Elaboration de la cartographie des risques

Altaïr Conseil
Transformation – Gouvernance - Risques
Elaborer la cartographie des risques
(Démarche et méthode)
33, rue Vivienne, 75 002 Paris – 01 47 33 03 12 – www.altairconseil.fr – [email protected]
© Copyright Altaïr Conseil – Reproduction strictement interdite
Objectifs
 Identifier et hiérarchiser les facteurs de risque
(référentiel)
 Dresser un état des lieux complet des
vulnérabilités
Construite à partir d’une approche globale, la cartographie constitue un
outil d’aide à la décision pour les responsables de l’entreprise ou de
l’organisation
A ce titre, elle s’inscrit dans le dispositif de gouvernance des risques
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
2
Démarche globale d’élaboration de la cartographie
1ère étape
2e étape
Identification des
évènements
• Evènements internes
• Evènements externes
• Cartographie processus
Evaluation
des risques
• Probabilités &
occurrences
• Impacts &
conséquences
3e étape
Analyse des
situations à
risques
• Risques critiques
• Risques résiduels
• Interdépendance
4e étape
Cartographie
• Modélisation
• Représentation
5e étape
Préconisations
• Plan de maîtrise des risques
• Dispositif de prévention et
de protection
• Stratégie de continuité
• Gouvernance
Des approches opérationnelles et adaptées
 Enquêtes auprès des collaborateurs
 Collecte de données externes (observatoires)
 Entretiens individuels (responsables)
 Animation de groupes de travail
 Séminaire
Un appareillage méthodologique éprouvé
 Base évènementielle
 Questionnaires
 Matrice de cotation des risques
 Outils de représentation graphique
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
3
1ère étape : identifier les évènements et les risques
1- La constitution d’un référentiel d’évènements adaptés à l’organisation étudiée
Classes de
risques
(internes et/ou externes)
Evènements
Conséquences
• Externes : économique, politique et sociétal, technologique, réglementaire, naturel,
industriel, …
• Internes : Infrastructure, sanitaire, RH, produits, clients, fournisseurs, systèmes d’information,
organisation, management, gouvernance et pilotage, …
• Externes : inflation, krach boursier, conflits, émeutes, grèves, terrorisme, vandalisme, pénurie
énergétique, cyber attaques, évolution réglementaire, inondation, incendie, tempête,
pandémie grippale, accident NRBC, …
• Internes : incendies, dégâts des eaux, pannes d’équipements, légionellose, intoxication,
défaillance client, défaillance fournisseur critique, réclamations clients, retour produits, perte
‘Homme Clé’, arrêt informatique, …
• Spécifiques à un secteur d’activités : énergie, santé, banque/finance, télécommunications,
collectivités, …
• Destruction/dégradation des bâtiments, arrêt des activités, indisponibilité de ressources
critiques, indisponibilité des compétences, perte d’exploitation, diminution brutale de
productivité, de rentabilité, …
2- Le recensement des processus (cartographie)
•
•
•
Les processus et ressources métiers (Distribution, production, …)
Les processus et ressources support (Finance, RH, IT, …)
Les processus de pilotage
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
4
2e étape : évaluer les risques
1- Estimer / mesurer la probabilité de survenance
A partir :
• De données statistiques internes
• De la perception des responsables et des
collaborateurs
• D’informations externes (Experts, observatoires, …)
Probabilité /Occurrence
Classes de
risques
Evènements
Naturels
Inondation
Pol. / Soc.
Attaque
Nul/Très
faible
Faible
Moyen
Elevé
Très
élevé
2
5
2- Apprécier les impacts sur différents compartiments de l’organisation
• Typologie d’impacts adaptée aux caractéristiques et aux objectifs de
l’entreprise : Clients/Usagers/Patients, RH, financier, infrastructures,
ressources critiques, …
Impacts / Conséquences
Classes de
risques
Evènements
Naturels
Pol. / Soc.
Clients
RH
Financier
Inondation
1
2
5
2,6
Attaque
2
4
4
3,3
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
(…)
Moy.
5
3e et 4e étape : analyser les situations à risque et modéliser
1- Identifier et approfondir les risques critiques
• Focus sur les risques les plus critiques nécessitant
des actions spécifiques de maîtrise en raison d'une
occurrence ou d'impacts potentiellement élevés.
• Approfondissement des scénarios de risques :
 Causes / conséquences
 Interdépendance
 Parades
Classes de
risques
Evènements
Naturels
Inondation
Probabilité /
Occurrence
Impacts &
conséquences
Criticité
P
I
C=PxI
0<P<5
0< I < 5
0 < C < 25
2- Bâtir une représentation graphique adaptée (mapping)
• Mise en évidence des critères d'évaluation :
 Gravité (impacts et conséquences)
 Fréquence / probabilité
Risques critiques
5
Nécessite :
• Un plan de maîtrise des risques
• Un plan de continuité des
activités (PCA
4
Gravité
5
Défaillance
fournisseur
4
3
Arrêt
informatique
Inondation
2
Défaillance
client
3
1
2
Incendie
1
Pollution
chimique
Agression
0
0
Fréquence /
Probabilité
Perte 'homme clé'
0
0
1
2
3
4
5
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
1
2
3
4
5
Risques
acceptables
6
5e étape : établir des préconisations
 Mise en place d'un dispositif de vigilance
et de pilotage des évènements (référentiel)
 Indicateurs clés
 Tableau de bord risque
 Mise à jour de la cartographie
 Définition et déploiement d'un plan de
maîtrise des risques
 Durcissement des mesures de prévention et de protection
 Gouvernance des risques
 Définition d'une ou plusieurs stratégie de
continuité des activités
 Orientations PCA
 Dispositif de gestion de crise
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
7
La valeur ajoutée d'Altaïr Conseil
 Une double expertise :


