Le fonctionnement de l’entreprise

La mise en dynamique des différentes fonctions de l’organisation sous-tend l’existence de règles, d’objectifs, de contrôles, d’ordres,… Dans une perspective de survie, ces derniers sont les éléments constitutifs du système de management des risques (SMR). Toutefois, l’hétérogénéité des TPE annihile toute velléité de matérialisation d’un système unique qui fonctionnerait selon un certains nombres de règles préétablies. Il convient plutôt de s’interroger sur les liens qui peuvent exister entre l’évolution du SMR avec celle de l’organisation.

Dans le domaine spécifique du management de la sécurité, [ZWETSLOOT, 2000] propose un modèle théorique du développement du système au travers de quatre étapes distinctes (Voir Figure 27).

Figure 27: Les quatre étapes du modèle de [ZWETSLOOT, 2000]. Approche globale Approche « système » Organisation méthodique Réponse ad hoc Temps Evolution du management de la sécurité

122

La première étape est qualifiée d’étape de « Réponse ad hoc ». Elle correspond à une gestion réactive des évènements durant laquelle l’intérêt de l’organisation réside dans les résultats malgré l’inexistence d’objectifs dans le domaine.

La deuxième est celle de l’ « organisation méthodique ». Elle matérialise un état où l’entreprise fait périodiquement l’évaluation de ses risques, elle détermine et priorise des actions correctives. Elle planifie et met en place des mesures de contrôle.

La troisième étape de développement est l’approche « système » qui marque la formalisation du système de management de la sécurité. A ce stade, l’organisation le pilote dans le cadre du PDCA (Plan/Do/Check/Act).

La dernière étape est celle de l’ « approche globale ». Elle représente une configuration où la composante de la sécurité fait systématiquement partie des autres processus de l’entreprise.

A partir de ces éléments, [CAMBON, 2007] propose donc trois formes particulières du système de management de la sécurité :

1 Le système informel de management correspond à la phase d’organisation

méthodique de la sécurité au sein de la structure. Ce système repose sur la règlementation en vigueur dans le domaine et ne peut en aucun cas donner lieu à une certification.

1 Le système standardisé de management est associé à l’étape de l’approche « système » de la sécurité au sein de l’organisation. Cette conformation formelle du système de management est celui qui peut aboutir à une certification.

1 Enfin, le système intégré de management est observable au niveau de

l’approche globale de la sécurité dans l’entreprise. Cette forme de système sous-tend la mise en cohérence avec les autres systèmes objet de l’intégration (exemple : système de management intégré Qualité Sécurité Environnement).

Plus spécifiquement pour la gestion des risques, [HILLSON, 1997] propose un modèle de maturité qui repose sur quatre niveaux distincts42. [HILLSON, 1997] identifie également les différentes actions qui peuvent être mises en œuvre pour passer d’un niveau de maturité de gestion des risques au niveau supérieur, fournissant les premières pistes pour l’organisation des éléments relatif à la réduction des vulnérabilités.

42

123

Le premier niveau est qualifié de « naïf » et correspond à un état où l’entreprise n’a pas conscience de ses risques et donc de la nécessité de les gérer. Pour passer du niveau « naïf » au niveau « novice », il suggère :

1 La définition des objectifs du projet d’implémentation de la gestion des risques.

1 La prise de conseils auprès d’experts externes reconnus.

1 L’identification des employés qui interviendront en tant qu’équipe prototype et

mise à disposition des appuis nécessaires pour aboutir à un état de « client/utilisateur intelligent » (formations, compétences, techniques,…).

1 La tenue de réunions d’informations et de sensibilisations à tous les niveaux de

l’entreprise pour partager la vision de la gestion des risques ainsi que ses potentiels bénéfices.

1 La nomination d’un « sponsor » de la direction pour la promotion du ou des processus d’implémentation.

1 La sélection d’applications pilotes pour la gestion des risques.

1 La publication et la célébration des succès.

1 La planification à long terme (ressources inclues) de l’implémentation de la gestion des risques.

1 La construction des contrôles efficaces à des points étapes clés pour assurer un

suivi de la progression.

