PQBE51 SP 31 P

PQB E 51 S Gestion du risque
E 51
Gestion du risque
Objectif 5 Cadre
1 Le risque 5.1 Leadership
1.1 Historique 5.2 Conception (P)
1.2 Domaine 5.3 Application (D)
1.3 Bénéfices 5.4 Evaluation (C)
2 Définitions, normes et livres 5.5 Amélioration (A)
2.1 Définitions 6 Processus
2.2 Normes 6.1 Structure
2.3 Livres 6.2 Planifier
3 Approche processus 6.3 Apprécier
3.1 Types de processus 6.3.1 Identifier
3.2 Cartographie 6.3.2 Analyser
3.3 Approche processus 6.3.3 Evaluer
4 Principes 6.4 Traiter
4.1 Création de la valeur 6.4.1 Options
4.2 Intégration 6.4.2 Plan d’action
4.3 Approche systémique 6.4.3 Continuité d’activité
4.4 Adaptation au contexte 6.5 Surveiller
4.5 Participation 6.6 Communiquer
4.6 Dynamisme 6.7 Documentation
4.7 Meilleure information 7 Outils
4.8 Facteurs humains et culturels
4.9 Amélioration continue Annexes
Objectif du module : Maîtriser la gestion du risque pour pouvoir :
 atteindre sereinement les objectifs de l’entreprise

 optimiser la prise de décision
 planifier la continuité des processus opérationnels
www.pqb.fr 1 / 31
Gestion du risque PQB E 51 S
1 Le risque
1.1 Historique
Le mot risque pourrait venir du mot latin resecum « ce qui coupe, écueil » d’où l’origine
maritime « rocher escarpé » ou pourrait découler de l’italien ancien risicare, qui signifie
"oser."
Les opportunités et les menaces sont les deux côtés de la même pièce appelée risque.
Quand l’issue est favorable on parle d’opportunité, quand l’issue est défavorable on parle
de menace.
Il y a environ 5200 ans dans la région de l’Euphrate, un groupe appelé Asipu était
consultant en analyse du risque pour la prise de décisions risquées ou incertaines.
Toute décision comporte un risque. Peter Barge
En Mésopotamie, il y a environ 3900 ans l'assurance a débuté comme l'une des plus
anciennes stratégies de gestion du risque. La prime de risque pour les pertes de navires et
de cargaison dans les contrats de base était formalisée dans le code d’Hamurabi.
Il a y plus de 2400 ans Périclès parle comment prendre des risques et les évaluer avant de
réaliser une action. Son compatriote Socrate définit eikos (possible, probable) comme
«vraisemblance à la vérité».
Blaise Pascal et Pierre de Fermat ont jeté les bases de la théorie de la probabilité dans les
années 1650 ce qui a ouvert la porte à l’évaluation quantitative du risque.
Pierre Simon de Laplace a développé en 1792 une analyse du risque avec ses calculs de
la probabilité de décès avec et sans vaccination antivariolique.
La gestion du risque est relativement récente. Par exemple, l'accord de Bâle II sur les
exigences de gestion du risque dans le secteur bancaire date de 2004. Quelques normes
prescriptives (non certifiables) sur le risque sont apparues au début du XXI siècle (cf. le §
2.2).
La crise financière mondiale de 2008 a remis en question la contribution de la gestion du

risque. Certains ont dit que les méthodes de gestion du risque n'ont pas réussi à éviter
cette crise. Mais l’analyse révèle que cet échec est surtout dû :
 au manque d’une analyse équilibrée des bénéfices élevés et les risques encourus
 au mauvais jugement de l’improbabilité de certains événements (niveau du risque
mal quantifié) basé sur des modèles financiers imprudents
 à la faible surveillance des paramètres clés
 à la compréhension divergente des différents acteurs sur le goût du risque et
l’attitude face au risque
 à l'effondrement des marchés monétaires de gros non anticipé par les modèles de
crédit utilisés par certaines banques
L'avenir ne peut pas être prédit
Mais le risque qui résulte de l'incertitude peut être géré. La capacité à identifier le risque, à
l’analyser, à l’évaluer, puis à agir en conséquence est à la base de la gestion du risque.
2 / 31 www.pqb.fr
Une difficulté dans la gestion du risque provient du fait que l’événement concerné (le
dommage) se situe dans le futur. Il faut imaginer un événement qui n’aura peut-être jamais
lieu.
Le risque zéro n’existe pas
Depuis quelques décennies la majorité des entreprises a pris conscience que les coûts de
la mise en place de la gestion du risque sont dérisoires comparés aux conséquences
défavorables ou même aux assurances à contracter.
L’objectif principal de la gestion du risque est d’assurer la survie de l’entreprise en toutes

circonstances.
La gestion du risque a été considérée dans le passé par certains responsables comme
quelque chose de superflu. Ces personnes pensaient que l’objectif principal était d’éviter le
risque. Depuis beaucoup ont compris que le risque est inévitable et intrinsèque à toute
activité mais doit être réduit à un niveau acceptable.
Le risque ne peut être éliminé
La gestion du risque est devenue une nécessité incontournable, même la norme ISO 9001
(systèmes de management de la qualité – exigences) depuis la version 2015 a inclus
l’approche par les risques (risk-based thinking).
1.2 Domaine
Le domaine du présent module s’applique à la gestion du risque dans l’entreprise. Cela

concerne :
 les principes (cf. chapitre 4)

 le cadre (cf. chapitre 5)
 le processus (cf. chapitre 6)
 les outils (cf. chapitre 7)
Le domaine des risques inclut :
 la structure de l’entreprise
 le système de management
 le département
 le processus
 le produit
 le service
 le projet
 la performance
 la fiabilité
 les coûts, cf. annexe 01
 le calendrier
 les méthodes
 la technologie
 les exigences
 les spécifications y compris les critères d'acceptation
 les fonctionnalités
 les outils
www.pqb.fr 3 / 31
 les prestataires externes

 les tests
Dans ce module ne sont pas inclus spécifiquement les risques comptables et les risques
extrêmes liés :
 aux crises financières

