La gestion des risques UN PROCESSUS

La gestion des risques UN PROCESSUS

Qu’est-ce qui se passe dans notre tête quand on décide si quelque chose est dangereux ou pas ? Quel processus se déroule dans notre esprit quand on évalue le niveau de danger d’une situation quelconque ?

Martin Ruel
Michel Pérusse

Ce sont les questions auxquelles l’un des auteurs du présent article s’est intéressé dans sa thèse de doctorat (1). Les constats qui ont émergé de cette recherche peuvent se classer sommairement en trois grandes catégories.

Premièrement, consciemment ou inconsciemment, le processus consiste à répondre à trois questions en séquence. Ces questions sont:

1. Est-ce que ce danger ou cette situation est sous contrôle? Idéalement sous mon contrôle, ou à tout le moins sous le contrôle d’une personne en qui j’ai grandement confiance? Si oui, on arrête de s’en faire et on passe à autre chose. Par contre, si on a des doutes sur le niveau de contrôle exercé sur la situation, on se pose alors la question suivante.

2. Est-ce que cette situation peut entrainer des conséquences humaines, corporelles, matérielles, environnementales ou financières graves ? Si le pire qui peut arriver est un bris matériel mineur, un déversement mineur ou une simple égratignure, le processus s’arrête là. Si toutefois les conséquences potentielles sont préoccupantes, on se pose alors la troisième question.

3.Quelles sont les probabilités que l’évènement se produise? Quelles sont les chances que les conséquences négatives surviennent? Encore une fois, si les probabilités sont minces, notre esprit passe alors à autre chose. Cependant, s’il existe une réelle probabilité d’occurrence de l’évènement indésirable, alors on commence sérieusement à songer à prendre action. Ce n’est que si le degré de contrôle sur la situation est incertain, que les conséquences peuvent être sérieuses ET que les probabilités sont jugées élevées qu’on va alors envisager de prendre action comme fuir, prendre des précautions ou des mesures d’atténuation, et ainsi de suite.

Le fait qu’on passe ou non à l’action est une tout autre histoire. Et bien sûr de nombreux facteurs influencent la réponse que nous donnons à chacune de ces trois questions: niveau de confiance en soi, subjectivité, expérience générale ou spécifique, niveau de scolarité, et bien d’autres encore. Le présent article n’a pas pour but d’examiner ces facteurs en détail, mais plutôt d’examiner la place de ces questionnements au sein d’un processus générique de gestion des risques.

Car il s’agit bien d’un processus générique. En effet, la deuxième série de constats de la recherche révèle que ce sont les mêmes trois questions qu’on se pose, peu importe le type de risques auquel on est confronté. La recherche comprenait quatre groupes de participants, chaque groupe évaluant une catégorie de risques différente : risques d’accidents à domicile, risques liés à la spéléologie, risques d’accidents de travail en usine et risques naturels ou industriels majeurs. Les mêmes questions, dans la même séquence, ont été retrouvées dans les quatre groupes.

Une seule exception, cependant. Il semble que certains risques majeurs, tels un accident nucléaire ou un tremblement de terre par exemple, aient suscité chez certains participants de ce groupe une réaction émotive qui a oblitéré le processus cognitif décrit ci-dessus. Ça se passait comme si un énorme signal d’alarme s’allumait dans la tête des participants, qu’une étiquette «DANGER» apparaissait instantanément, bloquant ainsi le raisonnement en trois questions séquentielles.

Il serait intéressant d’appliquer ces constats à l’analyse des débats qui ont lieu actuellement en matière d’acceptabilité sociale de certains risques, particulièrement en ce qui a trait à l’opposition entre la réaction émotive et l’analyse cognitive face aux mêmes risques. Tel n’est toutefois pas le propos du présent article. Le but est plutôt d’examiner l’évaluation des risques comme faisant partie d’un processus générique de gestion des risques, tel qu’annoncé dans l’article précédent (2).

