Congrès QUALITA 2015– Nancy 17-19 mars 2015 DELMOTTE Sébastien, PhD Co-CEO, MAD-Environnement [email protected]Pr. DESROCHES Alain Centrale-Supelec, Paris Macro-Cartographie des Risques par Audits Une méthode de diagnostic et de management global des risques d’entreprise
25
Embed
Macro-Cartographie des Risques par Auditsstatcart.com/Documentation/SDelmotte-Q15-PresentationMCRA.pdf · Fournir la liste des actions de réduction des risques initiaux et de gestion
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Siège Etablissement A Etablissement B Etablissement C
Soutien ou
support (S)
Conçu avec la gouvernance de l’entreprise pour assurer la complétude des données Audits menés auprès des responsables des activités
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Supports des audits
Externes Internes liés à la
gouvernance
Internes liés aux moyens
techniques
Internes liés à la
production
Environnements Commercial Infrastructures et locaux Etudes et projets
Politique Communication et crises Matériels et équipement Opérationnel
Insécurité Economique Système d’information Fonctionnel
Image Entreprise Facteur humain
Client Ethique Professionnel
Financier Produit
Juridique Physico-chimique
Management Clinique
Programmatique
Social
Stratégique
Technologique
Dangers génériques de l’Entreprise Grille d’audits
Eléments ou événements dangereux (REX, analyses de risques si existantes)
Un questionnaire ouvert est également utilisé (connaissance de l’activité « risque », interprétation ultérieure des résultats, mise en œuvre des plans d’action)
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Echelles d’évaluation
Classe de
vraisemblanceIntitulé
Index de
vraisemblance
V1 Extrêmement improbable 1
V2 Très peu probable 2
V3 Peu probable 3
V4 Probable 4
V5 Probable à certain 5
Classe Intitulé Nature des conséquencesIndex de
Gravité
G1 MineureAucune conséquence sur la performance ou l’intégrité de
l’activité ou du système1
G2 SignificativeDes objectifs de l’activité ou du système n’ont pas été
atteints2
G3 GraveAucun des objectifs de l’activité ou du système n’a été
atteint3
G4 CritiqueMise en difficulté ou dégradation de l’activité ou du
système4
G5 CatastrophiquePerte totale de l’intégrité ou disparition de l’activité ou du
système5
Echelle de gravité perçue
Echelle de vraisemblance
Activités G4 (critique) G5 (catastrophique)
Projet Difficulté grave sur la conduite ou le déroulement du
projet,
Dérive supérieure ou très supérieure aux aléas sur
les performances et/ou les coûts et/ou les délais,
(Le projet est en difficulté importante Insatisfaction
du client)
Difficulté extrêmement grave pouvant conduire à
l’impossibilité d’organiser ou de conduire le projet à
son terme.
Dérive extrêmement importante des performances
atteintes et/ou des coûts et/ou des délais entraînant
l’arrêt du projet
(Le projet est en danger de mort Irritation du
client)
Exploitation
et
Opérations
Blessures légères,
Mission échouée,
Destruction partielle d’infrastructures ou de biens
(installations sol, lanceurs et CU)
Dommages importants sur l’environnement
Perte de vie humaine, invalidité, blessures graves
des personnels et du public,
Destruction totale d’infrastructures ou de biens,
Dommages irréversibles sur l’environnement,
Entreprise Démission de dirigeants ou de collaborateurs clés,
Absence de nouveaux contrats à court et moyen
terme,
Perte très importante des stocks ou des moyens de
production, de fonctionnement et d’opération,
Bilan financier en déséquilibre très important (>YYY),
Exposition juridique importante des dirigeants ou de
l’entreprise,
Perte totale des stocks ou des moyens de
production, de fonctionnement et d’opération
Difficultés financières insurmontables (>XXX),
Perte totale de crédibilité ou de clientèle,
Dépôt de bilan et mise en liquidation,
Exposition juridique très importante des dirigeants
ou de l’entreprise
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Echelles d’évaluation
Classes Niveau Commentaires Index
E0 Aucun Aucune action entreprise 0
E1 FaibleEffort très faible à faible (e.g. coûts>,…)
Vigilance, contrôle ou action ponctuel1
E2 MoyenEffort moyen (e.g. coûts>,…)
Vigilance, contrôle ou action périodique2
E3 Fort
Effort important à très important (e.g. coûts>,…)
Vigilance, contrôle ou action continue
Action au plus haut niveau
3
Echelle d’effort (réduction du risque initial)
Utilisé par un algorithme de réduction du risque initial
RMi > RM2 ?