Organisation et management (transformation des organisations)
Risques : cartographie des risques, gestion de crise, plan de continuité des activités
 La mise à disposition d'une base évènementielle enrichie continuellement
 Un appareillage méthodologique adapté



Démarches d'animation et d'implémentation
Questionnaires
Outils de modélisation et de visualisation
 Une capacité d'intervention légère et rapide


Capacité à comprendre rapidement les métiers, les environnements et les enjeux stratégiques et
opérationnels
Capacité à animer la démarche dans une optique de vision partagée et de déploiement opérationnel
 La force d'un fonctionnement en réseau

Relations avec les autorités : anticipation des évolutions, sollicitation d'experts, accès aux bases de données
et observatoires
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
8
Quelques extraits de nos références
 Gestion de crise d'une Caisse victime d'un sinistre
 Retour d'expérience
 Constitution d'un référentiel national de maîtrise des risques
 Elaboration de la cartographie des risques
 Définition du dispositif de gestion de crise
 Elaboration du Plan de Continuité des Activités
 Elaboration et déploiement d'un plan de fonctionnement dégradé
Agence
Autres références Risques
 Formation des membres du Comité de Direction et de l'encadrement d'une entreprise industrielle
aéronautique à la gestion de crise
 Animation d'une réflexion sur l'identification de risques réputés "improbables" pour une entreprise
multinationale du secteur de l'énergie
 Elaboration du plan de continuité des activités d'une société d'assurance
 Animation d'une réflexion sur les dispositifs de secours et de continuité des activités à déployer pour le
compte de plusieurs entreprises de la Grande Distribution.
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
9
La gestion des risques dans les établissements de santé :
Répondre à un enjeu stratégique
 Déployer une politique de gestion stricte des risques
Des risques accrus qui menacent la mission de
service public des établissements de santé




1/ L'atteinte aux personnes
 Violences physiques
 Menaces sur l'intégrité des personnes
 Addictions
2/ L'atteinte aux biens
 Dégradations de matériels
 Vols / disparition
 Intrusion
3/ Les dysfonctionnements logistiques




Non-conformité
Non respect des procédures et des règlements
Pannes des équipements de servitude
(…)
Identification des risques et des évènements
(cartographie)
Veille et surveillance permanentes
Reporting et pilotage
Contrôle interne
 Mettre en place des mesures de prévention et de
protection



Matériels et équipements
Procédures
Formation, information, sensibilisation
 Définir et rendre opérationnel le dispositif de
gestion de crise




Détection des signaux faibles
Organisation des responsabilités et des attributions
Système de communication
Infrastructures
 Développer la couverture financière
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
10
Plusieurs axes d'actions sont généralement engagés, ….
Lutter contre toutes les formes de
violence
Lutter contre le risque d'incendie
Sécuriser les sites pour protéger les
biens et les personnes
Des mesures
organisationnelles
Des mesures
d'aménagements
techniques
Définir de nouveaux protocoles de
soins pour garantir la sécurité des
patients
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
11
Une première étape essentielle est l'élaboration de la cartographie des risques
Identifier les risques et les
évènements liés à la vie
hospitalière
… compléter par une
identification des risques
et des évènements liés à la
prise en charge des
patients
© Altaïr Conseil 2008 – Elaborer la cartographie des risques
Les risques externes
• Economiques
• Politiques et sociétaux
• Technologiques
• Réglementaire
• Industriel
Les risques internes
• Risques professionnels
• Risques sanitaires et
alimentaires
• Risques techniques
• Ressources Humaines et
sociaux
• Système d'information
• Financiers
• Organisation & Management
• Gouvernance et pilotage
Les risques spécifiques aux secteurs
• Risques infectieux : développement des infections nosocomiales (pollution
eau, air, surfaces, déchets, linge), épidémies et pandémies (grippes aviaires, …),
• Risques produits de santé : médicaments, produits sanguins, dispositifs
médicaux, …
• Risques activités médicales : bloc opératoire, urgences, …
• Risques activités médico-techniques : laboratoires d'analyse, imagerie, …
12