 à l’assurance
 aux catastrophes naturelles
 aux pandémies
 aux maladies professionnelles
 à la protection de l’environnement
 aux crises alimentaires
 aux actes terroristes
 à la fraude fiscale
 aux pièces de contrefaçon
 à la corruption
Exemple d’un domaine d’application
Pour un cirque les risques susceptibles de provoquer des soucis d’une représentation
comprennent une coupure de courant, une tempête, l’absence de plusieurs acteurs ou
techniciens (maladie ou conflit social), des problèmes de transport importants pour le
public.
Après avoir identifié, analysé et évalué les risques qui pourraient perturber la
représentation, la direction doit décider quelles actions appliquer pour réduire les chances
d'annulation.
La gestion du risque est utilisée dans de nombreux domaines :
 l’assurance
 la banque
 l’armée
 l’énergie
 l’aérospatial
 les projets
 les dispositifs médicaux
 la médecine
 l’entreprise
 la construction
 les marchés
1.3 Bénéfices
Bénéfices attendus de la gestion du risque :
 amélioration de la confiance des parties prenantes

 amélioration de la performance globale de l’entreprise
 amélioration de la réputation de l’entreprise
 amélioration de la résilience de l’entreprise
 appréciation améliorée des opportunités et des menaces
 augmentation de la vraisemblance d'atteindre les objectifs
 augmentation des opportunités à saisir
4 / 31 www.pqb.fr
 création de la valeur pour l’entreprise

 diminution des pertes
 établissement d’un cadre adéquat pour la de mise en place de façon maîtrisée de
toute activité
 établissement d’une base fiable pour la prise de décisions
 identification des lacunes
 moins de travail à refaire
 obtention d’un avantage concurrentiel
 optimisation de l’utilisation des ressources
 protection du patrimoine de l’entreprise
 réaction efficace aux changements
 réduction des coûts et des délais
 réduction des surprises opérationnelles
 respect scrupuleux des exigences légales
 visibilité accrue des responsabilités de chaque membre du personnel
Le plus grand des risques est de n'en prendre aucun !
Causes premières des échecs :
 activités imprévues
 changement de priorité
 communication des résultats irrégulière
 confiance en soi excessive
 critères d'acceptation mal définis
 exigences mal comprises
 manque de ressources
 mauvaise estimation de l'effort
 mauvaise répartition du travail
 modification du produit non planifiée
 nouvelles méthodes et technologies incomprises
 objectifs irréalistes
 problèmes d’industrialisation
 problèmes de conception
 problèmes techniques imprévus
 rapports d’avancement sporadiques et inexacts
 risques non identifiés
 soutien insuffisant de la direction
 spécifications conflictuelles ou incohérentes
Appliquer en amont la gestion du risque coûte 10 fois moins cher que de gérer une
crise
Le coût de la gestion du risque dans la vie d’un produit est montré dans la figure 1-1.
www.pqb.fr 5 / 31
Figure 1-1. Le coût et la vie du produit
Qui s’excuse s’accuse
Excuses courantes pour expliquer un échec :
 c’était de la responsabilité de la direction

 ce n’était pas une exigence explicite dans le contrat
 comment avoir un plan efficace face à tellement de problèmes potentiels
 donnez-moi assez de temps et tout sera réglé
 en cas de situation d’urgence grave l’implication sera tout autre
 il n’y avait pas assez de temps
 il n’y avait pas de personnel disponible
 il y a des choses plus importantes à faire
 j’étais sûr que nous pourrions faire face
 je ne me suis pas rendu compte que c'était si grave
 je ne pensais pas que c’est un processus clé
 je ne pensais pas que cela arriverait
 l’assurance devait prendre cette situation en charge
 le contrat était déjà signé
 vous ne pouvez pas planifier l'imprévu
Une liste de succès et d’échecs de la gestion du risque se trouve dans l’annexe 02.
6 / 31 www.pqb.fr
2 Définitions, normes et livres
2.1 Définitions
Le début de la sagesse c’est de désigner les choses par leur nom. Proverbe chinois
Un risque peut avoir des impacts négatifs (on parle de menaces) ou bien des impacts
positifs (on parle d’opportunités).
Saisir une opportunité c’est prendre des risques, mais ne pas saisir une opportunité peut
nous exposer à des risques.
Souvent le risque est assimilé à un danger et utilisé couramment à la place de menace.
Les définitions du mot risque sont multiples. Quelques exemples :
 combinaison de la probabilité d’occurrence d’un dommage et de sa gravité. ISO 51

(1999)
 combinaison de la probabilité d’un évènement et de ses conséquences. ISO Guide
73 (2002)
 combinaison de la probabilité de la manifestation d'un événement dangereux et de la
gravité de la lésion ou de l'atteinte à la santé causée à des personnes par cet
événement. ILO-OSH (2001)
 danger éventuel plus ou moins prévisible. Le Petit Robert
 description d'un événement spécifique qui peut se produire ou non, ainsi que ses
causes et ses conséquences. IRM (2013)
 effet de l’incertitude sur l'atteinte des objectifs. ISO Guide 73 (2009)
 effet de l’incertitude. ISO 45001 (2018)
 effet négatif de l’incertitude. Christopher Paris
 espérance mathématique d'une fonction de probabilité d'événements. Daniel
Bernoulli
 événement dont l'arrivé aléatoire, est susceptible de causer un dommage aux
personnes ou aux biens ou aux deux à la fois. Serge Braudo
 événement éventuel incertain dont la réalisation ne dépend pas exclusivement de la
volonté des parties et pouvant causer un dommage. Larousse
 incertitude des résultats, qu'il s'agisse d'une opportunité positive ou d'une menace
négative. OGC - UK (2005)
 l'ampleur de la perte potentielle. Evan Picoult
 l’impact futur d’un danger non maîtrisé. Sean Chamberlin
 la mesure du danger. Georges-Yves Kervern
 la possibilité que quelque chose se passe qui aura un impact sur les objectifs. AS
4360 (2004)
 la vraisemblance que quelque chose se passe. IFRIMA (1994)
 le risque devrait être proportionnel à la probabilité d'occurrence ainsi qu'à l'étendue
de dommage. Blaise Pascal
 probabilité et ampleur d'une perte, d'un désastre ou d'un autre événement
indésirable. Douglas Hubbard
Notre préférence :
Risque : vraisemblance d'apparition d'une menace ou d’une opportunité
Quelques définitions de la gestion du risque (management du risque) :
www.pqb.fr 7 / 31
 activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du

risque. ISO Guide 73 (2009)
 culture, processus et structures mis en place pour gérer efficacement les
opportunités et les effets négatifs. Business Continuity Institute (Institut de continuité
des activités)
 être intelligent pour prendre des risques. Douglas Hubbard
 fournit un cadre permettant aux organisations de maîtriser et de réagir aux
incertitudes. Paul Hopkin
 l'acte ou la pratique du risque. Edmund Conrow
Gestion du risque (risk management) : activités pour restreindre la possibilité que quelque
chose se passe mal
Quelques définitions du mot danger (ou phénomène dangereux) :
 ce qui constitue une menace, un risque pour quelqu’un, quelque chose. Larousse
 ce qui menace ou compromet la sûreté, l’existence d’une personne ou d’une chose.
Le Petit Robert
 propriété intrinsèque à une substance, à un système qui peut conduire à un
dommage. Yvan Vérot
 source de dommage potentiel. ISO Guide 73 (2009)
 source ou situation susceptible des causer des traumatismes et pathologies. ISO
45001 (2018)
Danger : situation pouvant conduire à un incident

Identifier le danger : se demander qu’est-ce qui pourrait mal se passer
Quelques définitions de l’appréciation du risque (risk assessment) :
 ensemble du processus d’identification des risques, d’analyse du risque et

d’évaluation du risque. ISO Guide 73 (2009)
 évaluation des résultats indésirables et assignation des probabilités à leurs chances
d'apparition. Vlasta Molak
 processus d'appréciation qualitative et quantitative du risque et détermination du
type d'analyse à mener. Office québécois de la langue française
Appréciation du risque (risk assessment) : processus d'identification, d'analyse et

d'évaluation du risque
Quelques définitions de l’identification du risque :
 processus de recherche, de reconnaissance et de description des risques. ISO

