Documente Academic
Documente Profesional
Documente Cultură
LES RISQUES
OPÉRATIONNELS
DE L’ENTREPRISE
UN ENVIRONNEMENT
TOUJOURS PLUS RISQUÉ ?
INFRASTRUCTURE
SÉCURISATION
INDUSTRIE
ENVIRONNEMENT
JURIDIQUE
INFORMATIQUE
HUMAIN…
Auteur :
Jean-David DARSA
www.la-librairie-rh.com
e-mail : edition@gereso.fr
GERESO SAS au capital de 160640 euros - RCS LE MANS B 311 975 577
Siège social : 28 rue Xavier Bichat - 72018 Le Mans Cedex 2 - France
Dans la même collection :
• Communication de crise
• Le coût du risque
www.la-librairie-rh.com
Remerciements
Une nouvelle fois, je tiens à remercier toute l’équipe GERESO pour la qualité
de son accompagnement dans ce nouveau livre, et plus particulièrement
Catherine FOURMOND. Depuis plusieurs années, Catherine poursuit sans
relâche son soutien inconditionnel envers ma démarche rédactionnelle,
avec gentillesse, grand intérêt et constance. Quoi de plus enrichissant pour
un auteur d’ouvrages professionnels que d’être ainsi épaulé, au quotidien,
par sa responsable d’édition ?
Catherine, un grand merci, une nouvelle fois, pour ton soutien permanent
et tes marques d’intérêt envers chaque projet éditorial que je me permets
de te soumettre. Tes conseils, ta curiosité intellectuelle face à chaque
nouveau sujet proposé, ta bonne humeur et ta gentillesse sont pour
moi autant de témoignages de la qualité du lien que tu sais créer avec
les auteurs. Merci pour tout cela, en attendant d’autres publications
originales ! Après sept ouvrages publiés (et une bande dessinée !) sur la
gestion des risques en entreprise, j’espère que les écrits à venir sauront
toujours t’étonner !
Exemple
Bon à savoir
Important
Sommaire
Remerciements.................................................................................... 5
Introduction........................................................................................ 11
7
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
8
SOMMAIRE
9
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
10
Introduction
11
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
la diversité. Nous pouvons par défaut considérer qu’ils seront, par nature,
innombrables. Chaque risque ne serait-il pas un risque opérationnel pour
l’organisation ?
Les risques opérationnels font partie des risques que chaque société devrait
maîtriser. Car ils matérialisent par essence les fragilités opérationnelles ou
organisationnelles de la structure dans son ADN le plus intime : la qualité
de ses cycles d’exploitation et d’activité courante.
12
INTRODUCTION
Partons dès à présent à l’assaut des risques opérationnels ! Il est plus que
temps, le ciel s’assombrit déjà autour de votre entreprise !
13
Partie 1
17
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
18
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
pour les entreprises. Et ces risques fragilisent de plus en plus vite les
organisations.
Y aurait-il de nos jours plus de risques pour les entreprises que par le passé ?
Ou serions-nous tellement hyper-connectés à notre environnement, grâce
notamment à nos gadgets électroniques, que nous serions simplement,
et désormais, de plus en plus hyper-connectés aux risques ? Les risques
seraient-ils une nouveauté ou plutôt une prise de conscience accélérée
pour notre monde ?
Et bien, non ! Car un premier constat s’impose : les risques ne sont pas
une invention du monde moderne, aggravés par l’existence de vecteurs
toujours plus performants de communication, ou la virtualisation accrue
de l’économie, de la valeur ou des échanges. Ils ont toujours existé.
19
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
20
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
21
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
22
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
23
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
24
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
Certes… Mais le principe de précaution, qui guida toute cette action, était-
il réellement la seule réponse à retenir ? Fut-il dimensionné avec sagesse,
au-delà d’enjeux politiques ou de risque d’image associé ? Et que penser
aujourd’hui de la défiance des citoyens vis-à-vis d’une campagne de
vaccination émanant des autorités sanitaires à l’avenir ? N’est-ce pas là
le principal risque a posteriori d’une mauvaise application du principe de
précaution ?
L’enjeu est complexe. Quel degré de prise de risque notre société est-elle
capable d’accepter face à un risque sanitaire, par exemple ? Et, au-delà
de cette capacité d’acceptation, de quelles ressources dispose-t-on pour
25
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
26
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
Toutes les entreprises, y compris les TPE, les PME et les PMI, doivent se
préoccuper de la maîtrise de leurs risques, et ce de manière structurée.
L’environnement, le contexte général les y invitent en permanence.
Appréhender l’enjeu risk management en entreprise par le biais des
risques opérationnels constitue une excellente porte d’entrée pour
engager l’action.
27
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
28
Chapitre 2
Les différentes classes de risques
en présence
De la diversité
Fondamentalement, il existe une extrême diversité des risques en
entreprise, pouvant remettre en cause sa pérennité au quotidien. Car,
même si la situation de déclaration de cessation des paiements (premier
pas vers la fin de l’organisation) consacre une rupture de trésorerie
structurelle ou accidentelle, et constitue de facto le seuil primordial et
unique qui déclenchera la mise en liquidation judiciaire, en redressement
29
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
30
LES DIFFÉRENTES CLASSES DE RISQUES EN PRÉSENCE
Bref, comment prendre en compte tous ces critères, toutes ces contraintes
antinomiques, toute cette diversité et représenter, malgré tout, les
différentes classes de risques des entreprises de manière homogène,
cohérente, donnant du sens sans spécificité sectorielle, fonctionnelle et/
ou technique ? Vaste enjeu à traiter
.
Démarche de la pyramide
Reprenons brièvement certains fondamentaux de la question des risques
en entreprise. Tout d’abord, et nous venons de le préciser précédemment,
une réflexion. L’entreprise, quelle qu’elle soit, va être par essence exposée
à une multitude de risques. Chaque risque va impacter l’entreprise à
travers un coût économique et/ou financier, susceptible de déstabiliser ses
fondamentaux, d’obérer sa capacité de financement ou d’investissement,
de remettre en cause de facto son existence à court, moyen ou long terme,
donc de fragiliser sa pérennité.
31
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
32
LES DIFFÉRENTES CLASSES DE RISQUES EN PRÉSENCE
Structure de la pyramide
Sur la base de cette représentation (du macroéconomique vers le
microéconomique, de l’individu vers le groupe), de haut en bas ou de bas
en haut, il reste à définir puis positionner les différentes classes de risques
au sein de cette pyramide.
Sur cette base des 13 grandes classes de risques peut être ensuite organisé
le positionnement de chacune des classes. Cette pyramide constitue in
fine une présentation rapide et efficace des différents types de risques
auxquels toute organisation est – ou sera – potentiellement exposée.
33
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
INDIVIDU MICRO
Risque
INTÉGRITÉ
Risques
AUTRES
Risques KNOWLEDGE
MANAGEMENT
Risques
IMAGE-RÉPUTATION
Risques
JURIDIQUES INFORMATIQUES R.H.
Risques Risques
OPÉRATIONNELS INDUSTRIELS
Risques FINANCIERS
Risques STRATÉGIQUES
34
Chapitre 3
Les 13 classes de risques
1 - Risques géopolitiques
Fondamentalement, il s’agit des risques liés à l’environnement global de
l’entreprise hors de ses frontières. À partir du moment où une organisation
évolue à l’extérieur de son pays d’origine (localisation du siège social),
pour quelque raison que ce soit (présence de clients, de fournisseurs,
de sous-traitants, de franchisés, de prospects, de partenaires industriels
ou commerciaux, d’équipes dédiées, d’actifs, d’investissements,
d’engagements
), elle est par nature exposée au « risque pays » où
sont localisées ses activités et/ou ses actifs, et à ses composantes de
déstabilisation potentielle liée à son exposition géographique hors
frontière.
