Sommaire des différents articles de ce thème:
#1 Introduction
Définitions
Axiomes
Fichiers à télécharger
#2 Identification
AMDEC
Brainstorming
.
#3 Priorisation
Indice de Criticité
Attitude face au risque
.
#4 Actions
Seuil de criticité
Réévaluation par iterations
.
#5 Testez-vous !
.
Quiz
.
.
.
2) Prioriser les risques avec les équipes et les faire valider par la Direction
Nous allons ici hiérarchiser les risques de l’ensemble des processus pour ne traiter que les risques les plus « critiques » pour l’entreprise.
Vous aurez remarqué que j’ai employé jusqu’ici le terme « important » plutôt que « grave ».
Un risque « grave » pour « l’homme de la rue » est forcément important ce qui est loin d’être vrai.
Prenons un exemple caricatural pour illustrer notre propos:
« Un avion qui s’écraserait sur votre entreprise »
Les conséquences de ce risque seraient gravissimes mais sa probabilité d’apparition est quasi-nulle.
Si bien, que même si nous avions étudié ce risque son score de criticité serait très faible, et qu’aucune action ne serait décidée pour ce « risque ».
Mais au fait, qu’est-ce que la criticité ?
Nous voyons que la gravité ne peut être la seule dimension prise en compte pour déterminer l’importance du risque.
L’importance du risque que nous nommerons désormais « criticité » est un indice (score) obtenu par la mise en relation de 3 dimensions du risque:
- La gravité (G)
- La probabilité d’apparition (PA)
- La capacité à faire face (CFF)
NB: Souvent la 3ème dimension étudiée est la « Prédictibilité », je préfère pour des raisons pratiques et de performance substituer la notion de Capacité à Faire Face à celle de Prédictibilité.
2.1 Hiérarchisons les risques de chaque processus en calculant leur indice de criticité
Cette comparaison des différents risques déterminera quels sont les risques les plus critiques pour chaque processus puis ceux retenus comme devant être traités dans l’entreprise.
Les risques ayant le plus haut niveau de criticité seront les risques prioritaires à traiter.
Nous les déterminons à l’aide de la formule de calcul:
L’Indice de Criticité = Gravité X Probabilité d’apparition / Capacité à Faire Face
En formule synthétique: IC= G X PA / CFF
Nous commencerons par traiter « Gravité X Probabilité d’Apparition » (nous nous occuperons de la capacité à faire face (CFF) ensuite.
En les positionnant dans la matrice suivante nous pourrons commencer à les comparer aisément.
Nous devons fixer des exemples de cas équivalent aux différents niveaux:
G9= niveau de gravité élevé
G3= niveau de gravité moyen
G1= niveau de gravité faible
PA9= fréquence d’apparition élevée
PA3= fréquence d’apparition moyenne
PA1= fréquence d’apparition faible
Nous voyons ici que les échelles sont 1,3,9 et non 1,2,3 pourquoi ?
Je vous conseille une échelle dite « géométrique » 1-3-9 (X3 à chaque niveau) et non « arithmétique » 1-2-3 (+1 à chaque niveau)
Cela aide à marquer un réel écart (contraste) entre les niveaux de criticité
Les évènements servant de repères pour exprimer les niveaux de gravité et probabilité d’apparition varieront évidemment grandement selon la taille de la structure ainsi pour une perte financière moyenne la TPE pourra choisir 1000 euros là où la multinationale fixera 1 000 000 euros.
Les échelles sont donc à adapter par rapport à la taille de votre entreprise.
Nous prendrons pour exemple une PME appelée « Integrator Maximum » avec le risque cité précédemment : « cartes électroniques reçues non conformes » pour traiter un exemple complet.
NB: L’exemple sera écrit en « bleu » pour un meilleur suivi.
Nous reprenons notre échelle en mettant des exemples de situations pour évaluer pour chaque cas à quelle situation le risque est le plus similaire.
