriser ces risques et leurs conséquences pour l'organisation. Un risque correspond à une probabilité de dommage.
Au sein de l'activité économique des entreprises, celles-ci sont exposées à des risques qui doivent être appréhendés, évalués et gérés par le dirigeant. Il doit donc calculer la probabilité de l'événement et ses conséquences et proposer des solutions pour y faire face. Il est aussi important de gérer les risques dits « favorables » pour reproduire le bénéfice qui a une incidence positive sur l'entreprise.
Pour réduire le risque, une organisation doit mettre en œuvre des ressources pour minimiser, surveiller et contrôler l'impact des événements négatifs tout en maximisant les événements positifs. Une approche cohérente, systémique et intégrée de la gestion des risques peut aider à déterminer la meilleure façon d'identifier, de gérer et d'atténuer les risques importants.
L'analyse des risques est une approche qualitative de résolution de problèmes qui utilise divers outils d'évaluation pour élaborer et classer les risques dans le but de les évaluer et de les résoudre.
Les étapes de la gestion des risques
- Planifier la gestion des risques
- Identifier les risques
- Analyser les risques
- Hiérarchiser les risques
- Maîtriser les risques
- Surveiller les risques
- Sensibiliser les parties prenantes de la gestion des risques
Planifier la gestion des risques
Il est important de planifier la gestion des risques. Pour cela, il faut déterminer les tâches à réaliser et établir des responsabilités en fonction de ces tâches. C'est la direction de l'entreprise qui doit prendre en charge cette politique d'acceptation des risques auprès de l'ensemble de la structure. Un responsable différent sera aussi affecté à chaque tâche de la gestion des risques pour plus de réactivité en cas de concrétisation du risque.
Identifier les risques
Il faut identifier et décrire les risques, qu'ils soient financiers, d'exploitation, liés à l'activité, aux projets ou au marché. Par exemple, l'identification des risques peut inclure l'évaluation des menaces pour la sécurité informatique, telles que les logiciels malveillants et les logiciels espions (ransomware), les accidents, les catastrophes naturelles et d'autres événements potentiellement dangereux qui pourraient perturber les activités de l'entreprise.
Il faut exploiter les connaissances et les expériences collectives et donc interroger les collaborateurs sur les risques qu'ils ont dû affronter par le passé. Il faut les consigner dans un registre des risques ou les documenter sous une autre forme. Le registre des risques est également appelé « journal des risques du projet ». Il aide à gérer les risques actuels de l'organisation, mais permet aussi de retrouver les risques des projets précédents. Grâce à ce registre, l'équipe peut identifier et évaluer les menaces d'un projet rapidement et efficacement.
La qualité de l'analyse dépendra de la connaissance du contexte. Il faudra donc que l'équipe précise les personnes concernées par le risque, son environnement, les équipements en cause, les dangers, les scénarios, les dommages. Il faut aussi revoir les risques déjà connus, les maîtrises mises en œuvre, les bonnes pratiques comme les guides ou la réglementation, les possibilités techniques et les limites.
Analyser les risques
Les problèmes potentiels ont été identifiés, il faut donc analyser ces risques. Pour cela, il faut déterminer la probabilité d'un risque et ses retombées comme les pertes financières, le temps perdu ou sa gravité. Évaluer l'importance d'un risque peut se faire à l'aide d'un audit interne et des analyses des risques. Il faut définir le niveau de risque acceptable et déterminer les éléments à traiter en priorité. Il existe deux types d'évaluations, qualitative et quantitative. L'évaluation qualitative prend en compte le niveau de gravité basé sur la probabilité et l'impact de l'événement. L'évaluation quantitative prend quant à elle en compte l'impact financier ou le bénéfice de l'événement. Ces deux éléments sont nécessaires pour une analyse complète des risques et des opportunités.
L'analyse de chaque risque permet de faire ressortir les problèmes communs à l'ensemble d'un projet. Il sera aussi possible d'affiner le processus de gestion des risques de l'organisation pour les projets à venir.
Hiérarchiser les risques
Il faut maintenant que l'organisation établisse des priorités. Elle doit donc classer chaque risque en tenant compte de sa probabilité d'occurrence et de son impact potentiel sur le projet. Cela permet d'avoir une vue d'ensemble du projet, de cibler les points sur lesquels il faut que l'équipe se concentre et de définir des solutions intéressantes pour chaque risque.
L'équipe doit donc s'interroger sur les éléments présents sur le registre des risques, sur les risques qui ont le plus de chance d'avoir lieu et qui nuiraient à la réussite de l'organisation. Il est important de gérer les risques les plus probables et les plus graves. Il faudra donc surveiller tous les risques et les gérer, mais surtout apporter une attention particulière aux risques prioritaires.