Un processus générique

Dans la recherche à laquelle il est fait allusion dans l’introduction, comme dans beaucoup de recherches, le contexte avait quelque chose d’artificiel, en ce sens que les participants n’étaient pas réellement exposés aux dangers qu’ils devaient évaluer; les situations à risque leur étaient présentées verbalement ou en images. De plus, leur attention et leur perception étaient focalisées de par l’objet même de la recherche.

Dans la vie de tous les jours, toutefois, nous avons tendance à nous concentrer sur ce que nous avons à faire; à moins de circonstances particulières, ce n’est qu’accessoirement, occasionnellement ou de façon fortuite que notre attention est attirée par la présence d’un danger dans notre environnement. Il en va de même lors de l’activité de travail ; l’attention des employés est portée sur les tâches à accomplir, et la recherche de dangers ou l’analyse de risque sont des activités périphériques.

a) Démarrage

C’est pourquoi le processus générique décrit dans la figure 1 commence par une étape appelée Démarrage. Même si la gestion des risques est une activité très importante, pour la très grande majorité des entreprises celle-ci ne fait pas partie des activités principales. Le Démarrage implique donc que, en parallèle à ses activités courantes, l’entreprise prend la décision de structurer sa gestion des risques et de procéder à son analyse de risques qui conditionnera tout le reste des démarches. À ce stade elle choisit les personnes qui seront responsables de mener cette mission à bien, et elle s’assure que ces personnes reçoivent une formation adéquate; il va sans dire que le choix des ressources, internes ou externes, impliquées est crucial, puisque leur expérience et leur profil sont susceptibles de teinter les résultats de l’analyse. C’est également à ce stade qu’on décide quels secteurs ou quels aspects du fonctionnement de l’organisation feront l’objet de l’analyse, le cas échéant.

Avant d’aller plus loin, une précision s’impose. Le processus illustré à la figure 1 est fortement inspiré de la norme CSA 31000 (3) en matière de management du risque, dont il sera fréquemment question dans la suite de cet article ; cette dernière est en fait l’adoption, sans modification, de la norme ISO 31000. C’est donc dire que le processus décrit ici s’applique à tous les types de risques (financiers, sociaux, environnementaux, d’affaires, etc.) et pas seulement aux risques en matière de santé et de sécurité au travail (SST). L’application spécifique de ce processus au domaine de la SST fera l’objet du prochain article.

Par contre, certains termes sont différents et certaines nuances s’imposent. Ces précisions seront soulignées aux endroits appropriés dans les prochaines sections.

b) Identification des dangers

D’ailleurs une première précision terminologique s’impose d’entrée de jeu. En effet, la norme CSA 31000 appelle la première étape de l’analyse de risque « identification des risques ». La même norme définit cette étape comme étant un «processus de recherche, de reconnaissance et de description des  risques ». Aux fins de concordance éventuelle avec la norme CSA Z1000:2006 (4) en matière de gestion de la SST, la figure 1 utilise plutôt le terme «danger». La norme Z1000 parle en fait de «phénomènes dangereux» qu’elle définit comme «toute source potentielle de préjudice ». La norme CSA 31000 stipule que «l’identification des risques comprend l’identification des sources de risque ».

On comprend donc que l’intention de cette première étape est d’identifier les situations qui peuvent constituer la source des problèmes. Le risque, quant à lui, est défini comme étant «l’effet de l’incertitude sur l’atteinte des objectifs» par la norme CSA 31000, et plus spécifiquement comme étant la «probabilité d’occurrence d’un évènement dangereux combinée à la gravité du préjudice pouvant en résulter» par la norme Z1000. Il apparaissait donc pertinent d’utiliser le terme «danger» pour désigner la source du problème potentiel, et « risque» pour désigner le résultat accolé au danger suite à la démarche d’analyse et d’appréciation.

Le processus décrit à la figure 1 laisse entendre que l’identification des dangers, c’est-à-dire des sources, se fait en deux temps. Comme son nom l’indique, l’identification préliminaire fait référence aux dangers apparents ou qui sont connus pour être associés à une situation ou à un contexte quelconque. La norme CSA 31000 stipule que cette étape de l’analyse « peut faire appel à des données historiques». L’utilisation des statistiques d’accidents routiers pour identifier les segments de routes ou les intersections les plus dangereuses constitue une bonne illustration de ce point. Le fait de constater la présence de dangers lors d’une tournée d’inspection constitue également une forme d’identification préliminaire.

