Analyse des risques : un guide complet

Différences entre l’évaluation et l’analyse du risque

L’évaluation des risques n’est qu’une composante de l’analyse du risque. Les autres composantes de l’analyse des risques sont la gestion des risques et la communication des risques. La gestion des risques est le contrôle et l’évaluation proactifs des risques, tandis que la communication des risques est l’échange d’informations sur les risques. Contrairement à l’analyse des risques, l’évaluation des risques est principalement axée sur la sécurité et la sûreté.

Types d’analyse de risque

L’analyse des risques couvrant un large éventail de sujets, il existe de nombreuses approches de l’analyse des risques ou types d’analyse des risques. Il s’agit notamment, mais pas exclusivement, des éléments suivants :

• Analyse du risque et des avantages

Une analyse risques-avantages consiste à peser le pour et le contre (avantages et risques) d’une action. Il aide les dirigeants à décider s’ils doivent ou non poursuivre cette action. Le choix d’une action à haut risque peut conduire à devoir payer plus pour l’assurance ou à une prime d’assurance plus élevée.

• Évaluation des besoins

L’évaluation des besoins est un processus systématique d’identification et d’évaluation des besoins et des lacunes de l’organisation. Elle donne aux dirigeants une idée des lacunes de l’entreprise et les aide à recentrer les ressources pour atteindre les objectifs plus efficacement.

• Analyse de l’impact sur les entreprises

L’analyse de l’impact sur les entreprises implique la planification des perturbations opérationnelles causées par des catastrophes naturelles et d’autres facteurs externes. Elle constitue la base des investissements dans les stratégies de récupération, de prévention et d’atténuation.

• Analyse des modes de défaillance et de leurs effets

L’analyse des modes de défaillance et de leurs effets est une méthode systématique d’anticipation des défaillances potentielles des processus d’entreprise et d’atténuation de leur impact sur les clients. Elle améliore la fiabilité des produits et des services et réduit le coût des défaillances.

• Analyse des causes profondes

L’analyse des causes profondes se concentre sur l’identification et l’élimination des causes profondes pour résoudre les problèmes. Elle contribue à la prévention des problèmes récurrents en ciblant les systèmes inefficaces qui en sont à l’origine. Outre l’analyse des modes de défaillance et de leurs effets, les autres outils d’analyse des causes profondes sont les suivants 5 pourquoi , 8D et DMAIC (qui font partie de Six Sigma).

Méthodologie d’analyse des risques

Il existe deux grandes méthodes d’analyse des risques. La méthode la plus simple et la plus pratique est l’analyse qualitative des risques. L’analyse qualitative du risque évalue ou note le risque en fonction de la perception de la gravité et de la probabilité de ses conséquences. L’analyse quantitative du risque, quant à elle, calcule le risque sur la base des données disponibles.

Les types d’analyse des risques associés à l’analyse qualitative des risques sont tous les outils d’analyse des causes profondes (ACR), à l’exception de l’analyse des modes de défaillance et de leurs effets, de l’évaluation des besoins et de la matrice des risques.

Le tableau d’analyse des risques (ou matrice des risques) est un outil qui permet de calculer le niveau de criticité des risques.

Les types d’analyse des risques inclus dans l’analyse quantitative des risques sont l’analyse de l’impact sur l’entreprise (BIA), l’analyse des modes de défaillance et des effets (FMEA) et l’analyse risques-bénéfices.

Une différence essentielle entre l’analyse qualitative et quantitative des risques est le type de risque que chaque méthode engendre. Pour l’analyse qualitative des risques, il s’agit du risque projeté, qui est une estimation ou une supposition de la façon dont le risque se manifestera. L’analyse quantitative du risque, quant à elle, traite du risque statistique. Contrairement au risque projeté, le risque statistique est spécifique et vérifié. Pour cette raison, il est souvent utilisé dans le calcul des primes d’assurance.

Exemple d’analyse de risque

Bien que l’analyse des risques soit utilisée dans tous les secteurs par des entreprises de toutes tailles et de tous types, certains dirigeants peuvent trouver un exemple d’analyse des risques spécifique à leur secteur plus utile qu’un exemple générique. Voici des exemples d’analyse des risques pour trois grands secteurs d’activité : la construction, le transport et la logistique, et l’industrie.

Exemple d’analyse des risques liés à la construction: Le propriétaire d’une entreprise de construction s’est vu présenter une proposition de projet pour la construction d’une station de luxe. Bien que la poursuite de ce projet puisse donner une bonne presse à l’entreprise, la propriétaire hésite à accepter le projet car son entreprise est spécialisée dans les immeubles résidentiels de moyenne gamme. Se lancer dans ce projet serait à la fois un saut et un défi. Avant de prendre une décision finale, elle effectue une analyse risques-avantages avec son équipe pour voir si les avantages de la poursuite de ce projet l’emportent sur les risques.