35
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Ces risques sont donc regroupés sous une appellation un peu pompeuse
(« risques géopolitiques »), mais qui demeure toutefois appropriée. Traiter
un « risque pays » consiste bien à analyser un contexte donc des risques
géopolitiques. Il s’agit donc de l’analyse du cadre initial d’évolution de
l’entreprise en dehors de ses frontières, dont les risques sous-jacents
géopolitiques associés doivent être maîtrisés au mieux.
2 - Risques économiques
Une fois l’environnement géopolitique de l’entreprise connu – et, si
possible, maîtrisé – la compréhension, l’analyse et la prise en compte
efficace de l’environnement économique de l’entreprise s’imposent (au
sens macroéconomique du terme).
36
LES 13 CLASSES DE RISQUES
3 - Risques stratégiques
Une fois maîtrisé l’environnement macroéconomique de l’entreprise,
nous abordons le coeur de la problématique, ce qui constitue, à nos yeux
le risque long terme essentiel pour chaque entreprise : la qualité de son
modèle stratégique.
Quelle que soit sa taille, chaque entreprise, artisan, commerçant, TPE, PME,
PMI, grand groupe national, multinationale, tous bâtissent et proposent un
modèle stratégique, en constante évolution et en adaptation permanente.
Seules la complexité, la disparité et la densité de ses composantes (les
segments stratégiques) et de ses interactions différencieront le modèle
stratégique d’une boulangerie de celui d’une multinationale. Mais les
fondamentaux de cette notion clé que constitue un modèle stratégique
sont les mêmes.
4 - Risques financiers
La mise en oeuvre du modèle stratégique engendre, par essence, la
création d’une multitude de risques financiers. Du risque d’illiquidité au
risque de taux de change, du risque de crédit au risque de dilution du
capital, du risque de financement aux risques comptables et fiscaux, les
risques financiers constituent l’étape suivante dans notre présentation
structurée des différents risques de l’entreprise.
37
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
5 - Risques opérationnels
Objet de notre ouvrage, la notion de risques opérationnels est extrêmement
large : elle exprime tous les risques pouvant engendrer un dommage, une
perte, un coût, créés ou subis lors de la réalisation de l’activité courante
de l’entreprise : infrastructures, cycles de production, de distribution,
processus logistique, gestion documentaire, etc. En résumé, les risques
opérationnels matérialiseront tous les impacts directs ou indirects
engendrés par l’entreprise dans son activité quotidienne.
38
LES 13 CLASSES DE RISQUES
6 - Risques industriels
Les risques industriels couvrent, comme leur nom l’indique, une catégorie
particulière de risques opérationnels, rencontrés exclusivement dans les
activités de fabrication, de transformation, donc de production de biens.
7 - Risques juridiques
Les risques juridiques constituent la première classe de risques
opérationnels à traiter selon notre approche de manière différenciée. Ils
couvrent pour l’essentiel les problématiques contractuelles des relations
d’affaires, des obligations de respect de la conformité des lois et des règles
en vigueur (notion de conformité juridique), les problématiques liées
à la contrefaçon, ainsi qu’un approfondissement d’un risque juridique
particulier : la responsabilité pénale du dirigeant.
39
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
8 - Risques informatiques
Seconde famille de risques opérationnels spécifiques, les risques
informatiques sont une source permanente, récurrente et coûteuse de
risques critiques pour les entreprises de nos jours, compte tenu de l’usage
intensif, permanent et structurel des outils informatiques (matériels,
logiciels, applications, infrastructures réseaux, etc.) et de la multitude des
risques associés au périmètre informatique.
40
LES 13 CLASSES DE RISQUES
Bien au contraire…
41
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
42
LES 13 CLASSES DE RISQUES
Il nous a semblé que, bien que significatifs pour la plupart d’entre eux,
ces types de risques pouvaient être trop spécifiquement marqués de
complexité d’un secteur d’activité à l’autre, ce qui nuisait à la présentation
homogène et graduelle souhaitée de la pyramide initiale retenue. D’où le
choix méthodologique de créer une « classe élargie » de risques, à ne pas
oublier toutefois.
Parmi les grands risques constitutifs de cette classe n° 12, nous trouverons
notamment les problématiques de surqualité, de risque environnemental
et de maîtrise du développement durable, de défaillance des dispositifs
de contrôle interne, de défaillance de pilotage, de gouvernance de
l’entreprise, etc.
Ces risques ne font toutefois pas partie d’une classe de risques transversale
dédiée, compte tenu de la spécificité de chacun de ces risques, et de leur
non-applicabilité dans un certain nombre de situations. Ils pourraient
également être considérés pour certains, directement ou indirectement,
comme des risques opérationnels. Là encore, nous avons fait le choix de
ne pas les considérer comme tels, même si certains d’entre eux demeurent
directement liés aux enjeux opérationnels de l’organisation.
13 - Risque d’intégrité
Enfin, le sommet de la pyramide est représenté par le risque individuel
ultime, en cohérence avec la philosophie de présentation des treize classes
de risques. Le risque d’intégrité sera à percevoir et analyser tant d’un point
de vue individuel (démarche, comportement ou action inappropriée,
réalisés par un acteur individuel : discrimination, injure, non-respect des
règles d’entreprise, vol, fraude
) que d’un point de vue de conformité/
déontologie (respect par les acteurs de l’entreprise – et l’entreprise elle-
même – des règles, lois et décrets en vigueur).
43
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
44
LES 13 CLASSES DE RISQUES
Les grandes étapes d’un projet, de quelque nature qu’il soit, peuvent être
résumées de la manière suivante :
Pour chacune des étapes du mode projet, les risques, multiples, vont se
présenter et menacer la bonne exécution du projet considéré. Et ce, tout
au long du processus projet.
Sans entrer dans un détail trop marqué, il est toutefois à noter que
figurent, parmi les principales dimensions « risques » à appréhender en
mode projet, les points suivants :
-- Risques « RH » : fondamentalement, tout projet ne verra sa réussite
concrétisée que grâce à la performance de l’équipe et des acteurs qui le
portent. Les enjeux spécifiques de gestion de la compétence requise pour
la bonne exécution du projet et de maîtrise de la connaissance capitalisée
au titre du projet sont critiques à maîtriser. En outre, la dimension
comportementale des acteurs impliqués au projet, et plus particulièrement
la capacité de fédérer et conserver l’adhésion et la motivation des acteurs
contributifs au projet sur toute sa durée, constitue une source de risques
non négligeables, à ne pas sous-estimer.
45
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- Risques « pilotage du mode projet » : tout projet initié doit être piloté
avec efficacité. Les risques issus d’un mauvais pilotage de l’exécution du
projet ou d’un dimensionnement inadapté des ressources nécessaires à
sa bonne réalisation doivent être particulièrement étudiés. Notamment,
les enjeux associés au pilotage des activités des tiers sous-traitants
apparaîtront critiques.