Par contre, tous les dangers ne sont pas nécessairement apparents au premier coup d’oeil. En effet, si dans certains cas le risque se manifeste sous la forme d’un danger tangible, dans d’autres cas, la source du risque peut être une situation potentielle, une possibilité immatérielle, mais bien réelle ; la possibilité de voir son ordinateur piraté est un bel exemple de ce genre de risque. Il est également possible que des recherches et des analyses plus approfondies soient nécessaires pour bien comprendre la portée des risques sous étude. Par exemple, plusieurs types de problèmes musculosquelettiques nécessitent des analyses plus approfondies que de simples observations.

C’est ici qu’intervient l’identification détaillée. Cette étape constitue une recherche active et approfondie. CSA 31000 reconnait d’ailleurs que cette étape « peut faire appel à des données historiques, des analyses théoriques, des avis d’experts et autres personnes compétentes». En plus de l’étude plus systématique des dangers tangibles, cette étape consiste donc à envisager toutes les sources de risques, c’est-à-dire toutes les situations potentielles susceptibles d’entrainer des conséquences négatives pour la personne ou pour l’organisation. Spécifiquement, CSA 31000 précise que « l’identification des risques comprend l’identification des sources de risque…, des évènements…, de leurs causes et de leurs conséquences… potentielles ».

Évidemment, à cette étape, toutes sortes de scénarios catastrophes peuvent être imaginés en même temps que des situations plausibles. Or même les systèmes les mieux organisés en matière de gestion des risques sont incapables de composer avec toutes les possibilités imaginables. Faire cela serait d’ailleurs beaucoup trop couteux et même contreproductif. C’est pourquoi CSA 31000 introduit la notion de vraisemblance. Il en sera question dans la prochaine section.

c) Estimation et évaluation

Une autre précision terminologique s’impose ici. Les termes « appréciation du risque », « évaluation du risque» et « analyse du risque » sont souvent confondus entre eux. Or il est clair dans la figure 1 que ces termes ne sont pas tout à fait interchangeables.

Parmi eux, le terme le plus global est celui d’appréciation du risque. CSA 31000 le définit comme « (l’) ensemble du processus d’identification des risques…, d’analyse du risque… et d’évaluation du risque ». À son tour, l’analyse du risque est définie comme le «processus mis en oeuvre pour comprendre la nature d’un risque… et pour déterminer le niveau de risque» (CSA 31000). Les auteurs de la norme ajoutent que «(l’)analyse du risque inclut l’estimation du risque ».

Ce qui nous ramène aux composantes de base du processus global. L’identification ayant été définie dans la section précédente, il reste donc à préciser deux autres composantes de l’appréciation du risque, à savoir l’estimation et l’évaluation du risque. Ces deux termes en apparence synonymes correspondent toutefois à deux séries de décisions très distinctes.

Dans un premier temps, l’estimation du risque sert à déterminer le niveau de risque associé à un danger, une source ou une situation quelconque. Par « niveau », CSA entend « (l’) importance d’un risque… ou combinaison de risques, exprimée en termes de combinaison des conséquences… et de leur vraisemblance ».

