Support de Formation ISO 31000 2018 Rabet V3

SUPPORT RÉFÉRENCES Consultant Formateur
S ISO 31000 : 2018 SF-MR-I/MQ-V3 Octobre 2023 RABET ZEHI

Thème : Norme ISO 31 000 : 2018 Management du risque – Lignes Durée : … heures
directrices ; Méthodes et Outils associés
SUPPORT COMPLEMENTAIRE
DE FORMATION
NORME ISO 31 000 : 2018,

Méthodes et Outils associés
Formateur : RABET ZEHI

 Administrateur des Services Financiers
 Expert Qualité
 Chercheur en Sciences de Gestion
 07 07 20 33 96
 gouda.zeh@gmail.com
Avertissement : toute exploitation du présent support de formation à des fins personnelles, sans
prendre le soin de citer l’auteur, est strictement interdite.
Thème de formation : Norme ISO 31 000 : 2018, Méthodes et Outils associés
TABLE DES MATIERES
PREAMBULE MOTIVANT : INTRODUCTION AUX ENJEUX DU MANAGEMENT DU

RISQUE ...................................................................................................................................... 3
PREMIERE PARTIE : GENERALITES .................................................................................... 4
1. DEFINITION DU RISQUE .................................................................................................................... 4
2. CARACTERISTIQUES DU RISQUE ...................................................................................................... 5
3. DEFINITION DU MANAGEMENT DU RISQUE ...................................................................................... 7
4. MANAGEMENT DU RISQUE : CONTEXTE GENERAL .......................................................................... 7
5. LA NORME ISO 9001 VERSION 2015 ET LA NOTION DE RISQUE....................................................... 7
6. PREALABLES A LA MISE EN PLACE D’UN PROCESSUS DE MANAGEMENT DU RISQUE ...................... 7
DEUXIEME PARTIE : PRESENTATION GENERALE DE LA NORME ISO 31 000 : 2018 .... 8
1. OBJECTIFS DE LA NORME ISO 31 000.............................................................................................. 8
2. RAPPEL DES PRINCIPES DE MANAGEMENT DU RISQUE .................................................................... 8
3. CADRE ORGANISATIONNEL DU MANAGEMENT DU RISQUE ............................................................. 9
3.1 Finalité du cadre organisationnel ............................................................................................ 9
3.2 Leadership et engagement ........................................................................................................ 9
3.3 Composantes du cadre organisationnel de management du risque ......................................... 9
TROISIEME PARTIE : LE PROCESSUS DE MANAGEMENT DU RISQUE ........................ 12
PREMIERE ETAPE : MISE EN PLACE ET DEPLOIEMENT D’UN PROCESSUS DE COMMUNICATION ET
CONSULTATION ................................................................................................................................. 12
DEUXIEME ETAPE : ETABLISSEMENT DU PERIMETRE D’APPLICATION, DU CONTEXTE ET DES

CRITERES DU MANAGEMENT DU RISQUE ........................................................................................... 13
1. But de l’établissement du périmètre d’application, du contexte et des critères de management

du risque ....................................................................................................................................... 13
2. Définition du domaine d’application du management du risque.............................................. 13
3. Etablissement du contexte interne et externe .......................................................................... 13
4. Définition des critères de risque ............................................................................................... 14
TROISIEME ETAPE : APPRECIATION DU RISQUE ................................................................................. 15
1. Identification du risque ............................................................................................................. 15
2. Analyse du risque...................................................................................................................... 17
3. Evaluation du risque ................................................................................................................. 20
QUATRIEME ETAPE : TRAITEMENT DU RISQUE.................................................................................. 27
CINQUIEME ETAPE : SUIVI ET REVUE ................................................................................................ 35
SIXIEME ETAPE : ENREGISTREMENT ET ELABORATION DES RAPPORTS ............................................ 36
LISTE DES ANNEXES ............................................................................................................. 37
REFERENCES BIBLIOGRAPHIQUES ................................................................................... 45
RABET ZEHI : Administrateur des Services Financiers, Expert Qualité, Chercheur en Sciences de Gestion Page 2/46
PROGRAMME SOMMAIRE ET OBJECTIFS DE FORMATION
Préambule motivant : Introduction aux enjeux du management du risque
Objectif général : appréhender les principaux enjeux du management du risque pour un organisme
Première partie : Généralités
Objectif général : appréhender la notion de risque et les concepts associés
Deuxième partie : Présentation générale de la norme ISO 31 000 : 2018
Objectif général : comprendre la structure générale de la norme ISO 31 000 : 2018
Troisième partie : Le processus de management du risque selon la norme ISO 31 000 : 2018,
méthodes et outils associés
Objectifs généraux :
1. comprendre les principales étapes du processus de management du risque
2. identifier les méthodes et outils applicables à chaque étape du processus
OBJECTIFS SPECIFIQUES
Sur la base des acquis de la formation, les apprenants doivent être capables de :
- participer efficacement à l’identification, l’analyse, l’évaluation et au traitement des risques,
ainsi qu’à leur surveillance, selon le cas, conformément à la procédure de gestion des risques
en vigueur au sein de leurs structures respectives;
- contribuer à l’élaboration d’une cartographie des risques pertinents liés à leurs activités, quelle
que soit la nature des risques ;
- contribuer à l’élaboration d’un plan d’actions de maîtrise des risques adapté aux causes et aux
conséquences potentielles des risques à traiter ;
- faire le suivi, de manière autonome, de la mise en œuvre d’un plan d’actions de maîtrise des
risques selon les modalités de suivi établies.
PREAMBULE MOTIVANT : INTRODUCTION AUX ENJEUX DU MANAGEMENT DU

RISQUE
La loi de Murphy (Edward Aloysius Murphy, ingénieur en aérospatiale)
C’est une loi empirique, héritée du secteur aérospatial, qui énonce que si « quelque chose peut mal
tourner, alors cette chose finira infailliblement par mal tourner. »
Autrement dit, « lorsqu’il existe au moins deux façons de faire quelque chose et qu’au moins l’une de
ces façons peut entraîner une catastrophe, il se trouvera forcément quelqu’un quelque part pour
emprunter cette voie. »
Leçon à tirer : « si le pire ou le dysfonctionnement est toujours certain », la démarche de gestion des
risques apparaît comme un moyen efficace de renforcement des mécanismes de prévention et de
maîtrise des activités, tâches et opérations au sein des entreprises privées et administrations publiques
ou tout organisme.
Vidéo film : Explosion de la navette américaine Challenger le 28 janvier 1986

Mise en activités 1 (Durée : 10 mn) : Après avoir visionné le vidéo film, il vous est demandé :
- d’identifier les causes de l’accident de Challenger ;
- de tirer les leçons nécessaires (en tenant compte du thème de formation).
Note : suite du Préambule motivant (Cf. Annexe 1).
Attention ! Le présent support de formation sert de guide pour approfondir vos recherches
sur le management du risque. Il existe plusieurs démarches ou bonnes pratiques en matière de
management du risque.
L’ISO 31 000 version 2018, norme de référence de cette formation, présente une démarche
systématique et cohérence de management du risque. Mais il revient surtout à chaque
organisme de déterminer les méthodes et outils applicables à son processus de management
du risque.
La formation profite davantage à ceux qui sont présents au cours des séances de formation,
car ce sont les explications, les éclairages, les réponses aux questions posées, le partage
d’expérience et de bonnes pratiques, qui constituent l’essentiel de la formation pendant ces
séances et qui confèrent des acquis notoires aux apprenants.
PREMIERE PARTIE : GENERALITES

1. Définition du risque
Définitions du risque
Première définition du risque :
Le risque est la superposition d’un enjeu (réalisation d’un projet, résultats escomptés, maintien d’une
situation existante) avec un ou des aléas (impondérables techniques, commerciaux, actions de la
concurrence, malveillance).
Laurent Combalbert, Le management des situations de crise ; Anticiper les risques et gérer les crises.
Deuxième définition du risque :
Le risque concerne tout événement, tout dysfonctionnement susceptible de provoquer un écart
significatif entre un objectif assigné à l’organisation et à la réponse effectivement mise en œuvre par
celle-ci.
Ivan Boissières, Séminaire du Réseau Analyse du Risque industriel – ARI
Troisième définition du risque :
Le risque est défini comme un danger, un inconvénient plus ou moins probable auquel on est exposé.
Le Petit Larousse illustré
Quatrième définition du risque :
Le risque est un danger éventuel, plus ou moins mesurable, visant des biens et des activités précises et
ayant des conséquences dommageables pour l’entreprise.
Cinquième définition du risque :
Le risque est la combinaison de la probabilité d’un événement et de ses conséquences.
Sixième définition du risque :
Effet de l’incertitude sur l’atteinte des objectifs.
(ISO 31 000 : 2009 ; Page 1 ; Article 2.1 ou ISO Guide 73 : 2009, définition 1.1)
Définitions du risque
Septième définition du risque :
Effet de l’incertitude sur les objectifs.
(ISO 31 000 : 2018, Article 3.1, Page 1)
Huitième définition du risque :

Effet de l’incertitude.
(ISO 45001 : 2018, Article 3.20, Page 5)
Neuvième définition du risque :
Le risque est la possibilité qu’un événement se produise et ait une incidence sur la réalisation des
objectifs ou les principaux actifs de l’entreprise
Dixième définition du risque :
Phénomène aléatoire correspondant à une situation où le future n’est prévisible qu’avec des probabilités,
par opposition à l’incertitude qui correspond à un futur totalement imprévisible (échappement au calcul)
et à la certitude qui permet une prédiction, c'est-à-dire une prévision affectée d’une probabilité égale à 1.
Lexique de gestion et de management, 8ème édition, DUNOD
Onzième définition du risque :
Le risque est l'espérance mathématique d'une fonction de probabilité d'événements, c’est-à-dire, la
valeur moyenne des conséquences d'événements affectés de leur probabilité.
Ainsi, un événement e1 a une probabilité d'occurrence p1 avec une conséquence probable C1 ; de même
un événement en aura une probabilité Pn et une conséquence Cn, alors le risque r vaudra :
r = P1⋅C1 + P2⋅C2 + … + Pn⋅Cn = ∑Pi⋅Ci.
Le produit Pi⋅Ci est appelé valeur de l'aléa i.
Travail à faire : réaliser une étude comparative des définitions (aspects communs et aspects
spécifiques mis en relief).
2. Caractéristiques du risque
Quatre éléments caractérisent le risque : le danger, la cible exposée au danger, les dispositions prises
pour contrer la menace et l’évaluation de la menace.
2.1 Première caractéristique du risque : le danger

