Les 4 T de la gestion des risques

Les 4 T de la gestion des risques

Une personne circule en voiture, quand tout à coup cette dernière commence à faire un drôle de bruit. Qu’est-ce qui se passe ? Un problème en vue ? Qu’est-ce qui peut se produire ? Quelles peuvent être les conséquences potentielles ?

Martin Ruel
Michel Pérusse

Dans une telle situation, qu’elle en soit consciente ou pas, la personne se retrouve en situation de gestion de risque. Cette dernière expression se retrouve de plus en plus dans le langage courant. Elle est même utilisée à toutes sortes de sauces, pas toujours à bon escient. Qu’en est-il exactement ?

En fait, cette personne a quatre options:

1 En premier, elle peut faire comme si de rien n’était, en se disant que ce n’est pas grave, que ça va finir par passer. Si toutefois il s’avère que le problème est sérieux, cette attitude risque de lui couter cher.

2 Un peu dans la même ligne de pensée, la personne peut se dire que, si jamais quelque chose se produit, comme un accident, elle a une bonne assurance qui va payer les dégâts. Si jamais un accident se produit, qui va payer le montant déductible? Et que va-t-il arriver à ses primes d’assurance par la suite, au moment du renouvèlement?

3 Elle peut décider de tenter un diagnostic et de bricoler une réparation. Elle peut utiliser un vieux bas de nylon pour remplacer une courroie d’alternateur cassée, rajouter de l’huile à moteur ou installer la roue de secours, selon la nature du problème qu’elle croit diagnostiquer. Dans tous les cas, la personne s’est attaquée au problème, mais on peut se demander si le diagnostic et la solution choisie sont les bons. On aura compris qu’une solution plus fondamentale et plus permanente est requise.

4 En dernier lieu, la personne peut se diriger vers la plus proche station-service avec service de mécanique et faire inspecter sa voiture par un mécanicien qualifié qui trouvera le problème fondamental et le corrigera. Et même là, il se peut que le mécanicien propose, le cas échéant, le choix entre une solution temporaire ou permanente, ou entre une solution plus ou moins couteuse.

Nous entamons ici une série qui comprendra deux autres articles. Dans celui-ci, nous définissons les principaux termes utilisés et nous expliquons les quatre grandes approches ou attitudes en matière de gestion de risque. Le prochain présentera un processus générique de gestion des risques, processus qui peut s’appliquer à la gestion de tous types de risques: sociaux, environnementaux, d’affaires, d’atteinte à la réputation, et bien sûr d’atteintes à la santé ou à la sécurité des personnes, entre autres. Le dernier article présentera l’application de ce processus à la gestion des risques en matière de santé et de sécurité au travail (SST).

Définitions

Avant d’aller plus loin, toutefois, il est important de bien définir les concepts qui sont au cœur de la présente réflexion. En premier lieu, tout au long de la série il sera question de risque. Aux fins de la présente discussion, nous adopterons la définition qu’en donne la norme canadienne CSA Z1000-06 (1), à savoir qu’il s’agit d’une «probabilité d’occurrence d’un évènement dangereux combinée à la gravité du préjudice pouvant en résulter». On voit donc que cette notion comporte à la fois une dimension de probabilité, et une dimension de gravité potentielle associée à l’évènement indésirable.

Dans son acceptation la plus large, tel que confirmé par la norme CAN/CSA-ISO 31000 (2) en matière de management du risque, le risque peut aussi représenter une opportunité à saisir, un écart positif par rapport aux attentes, une possibilité de gain. Nous nous concentrerons plutôt sur sa composante négative, à savoir des conséquences indésirables, des pertes ou des menaces de pertes.

Cette même norme considère également le risque d’une façon générique, c’est-à-dire que les conséquences négatives peuvent se faire sentir sur la santé financière de l’entreprise, sur sa réputation, sur l’environnement, sur la santé et la sécurité des personnes au sein de l’organisation ou dans son entourage, et ainsi de suite. Le processus de gestion du risque décrit dans le prochain article peut s’appliquer à tous ces types de risques. Par la suite nous nous concentrerons sur les risques à la santé et à la sécurité des personnes et à la sécurité des installations de l’organisation.

