Gestion des risques

La gestion des risques, ou management du risque (risk management), est la discipline qui
s'attache à identifier, évaluer et prioriser les risques relatifs aux activités d'une organisation,
quelles que soient la nature ou l'origine de ces risques, pour les traiter méthodiquement de
manière coordonnée et économique, de manière à réduire et contrôler la probabilité des
événements redoutés, et réduire l'impact éventuel de ces événements.

À ce titre, il s'agit d'une composante de la stratégie d'entreprise qui vise à réduire la probabilité
d'échec ou d'incertitude de tous les facteurs pouvant affecter son projet d'entreprise. La gestion
en continu de la grille de risques d'une entreprise suppose vision et vigilance du dirigeant et de
ses conseils et cadres, pour la réadapter aux réalités du terrain et des systèmes régulatoires qui
s'y appliquent.

Dans les grandes entreprises, on trouve des équipes spécialisées à la tête desquelles œuvre un
gestionnaire du risque ou risk manager. Il a donc vocation à gérer les risques de l'entreprise qui
l'emploie. Les entreprises de taille moyenne sont encore peu préoccupées de gestion des
risques. Selon une étude du cabinet d'audit Mazars, qui a interrogé environ 200 entreprises
affichant des chiffres d'affaires de 100 millions à quelques milliards d'euros, les risques qui les
inquiètent le plus sont ceux qui peuvent entraîner une sanction du client, suivis des risques
techniques ou opérationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et
informatiques1.

Sommaire

 1 - Entreprises et incertitudes
o 1.1 - Définition du terme « risque »
o 1.2 - Part d'incertitude
o 1.3 - Facteur de risque
o 1.4 - Impact et gravité
 2 - Finesses de l'analyse des risques
o 2.1 - Gestion qualitative
o 2.2 - Échelle de gravité et échelle temporelle
o 2.3 - Gestion quantitative des risques

 3 - Étapes et principes de la gestion des risques

o 3.1 - Perception et explicitation
o 3.2 - Appréciation du risque
o 3.3 - Gestion des risques
o 3.4 - Mesures de gestion du risque
o 3.5 - Contrôle
 4 - Approches spécifiques de la gestion du risque
o 4.1 - Gestion des risques d'un projet
o 4.2 - Gestion de risques sociétaux
o 4.3 - Étude de dangers
o 4.4 - Gestion des risques financiers
o 4.5 - Étude de vulnérabilité

Entreprises et incertitudes

Définition du terme « risque »

Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque2 qui a été revu lors du
développement de la norme ISO 31000:2009 – Management du risque — Principes et lignes
directrices3, le risque est nouvellement défini comme « l’effet de l’incertitude sur les objectifs » et
s'ajoute en note4 que « Un risque est souvent caractérisé en référence à des événements et des
conséquences potentiels ou à une combinaison des deux. »

Le risque est l’association de quatre facteurs : un danger, une probabilité d'occurrence,

sa gravité et de son acceptabilité5. Le danger étant un événement redouté (par lui-même et par
ses conséquences), le « risque » ne se confond donc pas avec le danger, mais résulte de ce que
ce danger a une certaine probabilité de se manifester et entraînerait des conséquences d'une
certaine gravité5. La criticité d'un risque résulte de la combinaison de l'impact (ou effet ou gravité)
et de la probabilité d'un risque (AFNOR).

Part d'incertitude

Un jour de grand départ, l'embouteillage n'est pas un « risque » : c'est une quasi-certitude.

La part d'incertitude qui représente réellement un risque est normalement faible, c'est-à-dire que
le déroulement « normal » d'une activité raisonnable est celui où l'objectif visé est atteint (sauf
accident). Cela ne signifie pas qu'il n'y a que peu d'incertitude dans un projet raisonnable, mais
plutôt que le niveau d'incertitude habituellement rencontré est normalement maîtrisé, et n'est pas
de nature à compromettre l'atteinte de l'objectif. Si par exemple je me propose de traverser une
ville en voiture, je n'aurai clairement aucune certitude sur l'état des feux rouges, mais l'un
compensant l'autre je peux espérer faire en général cette traversée dans un délai assez
prévisible, tout en acceptant un certain risque résiduel (faible) de « me prendre tous les feux
rouges » et d'arriver en retard, malgré la marge que j'avais prise.

