1 Le risque
1.1 Historique
Les opportunités et les menaces sont les deux côtés de la même pièce appelée risque. Quand l’issue est favorable on parle d’opportunité, quand l’issue est défavorable on parle de menace.
Il y a environ 5200 ans dans la région de l’Euphrate, un groupe appelé Asipu était consultant en analyse du risque pour la prise de décisions risquées ou incertaines.
Toute décision comporte un risque. Peter Barge
En Mésopotamie, il y a environ 3900 ans l'assurance a débuté comme l'une des plus anciennes stratégies de gestion du risque. La prime de risque pour les pertes de navires et de cargaison dans les contrats de base était formalisée dans le code d’Hamurabi.
Il a y plus de 2400 ans Périclès parle comment prendre des risques et les évaluer avant de réaliser une action. Son compatriote Socrate définit eikos (possible, probable) comme «vraisemblance à la vérité».
Blaise Pascal et Pierre de Fermat ont jeté les bases de la théorie de la probabilité dans les années 1650 ce qui a ouvert la porte à l’évaluation quantitative du risque.
Pierre Simon de Laplace a développé en 1792 une analyse du risque avec ses calculs de la probabilité de décès avec et sans vaccination antivariolique.
La gestion du risque est relativement récente. Par exemple, l'accord de Bâle II sur les exigences de gestion du risque dans le secteur bancaire date de 2004. Quelques normes prescriptives (non certifiables) sur le risque sont apparues au début du XXI siècle (cf. le § 2.2).
La crise financière mondiale de 2008 a remis en question la contribution de la gestion du risque. Certains ont dit que les méthodes de gestion du risque n'ont pas réussi à éviter cette crise. Mais l’analyse révèle que cet échec est surtout dû :
- au manque d’une analyse équilibrée des bénéfices élevés et les risques encourus
- au mauvais jugement de l’improbabilité de certains événements (niveau du risque mal quantifié) basé sur des modèles financiers imprudents
- à la faible surveillance des paramètres clés
- à la compréhension divergente des différents acteurs sur le goût du risque et l’attitude face au risque
- à l'effondrement des marchés monétaires de gros non anticipé par les modèles de crédit utilisés par certaines banques
L'avenir ne peut pas être prédit
Mais le risque qui résulte de l'incertitude peut être géré. La capacité à identifier le risque, à l’analyser, à l’évaluer, puis à agir en conséquence est à la base de la gestion du risque.
Une difficulté dans la gestion du risque provient du fait que l’événement concerné (le dommage) se situe dans le futur. Il faut imaginer un événement qui n’aura peut-être jamais lieu.
Le risque zéro n’existe pas
Depuis quelques décennies la majorité des entreprisesstructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) a pris conscience que les coûts de la mise en place de la gestion du risque sont dérisoires comparés aux conséquences défavorables ou même aux assurances à contracter.
L’objectif principal de la gestion du risque est d’assurer la survie de l’entreprisestructure qui satisfait un besoin (voir aussi ISO/IEC Guide 2, 4.2 et ISO 26 000, 2.12) en toutes circonstances.
La gestion du risque a été considérée dans le passé par certains responsables comme quelque chose de superflu. Ces personnes pensaient que l’objectif principal était d’éviter le risque. Depuis beaucoup ont compris que le risque est inévitable et intrinsèque à toute activité mais doit être réduit à un niveau acceptable.
Le risque ne peut être éliminé
La gestion du risque est devenue une nécessité incontournable, même la norme ISO 9001 (systèmes de management de la qualité – exigences) depuis la version 2015 a inclus l’approche par les risques (risk-based thinking).