Guide 73 (2009)
 processus d'examen des domaines de programme et de chaque processus
technique critique pour identifier et documenter le risque associé. Edmund Conrow
8 / 31 www.pqb.fr
Identification du risque (risk identification) : activité de l’appréciation du risque pour trouver
et décrire les risques
Quelques définitions de l’analyse du risque :
 processus d'examen de chaque enjeux ou processus du risque identifié pour affiner

la description du risque, isoler la cause et déterminer les effets. Edmund Conrow
 processus mis en œuvre pour comprendre la nature d’un risque et pour déterminer
le niveau de risque. ISO Guide 73 (2009)
 utilisation systématique de l'information pour identifier les sources et assigner des
valeurs du risque. Terje Aven
Analyse du risque (risk analysis) : activité de l’appréciation du risque pour comprendre la

nature d’un risque et déterminer son impact
Quelques définitions de traitement du risque :
 processus d'élaboration, de sélection et de mise en œuvre des contrôles. BS 31100

(2011)
 processus destiné à modifier un risque. ISO Guide 73 (2009)
 processus qui identifie, évalue, sélectionne et met en œuvre des options afin de fixer
le risque à des niveaux acceptables compte tenu des contraintes et des objectifs du
programme. Edmund Conrow
Traitement du risque (risk treatment) : activités de modification du risque
Quelques définitions du mot opportunité :
 effet positif de l’incertitude. Christopher Paris

 potentiel pour la réalisation de résultats recherchés et positifs d'un événement.
Robert Charrette
Opportunité : événement incertain pouvant avoir un impact favorable
L’incertitude et la probabilité sont des notions subjectives avec des quantités fictives.
Impact : conséquence d’un événement affectant les objectifs
Vraisemblance (likelihood) : possibilité que quelque chose arrive
La probabilité peut être considérée comme mesure de l'incertitude. Si la probabilité peut

être mesurée elle est donc reliée à quelque chose qui s’est passé. La vraisemblance est
plus générale comme notion car elle peut inclure un effet qui ne s’est jamais passé.
www.pqb.fr 9 / 31
Pour ne pas confondre danger et risque quelques exemples simples :

Danger Risque
sol glissant jambe cassée
électricité électrocution
tabac cancer des poumons
monter sur une échelle se casser un bras en tombant
Comme le montre la figure 1-1 le temps d’exposition au danger multiplie le risque :
Figure 2-1. L’exposition au danger
Le risque (et son niveau) est fonction de l’impact et de la vraisemblance (figure 2-2).
Figure 2-2. Le niveau du risque
Le risque est résiduel quand l’impact et la vraisemblance sont faibles, cf. figure 2-3. Dès
que l’impact et la vraisemblance sont élevés on se rapproche de la zone critique (rouge).
Figure 2-3. La criticité du risque
Plus de détails sur les niveaux du risque sont montrés dans l’annexe 03.
10 / 31 www.pqb.fr
Quelques définitions et sigles :
5 M : voir Diagramme d’Ishikawa

5 P : méthode essentielle de bon sens de la démarche Lean. Se poser cinq fois la question
"pourquoi ?" pour trouver les causes premières et réagir pour éradiquer le problème
5 S : du japonais Seiri, Seiton, Seiso, Seiketsu, Shitsuke ou trier, ranger, nettoyer,
formaliser, préserver. Créer un environnement de travail propice à une production Lean et
au management visuel
8 D : de l’anglais 8 do ou 8 actions à réaliser. L'outil 8 D est utilisé surtout dans l'industrie
automobile. Permet à une équipe d'identifier et d'éradiquer les causes d'un problème
A 3 : rapport sous forme A 3 de management visuel de l'essentiel de la résolution d'un
problème ou de l'avancement d'un projet
AMDEC : Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité. En anglais
FMEA ou FMECA. Démarche de prévention des risques techniques
Analyse en arbre des défaillances : méthode d'analyse par diagramme en arbre (cause -
effets) permettant d'éviter des problèmes de sécurité et de fiabilité. En anglais Failure Tree
Analysis et aussi Tree of causes
Attitude face au risque : apprécier et traiter le risque
BCM : business continuity management (voir gestion de la continuité d’activité)
Benchmarking : technique d'analyse comparative par rapport à un ou plusieurs concurrents
Brainstorming : voir remue-méninges
Contrôle : voir inspection
Critères du risque : indices pour évaluer l’importance du risque
Détrompeur : simple équipement pour éviter les erreurs et ne pas permettre de produire
des non-conformités, appelé aussi Poka-yoké ou dispositif anti-erreurs
ERM : enterprise risk management (voir gestion du risque dans l’entreprise)
Estimation du risque : activités pour affecter des valeurs à la vraisemblance et à l’impact du
risque
Evaluation du risque (risk evaluation) : activités de l’appréciation du risque pour déterminer
si le risque est acceptable
Exigence : besoin ou attente implicite ou explicite
Facteur du risque (péril, danger) : élément susceptible de causer un risque
FIFO : de l'anglais First in, first out. En français (Premier Entré, Premier Sorti, PEPS)
FMEA : Failure Mode and Effects Analysis. Voir AMDEC
FTA : de l’anglais Failure Tree Analysis. Voir Analyse en arbre des défaillances
Gaspillage : tout ce qui ajoute des coûts mais pas de valeur
Gemba : du japonais, = place réelle, sur le terrain
Gestion de la continuité d’activité (Business continuity management) : méthode visant à
assurer qu'en cas de crise les fonctions critiques restent opérationnelles ou le redeviennent
le plus vite possible (voir aussi résilience)
Gestion du risque en entreprise (enterprise risk management) : approche globale de
maîtrise des incertitudes et leurs interactions en entreprise
Gravité du risque (risk severity) : mesure de l’impact du risque
Incertitude : existence de plus d'une possibilité
Inspection : actions de mesures, d’essais et d’examens d’un produit, service, processus ou
matériel pour déterminer le respect des exigences
Kaizen : du japonais kai - changement, zen - mieux. Amélioration continue pas à pas pour
créer plus de valeur et moins de gaspillages. Démarche fondée sur le bon sens et sur la
motivation du personnel
www.pqb.fr 11 / 31
Menace : événement incertain pouvant avoir un impact négatif sur les objectifs
Mesure du risque : ensemble de possibilités avec des probabilités et des pertes quantifiées
Muda : du japonais gaspillage. Toute activité qui consomme des ressources sans ajouter
de valeur pour le client
Niveau du risque (level of risk) : criticité du risque en fonction de l’impact et de la
vraisemblance
Non-qualité : écart entre la qualité attendue et la qualité perçue
NVA : Non-Valeur Ajoutée. Ce que le client n'est pas prêt à payer
Pilote du risque (risk owner) : personne ayant la responsabilité et l’autorité de gérer le
risque
Plan de continuité d’activité (PCA) : planification de la gestion de la continuité d’activité
incluant l’approche, les étapes, les méthodes, les ressources
Plan de gestion du risque (risk management plan) : planification de la gestion du risque
incluant l’approche, les étapes, les méthodes, les ressources
Poka-yoké : du japonais Poka - erreur involontaire, Yoké - éviter. Voir Détrompeur
Prévention du risque : activités de réduction de la vraisemblance d’apparition du risque
Protection du risque : activités de réduction des impacts du risque
Registre des risques : dossier contenant les informations relatives aux risques identifiés
Remue-méninges : approche d'équipe pour développer des idées et trouver des solutions.
En anglais "Brainstorming"
Résilience : capacité à résoudre une crise et à continuer de fonctionner comme avant
Responsabilité : capacité à prendre une décision tout seul
RMP : risk management plan (voir plan de gestion du risque)
Sécurité : absence de risque inacceptable
Seuil du risque : limite d’acceptation (au-dessous) ou de non tolérance (au-dessus)
SGR : système de gestion du risque
SM : système de management
Stratégie : démarche globale pour atteindre des objectifs
Surveillance : ensemble d’actions planifiées pour garantir l'efficacité des mesures de
maîtrise
SWOT : de l’anglais Strengths, Weaknesses, Opportunities, Threats ou forces, faiblesses,
opportunités, menaces. Outil pour structurer une analyse des risques
Système de management : ensemble de processus permettant d’atteindre les objectifs
Système de gestion du risque : ensemble de processus permettant d’atteindre les objectifs
risque
Système : ensemble de processus interactifs
Dans la terminologie des systèmes de management ne pas confondre :
 accident et incident
o l’accident est un événement imprévu grave
o l’incident est un événement qui peut entraîner un accident
 anomalie, défaillance, défaut, dysfonctionnement, non-conformité et rebut
o l’anomalie est une déviation par rapport à ce qui est attendu
o la défaillance est la non satisfaction d’une fonction
o le défaut est la non satisfaction d’une exigence liée à une utilisation (prévue)
o le dysfonctionnement est un fonctionnement dégradé qui peut entraîner une
défaillance
12 / 31 www.pqb.fr
o la non-conformité est la non satisfaction d’une exigence spécifiée (en

