Documente Academic
Documente Profesional
Documente Cultură
La gestion des risques, ou management du risque (risk management), est la discipline qui
s'attache à identifier, évaluer et prioriser les risques relatifs aux activités d'une organisation,
quelles que soient la nature ou l'origine de ces risques, pour les traiter méthodiquement de
manière coordonnée et économique, de manière à réduire et contrôler la probabilité des
événements redoutés, et réduire l'impact éventuel de ces événements.
À ce titre, il s'agit d'une composante de la stratégie d'entreprise qui vise à réduire la probabilité
d'échec ou d'incertitude de tous les facteurs pouvant affecter son projet d'entreprise. La gestion
en continu de la grille de risques d'une entreprise suppose vision et vigilance du dirigeant et de
ses conseils et cadres, pour la réadapter aux réalités du terrain et des systèmes régulatoires qui
s'y appliquent.
Dans les grandes entreprises, on trouve des équipes spécialisées à la tête desquelles œuvre un
gestionnaire du risque ou risk manager. Il a donc vocation à gérer les risques de l'entreprise qui
l'emploie. Les entreprises de taille moyenne sont encore peu préoccupées de gestion des
risques. Selon une étude du cabinet d'audit Mazars, qui a interrogé environ 200 entreprises
affichant des chiffres d'affaires de 100 millions à quelques milliards d'euros, les risques qui les
inquiètent le plus sont ceux qui peuvent entraîner une sanction du client, suivis des risques
techniques ou opérationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et
informatiques1.
Sommaire
1 - Entreprises et incertitudes
o 1.1 - Définition du terme « risque »
o 1.2 - Part d'incertitude
o 1.3 - Facteur de risque
o 1.4 - Impact et gravité
2 - Finesses de l'analyse des risques
o 2.1 - Gestion qualitative
o 2.2 - Échelle de gravité et échelle temporelle
o 2.3 - Gestion quantitative des risques
Entreprises et incertitudes
Part d'incertitude
Un jour de grand départ, l'embouteillage n'est pas un « risque » : c'est une quasi-certitude.
La part d'incertitude qui représente réellement un risque est normalement faible, c'est-à-dire que
le déroulement « normal » d'une activité raisonnable est celui où l'objectif visé est atteint (sauf
accident). Cela ne signifie pas qu'il n'y a que peu d'incertitude dans un projet raisonnable, mais
plutôt que le niveau d'incertitude habituellement rencontré est normalement maîtrisé, et n'est pas
de nature à compromettre l'atteinte de l'objectif. Si par exemple je me propose de traverser une
ville en voiture, je n'aurai clairement aucune certitude sur l'état des feux rouges, mais l'un
compensant l'autre je peux espérer faire en général cette traversée dans un délai assez
prévisible, tout en acceptant un certain risque résiduel (faible) de « me prendre tous les feux
rouges » et d'arriver en retard, malgré la marge que j'avais prise.
Lorsque le risque fait l'objet d'une analyse chiffrée, sa probabilité d'occurrence est donc
normalement faible, voire très faible. Si la probabilité d'un scénario présenté comme « risque »
est chiffrée à plus d'une dizaine de pour-cent, il s'agit en réalité d'un scénario alternatif de
l'activité ; et si elle dépasse 50 %, ce que l'on qualifie de « risque » est en réalité devenu le
scénario qu'un pronostic raisonnable doit retenir comme référence.
Facteur de risque
Le facteur de risque (quelquefois appelé péril ou danger) est un élément présent susceptible de
causer un risque, c'est-à-dire la survenance de l'accident.
Un accident de voiture pourra par exemple se produire pour un conducteur qui a bu de l'alcool,
en présence d'un camion, sur une route dangereuse, alors qu'il pleut (quatre facteurs de risque),
la probabilité et l'impact de l'accident étant d'autant plus importants que la dose d'alcool absorbée
par le conducteur était importante, le camion puissant et lourd, la route sinueuse et sans visibilité,
et la pluie battante (criticités).
