Table des matières
Normalement, l’évaluation des risques n’est pas considérée comme une phase distincte du processus de gestion des crises, mais plutôt comme un élément de la prévention. Néanmoins, l’évaluation des risques est importante en tant que base d’une gestion de crise réussie, car pour pouvoir désamorcer ou même prévenir une crise, il faut d’abord connaître les risques. L’évaluation des risques joue également un rôle décisif dans d’autres domaines du cycle de gestion des crises, que nous avons déjà brièvement présentés dans la partie 2 de notre série de blogs.
Il est tout aussi insensé de se préparer sans discernement à n’importe quel risque que d’essayer, par exemple, de mettre en place des systèmes de surveillance et d’alerte précoce pour tous les risques existants. Même dans le cadre de la gestion des crises, l’évaluation des risques ne fournit pas seulement des informations sur un risque qui s’est concrétisé, mais met également en évidence les risques associés. Ceux-ci peuvent, s’ils ne sont pas pris en compte dans la stratégie d’adaptation, entraîner des effets indésirables en cascade ou des effets secondaires. Plus tard, au cours de la phase de rétablissement et de reconstruction, l’évaluation des risques fournit des informations sur l’affectation adéquate des ressources. L’apprentissage après une crise, une catastrophe ou une situation d’urgence est à nouveau l’élément qui alimente l’évaluation future des risques. Dans l’ensemble, l’évaluation des risques est donc essentielle pour comprendre et gérer la gestion des crises.
Passons maintenant aux détails.
L’évaluation des risques
Qu’est-ce que l’évaluation des risques ? Le vocabulaire associé est à lui seul extrêmement confus. Qu’il s’agisse d’évaluation des risques, d’analyse des risques, d’évaluation des risques ou de gestion des risques, il ne semble pas y avoir de consensus sur la signification exacte de ces termes. En fait, ils sont souvent utilisés de manière interchangeable avec des significations différentes.
Malgré cette ambivalence, le domaine de l’évaluation des risques est devenu, ces dernières années, le sujet d’organismes de normalisation autorisés, en particulier l’ISO. La famille de normes ISO 31000 est la pièce maîtresse de cet effort de normalisation. Une caractéristique importante de l’approche ISO est qu’elle vise à cartographier un processus multidisciplinaire et générique qui n’est pas lié à un type spécifique d’organisation mais qui peut être utilisé dans tous les domaines.
Selon la norme ISO 31000, la gestion des risques est le concept global qui fait référence à toutes les activités coordonnées pour gérer et contrôler une organisation en ce qui concerne les risques. La norme est conçue pour être dynamique, répétitive et réactive au changement. Cet objectif est atteint grâce à la pratique de l’ISO, selon laquelle les normes font toujours l’objet d’un réexamen périodique après un certain nombre d’années. Néanmoins, la famille de normes ISO 31000 ne fournit qu’un cadre général pour l’évaluation (et la gestion) des risques et doit toujours être adaptée aux besoins spécifiques et divers de chaque organisation.
Abordons maintenant l’une des questions les plus fondamentales de la gestion des risques :
Qu’est-ce qu’un risque ?
Le risque est l’effet cumulatif de la probabilité d’événements positifs ou négatifs incertains. Ce qui frappe dans cette définition, c’est qu’un risque ne doit pas nécessairement être exclusivement négatif. L’approche ISO de la gestion des risques est cohérente avec cette double compréhension du risque en tant que menace et opportunité. Ainsi, le risque est également considéré dans le langage ISO comme “l’effet de l’incertitude sur les objectifs “, qui peut être soit négatif, soit positif, soit les deux (ISO 31000:2018). La citation de l’économiste américain Paul Romer “Une crise est une chose terrible à gaspiller. “ s’inscrit bien dans ce contexte. Il peut donc être judicieux de prendre également en compte les conséquences potentiellement positives lors de la définition des risques.
D’un point de vue mathématique, le risque est une combinaison de probabilité et de danger :
Comment les risques sont-ils identifiés ?
L’évaluation des risques comprend les domaines de l’identification, de l’analyse et de l’évaluation des risques. Avant qu’une organisation ne commence à identifier les risques, le contexte ou l’environnement de risque doit d’abord être défini. Il s’agit de la mission, des valeurs et des objectifs généraux, ainsi que des diverses contraintes externes et internes, des perceptions, etc. Les critères de risque doivent également être définis à ce stade.
Identification des risques: L’identification des risques décrit le processus de recherche, d’identification et d’enregistrement des risques sur la base de données historiques. Cependant, il ne s’agit pas seulement de collecter des données, mais aussi de combiner des données quantitatives avec des données qualitatives.
- Analyse des risques:** L’analyse des risques consiste à identifier la nature des risques de manière plus détaillée et, en particulier, à déterminer le niveau de risque en identifiant les probabilités et les conséquences des risques identifiés.
- L’évaluation des risques : les résultats de l’analyse des risques sont comparés aux critères de risque afin de déterminer si le risque est acceptable ou tolérable. Les risques sont également classés par ordre de priorité, en tenant compte des objectifs organisationnels, des exigences réglementaires, des facteurs politiques, financiers et autres, afin de prendre une décision équilibrée sur les actions futures.
L’évaluation des risques en pratique
Jusqu’à présent, nous avons eu une vue d’ensemble des principaux éléments du concept de risque et des trois phases de l’évaluation des risques. Mais comment l’évaluation des risques est-elle effectuée en pratique ? Pour ce faire, nous allons examiner brièvement quelques techniques et méthodes.
