3 étapes pour établir un management des risques dans une entreprise

Qu’est-ce que le risk management ? Il s’agit de l’ensemble des moyens mis en place par une entreprise pour prévenir ou pallier la survenue d’un événement grave. Cette mission est confiée à un gestionnaire des risques (risk manager), en interne ou en externe. Car, même si les étapes sont sensiblement identiques quel que soit le secteur d’activité, il faut appliquer une méthodologie adaptée à chaque entreprise. Ce professionnel est qualifié pour identifier les risques, les analyser et développer des actions de gestion de crise. Vous souhaitez en savoir plus sur le management des risques dans une entreprise ? AEA, agence d’expert d’assuré à la Réunion, vous explique quelles sont les étapes-clés et comment faire pour mener à bien son plan de prévention.

1 - L’identification des risques

La première étape en matière de management des risques consiste à déterminer et analyser l’ensemble des facteurs pouvant entraîner un risque pour l’entreprise. Pour ce faire, le risk manager effectue un audit interne, dans lequel il considère les facteurs intrinsèques : activités de l’entreprise, organisation, etc. Il prend également en compte les facteurs extrinsèques, tel que l’environnement, via une étude de marché, par exemple.

Ces facteurs identifiés permettent de classifier les risques en fonction de leur typologie et en fonction de leur nature. 

Les différentes catégories de risques

Les catégories de risques auxquels une entreprise est amenée à faire face sont les suivants :

• humains : que ce soit dans la manipulation d’objets, de machines, provenant d’une communication défaillante, etc. ;
• naturels : ce qui a trait aux catastrophes naturelles. À la Réunion, vous êtes notamment exposé à des cyclones, coulées de boue, éruptions volcaniques et autres ;
• financiers : changement dans les taux de change, fluctuation de la Bourse, perte de parts de marché, diminution du nombre de commandes, arrivée d’un nouveau concurrent sur le marché, ... ;
• politiques : le vote de certaines lois, des changements de réglementation environnementale, fiscale, technique, peuvent avoir un impact sur votre entreprise réunionnaise ;
• sociaux : citons, entre autres, l’augmentation de l’absentéisme, les accusations portant sur des pratiques au sein de l’entreprise, les mouvements de grève.

À noter que le risk manager dispose de différentes sources pour collecter les informations en matière de détermination du risque. En effet, les événements redoutés peuvent :

• être historiquement identifiables : des faits du même type ont eu lieu dans le passé. Ce sont donc des risques facilement objectivables ;
• être méthodologiquement identifiables : il s’agit de faire un brainstorming sur les situations à risques, de se demander ce qui peut potentiellement arriver à l’entreprise. L’évaluation est, ici, subjective ;
• provenir de retours d’expériences : c’est la mise en place d’un dispositif de veille où chaque collaborateur peut faire remonter les problèmes qu’il rencontre à son poste de travail.

Notre conseil 💡 : L’identification des risques doit être exhaustive, même si le risque zéro n’existe pas. Le risk manager possède une solide formation de base (école d’ingénieur, de commerce, etc. ), souvent assortie de formations continues, parfois spécialisées dans un domaine. Faire appel à un professionnel du management des risques vous permettra ainsi de faire un inventaire complet de votre plan de prévention.

2 - L’évaluation de la gravité des risques

Une fois que les événements appréhendés sont identifiés, le consultant en risk management établit une cartographie des risques.

Comment procède-t-il ?

1 - Il crée un tableau où sont classés les différents types de risques identifiés et la probabilité de leur survenue. Selon les besoins de l’entreprise, l’évaluation peut-être :

• qualitative, avec pour critères de notation : possible, incertain et envisageable. Ce qui aboutit à des conséquences : majeures, graves ou mineures ;
• quantitative : le risk manager réalise une matrice de criticité, où une note est attribuée à chaque risque, sur une échelle de 1 à 4. La criticité est obtenue selon l’opération mathématique suivante : C = P × G (avec C = criticité, P = probabilité et G = gravité).

2 - De ces éléments, le professionnel développe une analyse approfondie sur la criticité du risque inhérent (ou brut) et la criticité résiduelle.

La première (criticité inhérente) concerne le risque évalué avant l’intégration des mesures de contrôle interne permettant de le surmonter, en totalité ou en partie.

La criticité résiduelle est basée sur le risque qui persiste après l’avoir traité ou après les mesures de prévention qui ont été prises.

3 - Enfin, il établit un plan de priorité de gestion des risques.

Vous ne savez pas comment mettre en place ce processus qui vous paraît complexe ? N'hésitez pas à externaliser cette tâche et déléguez-la à un cabinet spécialisé dans ce domaine. 

Sur quels documents se base le gestionnaire de crise pour noter les risques (probabilité d’occurrence, gravité ) ?

Pour un travail qualitatif et exploitable, le risk manager doit se baser sur des éléments normalisés. Il s’appuie donc en grande partie sur les normes ISO. Les plus connues et les plus utilisées sont :

• la norme ISO 31000:2018 : elle indique les lignes directrices du management du risque ;
• la norme 9001:2015 : elle décrit les exigences inhérentes au système de management de la qualité ;
• la norme ISO 22301 : elle concerne le management de la continuité d’activité ;
• l’IEC 31010:2019 : elle donne des recommandations pour la détermination et la mise en œuvre des techniques d'appréciation du risque, dans différentes situations.

Bon à savoir : l’ISO GUIDE 73:2009 est le manuel idéal pour connaître tous les termes utilisés dans le management du risque. 

3 - La gestion des risques

La dernière étape dans les systèmes de management, et sans conteste la plus importante pour l’entreprise, est la mise en place de moyens pour maîtriser les risques. Ces moyens sont de différentes natures, selon l’analyse du risque (son identification et sa criticité). Ainsi, le risk manager peut proposer :

• des dispositifs préventifs : contrôles de qualité, certifications, formation des salariés, processus, protocoles de soin, de nettoyage (ex : dans les établissements de soin pour éviter les infections nosocomiales), suspension d’une action pour empêcher la survenue d’un problème détecté, etc. ;
• des actions correctives : pour diminuer les conséquences, lorsqu’on ne peut éviter un risque ;
• des actions palliatives : il s’agit d’un transfert du risque vers un tiers. Les assurances et les experts d’assurés jouent un rôle important dans ces actions-là ;
• des risques acceptés : on les nomme ainsi, car leur importance est moindre et leur incidence ne sera pas catastrophique sur l’entreprise. Par exemple : un chef d’entreprise à la Réunion, peintre en bâtiment, qui choisit d’exercer son activité professionnelle sans porter de gants.

Ces dispositifs et actions ne sont pas indépendants les uns des autres. Plusieurs d’entre eux peuvent parfois être mis en œuvre, afin de gérer un même risque. Par exemple : un dispositif préventif + une action corrective.

Notre conseil 💡 : si aucune périodicité de mise à jour n’est obligatoire pour le plan de prévention, il est fortement conseillé de l’actualiser régulièrement. Vous travaillez avec de nouvelles machines ? Vous avez élargi vos domaines d’activité? En somme, quelle que soit l’évolution dans votre entreprise à la Réunion, il convient de revoir votre plan de gestion des risques.

Vous l’avez bien compris : le management des risques professionnels est nécessaire pour gérer au mieux les événements préjudiciables qui pourraient toucher votre entreprise à la Réunion.

Pour en savoir plus sur comment optimiser ses contrats d’assurance professionnelle à La Réunion, consultez notre page dédiée à l'optimisation de vos contrats professionnels à La Réunion, ou téléchargez directement notre guide.