Maîtriser les risques
Après avoir déterminé le niveau de priorité et l'importance des risques, il faut les maîtriser ou les minimiser. Pour cela, il faut établir une stratégie de réponse adaptée. L'entreprise devra alors définir les mesures de réduction des risques appliquées par ordre d'efficacité. Il est possible de supprimer totalement le risque, d'utiliser des moyens de protection, de mettre en place une prévention, de compenser le risque s'il n'est pas réduit et d'en informer les parties prenantes. Il faut savoir quand arrêter les maîtrises ou quand le risque est assez maîtrisé. Pour établir cette échéance, le responsable de la gestion des risques s'appuiera sur deux types de critères.
- Le critère théorique : le risque résiduel est plus faible qu'un seuil prédéfini, fixé par la norme ou par la réglementation.
- Le critère pratique : lorsque l'entreprise ne peut concrètement pas faire plus pour maîtriser le risque.
Surveiller les risques
Il est important de surveiller les risques et d'utiliser pour cela des indicateurs de mesures de suivi en permanence. Cela permettra de garantir l'efficacité des plans de limitation des risques et d'être alerté des risques les plus importants. Il faut choisir correctement les indicateurs pour surveiller et détecter ces risques. Ces indicateurs sont non figés et évoluent constamment pour bien comprendre les risques, c'est-à-dire que les risques observés doivent être à l'image des indicateurs choisis.
Pour choisir ces indicateurs, il faut tenir compte des besoins afin d'améliorer l'estimation des risques, des moyens de détection des risques, de la disponibilité des indicateurs sur les risques comparables ou corrélés, de leurs formes ou des moyens de collecte des données.
Sensibiliser les parties prenantes de la gestion des risques
Il faut communiquer avec les différentes parties prenantes afin de les sensibiliser sur les niveaux de risques et de leur faire comprendre les mesures de maîtrise des risques. Tous les services et tous les collaborateurs de l'entreprise doivent être sensibilisés. De cette manière, il y aura un échange réciproque qui permettra de faire remonter les informations et les problèmes.
Méthodes de gestion des risques
Les méthodes de gestion des risques sont nombreuses, en voici quelques-unes.
Il y a par exemple l'analyse des causes, aussi appelée « Analyse des causes profondes » ou « Analyse des causes racines » ou « RCA » pour « Root Cause Analysis » en anglais. Il s'agit d'un processus qui consiste à déterminer les causes premières d'un problème et de lui apporter la solution la plus appropriée. L'analyse des causes permet donc de prévenir les problèmes.
Parmi les outils pour analyser les causes des risques, l'entreprise peut également mettre en œuvre la méthode des 5 « Pourquoi » qui consiste à poser 5 fois la question « Pourquoi » de telle manière à remonter à la source du problème et à lui apporter une solution adaptée. Il s'agit d'une méthode de résolution de problème facile et rapide.
Il y a également la méthode QQOQCP pour « Quoi Qui Où Quand Comment Pourquoi » qui désigne une méthode de questionnement simple et efficace et qui permet de réaliser le diagnostic d'un problème. Cette méthode précise et exhaustive permet une récolte des descriptions d'un problème. Elle est beaucoup utilisée lors de la démarche qualité ou au cours du cycle de vie du système qualité.
Le diagramme de causes et effets qui est aussi appelé « Diagramme d'Ishikawa » ou « Diagramme en arêtes de poisson », désigne un outil de résolution de problèmes d'entreprise. Il prend la forme d'un arbre à plusieurs branches. Il permet de répertorier les causes qui influencent un effet, une situation. Ce diagramme permet ensuite de hiérarchiser ces causes.
L'AMDEC, ou « Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité » est un outil de qualité qui permet une analyse préventive pour identifier et traiter les causes potentielles des défauts d'un produit, d'un procédé ou d'un processus. Cette méthode rigoureuse et efficace permet une mise en commun des informations et des données. Elle est beaucoup utilisée dans le cadre de la démarche qualité des entreprises.
EBIOS pour « Expression des Besoins et Identification des Objectifs de Sécurité » est une méthode d'évaluation des risques en informatique qui a été créée en 1995 par la Direction Centrale de la Sécurité des systèmes d'Information.
Établir une matrice des risques permet de calculer la criticité des risques et donne une vue d'ensemble sur cette criticité. Elle permet de hiérarchiser et de catégoriser les risques pour mettre en avant les risques prioritaires.
L'ERM pour « Enterprise Risk Management » rassemble un ensemble de méthodes et de processus de management des risques. L'ERM permet d'identifier, d'analyser, de trouver des solutions et de surveiller les risques, que ce soit dans l'environnement interne ou externe du projet. L'ERM permet de trouver une stratégie adaptée à mettre en œuvre pour diminuer ou éviter les risques précédemment identifiés et analysés.
Pour aller plus loin, téléchargez ce guide sur les études de marché et découvrez comment accompagner les entreprises pour faire face à la concurrence sur leur marché.
