Point abordés: • Concepts fondamentaux liés aux risques • Le cadre de reference COSO Il versus l’ISO 31000 • Le management des risques selon l’ISO 31000 Présentateur: Le webinaire est présenté par Zied Boudriga, formateur certifié par PECB et auditeur senior pendant 11 années et actuellement Directeur des risques Opérationnels et des Marchés.

1. Présenté par Zied BOUDRIGA
17 septembre 2015
1
L’ISO 31000:2009 Management du Risque – Principes et Lignes
Directrices : cadre de référence incontournable pour l’entreprise

2. Concepts fondamentaux liés aux risques
2

3. LE DOMAINE DU CONNAISSABLE & ET DE L’INCONNAISSABLE
Le management des risques est associé à un ensemble d’informations conduisant à
une décision, des actions et des résultats attendus.
Le domaine de l’inconnaissable.
Le domaine du connaissable.
Le contenu de ces informations se situe dans deux domaines distincts.
3

4. Les éléments de ce domaine sont hors de portée de l’observation, et ne dépend
pas de notre volonté.
Le hasard
4
LE DOMAINE DE L’INCONNAISSABLE

5. Le domaine du connaissable dont les éléments sont définis de façon qualitative et
exhaustive.
Dans ce domaine en se trouve en présence de deux zones: la zone d’incertitude et
la zone de certitude.
L’incertitude
La certitude
5
LE DOMAINE DU CONNAISSABLE

6. LES TERMES
Le hasard
L’incertitude
La certitude
6
L’incertitude
6

7. La gestion des risques nécessite d’acquérir un état d’esprit qui accepte de prendre
en compte dans la démarche l’incertitude, en excluant le hasard, afin d’en mesurer
les impacts et de prendre les actions, dans le futur, de maitrise qui doivent
s’imposer.
7
L’INCERTITIUDE

8. Le risque c’est l’effet de l'incertitude sur l'atteinte des objectifs
8
L’INCERTITIUDE -suite-Définition du risque
NOTE 1 :
Un effet est un écart, positif et/ou négatif, par rapport à une attente.
NOTE 2 :
Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé
et de sécurité, ou environnementaux) et peuvent concerner différents niveaux
(niveau stratégique, niveau d’un projet, d’un produit, d’un processus ou d’un
organisme tout entier).

9. LE RISQUE UNE QUETION DE VISION
9

10. LE RISQUE UNE QUETION DE PERCEPTION
10
0,7
6,4
5,4
0,7
0,035
13,8

11. 11
Objectifs Risques Contrôles
Le modèle ORICO

12. Définition du risque
12

13. Evénement
Ensemble de
causes
Ensemble de
conséquences
Un événement donnée est associé à l’ensemble de ses causes ou origines et à
l’ensemble de conséquences.
QUE SIGNIFIE LE MOT RISQUE? -suite-

14. LES ÉLÉMENTS CONSTITUTIFS DU RISQUE
 Présence d’un danger (source de risque);
le risque se caractérise par cinq éléments
 Événement amorce;
 Cible menacée;
 Événement contact;
 Accident.
14

15. MODÉLISATION DU RISQUE
1
Evénement
contact
ET
2
Evénement
amorce
4
ET Accident
Danger ou
élément dangereux
5
Conséquences
Les événements 2 et 4 sont respectivement les causes génériques de la situation
dangereuse pour la cible et de l’accident dans une configuration de système.
6
Situation
dangereuseCibles
3
15

16. EXEMPLE 1
1
Décollage de l’avion
ET
2
Panne des moteurs
4
ET Crash d’avion
Avion
5
Mort, blessures …
6
Avion en volPassagers
3
16

17. EXEMPLE 2
Danger
Événement contact
+ +ET =
Situation dangereuse
Orage
17

18. Échelle du risque
18

19. Le risque est une grandeur:
à deux dimensions notée (V,I) associé à l’occurrence d’un événement E
où « V » est la vraisemblance (probabilité) qui mesure l’incertitude de
survenance et « I » l’impact (conséquence ) de l’événement E, en termes de
dommages ou de préjudices.
MESURE DES RISQUES
19

