La notion de “risque” est majoritairement utilisée pour parler de Santé et de Sécurité au Travail (SST). Toutefois, les entreprises, quel que soit le secteur d’activité sont confrontées à des challenges bien plus diversifiés. Qualité, stratégie, politique, climat, responsabilité sociétale, autant de sujets que les organisations doivent prendre en compte et maîtriser. Outre le DUERP, bien connu en matière de SST, la cartographie des risques est l’outil incontournable dans l’évaluation des risques et opportunités au sens large.
A quoi sert une cartographie des risques ? Comment la mettre en œuvre ? Comment l’optimiser ? On vous éclaire.
Complémentaire au DUERP, la cartographie des risques est un incontournable pour anticiper toute défaillance qui pourrait intervenir au sein d’une activité, d’un processus, d’un choix stratégique. En pratique, il n'est pas toujours évident d’avoir une vision d’ensemble de la cartographie des processus internes et la mise en place d’un groupe de travail s’avère indispensable. Dans cet article, on se focalise sur la cartographie des risques pour bien comprendre comment la structurer et l’intégrer dans une démarche globale d’amélioration continue.
L’analyse des risques en entreprise
Qu’est-ce que le risque ?
Avant d’aborder la cartographie des risques il est important de refaire le point sur la notion de “risque”.
- Si on parle de Santé et Sécurité au Travail, on peut définir le risque comme étant la probabilité d’interaction entre un danger et son environnement (humain, matériel, environnemental).
- Si l’on parle de “risque” au sens large, on peut parler de probabilité d'occurrence d'un événement indésirable pouvant avoir des conséquences préjudiciables pour l’activité de l’entreprise. On englobe ici les risques politiques, stratégiques, relatifs à la qualité de service et à la satisfaction de l'ensemble des parties prenantes de l’entreprise.
La cartographie des risques
A la différence du DUERP bien connu pour évaluer les risques liés à la Santé et à la Sécurité au Travail, on peut aborder la cartographie des risques selon deux approches complémentaires : Une approche “stratégique” et une approche “qualité”.
- D’une part, la pression européenne avec la nouvelle directive CSRD impose aux entreprises de maîtriser leur responsabilité sociétale et de réduire leur empreinte carbone pour contribuer aux efforts internationaux de lutte contre le réchauffement climatique. On parle ici de Responsabilité Sociétale des Entreprises (RSE) avec une évaluation des risques et opportunités politiques et stratégiques.
- D’autre part, les entreprises peuvent s’appuyer sur la norme internationale ISO 9001 relative au Management de la qualité. Elle introduit la cartographie des risques associée à la qualité de gestion et de maîtrise des processus internes et externes, à la gestion documentaire, ainsi qu’à la satisfaction du consommateur.
La cartographie des risques est donc un outil d’amélioration continue qui va analyser et évaluer l’ensemble des processus de l’entreprise.
Regardons étape par étape comment cette cartographie peut être mise en place.
Découvrez le 
Comment mettre en œuvre sa cartographie des risques ?
La cartographie des risques est un outil de pilotage incontournable en entreprise, aussi bien pour les activités opérationnelles que pour le pilotage stratégique. Elle doit être réactualisée à toute évolution notable de la réglementation, des activités ou de l’environnement de l’entreprise ou de son positionnement sur les marchés.
Pour illustrer les différentes étapes de mise en œuvre de la cartographie des risques, nous pouvons nous appuyer sur le cas pratique suivant :
Retard d’approvisionnement en matière première
Étape 1 - Déterminer les rôles et responsabilités de chacun
Le travail de cartographie des risques va être conduit par un groupe de travail pluridisciplinaire, le périmètre de la cartographie va être défini. On peut s’appuyer sur une gestion de projet à l'aide d’un diagramme de Gantt pour bien cadrer les missions, les délais et les objectifs. Pour chaque risque, un pilote chargé de son suivi va être attribué.