-- Risques « gestion de la planification » : en mode projet, la maîtrise
du planning projet est essentielle. De multiples risques sont susceptibles
d’obérer le bel édifice, pour de multiples faits générateurs : projections
prévisionnelles incohérentes, irréalistes, temps contraint marqué dans
l’exécution de certaines phases du mode projet, sous-dimensionnement
des charges (et des ressources financières, humaines et/ou matérielles à
mobiliser) nécessaires à la bonne réalisation dudit projet, etc.
-- De multiples autres risques propres au projet considéré sont
également à traiter. Par exemple, les enjeux liés à la budgétisation
appropriée et à la disponibilité assurée des compétences à mobiliser dans
le cadre du projet, la multiplication des sources de modification des cahiers
des charges initiaux (aux enjeux parfois antinomiques), l’interdépendance
des phases du projet entre elles (bloquant l’avancement), les rôles
et responsabilités des acteurs (maîtrise d’œuvre, maîtrise d’ouvrage,
assistance à maîtrise d’ouvrage, confusion des rôles…), la qualité des sous-
traitants (exigence de résultat ou de moyens), des contractants (risque de
défaillance pendant la vie du projet), sans oublier les risques techniques,
organisationnels et/ou opérationnels associés au projet lui-même.
Les risques d’un projet seront donc à traiter dans le cadre d’une démarche
méthodologique normée, performante, dédiée et si possible, pertinente.
Il en va de la qualité de l’exécution, voire de la bonne fin du projet initié à
l’origine. Notre présentation des différentes classes de risque en pyramide
aurait été incomplète sans cet apport spécifique à la dimension associée
des risques en mode projet, à ne pas oublier dans la réflexion.
46
LES 13 CLASSES DE RISQUES
Le risque ultime
Chacune des treize classes de risques présentées précédemment, ainsi
que la démarche spécifique « risque projet » présentée ci-dessus, va
potentiellement, en cas de survenance, contribuer à engendrer un coût du
risque, donc un risque financier additionnel pour l’entreprise. Sa gravité
sera bien sûr significativement variable en fonction de la classe de risques
considérée, du coût du risque net et de ses composantes particulières,
mais elle aura des impacts certains, plus ou moins dommageables pour
l’organisation. Et cette certitude conduit à notre volonté de mise en oeuvre
d’une démarche tant préventive que curative de maîtrise du risque, quelle
que soit la classe de risques considérée.
47
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Impact financier
Il est également essentiel de noter, dès à présent, que chaque risque
opérationnel, quel qu’il soit, engendrera, en cas de survenance, un coût
48
LES 13 CLASSES DE RISQUES
49
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
50
LES 13 CLASSES DE RISQUES
À retenir
• Chaque entreprise, quels que soient son secteur d’activité, son
historique, son métier, sa taille, est par nature exposée à une multitude
de risques qu’il convient d’identifier, de comprendre et de maîtriser.
• Les risques ne sont pas une invention du monde moderne ; ils existent
depuis toujours, et existeront toujours mais la médiatisation accrue de
leurs impacts renforce le sentiment perçu d’incertitude chronique de
l’environnement dans lequel évoluent les organisations.
51
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
52
Partie 2
RISQUES OPÉRATIONNELS
Introduction
Il est possible qu’au final nous aboutissions à la conclusion que tous les
risques seront des risques opérationnels en puissance !
55
Chapitre 1
La notion de risque opérationnel
Voilà qui complique les choses ! Comment sérier plus précisément cette
classe de risques qui ressemble à s’y méprendre à des poupées gigognes,
et dont l’amplitude apparaît, à première vue, quasiment illimitée ?
57
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
58
LA NOTION DE RISQUE OPÉRATIONNEL
Il existe donc une relation induite forte entre cette notion de risque
opérationnel, ses impacts internes pour l’entreprise et les impacts client
qu’il peut engendrer, directement ou indirectement, à plus ou moins
longue échéance.
59
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
60
LA NOTION DE RISQUE OPÉRATIONNEL
des services offerts au client. Ainsi, une première étude des risques
opérationnels met en lumière les différents enjeux suivants :
-- accès : qui a accès à quoi, quand, où, comment, pourquoi, etc. ;
-- sécurité des personnes : comment assurer la sécurité physique des
acteurs sur le lieu de travail, où qu’ils soient, quoi qu’ils fassent, à tout
moment ;
-- sécurité des biens : assurer la sécurité des actifs matériels de l’entreprise
contre tout type de dommages (internes, externes, volontaires ou non,
malveillants ou non, etc.) ;
-- sécurité des produits et services : assurer la continuité de la qualité des
biens et services produits, proposés aux clients ;
-- sécurisation des actifs physiques : préserver le patrimoine économique
mis à disposition de l’entreprise par les tiers (actionnaires, financiers,
assureurs) ;
-- sécurisation des actifs logiques : sécurité des actifs immatériels de
l’entreprise (nom commercial, marques, brevets, licences, connaissances,
etc.) ;
-- sécurité des actifs virtuels : sécuriser la pérennité d’actifs virtuels tels la
réputation d’un nom, d’une enseigne ;
-- sécurisation des différents flux de l’entreprise (énergie, eau, chauffage,
télécoms…) : l’utilisation de ressources « flux », quel que soit le type de
flux considéré ;
-- sécurisation de l’environnement physique de l’entreprise : pérennisation
de l’environnement de l’organisation (environnement physique) ;
-- etc.
61
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
62
LA NOTION DE RISQUE OPÉRATIONNEL
63
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
64
LA NOTION DE RISQUE OPÉRATIONNEL
Cela revient in fine à exprimer l’idée initiale que tout ou presque peut être
considéré comme un risque opérationnel ! Il appartient en conséquence
à chaque organisation, au-delà de l’existence éventuelle d’une définition
dogmatique de l’enjeu, à définir individuellement ce qui constituera pour
elle, un risque opérationnel.
65
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
66
LA NOTION DE RISQUE OPÉRATIONNEL
67
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Définissez avez précision les risques qui ne seront pas considérés comme
des risques opérationnels. Il est plus simple de définir en la matière ce qui
n’est pas, et non pas ce qui est, afin de délimiter le spectre des risques
opérationnels à considérer en tant que tels.
68
LA NOTION DE RISQUE OPÉRATIONNEL
69
Chapitre 2
Infrastructure, accès, sécurisation
71
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
72
INFRASTRUCTURE, ACCÈS, SÉCURISATION
73
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
74
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Lorsque cet inventaire exhaustif des sites est réalisé, la grille de lecture
adossée à la notion d’actifs – et de leur classification – s’impose.
75
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
76
INFRASTRUCTURE, ACCÈS, SÉCURISATION
77
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
-- liste déclarative : liste des actifs produite par les salariés eux-mêmes (par
département, service, unité), reflétant l’exhaustivité des actifs corporels,
incorporels et immobiliers utilisés ;
-- liste déclarative par processus : liste des actifs mobilisés au titre des
processus opérationnels de l’entreprise (fabrication, stockage, livraison,
saisie, recouvrement, etc.).
78
INFRASTRUCTURE, ACCÈS, SÉCURISATION
79
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
80
INFRASTRUCTURE, ACCÈS, SÉCURISATION
81
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
82
INFRASTRUCTURE, ACCÈS, SÉCURISATION
83
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Il s’agit des flux susceptibles d’irriguer l’entreprise, quelle que soit la nature
de ces flux, en fonction de leur point d’entrée et de leur point de sortie.