Exemple d’analyse des risques liés au transport et à la logistique : Le directeur d’une multinationale de transport maritime s’inquiète de l’impact d’une tempête à venir sur les opérations commerciales. Elle pense que l’entreprise devrait mettre de côté de l’argent pour la récupération après la tempête. Son collègue, cependant, pense différemment. Il soutient que la tempête ne les affectera pas tant que ça. Pour convaincre son collègue et les autres administrateurs, elle réalise une analyse d’impact sur les entreprises et présente ses résultats lors de la prochaine réunion du conseil d’administration.

Exemple d’analyse du risque de fabrication: Un manager nouvellement embauché est chargé de préparer une usine et ses ouvriers à un afflux important de commandes de clients en raison de la saison estivale. Pour comprendre ce qu’il doit faire pour que cette usine parvienne à produire suffisamment d’unités, il effectue une évaluation rapide des besoins en demandant aux travailleurs de répondre à une enquête sur les processus de l’usine.

Comment effectuer une analyse de risque

Pour les dirigeants qui ont déjà décidé du type d’analyse de risque à effectuer, voici les étapes et les instructions sur la façon d’effectuer une analyse de risque pour chaque type :

Comment réaliser une évaluation des besoins

• Étape 1 : Identifier les besoins – Que doit fournir l’entreprise pour réussir ?
• Étape 2 : Évaluer les ressources existantes – Que peut-on utiliser pour réussir ?
• Étape 3 : Identifier les besoins – Qu’est-ce qui manque à l’entreprise et qui est essentiel à sa réussite ?
• Étape 4 : Élaborer un plan d’action – Que faut-il faire pour combler les lacunes et réussir ?

Modèle d’évaluation des besoins

Utilisez ce modèle numérique pour identifier les besoins de l’entreprise/du service, les performances et les besoins d’apprentissage. Il dispose de tous les outils dont les dirigeants ont besoin pour améliorer la gestion de leur entreprise.

Comment réaliser une analyse d’impact sur les entreprises

• Première étape : Rassemblez des informations sur les processus, les finances et la gestion de l’entreprise.
• Étape 2 : Identifier l’objectif de temps de récupération (RTO) ou le temps nécessaire pour rétablir les processus d’affaires après une perturbation. Le RTO permet de déterminer pendant combien de temps l’entreprise peut fonctionner sans les processus opérationnels normaux.
• Étape 3 : Identifier l’objectif du point de reprise (RPO) ou la perte acceptable pour les clients lorsqu’une perturbation se produit. Le RPO permet de déterminer l’impact financier estimé sur l’entreprise.
• Étape 4 : Développez des procédures de contournement de l’entreprise en cas de perturbation.
• Étape 5 : Décidez des besoins de l’entreprise sur la base des informations recueillies lors des étapes précédentes.

Modèle d’analyse d’impact sur les entreprises

Utilisez ce modèle numérique pour évaluer l’impact d’éventuels événements perturbateurs sur les principales fonctions de l’entreprise. Ce modèle comprend une évaluation des pertes en termes d’activités opérationnelles et de revenus. Les dirigeants peuvent l’utiliser pour donner la priorité aux fonctions de récupération en cas de crise.

Comment réaliser une analyse des modes de défaillance et de leurs effets ?

• Étape 1 : Identifier le mécanisme d’échec

Le mécanisme de défaillance (modes de défaillance, effets et causes potentiels) peut être identifié correctement lorsque les responsables de l’AMDE tiennent compte des échecs passés, se mettent d’accord sur certaines hypothèses et établissent des règles de base.

• Étape 2 : Déterminer l’IPR

Le numéro de priorité du risque est utilisé pour classer par ordre de priorité les défaillances potentielles qui nécessitent une planification supplémentaire. C’est le produit de trois facteurs : la gravité, l’occurrence et la détection.

Les dirigeants devraient concentrer leurs efforts d’amélioration sur les défaillances potentielles dans les 20% supérieurs des IPR les plus élevés. Ces modes de défaillance à haut risque doivent être traités par des plans d’action efficaces.

• Étape 3 : Suivi des actions

Après avoir établi et exécuté des plans d’action efficaces, les dirigeants ne doivent pas oublier de revoir continuellement ces plans et les modes de défaillance à haut risque qu’ils abordent.

Modèle d’analyse des modes de défaillance et de leurs effets

Utilisez ce modèle numérique pour identifier les problèmes dans les processus ou les produits. Décrire l’effet potentiel de la défaillance, la cause potentielle et les contrôles actuels. Ajoutez les indices de gravité, d’occurrence et de détection. Enfin, enregistrez l’IPR et signez.