Pour la gravité les évènements servant de repères pourraient être:
G9= niveau de gravité élevé (Mort d’une personne, Fermeture administrative de l’entreprise)
G3= niveau de gravité moyen (Perte financière d’au moins 10 000 euros)
G1= niveau de gravité faible ( Autres cas moins graves)
PA9= fréquence d’apparition élevée (Probabilité plausible d’apparition tous les mois)
PA3= fréquence d’apparition moyenne (Probabilité plausible d’apparition tous les trimestres)
PA1= fréquence d’apparition faible (Probabilité plausible d’apparition moins fréquente)
Ce qui nous donne pour notre risque « cartes électroniques reçues non conformes » un rapprochement avec les échelles déterminées précédemment :
G3= niveau de gravité moyen (Perte financière d’au moins 10 000 euros) et
PA9= fréquence d’apparition élevée (Probabilité plausible d’apparition tous les mois dû à une absence de méthode fiable pour les contrôles à réception)
L’indice de criticité pour cet exemple sera alors de 27= 3X9 (G3 x PA9)
Ce risque sera noté « risque n°2 » dans la matrice:
Vous vous rappelez que L’Indice de Criticité est égal à G X PA / CFF
Avec « CFF » (capacité à faire face) comme diviseur, cela signifie que votre capacité à réagir à temps et de façon pertinente pourrait faire chuter l’indice de criticité.
Nous prendrons pour les niveaux de CFF les équivalences suivantes:
CFF=9 « Risque déjà rencontré, nous avons prouvé que nous savions le maîtriser »
CFF=3 « Nous avons une bonne connaissance de ce qu’il faut faire mais pas d’expérience »
CFF=1 « Nous connaissons mal ce risque et ne savons pas ce qu’il faut faire »
Pour notre exemple envisageons deux cas:
1er cas: « cartes électroniques reçues non conformes » et vous n’avez pas de solution que perdre du temps à repasser une commande à votre sous traitant.
Dans ce cas l’indice de criticité ne changera pas (car nous ne savons pas réagir à ce risque):
L’indice de criticité pour cet exemple sera alors de 27= 3X9/1 (G3 x PA9 / CFF1)
—
2ème cas: « cartes électroniques reçues non conformes » et vous avez en interne deux personnes qui ont déjà démontrées qu’elles savaient reprogrammer les cartes électroniques.
Dans ce cas l’indice de criticité changera sensiblement:
L’indice de criticité pour cet exemple sera alors de 3= 3X9/9 (G3 x PA9 / CFF9)
Il vous faudra coter tous les risques cités lors du brainstorming de la même façon.
2.2 Faire valider par la Direction
Même si la méthode d’approche par les risques est une modélisation des priorités des actions, la méthode ne saurait s’imposer à la vision de la Direction ni aux risques qu’elle assume de prendre en pleine connaissance de causes.
Ainsi, comme précisés dans le « § 6.1.2 Note 1: Les options face aux risques et opportunités peuvent comprendre: »
[…]
– « Prendre le risque afin de saisir une opportunité »
[…]
– « Maintenir le risque sur la base d’une décision éclairée »
Ce qui signifie que la Direction peut très bien avoir conscience de certains risques et en assumer les conséquences potentielles.
Votre démonstration de la maîtrise du risque peut alors s’arrêter au fait de les avoir coter et en avoir informé la Direction.
Cela peut paraître étrange mais cela est incontournable dans les affaires.
Une entreprise peut très bien décider de sortir un nouveau produit / projet même si celui ci est novateur et met en péril sa survie en cas d’échec (Cf. Elon Musk / Space X par exemple à ses débuts).
Continuons vers la mise en place des actions et la vérification de leur efficacité.
Articles recommandés:
Vous avez aimé cet article ?
Notez-le SVP en cliquant sur le bouton situé tout en bas de la page "Create your own review" cela m'aidera à le faire connaître.
Merci !
Submit your review | |
très bien expliqué et illustré
dans le cadre du grnad oral cet article m'a bien aidé
Bref et très riche en info
Article intéressant, il est surtout bien détaillé et facilite la compréhension.
Merci, je suis plus que satisfaite
Bonne explication
article tres précis. merci
Il y a une erreur dans le calcul de l’indice de criticité du 2ème cas : 3*9/9 donne 3 et non 9
C’est corrigé merci pour votre vigilance.