En pratique, pour les entreprises sont dépendantes de l'approvisionnement en matière première, le risque de pénurie ou de retard de livraison est courant et le groupe de travail travaille pour anticiper le risque et pallier cette éventualité. L’objectif : éviter une cessation d’activité. Ainsi, la première étape lorsque le fournisseur avertit l’entreprise du retard de livraison pour cause de pénurie de matériaux est de remonter l’information auprès du groupe de travail, du magasin et du responsable de production pour les avertir.
Étape 2 - Faire un état des lieux des risques inhérents à l’activité
Pour dresser un état des lieux exhaustif, l’idée est de recenser les risques déjà existants et connus de l’entreprise ou du secteur d’activité. Des observations sur le terrain sont nécessaires ainsi que l’implication de l’ensemble des salariés pour bien comprendre les enjeux de leurs activités et les risques qu’ils rencontrent au quotidien. Au-delà d’un travail d’investigations, ce sont eux les porte-paroles chargés de diffuser les bonnes pratiques ou de remonter toute anomalie ou non-conformité constatée.
L’analyse des risques a priori permet de prévoir à l’avance et d’anticiper les risques qui pourraient se produire. A l’inverse, l’analyse des risques a posteriori est une méthode d’analyse des risques suite à un événement indésirable (non conformité, réclamation client, incident, accident…)
En pratique, dans notre situation, les pénuries et retard d’approvisionnement sont bien connus du secteur d’activité. Même si l’entreprise n’a pas forcément été concernée jusqu'alors, on peut réaliser une analyse à posteriori basée sur la connaissance du risque sectoriel. Il va falloir prévoir un plan d’action interne pour que cette situation n’impacte pas ou peu la bonne marche de l’entreprise.
Étape 3 - Définir le niveau de criticité des risques
L’objectif est de prioriser les risques selon leur niveau de gravité et de fréquence.
On peut se baser sur une échelle de gravité en 5 niveaux mais chaque entreprise est libre d’évaluer son risque comme elle l’entend.
- Gravité mineure : peu de conséquences
- Gravité significative : incident avec conséquences temporaires
- Gravité majeure : incident avec impact notable sur l'activité
- Gravité critique : conséquences importante sur le maintien des activités
- Gravité catastrophique : conséquences très graves pouvant jusqu’à l’arrêt définitif des activités
Il en va de même pour l’échelle de fréquence que l’on peut définir également en 5 niveau :
- Improbable / Jamais vu
- Très peu probable : 1 fois tous les 10 ans
- Peu probable : 1 fois par an
- Probable : 1 fois par mois
- Très probable : chaque semaine
La note de criticité résulte alors du produit de la fréquence par la gravité.
Criticité = Fréquence x Gravité
En pratique, dans notre cas, la probabilité d'occurrence d’un retard d’approvisionnement est relativement fréquent. Sans expérience en la matière, cette problématique peut avoir un impact notable sur la bonne marche des activités. On note que le risque est probable (fréquence = 4) et critique (gravité = 4).
La note de criticité s’élève donc à 16 (4 x 4).
Toutefois, l’entreprise connaissant ce risque, des mesures préventives ont déjà été prises. Un coefficient de maîtrise du risque va donc être appliqué par la suite.
Étape 4 - Formaliser la cartographie des risques
Il n’y a pas de formalisation officielle d’une cartographie des risques. tableau, logigramme, chacun est libre de l’illustrer à sa manière. Généralement, un code couleur est adopté pour rendre la cartographie plus visuelle. On distingue alors :
- les risques acceptables (vert)
- les limites d’acceptation à surveiller (orange)
- les risques non acceptables à traiter en priorité (rouge)
Diagramme de Farmer
En pratique, lors de l’évaluation du risque, le groupe de travail obtient une criticité s’élevant à 16. Selon le code couleur utilisé lors de l’élaboration de leur cartographie des risques, l’équipe estime que ce risque de retard d'approvisionnement en matière première est non acceptable (rouge) et donc à traiter en priorité.
