2 Normes et définitions
2.1 Définitions
Définitions, expressions et abréviations
Le début de la sagesse est la définition des termes. Socrate
Un risque peut avoir des impacts négatifs (on parle de menaces) ou bien des impacts positifs (on parle d’opportunités).
Saisir une opportunité c’est prendre des risques, mais ne pas saisir une opportunité peut nous exposer à des risques.
Les définitions du mot risque sont multiples. Quelques exemples :
- combinaison de la probabilité d’occurrence d’un dommage et de sa gravité. ISO 51 (1999)
- combinaison de la probabilité d’un évènement et de ses conséquences. ISO Guide 73 (2002)
- combinaison de la probabilité de la manifestation d'un événement dangereux et de la gravité de la lésion ou de l'atteinte à la santé causée à des personnes par cet événement. ILO-OSH (2001)
- danger éventuel plus ou moins prévisible. Le Petit Robert
- description d'un événement spécifique qui peut se produire ou non, ainsi que ses causes et ses conséquences. IRM (2013)
- effet de l’incertitude sur l'atteinte des objectifs. ISO Guide 73 (2009)
- effet de l’incertitude. ISO 45001 (2018)
- effet négatif de l’incertitude. Christopher Paris
- espérance mathématique d'une fonction de probabilité d'événements. Daniel Bernoulli
- événement dont l'arrivé aléatoire, est susceptible de causer un dommage aux personnes ou aux biens ou aux deux à la fois. Serge Braudo
- événement éventuel incertain dont la réalisation ne dépend pas exclusivement de la volonté des parties et pouvant causer un dommage. Larousse
- incertitude des résultats, qu'il s'agisse d'une opportunité positive ou d'une menace négative. OGC - UK (2005)
- l’impact futur d’un danger non maîtrisé. Sean Chamberlin
- la mesure du danger. Georges-Yves Kervern
- la possibilité que quelque chose se passe qui aura un impact sur les objectifs. AS 4360 (2004)
- la vraisemblance que quelque chose se passe. IFRIMA (1994)
- l'ampleur de la perte potentielle. Evan Picoult
- le risque devrait être proportionnel à la probabilité d'occurrence ainsi qu'à l'étendue de dommage. Blaise Pascal
- probabilité et ampleur d'une perte, d'un désastre ou d'un autre événement indésirable. Douglas Hubbard
Notre préférence :
Risque : vraisemblance d'apparition d'une menace ou d’une opportunité
Identifier le danger c'est se demander qu'est-ce qui pourrait mal se passer
Souvent le risque est assimilé à un danger et utilisé couramment à la place de menace.
L’incertitude et la probabilité sont des notions subjectives avec des quantités fictives.
La probabilité peut être considérée comme mesure de l'incertitude. Si la probabilité peut être mesurée elle est donc reliée à quelque chose qui s’est passé. La vraisemblance est plus générale comme notion car elle peut inclure un effet qui ne s’est jamais passé.
Quelques définitions et abréviations :
Activité : ensemble de tâches pour obtenir un livrable
AMDEC : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité. En anglais FMEA ou FMECA. Démarche de prévention des risques techniques
Analyse du risque : activité de l’appréciation du risque pour comprendre la nature d’un risque et déterminer son impact
Appréciation du risque : processus d'identification, d'analyse et d'évaluation du risque
Benchmarking : technique d'analyse comparative par rapport à un ou plusieurs concurrents
Bilan d'impact sur l'activité (BIA) : analyse de l’impact d’une perturbation sur l’entreprise
Brainstorming : voir Remue-méninges
Continuité d'activité : capacité d’une entreprise à poursuivre la livraison de produits et la fourniture de services durant et après une perturbation
Contrôle : voir inspection
Critères du risque : indices pour évaluer l'importance du risque
Danger : situation pouvant conduire à un incident
Détrompeur : simple équipement anti-erreur pour éviter et ne pas permettre de produire des non-conformités, appelé aussi Poka-yoké
DMTP : durée maximale tolérable de perturbation
Estimation du risque : activités pour affecter des valeurs à la vraisemblance et à l'impact du risque
Evaluation du risque : activités de l'appréciation du risque pour déterminer si le risque est acceptable
Exigence : besoin ou attente implicite ou explicite
Facteur du risque (péril, danger) : élément susceptible de causer un risque
Gaspillage : tout ce qui ajoute des coûts mais pas de valeur
