Analyser les risques inhérents à son entreprise ne s’improvise pas. Il faut choisir la méthode d’analyse la plus appropriée puis constituer une équipe pluridisciplinaire de travail qui aura pour mission de récolter l’information requise, par le biais de documentation transmise ou la réalisation d’interviews.
Bien définir les critères de l’analyse de risques (intensité, fréquence, criticité, sécurité…) permet ensuite d’identifier leurs sources et de mesurer les menaces qui pèsent sur la sécurité et la pérennité de l’entreprise.
Les sources de risques peuvent être externes à l’entreprise : pirates informatiques, concurrents, visiteurs, sous-traitants, clients, fournisseurs, événement naturel, épidémie, attaque terroriste… Mais les défaillances de sécurité peuvent aussi venir de l’interne — salariés, stagiaires, dirigeants, tiers autorisés — sur le lieu de travail ou en-dehors.
Une fois les sources de risques clairement identifiées, l’analyse proprement dite peut commencer.
Globalement, l’analyse doit se faire à trois niveaux : au niveau des processus de l’entreprise, de chaque groupe de travail ou de fonctions et enfin au niveau de chaque individu.
L’analyse de risques est un processus dynamique qui requiert un suivi et des ajustements permanents en fonction des circonstances : changement de process, utilisation de différentes machines, introduction de services de week-end ou de nuit, création de la possibilité de télétravail, changement d’une norme de sécurité, choc exogène... Une analyse de risques en temps réel est donc nécessaire afin de détecter les signaux faibles et d’éviter ainsi les mauvaises surprises pouvant menacer la sécurité de son activité.
C’est à l’entreprise de mettre en place un processus d’analyse de ses risques. Pour ce faire, elle peut missionner un cabinet spécialisé en gestion et évaluation des risques ou bien compter sur le travail d’analyse de ses propres forces internes. Il peut alors s’agir du dirigeant lui-même, du responsable de l’audit interne, du risk manager (chargé explicitement de la gestion et de l’analyse des risques), du directeur de la sécurité ou d’une équipe transversale constituée pour l’occasion. L’important est que la personne qui effectue l’analyse de risques puisse réaliser cette évaluation de manière neutre, en toute sécurité, sans subir la pression de son environnement de travail.
Juridiquement, c’est au dirigeant qu’incombe la responsabilité de protéger l’ensemble de ses collaborateurs en leur permettant de travailler en toute sécurité et en garantissant leur santé et leur bien-être. L’analyse de risques implique donc que l’employeur soit systématiquement et en permanence à l’affût des dangers et des facteurs de risques.
Dans les grandes entreprises, le dirigeant peut s’appuyer sur l’ensemble des membres du comité exécutif et de la ligne hiérarchique, ainsi que sur les équipes prévention/sécurité de son assureur et de son courtier d’assurances, pour l’aider à réaliser le travail d’analyse des risques.
Une bonne démarche d'analyse de risques se réalise en cinq étapes distinctes :
C'est un travail quantitatif qui consiste à lister tous les risques et défauts de sécurité possibles sans se préoccuper de leur gravité ou de leur probabilité. Pour établir cette liste, il est utile de questionner toutes les parties prenantes de l’entreprise, en étudiant soigneusement tous les cas possibles, même ceux qui paraissent irréalisables. Les risques potentiels identifiés et valorisés sont ensuite ventilés sur une matrice appelée cartographie des risques.
La deuxième étape consiste, pour chaque risque identifié, à tenter d’évaluer et mesurer les dommages potentiellement causés, et à leur attribuer des coefficients.
Comme tous les risques n'ont pas la même probabilité d'occurrence, il faut ensuite les mesurer et les classer selon leur probabilité de se concrétiser, en prenant en compte les caractéristiques de l’entreprise et l’environnement dans lequel elle évolue. Un travail souvent ardu.
Ensuite, par lecture de la cartographie, on peut effectuer une analyse des zones « chaudes » de la matrice, et réfléchir à tous les projets et les strates de l’entreprise qui risquent d’être impactés par les effets du risque s'il survient, et même se demander à quel moment il pourrait se produire. Une bonne évaluation des failles de sécurité et des points critiques est la base d’une gestion des risques efficace.
Une fois les points névralgiques repérés, il faut préparer des plans d'action en se posant les bonnes questions : comment, avec qui, avec quoi et combien ? Il est notamment possible d’effectuer un travail de renforcement de la sécurité face à certains risques (toits anti-grêle, portes incendie…) mais la plupart du temps on ne peut que les prévenir : dégager l’accès aux issues de secours, sensibiliser tous les salariés aux cybermenaces, préparer des plans de continuité d’activité…
L’ensemble des mesures prises doivent être consignées dans un plan de prévention global. En complément, s’assurer, avec une assurance crédit pour entreprises, contre les risques résiduels ou trop impactants peut être une solution de gestion des risques intéressante à envisager.
On distingue cinq grandes familles de risques :
Seules les trois premières catégories font partie de ce que l’on appelle les risques majeurs, qui peuvent mettre en péril l’intégrité et la sécurité de l’entreprise.
