La gestion du risque et l’outil AMDEC

Introduction :

Le risque a toujours existé en entreprise. Le fait de créer une entreprise est déjà un risque en soi. Sa survie sur le long terme n’est jamais assurée, en témoigne les faillites retentissantes que l’on entend de temps à autre, comme Enron, Lehman Brothers ou Nortel. Les périodes de crises ou les catastrophes naturelles ne font qu’accélérer le mouvement. D’autres ont lutté pour leur survie ou ont été absorbés : Chrysler, General Motors, Motorola, Kodak, American Airlines…
Des ingénieurs se penchent en premier sur les risques techniques et technologiques après la Seconde Guerre mondiale, dans des domaines sensibles tels que l’industrie militaire, spatiale puis automobile.
Cependant, la prise en compte de la gestion du risque en entreprise apparaît tardivement, vers les années 70’s. La fonction de Risk Manager, quant à elle, n’est créée que dans les années 80’s, notamment dans le domaine des assurances.
Aujourd’hui, toutes les entreprises, grandes ou petites, intègrent cette notion dans leur mode de gouvernance et dans leurs processus opérationnels.
L’ISO9001 mentionne le terme « risque » 37 fois dans sa dernière version 2015 alors qu’il n’est mentionné que 3 fois dans sa version précédente.
L’ISO31000, qui en est à sa 2^ème version (2009 puis 2018), fournit aux entreprises un cadre, des principes et des lignes directrices pour mettre en place une stratégie de gestion efficace des risques

Les différentes catégories de risques :

On distingue généralement deux types de risques :
- 1. Les risques stratégiques
- 2. Les risques opérationnels

Parmi les risques stratégiques, nous pouvons trouver :
- 1. Les risques naturels, incendies, inondations, pandémies
- 2. Les risques informatiques, de cyber-attaque
- 3. Les risques juridiques et réglementaires
- 4. Les risques politiques
- 5. Les risques organisationnels
- 6. Les risques commerciaux liés au marché, aux clients, à la concurrence
- 7. Les risques technologiques
- 8. Les risques financiers, de trésorerie, de non-paiement, de taux de change…

Pour ce qui est des risques opérationnels, nous trouvons :
- 1. Les risques liés à chaque processus de l’entreprise
- 2. Les risques de développement de produits et de processus de fabrication ou de service
- 3. Les risques de panne d’équipement
- 4. Les risques de rupture d’approvisionnement
- 5. Les risques RH (ressources, gestion de la connaissance, des talents)
- 6. Les risques de gestion de stock
- 7. Les risques de gestion de projet
- 8. Les risques environnementaux
- 9. Les risques de santé et sécurité au travail
- 10. …

Le processus de gestion des risques :

Le processus de gestion des risques répond toujours à un même schéma :

Les outils d’identification des risques :

Au niveau stratégique et opérationnel, l’identification des risques peut se faire par le biais de l’outil et d’une analyse SWOT.
Il s’agit ici d’identifier :
- les Forces (Strenghs), les Faiblesses (Weaknesses), d’origine interne à l’entreprise
- Les Opportunités (Opportunities) et les Menaces (Threats), d’origine externe à l’entreprise.
- Pour analyser les risques d’origines externes, il est recommandé d’utiliser aussi la méthode PESTEL (risques Politiques, Economiques, Sociaux, Technologiques, Environnementaux et Légaux)

En ce qui concerne les risques techniques, l’outil le plus approprié est l’AMDEC – Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité ; appelée FMEA en anglais – Failure Mode and Effect Analysis.

C’est une méthodologie standardisée et éprouvée, qui permet d’analyser les risques techniques au niveau du produit et au niveau du processus :
L’AMDEC Produit, en phase de conception et de développement de nouveaux produits, permet de concevoir bien du 1^er coup (gains de temps projet, fiabilisation du produit…)
L’AMDEC Processus, en phase d’industrialisation et de production, permet de produire bien du 1^er coup (optimisation des processus et des plans de surveillance, amélioration de la qualité…)
Les 8 étapes de réalisation d’une AMDEC :
- 1. Définir des modes de Défaillances potentielles
- 2. Identifier les Effets
- 3. Définir les Causes des défaillances
- 4. Identifier les modes de détection existants
- 5. Réaliser la cotation (en termes de Gravité, de Fréquence et de Détection)
- 6. Calculer l’Indice de Priorité de Risque IPR
- 7. Identifier les actions face aux risques
- 8. Vérifier l’efficacité des actions et recalculer l’indice IPR