Gestion de la continuité d'activité : méthode visant à assurer qu'en cas de crise les fonctions critiques restent opérationnelles ou le redeviennent le plus vite possible (voir aussi résilience)
Gestion du risque : activités pour restreindre la possibilité que quelque chose se passe mal
Gravité du risque : mesure de l'impact du risque
Identification du risque : activité de l’appréciation du risque pour trouver et décrire les risques
Impact : conséquence d’un événement affectant les objectifs
Incertitude : existence de plus d'une possibilité
Kaizen : du japonais kai - changement, zen - mieux. Amélioration continue pas à pas pour créer plus de valeur et moins de gaspillages. Démarche fondée sur le bon sens et sur la motivation du personnel
Menace : événement incertain pouvant avoir un impact négatif sur les objectifs
Mesure du risque : ensemble de possibilités avec des probabilités et des pertes quantifiées
Niveau du risque : criticité du risque en fonction de l'impact et de la vraisemblance
Non-qualité : écart entre la qualité attendue et la qualité perçue
Opportunité : événement incertain pouvant avoir un impact favorable
PCA : plan de continuité d'activité
Perturbation : incident qui entraîne un dérèglement de la livraison de produits et la fourniture de services
Pilote du risque : personne ayant la responsabilité et l'autorité de gérer le risque
Plan de gestion du risque : mesures planifiées afin de traiter le risque
Poka-yoké : du japonais Poka - erreur involontaire, Yoké - éviter. Voir Détrompeur
Prévention du risque : activités de réduction de la vraisemblance d'apparition du risque
Protection du risque : activités de réduction des impacts du risque
Registre des risques : dossier contenant les informations relatives aux risques identifiés
Remue-méninges : approche d'équipe pour développer des idées et trouver des solutions. En anglais "Brainstorming"
Résilience : capacité à résoudre une crise et à continuer de fonctionner comme avant
Responsabilité :capacité à prendre une décision tout seul
Responsable du PCA : leader du voyage vers la résilience
Sécurité : absence de risque inacceptable
Seuil du risque : limite d'acceptation (au-dessous) ou de non tolérance (au-dessus)
Stratégie : démarche globale pour atteindre des objectifs
Surveillance : ensemble d’actions planifiées pour garantir l'efficacité des mesures de maîtrise
SWOT : de l'anglais Strengths, Weakenesses, Opportunities, Threats ou forces, faiblesses, opportunités, menaces. Outils pour structurer une analyse des risques
Système de management (SM) : ensemble de processus permettant d’atteindre les objectifs (voir aussi ISO 9000, 3.2.2)
Système de gestion du risque (SGR) :ensemble de processus permettant d’atteindre les objectifs risque
Système de management de la continuité d'activité (SMVA) : ensemble de processus permettant d’atteindre les objectifs de continuité d'activité
Système : ensemble de processus interactifs
Traitement du risque : activités de modification du risque
Vraisemblance : possibilité que quelque chose arrive
Dans la terminologie des systèmes de management ne pas confondre :
- accident et incident
- l’accident est un événement imprévu grave
- l’incident est un événement qui peut entraîner un accident
- anomalie, défaillance, défaut, dysfonctionnement, gaspillage, non-conformité et rebut
- l'anomalie est une déviation par rapport à ce qui est attendu
- le défaut est la non-satisfaction d'une exigence liée à une utilisation prévue
- la défaillance c'est quand une fonction est devenue inapte
- le dysfonctionnement est un fonctionnement dégradé qui peut entraîner une défaillance
- le gaspillage c'est quand il y a des coûts ajoutés mais pas de valeur
- la non-conformité est la non-satisfaction d'une exigence spécifiée en production
- le rebut est un produit non conforme qui sera détruit
- audit, audité, auditeur et inspection
- l'audit est le processus d'obtention des preuves d'audit
- l'audité est celui qui est audité
- l'auditeur est celui qui effectue l'audit
- l'inspection est la vérification de conformité d'un processus ou produit
- cause et symptôme
- la cause est la circonstance entraînant une défaillance
- le symptôme est le caractère lié à un état
- cartographie et organigramme
- la cartographie est la présentation graphique des processus et leurs interactions dans une entreprise