Le danger est une :
- situation ou une pratique susceptible de causer des dommages aux personnes, aux biens ou à
l’environnement.
- source susceptible de causer traumatisme et pathologie (Source : ISO 45001 : Systèmes de
management de la santé et de la sécurité au travail — Exigences et lignes directrices pour
leur utilisation ; Article 3.19, Page 5)
Note 1 à l'article : Les dangers peuvent inclure les sources susceptibles de causer un dommage ou
des situations dangereuses, ou des circonstances d’exposition potentielle conduisant à des
traumatismes et pathologies.
Situation 1 :
Le test de contrôle qualité a démontré que le lait Nonnonkadi acheté au marché Woyo par Mme
Koutcha contient des propriétés cancérigènes.
Leçon à tirer :
Le lait Nonnonkadi représente un danger car il est cancérigène.
Situation 2 :
Au terme des tests de contrôle qualité, il a été relevé que la production de cacao du vieux Zedjibèroh
ne contenait pas d’Ochratoxine A (OTA).
Leçon à tirer :
Le risque existe si et seulement si le danger est présent. Sans danger, il n’y a pas de risque.
2.2 Deuxième caractéristique du risque : la cible exposée

Situation 3 :
Le lait Nonnonkadi a été acheté pour le petit déjeuner des huit enfants de Madame Koutcha car leur
lait préféré Mioko était en rupture de stock chez le fournisseur habituel.
Dans cette situation, les huit enfants de Madame Koutcha constituent la cible du lait dangereux.
Leçon à tirer :
Il y a risque si et seulement si le danger peut atteindre une ou plusieurs cibles. S’il n’y a pas de cible
exposée, il n’y a pas de risque.
Ainsi, supprimer le risque revient à éviter tout contact entre le danger et la cible potentielle.
2.3 Troisième caractéristique du risque : l’évaluation de la menace

Situation 4 :
Madame Koutcha a mesuré la gravité de la situation lorsqu’elle a appris par le biais du Responsable du
Contrôle Qualité du Ministère du Commerce que si ses enfants consomment effectivement le lait
contaminé Nonnonkadi, ils développeront immédiatement un cancer de sang qu’ils seraient incapables
de supporter pendant plus de 6 mois.
Leçon à tirer :
- la menace est la potentialité du danger à causer des dommages à la cible ;
- la potentialité du risque est quantifiable : il s’agit de la probabilité de survenance du risque ;
- le dommage, également quantifiable, est l’évaluation des conséquences potentielles.
Exemples d’évaluation de la menace :
- une menace fréquente de chute mortelle ;
- une menace quotidienne de fermeture d’entreprise.
2.4 Quatrième caractéristique du risque : les dispositions prises pour contrer la menace
Situation 5 :
Dès que Madame Koutcha a apprécié la menace, elle a demandé à sa servante Fatou de ne pas toucher
à ce lait dangereux ; elle a décidé de le détruire en prenant conseil auprès d’un spécialiste.
Leçons à tirer :
Les dispositions prises pour contrer la menace peuvent être :
- des mesures de prévention : elles sont mises en œuvre pour éviter que le risque ne se
concrétise. La prévention agit sur les causes probables du risque et réduit les conséquences
potentielles ;
- des mesures de protection : elles sont prises pour limiter les conséquences du risque si celui-ci
se concrétise.
Note : dans une autre approche, le risque peut être caractérisé par trois aspects :
- les faits déclencheurs : causes ou origines du risque ;
- la façon dont le risque se manifeste : les effets du risque ;
- les conséquences qu’il entraîne.
3. Définition du management du risque

Le management du risque est un ensemble d’activités coordonnées dans le but de diriger et piloter un
organisme vis-à-vis du risque (Source : ISO 31 000 : 2018, Article 3.2, Page 1).
Le management du risque est également défini comme un « processus d’application de la politique de

l’organisation permettant la mise en œuvre itérative et continue de l’analyse et de la gestion des
risques » (Source : FD X50-117 : Management de projet - Gestion du risque - Management des
risques d'un projet).
4. Management du risque : contexte général
L’environnement des organisations, pris dans sa globalité, est devenu très contraignant :
- événements de plus en plus imprévisibles ;
- accroissement du risque d’incertitude sur l’atteinte des objectifs;
- exigences croissantes des parties intéressées pertinentes.
Conséquence : les organisations se préoccupent de plus en plus du management du risque dans leur
politique de management global pour :
- affronter efficacement le niveau d’incertitude acceptable ;
- et maintenir le cap de la performance durable.
Note : expliquer aux apprenants, avec un schéma à l’appui, les composantes de l’environnement d’un
organisme en général (micro-environnement, environnement public, macro-environnement, extra-
environnement) afin de caractériser l’environnement de proximité, l’environnement proche et
l’environnement lointain.
5. La norme ISO 9001 version 2015 et la notion de risque

Introduction de l’approche par les risques dans la norme ISO 9001 : 2015
Cf. :
- 0.3.3 Approche par les risques (Page ix) ;
- 6.1 Actions à mettre en œuvre face aux risques et opportunités (Page 5) ;
- A.4 Approche par les risques (Page 23).
6. Préalables à la mise en place d’un processus de management du risque

- Déterminer (périmètre et champ) :
 les processus/activités concernés : par exemple, est-ce l’ensemble des
processus/activités de l’organisme ou une partie ?
 les services ou sites concernés : par exemple, est-ce au siège uniquement, au sein des
filiales, sur tous les sites, sur toute l’étendue du territoire ?
- Déterminer les enjeux internes et externes pour l’organisme à mettre en place un système de
management du risque ;
- Avoir une idée des raisons qui motivent la Direction à engager l’organisme dans une démarche
de management du risque ;
- Déterminer les parties intéressées pertinentes et leurs exigences ;

- Est-ce que la démarche de management du risque porte sur tout type de risque ou un type
particulier de risque? Est-ce que la démarche de management du risque doit permettre de
réaliser :
 les objectifs stratégiques ? la démarche d’analyse portera sur les risques stratégiques ;
 les objectifs opérationnels ? la démarche d’analyse portera sur les risques
opérationnels ;
 à la fois les objectifs stratégiques et opérationnels ?
DEUXIEME PARTIE : PRESENTATION GENERALE DE LA NORME ISO 31 000 : 2018

Le management du risque selon la norme ISO 31 000 version 2018 est fondé sur les principes, le cadre
organisationnel et le processus décrits dans cette norme, (…). Ces éléments peuvent déjà exister, en
totalité ou en partie, au sein de l’organisme; toutefois, ils peuvent nécessiter une adaptation ou une
amélioration afin que le management du risque soit efficient, efficace et cohérent (Source : ISO
31 000 : 2018, Introduction, 7ème paragraphe, Page v).
La norme ISO 31000 version 2018 comprend 10 articles (Cf. Page iii), contrairement à la version de
2009 qui comprend 5 articles et trois annexes relatives aux attributs d’un management du risque élevé.
1. Objectifs de la norme ISO 31 000

(Source : Livret stagiaire AFNOR 1008 / V1 / FH / 2009)
La norme ISO 31000 doit permettre :
- de définir une politique, des orientations et une culture du risque adaptée aux attentes des
parties intéressées et parties prenantes ;
- d’adapter les processus de gestion du risque aux contraintes externes et internes ;
- de clarifier les responsabilités, les autorités, les rôles et les compétences en matière de gestion
du risque ;
- d’intégrer le risque dans l’approche processus de l’organisme ;
- la structuration des processus de communication relatifs au risque ;
- la structuration des processus de gestion du risque ;
- la rationalisation de la hiérarchisation des risques ;
- la détermination des moyens de maîtrise du risque.
2. Rappel des principes de management du risque
« Les principes (…) fournissent les grands axes relatifs aux caractéristiques d’un management du
risque efficace et efficient, en communiquant sa valeur et en expliquant son intention et sa finalité. Les
principes sont le fondement du management du risque et il convient de les prendre en considération
lors de l’établissement du cadre organisationnel et des processus de management du risque de
l’organisme. Il convient que ces principes permettent à un organisme de gérer les effets de
l’incertitude sur ses objectifs » (Cf. ISO 31 000 : 2018, 2ème paragraphe, Page 2).
Le management du risque selon la norme ISO 31 000 version 2018 repose sur 8 principes (Cf. PP. 3-
4), contrairement à la version de 2009 qui comprend 11 principes (Cf. PP. 7-8).
Note : principes à expliquer.

3. Cadre organisationnel du management du risque

3.1 Finalité du cadre organisationnel
(Cf. Article 5.1 Généralités et Figure illustrant les composantes d’un cadre organisationnel, Page 4)
« La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le
management du risque dans les activités et les fonctions significatives. L’efficacité du management du
risque va dépendre de son intégration dans la gouvernance de l’organisme, y compris la prise de
décisions. Cela nécessite un soutien et une implication des parties prenantes, en particulier de la
direction. Le développement du cadre organisationnel englobe :
- l’intégration ;
- la conception ;
- la mise en œuvre ;
- l’évaluation ;
- et l’amélioration du management du risque au sein de l’organisme ».
3.2 Leadership et engagement
(Cf. Article 5.2, Page 5)
Selon la norme ISO 31 000 : 2018, pour démontrer son leadership et son engagement en matière de
management du risque, la direction de l’organisme doit :
- mettre en place toutes les composantes du cadre organisationnel du management du risque
adapté à son contexte ;
- établir et diffuser une politique de management du risque ou une déclaration énonçant les
orientations de l’organisme en matière de management du risque (contenu indicatif : contexte
du management du risque, motivations de la Direction, orientations stratégiques, objectifs du
management du risque, niveau et type de risques concernés, engagements de la direction au
plan de la loi et de la réglementation ainsi qu’en matière de mise à disposition des ressources,
appel à la mobilisation et à l’implication du personnel dans le processus de management du
risque, etc.);
- s’assurer de la disponibilité des moyens nécessaires à la mise en œuvre du management du
risque ;
- attribuer les autorités (qui décide de quoi ?) et les responsabilités (qui fait quoi ?) à chaque
étape du processus de management du risque de l’organisme.
Note 1: le leadership et l’engagement concernent l’équipe dirigeante et tous les responsables de

services de l’organisme, car leur influence est déterminante dans la performance du processus de
management du risque de l’organisme.
Note 2 : le leadership et l’engagement concernent également la capacité de la direction à mettre en

place des organes de surveillance et à s’assurer de la valeur ajoutée de leurs actions dans l’évaluation
de la conformité et de l’efficacité du processus de management du risque.
3.3 Composantes du cadre organisationnel de management du risque

Première composante : Intégration
(Cf. ISO 31 000 : 2015, Article 5.3, Page 5)
Le succès de l’intégration du management du risque à la politique de management globale de
l’organisme repose sur :
- une bonne compréhension de l’organisme et de son contexte interne et externe ;
- la conscience, par les acteurs, des responsabilités partagées en matière de management du
risque au sein de l’organisme.
« L’intégration du management du risque dans un organisme est un processus dynamique et itératif,

qu’il convient d’adapter aux besoins et à la culture de l’organisme. Il convient que le management du
risque fasse partie, et ne soit pas séparé, de la finalité, de la gouvernance, du leadership et de
l’engagement, de la stratégie, des objectifs et des opérations de l’organisme » (Cf. ISO 31 000 : 2015,
Article 5.3, paragraphe 3, Page 6).
Deuxième composante : Conception

1. Compréhension de l’organisme et de son contexte
(Cf. Article 5.4.1, Page 6)
« Lors de la conception du cadre organisationnel de management du risque, il convient que
l’organisme analyse et comprenne son contexte externe et interne » (Cf. ISO 31 000 : 2015, Article
5.4.1, paragraphe 1, Page 6).
Note : les déterminants du contexte externe et interne à prendre en compte lors de la conception du
cadre organisationnel du management du risque, sont détaillés à l’article 5.4.1 (éclairages à apporter en
classe).
2. Définir clairement l’engagement en matière de management du risque.