84
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Bâtir une cartographie des flux de toute nature sera riche de sens dans
l’identification des dangers sources des risques opérationnels dans
l’entreprise. Nous vous conseillons d’élaborer cette réflexion en parallèle de
l’identification des actifs vue précédemment, afin de coupler deux notions
essentielles et complémentaires dans toute démarche d’identification
des risques opérationnels : approche par les stocks (stocks d’actifs de
toute nature) et approche par les flux dans l’identification des dangers en
présence, donc des risques opérationnels potentiels à considérer.
85
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
86
INFRASTRUCTURE, ACCÈS, SÉCURISATION
87
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
88
INFRASTRUCTURE, ACCÈS, SÉCURISATION
• corrosion,
• défaillance de suivi des programmes d’entretien ou de maintenance
(préventif),
• non-réalisation des actions curatives prévues (réparations prévues,
modifications à réaliser),
• etc.
-- Défaillance d’un processus ou d’un sous-processus opérationnel
impactant l’infrastructure de l’entreprise (immobilier, mobilier).
-- Choc physique, accident, erreur de manipulation, d’interprétation,
d’action de l’acteur dans le système considéré.
-- Conditions météorologiques dégradées (pluie, neige, gel, froid, chaleur,
eau…).
-- Événements thermiques, chimiques ou de pollution subie ou causée
(surpression, corrosion, chaleur, intoxication externe, pollution).
-- Facteurs humains (défaut de formation, erreur humaine, maladresse,
méconnaissance, mauvaise manipulation, défaillance opérationnelle).
-- Fréquence, durée ou amplitude atypique d’un événement externe ou
interne : intempéries (eau, vent, chaleur), indisponibilité des équipes ou
des compétences nécessaires.
-- Défaillance d’un processus, d’une procédure, d’un mode opératoire
(subie ou causée), toutes causes et tous objets confondus, impactant via
un cycle opérationnel l’infrastructure physique ou logique de l’entreprise.
-- Vol, malveillance, dégradation volontaire ou involontaire au sein d’un
système.
-- Incendie volontaire ou involontaire, inondations.
-- Défaillance électrique ou énergétique provoquant un incendie, une
inondation, une rupture de stockage, une défaillance d’un processus
opérationnel, etc.
-- Phénomène naturel : tempêtes, inondations, glissement de terrain,
tornades…
-- Etc.
89
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
90
INFRASTRUCTURE, ACCÈS, SÉCURISATION
Quand ?
• horaire d’éligibilité à l’accès (définition, traçabilité) ;
• quid sur les accès hors horaire (indisponibilité, back up).
91
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Enjeu de la détectabilité
Qu’il s’agisse des risques opérationnels d’infrastructure, de sécurisation
des actifs ou de contrôle des accès aux ressources critiques de l’entreprise,
l’enjeu de la détection du risque entrant constitue une problématique
92
INFRASTRUCTURE, ACCÈS, SÉCURISATION
93
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
94
Chapitre 3
Sous-traitants
et activités externalisées
De la maîtrise de la sous-traitance
À partir du moment ou une entreprise souhaite externaliser à un tiers
de confiance tout ou partie d’un processus ou d’un sous-processus
opérationnel, quel qu’il soit, elle s’expose automatiquement à de
nouveaux risques opérationnels.
95
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
96
SOUS-TRAITANTS ET ACTIVITÉS EXTERNALISÉES
97
Chapitre 4
Fraude interne et externe
99
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
100
FRAUDE INTERNE ET EXTERNE
101
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Une nouvelle fois, cet enjeu n’est pas l’apanage des grandes entreprises,
des sociétés spécialisées en biotechnologies ou en phase de R&D critique.
Toutes les entreprises doivent se préoccuper de leurs éléments clés et
actifs critiques sur lesquels reposent leurs leviers de différenciation et de
pérennisation.
102
Chapitre 5
De la conformité des opérations
103
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
5. Nous invitons le lecteur curieux à se référer aux différents ouvrages publiés par l’auteur sur
l’enjeu des risques en entreprise aux éditions GERESO !
104
DE LA CONFORMITÉ DES OPÉRATIONS
105
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
106
Chapitre 6
Maîtrise des processus opérationnels :
de la R&D à l’archivage
L’entreprise, à bien y regarder, est en fait une usine à fabriquer des risques
opérationnels. Car à partir du moment où l’organisation met en oeuvre
son objet social et déploie des moyens matériels humains et financiers
pour le réaliser, elle va fabriquer d’innombrables risques opérationnels au
titre de ses cycles d’exploitation.
107
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
108
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
109
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
110
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
111
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Exemple :
Une entreprise est spécialisée dans l’abattage et le conditionnement
de volailles. Les grands processus mis en oeuvre dans le cadre de la
production de l’offre peuvent s’articuler de la manière suivante :
112
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
113
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
114
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
115
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
116
Chapitre 7
De la maîtrise de la connaissance
Et pourtant…
Nous vous conseillons de ne pas négliger cette dimension, car elle va très
– trop ? – souvent impacter l’entreprise dans ses cycles d’exploitation et
ses clients, directement ou indirectement. Alors, nous pensons utile de
rappeler quelques fondamentaux sur cette question, et vous inviter à ne pas
oublier que la gestion de la connaissance peut impacter significativement
la dureté potentielle des risques opérationnels pour l’organisation.
117
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
118
DE LA MAÎTRISE DE LA CONNAISSANCE
119
Chapitre 8
Plan de continuité d’activité,
plan de reprise d’activité
Tout un chacun le pense dans son for intérieur : « cela n’arrive qu’aux
autres », « cela ne peut pas nous arriver », « ce serait vraiment la faute à
pas de chance si
», « nous sommes trop solides pour nous effondrer », etc.
121
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
122
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
Plan de continuité
Gestion des risques d’activité (PCA)
Réduction d’impacts/
Priorité Analyse Détails
Dysfonctionnement
Risques Tout type de risque majeur impactant un
processus critique
Survie suite à un
incident majeur
Impact Toute gravité impactant un processus
critique
123
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
124
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
125
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
126
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
Parmi les principaux écueils à éviter dans la mise en place d’un PRA :
-- mauvais séquençage des opérations de retour à la normale (paralysant
le passage de l’étape n° 8 car l’étape n° 10 devait être réalisée en n° 5) ;
-- mauvaise allocation des ressources nécessaires à la stabilisation d’une
étape critique (l’étape 5 prend trois fois plus de temps que prévu, ayant été
127
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
128
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
Tout est possible ! La définition et la sélection des PCA (et des PRA)
à élaborer doivent être envisagées et réalisées dans une démarche
maximaliste, pragmatique et efficace, en cohérence avec les vrais enjeux
et les priorités essentielles de l’organisation.
Car documenter 500 PCA ne sert peut-être à rien, ne disposer d’aucun PCA
est dangereux.
129
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
130
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
131
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
132
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
133
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
134
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
À retenir
• Un risque opérationnel est un risque susceptible d’engendrer un
dommage, une perte ou un coût pour l’organisation lors de la réalisation
de ses cycles d’exploitation, ou dont le client ressentira les effets induits
à plus ou moins longue échéance.
• Définir avec précision les risques qui ne seront pas considérés comme
des risques opérationnels. Il est plus simple de définir en la matière
ce qui n’est pas, et non pas ce qui est, afin de délimiter le spectre des
risques opérationnels à considérer en tant que tels.