Mais qu’est-ce que la gestion ou le management du risque ?

La norme CSA 31000 définit la gestion du risque comme étant un ensemble «(d’) activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque». Il reste à déterminer de quelles activités il s’agit. Bien sûr la norme CSA propose les siennes et il en sera question dans les prochains articles.

Par contre, la décision de mettre ou pas des activités en place et, si oui, lesquelles, dépend beaucoup de l’attitude de l’organisation face au risque. À ce chapitre, l’organisation a les mêmes quatre options que la personne de l’histoire de cas présentée en début d’article. Ces options sont appelées les 4T de la gestion du risque. Examinons-les à tour de rôle.

A.      Tolérer
Dans cette première option, le risque est connu, mais l’organisation choisit de ne pas en tenir compte, de le tolérer. Tant que rien ne se produit, la vie est belle, les gestionnaires sont presque confortés dans leur décision de ne pas prendre action, mais le risque demeure, et les chances sont qu’il va se dégrader. Quand un évènement malheureux survient, toutefois, les conséquences vont dépasser largement les seules répercussions directes de l’évènement lui-même. En effet, on aura compris que cette attitude est l’antithèse de la diligence raisonnable. Cette option est donc très dangereuse dans le contexte de la définition de négligence criminelle introduite par la Loi C-21 modifiant le Code criminel canadien. Et puisqu’il n’y a pas d’activités coordonnées, il ne s’agit  donc pas de gestion de risque.

Avant d’aller plus loin, une précision s’impose, toutefois. Il existe certains risques qui ne présentent aucun signe avant-coureur de leur présence. Il y a des situations où l’entreprise ne sait pas qu’un risque est présent. Dans de tels cas, on peut difficilement parler de tolérance. Par contre, si l’entreprise a des raisons de croire que le risque peut être présent, mais qu’elle ne prend pas les moyens de le vérifier, à défaut d’être de la tolérance c’est tout de même de la négligence.

B.      Transférer
La deuxième option consiste à transférer le risque. En fait, cela peut se faire de deux façons. Premièrement, l’organisation peut transférer à d’autres les activités à risque. C’est le cas de la sous-traitance, par exemple, lorsque l’entreprise confie à une firme externe la réalisation de travaux à haut risque. Il faut toutefois préciser que cette attitude n’est pas nécessairement recommandable, pour plusieurs raisons. Ainsi, cette façon d’extérioriser, de transférer le risque est de moins en moins bien vue par les agences gouvernementales. Les entreprises de classe mondiale se vantent du fait que leurs sous-traitants ont, en matière de SST par exemple, des performances aussi bonnes que celles de l’entreprise elle-même. Et puis les principales normes en matière de systèmes de management de la SST ou du risque préconisent plutôt de mettre en œuvre des activités qui tombent dans l’une ou l’autre des deux prochaines options, et de s’assurer que les sous-traitants le fassent également, Il n’y a alors aucun avantage à transférer le risque.

La seconde façon de transférer le risque, c’est de faire assumer, en tout ou en partie, par une tierce partie les conséquences négatives d’un éventuel évènement indésirable. C’est ce qui se produit quand on contracte une police d’assurance automobile ou responsabilité civile, par exemple. Le risque demeure présent ou s’intensifie. Il est en fait plutôt rare qu’il disparaisse tout seul, mais s’il se traduit en évènement indésirable, c’est l’assureur qui défraie les couts des conséquences. Bien sûr il est important, et parfois même obligatoire, d’être bien assuré. Par contre chaque évènement fait augmenter les couts d’assurance, et lorsque le risque est devenu trop élevé, certains assureurs font pression sur les entreprises pour qu’elles prennent le risque en charge ou refusent de continuer à les assurer.