production)
o le rebut est un produit non conforme qui sera détruit
 audit, inspection, audité et auditeur
o l’audit est le processus d’obtention des preuves d’audit
o l’inspection est la vérification de conformité d’un processus ou d’un produit
o l’audité est celui qui est audité
o l’auditeur est celui qui réalise l’audit
 cause et symptôme
o la cause est la circonstance entraînant une défaillance
o le symptôme est le caractère lié à un état
 cartographie et organigramme
o la cartographie est la présentation graphique des processus et leurs
interactions dans une entreprise
o l’organigramme est la présentation graphique des services et leurs liens dans
une entreprise
 client, prestataire externe et sous-traitant
o le client reçoit un produit
o le prestataire externe procure un produit
o le sous-traitant procure un service ou un produit sur lequel est réalisé un
travail spécifique
 danger, problème et risque
o le danger c’est l’état, la situation, la source qui peut aboutir à un accident
o le problème c’est l’écart entre la situation réelle et la situation souhaitée
o le risque est la mesure, la conséquence d’un danger et c’est toujours un
problème potentiel
 efficacité et efficience
o l’efficacité est le niveau d’obtention des résultats escomptés
o l’efficience est le rapport entre les résultats obtenus et les ressources utilisées
 exactitude et précision
o l’exactitude est une mesure avec une faible erreur systématique
o la précision est une mesure avec une faible erreur aléatoire
 informer et communiquer
o informer c’est porter une information à la connaissance de quelqu’un
o communiquer c’est transmettre un message, écouter la réaction et dialoguer
 gestion du risque et de crise
o la gestion du risque c’est comme faire de la prévention des incendies
o la gestion de crise c’est comme éteindre le feu
 maîtriser et optimiser
o la maîtrise est le respect des objectifs
o l’optimisation est la recherche des meilleurs résultats possibles
 objectif et indicateur
o l’objectif est un engagement recherché
o l’indicateur est l’information de la différence entre le résultat obtenu et
l’objectif fixé
 processus, procédure, produit, procédé, activité et tâche
o le processus est la façon de satisfaire le client en utilisant le personnel pour
atteindre les objectifs
o la procédure est la description de la façon dont on devrait se conformer aux
règles
o le produit est le résultat d’un processus
o le procédé est la façon d’exécuter une activité
o l’activité est un ensemble de tâches
o la tâche est une suite de simples opérations
www.pqb.fr 13 / 31
 prévention et protection, cf. figure 2-4

o la prévention ce sont les moyens permettant de diminuer la vraisemblance et
la fréquence d’apparition d’un risque (vérifier la pression des pneus)
o la protection ce sont les moyens permettant de limiter l’impact d’un risque
(attacher sa ceinture de sécurité)
 probabilité, incertitude et vraisemblance
o la probabilité exprime l’analyse quantitative de l’incertitude
o l’incertitude c’est l’imprécision de prévoir
o la vraisemblance exprime l’analyse qualitative de l’incertitude
 suivi et revue
o le suivi est la vérification d’atteinte de résultats d’une action
o la revue est l’analyse de l’efficacité à atteindre des objectifs
Figure 2-4. La prévention et la protection
Remarque 1 : entre gestion du risque et management du risque notre préférence est pour
gestion du risque
Remarque 2 : entre apparition et occurrence notre préférence est pour apparition
Remarque 3 : entre impact, gravité, conséquence et sévérité notre préférence est pour
impact
Remarque 4 : entre pilote du risque et propriétaire du risque notre préférence est pour
pilote du risque
Remarque 5 : entre vraisemblance (likelihood) et probabilité (probability) notre préférence

est pour vraisemblance (d’apparition)
Remarque 6 : entre domaine d’application et périmètre d’application (en anglais scope)

notre préférence est pour domaine d’activité
Remarque 7 : entre surveillance (en anglais monitoring) et suivi notre préférence est pour
surveillance
14 / 31 www.pqb.fr
Remarque 8 : entre processus et procédé notre préférence est pour processus (en anglais
« process »).
Remarque 9 : le mot anglais « organization » est traduit par organisme dans certaines
normes (ISO 9001, ISO 31000) et par organisation dans d’autres normes (ISO 2600, ISO
22301, EFQM) et institutions (ISO, ONU, OTAN). Pour éviter la confusion avec organisme
de certification notre préférence est pour le terme entreprise
Remarque 10 : le mot anglais « control » a plusieurs sens. Il peut être traduit par maîtrise,
autorité, commande, gestion, contrôle, surveillance, inspection. Pour éviter des
malentendus notre préférence est pour maîtrise et inspection au détriment de contrôle.
Remarque 11 : le mot anglais « accountability » peut être traduit par obligation de rendre
compte, assumer sa responsabilité (ISO 9001), pouvoirs (ISO 31000), redevabilité (ISO
26000), notre préférence est pour obligation de rendre compte
Remarque 12 : chaque fois que vous utiliserez l’expression « opportunité d’amélioration » à

la place de non-conformité, dysfonctionnement ou défaillance vous gagnerez un peu plus la
confiance de votre interlocuteur (client externe ou interne).
Remarque 13 : l’important est de définir et d’utiliser un langage commun et sans équivoque.
Pour d’autres définitions, commentaires, explications et interprétations vous pouvez

consulter l’annexe 06 (Glossaire).
2.2 Normes
Référentiels liés aux risques (par ordre chronologique) :
 AS 4360 (1995) : Risk management (Gestion du risque)

