Elaboration de la cartographie des risques
Transcription
Elaboration de la cartographie des risques
Altaïr Conseil Transformation – Gouvernance - Risques Elaborer la cartographie des risques (Démarche et méthode) 33, rue Vivienne, 75 002 Paris – 01 47 33 03 12 – www.altairconseil.fr – contact@altairconseil.fr © Copyright Altaïr Conseil – Reproduction strictement interdite Objectifs Identifier et hiérarchiser les facteurs de risque (référentiel) Dresser un état des lieux complet des vulnérabilités Construite à partir d’une approche globale, la cartographie constitue un outil d’aide à la décision pour les responsables de l’entreprise ou de l’organisation A ce titre, elle s’inscrit dans le dispositif de gouvernance des risques © Altaïr Conseil 2008 – Elaborer la cartographie des risques 2 Démarche globale d’élaboration de la cartographie 1ère étape 2e étape Identification des évènements • Evènements internes • Evènements externes • Cartographie processus Evaluation des risques • Probabilités & occurrences • Impacts & conséquences 3e étape Analyse des situations à risques • Risques critiques • Risques résiduels • Interdépendance 4e étape Cartographie • Modélisation • Représentation 5e étape Préconisations • Plan de maîtrise des risques • Dispositif de prévention et de protection • Stratégie de continuité • Gouvernance Des approches opérationnelles et adaptées Enquêtes auprès des collaborateurs Collecte de données externes (observatoires) Entretiens individuels (responsables) Animation de groupes de travail Séminaire Un appareillage méthodologique éprouvé Base évènementielle Questionnaires Matrice de cotation des risques Outils de représentation graphique © Altaïr Conseil 2008 – Elaborer la cartographie des risques 3 1ère étape : identifier les évènements et les risques 1- La constitution d’un référentiel d’évènements adaptés à l’organisation étudiée Classes de risques (internes et/ou externes) Evènements Conséquences • Externes : économique, politique et sociétal, technologique, réglementaire, naturel, industriel, … • Internes : Infrastructure, sanitaire, RH, produits, clients, fournisseurs, systèmes d’information, organisation, management, gouvernance et pilotage, … • Externes : inflation, krach boursier, conflits, émeutes, grèves, terrorisme, vandalisme, pénurie énergétique, cyber attaques, évolution réglementaire, inondation, incendie, tempête, pandémie grippale, accident NRBC, … • Internes : incendies, dégâts des eaux, pannes d’équipements, légionellose, intoxication, défaillance client, défaillance fournisseur critique, réclamations clients, retour produits, perte ‘Homme Clé’, arrêt informatique, … • Spécifiques à un secteur d’activités : énergie, santé, banque/finance, télécommunications, collectivités, … • Destruction/dégradation des bâtiments, arrêt des activités, indisponibilité de ressources critiques, indisponibilité des compétences, perte d’exploitation, diminution brutale de productivité, de rentabilité, … 2- Le recensement des processus (cartographie) • • • Les processus et ressources métiers (Distribution, production, …) Les processus et ressources support (Finance, RH, IT, …) Les processus de pilotage © Altaïr Conseil 2008 – Elaborer la cartographie des risques 4 2e étape : évaluer les risques 1- Estimer / mesurer la probabilité de survenance A partir : • De données statistiques internes • De la perception des responsables et des collaborateurs • D’informations externes (Experts, observatoires, …) Probabilité /Occurrence Classes de risques Evènements Naturels Inondation Pol. / Soc. Attaque Nul/Très faible Faible Moyen Elevé Très élevé 2 5 2- Apprécier les impacts sur différents compartiments de l’organisation • Typologie d’impacts adaptée aux caractéristiques et aux objectifs de l’entreprise : Clients/Usagers/Patients, RH, financier, infrastructures, ressources critiques, … Impacts / Conséquences Classes de risques Evènements Naturels Pol. / Soc. Clients RH Financier Inondation 1 2 5 2,6 Attaque 2 4 4 3,3 © Altaïr Conseil 2008 – Elaborer la cartographie des risques (…) Moy. 5 3e et 4e étape : analyser les situations à risque et modéliser 1- Identifier et approfondir les risques critiques • Focus sur les risques les plus critiques nécessitant des actions spécifiques de maîtrise en raison d'une occurrence ou d'impacts potentiellement élevés. • Approfondissement des scénarios de risques : Causes / conséquences Interdépendance Parades Classes de risques Evènements Naturels Inondation Probabilité / Occurrence Impacts & conséquences Criticité P I C=PxI 0<P<5 0< I < 5 0 < C < 25 2- Bâtir une représentation graphique adaptée (mapping) • Mise en évidence des critères d'évaluation : Gravité (impacts et conséquences) Fréquence / probabilité Risques critiques 5 Nécessite : • Un plan de maîtrise des risques • Un plan de continuité des activités (PCA 4 Gravité 5 Défaillance fournisseur 4 3 Arrêt informatique Inondation 2 Défaillance client 3 1 2 Incendie 1 Pollution chimique Agression 0 0 Fréquence / Probabilité Perte 'homme clé' 0 0 1 2 3 4 5 © Altaïr Conseil 