« Il convient que la direction et les organes de surveillance, le cas échéant, démontrent et définissent
clairement leur engagement permanent en matière de management du risque par le biais d’une
politique, d’une déclaration ou d’autres formes permettant de communiquer clairement les objectifs et
l’engagement de l’organisme en matière de management du risque » (Cf. ISO 31 000 : 2015, Article
5.4.2, paragraphe 1, Page 6).
Note 1 : le contenu de l’engagement de l’organisme en matière de management du risque, à titre

indicatif, est précisé par l’article 5.4.2 (éclairages à apporter en classe).
Note 2 : l’engagement ou la déclaration d’engagement de l’organisme en matière de management du

risque peut être contenue dans la politique de management du risque. Tout dépend de la structuration
de cette Politique.
3. Attribution des rôles, pouvoirs et responsabilités au sein de l’organisme

(Cf. Article 5.4.3, page 7)
Cette disposition est de la responsabilité de la direction de l’organisme. Les organes de gouvernance et
de surveillance, notamment le Comité de direction, le Comité d’audit, le Comité des risques, le service
en charge de l’audit, s’assurent que ces rôles, pouvoirs et responsabilités sont assumés effectivement
avec des résultats probants pour maintenir le cap de la performance.
Note : pour rappel, leadership et engagement (Article 5.2).
4. Affectation de ressources
(Cf. Article 5.4.4, page 7)
« Il convient que la direction et les organes de surveillance, le cas échéant, assurent l’affectation des
ressources nécessaires au management du risque, ces dernières pouvant comprendre, sans toutefois s’y
limiter:
- les personnels, les aptitudes, l’expérience et les compétences;
- les processus, méthodes et outils de l’organisme servant au management du risque;
- les processus et procédures documentés;

- les systèmes de gestion des informations et des connaissances;
- les besoins en perfectionnement et formation professionnels.
Il convient que l’organisme prenne en compte les capacités et les contraintes des ressources
existantes » (Cf. ISO 31 000 : 2015, Article 5.4.4, paragraphe 1, Page 7).
Note 1 : pour rappel, leadership et engagement (Article 5.2).
Note 2 : éclairages à apporter en classe.
5. Établissement d’une communication et d’une concertation

« Il convient que l’organisme établisse une méthode de communication et de consultation approuvée
afin de soutenir le cadre organisationnel et de faciliter l’application efficace du management du
risque » (Cf. ISO 31 000 : 2015, Article 5.4.5, paragraphe 1, Page 7).
Troisième composante : Mise en œuvre

La mise en œuvre du cadre organisationnel de management du risque doit se faire de manière
planifiée. Un plan d’actions approprié est établi et déployé à cet effet.
Dans cette dynamique, l’ensemble des acteurs doivent être sensibilisés aux dispositions à prendre en
matière de management du risque, à l’effet de s’assurer qu’elles sont comprises et mises en œuvre
dans les meilleures conditions possibles.
Cette planification prend en compte également la détermination des types de décisions à prendre, quels
sont les services, les autorités ou les acteurs compétents ou habilités à les prendre, selon les étapes du
processus de management du risque.
« Conçu et mis en œuvre de façon appropriée, le cadre organisationnel de management du risque
garantira que le processus de management du risque fait partie intégrante de toutes les activités à tous
les niveaux de l’organisme, y compris la prise de décisions, et que les changements intervenant dans
les contextes externe et interne seront suivis de manière adéquate » (Cf. ISO 31 000 : 2018, Article
5.5, 3ème paragraphe, Page 8).
Quatrième composante : Evaluation
« Pour évaluer l’efficacité du cadre organisationnel de management du risque, il convient que

l’organisme:
- mesure périodiquement les performances du cadre organisationnel de management du risque
par rapport à sa finalité, aux plans de mise en œuvre, aux indicateurs et au comportement
attendu;
- détermine s’il demeure pertinent pour aider à atteindre les objectifs de l’organisme » (Cf. ISO
31 000 : 2018, Article 5.6, Page 8).
Note : éclairages à apporter en classe sur les instruments d’évaluation du cadre organisationnel de
Cinquième composante : Amélioration

L’analyse des données et informations issues de l’évaluation (Cf. Article 5.6), permet de tirer les
leçons d’amélioration nécessaires du cadre organisationnel de management du risque, notamment par
la correction des dysfonctionnements et la prise de mesures correctives appropriées.
L’organisme doit surveiller en permanence l’évolution du contexte du cadre organisationnel de
management du risque en vue de prendre en compte les changements de ce contexte qui justifient une
adaptation ou une modification de ce cadre organisationnel.
TROISIEME PARTIE : LE PROCESSUS DE MANAGEMENT DU RISQUE

« Le processus de management du risque implique l’application systématique de politiques, de
procédures et de pratiques aux activités de communication et de consultation, d’établissement du
contexte et d’appréciation, de traitement, de suivi, de revue, d’enregistrement et de compte rendu du
risque » (Source : ISO 31 000 : 2018, Article 6.1, page 8).
Première étape : Mise en place et déploiement d’un processus de communication et consultation

« La communication et la consultation ont pour but d’aider les parties prenantes pertinentes à
comprendre le risque, les principes de prise de décisions et les raisons pour lesquelles certaines actions
sont nécessaires.
La communication vise à accroître la sensibilisation et la compréhension du risque, alors que la
consultation implique l’obtention d’un retour et d’informations pour étayer la prise de décisions »
(Source : ISO 31 000 : 2018, Article 6.2, paragraphe 1, Page 9).
Un programme de sensibilisation à la compréhension des enjeux du management du risque par les
parties intéressées pertinentes peut être établi.
Plusieurs instruments peuvent être utilisés dans le cadre de la communication et la consultation avec
les parties intéressées externes et internes :
- les Assemblées Générales ;
- les Conseils d’Administration, instances au cours desquelles le rapport sur le management du
risque au sein de l’organisme est présenté ;
- les séances de travail du Comité d’usagers et partenaires ;
- les journées portes ouvertes ;
- les visites réalisées auprès des clients ;
- les plateformes d’écoute clients ou de renforcement de la relation client ;
- les enquêtes de satisfaction ;
- les conférences de presse au cours desquelles le dossier-presse constitué, doit permettre à la
presse d’avoir une idée précise de la problématique sur les risques qui suscite l’intérêt et de
donner aux journalistes, la possibilité de véhiculer le même message dans les organes de
presse ou médias invités pour la circonstance;
- les revues de processus et de direction qui sont respectivement des bilans des processus et du
système de management de l’organisme ;
- les séances de travail ou rencontres périodiques avec le personnel et les partenaires sociaux
(organisations syndicales et associatives) ;
Note : liste non exhaustive.
Note : l’identification des parties intéressées pertinentes et de leurs exigences peut permettre :
- d’avoir une idée de leur position de pouvoir par rapport à l’organisme ou au processus et de
l’ampleur du risque que cet organisme ou ce processus court à ne pas les satisfaire.
Cas pratique 1 : parties intéressées internes d’un processus « Achats » et leurs
exigences (Tableau 1) :
Parties intéressées Justification de la pertinence Exigences des parties intéressées à

internes des parties intéressées satisfaire
-Prescripteurs -Expriment le besoin Satisfaction des exigences d’achat spécifiées
-Ensemble des ou (ex : Conformité des fournitures, Respect des
services -Destinataires du délais de livraison)
produit/service
Note : les services qui expriment les besoins d’achat, attendent en retour la mise à disposition des
fournitures ou la livraisons dans les meilleures conditions de qualité et de délai au moins.
Ainsi, ne pas les satisfaire comme il convient, est une preuve de l’inefficacité du processus « Achats » qui
compromet l’atteinte des objectifs assignés à ces services.
- d’identifier les contraintes ou cas de force majeure, ainsi que les dispositions prises pour y
faire face et les communiquer aux parties intéressées concernées afin qu’elles soient au même
niveau d’information ou de réduire les pressions exercées par ces parties lorsqu’elles ne
disposent pas d’informations relatives à la satisfaction de leurs besoins et attentes.
Cas pratique 2 : exemple de contrainte liée au transit dans une entreprise qui fait des achats
importées : aucun dédouanement n'est possible sans l'attestation de dédouanement délivrée par
l’autorité compétente.
Deuxième étape : Etablissement du périmètre d’application, du contexte et des critères du

management du risque
1. But de l’établissement du périmètre d’application, du contexte et des critères de management
du risque
« L’établissement du périmètre d’application, du contexte et des critères a pour but d’adapter le
processus de management du risque, en permettant une appréciation du risque efficace et un traitement
du risque approprié » (Source : ISO 31 000 : 2018, Article 6.3.1, Page 10).
2. Définition du domaine d’application du management du risque

Le domaine d’application comprend le champ (processus/activités concernés au sein de l’organisme),
le périmètre (services/sites concernés au sein de l’organisme) et le type de risques à prendre en
compte. Il tient nécessairement compte des parties intéressées pertinentes, de leurs exigences et
contraintes et des produits et services fournis par l’organisme.
Note : pour rappel, Cf. 6. Préalables à la mise en place d’un processus de management du risque
(Première partie du présent support).
3. Etablissement du contexte interne et externe