- l'organigramme est la présentation graphique des départements et leurs liens dans une entreprise
- client, prestataire externe et sous-traitant
- le client reçoit un produit
- le prestataire externe procure un produit
- le sous-traitant procure un service ou un produit sur lequel est réalisé un travail spécifique
- danger, problème et risque
- le danger c'est l'état, la situation, la source qui peut aboutir à un accident
- le problème c'est l'écart entre la situation réelle et la situation souhaitée
- le risque est la mesure, la conséquence d'un danger et c'est toujours un problème potentiel
- efficacité et efficience
- l'efficacité est le niveau d'obtention des résultats escomptés
- l'efficience est le rapport entre les résultats obtenus et les ressources utilisées
- exactitude et précision
- l'exactitude est une mesure avec une faible erreur systématique
- la précision est une mesure avec une faible erreur aléatoire
- informer et communiquer
- informer c’est porter une information à la connaissance de quelqu’un
- communiquer c’est transmettre un message, écouter la réaction et dialoguer
- gestion du risque et de crise
- la gestion du risque c'est comme faire de la prévention des incendies
- la gestion de crise c'est comme éteindre le feu
- maîtriser et optimiser
- la maîtrise est le respect des objectifs
- l'optimisation est la recherche des meilleurs résultats possibles
- objectif et indicateur
- l'objectif est un engagement recherché
- l'indicateur est l'information de la différence entre le résultat obtenu et l'objectif fixé
- prévention et protection, cf. figure 2-1
- la prévention ce sont les moyens permettant de diminuer la vraisemblance et la fréquence d'apparition d'un risque (vérifier la pression des pneus)
- la protection ce sont les moyens permettant de limiter l'impact d'un risque (attacher sa ceinture de sécurité)
- probabilité, incertitude et vraisemblance
- la probabilité exprime l'analyse quantitative de l'incertitude
- l'incertitude c'est l'imprécision de prévoir
- la vraisemblance exprime l'analyse qualitative de l'incertitude
- processus, procédure, produit, procédé, activité et tâche
- le processus est la façon de satisfaire le client en utilisant le personnel pour atteindre les objectifs
- la procédure est la description de la façon dont on devrait se conformer aux règles
- le produit est le résultat d'un processus
- le procédé est la façon d'exécuter une activité
- l'activité est un ensemble de tâches
- la tâche est une suite de simples opérations
- suivi et revue
- le suivi est la vérification d'atteinte de résultats d'une action
- la revue est l'analyse de l'efficacité à atteindre des objectif
Figure 2-1. La prévention et la protection
Remarque 1 : entre gestion du risque et management du risque notre préférence est pour gestion du risque
Remarque 2 : entre apparition et occurrence notre préférence est pour apparition
Remarque 3 : entre pilote du risque et propriétaire du risque notre préférence est pour pilote du risque
Remarque 4 : entre vraisemblance (likelihood) et probabilité (probability) notre préférence est pour vraisemblance (d’apparition)
Remarque 5 : entre domaine d’application et périmètre d’application (en anglais scope) notre préférence est pour domaine d’activité
Remarque 6 : entre surveillance (en anglais monitoring) et suivi notre préférence est pour surveillance
Remarque 7 : entre processus et procédé notre préférence est pour processus (en anglais « process »).
Remarque 8 : le mot anglais « organization » est traduit par organisme dans certaines normes (ISO 9001, ISO 31000) et par organisation dans d’autres normes (ISO 2600, EFQM) et institutions (ISO, ONU, OTAN). Pour éviter la confusion avec organisme de certification notre préférence est pour le terme entreprise
Remarque 9 : le mot anglais « control » a plusieurs sens. Il peut être traduit par maîtrise, autorité, commande, gestion, contrôle, surveillance, inspection. Pour éviter des malentendus notre préférence est pour maîtrise et inspection au détriment de contrôle.
Remarque 10 : chaque fois que vous utiliserez l’expression « opportunité d’amélioration » à la place de non-conformité, dysfonctionnement ou défaillance vous gagnerez un peu plus la confiance de votre interlocuteur (client externe ou interne).
Remarque 11 : l’important est de définir et d’utiliser un langage commun et sans équivoques.