RMi > RM1 ?
Non
Oui
Non Oui
Oui
Non
Fin du processus
de réduction des risques
Début du processus
de réduction des risques
Nouveau
risque initial
Etape A :
∆RM2a = E x (RMi - RM2) / (1+E)
Etape B :
∆RM2b = E x (RMi - ∆RM2a) / (2 x (1+ E))
Risque moyen résiduel
RMr = RMi - (∆RM2a + ∆RM2b)
Etape A :
∆RM1a = E x (RMi - RM1) / (1+E)
Etape B :
∆RM1b = E x (RMi - ∆RM1a) / (2 x (1+ E))
Risque moyen résiduel
RMr = RMi - (∆RM1a + ∆RM1b)
Effort de réduction à 100%
RMr = RMi-E x RMi / (1+E)
E : effort de réduction
RMi : risque moyen initial
∆RM2a : réduction étape A
∆RM2b : réduction étape B
RMr : risque moyen résiduel
RM2 : seuil minimum de risque
moyen de criticité C3
RM1 : seuil minimum de risque
moyen de criticité C2
C = C2 ?
Non
Oui
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Facteur d’importance
Le facteur d’importance caractérise la perception (de l’importance) de l’activité sur le système par le responsable de l’activité ou du processus (et non
par la gouvernance)
Entre les niveaux « Activités » et « Sous-processus »/ « Processus »/ « Système », la perception des risques peut être différente
Fonctions de transfert entre le niveau « activité » et le niveau analysé (sous-processus/processus/système)
Classe Intitulé Nature des conséquences perçues
Index
d’importance
(I)
I0 NulleLes résultats de l’activité n’ont aucun impact sur ceux du
processus associé et du système0
I1 InsignifianteLes résultats de l’activité ont un impact insignifiant sur ceux
du processus associé et du système1
I2 FaibleLes résultats de l’activité ont un impact faible sur ceux du
processus associé et du système2
I3 MoyenneLes résultats de l’activité ont un impact moyen sur ceux du
processus associé et du système3
I4 ForteLes résultats de l’activité ont un impact fort sur ceux du
processus associé et du système4
I5Très forte à
totale
Les résultats de l’activité ont un impact très fort sur ceux
du processus associé et du système5
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Référentiels d’acceptabilité
GRAVITE DES CONSEQUENCES
G1 G2 G3 G4 G5
VR
AIS
EM
BL
AN
CE
V5
V4
V3
V2
V1
GRAVITE DES CONSEQUENCES
G1 G2 G3 G4 G5
VR
AIS
EM
BL
AN
CE
V5
V4
V3
V2
V1
Référentiel d’acceptabilité au niveau « Activités »
Référentiel d’acceptabilité au niveau « Sous-processus/Processus/Système »
Entre les niveaux « Activités » et « Sous-processus »/ « Processus »/ « Système », l’acceptabilité des risques peut être différente (ou pas)
Référentiel construits avec la gouvernance de l’entreprise, notamment les directions financière et juridique
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Logigramme d’évaluation (1-2)
IX
IY
IZ
Sous-processus
M1
Activité X
(GiX, ViX)
Activité Y
(GiY, ViY)
Activité Z
(GiZ, ViZ)
f : im
pact de l’a
ctivité s
ur
le s
ystè
me
Gi=
f(G
a, I)
; V
i =
Va
EX
EY
EZ
g : ré
duction d
u r
isq
ue
Gr=
g(G
i, E
) ; V
r=
g(V
i, E
)
Référentiel de
criticité
Sous-processus
M1
Activité X
(GrX, VrX)
Activité Y
(GrY, VrY)
Activité Z
(GrZ, VrZ)
1
2
Sous-processus M1(GiM1, ViM1)
Sous-processus M1(GrM1, VrM1)
Référentiel de
criticité
Sous-processus M1
Cartographies des
risques Initiaux globaux
Sous-processus M1
Cartographies des
risques résiduels globaux
Evaluation des risques du processus M1
après regroupement formalisé des activités X, Y et Z
Sous-processus
M1
Activité X
(GaX, VaX)
Activité Y
(GaY, VaY)
Activité Z
(GaZ, VaZ)
Activités X,Y et Z
Cartographies des
risques Initiaux
Activités X,Y et Z
Cartographies des
risques résiduels
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Logigramme d’évaluation (3-4)
Processus Entreprise
Cartographies des
risques initiaux (Gi, Vi)
et résiduels (Gr, Vr)
globaux
4
Processus R
Cartographies des
risques initiaux (GiR, ViR)
et résiduels (GrR, VrR)
globaux
Sous-
processus R1
…….