C’est donc ici qu’on rejoint les notions de gravité potentielle et de probabilité contenues dans les questions 2 et 3 de l’introduction. Cette étape du processus correspond à la démarche par laquelle on estime la gravité des conséquences potentielles et la probabilité de survenue de l’évènement indésirable. Dans les notes qui accompagnent la définition de cette étape, les auteurs de la norme stipulent que la notion de vraisemblance devrait faire l’objet d’une interprétation « aussi large que celle dont bénéficie le terme “probability” (probabilité)». Il convient de préciser qu’il n’est pas encore question d’une prise de décision à propos du risque; il s’agit uniquement d’assigner une valeur de niveau de risque au danger ou à la situation sous analyse. La prise de décision intervient à l’étape suivante. CSA 31000 définit l’évaluation du risque comme étant le «processus de comparaison des résultats de l’analyse du risque avec les critères de risque… afin de déterminer si le risque… et/ou son importance sont acceptables ou tolérables ». Cette étape consiste donc à prendre une décision sur l’acceptabilité du risque, décision basée sur la comparaison entre la valeur estimée du risque et un critère prédéterminé. La norme stipule que ce critère peut être une loi, un règlement, une politique ou une norme. À titre d’exemple, une telle décision en matière de SST devra réussir le test de la diligence raisonnable.

On remarque ici un parallèle intéressant entre ce processus et une autre démarche décrite dans un article précédent (5). En effet, ces deux dernières étapes ressemblent de très près aux parties correspondantes de la démarche d’appréciation de la performance. Dans ce dernier cas, on se doit d’attribuer une valeur numérique à l’aspect de la performance qu’on veut apprécier – c’est la mesure – puis on compare cet indicateur à un critère de référence. C’est l’écart entre l’indicateur et le critère qui nous permet de décider si ce qu’on a observé est satisfaisant ou non. C’est exactement la même chose dans le cas du risque: une fois qu’on lui a estimé un niveau, on compare ce niveau à un critère de référence, et c’est l’ampleur de l’écart qui permet de décider si le risque est acceptable ou non.

La décision face au risque peut prendre plusieurs formes. Évidemment il se peut que le risque soit minime et ne nécessite aucune action particulière. Il est également possible que, sans être minime, le risque soit considéré quand même comme tolérable ou acceptable. CSA 31000 prévoit trois cas de ce type. Premièrement, l’entreprise peut décider de prendre ou même d’augmenter le « risque afin de saisir une opportunité ». Deuxièmement, elle peut opter pour « un maintien du risque fondé sur une décision argumentée ». Finalement sa décision peut aller dans le sens d’un «partage du risque avec une ou plusieurs autres parties (incluant des contrats et
un financement du risque) ». On aura compris que ces options vont dans le sens de la Tolérance ou du Transfert du risque tel que discuté dans l’article précédent (2). Si par contre le risque est jugé intolérable ou inacceptable, c’est alors que s’enclenche la prochaine étape.

Contrôle du risque

Face à un risque dont le niveau est jugé inacceptable, l’organisation a quatre options :
1. elle peut décider de refuser le risque «en décidant de ne pas démarrer ou poursuivre l’activité porteuse du risque» (CSA 31000);

2. elle peut opter pour «l’élimination de la source de risque » ;

3. pour «une modification de la vraisemblance » ou encore;

4. pour «une modification des conséquences».

Les trois dernières options sont celles qui sont comprises dans l’étape « Contrôle du risque » de la figure 1. Si l’entreprise opte pour le contrôle du risque, c’est-à-dire de poursuivre l’activité, mais de prendre action sur le risque, alors elle se doit de le faire d’une façon organisée, rigoureuse et systématique. Cela comprend essentiellement deux grands volets.

Premièrement, l’organisation doit prévoir sa capacité de réponse advenant la survenue des évènements indésirables. Dans le cas de risques d’affaires ou de risques majeurs, on pense à des mesures comme les plans de contingence et de continuation des affaires. Dans le cas de risques en matière de santé et de sécurité, la norme Z1000 comprend une exigence intitulée «prévention des sinistres et planification des mesures et des interventions d’urgence» pour de telles éventualités.

Deuxièmement, elle doit établir ce que CSA 31000 appelle un «plan de management du risque ». Il s’agit ici d’un plan d’action en bonne et due forme, qui doit comprendre tous les ingrédients prescrits pour un bon plan d’action, particulièrement les actions, processus et procédures nécessaires, les ressources disponibles, l’attribution des responsabilités et le calendrier des activités. Selon la terminologie de l’article précédent (2), ce plan vise donc à « traiter » ou à «terminer» les risques. CSA 31000 définit le «traitement du risque» comme un «processus destiné(s) à modifier un risque ». Le traitement comprend donc l’ensemble des «moyen(s) de maitrise », c’est à dire des mesure(s) qui modifie(nt) le risque» et qui peuvent comprendre «n’importe quels processus, politiques, dispositifs, pratiques ou autres actions qui modifient un risque» (CSA 31000). Il va de soi que la nature exacte des moyens de maitrise mis en place est éminemment fonction de la nature des risques à traiter.