Techniques quantitatives
L’une des techniques quantitatives est l’analyse dite Bow-Tie Analysis. Elle combine l’analyse de l’arbre des défaillances et l’analyse de l’arbre des événements. La première se concentre sur l’analyse des causes d’un facteur de risque et la seconde sur les conséquences. Toutefois, les données quantitatives et rétrospectives ainsi que les audits formels ne suffisent pas à identifier les risques de manière adéquate. D’une part, cela s’explique par le fait que les risques attendus peuvent être très différents des dangers antérieurs et doivent d’abord être anticipés. D’autre part, il existe également des risques rares qui ne se produiront jamais mais qui peuvent être plus graves. En outre, outre les risques uniques, il est important de prendre en compte les risques complexes et multiples, où des dangers non liés ou une cascade de crises et de catastrophes se produisent simultanément. Cependant, les risques complexes et multiples sont difficiles à estimer sur la base de statistiques et de données historiques, car ces données ne fournissent pas beaucoup d’indications sur les milliers de coïncidences, d’interdépendances et de liens potentiels et inattendus qui peuvent se produire.
Techniques qualitatives
Pour identifier des risques potentiellement nouveaux ou complexes, il est important d’utiliser des techniques qualitatives en plus des méthodes purement quantitatives. Il s’agit notamment d’un [brainstorming] (https://de.wikipedia.org/wiki/Brainstorming) soigneusement structuré, mené par un petit groupe de personnes clés qui possèdent les connaissances et les informations nécessaires, sur la base du contexte commun d’évaluation des risques. Les entretiens avec des experts et l’auto-évaluation sont également des techniques qualitatives typiques, généralement basées sur des modèles semi-structurés. Les questionnaires et les enquêtes sur les risques peuvent être utilisés par tous les types de publics, y compris les parties prenantes externes et internes. Une analyse SWOT (Strengths, Weaknesses, Opportunities and Threats) est également une bonne technique pour identifier les risques et leurs aspects positifs. Une autre technique utile est l’analyse dite SWIFT (“Structured what-if technique”), qui peut être étudiée par exemple pour illustrer une approche de brainstorming.
Techniques semi-qualitatives
Outre les techniques quantitatives et qualitatives, il existe également des techniques dites semi-quantitatives qui sont utilisées pour décrire l’échelle relative du risque. Par exemple, le risque peut être divisé en catégories telles que “faible”, “moyen”, “élevé” ou “très élevé”. Le nombre de niveaux de risque individuels peut varier de 3 à 10 ou plus. Dans une approche semi-quantitative, différentes échelles sont utilisées pour caractériser la probabilité d’événements indésirables et leurs conséquences. Les méthodes semi-quantitatives d’analyse des risques les plus répandues sont, par exemple, la matrice des risques, le graphique des risques ou les numéros de priorité des risques (DIN V VDE V 0831-101:2011). Étant donné qu’aucun des trois modèles n’est en mesure d’appréhender tous les risques, il est recommandé d’utiliser une bonne combinaison des techniques mentionnées.
Scénarios de risque
L’utilisation de scénarios permet de concrétiser les risques identifiés et peut être utilisée dans toutes les phases de l’évaluation des risques. Fondamentalement, les scénarios illustrent ce à quoi un risque identifié pourrait ressembler dans la réalité. Par exemple, nous connaissons le nombre d’accidents industriels dans une certaine région ou les goulets d’étranglement dans une entreprise, mais seuls des scénarios plus détaillés rendent ces informations utiles pour une évaluation complète des risques dans la pratique. L’élaboration de scénarios sert également de méthode de planification stratégique, en combinant des faits connus tels que le temps, le lieu ou les caractéristiques socio-économiques avec les facteurs de risque les plus importants. Les critères pour les scénarios peuvent être, par exemple, le “meilleur cas”, le “pire cas” et le “cas prévu” par rapport à un danger. Il est également possible de varier les conditions d’un scénario de base afin de couvrir un plus grand nombre de développements possibles.
Matrice des risques
Comme défini ci-dessus, le risque est une combinaison des conséquences et de la probabilité d’occurrence. Cette fonction est souvent présentée sous la forme d’une matrice des risques. La matrice des risques la plus connue dans le domaine de la sécurité au travail est celle de Nohl . Elle présente le risque sous forme de tableau en classant les dangers individuels dans l’un des trois niveaux de risque, en tenant compte de la probabilité que le danger devienne effectif et de la gravité possible des dommages :
Les détracteurs de cette matrice des risques déplorent que les risques individuels ne soient représentés que de manière sélective, tandis que les interactions entre les risques individuels passent inaperçues. En effet, les dangers et les risques de sécurité qui surviennent dans les entreprises sont généralement beaucoup plus complexes que ce que peut représenter une matrice binomiale. En outre, cette représentation implique que l’objectif premier est de limiter la probabilité d’occurrence d’une certaine perte à un minimum tolérable. En réalité, il s’agit d’éviter l’événement qui cause le dommage, et non le dommage lui-même. Malgré les problèmes inhérents à la matrice des risques, celle-ci reste un outil puissant de visualisation ou de prise de décision lorsqu’elle est accompagnée d’explications minutieuses sur les jugements qu’elle contient.
Risques identifiés. Que faire maintenant ?
Résumons brièvement ce que nous avons appris jusqu’à présent : L’évaluation des risques permet notamment de sensibiliser aux risques. Sans une évaluation adéquate des risques, aucune entreprise ne peut gérer les risques liés à ses activités opérationnelles. Ce n’est que lorsque ceux-ci sont identifiés et quantifiés qu’il est possible de prendre des décisions correctes et de planifier des mesures de protection. De nombreuses méthodes et techniques facilitent l’identification des risques. Une fois les risques identifiés et les conclusions tirées, les mesures appropriées à la situation peuvent être planifiées. Vous découvrirez ces mesures dans le prochain épisode de notre série de blogs “Qu’est-ce que la gestion de crise”, partie 4 : la prévention des crises.