 IRM/Alarm/AIRMIC (2002) : A Risk Management Standard (Cadre de référence de la
gestion des risques)
 FD X50-117 (2003) : Management de projet - Gestion du risque - Management des
risques d'un projet
 COSO (2004): Enterprise Risk Management - Integrated Framework (La gestion du
risque d'entreprise, Cadre intégré)
 XP PR EN 9134 (2005) : Série aérospatiale - Systèmes qualité - Ligne conductrices
pour le management du risque concernant la chaîne des fournisseurs
 FD X50-252 (2006) : Management du risque - Lignes directrices pour l'estimation
des risques
 CEI 61025 (2006) : Analyse par arbre de panne (AAP)
 ISO Guide 73 (2009) : Management du risque - Vocabulaire
 FD X50-253 (2011) : Management des risques - Processus de management des
risques - Lignes directrices pour la communication
 BP Z74-700 (2011) : Plan de Continuité d'Activité (PCA)
 BS 11200 (2014) : Crisis management - Guidance and good practice (Gestion des
crises - Guide et bonnes pratiques)
 BS 65000 (2014) : Guidance on organizational resilience (Guide sur la résilience
organisationnelle)
 FD ISO 31004 (2014) : Management du risque - Lignes directrices pour
l'implémentation de l'ISO 31000
 FD X50-259 (2014) : Management du risque - Plan de continuité d'activité (PCA) -
Démarche de mise en place et de maintien
www.pqb.fr 15 / 31
 FD X50-260 (2016) : Management des risques - Lignes directrices pour la mise en

œuvre dans les ETI/PME et autres organismes - ETI/PME-PMI
 CEI 61882 (2016) : Études de danger et d'exploitabilité (études HAZOP) - Guide
d'application
 ISO 22316 (2017) : Security and resilience - Organizational resilience - Principles
and attributes (Sécurité et résilience - Résilience organisationnelle - Principes et
attributs)
 ISO 31000 (2018) : Management du risque – Lignes directrices
 NF EN ISO 14971 (2019) : Dispositifs médicaux - Application de la gestion des
risques aux dispositifs médicaux
 IEC 31010 (2019) : Management du risque - Techniques d'appréciation du risque
 ISO 22301 (2019) : Sécurité sociétale - Systèmes de management de la continuité
d'activité - Exigences
 EFQM (2020) : European Foundation for Quality Management (Fondation
européenne pour la gestion de la qualité)
 ISO 22313 (2020) : Systèmes de management de la continuité d'activité - Lignes
directrices
 BS 31100 (2021) : Risk management. Code of practice (Gestion du risque. Code de
pratique)
Deux documents AMDEC :
 Potential Failure Mode and Effects Analysis (en français Analyse des Modes de
Défaillance Potentielles et de leurs effets), 2008, AIAG
 CEI 60812 : Techniques d’analyse de la fiabilité du système – Procédure d’analyse
des modes de défaillances et de leurs effets (AMDE), IEC, 2006
Deux documents français liés aux processus avec des explications, recommandations et
exemples :
 AC X50-178 (accord, 2002) Management de la qualité – Management des

processus – Bonnes pratiques et retours d’expérience
 FD X50-176 (fascicule de documentation, 2017) Outils de management –
Management des processus
Gestion des risques – ENA – bibliographie de 2020.
Aucune de ces normes n’est obligatoire mais comme disait Deming :
Il n'est pas nécessaire de changer. La survie n'est pas obligatoire
Le risque et l’approche par les risques (risk based thinking) sont présents dans beaucoup
de normes et référentiels. Quelques exemples des plus répandus :
 l’ISO 9001 version 2015 (§§ 0.3.3, 6.1)

 l’ISO 14001 version 2015 (§§ 0.3, 3, 6.1)
 l’ISO 13485 version 2016 (§§ 0.2, 3, 4.1.2)
 l’ISO 45001 version 2018 (§§ 3, 6.1, 6.1.2.2, 8.1.2)
 l’ILO-OSH 2001 version 2002 (§§ 2.3, 3.3, 3.4, 3.5, 3.7, 3.10, 3.11, 3.15, 3.16)
 l’ISO 26000 version 2010 (§§ 6.1, 6.3, 6.4, 6.5, 6.6, 6.7, 6.8, 7.4, 7.8 ; tables 1 et 2)
 CEI 60812 version 2006 (§§ 5.3.2, 5.3.3, 5.3.5, 5.3.6)
16 / 31 www.pqb.fr
Un questionnaire détaillé (233 questions) sur les recommandations de la norme ISO 31000
version 2018 vous pouvez trouver dans l’annexe 04.
2.3 Livres
Pour aller plus loin quelques livres, classés par ordre chronologique :
 Risk, Uncertainty And Profit, Frank Knight, University of Chicago Press, 1921
(Le risque, incertitude et profit)
 Comment gérer les risques dans l'entreprise, Clusif, Dunod, 1993
 The Quality Toolbox, Nancy Tague, ASQC Quality Press, 1995 (La boîte à
outils qualité)
 Against the Gods: The Remarkable Story of Risk, Peter Bernstein, John Wiley
& Sons, New York, 1998 (Contre les Dieux : L'histoire remarquable du risque)
 Business Continuity Management - How to Protect Your Company from

Danger, Michael Gallagher, Prentice Hall, 2002 (Gestion de la continuité d’activité –
Comment protéger votre enterprise des dangers)
 AMDEC - Guide pratique, Gérard Landy, AFNOR, 2002
 Le "Risk Management" en 5 étapes, Marie-Claude Delaveaud, AFNOR, 2003
 Effective Risk Management: Some Keys to Success, Edmund Conrow, AIAA,

2003 (Gestion efficace des risques: certaines clés de la réussite)
 Identifying and managing project risk: Essential Tools for Failure-Proofing

Your Project- Tom Kendrick, AMACOM, 2003 (Identifier et gérer les risques projet -
Outils essentiels pour éviter l'échec de votre projet)
 Gestion des risques, Bernard Barthélemy, Philippe Courèges, Editions

d’Organisation, 2004
 Réussir la prévention des risques dans les PME, Benjamin Bichon, AFNOR,
2005
www.pqb.fr 17 / 31
 Prévenir les risques – Agir en organisation responsable, AFNOR, 2006
 Premiers pas dans le management des risques, Yves Métayer, Laurence

Hirsh, AFNOR, 2007
 La gestion des risques, Olivier Hassid, Dunod, 2008
 Management de la continuité d’activité, Emmanuel Besluau, Eyroles, 2008
 Operational risk management, Mark Abkowitz, Wiley, 2008 (Gestion des

risques opérationnels)
 No excuses, A business process approach to managing operational risk,