20. Dans le contexte de gestion des risques, la vraisemblance est une mesure de
l’incertitude sur l’occurrence d’un événement.
Seuls les événements appartenant au domaine du connaissable sont
probabilisables par une mesure comprise entre 0 et 1. Ces bornes correspondent
respectivement à des événements impossibles et certains.
LA VRAISEMBLANCE
20

21. Le tableau suivant présente une échelle de la probabilité d’occurrence :
21
Almost certain Presque certain 6
Very likely Très probable 5
Likely Probable 4
Possible Possible 3
Unlikely Improbable 2
Rare Rare 1
LA VRAISEMBLANCE -suite-

22. La hiérarchisation des risques est définie directement à partir de l’impact de
l’événement redouté.
Catastrophic Catastrophique 6
Cretical Critique 5
Major Majeur 4
Moderate Modéré 3
Minor Mineur 2
Negligible Negligeable 1
L’IMPACT
22

23. La criticité: est déterminer en associant dans une formule arithmétique les deux
dimensions d’un risque.
- C: criticité
- V: vraisemblance
- I: impact
𝑪 = 𝑽 × 𝑰
LA CRITICITÉ
23

24. Protection
La « protection » regroupe les mesures prises pour limiter les conséquences de la
survenance d’un risque, en diminuant ainsi la gravité.
La protection ne modifie aucunement la vraisemblance, elle ne change donc en
rien la potentialité que le risque se concrétise.
MESURES DE PROTECTION
24

25. Mettre un casque n’empêche ni les chutes d’objets ni l’opérateur de se heurter la
tête mais évite ou réduit les lésions crâniennes qui pourraient résulter de ces
accidents.
Exemples:
- un casque de sécurité,
- une assurance,
- un plan du secours.
Souscrire une assurance ne modifie ni la probabilité de l’accident, ni la dangerosité
de celui-ci. Cela permet seulement à la cible ainsi protégée de supporter,
financièrement les conséquences de l’accident.
MESURES DE PROTECTION -suite-
25

26. Prévention
La prévention désigne les mesures préalables prises pour que le risque ne se
concrétise pas
La prévention affecte la vraisemblance en visant à diminuer le nombre d’exposés
et/ou leur temps d’exposition.
Exemples:
- une barrière empêchant l’accès,
- une panneau d’alerte avertissant de la dangerosité d’une situation,
- la limitation de vitesse.
MESURES DE PRÉVENTION
26

27. LE DIAGRAMME DE FARMER
Acceptable
Vraisemblance
Impact
Mesure de
prévention diminue
la vraisemblance
Mesure de
prévention diminue
l’impact
27

28. LE DIAGRAMME DE FARMER -suite-
Acceptable
Non acceptable
Vraisemblance
Impact
Le concept d’acceptabilité conduit à distinguer deux régions dans ce graphe.
La frontière entre risques
acceptables et inacceptables
n’est pas évidente à tracer. Elle
est négociée par les différents
acteurs confrontés aux risques.
28

29. Vraisemblance
Impact
Incendie – Installation
sans moyen d’extinction
Incendie – Installation
avec moyen d’extinction
Incendie – Installation avec
moyen d’extinction et
procédures / formations
LE DIAGRAMME DE FARMER -suite-
29

30. L’appétence pour le risque est le niveau de risque global auquel l’entreprise
accepte à faire face, en cohérence avec ses objectifs de création de la valeur.
APPETENCE POUR LES RISQUES
30

31. ElevéFaible
Vraisemblance
ElevéFaible
Impact
S’inscrit dans les limites
de l’appétence pour le
risque
Supérieur à
l’appétence pour
le risque
APPETENCE POUR LES RISQUES -suite-
31

32. Classe Niveau du
risque
Extrem Extrême 4
High Elevé 3
Medium Moyen 2
Low Faible 1
NIVEAU DU RISQUE

33. MATRICE DES RISQUES
Negligible Minor Moderate Major Cretical Catastrophic
Négligeable Mineur Modéré Majeur Critique Catastrophique
Almost certain
2 3 4 4 4 4
Presque certain
Very Likely
2 2 3 4 4 4
Très probable
Likely
1 2 3 3 4 4
Probable
Possible
1 2 2 3 3 4
Possible
Unlikely
1 1 2 2 3 4
Improbable
Rare
1 1 1 1 2 4
Rare

34. CARTOGRAPHIE DES RISQUES

35. 35
Le cadre de référence COSO II versus l’ISO 31000

36. COSO?
The Committee of Sponsoring Organizations (COSO) of the Treadway
Coomission is a voluntary private-sector organization.
COSO en 1985 afin d’étudier les facteurs causant les frudes au niveau des
états financiers..
36
Le COSO joue un rôle moteur en matière d’élaboration de référentiels et
de lignes directrices concernant:
 le contrôle interne,
 la gestion des risques,
 la lutte contre la fraude.