Sous-
processus R2
…….
Evaluation des risques
du processus R
après regroupement formalisé
des sous-processus R1, R2 …
Sous-processus M1
Cartographies des
risques initiaux (GiM1, ViM1)
et résiduels (GrM1, VrM1)
globaux
Sous-
processus M2
.....
Processus M
Cartographies des
risques initiaux (GiM, ViM)
et résiduels (GrM, VrM)
globaux
Evaluation des risques
du processus M
après regroupement formalisé
des sous-processus M1, M2 …
3
Processus S
Cartographies des
risques initiaux (GiS, ViS)
et résiduels (GrS, VrS)
globaux
Evaluation des risques
du processus S
après regroupement formalisé
des sous-processus S1, S2 …
Sous-
processus S1
…….
Sous-
processus S2
…….
Evaluation des risques globaux d’entreprise
après regroupement formalisé
des processus M, R et S
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Niveaux d’analyse
Macro cartographie des risques
Activités
Sous-Processus
Processus
Système
Choix du niveau d’analyse: Sous-Processus/Processus/Système
Impact des activités sur les sous-processus
Impact des activités sur les processus
Impact des activités sur le système
GRAVITE DES CONSEQUENCES
G1 G2 G3 G4 G5 V
RA
ISE
MB
LA
NC
E
V5
V4
V3
V2
V1
GRAVITE DES CONSEQUENCES
G1 G2 G3 G4 G5
VR
AIS
EM
BL
AN
CE
V5
V4
V3
V2
V1
Vision bottom-up
Vision top-down
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Applications: cas d’études
Centre National d’Etudes Spatiales (interne, niveau national, IGQ)
Etablissement Français du Sang (interne, niveau national, DACI, DARQ)
SHAM (externe, niveau national)
Risques des Etablissements de Santé assurés, application sur deux
périodes (08-10 et 11-12) afin d’évaluer les résultats de la gestion
Peut s’appuyer sur des audits déjà menés, et sur les auditeurs internes lorsqu’il y en a
S’applique à des structures de grande taille et distribuées géographiquement
Intègre une double échelle de perceptions des risques
Richesse des cartographies
Fournit un premier plan d’actions
Possibilité de mener des simulations et analyses de sensibilité sur les fonctions de transfert
Permet de mesurer les résultats du management des risques par des applications périodiques
Facilite l’adhésion à la démarche de gestion des risques et l’assimilation de la culture « Risque »
Limites: Statique (instantané): nécessite d’être renouveler pour prendre en compte l’évolution du système et
l’efficacité des actions
Non détaillée pour les situations dangereuses, les facteurs de risques (exposition, déclenchant et
aggravant) et le financement du risque: nécessité de mener des analyses complémentaires plus fines
comme l’AGR (Analyse Globale des Risques)
Il est indispensable que la gouvernance de l’entreprise prenne part à l’élaboration du plan d’audit et des référentiels de d’acceptabilité
Congrès QUALITA 2015– Nancy 17-19 mars 2015
Références
Desroches A, et al., 2010. Le management des risques des entreprises et de gestion de projet. Ed Hermes science.
Desroches A., 2015. Le management des risques Entrprise. Cours Centrale-Supélec.
Norme ISO 31000:2009. Management du Risques – Principes et Lignes Directrices.
Norme ISO 9001:2008. Systèmes de management de la qualité.
Sghaier W, 2014. Méthode systématique de reconception des processus intégrant la maîtrise des risques : contribution à la réingénierie des processus de l’EFS. Thèse de 3ième cycle. Ecole Centrale Paris.
Monnot V., 2012. Cartographie des risques des établissements de santé sur la base d’audits : point de vue de l’assureur. Thèse professionnelle de l’Ecole Centrale Paris