« Le contexte interne et externe est l’environnement dans lequel l’organisme cherche à définir et
atteindre ses objectifs.
Il convient que le contexte du processus de management du risque soit établi à partir de la
compréhension de l’environnement externe et interne dans lequel opère l’organisme et qu’il reflète
l’environnement spécifique de l’activité à laquelle le processus de management du risque doit être

appliqué » (Source : ISO 31 000 : 2018, Article 6.3.3, paragraphes 1 et 2, Page 10).
Les résultats de l’analyse du contexte de l’organisme et l’identification claire des enjeux de ce
contexte font partie des éléments d’entrée à la l’élaboration ou à la mise à jour de la politique de
Une mauvaise compréhension de l’environnement interne et externe de l’organisme peut conduire à
des résultats d’analyse erronés ; dans ce cas, la politique de management du risque peut ne pas être
adaptée au contexte et aux orientations stratégiques de l’organisme.
Exemples d’instruments utilisés pour la compréhension du contexte de l’organisme :

- revue de direction ;
- identification, revue périodiques des enjeux internes et externes de l’organisme ;
- diagnostic stratégique, diagnostic intégral, analyse SWOT (Strengths, Weaknesses,
Opportunities, Threats) ou AFOM (Atouts, Faiblesses, Opportunités, Menaces) ;
- analyse PESTEL (Politique, Economique, Sociologique, Technologique, Environnement,
Légal) et autres modèles d’analyse stratégique ;
- veille stratégique, veille informationnelle, veille légale et réglementaire, veille technologique,
veille commerciale ;
- intelligence économique.
4. Définition des critères de risque

Les critères de risque sont des « termes de référence vis-à-vis desquels l'importance d'un risque (Cf.
ISO 31 000 : 2009, Article 2.2, Page 6) est évaluée ».
NOTE 1 à l’article : les critères de risque sont fondés sur les objectifs de l'organisme ainsi que sur le
contexte externe et interne.
NOTE 2 à l’article : les critères de risque peuvent être issus de normes, de lois, de politiques et
d'autres exigences.
« Il convient que l’organisme spécifie le niveau et le type de risque pouvant ou non être pris par
l’organisme, en fonction des objectifs. Il convient également qu’il définisse des critères permettant
d’évaluer l’importance du risque et d’étayer les processus décisionnels. Il convient que les critères de
risque soient alignés sur le cadre organisationnel de management du risque et adaptés à la finalité et au
domaine d’application spécifique de l’activité considérée. Il convient que les critères de risque
reflètent les valeurs, les objectifs et les ressources de l’organisme et soient cohérents avec les
politiques et déclarations en matière de management du risque. Il convient que les critères soient
définis en tenant compte des obligations de l’organisme et de l’opinion des parties prenantes »
(Source : ISO 31 000 : 2018, Article 6.3.4, 1er paragraphe, Page 11).
Chaque organisme définit également les critères d’acceptabilité du risque. L’acceptabilité du risque est
fonction de la limite d’acceptabilité du risque déterminée par rapport « aux objectifs de l’organisme et
de l’aversion vis-vis du risque des dirigeants » (Source : Octave Jokoung Nguéna, MANAGEMENT
DES RISQUES, ellipses Edition, Page 73).
L’acceptation du risque est la décision de faire face aux conséquences du risque.
Par exemple, le risque est inacceptable si son niveau de criticité est situé dans la zone de risques élevés
ou si ce risque a un impact :
- sur le chiffre d’affaires ou les finances de l’organisme (le niveau de pertes de chiffre d’affaires
ou de pertes financières inacceptables peut être déterminé) ;
- sur le personnel ;
- sur l’image et la crédibilité de l’organisme ;
- juridique (l’organisme est poursuite en justice) ;
- sur le client final (insatisfaction, plaintes et réclamations des clients) ;
- sur les processus ou l’atteinte des objectifs (contre-performance).
Note : critères et paramètres de risques, Cf. Evaluation et traitement des risques.
Troisième étape : Appréciation du risque
« L’appréciation du risque est le processus global d’identification, d’analyse et d’évaluation du

risque » (Source : ISO 31 000 : 2018, Article 6.4.1, Page 11).
L’appréciation du risque doit être menée de manière consensuelle en tenant compte :
- des connaissances;
- et des opinions des parties prenantes.
Note : le profil de risques d’un organisme, d’un service ou d’un processus, est déterminé à partir de
l’identification et de l’analyse des risques. A partir des données et informations recueillies, l’on peut
se prononcer sur son état de vulnérabilité.
1. Identification du risque
« L’identification du risque a pour but de rechercher, reconnaître et décrire les risques qui peuvent
aider ou empêcher un organisme d’atteindre ses objectifs.
Il est essentiel que les informations utilisées pour l’identification des risques soient pertinentes,
appropriées et à jour » (Source : ISO 31 000 : 2018, Article 6.4.2, Page 11).
Chaque organisme utilise les méthodes et outils d’identification des risques qui lui sont propres ou
qu’il juge pertinent au regard de son contexte, de ses capacités et de la nature de ses activités.
Note 1 : facteurs à prendre en compte dans l’identification des risques à expliquer en classe (Cf. ISO
31 000 : 2018, Article 6.4.2, paragraphe 2, PP. 11-12).
Les méthodes d’identification des risques sont des méthodes intuitives, empiriques ou factuelles qui
peuvent être basées sur :
- l’expérience;
- la conviction;
- l’observation;
- des faits ;
- ou une revue documentaire.
Exemples de méthodes d’identification de risque :

- Brainstorming ;
- Diagramme d’Ishikawa ;
- Répertoire de risques correspondant au contexte de l’organisme concerné;
- Revues documentaire ;
- Interview ou entretien ;
- Questionnaire.
Note 2 : l’identification des risques peut se faire selon des axes qui ont un impact sur les objectifs et la
conformité, selon le contexte de l’organisme.
1er exemple :
- Risques Stratégiques ;
- Risques projets ;
- Risques de structures ;
- Risques processus (risques déterminés par processus) ;
- Risques de management ;
- Risques environnementaux.
2ème exemple :
- Risques stratégiques ;
- Risques opérationnels ;
- Risques financiers ;
- Aléas (terrorisme, catastrophes naturelles, épidémies, etc.).
Note 3 : aléa : événement identifiable et dont la probabilité d’occurrence n’est pas quantifiable
(AFNOR FD X50-117)
Exemples de sources d’identification des risques au sein d’un organisme en cas de revue
documentaire :
- Rapports d’audit ;
- Rapport d’inspection ;
- Plaintes et réclamations des clients ou prescripteurs ;
- Boîte à suggestions ou à idées ;
- Comités ou revues de processus ;
- Résultats de l’analyse de la performance du processus ;
- Historique qualité du processus ;
- Rapport de contrôle interne ;
- Bilan d’évaluation des fournisseurs ;
- Revues de contrats ;
- Revue des dysfonctionnements ou des non conformités.
Note 4 : dans certains secteurs d’activités, il existe des extraits de risques qui correspondent à la
situation de l’organisme concerné. L’organisme les exploite ou il les adapte à son contexte.
L’un des moyens consensuels et efficace d’identification des risques est l’atelier ou le groupe de
travail (approche systématique). Il réunit en général les responsables en charge des processus,
activités, tâches ou opérations, des collaborateurs, des services contributeurs et des personnes-
ressources.
Mise en activités 2 : identification de risques (Durée 3 mn)

Dans un laboratoire d’analyses médicales, il a été constaté que les règles de gestion des dossiers
sensibles ou confidentiels des clients sont méconnues par les agents et les services en charge de la
gestion de ces dossiers.
Dans certains cas, les règles existent, mais elles ne sont pas appliquées comme il se doit.
Il convient de relever que de nombreuses parties intéressées pertinentes dont notamment les clients et
les responsables de services se plaignent de plus en plus car ils sont victimes des conséquences des
risques liés à la gestion et au traitement des dossiers dans ce laboratoire.
Question : quel est le risque majeur encouru par le laboratoire en cas de non-respect des règles
d’enregistrement et de traitement des dossiers sensibles ou confidentiels ? (cocher la réponse qui
convient)
a) non exploitation des dossiers sensibles ou confidentiels;
b) perte de dossiers sensibles ou confidentiels;
c) non-respect des règles d’enregistrement et de traitement des dossiers sensibles ou
confidentiels.
Mise en activités 3 : identification de risques (Durée : 3 mn)

Dans l’entreprise Ivoire Logistique, le Département Achats gère le processus achats dont la deuxième
étape est intitulée « Traitement et validation des besoins d’achats ». La procédure d’identification et
de traitement des besoins d’achats fait partie des procédures rattachées à ce processus.
Cependant, les services se plaignent de la lenteur observée dans le traitement de leurs demandes
d’achats. Un rapport d’audit interne confirme que 70% des demandes d’achats ne sont pas traitées
dans les délais requis. Il ressort globalement qu’un certain nombre de dysfonctionnements relevés
dans l’administration des achats et le non-respect de certaines dispositions clairement identifiées de la
procédure d’identification et de traitement des besoins d’achats impactent négativement le délai de
traitement des demandes d’achats.
Question : quel est le risque identifié à l’étape de traitement et de validation des besoins
d’achats ?
a) non-respect de la procédure d’identification et de traitement des besoins d’achats;
b) lenteur du traitement des demandes d’achats des services;
c) demandes d’achats non traitées dans les délais requis..
2. Analyse du risque
« L’analyse du risque a pour but de comprendre la nature du risque et ses caractéristiques, y compris
le niveau de risque, le cas échéant.
L’analyse du risque implique la prise en compte détaillée des incertitudes, des sources de risque, des
conséquences, de la vraisemblance, des événements, des scénarios, des moyens de maîtrise et de leur
efficacité. Un événement peut avoir des causes et conséquences multiples et affecter des objectifs
multiples » (Source : ISO 31 000 : 2018, Article 6.4.3, Page 12).
L’analyse du risque prend en général en compte notamment les facteurs tels que :
- l’efficacité des moyens de maîtrise existants (diagnostic des capacités internes pour faire face
au risque);
- les niveaux de sensibilité et de confiance;
- la vraisemblance des événements et des conséquences;
- la nature et l’importance des conséquences.
Cas pratique 3 : outil d’analyse causes-conséquences appliqué au processus « Assurer le

règlement de la dépense »
Ce processus comprend les étapes ci-après :
1ère étape : Réception des documents de paiement
2ème étape : Contrôle des pièces justificatives de dépenses
3ème étape : Prise en charge des dépenses
4ème étape : Mise en règlement des dépenses
La grille d’analyse causes-conséquences est appliquée, à titre d’illustration, à la première étape du
processus. Le contenu en termes d’objectifs, de risques, de causes et de conséquences du risque n’est
pas exhaustif.
Intitulé du processus : Assurer le règlement de la dépense