2008 – Elaborer la cartographie des risques 1 2 3 4 5 Risques acceptables 6 5e étape : établir des préconisations Mise en place d'un dispositif de vigilance et de pilotage des évènements (référentiel) Indicateurs clés Tableau de bord risque Mise à jour de la cartographie Définition et déploiement d'un plan de maîtrise des risques Durcissement des mesures de prévention et de protection Gouvernance des risques Définition d'une ou plusieurs stratégie de continuité des activités Orientations PCA Dispositif de gestion de crise © Altaïr Conseil 2008 – Elaborer la cartographie des risques 7 La valeur ajoutée d'Altaïr Conseil Une double expertise : Organisation et management (transformation des organisations) Risques : cartographie des risques, gestion de crise, plan de continuité des activités La mise à disposition d'une base évènementielle enrichie continuellement Un appareillage méthodologique adapté Démarches d'animation et d'implémentation Questionnaires Outils de modélisation et de visualisation Une capacité d'intervention légère et rapide Capacité à comprendre rapidement les métiers, les environnements et les enjeux stratégiques et opérationnels Capacité à animer la démarche dans une optique de vision partagée et de déploiement opérationnel La force d'un fonctionnement en réseau Relations avec les autorités : anticipation des évolutions, sollicitation d'experts, accès aux bases de données et observatoires © Altaïr Conseil 2008 – Elaborer la cartographie des risques 8 Quelques extraits de nos références Gestion de crise d'une Caisse victime d'un sinistre Retour d'expérience Constitution d'un référentiel national de maîtrise des risques Elaboration de la cartographie des risques Définition du dispositif de gestion de crise Elaboration du Plan de Continuité des Activités Elaboration et déploiement d'un plan de fonctionnement dégradé Agence Autres références Risques Formation des membres du Comité de Direction et de l'encadrement d'une entreprise industrielle aéronautique à la gestion de crise Animation d'une réflexion sur l'identification de risques réputés "improbables" pour une entreprise multinationale du secteur de l'énergie Elaboration du plan de continuité des activités d'une société d'assurance Animation d'une réflexion sur les dispositifs de secours et de continuité des activités à déployer pour le compte de plusieurs entreprises de la Grande Distribution. © Altaïr Conseil 2008 – Elaborer la cartographie des risques 9 La gestion des risques dans les établissements de santé : Répondre à un enjeu stratégique Déployer une politique de gestion stricte des risques Des risques accrus qui menacent la mission de service public des établissements de santé 1/ L'atteinte aux personnes Violences physiques Menaces sur l'intégrité des personnes Addictions 2/ L'atteinte aux biens Dégradations de matériels Vols / disparition Intrusion 3/ Les dysfonctionnements logistiques Non-conformité Non respect des procédures et des règlements Pannes des équipements de servitude (…) Identification des risques et des évènements (cartographie) Veille et surveillance permanentes Reporting et pilotage Contrôle interne Mettre en place des mesures de prévention et de protection Matériels et équipements Procédures Formation, information, sensibilisation Définir et rendre opérationnel le dispositif de gestion de crise Détection des signaux faibles Organisation des responsabilités et des attributions Système de communication Infrastructures Développer la couverture financière © Altaïr Conseil 2008 – Elaborer la cartographie des risques 10 Plusieurs axes d'actions sont généralement engagés, …. Lutter contre toutes les formes de violence Lutter contre le risque d'incendie Sécuriser les sites pour protéger les biens et les personnes Des mesures organisationnelles Des mesures d'aménagements techniques Définir de nouveaux protocoles de soins pour garantir la sécurité des patients © Altaïr Conseil 2008 – Elaborer la cartographie des risques 11 Une première étape essentielle est l'élaboration de la cartographie des risques Identifier les risques et les évènements liés à la vie hospitalière … compléter par une identification des risques et des évènements liés à la prise en charge des patients © Altaïr Conseil 2008 – Elaborer la cartographie des risques Les risques externes • Economiques • Politiques et sociétaux • Technologiques • Réglementaire • Industriel Les risques internes • Risques professionnels • Risques sanitaires et alimentaires • Risques techniques • Ressources Humaines et sociaux • Système d'information • Financiers • Organisation & Management • Gouvernance et pilotage Les risques spécifiques aux secteurs • Risques infectieux : développement des infections nosocomiales (pollution eau, air, surfaces, déchets, linge), épidémies et pandémies (grippes aviaires, …), • Risques produits de santé : médicaments, produits sanguins, dispositifs médicaux, … • Risques activités médicales : bloc opératoire, urgences, … • Risques activités médico-techniques : laboratoires d'analyse, imagerie, … 12