1.2 Domaine
- les principes (cf. chapitre 4)
- le cadre (cf. chapitre 5)
- le processus (cf. chapitre 6)
- les outils (cf. chapitre 7)
Le domaine du risque inclut :
- la structure de l’entreprise
- le système de management
- le département
- le processus
- le produit
- le service
- le projet
- la performance
- la fiabilité
- les coûts, cf. annexe 01
- le calendrier
- les méthodes
- la technologie
- les exigences
- les spécifications y compris les critères d'acceptation
- les fonctionnalités
- les outils
- les prestataires externes
- les tests
Dans ce module ne sont pas inclus spécifiquement les risques comptables et les risques extrêmes liés :
- aux crises financières
- à l’assurance
- aux catastrophes naturelles
- aux pandémies
- aux maladies professionnelles
- à la protection de l’environnement
- aux crises alimentaires
- aux actes terroristes
- à la fraude fiscale
- aux pièces de contrefaçon
- à la corruption
Après avoir identifié, analysé et évalué les risques qui pourraient perturber la représentation, la direction doit décider quelles actions appliquer pour réduire les chances d'annulation.
La gestion du risque est utilisée dans de nombreux domaines :
- l’assurance
- la banque
- l’armée
- l’énergie
- l’aérospatial
- les projets
- les dispositifs médicaux
- la médecine
- l’entreprise
- la construction
- les marchés
1.3 Bénéfices
- amélioration de la confiance des parties prenantes
- amélioration de la performance globale de l’entreprise
- amélioration de la réputation de l’entreprise
- amélioration de la résilience de l’entreprise
- appréciation améliorée des opportunités et des menaces
- augmentation de la vraisemblance d'atteindre les objectifs
- augmentation des opportunités à saisir
- création de la valeur pour l’entreprise
- diminution des pertes
- établissement d’un cadre adéquat pour la de mise en place de façon maîtrisée de toute activité
- établissement d’une base fiable pour la prise de décisions
- identification des lacunes
- moins de travail à refaire
- obtention d’un avantage concurrentiel
- optimisation de l’utilisation des ressources
- protection du patrimoine de l’entreprise
- réaction efficace aux changements
- réduction des coûts et des délais
- réduction des surprises opérationnelles
- respect scrupuleux des exigences légales
- visibilité accrue des responsabilités de chaque membre du personnel
Le plus grand des risques est de n'en prendre aucun !
Causes premières des échecs :
- activités imprévues
- changement de priorité
- communication des résultats irrégulière
- confiance en soi excessive
- critères d'acceptation mal définis
- exigences mal comprises
- manque de ressources
- mauvaise estimation de l'effort
- mauvaise répartition du travail
- modification du produit non planifiée
- nouvelles méthodes et technologies incomprises
- objectifs irréalistes
- problèmes d’industrialisation
- problèmes de conception
- problèmes techniques imprévus
- rapports d’avancement sporadiques et inexacts
- risques non identifiés
- soutien insuffisant de la direction
- spécifications conflictuelles ou incohérentes
Appliquer en amont la gestion du risque coûte 10 fois moins cher que de gérer une crise
Le coût de la gestion du risque dans la vie d’un produittout résultat d'un processus ou d'une activité (voir aussi ISO 9000, 3.4.2) est montré dans la figure 1-1.
Figure 1-1. Le coût et la vie du produit
Qui s’excuse s’accuse
Excuses courantes pour expliquer un échec :
- c’était de la responsabilité de la direction
- ce n’était pas une exigence explicite dans le contrat
- comment avoir un plan efficace face à tellement de problèmes potentiels
- donnez-moi assez de temps et tout sera réglé
- en cas de situation d’urgence grave l’implication sera tout autre
- il n’y avait pas assez de temps
- il n’y avait pas de personnel disponible
- il y a des choses plus importantes à faire
- j’étais sûr que nous pourrions faire face
- je ne me suis pas rendu compte que c'était si grave
- je ne pensais pas que c’est un processus clé
- je ne pensais pas que cela arriverait
- l’assurance devait prendre cette situation en charge
- le contrat était déjà signé
- vous ne pouvez pas planifier l'imprévu
Une liste de succès et d’échecs de la gestion du risque se trouve dans l’annexe 02.
Minute de détente. Jeu : Risque