L’analyse qualitative et quantitative et les stratégies de réponses :

Quel que soit l’outil d’analyse de risque utilisé, l’analyse passe par deux grandes phases :
- L’analyse qualitative, pour identifier les risques, identifier leurs effets, leurs causes, leur détectabilité
- L’analyse quantitative, qui permet d’effectuer une cotation du risque :
  - 1. La plupart du temps, nous prenons en considération 2 facteurs, la Gravité et le risque de Fréquence d’apparition à IPR = G x F
  - 2. Pour les risques techniques avec une analyse AMDEC, la cotation se fait avec 3 facteurs : Gravité, Fréquence et Détection, en général notés de 1 à 10 à IPR = G x F x D
  - 3. Pour certains risques particuliers (risques informatiques, incendie, risques environnementaux…), il convient d’intégrer 4 facteurs : Gravité, Fréquence, Détection et temps de Rétablissement de la situation initiale à IPR = G x F x D x R
- Une fois la priorisation des risques effectuée, une stratégie peut être adoptée

En effet, nous pouvons adopter différentes stratégies face aux risques :
- L’accepter
- Le réduire
- L’éviter
- Le transférer ou le partager

Une fois les actions réalisées, il convient de vérifier leur efficacité et de calculer le risque résiduel.
Cet exercice doit être régulièrement conduit, et chaque nouveau risque doit donner lieu à un enregistrement et à une analyse, selon le principe de l’amélioration continue et la roue de Deming.

Conclusion :

Bien que selon l’adage bien connu, le risque Zéro n’existe pas, il est important de se donner les moyens d’utiliser sérieusement la gestion des risques en entreprise comme un outil de gouvernance stratégique et de prévention opérationnelle. Vous augmenterez ainsi la probabilité d’atteindre avec succès les objectifs fixés et à pérenniser votre entreprise.

Pour plus d’information, contacter l’’ARIAQ : www.ariaq.ch/contact/ | +41 24 423 96 50

Zouhair Aich – Directeur Adjoint ARIAQ

Diplômé d’un Master en Microélectronique, expert en Qualité, Zouhair AICH bénéficie de plus de 25 années d’expérience professionnelle en tant que Manager et Dirigeant auprès de grands groupes internationaux tels que STMicroelectronics, DELL Computers, IMI, SICPA et BOBST. M. Aich apporte son expertise dans le Management Stratégique, la Gestion des Risques, l’Assurance Qualité Fournisseur, l’Amélioration Continue et l’Excellence Opérationnelle.

La gestion du risque et l’outil AMDEC

Introduction :

Des ingénieurs se penchent en premier sur les risques techniques et technologiques après la Seconde Guerre mondiale, dans des domaines sensibles tels que l’industrie militaire, spatiale puis automobile.

Cependant, la prise en compte de la gestion du risque en entreprise apparaît tardivement, vers les années 70’s. La fonction de Risk Manager, quant à elle, n’est créée que dans les années 80’s, notamment dans le domaine des assurances.

Aujourd’hui, toutes les entreprises, grandes ou petites, intègrent cette notion dans leur mode de gouvernance et dans leurs processus opérationnels.

L’ISO9001 mentionne le terme « risque » 37 fois dans sa dernière version 2015 alors qu’il n’est mentionné que 3 fois dans sa version précédente.

L’ISO31000, qui en est à sa 2ème version (2009 puis 2018), fournit aux entreprises un cadre, des principes et des lignes directrices pour mettre en place une stratégie de gestion efficace des risques

Les différentes catégories de risques :

On distingue généralement deux types de risques :

1. Les risques stratégiques

2. Les risques opérationnels

Parmi les risques stratégiques, nous pouvons trouver :

1. Les risques naturels, incendies, inondations, pandémies

2. Les risques informatiques, de cyber-attaque

3. Les risques juridiques et réglementaires

4. Les risques politiques

5. Les risques organisationnels

6. Les risques commerciaux liés au marché, aux clients, à la concurrence

7. Les risques technologiques

8. Les risques financiers, de trésorerie, de non-paiement, de taux de change…

Pour ce qui est des risques opérationnels, nous trouvons :

1. Les risques liés à chaque processus de l’entreprise

2. Les risques de développement de produits et de processus de fabrication ou de service

3. Les risques de panne d’équipement

4. Les risques de rupture d’approvisionnement

5. Les risques RH (ressources, gestion de la connaissance, des talents)

6. Les risques de gestion de stock

7. Les risques de gestion de projet

8. Les risques environnementaux

9. Les risques de santé et sécurité au travail

10. …

Le processus de gestion des risques :

Le processus de gestion des risques répond toujours à un même schéma :

Les outils d’identification des risques :

Au niveau stratégique et opérationnel, l’identification des risques peut se faire par le biais de l’outil et d’une analyse SWOT.