Pour d’autres définitions, commentaires, explications et interprétations que vous ne trouvez pas dans ce module et l’annexe 06 vous pouvez consulter :
- Electropedia de l’IEC
- Plateforme de consultation en ligne (OBP) de l’ISO
Les icônes utilisées dans ce module :
- explication, exemple, détail, règle
processus
procédure (documentée)- enregistrement
blague.jpg)
jeu
écart à éviter
Minute de détente. Jeu : Danger
2.2 Normes
Quelques normes et référentiels liés à la gestion du risque et la continuité d'activité
Il ne peut y avoir d'améliorations là où il n'existe pas de normes. Masaaki Imai
Normes et référentiels liés aux risques et la continuité d’activité (par ordre chronologique) :
- AS 4360 (1995) : Risk management (Gestion du risque)
- ANAO Better Practice Guide (2000), Business Continuity Management—Keeping the wheels in motion (Guide de meilleures pratiques, Gestion de la continuité d’activité : garder les roues en mouvement)
- BSI PAS 56 (2003), Guide to Business Continuity Management (Guide du management de la continuité d’activité)
- HB 221 (2004), Business Continuity Management (Gestion de la continuité d’activité)
- NFPA 1600 (2004), Standard on Disaster/Emergency Management and Business Continuity Programs (Norme sur les programmes de gestion des catastrophes/urgences et de continuité des activités)
- BS 25999-1 (2006), Business Continuity Management – Part 1: Code of Practice (Gestion de la continuité d’activité, Partie 1, code de pratique)
- FD X50-252 (2006), Management du risque - Lignes directrices pour l'estimation des risques
- BS 25999 – 2 (2007), Business continuity management – Specification (Gestion de la continuité d’activité, Partie 2, Spécification)
- ISO/PAS 22399 (2007), Sécurité Sociétale – Lignes directrices pour être préparé à un incident et gestion de continuité opérationnelle
- SI 24001 (2007) Organizational resilience management system (ORMS) – Requirements and guidance for use (Système de gestion de la résilience organisationnelle (SGRO) – Exigences et conseils d’utilisation)
- ISO Guide 73 (2009), Management du risque - Vocabulaire
- ANSI/ASIS SPC1 (2009), Organisational Resilience : Security, Preparedness, and Continuity Management Systems – Requirements with Guidance for Use (Résilience organisationnelle : systèmes de gestion de la sécurité, de la préparation et de la continuité – Exigences avec conseils d'utilisation)
- SS 540 (2008), Singapore Standard for Business Continuity Management (BCM) (Norme de Singapour pour la gestion de la continuité d’activité)
- ANSI/ASIS/BSI BCM.01 (2010), Business Continuity Management Systems : Requirements with Guidance for Use (Systèmes de gestion de la continuité d’activité : exigences et conseils d'utilisation)
- BP Z74-700 (2011), Référentiel de bonnes pratiques, Plan de Continuité d'Activité (PCA)
- ISO/IEC 27031 (2011), Technologies de l'information - Techniques de sécurité - Lignes directrices pour la préparation des technologies de la communication et de l'information pour la continuité d'activité
- ISO 22398 (2013), Societal security, Guidelines for exercises (Sécurité sociétale, Lignes directrices pour exercice)
- FD X50-259 (2014), Management du risque - Plan de continuité d'activité (PCA) - Démarche de mise en place et de maintien
- BS 11200 (2014), Crisis management - Guidance and good practice (Gestion des crises - Guide et bonnes pratiques)
- FD X50-259 (2014), Fascicule de documentation - Management du risque - Plan de continuité d'activité (PCA) - Démarche de mise en place et de maintien
- BS 65000 (2014), Guidance on organizational resilience (Guide sur la résilience organisationnelle)
- ISO 22316 (2017), Security and resilience - Organizational resilience - Principles and attributes (Sécurité et résilience - Résilience organisationnelle - Principes et attributs)
- ISO 31000 (2018), Management du risque – Lignes directrices
- ISO 19011 (2018), Lignes directrices pour l'audit des systèmes de management
- ISO/TS 22330 (2018), Sécurité et résilience - Systèmes de gestion de la poursuite des activités - Lignes directrices concernant les aspects humains de la poursuite des activités
- ISO/TS 22331 (2018), Sécurité et résilience - Systèmes de management de la continuité des activités - Lignes directrices relatives à la stratégie de continuité d'activité
- ISO 22320 (2018), Security and resilience, Emergency management, Guidelines for incident management (Sécurité et résilience, Gestion des urgences, Lignes directrices pour la gestion des incidents)