Étape 5 - Mettre en place un plan d’action
Les résultats de la cartographie des risques conduisent à la mise en œuvre d’un plan d’action. L’objectif est de supprimer le risque à la source, ou du moins le réduire et minimiser les conséquences.
Le plan d’action doit être déployé de manière à hiérarchiser les actions et les prioriser. Il peut s’agir de mise à jour de processus, de nouveaux éléments de contrôle à mettre en place ou d’un plan de secours pour faire face à une situation imprévue. La mise en place d'une action entraîne une réévaluation de la criticité du risque en fonction du niveau de maîtrise du risque.
Comme mentionné précédemment, on affecte alors un coefficient de maîtrise des risques à la note de criticité. On parle alors de Criticité résiduelle (Cr), évoluant en fonction du niveau de maîtrise du risque.
Cr = C x Coefficient de maîtrise du risque
Le coefficient de maîtrise du risque peut aller de 0.25, 0.5, 0.75 à 1. Plus il est élevé, moins celui-ci à d’incidence sur la note de criticité, et donc, moins les actions mises en œuvre n’ont impact. Un coefficient de 1 traduit donc un mauvais niveau de maîtrise du risque.
En pratique, le risque de pénurie et de retard d’approvisionnement est courant et donc facile à anticiper. L’entreprise prend donc les dispositions nécessaires pour réduire l’impact d’une telle situation sur son activité. On peut par exemple mettre en place un “stock tampon” qui ne serait utilisé que pour pallier ce genre de situation. Suite à la mise en place de ces mesures, le niveau de criticité va alors baisser.
Le groupe de travail estime que le niveau de maîtrise est correct mais peut encore être amélioré. Il définit un coefficient de maîtrise du risque de 0.5. Il en vient alors une note de Criticité résiduelle de : 16 x 0.5 = 8 (couleur orange, jugé acceptable à l’instant t).
Découvrez le
Comment optimiser son évaluation des risques en entreprise ?
Les difficultés rencontrées sur le terrain
Dans une démarche globale de gestion des risques et de management de qualité, il n’est pas toujours évident de s’octroyer du temps pour analyser et mettre à jour l’ensemble du système de management. Il est pourtant indispensable de réaliser ce travail de fond. En effet, faire l’impasse sur sa cartographie des risques en entreprise peut induire des difficultés organisationnelles conséquentes, des lourdeurs administratives ainsi que des coûts imprévus (ex : coûts de non qualité). En effet, au-delà des risques pour la santé et la sécurité des salariés, l’ensemble du système de management des risques et de la qualité doit reposer sur une structure bien définie et maîtrisée. C’est d'ailleurs une exigence des normes ISO.
Le support des applications dédiées
Un outil dédié est un allié de taille pour lier efficacement votre cartographie des risques à votre plan d’action global. Les mesures de prévention définies suite à l’analyse des risques s'implantent directement dans votre plan d’action global.
Les risques et les actions peuvent être triés selon le processus concerné ou le domaine d’action (SST, Qualité, Gouvernance, RSE…) et des données statistiques automatiquement extraites pour simplifier le suivi des actions et la prise de décision.
Le calcul automatique des notes de criticité, aide à la priorisation des actions et à la définition des délais de résolutions et de relances auprès des pilotes d’action définis. Votre diagramme de Gantt est automatiquement mis à jour et votre cartographie formalisée.
La cartographie des risques représente un levier de performance stratégique et opérationnel. Dans un contexte économique sensible et malmené par diverses menaces sanitaires, cyber et dans une dynamique ambitieuse de neutralité carbone et de digitalisation des process, l’anticipation est le maître mot pour répondre à la réglementation et pérenniser ses activités. Le digital est aujourd’hui un outil décisionnel incontournable pour toute organisation soucieuse de gagner en performance et alléger les démarches administratives.
Gagnez en performance dans l’élaboration de votre cartographie des risques avec BlueKanGo :
Thibaut GILLES
Aucun commentaire