Dennis Dickstein, Wiley, 2009 (Pas d’excuses, Une approche processus d’entreprise
pour gérer le risque opérationnel)
 La boîte à outils du responsable qualité, Florence Gillet-Goinard, Bernard

Seno, Dunod, 2009
 Piloter les risques d’un projet, Henri-Pierre Maders, Jean-Luc Masselin,

Eyroles, 2009
 Evaluation des risques, Sandra Curaba et al, AFNOR, 2009
 The Failure of Risk Management: Why It's Broken and How to Fix It, Douglas
Hubbard, Wiley, 2009 (L'échec de la gestion du risque: pourquoi c’est cassé et
comment le réparer)
 Managers, osez le management par les risques: Pour réussir en période de

crise !, Jean-Claude Serre, AFNOR, 2009
 Management des risques, Pascal Kerebel, Eyrolles, 2009
 Fundamentals of risk management, Understanding, evaluating and

implementing effective risk management, Paul Hopkin, IRM, 2010 (Les essentiels de
18 / 31 www.pqb.fr
la gestion du risque, Comprendre, évaluer et appliquer une gestion du risque

effective)
 Optimiser les risques de l'entreprise, Vincent Iacolare, Christophe Burin,

AFNOR, 2010
 Gérer les risques – Pourquoi ? Comment ?, Jean Le Ray, AFNOR, 2010
 Management of Risk: Guidance for Practitioners, team, Stationery Office

Books, 2010 (Gestion du risque : un guide pour les practiciens)
 Strategic Risk Management Practice: How to Deal Effectively with Major

Corporate Exposures, Torben Andersen, Cambridge University Press, 2010
(Pratique stratégique de gestion du risque: comment traiter efficacement les
principales expositions d'entreprise)
 Le Risk Manager et l'intelligence économique, Bernard besson, Paul-Vincent

Valat, IFIE, 2010
 Maîtrise des risques et prévention des crises : anticipation, construction de

sens, vigilance, gestion des urgences et apprentissage, Jean-Luc Wybo, Lavoisier,
2012
 Précis de gestion des risques - L'essentiel du cours, fiches-outils et exercices

corrigés, Michel Lesbats, DUNOD, 2012
 Risk Management, How to Assess, Transfer and Communicate Critical Risks,

Antonio Borghesi, Barbara Gaudenzi, Springer, 2013 (Gestion du risque: comment
évaluer, transférer et communiquer les risques critiques)
 Gestion des risques et création de valeur, Tullio Tanzi, Pierre d’Argenlieu,

Hermès, 2013
 Gestion des risques et culture de sécurité : Maitriser les facteurs humains et

organisationnels, Jacques Pignault, Jean Magne, Dunod, 2014
 Gestion des risques, Jean-Paul Louisot, AFNOR, 2014
www.pqb.fr 19 / 31
 Diagnostic des risques: Identifier, analyser et cartographier les vulnérabilités,

Jean-Paul Louisot, Sophie Gaultier-Gaillard, AFNOR, 2014
 De la gestion du risque au management des risques: Pourquoi ? Comment ?

Jean le Ray, AFNOR, 2015
 La gestion des risques : Principes et pratiques, Alain Desroches et al,

Lavoisier, 2015
 Le facteur risque de l'entreprise : une méthode inédite de mesure des risques

de l'entreprise, Jean-David Darsa, GERESO, 2015
 Risk Management - Gestion des risques en entreprise, banque et assurance,

Laurent Pierandrei, Dunod, 2015
 Managing the Unexpected: Sustained Performance in a Complex World, Karl

Weick, Kathleen Sutcliffe, Wiley, 2015 (Gérer l'inattendu : performance soutenue
dans un monde complexe)
 Gestion des risques et contrôle interne - De la conformité à l’analyse

décisionnelle, Frédéric Cordel, Vuibert, 2016
 Risk Management et stratégie selon la norme ISO 31000 - Les bénéfices de

l'intégration de l'ERM dans les processus stratégiques, Jean-Paul Louisot, AFNOR,
2016
 La gestion des risques en entreprise: Identifier, comprendre, maîtriser, Jean-

David Darsa, Gereso, 2016
 Risk, Issue, and Opportunity Management Guide for Defense Acquisition

Programs, Deputy Assistant Secretary of Defense Systems Engineering, 2017
(Guide de gestion du risque, enjeux et opportunités pour les programmes
d'acquisition de la défense)
 Gestion des risques – Théorie et application, Georges Dionne, Economica,

2017
20 / 31 www.pqb.fr
 365 risques en entreprise: Une année en Risk Management, Jean-David

Darsa, GERESO, 2017
 Enterprise Risk Management - Integrating with Strategy and Performance,

COSO, AICPA, 2017 (Gestion du risque en entreprise - Intégrer avec la stratégie et
la performance)
 Géraldine Sutra, Management du risque : une approche stratégique, AFNOR,

2018
 Jean-David Darsa, Nicolas Dufour, Le coût du risque : Un enjeu majeur pour

l'entreprise, GERESO, 2018
Quand je pense à tous les livres qu'il me reste encore à lire, j'ai la certitude d'être
encore heureux. Jules Renard
www.pqb.fr 21 / 31
3 Approche processus
3.1 Types de processus
Si vous ne pouvez pas décrire ce que vous faites en tant que processus, vous ne
savez pas ce que vous faites. Edwards Deming
Le mot processus vient de la racine latine procedere = marche, développement, progrès

(Pro = en avant, cedere = aller). Chaque processus transforme les éléments d’entrée en
éléments de sortie en créant de la valeur ajoutée et des nuisances potentielles.
Un processus a trois éléments de base : entrées, activités, sorties.
Un processus peut être très complexe (lancer une fusée) ou relativement simple (auditer un
produit).
Un processus est :
 répétable
 prévisible
 mesurable
 définissable
 dépendant de son contexte
 responsable de ses fournisseurs
Un processus est défini, entre autres, par :
 son intitulé et son type

 sa finalité (pourquoi ?)
 son bénéficiaire (pour qui ?)
 son objet et ses activités
 ses déclencheurs
 ses documents et enregistrements
 ses éléments d’entrée
 ses éléments de sortie (intentionnels et non intentionnels)
 ses contraintes
 son personnel
 ses ressources matérielles
 ses objectifs et indicateurs
 son responsable (pilote) et ses acteurs (intervenants)
 ses moyens d’inspection (surveillance, mesure)
 sa cartographie
 son interaction avec les autres processus
 ses risques et écarts potentiels
 ses opportunités d’amélioration continue
Une revue de processus est faite périodiquement par le pilote du processus (cf. annexe
05).
Les composantes d’un processus sont montrées dans la figure 3-1 :
22 / 31 www.pqb.fr
Figure 3-1. Les composantes d’un processus
La figure 3-2 montre un exemple qui aide à répondre aux questions :
 quelles matières, quels documents, quels outils ? (entrées)