37. American Accounting Association (AAA):
Association Comptable Américaine.
American Institute of Certified Public Accountants
(AICPA): Institut des expert comptables.
Financial Executives International (FEI): La
fédération internationale des Directeurs financiers.
Institute of Management Accountants (IMA):
l'institut des professionnels comptables et
financiers.
Institute of Internal Auditors: Institut des auditeurs
internes.
37
Les sponsors du COSO sont:
COSO? -suite-

38. Le Management de risques est un processus mis en œuvre par le Conseil
d’Administration, la direction générale, le managent et l’ensemble de collaborateurs
de l’organisation.
Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les
activités de l’organisation.
Il est conçu pour identifier les événement potentiels susceptible d’affecter
l’organisation et pour gérer les risques dans les limites de son appétence pour le
risque. Il vise à fournir une assurance raisonnable quant à la réalisation des
objectifs de l’organisation.
DÉFINITION PROCESSUS MANAGEMENT DES RISQUES

39. Identifications des événements
Fixations des objectifs
Évaluation des risques
Traitement des risques
Activités de contrôle
Information et communication
Pilotage
Environnement interne
Entreprise
Division
Unitédegestion
Filiale
39

40. 40
Le management des risques selon l’ISO 31000

41. LA NORME ISO 31000 - 2009
 C’est un cadre générique d’ISO pour toutes les normes liées au management
du risques (environnement, santé, sécurité et qualité etc.).
41
 Fournit des principes et des lignes directrices générales sur le management
des risques.
 Peut s’appliquer à tout type de risque, quelle que soit sa nature.
 N’a pas pour vocation de servir de base de certification.

42. LA FAMILLE ISO RELATIVE AU RISQUE
o ISO 73 – 2009 : Management du risque - Vocabulaire
42
o ISO 31000 - 2009 : Principes et lignes directrices de mise en œuvre.
o ISO 31010 – 2009 : Gestion du risques – techniques d’évaluation du risque.
o ISO 31004 – 2013 : Management du risque - Lignes directrices pour
l’implémentation de l’ISO 31000 .
o ISO 27005 – 2011 : Technologies de l'information -- Techniques de sécurité --
Gestion des risques liés à la sécurité de l’information.

43.  C’est le cadre générique d’ISO pour toutes les normes liées au management
du risque (environnement, qualité, santé et sécurité et,)
43
L’ISO 31000 CADRE GÉNÉRIQUE
 Fournit des principes et des lignes directrices générales sur le management
des risques.
 Peut s’appliquer à tout type de risque, quelle soit sa nature ou le contexte.
 N’a pas pour vocation de servir de base à une certification.

44. Etablissement du contexte
Identification des risques
Analyse des risques
Évaluation des risques
Traitement des risques
Surveillance
Communicationetconcertation
LE PROCESSUS DE MANAGEMENT DES RISQUES SELON L’ISO 31000
Appréciation des risques
44

45. Mise en œuvre du processus de management des risques
45

46. 1. Le management du risque crée de la valeur et la préserve.
2. Le management du risque est intégré aux processus organisationnels.
3. Le management du risque est intégré au processus de prise de décision.
4. Le management du risque traite explicitement de l’incertitude.
5. Le management du risque est systématique, structuré et utilisé en temps
utile.
6. Le management du risque s’appuie sur la meilleure information disponible.
7. Le management du risque est adapté.
8. Le management du risque intègre les facteurs humains et culturels.
9. Le management du risque est transparent et participatif.
10. Le management du risque est dynamique, itératif et réactif au changement.
11. Le management du risque facilite ‘amélioration continue de l’organisme.
46
LES 11 PRINCIOES DE MANAGEMENT DES RISQUES