Etape du Objectif associé Risque Analyse du risque
processus identifié Causes du Conséquences potentielles
risque
1ère étape : Retracer Perte de 1. Absence de règles de Impossibilité ou difficulté à
Réception des l’exhaustivité des documents gestion de documents de traiter les documents de
documents de pièces justificatives de paiement paiement paiement dans les délais
paiement de dépenses dans le 2. Règles de gestion de requis
délai requis documents de paiement non
appliquées
Tableau 2 : grille d’analyse causes-conséquences

Note : l’analyse du risque peut être élargie au diagnostic des moyens de maîtrise existants (mesures de sécurité
existantes) par l’introduction d’une dernière colonne à droite au canevas d’analyse ci-dessus. Au cas où la perte
de documents de paiement est un risque élevé, à l’issue de l’évaluation du risque, le résultat de ce diagnostic
permettra de déterminer avec précision les moyens de maîtrise adaptés au traitement du risque.
Mise en activités 4 : analyse de risque

(Source : https://biotechno.fr/IMG/scenari/prap/co/02_description_danger.html)
Travail de raccordement Posture bras en hauteur Encombrement de la zone
électrique et jambes mi-fléchies d’appui des pieds
Présence d’obstacles au
plafond, dans la zone de
travail
Travail à faire : (Durée : 10 mn)

Après avoir visionné attentivement les images ci-dessus, il vous est demandé d’identifier :
- les dangers ou phénomènes dangereux ;
- une situation dangereuse ;
- les événements dangereux ;
- un exemple de risque associé à la situation de travail.
Consigne : la réponse doit être formulée selon le cas pratique de canevas d’analyse préliminaire de
risque/danger ci-après.
Opération Objectif de Phénomènes Situation Evénements Risque Dommages
l’opération dangereux dangereuse dangereux
ou dangers (situation de (événements
travail) déclencheur
du risque)
Raccordement
électrique
d’un poste de
travail par un
opérateur
Tableau 3 : canevas d’analyse préliminaire de risque/danger

Note : dans une autre approche, l’on peut identifier, avant la colonne opération, le processus ou le
service, le poste de travail, l’activité, la tâche de laquelle découle cette opération.
Rappel de quelques méthodes et outils d’analyse de risque (Cf. Annexe 5) :

- analyse préliminaire de danger/analyse préliminaire de risque ;
- analyse des causes et de leurs effets ;
- analyse causes-conséquences ;
- analyse des modes de défaillance et de leurs effets ;
- analyse par arbre de panne ;
- analyse d’impact sur l’activité ;
- analyse des causes profondes (analyse de perte majeure)
- études de danger et d’exploitabilité (HAZOP) ;
- HACCP ;
- technique Delphi (avis d’Experts).
Note : pour avoir un inventaire très fourni et détaillé des méthodes et outils d’analyse des risques, des
plus simples aux plus complexes, Cf. ISO 31010 versions 2009 et 2019.
Cette norme que je recommande fortement, a la particularité d’être à la fois en anglais et en

français.
Cas pratique 4 : analyse du risque de « demandes d’achats non traitées dans les délais requis »
(Cf. Mise en activités 3)
Intitulé du processus :
Etape du Objectif associé Risque identifié Analyse du risque
processus Causes du risque Conséquence(s)
potentielle(s)
Traitement et Traiter les Demandes Le prescripteur fait une erreur sur le Insatisfaction des besoins
validation des besoins d’achats d’achats non choix du code budgétaire. des prescripteurs, ce qui
besoins dans les délais traitées dans les La demande d’achat émanant du peut engendrer des
d’achats requis délais requis prescripteur ne spécifie pas avec plaintes et/ou des
précision et clarté, les exigences incompréhensions.
d’achats.
Non-respect du canevas
d’identification et de spécification
des besoins d’achat par le
prescripteur.
Un seul agent est disponible au
Service Administration des Achats
pour la réception et le traitement
des demandes d’achat, alors qu’il
faut en principe trois pour respecter
le délai de traitement des demandes
des service.
3. Evaluation du risque
« L’évaluation du risque a pour but de déboucher sur des décisions plus judicieuses.
L’évaluation du risque consiste à comparer les résultats de l’analyse du risque aux critères de risque
établis afin de déterminer si une action supplémentaire est exigée. Cela peut déboucher sur la décision:
- de ne rien faire de plus;
- d’examiner les options de traitement du risque;
- d’entreprendre une analyse plus approfondie afin de mieux comprendre le risque;
- de maintenir les moyens de maîtrise du risque existants;
- de réexaminer les objectifs.
Il convient que les décisions prennent en compte un contexte plus large et les conséquences réelles et
perçues pour les parties prenantes externes et internes.
Il convient que le résultat de l’évaluation du risque soit enregistré, communiqué, puis validé aux
niveaux appropriés de l’organisme » (Source : ISO 31 000 : 2018, Article 6.4.4, Page 13).
Note 1 : l’évaluation des risques permet également de définir un ordre de priorité dans la mise en
œuvre du traitement des risques. Elle peut déboucher, selon le besoin, sur une analyse complémentaire
ou approfondie du risque.
Note 2 : L’évaluation du risque repose sur la modélisation de la mesure du risque qui dépend de
chaque organisme et de son contexte. Cela suppose le choix de critères, de paramètres et de
référentiels de risque adaptés au contexte de l’organisme.
3.1 Mesure générale du risque et cartographie des risques bruts ou risques inhérents
3.1.1 Mesure générale du risque
La mesure générale du risque (R) est la combinaison de l’Impact (I) et de la Probabilité (P), soit :
R = I x P.
La mesure générale du risque peut être aussi une combinaison de la fréquence (F) et de la gravité (G) :
R = F x G.
Elle peut être également être une combinaison de la probabilité de survenu de l’événement, de la
fréquence d’apparition (nombre d’observations de la survenance d’événements plus ou moins
similaires sur une période donnée) et de la gravité des conséquences, soit :
R = P x F x G.
L’utilisation des concepts notamment de gravité, d’impact, de vraisemblance, de probabilité

d’apparition ou d’occurrence, de fréquence, dépend de chaque organisme et de son contexte.
Vraisemblance : (source : ISO 31 000 : 2009, Article 2.19, Page 5)
possibilité que quelque chose se produise
NOTE 1 à l’article : Dans la terminologie du management du risque, le mot «vraisemblance» est
utilisé pour indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie,
mesurée ou déterminée de façon objective ou subjective, qualitative ou quantitative, et qu'elle soit
décrite au moyen de termes généraux ou mathématiques (telles une probabilité ou une fréquence sur
une période donnée).
Note : la mesure générale du risque permet de déterminer le risque brut ou risque inhérent : c’est le
risque déterminé sans la prise en compte des mesures susceptibles de réduire son impact ou sa
probabilité de survenue ; la criticité du risque obtenue, est donc le poids brut du risque, tant que les
actions de maîtrise du risque ne sont pas déterminées et mises en œuvre.
3.1.2 Elaboration de référentiel de probabilité ou de fréquence

La probabilité désigne les possibilités de réalisation du risque dont la notion voisine est la fréquence
de survenue (approche rétrospective). La fréquence ou la probabilité peut être mesurée grâce à :
- des critères qualitatifs
 une fréquence importante, moyenne ou faible;
 sur une échelle de 1 à 4 par exemple.
- des grandeurs quantitatives
 une probabilité effective pour une période donnée et comprise entre 0 et 1;
 la fréquence (de 1 fois par jour à 1 fois par siècle, par exemple).
Note :
a. L’organisme détermine l’échelle de valeur de mesure de la probabilité ou de la fréquence qui lui
convient :
Exemple 1 : Probabilité : Elevée, Modérée ou Faible.
Exemple 2 : Niveau de probabilité : Impossible, Très peu probable, Probable, Fortement probable.
b. L’organisme détermine ensuite l’échelle de cotation de la probabilité qui lui convient.
Exemple 1 : échelle de valeur et cotation à trois niveaux (Tableau 4)

Echelle de Echelle de
valeur de la cotation de la
probabilité probabilité
Elevée 5
Modérée 3
Faible 1
Exemple 2 : échelle de valeur et cotation à quatre niveaux (Tableau 5)
Niveaux de Echelle de cotation

probabilité des niveaux de
probabilité
Fortement 4
probable
Probable 3
Très peu 2
probable
Quasi impossible 1
Note : le référentiel de probabilité ou de fréquence n’est pas pertinent s’il ne comprend que ces deux
colonnes. Pour mieux comprendre cette limite, l’on peut se poser une simple question : à partir de
quelles données et informations, l’événement est, par exemple, fortement probable, de sorte que la
cotation de la probabilité est 4, c’est-à-dire la cotation maximum ?
Il convient donc d’ajouter une troisième colonne qui va permettre de justifier l’échelle de valeur et la
cotation correspondante, applicable sur chaque processus ou dans chaque service et prenant en compte
l’environnement de travail concerné.
Exemple de référentiel de probabilité (Tableau 6)
Echelle de Echelle de Eléments caractéristiques à prendre en compte pour déterminer

valeur : cotation l’échelle de probabilité et la cotation correspondante (Cf. Note 1 ci-
Probabilité dessous très importante)
Elevée 5 Probabilité d’apparition du risque élevée
Modérée 3 Faible probabilité d’apparition du risque

Faible 1 Probabilité d’apparition du risque quasi nulle
Note 1 : c’est à partir de la connaissance de l’environnement de travail, des niveaux de sécurité ou des
moyens de maîtrise existants, du niveau de maîtrise opérationnel et de l’historique des
dysfonctionnements éventuels, que la justification de l’échelle de probabilité et de sa cotation est
effectuée. En clair, ce diagnostic de l’environnement et des conditions de travail, des résultats
enregistrés, permet de savoir si l’on relève :
- une probabilité d’apparition du risque élevée ;
- une faible probabilité d’apparition du risque ;
- une probabilité d’apparition du risque quasi nulle.
3.1.3 Elaboration du référentiel d’impact