- ISO 22301 (2019) : Sécurité et résilience - Systèmes de management de la continuité d'activité - Exigences
- IEC 31010 : 2019, Management du risque - Techniques d'appréciation du risque
- ISO 22313 (2020) : Sécurité et résilience — Systèmes de management de la continuité d'activité — Lignes directrices sur l'utilisation de l'ISO 22301
- AS/NZS 5050(Int) (2020), Managing disruption-related risk (Gérer les risques liés aux perturbations)
- BS 31100 (2021), Risk management. Code of practice (Gestion du risque. Code de pratique)
- ISO 22300 (2021), Sécurité et résilience, Vocabulaire
- ISO/TS 22317 (2021), Sécurité et résilience - Systèmes de management de la continuité d'activité - Lignes directrices pour le bilan d'impact sur l'activité
- ISO/TS 22318 (2021), Sécurité et résilience - Systèmes de management de la continuité d'activité - Lignes directrices pour le management de la continuité de la chaîne d'approvisionnement
- CSA Z1600:F17 (2022), Programme de gestion des urgences et de la continuité
- ISO 22322 (2022) Security and resilience, Emergency management, Guidelines for public warning (Sécurité et résilience, Gestion des situations d'urgence, Lignes directrices relatives aux mises en garde de la population)
- ISO/IEC 27001 (2022), Sécurité de l'information, cybersécurité et protection de la vie privée - Systèmes de management de la sécurité de l'information - Exigences
.jpg)
Minute de détente. Jeu : Normes
2.3 Livres
Livres liés à la gestion du risque, à la continuité d'activité et aux plans de continuité d'activité
.jpg)
Frank Knight, Risk, Uncertainty And Profit, Dover, 1921, University of Chicago Press (Le risque, incertitude et profit)
Edwards Deming, Hors de la crise, Economica, 1991
Clusif, Comment gérer les risques dans l'entreprise, Dunod, 1993
Daniel Guinier, Catastrophe et management, plans d'urgence et continuité des systèmes d'information, 1995
Peter Bernstein, Against the Gods: The Remarkable Story of Risk, John Wiley & Sons, New York, 1998 (Contre les Dieux : L'histoire remarquable du risque)
Michael Gallagher, Business Continuity Management - How to Protect Your Company from Danger, Prentice Hall, 2002 (Gestion de la continuité d’activité – Comment protéger votre enterprise des dangers).jpg)
Nancy Tague, The Quality Toolbox, ASQC Quality Press, 2005 (La boîte à outils qualité)
Emmanuel Besluau, Management de la continuité d’activité, Eyroles, 2008
Douglas Hubbard, The Failure of Risk Management: Why It's Broken and How to Fix It, Wiley, 2009 (L'échec de la gestion du risque: pourquoi c’est cassé et comment le réparer)
Jean-Claude Serre, Managers, osez le management par les risques: Pour réussir en période de crise !, AFNOR, 2009
Pascal Kérébel, Management des risques, Eyrolles, 2009
Matthieu Bennasar, Plan de continuité d'activité et système d'information - Vers l'entreprise résiliente, DUNOD, 2010
Jean-Luc Wybo, Maîtrise des risques et prévention des crises : anticipation, construction de sens, vigilance, gestion des urgences et apprentissage, Lavoisier, 2012
Bernard Carrez, Antonio Pessoa, Alexandre Planche, Plan de Continuité d'Activité - Concepts et démarche pour passer du besoin à la mise en œuvre du PCA, ENI, 2013
Jean-Paul Louisot, Risk Management et stratégie selon la norme ISO 31000 - Les bénéfices de l'intégration de l'ERM dans les processus stratégiques, AFNOR, 2016
Jean-David Darsa, La gestion des risques en entreprise: Identifier, comprendre, maîtriser, Gereso, 2016
Laurent Combalbert, Le management des situations de crise : anticiper les risques et gérer les crises, ESF, 2018
Cécile Weber, Plan de continuité des activités et gestion de crise, AFNOR, 2020
FAP, PCA par ci, PCA pas là ! - Regards croisés sur le plan de continuité d’activité, Les Éditions du NET, 2020
collectif, ISO 22301 A Complete Guide - 2021 Edition, The Art of Service, 2020 (ISO 22301 – Un guide complet, edition 2021)
James Crask, Business Continuity Management: A Practical Guide to Organizational Resilience and ISO 22301, Kogan Page, 2021 (Gestion de la continuité d’activité: Un guide pratique de résilience d’entreprise et ISO 22301)
Jean-Pierre Galland, La gestion des risques - Origines, succès et limites du risk management, L'Harmattan, 2022
Stéphane Hesschentier, Systèmes de Management de la Continuité d’Activité - Meilleures pratiques et mise en œuvre de la norme ISO 22301, ENI, 2023