Contrairement à l'appréciation de l'impact, la probabilité d'un événement redouté peut

généralement être évaluée objectivement, même si c'est de manière très approximative : le
caractère réaliste ou non d'un scénario peut en principe faire l'objet d'une analyse et d'un examen
critique n'impliquant pas de jugement subjectif, même s'il est souvent inutile en pratique de
procéder à une analyse très détaillée.

Lorsque le risque fait l'objet d'une analyse chiffrée, sa probabilité d'occurrence est donc
normalement faible, voire très faible. Si la probabilité d'un scénario présenté comme « risque »
est chiffrée à plus d'une dizaine de pour-cent, il s'agit en réalité d'un scénario alternatif de
l'activité ; et si elle dépasse 50 %, ce que l'on qualifie de « risque » est en réalité devenu le
scénario qu'un pronostic raisonnable doit retenir comme référence.

Facteur de risque

Les substances psychotropes sont un facteur de risque pour la conduite automobile.

Le facteur de risque (quelquefois appelé péril ou danger) est un élément présent susceptible de
causer un risque, c'est-à-dire la survenance de l'accident.

Les facteurs de risque se qualifient par leur domaine (humain, culturel,

matériel, technique (risque toxique, thermique, d'explosion.., juridique, etc.) ou leur point
d'application (le projet lui-même, et l'organisation au sein de laquelle il va s'insérer). Ils se
quantifient en niveau d'incertitude et/ou de complexité.

Un accident de voiture pourra par exemple se produire pour un conducteur qui a bu de l'alcool,
en présence d'un camion, sur une route dangereuse, alors qu'il pleut (quatre facteurs de risque),
la probabilité et l'impact de l'accident étant d'autant plus importants que la dose d'alcool absorbée
par le conducteur était importante, le camion puissant et lourd, la route sinueuse et sans visibilité,
et la pluie battante (criticités).
Impact et gravité

La pluie n'est pas nécessairement un « risque » pour une promenade à deux.

Un événement n'est perçu comme un risque que dans la mesure où il peut avoir un impact (en
principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser, ou sur une valeur à laquelle
on adhère et que l'on veut respecter dans son activité. Ainsi, si je veux organiser une promenade
familiale, une mauvaise météo peut être un « risque », soit parce qu'elle m'obligerait à annuler la
sortie (objectif abandonné), soit parce qu'elle transformerait la sortie en mauvaise expérience
(valeur de confort compromise) ; inversement, si la pluie n'est pas jugée inconfortable, elle ne
constitue pas un « risque » à proprement parler, mais une simple éventualité.

Contrairement à la probabilité, l'appréciation d'un tel impact est nécessairement subjective. Elle
dépend de l'entité qui formule cette appréciation, des valeurs qu'elle respecte et de l'importance
qu'elle accorde au projet potentiellement compromis.

Dans l'analyse et la gestion des risques, le « risque » est, par principe, un événement aux
conséquences négatives. C'est par abus de langage que l'on entend parfois parler d'un « risque
de gagner au loto » (la formulation correcte dans ce cas est que l'on a « une chance de
gagner »). Pour parler des événements imprévus aux conséquences positives, on parlera plutôt
d'une « opportunité ». La gestion des opportunités est tout à fait symétrique de celle des risques
sur le plan des méthodes. Tout ce qui est dit des risques se transpose directement sur les
opportunités. Cependant ces deux aspects se différencient radicalement, la plupart du temps, en
termes de plus-value attendue et de fonctions d'entreprises : en règle générale, une entreprise
responsable doit avant tout gérer ses risques à un niveau le plus souvent assez détaillé
(risques HSCT notamment) ; rares sont les entreprises (placement boursier, conduite d'une
bataille militaire…) où les opportunités sont effectivement gérées par le responsable au même
titre que les risques.
Finesses de l'analyse des risques

Gestion qualitative

Exemple d'une évaluation qualitative des risques, typique d'une gestion de projet : classement par classe
d'impact et classe de probabilité (ici en cinq classes).

