ANALYSE DES RISQUES

AMEL CHAHERLI
1
Objectifs de la formation

 Comprendre les concepts et les processus fondamentaux relatifs

au management du risque

 Comprendre les approches, les méthodes et techniques utilisées

pour gérer le risque dans un organisme

 Acquérir des compétences pour réaliser des analyses de risques

adaptées

2
Plan de formation

 Référentiels
 Management des risques selon ISO 31000
1. Principes
2. Cadre organisationnel
3. Processus

3
REFERENTIELS

 Norme ISO 31000: 2018 Management du risque — Lignes

directrices

 Norme ISO 31010: 2010 Gestion des risques - Techniques

d'évaluation

 ISO/IEC Guide 73: 2009 Management du risque -- Vocabulaire

4
MANAGEMENT DES RISQUES
-LIGNES DIRECTRICES-
ISO 31000

5
Pourquoi la gestion des
risques?
Atteintes à la réputation ou à la marque, cybercriminalité,
risques politiques et terrorisme sont quelques-uns des risques
auxquels les organisations doivent faire face de plus en plus
fréquemment.

Comment gérer les effets des incertitudes sur les

objectifs?

6
A qui s’adresse la norme?
Avantages?
 Aux personnes, qui au sein de l’organisme, créent de la valeur et la
préservent, par le management du risque, la prise de décisions, la définition
et l’atteinte d’objectifs et l’amélioration de la performance.

 Toute entreprise est confrontée à des facteurs et des influences internes et

externes qui rendent l’atteinte des objectifs incertaines.

 Le management du risque aide à développer une stratégie, à atteindre des

objectifs et à prendre des décisions éclairées.

 Il fait partie intégrante de la gouvernance et du leadership et a une

importance fondamentale dans la façon dont l’organisme est géré à tous
les niveaux. Il contribue à l’amélioration des systèmes de management.

7
Quels sont les éléments du management du risque?

8
DEFINITIONS
Risque: effet de l’incertitude sur les objectifs

Note 1 : Un effet est un écart par rapport à un attendu. Il peut être positif, négatif
ou les deux à la fois, et traiter, créer ou entraîner des opportunités et des menaces.

Note 2 : Les objectifs peuvent avoir différents aspects, être de catégories différentes,
et peuvent concerner différents niveaux.

Note 3 : Un risque est généralement exprimé en termes de sources de risque,

événements potentiels avec leurs conséquences et leur vraisemblance.

9
DEFINITIONS
Management du risque : activités coordonnées dans le but de
diriger et piloter un organisme vis-à-vis du risque.

Source de risque: tout élément qui, seul ou combiné à d’autres,

est susceptible d’engendrer un risque.

Evénement: occurrence ou changement d’un ensemble particulier

de circonstances.

Conséquence: effet d’un événement affectant les objectifs

Vraisemblance: possibilité que quelque chose se produise

10
Quels sont les principes du
management du risque?

11
Quels sont les principes du
management du risque?
a) Intégré : Le MR est intégré à toutes les activités de
l’organisme.

b) Structuré et global: Une approche structurée et globale

contribue à la cohérence de résultats qui peuvent être comparés.

c) Adapté: Le cadre organisationnel et le processus de MR sont

adaptés et proportionnés au contexte externe et interne de
l’organisme aussi bien qu’à ses objectifs.

12
Quels sont les principes du
management du risque?
d) Inclusif : L’implication appropriée et au moment opportun des parties
prenantes permet de prendre en compte leurs connaissances, leurs
opinions et leur perception => MR mieux éclairé et plus pertinent.

e) Dynamique : Des risques peuvent surgir, être modifiés ou disparaître

lorsque le contexte externe et interne d’un organisme change. Le
management du risque anticipe, détecte, reconnaît et réagit à ces
changements et événements en temps voulu et de manière appropriée.

13
Quels sont les principes du
management du risque?
f) Meilleure information disponible: données d’entrée sont fondées sur des
informations historiques et actuelles ainsi que sur les attentes futures. Les
informations sont disponibles à temps, claires et accessibles aux parties
prenantes pertinentes.

g) Facteurs humains et culturels : Le comportement humain et la culture

influent de manière significative sur tous les aspects du management du risque.

h) Amélioration continue: Le management du risque est amélioré en

continu par l’apprentissage et l’expérience.

14
Cadre organisationnel

15
Cadre organisationnel

 Intégration du management du risque dans les activités et les

fonctions significatives.

 L’efficacité du management du risque va dépendre de son

intégration dans la gouvernance de l’organisme, y compris la
prise de décisions.

 Nécessité du soutien et une implication des parties prenantes,

en particulier de la direction.

16
LEADERSHIP & ENGAGEMENT

La direction et les organes de surveillances s’assurent que le

management du risque est intégré dans toutes les activités
de l’organisme et démontrent leur leadership et leur engagement.