Impact et gravité
Un événement n'est perçu comme un risque que dans la mesure où il peut avoir un impact (en
principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser, ou sur une valeur à laquelle
on adhère et que l'on veut respecter dans son activité. Ainsi, si je veux organiser une promenade
familiale, une mauvaise météo peut être un « risque », soit parce qu'elle m'obligerait à annuler la
sortie (objectif abandonné), soit parce qu'elle transformerait la sortie en mauvaise expérience
(valeur de confort compromise) ; inversement, si la pluie n'est pas jugée inconfortable, elle ne
constitue pas un « risque » à proprement parler, mais une simple éventualité.
Contrairement à la probabilité, l'appréciation d'un tel impact est nécessairement subjective. Elle
dépend de l'entité qui formule cette appréciation, des valeurs qu'elle respecte et de l'importance
qu'elle accorde au projet potentiellement compromis.
Dans l'analyse et la gestion des risques, le « risque » est, par principe, un événement aux
conséquences négatives. C'est par abus de langage que l'on entend parfois parler d'un « risque
de gagner au loto » (la formulation correcte dans ce cas est que l'on a « une chance de
gagner »). Pour parler des événements imprévus aux conséquences positives, on parlera plutôt
d'une « opportunité ». La gestion des opportunités est tout à fait symétrique de celle des risques
sur le plan des méthodes. Tout ce qui est dit des risques se transpose directement sur les
opportunités. Cependant ces deux aspects se différencient radicalement, la plupart du temps, en
termes de plus-value attendue et de fonctions d'entreprises : en règle générale, une entreprise
responsable doit avant tout gérer ses risques à un niveau le plus souvent assez détaillé
(risques HSCT notamment) ; rares sont les entreprises (placement boursier, conduite d'une
bataille militaire…) où les opportunités sont effectivement gérées par le responsable au même
titre que les risques.
Finesses de l'analyse des risques
Gestion qualitative
Exemple d'une évaluation qualitative des risques, typique d'une gestion de projet : classement par classe
d'impact et classe de probabilité (ici en cinq classes).
Bien que les concepts mis en œuvre soient dans tous les cas essentiellement les mêmes, les
buts et méthodes employés vont être très différents suivant que la gestion du risque s'intéresse à
la maîtrise des risques d'un projet, à l'analyse de sécurité d'un système, à la maîtrise du
fonctionnement d'une institution, du contrôle qualité ou du contrôle interne, à des risques
de santé publique, à la couverture de risques de change...
Ainsi, l'analyse de risque d'un projet de petite taille (de l'ordre de vingt personnes sur cinq ans)
pourra le plus souvent se contenter d'une grille de probabilité à trois niveaux (~10%=possible,
~1%=incertain, ~0.1%=envisageable) et une grille de conséquences à trois niveaux (A=remise en
cause du projet même, B=contrat non respecté, C=gérable avec les marges disponibles). En
effet, la conduite d'un projet est par nature pleine d'imprévus, il ne sert donc à rien de se
préoccuper de scénarios très improbables, sachant que les hasards du projet conduiront de toute
manière à en modifier la planification longtemps avant que quoi que ce soit d'« improbable » n'ait
eu le temps de survenir. Pour les mêmes raisons, les classes de risques et de conséquences
peuvent être larges, dans la mesure où l'information nécessaire est ici surtout qualitative.
Si donc (pour fixer les idées) « se couper légèrement » est jugé (subjectivement, par l'autorité
responsable) cent fois moins grave que « dix jours d'arrêt maladie », lui-même jugé dix mille fois
moins grave que « un accident mortel », on voit que dans cette hypothèse l'échelle de gravité
d'une telle ICPE porte sur neuf ordres de grandeur : s'il paraît éthiquement acceptable de ne pas
prendre de mesure complémentaire tant que « se couper légèrement » n'arrive que deux fois
« par semaine », une gestion rationnelle du risque doit alors conduire à continuer de réduire
l'éventualité d'un « nuage toxique faisant des milliers de morts extérieurs », tant que la probabilité
d'une telle catastrophe reste plus forte qu'une fois « par millions d'années » (c'est-à-dire une
probabilité de 10-6 par an).