Bien que les concepts mis en œuvre soient dans tous les cas essentiellement les mêmes, les
buts et méthodes employés vont être très différents suivant que la gestion du risque s'intéresse à
la maîtrise des risques d'un projet, à l'analyse de sécurité d'un système, à la maîtrise du
fonctionnement d'une institution, du contrôle qualité ou du contrôle interne, à des risques
de santé publique, à la couverture de risques de change...

Ainsi, l'analyse de risque d'un projet de petite taille (de l'ordre de vingt personnes sur cinq ans)
pourra le plus souvent se contenter d'une grille de probabilité à trois niveaux (~10%=possible,
~1%=incertain, ~0.1%=envisageable) et une grille de conséquences à trois niveaux (A=remise en
cause du projet même, B=contrat non respecté, C=gérable avec les marges disponibles). En
effet, la conduite d'un projet est par nature pleine d'imprévus, il ne sert donc à rien de se
préoccuper de scénarios très improbables, sachant que les hasards du projet conduiront de toute
manière à en modifier la planification longtemps avant que quoi que ce soit d'« improbable » n'ait
eu le temps de survenir. Pour les mêmes raisons, les classes de risques et de conséquences
peuvent être larges, dans la mesure où l'information nécessaire est ici surtout qualitative.

Échelle de gravité et échelle temporelle

Exemple de pyramide des risques : fréquence et gravité varient en sens contraire.

Inversement, l'analyse de risque sur la santé et sécurité au travail d'une industrie
chimique ICPE portera sur des événements situés sur une échelle de gravité très large (depuis
« se couper légèrement » jusqu'à « nuage toxique faisant des milliers de morts extérieurs »). En
conséquence, l'échelle de fréquence attendue doit être du coup également large (de « par
semaine » à « par millions d'années »). En effet, le caractère préoccupant d'un risque étant
fonction à la fois de son impact (coût) et de sa vraisemblance (probabilité), c'est-à-dire de
l'espérance mathématique de perte qu'il entraîne (quand ces éléments peuvent être chiffrés), la
gestion rationnelle du risque conduit à réduire en priorité ceux pour lesquels le produit « coût x
probabilité » est le plus important. De ce fait, si cette analyse est conduite rationnellement, les
risques que l'on accepte de subir en l'état, sans prendre de mesure complémentaire, tendent à
être tous du même niveau « coût x probabilité », et donc l'échelle des coûts doit être aussi large
que celle des probabilités.

Si donc (pour fixer les idées) « se couper légèrement » est jugé (subjectivement, par l'autorité
responsable) cent fois moins grave que « dix jours d'arrêt maladie », lui-même jugé dix mille fois
moins grave que « un accident mortel », on voit que dans cette hypothèse l'échelle de gravité
d'une telle ICPE porte sur neuf ordres de grandeur : s'il paraît éthiquement acceptable de ne pas
prendre de mesure complémentaire tant que « se couper légèrement » n'arrive que deux fois
« par semaine », une gestion rationnelle du risque doit alors conduire à continuer de réduire
l'éventualité d'un « nuage toxique faisant des milliers de morts extérieurs », tant que la probabilité
d'une telle catastrophe reste plus forte qu'une fois « par millions d'années » (c'est-à-dire une
probabilité de 10-6 par an).

Gestion quantitative des risques

Sur ce dernier cas, on peut comprendre qu'une gestion purement qualitative est impossible pour
apprécier l'importance respective d’événements s'étageant sur neuf ordres de grandeur. Un
niveau de sûreté éloignant une catastrophe à un niveau de 10-6 par an ne peut pas reposer sur
des dispositifs simples, mais doit s'appuyer sur des mesures de conception, et des dispositions
de sécurité et de contrôle multiples et indépendants, dont la fiabilité individuelle soit suffisante
pour que la probabilité de leur défaillance simultanée (elle-même produit des probabilités
individuelles de défaillances), laissant la porte ouverte à la catastrophe, soit au niveau attendu. Et
l'analyse de risque associée ne peut plus être qualitative, mais doit être chiffrée en s'appuyant
sur des données d'expérience objectives.