La démarche adoptée pour l’élaboration du référentiel de probabilité, est la même pour l’élaboration
du référentiel de gravité ou d’impact du risque.
La gravité est la quantification du dommage ou de la perte engendrée par la réalisation du risque. Cette
perte peut s’exprimée :
- de manière qualitative :
 la gravité pouvant être forte, moyenne, faible;
 sur une échelle de 1 à 4.
- par des grandeurs quantitatives :
 les pertes financières engendrées (F CFA);
 les pertes d’exploitation (en jours de production).
L’impact mesure la gravité des conséquences du risque. L’impact peut être par exemple :
- financier;
- humain;
- sur l’image et la crédibilité de l’organisme;
- juridique;
- sur le client final;
- sur les processus ou l’atteinte des objectifs.
Exemple de référentiel d’impact du risque (Tableau 7)

valeur : cotation l’échelle de valeur et la cotation correspondante (Cf. Note 1
Impact précédente très importante)
Elevé 5 - Plaintes et/ou réclamations des clients
- Préjudice pour les personnes (ex : perte en vie humaine,
lésions irréversibles, amputation, contamination, incapacité,
selon le cas)
- Action en justice
- Non atteinte des objectifs
Modéré 3 Effets visibles en interne, sans incidence sur les parties intéressées
pertinentes.
Faible 1 - Effets négligeables
- Effets sans conséquences dommageables
3.1.4 Elaboration du référentiel de risque ou de criticité du risque

La démarche adoptée pour l’élaboration du référentiel de probabilité, est la même pour l’élaboration
du référentiel de risque ou de criticité du risque.
Exemple de référentiel de risque ou de criticité du risque (Tableau 8)

valeur : cotation l’échelle de valeur et la cotation correspondante
Risque
Elevé ]9;25] Risque situé dans la zone de risque inacceptable :
- risque ayant un effet grave sur le client final
- risque conduisant à une contre-performance
- risque ayant des conséquences judiciaires
Modéré [5;9] Risque situé dans la limité d’acceptabilité
Faible [1;5[ Risque situé dans la zone de risque accepté
Le nombre de niveaux de cotation de la probabilité, de l’impact et de la criticité du risque dépend du

degré de précision souhaitée.
Possibilités Avantages Inconvénients

3 niveaux Analyse simple et rapide Effet « moyenne » : beaucoup de
risques dans la zone du milieu
4 niveaux Analyse complète Echelle quelquefois difficile à
Prise de position structurer sur 4 niveaux
5 niveaux Analyse pertinente (retenue Analyse plus complexe
par certaines réglementations)
Tableau 9 : avantages et inconvénients des niveaux de cotation des échelles de valeur
3.2 La cartographie des risques bruts ou risques inhérents

La cartographie des risques est la représentation et la hiérarchisation (priorisation) des risques d’un
organisme, d’un processus ou d’un service, sous la forme notamment d’un graphique, d’un
diagramme, d’une matrice, d’une carte ou d’un tableau.
L’évaluation des risques, sans la mise en œuvre des actions de maîtrise, donne naissance à la
cartographie des risques bruts ou risques inhérents.
Le risque, une fois identifié, il n’est que potentiel. Lorsqu’il est évalué, il évolue dans un espace à
deux dimensions, si l’on se réfère par exemple à deux critères, notamment l’Impact et la Probabilité,
avec les paramètres associés (Cf. Diagramme de Farmer ci-dessous).
PROBABILITE
ELEVEE
MODEREE
FAIBLE
FAIBLE MODERE ELEVE IMPACT
Graphique 1 : diagramme de Farmer
Zone grise : risques situés dans la zones de risques acceptés (risques faibles)
Zone noire : risques situés dans la limite d’acceptabilité (risques modérés)
Zone rouge : risques situés dans la zone de risques inacceptables (risques forts ou élevés
Figure 1 : courbe de Farmer (acceptabilité du risque)
Note : présenter des cas pratiques de cartographie des risques (différentes formes pratiques de
cartographie des risques).
Tableau 10 : grille d’appréciation du risque (cas pratique 5)
Appréciation des risques

Etapes du Objectifs à
processus l’étape du Risques Critères criticité
processus identifiés Analyse des risques d’évaluation ou niveau
des risques de risque
Causes des Conséquences P I Qt Ql
risques potentielles
1. O1. Retracer R1. Perte CR1.1 CP1.1 Impossibilité 3 5 15 Elevée
Réception l’exhaustivité de Absence de ou difficulté à
des des pièces documents règles de traiter les
documents justificatives de gestion de documents de
de de dépenses paiement documents de paiement dans les
paiement dans le délai paiement délais requis
requis
CR1.2 Règles
de gestion de
documents de
paiement non
appliquées
O1 : 1er objectif associé à la 1ère étape du processus ; R1: 1er risque sur le processus; CR1.1 : 1ère cause
associée du 1er risque ; CP1.1 : 1ère conséquence potentielle du 1er risque ; P : Probabilité ; I : Impact ;
Qt : criticité quantitative du risque ; Ql : criticité qualitative du risque.
Note : en ce qui concerne les notations 3, 5 et 15, Cf. les référentiels de probabilité (Tableau 6),
d’impact (Tableau 7) et de risque (Tableau 8).
3.3 Evaluation des moyens de maîtrise existants ou moyens de maîtrise brute des risques : la
méthode MoCoMé
Lorsque les risques évalués sont jugés inacceptables ou non tolérables, la réaction immédiate ne
consiste pas à identifier les actions de maîtrise de ces risques et à les mettre en œuvre de manière
planifiée.
En effet, la réaction qu’il convient d’avoir, consiste à évaluer d’abord les moyens de maîtrise existants
face aux risques inacceptables. Ce diagnostic déterminant permet d’avoir une idée de la vulnérabilité
ou de la résilience de l’organisme ou de ses processus.
A partir des données et informations recueillies, l’organisme peut prendre la décision :
- de ne rien faire de plus ;
- d’examiner les options de traitement du risque;
- de maintenir les moyens de maîtrise du risque existants (par exemple, en considérant que ces
moyens de maîtrise sont pertinents, adaptés et leur mise en œuvre de manière efficace, peut
permettre d’obtenir des résultats attendus).
- de réexaminer les objectifs (par exemple, en adaptant ces objectifs aux moyens disponibles).
La méthode MoCoMé (Moyens, Compétences, Méthodes) offre la possibilité à l’organisme ou aux

pilotes de processus, d’évaluer les moyens de maîtrise existants face aux risques non tolérés en vue
d’identifier les actions de maîtrise des risques appropriées.
Tableau 11 : tableau d’inventaire sommaire des Moyens, Compétences et Méthodes

Moyens (Mo) Compétences (Co) Méthodes (Mé)
-Moyens matériels et -Expérience -Organisation
immatériels (Equipements, -Savoir-faire -Processus
Infrastructures, Système -Qualifications -Procédés
d’information, etc.) -Profils -Procédures, Instructions, modes
-Ressources humaines (effectif) -Formations initiale, continue opératoires
-Moyens financiers -Etc. -Plans, Normes, référentiels, guides, etc.
3.3.1 Tableau 12 : exemple de référentiel d’analyse du niveau de maîtrise sur les Moyens (Mo)
Niveau Maîtrise sur les moyens
1 Absence ou insuffisance de moyens nécessaires pour satisfaire les besoins opérationnels
2 Moyens disponibles mais pas toujours adaptés aux besoins opérationnels
3 Moyens adaptés aux besoins opérationnels mais pas toujours disponibles
4 Moyens adaptés et disponibles. Quelle que soit la situation, des solutions alternatives existent.
Note : c’est un niveau de maîtrise idéal sur les Moyens. La cotation maximum est donc de 4.
3.3.2 Tableau 13 : exemple de référentiel d’analyse du niveau de maîtrise sur les Compétences
(Co)
Niveau Maîtrise sur les compétences
1 Absence ou insuffisance de compétences pour réaliser l’activité, la tâche ou l’action appropriée.
2 En dehors du titulaire du poste ou de la personne qui a en charge habituellement cette activité,
tâche ou opération, aucun autre agent au moins n’est compétent pour remplacer le titulaire en cas
de besoin.
3 D’autres compétences peuvent remplacer le titulaire du poste au pied levé en cas de besoin.
4 Les compétences nécessaires disponibles.
L’intérim, la suppléance sont assurés en cas de besoin. Les attributions, en cas de suppléance ou
d’intérim, sont spécifiées dans les fiches de poste des agents concernés.
Note : c’est un niveau de maîtrise idéal sur les Compétences. La cotation maximum est donc de
4.
3.3.3 Tableau 14 : exemple de référentiel d’analyse du niveau de maîtrise sur les Méthodes (Mé)
Niveau Maîtrise sur les méthodes
1 Chacun fait comme il veut ou comme il peut. Il n’existe pas de méthode de travail partagée et
harmonisée. Les méthodes de travail ne sont pas respectées.
2 La méthode de travail des uns, reconnue efficace par d’autres, est suivie.
3 La méthode de travail qui a fait preuve d’efficacité est partagée par tous.
4 Il existe des méthodes de travail harmonisées, documentées, mises à jour et diffusées aux acteurs
Niveau Maîtrise sur les méthodes

concernés. Leur efficacité fait l’objet d’évaluation et leur application effective permet d’atteindre
les objectifs établis.
Note : c’est un niveau de maîtrise idéal sur les Méthodes. La cotation maximum est donc de 4.
Note : il convient de définir un niveau de maîtrise cible des Moyens, Compétences et Méthodes
conformément aux référentiels de maîtrise adopté.
Exemple de configurations recherchées ou niveaux de maîtrise souhaitée (à expliquer)
Niveau de maîtrise des risques Niveau de maîtrise des risques