 quel intitulé, quelles activités, exigences, contraintes ? (processus)
 quels produits, quels documents ? (sorties)
 comment, quelles inspections ? (méthodes)
 quel est le niveau de la performance ? (indicateurs)
 qui, avec quelles compétences ? (personnel)
 avec quoi, quelles machines, quels équipements ? (ressources matérielles)
Figure 3-2. Certains éléments d’un processus
Souvent l’élément de sortie d’un processus est l’élément d’entrée du processus suivant.
Vous pouvez trouver quelques dizaines d’exemples de fiches processus dans l’ensemble
de documents E 02.
www.pqb.fr 23 / 31
Toute entreprise peut être considérée comme un macro processus, avec sa finalité, ses
éléments d’entrée (besoins et attentes clients) et ses éléments de sortie (produits/services
pour satisfaire les exigences des clients).
Notre préférence pour identifier un processus est l’utilisation d’un verbe (acheter, produire,
vendre) à la place d’un nom (achats, production, vente) pour différencier le processus du
service de l’entreprise ou de la procédure et rappeler la finalité du processus.
Les processus sont (comme nous allons voir dans les paragraphes suivants) de type
management, réalisation et support. Ne pas attacher trop d’importance au classement des
processus (parfois c’est très relatif) mais bien vérifier que toutes les activités de l’entreprise
entrent dans un des processus.
3.1.1 Les processus de management
Aussi appelés de direction, de pilotage, de décision, clés, majeurs. Ils participent à

l’organisation globale, à l’élaboration de la politique, au déploiement des objectifs et à
toutes les vérifications indispensables. Ils sont les fils conducteurs de tous les processus de
réalisation et de support.
Les processus suivants peuvent intégrer cette famille :
 élaborer la stratégie
 gérer le risque, cf. annexes 07 et 08 :
o planifier
o apprécier :
 identifier
 analyser
 évaluer
o traiter
 définir la politique
 piloter les processus
 améliorer
 auditer
 communiquer
 planifier le SM
 acquérir les ressources
 réaliser la revue de direction
 mesurer la satisfaction des parties prenantes
 négocier le contrat
 analyser les données
3.1.2 Les processus de réalisation
Les processus de réalisation (opérationnels) sont liés au produit, augmentent la valeur

ajoutée et contribuent directement à la satisfaction du client.
Ils sont principalement :
 concevoir et développer les nouveaux produits

 acheter les composants
 vendre les produits
 produire les produits
 inspecter la production
24 / 31 www.pqb.fr
 maintenir les équipements

 appliquer la traçabilité (identifier et garder l’historique)
 réceptionner, stocker et expédier
 maîtriser les non-conformités (NC)
 réaliser les actions correctives
3.1.3 Les processus de support
Les processus de support (soutien) fournissent les ressources nécessaires au bon

fonctionnement de tous les autres processus. Ils ne sont pas liés directement à une
contribution de la valeur ajoutée du produit mais sont toujours indispensables.
Les processus support sont souvent :
 gérer la documentation
 fournir l’information
 acquérir et maintenir les infrastructures
 dispenser la formation
 gérer les moyens d’inspection
 tenir la comptabilité
 administrer le personnel
3.2 Cartographie
La cartographie des processus est par excellence un travail pluridisciplinaire. Ce n’est pas
une recommandation formelle de la norme ISO 31000 mais la cartographie est toujours
bienvenue.
Les 3 types de processus et quelques interactions sont montrés dans la figure 3-3.
www.pqb.fr 25 / 31
Figure 3-3. La maison des processus
La cartographie permet, entre autres :
 d’obtenir une vision globale de l’entreprise

 d’identifier les bénéficiaires (clients), les flux et les interactions
 de définir les règles (simples) de communication entre les processus
Pour obtenir une image plus claire on peut simplifier en utilisant au total une quinzaine de
processus essentiels. Un processus essentiel peut contenir quelques sous-processus, par
exemple dans un processus « développer le SM » peuvent entrer :
 élaborer la stratégie
 gérer le risque
 définir la politique
 planifier le SM
 déployer les objectifs
 acquérir les ressources
 piloter les processus
 améliorer
3.3 Approche processus
26 / 31 www.pqb.fr
Les solutions simples pour maintenant, la perfection pour plus tard
Le quatrième principe de management de la qualité est « Approche processus », cf. ISO

9000, 2.3.4. Certains bénéfices :
 obtenir une vision globale de l’entreprise grâce à la cartographie

 identifier et gérer les responsabilités et ressources
 atteindre une gestion efficace de l’entreprise en s’appuyant sur les indicateurs des
processus
 gérer les risques pouvant influencer sur les objectifs
Approche processus : management par les processus pour mieux satisfaire les clients,
améliorer l’efficacité de tous les processus et augmenter l’efficience globale
L’approche processus intégrée au cours du développement, la mise en œuvre et

l’amélioration continue d’un système de management permet d’atteindre les objectifs liés à
la satisfaction du client, comme le montre la figure 3-4.
Figure 3-4. Modèle d’un SM basé sur l’approche processus et l’amélioration continue
L’approche processus (cf. annexe 09) :
 souligne l’importance :
o de comprendre et de satisfaire les exigences client
o de la prévention pour réagir sur les éléments non voulus comme :
 retours client
 rebuts
o de mesurer la performance, l’efficacité et l’efficience des processus
o d’améliorer en permanence ses objectifs sur la base de mesures objectives
o de la valeur ajoutée des processus
 repose sur :
www.pqb.fr 27 / 31
o l’identification méthodique
o les interactions
o la séquence et
o le management des processus qui consiste à :
 déterminer les objectifs et leurs indicateurs
 piloter les activités associées
 analyser les résultats obtenus
 entreprendre des améliorations en permanence
 permet :
o de mieux visualiser les données d’entrée et de sortie et leurs interactions
o de clarifier les rôles et responsabilités exercées
o d’affecter judicieusement les ressources nécessaires
o de faire tomber des barrières entre les services
o de diminuer les coûts, les délais, les gaspillages
 et assure à long terme :
o la maîtrise
o la surveillance et
o l’amélioration continue des processus
L’approche processus ce n’est pas :
 la gestion de crise (« On ne résout pas les problèmes en s’attaquant aux effets »)

 blâmer le personnel (« La mauvaise qualité est le résultat d’un mauvais
management ». Masaaki Imai)
 la priorité aux investissements (« Utilisez vos méninges, pas votre argent ». Taiichi
Ohno)
28 / 31 www.pqb.fr
4 Principes
4.1 Création de la valeur
La finalité de la gestion du risque est la création et la préservation de la valeur. Pour

atteindre les objectifs et améliorer les performances globales il convient de respecter
scrupuleusement les principes listés dans les paragraphes 4.2 à 4.9 du présent module et
dans l’article 4 de la norme ISO 31000.
Comme l’indique le titre de la norme (Management du risque – Lignes directrices) la norme