17
LEADERSHIP & ENGAGEMENT

La direction est responsable du management du risque et

démontre son leadership et engagement par :
 L’adoption et la mise en place toutes les composantes du cadre
organisationnel;
 La diffusion d’une déclaration /politique qui énonce une
approche de conduite de management du risque;
 Les ressources nécessaires sont allouées ;
 Attribution des autorités et responsabilités aux niveaux
appropriés.

18
LEADERSHIP & ENGAGEMENT
Les organes de surveillance sont responsables de la supervision du
management du risque. Les organes de surveillance sont tenus de:

 s’assurer que les risques sont pris en compte;

 comprendre les risques auxquels l’organisme s’expose;

 s’assurer que des systèmes permettant de gérer ces risques sont

mis en œuvre et fonctionnent efficacement;

 s’assurer que ces risques sont adaptés au contexte des objectifs

de l’organisme;

 s’assurer que les informations relatives à ces risques et à leur

management sont communiquées de façon appropriée.
19
 INTEGRATION
 L’intégration du management du risque s’appuie sur la
compréhension des structures et du contexte de l’organisme.
Le risque est géré dans chaque partie de la structure de l’organisme.
Chacun au sein d’un organisme a une responsabilité en matière de
management du risque.

 L’intégration du management du risque est un processus

dynamique et itératif, qu’il convient d’adapter aux besoins et à la
culture de l’organisme.

20
CONCEPTION: Compréhension de
l’organisme et de son contexte

A. Contexte externe

21
CONCEPTION: Compréhension de
l’organisme et de son contexte
A. Contexte externe

 les tendances clés ayant une incidence sur les objectifs de

l’organisme;

 les relations avec les parties prenantes externes, leurs

perceptions, leurs valeurs, leurs besoins et leurs attentes;

 les relations contractuelles et les engagements;

 la complexité des réseaux et des dépendants.

22
CONCEPTION: Compréhension de
l’organisme et de son contexte
Vision, Mission &
Valeurs

Gouvernance,
Interdépendances & Organisation,
Interconnexions. Rôles &
Responsabilités

Relations avec Stratégie,

les parties Contexte Objectifs ,
prenantes
internes; interne Politiques &
Culture

Données, Systèmes Normes, Lignes

d’information et directrices & Modèles
circulation adoptés par
information l’organisme

Capacités, en
Ressources &
Connaissances

23
COMMUNICATION & CONSULTATION

Etablir une méthode de communication et de consultation

approuvée afin de soutenir le cadre organisationnel efficace du
management du risque.
Les méthodes de communication & concertation permettent:
- que les informations pertinentes soient collectées,
consolidées, synthétisées et partagées de manière
appropriée (communication),
- qu’un retour d’information soit fait (consultation)
- et que les améliorations soient apportées

24
Comment mettre en œuvre le MR?

 Elaboration du Plan de Management de Risque avec calendrier

& ressources

 Implication et sensibilisation des parties prenantes pour la

réussite du MR

=> Conçu et mis en œuvre de façon appropriée, le cadre

organisationnel de management du risque garantira que le processus
de management du risque fait partie intégrante de toutes les activités
à tous les niveaux de l’organisme.

25
Comment évaluer l’efficacité
du cadre organisationnel?

 mesurer périodiquement les performances du cadre

organisationnel de management du risque par rapport à sa
finalité, aux plans de mise en œuvre, aux indicateurs et au
comportement attendu;

 déterminer s’il demeure pertinent pour aider à atteindre

les objectifs.

26
 Comment améliorer le cadre
organisationnel?
 Surveillance en continu et adaptation du cadre
organisationnel de management du risque en fonction des
changements externes et internes.

 Amélioration de la pertinence, de l’adéquation et de

l’efficacité du cadre organisationnel du management du
risque.

 Elaboration des plans d’actions en cas d’identification de

lacunes ou des opportunités d’amélioration

27
PROCESSUS

28
Application du processus?

Le processus de management du risque fait partie intégrante du

management et de la prise de décisions. Il est intégré à la
structure, aux opérations et aux processus de l’organisme.
Il peut être appliqué aux niveaux stratégique, opérationnel,
programme ou projet.

29
Communication & Consultation

 Aider les parties prenantes pertinentes à comprendre le risque, les

principes de prise de décisions et les raisons pour lesquelles
certaines actions sont nécessaires.
Communication => accroître la sensibilisation et la compréhension
du risque

 Quand: à toutes les étapes du processus de management du risque

Consultation => obtenir un retour et des informations pour étayer

la prise de décisions.

30
Définition du domaine d’application

Lors de la planification, les éléments à prendre en compte comprennent:

1. les objectifs et les décisions à prendre;

2. les résultats attendus des étapes du processus;

3. le temps, l’emplacement, les inclusions et exclusions spécifiques;

4. les outils et techniques appropriés d’appréciation du risque;

5. les ressources nécessaires, les responsabilités et la documentation

à établir;

6. les relations avec d’autres projets, processus et activités.