Il s’agit ici d’identifier :

les Forces (Strenghs), les Faiblesses (Weaknesses), d’origine interne à l’entreprise

Les Opportunités (Opportunities) et les Menaces (Threats), d’origine externe à l’entreprise.

Pour analyser les risques d’origines externes, il est recommandé d’utiliser aussi la méthode PESTEL (risques Politiques, Economiques, Sociaux, Technologiques, Environnementaux et Légaux)

En ce qui concerne les risques techniques, l’outil le plus approprié est l’AMDEC – Analyse des Modes de Défaillances, de leurs Effets et de leur Criticité ; appelée FMEA en anglais – Failure Mode and Effect Analysis.

C’est une méthodologie standardisée et éprouvée, qui permet d’analyser les risques techniques au niveau du produit et au niveau du processus :

L’AMDEC Produit, en phase de conception et de développement de nouveaux produits, permet de concevoir bien du 1er coup (gains de temps projet, fiabilisation du produit…)

L’AMDEC Processus, en phase d’industrialisation et de production, permet de produire bien du 1er coup (optimisation des processus et des plans de surveillance, amélioration de la qualité…)

Les 8 étapes de réalisation d’une AMDEC :

1. Définir des modes de Défaillances potentielles

2. Identifier les Effets

3. Définir les Causes des défaillances

4. Identifier les modes de détection existants

5. Réaliser la cotation (en termes de Gravité, de Fréquence et de Détection)

6. Calculer l’Indice de Priorité de Risque IPR

7. Identifier les actions face aux risques

8. Vérifier l’efficacité des actions et recalculer l’indice IPR

L’analyse qualitative et quantitative et les stratégies de réponses :

Quel que soit l’outil d’analyse de risque utilisé, l’analyse passe par deux grandes phases :

L’analyse qualitative, pour identifier les risques, identifier leurs effets, leurs causes, leur détectabilité

L’analyse quantitative, qui permet d’effectuer une cotation du risque :

1. La plupart du temps, nous prenons en considération 2 facteurs, la Gravité et le risque de Fréquence d’apparition à IPR = G x F

2. Pour les risques techniques avec une analyse AMDEC, la cotation se fait avec 3 facteurs : Gravité, Fréquence et Détection, en général notés de 1 à 10 à IPR = G x F x D

3. Pour certains risques particuliers (risques informatiques, incendie, risques environnementaux…), il convient d’intégrer 4 facteurs : Gravité, Fréquence, Détection et temps de Rétablissement de la situation initiale à IPR = G x F x D x R

Une fois la priorisation des risques effectuée, une stratégie peut être adoptée

En effet, nous pouvons adopter différentes stratégies face aux risques :

L’accepter

Le réduire

L’éviter

Le transférer ou le partager

Une fois les actions réalisées, il convient de vérifier leur efficacité et de calculer le risque résiduel.

Cet exercice doit être régulièrement conduit, et chaque nouveau risque doit donner lieu à un enregistrement et à une analyse, selon le principe de l’amélioration continue et la roue de Deming.

Conclusion :

Pour plus d’information, contacter l’’ARIAQ : www.ariaq.ch/contact/ | +41 24 423 96 50

L’ISO31000, qui en est à sa 2^ème version (2009 puis 2018), fournit aux entreprises un cadre, des principes et des lignes directrices pour mettre en place une stratégie de gestion efficace des risques

L’AMDEC Produit, en phase de conception et de développement de nouveaux produits, permet de concevoir bien du 1^er coup (gains de temps projet, fiabilisation du produit…)

L’AMDEC Processus, en phase d’industrialisation et de production, permet de produire bien du 1^er coup (optimisation des processus et des plans de surveillance, amélioration de la qualité…)