47. La figure suivante illustre les relations entre les principes de
management du risque, le cadre organisationnel dans lequel
il se présente et le processus de management du risque
décrits dans la Norme ISO 31000.
47
L’ISO 31000 CADRE GÉNÉRIQUE

48. 48
a) Crée de la valeur
b) Fait partie intégrante des
processus
organisationnels
c) Élément de la prise de
décision
d) Traite explicitement de
l’incertitude
e) Systématique, structuré
et en temps utile
f) S’appuie sur la meilleure
information disponible
g) Adapté
h) Tient compte des facteurs
humains et culturels
i) Transparent et participatif
j) Dynamique, itératif et
réactif au changement
k) Facilite l’amélioration
continue et le
développement
permanents de
l’organisme
Principes
(Article 3)
Mandat et
engagement
(4.2)
Conception du
cadre
organisationnel de
management du
risque (4.3)
Mise en œuvre
du management
du risque
(4.4)
Amélioration
continue du
cadre
organisationnel
(4.4)
Surveillance et
revue du cade
organisationnel
(4.5)
Cadre
(Article 4)

49. LE MANAGEMENT DES RISQUES EST UN PROJET ENTREPRISE
49

50. 50
Projet de
management des
risques
1.1 Obtention d’un
mandat de la
direction et son
engagement
1.2 Nomination d’un
responsable
1.3 Définir les
responsabilités des
principaux
intervenants
1.4 Assurer la
responsabilité
1.5 Établissement de
la politique de
management du
risque
1.6 Mise en œuvre
d’un processus de
management du
risque

51. 51

52. Communication et Concertation
52

53. 53
La concertation : clé de réussite
Partie prenante:
Personne ou organisme susceptible d’affecter, d’être affecté ou de se sentir lui-
même affecté par une décision ou une activité.

54. Établissement du contexte
54

55. 55
Mise en œuvre du
programme de
management des
risques
2.1 Mission,
objectifs, valeurs et
stratégies
2.2 Etablissement de
l’environnement
externe
2.3 Etablissement de
l’environnement
interne
2.4 Identification et
analyse des parties
prenantes
2.5 Identification et
analyse des
exigences
2.6 Détermination
des objectifs
2.7 Détermination
des critères de base
2.8 Détermination
du périmètre et des
limites

56. Appréciation du risque
56

57. Identification des risques
Analyse des risques
Évaluation des risques
LE PROCESSUS DE MANAGEMENT DES RISQUES SELON L’ISO 31000
Appréciation des risques
57

58. L’organisme identifie les sources de risque, les domaines d’impact, les
événements, ainsi que leurs causes et conséquences potentielles.
58
IDENTIFICATION DES RISQUES
Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur
les événements susceptibles de provoquer, de stimuler, d’empêcher, de gêner, ou
de retarder l’atteinte des objectifs.

59. L’analyse du risque implique la prise en compte des causes et sources de risque,
de leurs conséquences positives et négatives, et de la vraisemblance que ces
conséquences surviennent.
59
ANALYSE DES RISQUES
Le risque est analysé en déterminant les conséquences et leur vraisemblance,
ainsi que d’autres attributs du risque.

60. L’analyse du risque consiste à ESTIMER les conséquences et leurs
vraiseemblance pour les événements identifiés en tenant compte de la présence
(ou non) et de l’efficacité de toutes les mesures existantes.
60
ANALYSE DES RISQUES (suite …)
Les conséquences et leurs vraisemblance sont combinées pour déterminer la
criticité du risque.

61. L’évaluation du risque consiste à comparer le niveau de risque déterminé au
cours du processus d’analyse aux critères de risque établis lors de l'établissement
du contexte.
61
EVALUATION DES RISQUES
Sur la base de cette comparaison, il est possible d'étudier la nécessité d'un
traitement.