31
Définition des critères de risque

 Il convient de définir des critères permettant d’évaluer

l’importance du risque et d’étayer les processus
décisionnels.

 Les critères de risque doivent être en cohérence avec le

cadre organisationnel de management du risque et adaptés
à la finalité et au domaine d’application spécifique de
l’activité considérée.

32
Définition des critères de risque
Il convient de prendre en compte:

1. la nature et le type d’incertitudes pouvant avoir une incidence sur les

résultats et les objectifs (tangibles et intangibles);

2. la façon dont les conséquences (positives et négatives) et la

vraisemblance seront définies et mesurées;

3. la méthode de détermination du niveau de risque;

4. la façon dont les combinaisons et séquences de plusieurs risques seront

prises en compte;

33
 Appréciation du risque

L’appréciation du risque est le processus global d’identification,

d’analyse et d’évaluation du risque.

A. Identification du risque

B. Analyse du risque

C. Evaluation du risque

34
 Appréciation du risque

A. Identification du risque

- Rechercher, reconnaître et décrire les risques qui peuvent aider ou

empêcher un organisme d’atteindre ses objectifs.

- Utiliser des techniques pour identifier ces risques ( sources, causes,

menaces et opportunités, vulnérabilités, changements du contexte,
conséquences, …etc)

35
Appréciation du risque

B. Analyse du risque
- comprendre la nature du risque et ses caractéristiques, y
compris son niveau.
- Prendre en compte des incertitudes, des sources de risque, des
conséquences, de la vraisemblance, des événements, des
scénarios, des moyens de maîtrise et de leur efficacité.
- Utiliser des techniques d’analyse qualitatives, quantitatives, ou
une combinaison de celles-ci, selon les circonstances et
l’utilisation prévue.

36
 Appréciation du risque

C. Evaluation du risque

- comparer les résultats de l’analyse du risque aux critères de risque

établis afin de déterminer si une action supplémentaire est exigée.

- le résultat de l’évaluation du risque est enregistré, communiqué,

puis validé aux niveaux appropriés de l’organisme.

37
 Critères d’évaluation du risque
Le risque peut être évalué grâce à 3 critères principaux :

1. La détectabilité : mesure de la capacité d’un système organisationnel à détecter le

risque entrant.

2. La sévérité : chiffrage de l’impact (conséquence) du risque, en cas d’émergence

3. L’occurrence appelée aussi la vraisemblance : mesure la probabilité d’apparition du

risque identifié dans le système.

La multiplication de ces trois critères permet de calculer un facteur risque qui constitue un
critère de qualification pertinent du risque et de son enjeu à traiter.

38
TRAITEMENT DU RISQUE
Le traitement du risque implique un processus itératif:

 formuler et choisir des options de traitement du risque;

 élaborer et mettre en œuvre le traitement du risque;

 apprécier l’efficacité de ce traitement;

 déterminer si le risque résiduel est acceptable;

 s’il n’est pas acceptable, envisager un traitement

complémentaire.

39
TRAITEMENT DU RISQUE

Le choix de la ou des options de traitement du risque les plus

appropriées implique de comparer les avantages potentiels en
termes d’atteinte des objectifs par rapport aux coûts, aux
efforts et aux inconvénients de leur mise en œuvre.

40
TRAITEMENT DU RISQUE
Les options de traitement du risque peuvent impliquer un ou
plusieurs des éléments suivants:
1. Refuser le risque => abandonner l’activité à risque;
2. Prendre le risque afin de saisir une opportunité;
3. Eliminer la source de risque;
4. Modifier la vraisemblance; / Modifier les conséquences;
5. Partager le risque (contrats, souscription d’assurance,
…etc)
6. Maintenir le risque sur une décision éclairée

41
 TRAITEMENT DU RISQUE
Élaboration et mise en œuvre des
plans de traitement du risque.

Justificatif du choix du
Délais de mise
traitement, y compris
en œuvre
les avantages attendus

Mesures de
Responsabilités
performances

Ressources Actions
nécessaires proposées

42
SUIVI ET REVUE

 s’assurer et améliorer la qualité et l’efficacité de la conception,

de la mise en œuvre et des résultats du processus;

 le suivi et la revue périodique du processus de

management du risque et de ses résultats sont planifiés et les
responsabilités assignées.

 Intégrer les résultats du suivi et de la revue aux activités de

management des performances de l’organisme, de suivi des
résultats et d’élaboration de rapports.

