Résumé Depuis quelques années, la gestion des risques est devenu un enjeu majeur du fait des évolutions sociologique et technologique de nos sociétés.
télécharger 176.96 Kb.
|
L’évaluation et la quantification nécessaire du risqueL’identification la plus exhaustive des risques est ensuite affinée par une appréciation qualitative de leur impact pour l’entreprise en fonction de leur probabilité, de leur fréquence ou durée, et de leur gravité.
Le risk manager classe les risques dans une matrice d’appréciation. L’appréciation relève de critères précis évalués de façon simple (fort, moyen, faible) et la somme totale des points attribués aux composants d’un phénomène forme une cotation du risque de 1 à 5, 1 signifiant « vulnérabilité très faible » ou « très bon dispositif» et 5 : «vulnérabilité très forte » ou « très mauvais dispositif ». Il s'agit en général d'une conversion « description qualitative du phénomène » généralement traduite en termes numériques, mais certaines échelles transposent également une intensité chiffrée dans une autre unité. Il convient ensuite de sélectionner une échelle de mesure : il s’agit d’un rassemblement d’énoncés qui sont supposés rendre compte indirectement du phénomène sous-jacent au construit que le chercheur souhaite saisir et mesurer (DeVellis, 1991). On peut ainsi citer l’échelle de Beaufort, l’échelle de Richter4, l'échelle européenne des risques d'avalanche. Ces échelles facilitent la comparabilité de la gestion et des situations. Elles peuvent être à l’origine de mise en place de dispositifs particuliers en cas de crise (Plan Vigipirate, Alertes Météo France,…). Quant à la méthode AMDEC, elle permet d’analyser des modes de défaillance et leurs effets et criticité afin de classer les risques en fonction de trois critères : fréquence, prévisibilité et gravité qui, multipliés donnent la criticité. La pondération des critères est élaborée de manière collégiale par les praticiens de l’activité. Ils permettent des hiérarchiser et d’ordonner les risques et leur gestion. Après cette quantification, le risk manager classe les risques et en dresse une cartographie en fonction de leur gravité et fréquence : Les risques rares mais graves sont des catastrophes ; Les risques fréquents et anodins sont qualifiés de domestiques ; Les risques rares et anodins sont considérés comme négligeables ; Les risques fréquents et graves sont intolérables. C’est donc l’impact du risque qui intéresse le risk manager. Certains systèmes informatiques connaissent des crashs quotidiens mais sans impact sur l’équilibre et la sécurité de l’entreprise. Les risques sont qualifiés de majeurs s’ils mettent en jeu la pérennité de l’entreprise. Patrick Lagadec, spécialiste de la gestion des risques, a ainsi été l’initiateur du concept de risque technologique majeur.
Il existe souvent un décalage entre les outils utilisés et les convictions profondes des acteurs sur le fonctionnement de leur organisation. En effet, le choix d’un outil n’est pas neutre, puisqu’il modèle sous-jacent quant au rôle des aspects non techniques dans le fonctionnement / dysfonctionnement d’un système sociotechnique. Le cadre peut-être plus ou moins focalisé, orienté sur différents aspects (ex. erreur humaine). Le risk manager doit toujours veiller à conserver une approche transversale et à ne pas tomber dans l’écueil des recommandations essentiellement centrées sur l’individu (sélection, sanction, formation…) mais à proposer des recommandations sur l’organisation dans son ensemble, de l’opérateur de première ligne aux différents étages du management. Cet écueil courant démontre une certaine inertie de l’organisation ou l’absence d’outils satisfaisants. Il convient surtout de veiller à la pertinence des indicateurs et au cadrage de l’analyse. En effet, les outils ont différentes sortes d’utilité : qualitatifs, quantitatifs, déterministes, probabilistes… Ils servent à décrire, expliquer, etc. Ils faut alors qu’ils soient en adéquation avec la nature de la problématique abordée (concept, méthode applicable), mais également avec la question posée (décrire ? anticiper ? quantifier ? expliquer ?), ainsi qu’avec le cadre conceptuel et la complexité du problème à traiter (système déjà très sûr ou vierge ?). Certaines conditions complémentaires peuvent aussi être prises en compte comme les pratiques (moyens) ou bien la culture (acceptabilité des outils proposés,…). Une fois les outils analysés, c’est-à-dire identifiés et quantifiés, il est possible pour le risk manager de s’attacher au pilotage de la gestion du risque.
La gestion du risque opère essentiellement sur l’espace intermédiaire du champ du maîtrisable. Elle recherche une mitigation, des parades pour réguler la fréquence et la gravité du risque. Le dispositif de gestion de risque s’inscrit dans l’organisation de l’entreprise (A) ; l’action et la prévention sont les deux instruments utilisés par le risk manager dans sa mission de maîtrise du risque (B). |