Comment effectuer une analyse des causes profondes

• Étape 1 : Définir le problème – Dans le contexte de l’analyse des risques, un problème est une conséquence observable d’un risque non identifié ou d’une cause première.
• Étape 2 : Sélectionnez un outil – 5 pourquoi , 8D ou DMAIC

5 pourquoi consiste à poser cinq fois la question « pourquoi ». Bien que la méthode 5 Whys soit la plus facile à utiliser, elle peut aussi simplifier les problèmes à l’extrême. 8D signifie les huit disciplines de la résolution de problèmes. Si la méthode 8D offre des solutions à long terme, la mettre en œuvre correctement nécessite une formation approfondie.

DMAIC, quant à lui, est plus complet que 5 Whys, mais aussi relativement plus facile à réaliser que 8D, surtout si la troisième étape (Analyser) est simplifiée.

• Étape 3 : Mettre en œuvre les actions – Traitez la ou les causes profondes identifiées à l’aide de l’outil sélectionné à l’étape précédente en créant et en mettant en œuvre des actions. Ces actions doivent être spécifiques et dirigées vers la ou les personnes les plus à même de les exécuter.

Modèle d’analyse des causes profondes

Utilisez ce modèle numérique pour analyser un problème récurrent et son effet sur la productivité. Dressez la liste des raisons pour lesquelles le problème se produit et évaluez la probabilité qu’elles soient des causes profondes. Une fois qu’une cause fondamentale a été identifiée, choisissez sa catégorie et proposez une stratégie de prévention.

Pour les dirigeants qui n’ont pas décidé d’un type spécifique ou qui souhaitent avoir un aperçu général de la manière d’effectuer une analyse des risques, consultez les étapes ci-dessous :

1. Fixer l’objectif de l’analyse des risques
2. Collecter des données pour identifier les risques
3. Ajouter des valeurs aux risques
4. Identifier les risques les plus prioritaires
5. Élaborer un plan pour atténuer ces risques
6. Suivre le plan jusqu’au bout
7. Examiner l’efficacité du plan

Comment gérer et communiquer les risques

Une façon de gérer efficacement les risques est d’utiliser la norme ISO 31000. ISO 31000 est une référence internationalement reconnue en matière de gestion des risques. Elle peut être résumée en trois règles directrices que les dirigeants doivent suivre :

• La gestion des risques doit être structurée, innovante, inclusive, dynamique, en constante amélioration et adaptée aux objectifs de l’entreprise.
• Les dirigeants doivent intégrer de manière proactive la gestion des risques à tous les niveaux de l’entreprise.
• Les politiques et pratiques de gestion des risques doivent favoriser une communication ouverte sur les risques.

Un autre aspect essentiel de l’utilisation de la norme ISO 31000 est de s’assurer que tous les employés connaissent la norme et/ou ont reçu une formation sur la façon d’appliquer la norme dans leur travail. Si les dirigeants doivent assumer la responsabilité de la gestion globale des risques, ils doivent veiller à ne pas écarter les employés de ce processus. Sans le soutien et la contribution des employés, la mise en œuvre de la norme ISO 31000 sera beaucoup plus difficile qu’elle ne doit l’être.

ISO 31000:2018 Modèle de gestion du risque

Utilisez ce modèle numérique pour établir un cadre solide de gestion du risque basé sur la norme ISO 31000. Faites preuve de leadership en vous engageant dans la gestion des risques. Partager la responsabilité de la gestion des risques avec les autres parties prenantes de l’entreprise, y compris les employés.

Bien qu’il soit recommandé d’adhérer à la norme ISO 31000, celle-ci peut sembler intimidante ou trop compliquée pour les petites entreprises ou celles qui ont moins de ressources à consacrer à la gestion des risques. Une alternative temporaire consiste à utiliser un plan de gestion des risques qui doit comporter les parties suivantes :

• Descriptions de tous les risques identifiés, de leurs conséquences et de leurs causes possibles.
• Un modèle pour estimer la probabilité et la gravité des conséquences (analyse des risques)
• Actions correctives visant à cibler les causes possibles ou à atténuer la gravité des conséquences.

Lorsqu’on utilise un plan de gestion des risques, il peut être utile de disposer d’un modèle de plan de gestion des risques facile à distribuer aux employés et à mettre à jour si nécessaire. Sans modèle, il peut être difficile d’utiliser ou de créer un plan de gestion des risques pour l’ensemble de l’entreprise.

Modèle de plan de gestion des risques

Utilisez ce modèle numérique pour évaluer la probabilité et la gravité des conséquences. Précisez les stratégies d’atténuation prévues et le ou les employés chargés de les mettre en œuvre. Indiquez le coût estimé et le calendrier des mesures d’atténuation.

Gérer les risques avec SafetyCulture (anciennement iAuditor)

SafetyCulture (iAuditor) est une plateforme d’inspection numérique que les entreprises peuvent utiliser pour identifier, analyser, communiquer et gérer efficacement les risques. En collaboration avec Mitti, une compagnie d’assurance axée sur la technologie, SafetyCulture récompense les entreprises qui gèrent leurs risques de manière proactive.

Modèles d’analyse de risque en vedette