43
Enregistrement et
élaboration de rapports
Enregistrement & élaboration de rapports pour:

1. communiquer sur les activités de management du risque et leurs

résultats au sein de l’organisme;

2. fournir des informations en vue de la prise de décisions;

3. améliorer les activités de management du risque;

4. faciliter l’interaction avec les parties prenantes, y compris

celles ayant la responsabilité des activités de management du
risque.

44
Liste des outils de gestion des risques

 Le tableau A.1 de l’annexe A du référentiel ISO 31010 donne

l’applicabilité des outils utilisés pour l’évaluation des risques.

 Ce tableau montre également que l’AMDE (analyse des modes de

défaillance et de leurs effets) est l’outil par excellence parfaitement
applicable pour identifier les risques, les analyser et les évaluer.

 L’annexe B du référentiel ISO 31010 donne un aperçu sur les

techniques d’évaluation des risques (présentation, utilisation,
avantages & limites de chaque outil/technique)

45
Analyse des modes de défaillance et de
leurs effets (AMDE)

46
Analyse des modes de défaillance et
de leurs effets (AMDE- IEC 60812)
 Évaluation des modes de défaillance potentiels

 L'effet probable sur les résultats et / ou les performances du produit

 Une fois les modes de défaillance établis, la réduction des risques peut être
utilisée pour éliminer, réduire ou contrôler les défaillances potentielles.

 FMEA s'appuie sur la compréhension du processus

 Résume les principaux modes de défaillance, les facteurs à l'origine de ces

défaillances et les effets probables de ces défaillances

47
Analyse des modes de défaillance et
de leurs effets (AMDE- IEC 60812)
Comment?

 Décomposer les processus complexes en étapes faciles à gérer

 Une évaluation des modes de défaillance potentiels et de leurs effets

potentiels sur les résultats et / ou les performances du produit

 C'est un outil pour résumer les modes de défaillance importants, les

facteurs à l'origine de ces défaillances et l'effet de ces défaillances.

Quand ?

1. Prioriser les risques et surveiller l’efficacité des activités de maitrise des

risques

2. Analyser les operation de fabrication et leurs effets sur le produit ou

process.
48
Analyse des modes de défaillance et
de leurs effets (AMDE- IEC 60812)
Comment?

1. Consituer une équipe

2. Identifiez les modes de défaillance connus et potentiels:

Etablir une liste de problèmes connus et réfléchir à d'autres potentiels… par exemple.

> Produit non conforme aux spécifications

> Processus ne répondant pas aux exigences de rendement

> Equipement défectueux

> Problèmes logiciels

Les modes de défaillance nouvellement identifiés doivent être ajoutés à tout moment

49
Analyse des modes de défaillance et
de leurs effets (AMDE- IEC 60812)
Comment?

3. Déterminer la gravité, la probabilité et la détectabilité: Un nombre égal de

niveaux est parfois utile

 Une préférence pour 3, 4, 5, 6 ou 10 niveaux

 Utilisez différentes échelles:

 Linéaire: 1, 2, 3, 4

 Exponentielle: 1, 2, 4, 8

 Logarithmique: 1, 10, 100, 1000,

Multiplier les différentes échelles différenciera le résultat: l’objectif est de

proposer une méthode de hiérarchisation des priorités.

50
Analyse des modes de défaillance et
de leurs effets (AMDE- IEC 60812)

Comment?

4. Mettre en place les actions

5. Revoir la criticité

6. Définir le risque résiduel

7. Réaliser un rapport final

> Domaine d’application

> Données de l'évaluation et du contrôle (par exemple, nombre de modes de défaillance

identifiés)

> Les risques résiduels (p. Ex. Numéro de priorité de risque <50)

> Actions recommandées, responsabilités et dates d'échéance

> Responsable du suivi FMEA

51
52
53
 Analyse Arbre de Panne
(AAP –FTA IEC 61025)
 Analyse des phénomènes dangereux identifiés pour un produit ou processus

 Identifie toutes les causes racines potentielles d’un panne qu’il est important de prévenir

 Peut combiner plusieurs causes de pannes en identifiant les conséquences, enchainements

Utilisation

 1. Établir le chemin qui mène à la cause racine de la défaillance

 2. Enquêter sur les réclamations et les écarts afin de bien comprendre leur cause racine

 3. Pour évaluer l'impact de plusieurs facteurs sur un problème donné

 4. Utile pour l'évaluation des risques et pour l'élaboration de programmes de surveillance

54
 Analyse Arbre de Panne
(AAP –FTA IEC 61025)
 Symbole indique que la panne est le résultat des défauts précédents
PANNE

OU  Relie le défaut precedent à un défaut suivant pouvant causer une panne

ET  Relie deux ou plus de pannes qui doivent se produire simultannement pour

causer le défaut précédent

55
Analyse Arbre de Panne
(AAP –FTA IEC 61025)
 Enquête sur les défaillances de
labo

56
Analyse Arbre de Panne
(AAP –FTA IEC 61025)

57