135
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
136
Partie 3
RISQUES INDUSTRIELS
Introduction
« Il n’y a pas de sécurité sur cette terre, seulement des opportunités. »
Douglas Mac Arthur
139
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
140
Chapitre 1
La problématique du risque industriel
141
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
142
LA PROBLÉMATIQUE DU RISQUE INDUSTRIEL
L’enjeu des risques industriels se pose donc à plusieurs niveaux, qui tous
refléteront in fine la pertinence des réponses apportées par l’homme.
Essayons à présent d’explorer les démarches et outils à disposition, étant
bien entendu qu’aucune check-list ou inventaire à la Prévert ne saurait
présenter la myriade de sujets à traiter au titre des risques industriels.
143
Chapitre 2
Les différents modèles en présence
145
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Lorsque tous les risques ont été évalués, les stratégies de couverture des
risques constituent la troisième et dernière phase de la démarche. Quatre
stratégies sont recherchées en démarche APR :
-- stratégie de prévention : diminution de la fréquence de l’événement ;
-- stratégie de protection : réduction de la gravité de l’événement ;
-- stratégie d’élimination : suppression de la possibilité de l’apparition de
l’événement ;
-- stratégie de transfert : mise en oeuvre d’une assurance en cas de
survenance de l’événement.
146
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
Les dangers en présence sont bien sûr de toute nature : dangers électriques,
mécaniques, chimiques, biologiques, de combustion, d’atmosphère,
etc. La liste des situations dangereuses susceptibles d’occasionner la
concrétisation du risque sont innombrables :
-- fuite ;
-- humidité ;
-- explosion ;
-- choc ;
-- oxydation ;
-- pression ;
-- feu ;
-- chaleur ;
-- toxicité ;
-- etc.
147
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Méthode HAZOP
La méthode HAZOP a été créée en 1965 en Angleterre par la société ICI. Elle
constitue depuis plus de quarante ans l’une des démarches référence en
matière de risques des installations industrielles. De nombreux secteurs
d’activité industriels se sont emparés, depuis, de cette démarche :
l’industrie nucléaire, les transports, mais aussi la sécurité alimentaire.
148
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
149
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La méthode AMDEC
Cette méthode, extrêmement connue dans de nombreuses démarches
méthodologiques autres que celles associées aux risques, consiste en une
analyse des modes de défaillances des systèmes, de leurs effets et de leur
sensibiblité. La démarche AMDE autant que la démarche AMDEC intègrent
la mesure de la criticité des événements (AMDEC : Analyse des modes de
défaillance, de leurs effets et de leur criticité / AMDE : Analyses des Modes
de Défaillances et de leurs Effets).
Prenons un exemple
Considérons l’élaboration d’un AMDEC à partir d’un objet basique que
chacun a logiquement sur son bureau : une lampe de bureau !
150
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
Composant pied :
Fonction concernée : F3, F4.
Mode de défaillance : le pied peut être cassé.
Effet : risque de chute de la lampe, risque de blessure lorsque la lampe
chute, perte d’esthétisme.
Détection : visible a priori.
Composant douille :
Fonction : F1.
Mode de défaillance : la douille peut être déformée, dégradée.
Effet : l’ampoule ne fonctionne plus.
Détection : impossibilité de mettre l’ampoule dans la douille.
Composant ampoule :
Fonction : F1, F5.
Mode de défaillance : ampoule cassée.
Effet : n’éclaire plus.
Détection : visible.
Etc.
Ainsi, le composant « interrupteur » pourra être bloqué, ne fonctionnera
plus à l’allumage ou à l’extinction, ou pourra être mal isolé, provoquant
des risques de court-circuit, d’électrisation, de perte de fonction d’utilité
d’éclairage, etc.
151
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À l’issue de l’AMDEC, vous disposez ainsi d’une photo nominale des modes
de défaillances à considérer, de leurs impacts, et de la manière de les
critériser afin de prioriser leur traitement de la meilleure façon.
152
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
Par exemple :
-- Rectangle : événement final, ou événement intermédiaire.
-- Rond : événement de base.
-- Rectangle surmonté d’un triangle : condition.
-- Losange : attente.
-- Connecteurs « et », connecteur « ou » sont différenciés.
153
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
154
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
155
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
La méthode MOSAR
La méthode MOSAR est également utilisée dans le cadre des installations
industrielles, ou dès lors que la complexité des installations et des
interactions entre les équipements, les machines, les produits et les stocks
apparaît significative.
156
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
157
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
158
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
Néanmoins, vous pourrez peut-être être amené un jour à devoir utiliser les
théories statistiques portées par ces méthodes dans la modélisation de
vos risques. Si tel est le cas, et si vous n’êtes pas matheux, bon courage !
Comme vous l’avez vu, les méthodes et les référentiels ne manquent pas
si vous souhaitez un jour explorer les démarches de maîtrise des risques
industriels. Il vous appartiendra, par la suite, de déterminer la démarche
que sera la mieux à même de répondre à vos contraintes et à vos besoins.
159
Chapitre 3
Environnement, hygiène, sécurité
161
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
162
Chapitre 4
Protection des personnes et des biens
163
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Chacune de ces questions doit être traitée pour chaque système industriel
mis en oeuvre. On entend par système industriel l’ensemble des actifs et
des activités déployés pour la réalisation d’une tâche ou d’un procédé
industriel.
164
PROTECTION DES PERSONNES ET DES BIENS
165
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Risques :
-- renversement du rack de stockage sur le salarié ;
-- renversement d’une caisse plastique à la sortie du rack de stockage,
blessant le salarié ;
-- erreur de manipulation lors de la saisie d’une caisse plastique,
engendrant une perte ou une dégradation des produits finis ;
166
PROTECTION DES PERSONNES ET DES BIENS
167
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Document unique
Le DUER (Document Unique d’Évaluation des Risques) traduit dans la
législation française l’obligation faite à tout employeur d’évaluer les
risques pouvant nuire à la sécurité du travail du salarié. Ce document
structuré s’articule autour de plusieurs obligations :
-- lister et hiérarchiser les risques en présence pour le salarié ;
-- mettre en place des plans d’action visant, à travers différentes
préconisations, à réduire voire supprimer les risques identifiés ;
-- réaliser une réévaluation des risques en présence, a minima tous les ans.
168
PROTECTION DES PERSONNES ET DES BIENS
169
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
170
PROTECTION DES PERSONNES ET DES BIENS
Nous attirons donc votre attention sur le fait de ne pas limiter votre
réflexion sur les risques au prisme du Document Unique, bien au contraire.
Car, même si vous êtes peut-être en règle avec la législation du travail en
vigueur, le réveil pourrait être beaucoup plus rude que vous ne l’imaginiez !
171
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Ainsi, pour chaque actif (ou bien) déterminé, il y a lieu d’identifier les
risques susceptibles de remettre en cause l’utilisation normale du bien,
que cette cause soit endogène ou exogène à l’actif lui-même. Prenons
l’exemple d’une machine-outil :
-- détérioration de l’actif par cause externe : incendie ;
172
PROTECTION DES PERSONNES ET DES BIENS
173
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
174
Chapitre 5
Risque environnemental
et risque image
175
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Les normes ISO proposent dans le cadre de leurs dispositifs des standards
dédiés aux risques environnementaux. Sachez les adopter le cas échéant :
ils peuvent constituer une base pertinente de réflexion, notamment lors
de la phase des risques environnementaux en présence.