L’équivalent dans Z1000 s’appelle «mesures de prévention et de protection». On comprend donc que, bien qu’il s’agisse d’une seule case dans la figure 1, cette étape représente un énorme morceau au coeur du processus. Justement à cause de son importance, il fera l’objet du prochain article.

Du suivi

Quelles sont les trois conditions pour que le processus de gestion du risque fonctionne ? Réponse: du suivi, du suivi, et du suivi. À cet égard, l’article d’Alain Daoust (6) dans le dernier numéro de cette revue illustrait très bien ce point et proposait un bon outil à utiliser par quiconque se préoccupe de cet aspect du processus.

En fait, le suivi prend principalement deux grandes formes. Premièrement, il va sans dire que pour donner les résultats escomptés, les mesures préconisées doivent être mises en place. La première forme de suivi consiste donc minimalement à vérifier si ça a été fait. En matière de SST, par exemple, l’inspection des lieux de travail ou les audits sont des outils par excellence pour effectuer de telles vérifications.

La deuxième forme de suivi consiste à vérifier si les résultats escomptés par la mise en oeuvre des mesures de contrôle ont bel et bien été atteints. C’est l’étape appelée Réévaluation dans la figure 1. C’est à cette étape qu’on évalue le risque résiduel que CSA 31000 définit tout simplement comme le « risque…subsistant après le traitement du risque ». En d’autres termes, une fois traité le risque est-il disparu, ou à tout le moins a-t-il été ramené à un niveau jugé acceptable ou tolérable ?

Bien sûr si la réponse à cette question est négative, c’est que les mesures mises en place sont inopérantes, inefficaces ou insuffisantes. Même si la figure 1 n’est pas explicite en cette matière, il va de soi que si le risque résiduel demeure inacceptable on doit retourner à la planche à dessin et trouver de meilleures mesures. Souvent les entreprises sont tentées d’opter pour la facilité et de privilégier des mesures de contrôle de type administratif plutôt que des mesures qui nécessitent des efforts de déploiement; l’expérience démontre que le recours aux seules mesures administratives ne fait pas significativement baisser le niveau de risque, auquel cas le risque résiduel tend à demeurer à un niveau inacceptable.

Par contre, même si le risque résiduel s’avère acceptable, il convient de maintenir une certaine vigilance pour éviter la dégradation des mesures de contrôle mises en place et pour rester alerte à l’apparition d’autres risques. C’est ce que CSA 31000 appelle la surveillance.

Conclusion

Finalement, bien sûr l’ensemble du processus doit s’accompagner d’une large dose de communication. Car exception faite de certaines situations bien particulières comme le refus par l’organisation de l’activité porteuse de risque, l’élimination de la source du risque et la mise en oeuvre de mesures de contrôle et d’atténuation sont pratiquement toujours l’affaire de plusieurs personnes dans plusieurs fonctions au sein de l’entreprise, et même parfois des parties prenantes extérieures à l’entreprise. On comprend alors facilement pourquoi CSA 31000 accorde une grande importance à la communication et à la concertation.

Tel que précisé plus haut, la norme CSA 31000 et le processus décrit dans le présent article portent sur le management de tous les types de risques possibles, y inclus, mais pas seulement les risques en matière de santé et de sécurité. À peine quelques exemples en  matière de SST sont inclus dans le texte, mais on aura compris qu’il y a de nombreux rapprochements à faire entre ce processus et la démarche de prévention des lésions professionnelles, entre le management des risques en général et la gestion de la SST en particulier, entre CSA 31000 et CSA Z1000:2006. C’est ce dont il sera question dans le prochain article.