Moyens Compétences Méthodes Ou
Moyens Compétences Méthodes
4 4 3 4 3 4
Au cas où le niveau de risque identifié ne correspond pas à l’une des configurations ci-dessus
indiquées, cela signifie que le niveau de maîtrise est insuffisant. Il est donc nécessaire de mettre en
place un plan d’actions pour améliorer la maîtrise sur les Moyens, les Compétences, les Méthodes,
selon le cas.
Cas pratique 5 : identification préalable des défaillances par l’analyse MoCoMé des causes d’un
risque sur un processus Achats (Cf. Mise en activités 3 et Cas pratique 4)
Rappel du risque identifié dans la mise en activités 3 : Demandes d’achats non traitées dans les délais
requis. C’est ce risque qui va faire l’objet de l’analyse MoCoMé.
Les causes de ce risque ont été identifiées (CF. cas pratique 4).
Tableau 15 : grille d’identification préalable des défaillances par l’analyse MoCoMé des causes
du risque (Cas pratique 6)
Risque identifié à la 1ère étape du processus : demandes d’achat non traitées dans le délai requis
Causes principales Analyse MoCoMé
Le prescripteur fait une erreur sur le choix L’erreur sur le choix du code budgétaire est l’expression d’une
du code budgétaire (C1). défaillance du contrôle interne au sein du service prescripteur :
Problème de Méthode (Mé)
La demande d’achat émanant du Cela signifie que les règles et modalités de formulation des
prescripteur ne spécifie pas avec précision et besoins d’achats en vigueur au sein de l’organisme ne sont pas
clarté, les exigences d’achats (C2). respectées.
Non-respect du canevas d’identification et
de spécification des besoins d’achat par le Note : dispositions peuvent ne pas exister également. Ou si
prescripteur (C3) elles existent, elles sont méconnues ou ignorées.
Un seul agent est disponible au Service Cette insuffisance de personnel nécessaire pour traiter les
Administration des Achats pour la réception demandes d’achat pose le problème d’effectif approprié et
et le traitement des demandes d’achat, alors compétent pour effectuer cette tâche.
qu’il faut en principe trois pour respecter le Problème de Moyens (Mo) et Problème de compétences
délai de traitement des demandes au niveau (Co)
de ce service (C4).
Tableau 16 : grille d’évaluation des moyens de maîtrise existants par la méthode MoCoMé (cas
pratique 7)
Risques Crit- Criticité Mo Co Mé
Etapes du Objectifs identifiés Analyse des risques ères (niveau
processus à l’étape de risque)
du Causes Conséquences P I 4 4 4
Quantitative
Qualitative
processus des potentielles
risques
Collecter/ Traiter les demandes C1 1. La demande 5 5 25 1 1 1
Elevée
identifier besoins d’achat non C2 d’achat ne peut
les besoins d’achats traitées dans C3 être validée dans
d’achats dans le le délai le délai requis.
délai requis C4
requis 2. Prescripteur
insatisfait
C1, C2, C3 et C4, Cf. Tableau 15.

Niveau de maîtrise cible des moyens Résultat de l’évaluation du niveau
existants de maîtrise des moyens existants
Moyens Compétences Méthodes Moyens Compétences Méthodes
4 4 4 1 1 1
La mise en œuvre effective et efficace
des actions de maîtrise appropriées
permettra de combler les écarts.
Mise en activités 5 : (Durée 10 mn) limite des méthodes de mesure ou de quantification des
risques
Ivoire Mobile est une entreprise ivoirienne de téléphonie mobile qui a décidé de lancer un nouveau
produit particulièrement innovant sur un marché très concurrentiel.
Travail à faire : il vous est demandé :
1. d’évaluer, de manière qualitative :
- la probabilité d’occurrence d’une attaque des concurrents ;
- le niveau de gravité de cette attaque concurrentielle ;
2. de déterminer les mesures appropriées pour faire face ou prévenir cette attaque.
Note : ce cas pratique a pour intérêt de démontrer que l’évaluation des risques ne se fait pas qu’avec
des méthodes quantitatives. L’on peut utiliser des méthodes qualitatives et le résultat sera à la hauteur
de la pertinence de la méthode d’analyse et d’évaluation du risque adoptée.
Quatrième étape : Traitement du risque
1. But du traitement du risque

« Le traitement du risque a pour but de choisir et de mettre en œuvre des options pour aborder le
risque.
Le traitement du risque implique un processus itératif:
- formuler et choisir des options de traitement du risque;
- élaborer et mettre en œuvre le traitement du risque;
- apprécier l’efficacité de ce traitement;
- déterminer si le risque résiduel est acceptable;
- s’il n’est pas acceptable, envisager un traitement complémentaire » (Source : ISO 31 000 :
2018, Article 6.5.1, Page 13).
Note : L’évaluation des risques, à l’issue de leur analyse, permet de déterminer le poids brut de chaque
risque, c’est-à-dire, la criticité des risques en dehors de toute action de maîtrise de ces risques.
On parle alors de risque brut ou risque inhérent, que ce risque soit élevé, modéré ou faible.
L’ensemble des risques ainsi évalués et hiérarchisés, donne naissance à la cartographie des risques
bruts ou inhérents (pour rappel).
Si à l’issue de cette évaluation, il existe des risques dont la criticité se situe au-delà de la limite
d’acceptabilité, ces risques doivent être traités en priorité selon le principe de précaution.
2. Sélection des options de traitement du risque

« Les options de traitement du risque ne s’excluent pas nécessairement les unes les autres, et ne sont
pas appropriées à toutes les situations. Les options de traitement du risque peuvent impliquer un ou
plusieurs des éléments suivants:
- un refus du risque marqué par la décision de ne pas commencer ou poursuivre l’activité
porteuse du risque;
- la prise ou l’augmentation d’un risque afin de saisir une opportunité;
- l’élimination de la source de risque;
- une modification de la vraisemblance;
- une modification des conséquences;
- un partage du risque (par exemple par le biais de contrats, de souscription de couvertures
d’assurance);
- un maintien du risque fondé sur une décision éclairée » (Source : ISO 31 000 : 2018, Article
6.5.2, PP. 13-14).
Note : éclairage à apporter sur les options de traitement du risque ci-dessus qui sont en réalité
génériques. Mais ce qu’il faut retenir, c’est que la pertinence des actions de maîtrise des risques
dépend de la pertinence des risques identifiés, de la qualité de l’analyse et de l’évaluation des risques.
Résumé de la stratégie de traitement du risque en trois familles d’actions de maîtrise des risques
(Préventives, Détectives, Correctives)
Cas pratique 8 : actions de maîtrise du risque de fraude selon les trois familles d’actions de
maîtrise des risques
- Exemple de mesure préventive en cas de risque de fraude : explication et sensibilisation des
principes d’éthique et de déontologie de l’organisme à l’ensemble du personnel de
l’organisme.
- Exemple de mesure détective en cas de risque de fraude : la vérification, le rapprochement de
données.
- Exemple de mesure corrective en cas de risque de fraude : sanctions exemplaires pour
décourager tout fraudeur potentiel et susciter les actes de contrition des mis en cause.
Attention !
Il est toujours facile d’agir sur les origines du risque que sur ses conséquences. Par exemple, je ne
peux pas lutter contre la fraude qui représente l’événement ; cependant, je peux lutter contre les causes
de la fraude. Si l’on devrait parler de lutte contre le risque de fraude, c’est donc d’agir efficacement
sur les causes et prendre des mesures dissuasives en cas de fraude avérée.
Niveau de
risque Risque BRUT
Risque RESIDUEL
Risque ACCEPTABLE
Risque RESIDUEL
Graphique 2 : représentation schématique de la stratégie de traitement du risque
Tableau 17 : grille d’identification des actions de maîtrise de risque issue de l’analyse MoCoMé
(cas pratique 9)
Risque identifié à la 1ère étape du processus : demandes d’achat non traitées dans les délai requis
Causes principales Analyse MoCoMé Actions de maîtrise du risque
Le prescripteur fait une erreur sur L’erreur sur le choix du code Sensibiliser les prescripteurs sur le
le choix du code budgétaire. (C1). budgétaire est l’expression d’une choix du code budgétaire (A1).
défaillance du contrôle interne au
sein du service prescripteur :
La demande d’achat émanant du Cela signifie que les règles et Former les prescripteurs à la
prescripteur ne spécifie pas avec modalités de formulation des formulation des cahiers des charges
précision et clarté, les exigences besoins d’achats en vigueur au (A2)
d’achats (C2). sein de l’organisme ne sont pas
Non-respect du canevas respectées. Note : le coaching des prescripteurs
d’identification et de spécification sur la formulation des cahiers des
des besoins d’achat par le Note : dispositions peuvent ne pas charges peut remplacer la
prescripteur (C3) exister également. Ou si elles formation, selon le cas.
existent, elles sont méconnues ou
ignorées.
Un seul agent est disponible au Cette insuffisance de personnel Doter le service en charge de la
Service Administration des Achats nécessaire pour traiter les réception et du traitement des
pour la réception et le traitement demandes d’achat pose le besoins d’achat de deux agents
des demandes d’achat, alors qu’il problème d’effectif approprié et compétents supplémentaires. (A3)
faut en principe trois pour respecter compétent pour effectuer cette
le délai de traitement des demandes tâche.
au niveau de ce service (C4). Problème de Moyens (Mo) et
Problème de compétences (Co)
Tableau 18 : grille d’appréciation et d’identification des actions de maîtrise des risques (cas
pratique 10)
Risques Crit- Criticité Mo Co Mé
Etapes du Objectifs identifiés Analyse des risques ères (niveau Actions de
processus à l’étape de risque) maîtrise du
du Causes Conséquences P I 4 4 4 risque ou
Quantitative
Qualitative
processus des potentielles mesures de

risques contrôle
Collecter/ Traiter les demandes C1 1. La demande 5 5 25 1 1 1 A1

Elevée
identifier besoins d’achat non C2&3 d’achat ne peut A2

les besoins d’achats traitées dans C4 être validée dans A3
d’achats dans le les délais le délai requis.
délai requis
requis 2. Prescripteur
insatisfait
C1, C2, C3 et C4, Voir le détail au –dessus de cette matrice. A1, a2, A3, Cf. Tableau 17, 3ème colonne.
Niveau de maîtrise cible des moyens
existants
Moyens Compétences Méthodes
4 4 4
3. Elaboration et mise en œuvre des plans de traitement du risque