62. MATRICE DES RISQUES
Negligible Minor Moderate Major Cretical Catastrophic
Négligeable Mineur Modéré Majeur Critique Catastrophique
Almost certain
2 3 4 4 4 4
Presque certain
Very Likely
2 2 3 4 4 4
Très probable
Likely
1 2 3 3 4 4
Probable
Possible
1 2 2 3 3 4
Possible
Unlikely
1 1 2 2 3 4
Improbable
Rare
1 1 1 1 2 4
Rare

63. Traitement des risques
63

64. Traitement des risques
LE PROCESSUS DE MANAGEMENT DES RISQUES SELON L’ISO 31000
64

65. Le traitement du risque implique le choix et la mise en œuvre d’une ou de
plusieurs options de modification des risques. Une fois mis en œuvre, les
traitements engendrent ou modifient les moyens de maîtrise du risque.
65
TRAITEMENT DES RISQUES: GÉNÉRALITÉ
Le traitement du risque implique un processus itératif:
- évaluer un traitement du risque;
- décider si les niveaux de risque résiduels sont tolérables;
- S’ils ne sont pas tolérables, générer un nouveau traitement du risque; et
- apprécier l’efficacité de ce traitement.

66. ElevéFaible
Vraisembalnce
ElevéFaible
Impact
S’inscrit dans les limites
de l’appétence pour le
risque
Supérieur à
l’appétence pour
le risque
66

67. 67
Risque
inhérent
OuiNon Evaluation du
risque
Analyse du
risque
Acceptation du
risque
Non
Actions de
maîtrise
Oui
Risque
résiduel
Non
Oui
Revue du risque
Non Oui

68. 68

69. Lorsque le risque identifié est considéré trop élevé, une
décision peut être prise pour éviter totalement ce risque.
69
ÉVITEMENT DU RISQUE
 Par l’annulation d’une activité ou d’un ensemble
d’activités.
 Ou par la modification des conditions en vertu desquelles
l’activité est exploitée.

70. C’est diminuer les niveaux de mesures actuelles ou
s’autoriser à une plus grande exposition au risque.
70
AUGMENTATION DU RISQUE
Deux situations logiques:
1. Diminuer les mesures si les coûts dépassent le bénéfices.
2. Augmenter son exposition au risque si l’organisme peut
profiter de plus d’opportunités.

71. Cette option consiste à éliminer la source du risque.
71
ÉLIMINATION DU RISQUE
Exemple: faire pression pour révoquer une loi.
Cette option est faisable seulement dans l’éventualité que
l’organisme a la disponibilité de retirer la source du risque.

72. Il s’agit de réduire le niveau u risque par la sélection des
mesures afin que le risque résiduel puisse être réapprécié et
considéré acceptable.
72
MODIFICATION DU RISQUE
Trois options:
1. Modifier la vraisemblance.
2. Modifier l’impact.
3. Modifier à la fois la vraisemblance et l’impact.

73. Le risque peut être transféré à une autre partie qui peut le
gérer plus efficacement.
73
PARTAGE DU RISQUE
Cette option est la plus appropriée quand :
1. il est difficile pour un organisme de réduire le risque à
un niveau acceptable;
2. l’organisme n’a pas l’expertise pour le gérer;
3. il est plus économique de le transférer à une tierce
partie.

74. Si le niveau de risque répond aux critères d’acceptation du
risque, il n’est pas judicieux de mettre en place des mesures
supplémentaires et le risque peut être accepté de facto.
74
MAINTIEN DU RISQUE
Le maintien du risque doit cependant être documenté.

75. La négation du risque n’est jamais une option de traitement
du risque.
75
NÉGATION DU RISQUE

76. « je n’imagine aucune circonstance qui puisse provoquer le
naufrage de ce navire. Je ne veux pas imaginer une
catastrophe vitale qui puisse affecte ce navire »
Edward John Smith Capitaine du Titanic, 1912
76
NÉGATION DU RISQUE (suite…)

77. 77
Temps du réponse du bateau
Temps du réponse du bateau
t1 t2 t4
La vigie annonce l’Iceberg Information valide
Décision possible
Délibération
Info transmise à l’office
Prise de conscience Prise de décision
Ordre de manœuvre
t6t3 t5

78. 78
ATTEINDRE L’EQUILBRE DANS LA RÉDUCTION DU RISQUE

79. 79
DEVENIR CERTIFIER ISO 31000

80. 80

81. POURQUOI ETRE CERTIFIÉ
 Se qualifier pour gérer les risques.
 Reconnaissance formelle et indépendante des compétences personnelles.
 Les professionnels certifiés bénéficient généralement de salaires supérieurs à
ceux des professionnels non certifiés.
81

82. 82
MERCI POUR VOTRE ATTENTION
82