ISO 31000 ne contient pas d’exigences et une entreprise ne peut pas être certifiée selon
cette norme. Mais comme nous avons vu au paragraphe 1.3 les bénéfices peuvent être
substantiels, pour ne pas dire considérables.
Vous pouvez vérifier si vous avez du bon sens en répondant aux questions du test de
présence d’esprit de l’annexe 10.
Histoire vraie
Au début des années 1970 un projet est proposé à Bill Hewlett, l’un ses fondateurs de HP.
C’est un petit appareil portatif capable de calculer scientifiquement avec dix chiffres de
précision. Le prototype est fabriqué en bois, avec tous les boutons étiquetés. Bill Hewlett
examine les fonctions, souri et glisse l'appareil dans la poche de sa chemise. Cela
deviendra le calculateur HP-35.
Imposer sa volonté pour saisir une opportunité peut rapporter énormément même quand le
marché est inconnu et la technologie n’est pas aboutie.
4.2 Intégration
Le risque est l’affaire de tous
Intégrer la gestion du risque dans tous les processus de l’entreprise est un objectif clé.
Il convient de sensibiliser régulièrement l’ensemble du personnel à prendre en compte le

risque dans la conception, le développement, l’industrialisation, la production et le soutien
opérationnel.
4.3 Approche systématique
L’approche systématique (structurée et globale) de la gestion du risque contribue à

l’atteinte des objectifs.
Cette approche est opportune et globale. Elle aide à définir les priorités et à prendre les
bonnes décisions.
4.4 Adaptation au contexte
Les risques ne peuvent être considérés en dehors du contexte qui a engendré les
risques. Paul Hopkin
La gestion du risque est taillée sur mesure en fonction du contexte de l’entreprise, des
objectifs prioritaires et des ressources disponibles.
www.pqb.fr 29 / 31
Il est recommandé que l’effort de la mise en place de la gestion du risque soit proportionné
au niveau du risque dans l’entreprise.
Histoire vraie
Une pièce d'équipement fut déplacée pour faire place à de nouveaux équipements
volumineux. Lorsque la maintenance planifiée devait commencer sur le premier
équipement le gars de la maintenance fut incapable d'exécuter ses activités car
l'équipement était trop près du mur. Il suggéra de créer une porte dans le mur pour
permettre l'accès à l'équipement.
Le seul souci était que c’était un mur extérieur !
4.5 Participation des parties prenantes
L’implication et la participation active des parties prenantes permettent une gestion du

risque transparente et inclusive.
Les connaissances, les besoins et attentes des parties prenantes sont mieux prises en
compte.
Histoire vraie
« Dans une entreprise typique, si vous avez une réunion, peu importe combien importante,
il y a toujours une partie qui n'est pas représentée : le client. Il est donc très facile à
l'intérieur de l'entreprise d'oublier le client ». Jeff Bezos.
Pour remédier à ce souci d’oubli il prit l’habitude de placer une chaise vide à chaque
réunion.
4.6 Dynamisme
La gestion du risque est un voyage, pas une destination
Les enjeux internes et externes du contexte de l’entreprise changent en permanence.
La gestion du risque est dynamique, itérative et réactive à tout changement.
4.7 Meilleure information
La gestion du risque est basée sur les meilleures informations nécessaires et la

communication des performances obtenues.
Les informations sont identifiées, conservées, disponibles, claires et accessibles aux

parties prenantes.
4.8 Facteurs humains et culturels
Les facteurs humains et culturels sont pris en compte à toutes les étapes de gestion du
risque.
Les attentes, spécificités et aptitudes des parties prenantes sont identifiées et intégrées aux
activités permettant de mieux atteindre les objectifs.
30 / 31 www.pqb.fr
Minute de détente. Cf. blague « Contrat en or ».
4.9 Amélioration continue
L’efficacité de gestion du risque est améliorée en continu à l’aide de la formation de

l’ensemble du personnel et de l’expérience des personnes avec une forte influence.
L’amélioration de la gestion du risque prend en compte :
 les ressources disponibles

 la contribution des parties prenantes
 l'efficacité du processus existant
 les opportunités potentielles
 la surveillance et l’évaluation des performances
www.pqb.fr 31 / 31

PQBE51 SP 31 P

Transféré par

Droits d'auteur :

Formats disponibles

PQBE51 SP 31 P

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

PQBE51 SP 31 P

Transféré par

Droits d'auteur :

Formats disponibles

PQB E 51 S Gestion du risque

Objectif du module : Maîtriser la gestion du risque pour pouvoir :

 atteindre sereinement les objectifs de l’entreprise

Toute décision comporte un risque. Peter Barge

La crise financière mondiale de 2008 a remis en question la contribution de la gestion du

L'avenir ne peut pas être prédit

Le risque zéro n’existe pas

L’objectif principal de la gestion du risque est d’assurer la survie de l’entreprise en toutes

Le risque ne peut être éliminé

Le domaine du présent module s’applique à la gestion du risque dans l’entreprise. Cela

 les principes (cf. chapitre 4)

Le domaine des risques inclut :

 les prestataires externes

 aux crises financières

Exemple d’un domaine d’application

La gestion du risque est utilisée dans de nombreux domaines :

Bénéfices attendus de la gestion du risque :

 amélioration de la confiance des parties prenantes

 création de la valeur pour l’entreprise

Le plus grand des risques est de n'en prendre aucun !

Causes premières des échecs :

Figure 1-1. Le coût et la vie du produit

Qui s’excuse s’accuse

Excuses courantes pour expliquer un échec :

 c’était de la responsabilité de la direction

2 Définitions, normes et livres

Souvent le risque est assimilé à un danger et utilisé couramment à la place de menace.

Les définitions du mot risque sont multiples. Quelques exemples :

 combinaison de la probabilité d’occurrence d’un dommage et de sa gravité. ISO 51

Risque : vraisemblance d'apparition d'une menace ou d’une opportunité

Quelques définitions de la gestion du risque (management du risque) :

 activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du

Quelques définitions du mot danger (ou phénomène dangereux) :

Danger : situation pouvant conduire à un incident

Quelques définitions de l’appréciation du risque (risk assessment) :

 ensemble du processus d’identification des risques, d’analyse du risque et

Appréciation du risque (risk assessment) : processus d'identification, d'analyse et

Quelques définitions de l’identification du risque :

 processus de recherche, de reconnaissance et de description des risques. ISO

Quelques définitions de l’analyse du risque :

 processus d'examen de chaque enjeux ou processus du risque identifié pour affiner

Analyse du risque (risk analysis) : activité de l’appréciation du risque pour comprendre la

Quelques définitions de traitement du risque :

 processus d'élaboration, de sélection et de mise en œuvre des contrôles. BS 31100

Traitement du risque (risk treatment) : activités de modification du risque

Quelques définitions du mot opportunité :

 effet positif de l’incertitude. Christopher Paris

Opportunité : événement incertain pouvant avoir un impact favorable

Impact : conséquence d’un événement affectant les objectifs

Vraisemblance (likelihood) : possibilité que quelque chose arrive

La probabilité peut être considérée comme mesure de l'incertitude. Si la probabilité peut

Pour ne pas confondre danger et risque quelques exemples simples :

Comme le montre la figure 1-1 le temps d’exposition au danger multiplie le risque :

Figure 2-1. L’exposition au danger

Figure 2-2. Le niveau du risque

Figure 2-3. La criticité du risque

Quelques définitions et sigles :

5 M : voir Diagramme d’Ishikawa

Dans la terminologie des systèmes de management ne pas confondre :