176
RISQUE ENVIRONNEMENTAL ET RISQUE IMAGE
Du risque image
Lorsque l’entreprise met en oeuvre des processus industriels, le risque
image ou de réputation de l’organisation s’en trouve décuplé. Car la
sensibilité de la sphère publique (et de la collectivité en général) se
rapportant aux processus industriels susceptibles de créer des risques
pour les biens, les personnes et l’environnement, est particulièrement
avérée.
177
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À retenir
• Le risque industriel apparaît dès que l’entreprise met en oeuvre
un modèle de production ou de transformation, quelle qu’en soit la
complexité.
178
RISQUE ENVIRONNEMENTAL ET RISQUE IMAGE
179
Partie 4
RISQUES JURIDIQUES,
INFORMATIQUES, SOCIAUX :
DES ENJEUX OPÉRATIONNELS
CRITIQUES À NE PAS NÉGLIGER
Introduction
Cette considération est tout à fait légitime. Elle peut prendre ainsi tout
son sens lorsqu’on considère, par exemple, une entreprise dédiée à
la transformation ou à la production d’un produit ou d’un bien. Toute
activité industrielle peut, légitimement, restreindre le spectre des risques
opérationnels aux problématiques industrielles, éventuellement élargies
aux questions environnementales. Mettre en oeuvre des processus
183
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Quelle que soit son activité, toute organisation va mobiliser une multitude
de ressources variées, et nourrir ainsi, au cours de ses cycles d’exploitation,
de très nombreux risques susceptibles de remettre en cause sa pérennité.
Et ce, dans le cadre de ses activités opérationnelles, même si celles-ci ne
concernent pas directement une problématique client immédiate.
184
INTRODUCTION
Force est de constater que nos trois enjeux répondent tous positivement, et
potentiellement, à cette définition. Ainsi, et par exemple, l’indisponibilité
temporaire d’un serveur hébergeant un Intranet dans lequel sont logées,
par exemple, des procédures opérationnelles ou des connaissances,
peut rendre impossible la capacité à répondre à une sollicitation client.
Également, et toujours par l’exemple, le débrayage d’une plateforme
téléphonique réalisant les activités de service après-vente auprès de la
clientèle peut durement impacter l’image d’une organisation. Enfin, la
mise en cause de la responsabilité pénale d’un dirigeant peut, là encore,
dégrader significativement la confiance d’un client envers l’entreprise.
Autant d’enjeux diversifiés susceptibles d’engendrer un dommage ou une
perte à l’entreprise , même si leur concrétisation n’est pas totalement
intégrée à l’un des cycles d’exploitation de la société.
Les risques informatiques, les risques juridiques et les risques associés aux
facteurs humains sont à considérer comme partie prenante des risques
opérationnels de l’entreprise. Donc, comme des risques opérationnels à
part entière.
185
Chapitre 1
Risques juridiques
187
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
188
RISQUES JURIDIQUES
189
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Parmi les principaux points d’intérêt que nous vous invitons à identifier et
analyser, voici la liste des sujets susceptibles d’attirer votre attention au
titre des risques opérationnels :
-- Qualité et intégrité des contrats commerciaux : les contrats que vous
signez, que vous avez signés ou que vous signerez avec vos clients sont-
ils « blindés »? Comportent-ils les clauses essentielles destinées à vous
protéger en cas de difficulté, de désaccord, de conflit ou de litige futur ? Les
conditions générales de vente ou de location intégrées dans vos contrats
sont-elles éligibles ? Toujours d’actualité ? Parmi les points d’intérêt, ne
pas négliger :
• l’existence et la capacité de mise en oeuvre des clauses de réserve de
propriété,
• l’existence et la capacité de mise en oeuvre des pénalités éventuelles,
• l’existence et la capacité de mise en oeuvre des clauses de résiliation
anticipée.
190
RISQUES JURIDIQUES
191
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Enfin, et au-delà des contrats signés avec les tiers, quels qu’ils soient, nous
vous invitons à analyser avec précision les enjeux contractuels associés
aux salariés, à l’appui des obligations du droit du travail. Notamment,
nous vous conseillons de bien explorer les risques juridiques éventuels
192
RISQUES JURIDIQUES
193
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
194
RISQUES JURIDIQUES
Conformité
En parallèle d’une approche purement contractuelle, nous considérons
opportun de traiter la question du risque juridique sous l’angle de la
conformité. Cette réflexion relative à cet enjeu va se révéler totalement
complémentaire de la démarche précédente, et elle sera très souvent
riche de sens, car elle va utilement mêler droits et obligations juridiques
avec l’approche processus que nous décrivions précédemment.
195
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
196
RISQUES JURIDIQUES
Parmi les principales sources de risques juridiques que nous vous invitons
à aborder dans votre démarche de contrôle de conformité des activités
de votre organisation avec les lois en vigueur, il nous apparaît opportun
de focaliser votre attention sur les thématiques suivantes, de plus en plus
prégnantes lorsqu’on aborde les questions du risque juridique :
-- Droit du consommateur : le Code de la consommation est essentiel à
maîtriser en cas d’interaction avec les particuliers.
-- Droit Commercial : le Code de commerce est essentiel à maîtriser.
-- Droit de la concurrence.
-- Code de la propriété intellectuelle (marques, licences, brevets, noms).
-- Code monétaire et financier (pour les établissements éligibles).
-- Obligations associées à la CNIL (Commission Nationale Informatique et
des Libertés).
-- Code du travail.
-- Code des marchés publics.
-- Droit pénal des affaires.
-- Droit des marques.
-- Législation comptable et financière.
-- Législation fiscale et sociale.
197
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
198
RISQUES JURIDIQUES
Pré-contentieux et contentieux
Parmi les risques juridiques à ne pas négliger, il existe une problématique
directement liée aux activités opérationnelles de l’organisation, et donc à
son cycle d’exploitation.
Vous avez produit, vous avez livré, vous avez facturé
et le client ne paye
pas ! Voilà un risque juridique à considérer avec la plus grande pertinence,
compte tenu de ses impacts ! Comment maîtriser au mieux la mécanique
juridique permettant à l’entreprise de se faire payer ? Explorons à présent
cet enjeu juridique majeur, commercial et financier.
7. Cf. La gestion du risque crédit client, GERESO Édition, Le Mans, 2010, du même auteur.
199
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Du droit pénal
Autre point de sensibilité sur lequel nous désirons attirer votre attention
au titre des risques juridiques de l’organisation : la problématique du
risque pénal du dirigeant. Le risque pénal constitue une réalité que chaque
dirigeant, chaque mandataire social, chaque cadre en responsabilité doit
appréhender au mieux. Voire, chaque salarié.
200
RISQUES JURIDIQUES
Pas une semaine, pas un mois ne se passe sans qu’un dirigeant ne soit
placé sous les feux des projecteurs médiatiques à la suite d’une erreur ou
d’une malversation engageant sa responsabilité pénale. Et ce, au-delà de
l’affaire des prothèses PIP en gel de silicone !
Très récemment, les cas se sont multipliés, tant au titre de l’escroquerie que
de manipulation financières des cours de Bourse, de tromperie aggravée
sur la marchandise ou de défaillance d’obligation sécuritaire. Chaque jour
ou presque, la responsabilité pénale du dirigeant d’entreprise peut être
engagée. Les cas se multiplient, sans que les dirigeants, les créateurs ou
les repreneurs d’entreprise cernent avec précision les enjeux judiciaires et
juridiques encourus.