C.      Traiter
On commence à parler de véritable management du risque quand l’organisation prend des actions coordonnées dans le but de traiter le risque, c’est-à-dire de le contrôler, de l’atténuer. Traiter le risque peut prendre deux formes. Premièrement, l’organisation peut mettre en place des activités ayant pour but de réduire la probabilité de l’évènement dangereux ou indésirable. Ces actions consisteront entre autres à diminuer le temps ou la fréquence d’exposition à la situation à risque, ou à réduire en fréquence ou en intensité l’activité qui crée l’exposition au risque. Dans cette catégorie on retrouve des actions, appelées contrôles administratifs comme la rotation des tâches ou l’introduction de pauses, qui sont souvent utilisées dans le cadre d’un programme de prévention des problèmes musculosquelettiques. Les mesures de protection collective, qui visent à empêcher l’exposition directe, font également partie de cette catégorie.

Deuxièmement, certaines autres actions peuvent être mises en place pour atténuer la portée des conséquences en cas de survenue de l’évènement indésirable. Bien sûr, on pense spontanément à toutes les mesures d’urgence qui visent à contenir un déversement, à éteindre un incendie, à porter secours et assistance à une victime pour tenter de minimiser les dégâts. Les équipements de protection individuelle, qui servent à atténuer des énergies potentiellement nocives appartiennent eux aussi à cette catégorie. On retrouve donc ici des mesures qui diminuent le risque sans toutefois le faire disparaitre, qui atténuent les conséquences de l’évènement sans toutefois le prévenir.

D.      Terminer
Évidemment l’option à privilégier c’est d’éliminer le risque complètement. Pour sa part, le législateur québécois à l’article 2 de la Loi sur la santé et la sécurité du travail (LSST) a choisi l’option de « (…) l’élimination à la source même des dangers pour la santé, la sécurité et l’intégrité physique des travailleurs ». Comme nous savons que l’élimination du danger est très souvent impossible, il est plus efficace de nous concentrer sur l’élimination du risque. C’est aussi l’option privilégiée par les principales normes en matière de systèmes de management de la SST ou du risque ainsi que par les normes en matière de sécurité des machines. Ça tombe sous le sens qu’un risque qui n’existe plus n’a aucune chance de provoquer un accident. Cependant, est-il toujours possible d’éliminer le risque complètement ?

Conclusion

Si certains risques peuvent être éliminés à la source, il existe des dangers qui s’avèrent difficiles voire impossibles à contrôler. Par exemple, comment peut-on éliminer à la source le risque d’insolation ou de coup de chaleur quand notre travail se déroule en plein air en été ? Comment peut-on éliminer à la source le risque d’engelure quand on doit travailler dehors en hiver ? Dans les deux cas, on doit prendre des précautions, traiter le risque, appliquer des mesures d’atténuation.

Il y a deux raisons majeures pour lesquelles une bonne stratégie globale de management du risque comporte à la fois des mesures de traitement et des mesures d’élimination. La première, bien sûr, c’est l’impossibilité d’éliminer complètement tous les risques. La deuxième, c’est le principe qui veut que deux précautions vaillent mieux qu’une.

Dans la description des options ci-haut, on aura compris que le prérequis indispensable, c’est une bonne connaissance du risque de la part de l’organisation. Dans l’exemple du début, on fait référence à un mécanicien qualifié. Seul quelqu’un qui s’y connait est en mesure de bien conseiller l’automobiliste sur la nature exacte du problème et donc sur les solutions les plus appropriées. Le beau-frère qui s’improvise mécanicien a des chances de causer plus de tort que de bien. Il en va de même en matière de management du risque. Comme point de départ, l’entreprise se doit de bien comprendre les risques auxquelles elle est confrontée. Comment y arriver ? C’est ce dont il sera question dans le prochain article.

Références bibliographiques

1. Association Canadienne de Normalisation (2006) Norme CSA Z1000-06 Gestion de la santé et de la sécurité au travail.

2. Association Canadienne de Normalisation (2015) Norme CAN/CSA-ISO 31000-10 Management du risque – Principes et lignes directrices.