1 La recherche d’outils appropriés.

1 La production / la rédaction des premières ébauches de procédures.

Le deuxième niveau qu’il identifie est l’état de « novice » qui matérialise les prémices de la gestion des risques au sein d’un petit groupe de personnes de l’entreprise. Pour passer du niveau « novice » au niveau « normalisé », il présente :

1 Le renforcement et la consolidation de l’accompagnement par la direction de l’organisation des personnes en charge des processus de la gestion des risques.

1 Le développement des compétences internes par le suivi de formations

formelles dans le domaine du risque.

1 L’utilisation des expertises externes pour renforcer, soutenir et accroitre les compétences internes ainsi que l’étendue du champ d’application des processus de gestion des risques.

1 L’allocation adéquate des ressources (recrutement, budget, outil,…) pour la construction et la mise en œuvre et le maintien des processus de gestion des risques.

124

1 La démonstration des bénéfices de la gestion des risques pour l’organisation au

travers de la sélection et de l’analyse de projets clés.

1 La poursuite des publications et célébrations des succès.

1 La confrontation des employés aux influences externes dans le domaine des risques (formations, conférences, séminaires, commissions d’experts, ouvrages, presses,…).

1 La formalisation du ou des processus de gestion des risques (domaine

d’application, objectifs, procédures, outils, politique…).

1 L’intégration de la gestion des risques au sein du management routinier des projets et activités avec une revue et un reporting régulier.

1 L’initiation de la collecte des données à partir du processus de gestion des risques pouvant par exemple servir à l’établissement de checklists pour faciliter l’identification des risques.

Le troisième niveau est appelé l’état « normalisé » de la gestion des risques. A ce stade, l’entreprise dispose d’une approche formalisée et comprend les bénéfices de sa mise en œuvre à tous les niveaux de l’entreprise. Pour évoluer du niveau « normalisé » au niveau « naturel », il propose de :

1 s’assurer d’un apprentissage par l’expérience efficace au regard de revues régulières des processus de gestion des risques.

1 modifier et/ou renforcer le processus de gestion des risques quand nécessaire en envisageant d’investir dans de nouveaux outils, méthodes, formations…

1 travailler à l’application du processus de gestion des risques à l’ensemble des activités de l’entreprise.

1 user de tous les moyens possibles pour développer une culture de la « gestion

totale des risques » en encourageant les salariés à « penser risque » (conscience de l’incertitude, utilisation de techniques d’évaluation et de gestion des menaces).

1 s’assurer que le risque fait partie intégrante des critères courants de décisions.

1 identifier et « riposter » aux conséquences des pertes d’intérêt, de motivation, d’élan…au sein du processus de gestion des risques.

1 s’assurer du maintien des compétences dans l’entreprise.

1 envisager le recours à une expertise externe spécialisée pour l’expansion, le maintien ou la modification de la gestion des risques.

125

Le quatrième niveau est l’état dit « naturel » qui représente les entreprises qui fonctionnent au regard d’une approche proactive de gestion des risques. Dans ce cas, la culture du risque observable dans ces organisations permet d’envisager l’intégration d’éléments issus de la gestion des opportunités.

Pour éviter les écueils de la monotonie et de la fatuité et ainsi se maintenir au niveau « naturel », il conseille de :

1 s’assurer du niveau d’engagement de la direction en envisageant de changer de

« sponsor » périodiquement.

1 utiliser les techniques d’audits et de revues pour maintenir l’application de la gestion des risques.

1 tirer parti au maximum de l’avantage concurrentiel qui résulte du management

proactif de l’incertitude (risques et opportunités).

1 étendre la gestion des risques à toutes les activités courantes de l’entreprise.

1 investir continuellement pour améliorer les processus, outils, techniques,

compétences,… dans le domaine du risque.

1 impliquer les clients et fournisseurs dans le processus de gestion des risques.

Si cette échelle de maturité est un point de départ intéressant, elle n’en reste pas moins difficilement calquable sur les besoins et possibilités des entités spécifiques que sont les TPE, et ce malgré leur grande hétérogénéité. Dans ce cas, il convient donc plutôt de se focaliser le passage de l’état « naïf » à l’état « novice » puisque cette transition est censée voir apparaitre les prémices des futurs constituants du SMR.