201
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
202
RISQUES JURIDIQUES
Voici les principales infractions sur lesquelles nous attirons la plus grande
attention de nos lecteurs dans leur réflexion relative aux risques pénaux
en entreprise, compte tenu de la sensibilité des enjeux concernés :
-- abus de confiance (ou recel d’abus de confiance) ;
-- infraction à la législation de la CNIL (êtes-vous sûr de vos traitements
informatiques ? De vos pratiques en matière de données personnelles ?
Avez-vous bien déclaré à la CNIL ce que vous devez ?) ;
-- contrefaçon de logiciels (vos salariés n’ont-ils pas installé, à votre insu,
des applications piratées ou d’objet illégal ou illicite ?) ;
-- pratique de taux usuraires (vos conditions et délais de paiement sont-ils
légaux ?) ;
-- banqueroute ;
-- financement du terrorisme (êtes-vous certain de bien connaître vos
clients ? Vos prospects ? Ce qu’ils vous achètent est-il cohérent avec leur
objet social ? Par exemple, un accord de paiement comptant ou en avance,
sans négociation, en espèces, doit engager le questionnement) ;
-- faux en écriture (quid de vos états financiers ? Reflètent-ils effectivement
une image sincère et fidèle, sans omission ni altération ?) ;
-- délit d’escroquerie ;
-- complicité de banqueroute ;
-- entente illicite (vos pratiques commerciales, vos relations avec certains
concurrents ne faussent-elles pas les règles de la concurrence ?) ;
-- atteinte à la vie privée (quid des données privées de vos salariés ? De vos
clients ?) ;
203
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
204
RISQUES JURIDIQUES
TPE, PME, ETI, tout le monde est concerné par le risque pénal ! Un enjeu
à ne pas négliger, donc, dans l’appréhension des risques juridiques de
l’entreprise
205
Chapitre 2
Risques informatiques
207
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
208
RISQUES INFORMATIQUES
209
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
210
RISQUES INFORMATIQUES
211
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
212
RISQUES INFORMATIQUES
213
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Ainsi, et par exemple, voici quelques check-lists que nous vous conseillons
de parcourir et de vous approprier, voire de les adapter à vos propres
enjeux.
Approche générale
Une première lecture de check-list dédiée aux risques informatiques,
que nous définissons comme « approche générale », s’articule autour
de grands thèmes fonctionnels ou organisationnels à considérer dans
l’identification des risques informatiques présents dans l’entreprise. Cette
check-list s’articule autour des axes suivants :
-- Risques associés à la qualité de la stratégie informatique de
l’entreprise : définition, cohérence et suivi de la définition et du pilotage
budgétaire de la stratégie informatique ; adéquation des ressources
aux objectifs ; mécanismes de sélection et de pilotage des prestataires
extérieurs ; existence de solutions de substitution en cas de défaillance
d’acteurs critiques ; qualité et adaptation des dispositifs de pilotage et de
gouvernance de l’informatique d’entreprise (infrastructure, actifs, outils,
couverture applicative, etc.).
-- Risques associés au pilotage et au suivi de l’exploitation courante
des outils, données, applications et moyens informatiques : existence
et fiabilité des outils de pilotage de l’exploitation informatique, gestion des
parcs matériels et logiciels, pilotage et suivi des incidents d’exploitation
et des indisponibilités, suivi et pilotage des procédures d’exploitation
informatique, contrôle de cohérence entre les besoins utilisateurs
(internes et externes) et les réalisations des systèmes d’information.
-- Risques associés à la sécurisation des procédés, des applications
et des actifs informatiques : existence et qualité des plans de continuité
d’exploitation, séparation des fonctions développement et exploitation,
qualité des démarches méthodologiques « mode projet », sécurisation
des données et des informations structurantes, déploiement de tests de
sécurité et de vulnérabilité des actifs matériels et immatériels, mécanismes
de gestion des authentifications, des accès, des habilitations, des mots de
passe, maîtrise des données…
214
RISQUES INFORMATIQUES
215
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
216
RISQUES INFORMATIQUES
217
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
L’approche synthétique
Une troisième check-list, complémentaire de la précédente, permet
d’identifier les principaux risques informatiques à considérer
prioritairement dans l’entreprise. Cette troisième liste s’articule autour
de 27 points d’intérêt, là encore totalement compréhensibles pour le
néophyte :
1. Départ ou disparition de personnel stratégique (gestion de la
connaissance/compétence).
2. Arrêt de maintenance des logiciels, par disparition de la SSII, du
fournisseur, des sources.
3. Blocage des centres informatiques, des locaux sensibles hébergeant les
équipements.
4. Dégâts des eaux ou autres liquides.
5. Accident naturel (tremblement de terre, inondation, ouragan,
tempête…).
6. Vandalisme sur équipement sans intrusion.
7. Vandalisme sur équipement avec intrusion dans les locaux de
l’entreprise.
218
RISQUES INFORMATIQUES
219
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
L’approche informatique
220
RISQUES INFORMATIQUES
221
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
222
RISQUES INFORMATIQUES
223
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
224
RISQUES INFORMATIQUES
Du risque projet
Alors que vous explorez les risques informatiques dans le cadre de votre
réflexion sur les risques opérationnels de l’entreprise, il me semble
opportun de vous soumettre une dernière approche susceptible d’apporter
du sens et de la valeur à votre action.
Combien d’entre nous ont été engagés dans des modes projet coûteux et
consommateurs de temps et d’énergie, parfois, en pure perte ?
Parmi les risques à considérer dans le cadre d’un mode projet informatique,
il peut être utile de se questionner sur les points suivants :
1. Modèle de données incohérent pour comptabilité avec autres modèles.
2. Modèle de données non évolutif.
225
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
226
RISQUES INFORMATIQUES
227
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
228
RISQUES INFORMATIQUES
229
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Le risque informatique constitue, avec une très grande lucidité, l’un des
risques opérationnels majeurs que l’entreprise doit maîtriser au mieux,
mais pas à n’importe quel prix. La maîtrise du coût du risque informatique
doit engager une réflexion approfondie relative aux coûts d’opportunité
(à faire ou à ne pas faire), et à la meilleure stratégie à adopter pour
l’organisation.
Plus que jamais, la gestion de la rareté des ressources (et donc des moyens
de couverture des risques à déployer) s’impose dans toute démarche
structurée de maîtrise des risques informatiques.
230
Chapitre 3
Facteurs Humains
231
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Nous avons écrit, dans un précédent ouvrage, « qu’il n’est de risques que
d’hommes. » Plus que jamais, et à la lumière de notre expérience du risque
en entreprise, cette maxime semble se révéler plus vraie que jamais,
traduisant effectivement la réalité du risque en entreprise.
Nous sommes tous les acteurs du risque de nos entreprises. Nos activités
opérationnelles, au quotidien, nourrissent notre fabrique des risques.
Chaque jour, la moindre de nos actions, de nos décisions, de nos réflexions
engendre la potentialité future de la concrétisation d’un risque. Nous
devons tous en être conscients et nous interroger au quotidien, à travers
les actions que nous entreprenons, à l’impact de nos décisions et leur
traduction en termes de risques.
232
FACTEURS HUMAINS
Sans prise de risque, il n’y a pas d’entreprise qui réussit. Mais toute prise
de risque doit être réalisée en conscience, avec humilité et pragmatisme, à
la lumière des enjeux pris et de leurs conséquences éventuelles.
233
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Ainsi, au fil de l’eau, vous allez peu à peu intégrer la perception du risque
et le profil risque des acteurs qui vous entourent dans votre rapport au
risque et à la manière dont les décisions seront prises. Vous serez surpris
de l’impact que cette réflexion peut engager si vous l’exposez lors d’un
échange. Une lecture lucide, franche et pragmatique permettra très
souvent d’amender ou de relativiser une position ou une prise de décision,
à la lumière des motivations « risques » des parties prenantes.
Prenons un exemple.
Vous lancez un projet et constituez ainsi une équipe projet. Si tous les
membres de cette équipe présentent le même profil risque (même
formation, parcours professionnel similaire, personnalités proches
), face
à une situation donnée, vous obtiendrez logiquement la même réponse
collégiale, la même solution à mettre en place. Or, votre valeur ajoutée
viendra de la confrontation des points de vue et des idées différentes
pour traiter le problème ou l’incident, à l’appui d’un rapport au risque
234
FACTEURS HUMAINS
Risques sociaux
Par expérience, et afin d’assurer une articulation pertinente et simplifiée
des enjeux associés aux facteurs humains, les risques sociaux de
l’entreprise peuvent être, selon nous, considérés à travers le prisme de
trois grandes dimensions.
Ces trois grands axes de réflexion au titre des risques sociaux dans
l’entreprise s’avèrent fondamentalement complémentaires, distincts mais
profondément interconnectés. Nous vous proposons de considérer l’enjeu
social dans l’entreprise autour des dimensions suivantes :
-- Les risques liés, directement ou indirectement, à la qualité et à la
sérénité du climat social dans l’entreprise, permettant à chacun, dans son
rôle, d’exercer ses activités dans les meilleures conditions d’interaction,
de compréhension et de vision partagée. Ces risques seront in fine
fondamentalement conditionnés à la capacité de l’équipe dirigeante (et
ses relais opérationnels) de créer et/ou maintenir les conditions propices
à l’émergence d’un climat social serein.
235
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
236
FACTEURS HUMAINS
Du climat social
Le premier risque susceptible de fragiliser l’entreprise au titre de ses
risques sociaux en présence est donc lié à la qualité du climat social dans
l’entreprise. La qualité du climat social résulte fondamentalement de
la capacité de l’équipe de direction, tant au sein de ses instances qu’au
sein de l’entreprise, quel que soit le niveau hiérarchique ou opérationnel
considéré, à assurer aux acteurs de l’entreprise un environnement humain
propice à la réalisation sereine des activités.
237
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
238
FACTEURS HUMAINS
239
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Le risque du turn-over
Le risque social lié au turn-over des collaborateurs, c’est-à-dire à la
rotation des équipes constitutives des entreprises par suite de départ
non souhaité ou non anticipé d’un collaborateur, constitue le second
risque social sur lequel nous souhaitons attirer votre attention. En effet,
la maîtrise des connaissances, des compétences et des talents constitue le
levier critique de la pérennité de l’entreprise. Une entreprise n’existe que
grâce à la valeur créée par chacun de ses maillons. Si l’un des maillons de
la chaîne disparaît, de manière non détectée ou non anticipée, la structure
de la chaîne de valeur peut être significativement impactée et déstabiliser
en profondeur l’organisation.
240
FACTEURS HUMAINS
241
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
242
FACTEURS HUMAINS
Entre ces deux stratégies à l’opposé l’une de l’autre, il nous semble qu’il
appartient ensuite à chaque lecteur de définir sa propre vision de la
gestion des équipes et des compétences au sein de l’entreprise. Le turn-
over apparaît, selon nous, tout à fait sain, pour ne pas dire essentiel, au
minimum souhaitable. Il est cependant nécessaire de bien comprendre
et d’anticiper si possible les motifs du départ du collaborateur (évolution
bloquée, volonté de changement, offre concurrente alléchante, conflits
individuels…), en fonction des enjeux, et surtout de préparer de la
meilleure manière, dans la mesure du possible, son départ (grâce à une
gestion efficace des connaissances).
243
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
244
FACTEURS HUMAINS
245
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
246
FACTEURS HUMAINS
247
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Risques psychosociaux
Risque social à part entière, le risque psychosocial relève, quant à lui, de
l’individu lui-même, quels que soient son rôle, sa fonction, son métier ou
son positionnement dans l’entreprise. Les risques psychosociaux doivent
être compris et anticipés sans a priori, et à tous les échelons de l’entreprise,
sans exception.
248
FACTEURS HUMAINS
249
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
250
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
250
FACTEURS HUMAINS
-- agir (ne pas laisser s’installer une rumeur, une situation conflictuelle
lourde ; communiquer de manière proactive face à une décision ou un
événement à venir, en s’appuyant sur des relais internes…) ;
-- ne jamais accepter une situation intolérable : toute forme de
discrimination, de harcèlement, de racisme, de violence physique
ou verbale, d’agressivité, etc. Ne jamais légitimer l’inacceptable…
et, si possible, toujours anticiper les événements : un dirigeant ou un
encadrant découvrant un beau matin, par surprise, un mouvement
social, un débrayage, une plainte pour harcèlement ou un suicide, est
fondamentalement un mauvais cadre.
251
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
252
FACTEURS HUMAINS
253
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
254
FACTEURS HUMAINS
255
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
256
FACTEURS HUMAINS
257
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
À retenir
• Les risques informatiques, les risques juridiques et les risques
associés aux facteurs humains sont à considérer comme partie prenante
des risques opérationnels de l’entreprise. Donc, comme des risques
opérationnels à part entière.
258
FACTEURS HUMAINS
259
Conclusion
Face à toutes ces questions, je réalise que je ne sais pas y répondre avec
certitude. Voilà qui est gênant, alors qu’il est temps de conclure mon écrit !
Une seule constante, par contre : les risques opérationnels sont d’immenses
contributeurs au coût du risque. Et ce, pour toutes les entreprises, quels
261
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
262
CONCLUSION
Si lire ce livre constitue un premier pas pour vous vers une gestion plus
efficace des risques opérationnels, il n’en demeure pas moins qu’une
modeste étape, face à la complexité, la diversité et au dimensionnement
de l’enjeu à couvrir. Il reste à espérer que vous saurez vous en approprier les
fondamentaux et l’adapter au mieux à vos contextes d’activité respectifs,
avec humilité, lucidité et pragmatisme.
263
Bibliographie
265
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Sites internet :
www.iso.org
www.riskeal.fr
www.afnor.fr
266
Jean-David DARSA est un grand
spécialiste de la gestion des risques en
entreprise, grâce à une large expérience
professionnelle acquise notamment au
sein de grands groupes français et
internationaux.
Contact : jean-david.darsa@riskeal.fr
Site internet : www.riskeal.fr
Contact : edition@gereso.fr
267
Prépresse : GERESO Édition 2013
Achevé d’imprimer par CPI Firmin-Didot à Mesnil-sur-l’Estrée en octobre 2013
N° d’impression : - Dépôt légal : octobre 2 013 - Imprimé en France
JEAN-DAVID DARSA
LES RISQUES
OPÉRATIONNELS
DE L’ENTREPRISE
Q
uoi de commun entre l’explosion d’une plateforme
pétrolière, une fuite de gaz en mer du Nord,
de la viande de cheval dans des lasagnes de bœuf
surgelées, un produit non conforme, le suicide
d’un cadre en entreprise et l’indisponibilité d’une
donnée sur un ordinateur ? A priori, rien !