Lorsque les actions de maîtrise des risques ont été identifiés, un plan d’actions de maîtrise des risques
est établis et mis en œuvre. Sa mise en œuvre doit faire l’objet de suivi.
Attention! Les grandes catastrophes sont souvent causées par de petits risques non maîtrisés.
Tableau 19 : plan d’actions de maîtrise des risques d’un processus « Achats » (cas pratique 11)
Risque identifié Actions de maîtrise des Attributaires Contributeurs Echéances Preuves de
à la 1ère étape du risques ou mesures de de l’action réalisation de
processus contrôle l’action
Demande d’achat Sensibiliser les Service Service 31/03/20 Rapport de
non traitée dans prescripteurs sur le choix Budget Administration sensibilisation/CR
le délai requis du code budgétaire des Achats de sensibilisation
Former les prescripteurs Cabinet de Direction de la 30/04/20 Rapport de
à la formulation des formation Formation (pour formation
cahiers des charges l’organisation de
la formation)
Département
Achats (Pour les
TDR ou le cdc
de la formation)
Doter le service en Direction des Département 30/04/20 - Fiches de poste
charge de la réception et Ressources Achats (Pour la nominatives
du traitement des besoins Humaines définition du - Contrats de travail
d’achat de deux agents profil des postes - Contrats
supplémentaires à pourvoir) d’objectifs
Les termes « Périodes », « Date de démarrage », « Date de fin prévisionnelle », « Date de fin
prévue », « Date de réalisation effective » auraient pu remplacer le terme « Echéances », selon le cas.
Note :
Par principe de précaution, le plan d’actions de maîtrise des risques porte sur les risques élevés sur
lesquels l’entreprise doit en priorité affecter les ressources disponibles. Ces actions comprennent
notamment les mesures préventives et correctives.
La responsabilité du suivi de la mise en œuvre du plan d’actions de maîtrise des risques incombe en
priorité aux pilotes de processus ou responsables de services concernés. Des acteurs dédiés sont
nommément désignés sur le processus ou dans le service pour faire le suivi de la mise en œuvre du
plan d’actions de maîtrise des risques afin de s’assurer de l’effectivité de la mise en œuvre des actions
et de leur efficacité.
Le reporting est fait ensuite à l’attention des pilotes de processus ou responsables de services
concernés qui font la restitution au Comité de direction, Comité des risques ou à la revue de processus,
selon le cas.
Tableau 20 : formulaire (renseigné) de suivi de plan d’actions de maîtrise des risques (cas
pratique 12)
Libellé des Acteurs en Contributeurs Date de Date de Date de Etat de Dysfonctionnements
actions de charge de démarrage fin réalisation l’action relevés malgré la
maîtrise des la mise en effective prévue effective mise en œuvre
risques ou œuvre effective des actions
mesures de de maîtrise des
contrôle risques
Sensibiliser les Service Service Du 20/03/20 au
prescripteurs Budget Administration 09/03/20 31/03/20 20/03/20 Réalisée 30/06/20, date de
sur le choix du des Achats dans le suivi de la mise en
code budgétaire délai œuvre de l’action,
aucune erreur n’a
été enregistrée sur le
choix du code
budgétaire.
Conclusion : l’observation de la mise en œuvre de cette mesure sur la période du 20/03/20 au 30/06/20, prévue dans le
rapport de sensibilisation, montre qu’elle produit les résultats attendus : 0 erreur sur le choix du code budgétaire. Elle
est donc efficace.
Recommandation : Il convient de s’assurer désormais que tout nouvel acteur ayant qualité de prescripteur ou de
requérant, soit sensibilisé sur le choix des codes budgétaires dès sa prise de fonction. Cette recommandation doit faire
l’objet de suivi.
Former les Cabinet de Direction de la 19/03/20 30/04/20 du 21 au Réalisée Du 23/04/20 au
prescripteurs à formation Formation 23/04/20 dans le 30/06/20, sur 180
la formulation (pour délai demandes d’achats
des cahiers des l’organisation enregistrées, les
charges de la formation) exigences d’achat
Département ont été spécifiées
Achats (Pour avec clarté et
les TDR ou le précision et les cdc
cdc de la ont été établis et
formation) validés pour les
requêtes qui
devraient donner
lieu à des cdc.
Conclusion : sur la période d’observation de la mise en œuvre de l’action, l’objectif opérationnel spécifié dans le
cahier des charges de la formation, à savoir « 100% de demandes d’achat conformes aux exigences validées », a été
atteint. Toutes les demandes d’achats enregistrées au cours de cette période ont été validées parce qu’elles étaient
conformes aux exigences spécifiées. L’évaluation post-formation a permis de constater que cette formation a été jugée
salutaire par les bénéficiaires (100% des participants).
Doter le service Direction Département 31/03/03 30/04/20 27/04/20 Réalisée Depuis le 27/04/20,
en charge de la des Achats (Pour date de
réception et du Ressources la définition renforcement de
traitement des Humaines du profil des l’effectif avec le
besoins d’achat postes à recrutement de 2
de deux agents pourvoir) agents, le délai
supplémentaires moyen de traitement
des demandes
d’achat de 72h est
respecté.
Observation : sur la période d’observation de la mise en œuvre de l’action, l’objectif opérationnel spécifié dans le
contrat d’objet des agents en charge du traitement des besoins d’achat, à savoir « Traiter la demande d’achat dans un
délai de 72h » est respecté. A ce jour, il est de 48h sur l’ensemble des demandes traitées. Le renforcement de l’effectif
pour le traitement des besoins d’achat produit les résultats attendus.
Note : dans le cadre du suivi des actions de maîtrise des risques, il ressort que les trois actions ont été
mises en œuvre effectivement et leur efficacité a été relevée. Il convient de maintenir la vigilance.
4. Mesure du risque résiduel ou risque net et cartographie des risques associés
Pour rappel : les risques jugés inacceptables ou non tolérés doivent être traités en priorité.
A l’issue du traitement, une évaluation des risques est effectuée à nouveau. Le résultat de cette
évaluation permet de déterminer le risque résiduel ou risque net, c’est-à-dire le poids ou la mesure
précise du risque ; autrement dit, le risque résiduel est le niveau de risque qui subsiste après avoir mis
en œuvre les actions de maîtrise des risques (mesures de contrôle).
Le risque résiduel peut être élevé, modéré ou faible ; tout dépend des actions de maîtrise identifiées,
des modalités de mise en œuvre et des résultats obtenus.
Si le risque résiduel est faible, cela signifie que le risque résiduel est acceptable, c’est-à-dire, le niveau
de risque cible a été atteint ; c’est donc la preuve de l’efficacité du traitement du risque.
Si le risque résiduel n’est pas acceptable, cela signifie que le risque cible n’est pas encore atteint, en ce
sens que la criticité de ce risque est élevée. Elle est située dans la même zone que le risque brut ou
risque inhérent qui est élevé.
Principe important : le risque résiduel ou risque net est toujours inférieur ou égal au risque
brut.
Note : l’évaluation des risques résiduels permet d’établir la cartographie des risques résiduels (cas
pratiques à présenter en classe).
Thème du module de formation : Norme ISO 31 000 : 2018, Méthodes et Outils associés
Tableau 21 : grille de détermination du risque résiduel (cas pratique 13)

Evaluation des actions
Recommandation
de maîtrise du risque
Etapes Objectifs Evaluation des brut ou inhérent
du à l’étape Evaluation des moyens de maîtrise (mises en œuvre)
processus du risques existants
processus Risques Analyse des risques Actions de maîtrise Evaluation Evalua-
identifiés Criticité Mo Co Mé du risque ou du risque tion du
du risque mesures de contrôle de contrôle risque
Critères brut ou identifiées (à l’issue Critères Niveau résiduel
inhérent de l’évaluation des de
moyens de maîtrise maîtrise
existants) (M)
Causes Conséquences P 4 4 4
Quantitative
Qualitative
(E)
Effectivité
(E)
Efficacité
des potentielles
risques
Collecter/ Traiter les demandes C1. 1. La demande 5 5 25 1 1 1 1. Sensibiliser les 3 3 9
Elevée
Maintenir la vigilance
identifier besoins d’achat d’achat ne peut prescripteurs sur le
les d’achats non être validée dans choix du code Elevé Faible Faible
besoins dans le traitées le délai requis. budgétaire
d’achats délai dans C2. 2. Former les 3 3 9
requis les délais C3. 2. Prescripteur prescripteurs à la
requis insatisfait formulation des Elevé Faible
cahiers des charges
C4. 3. Doter le service en 3 3 9
charge de la réception
et du traitement des Elevé Faible
besoins d’achat de
deux agents
supplémentaires
C1 : Le prescripteur fait une erreur sur le choix du code budgétaire.

C2 : La demande d’achat émanant du prescripteur ne spécifie pas avec précision et clarté, les exigences d’achats (C1).
C3 : Non-respect du canevas d’identification et de spécification des besoins d’achat par le prescripteur (C2)
C4 : Un seul agent est disponible au Service Administration des Achats pour la réception et le traitement des demandes d’achat, alors qu’il faut en principe trois pour respecter
le délai de traitement des demandes au niveau de ce service
RABET ZEHI : Chercheur en Sciences de Gestion, Expert Qualité, Auditeur de systèmes de management Page 33/46
L’effectivité (E) et l’efficacité (E) sont 2 critères d’appréciation de la qualité des actions de maîtrise
des risques.
L’effectivité est le degré de mise en œuvre des actions de maîtrise des risques.
Exemple de référentiel d’effectivité :
1. Action de maîtrise du risque non mise en œuvre
2. Action de maîtrise du risque partiellement mise en œuvre
3. Action de maîtrise du risque mise en œuvre effectivement
L’efficacité est la pertinence de l’action de maîtrise du risque, son degré d’adaptation au risque ou sa
capacité à couvrir le risque.
Exemple de référentiel d’efficacité :
1. Action de maîtrise inadaptée, inefficace
2. Action de maîtrise couvrant le risque, mais quelques défaillances ou dysfonctionnements
demeurent
3. Action de maîtrise couvrant parfaitement le risque, absence de défaillance ou de
dysfonctionnement quelconque
La combinaison de l’effectivité et de l’efficacité permet de déterminer le niveau de maîtrise du risque

au travers des actions de maîtrise, avec M = E x E
Exemple de référentiel de maîtrise (M) :
[1-3]: Maîtrise faible ou insuffisante
]3-6]: Maîtrise moyennement satisfaisante
]6-9]: Maîtrise bonne ou élevée. Risque couvert.
Note : l’évaluation de l’effectivité et de l’efficacité des actions de maîtrise du risque permet de

déterminer un risque que l’on appelle risque de contrôle. C’est ce risque qui permet de déterminer
ensuite le risque résiduel, c’est-à-dire, de dégrader ou non le risque inhérent ou risque brut, au regard
du niveau de maîtrise observé.
En clair, le risque de contrôle permet de savoir si l’action de maîtrise du risque couvre le risque défini
ou pas. Le risque de contrôle peut être :
- Elevé ;
- Modéré ;
- ou Faible.
1. Si l’action de maîtrise du risque ne couvre pas le risque brut ou inhérent (élevé), l’on aura un risque
de contrôle élevé, c’est à dire, la possibilité qu’il y ait des défaillances, des dysfonctionnements, est
grande ; dans ce cas, le risque résiduel est élevé, parce que la maîtrise est faible.
2. Si l’action de maîtrise est mise en œuvre de manière effective et efficace, elle couvre le risque brut
ou inhérent (élevé) ; dans ce cas, le risque résiduel peut être :
- Faible ;
- ou dégradé en risque modéré par précaution, le temps d’avoir la certitude que la situation est
sous contrôle sur une certaine période, avant de conclure en définitive à un risque résiduel
faible.
Note : présenter un cas pratique de détermination de zones de priorité de traitement des risques (zones
prioritaires, zones d’optimisation, zones de vigilance, zones d’incertitude, zones particulières)
Principaux moyens de maîtrise des risques couramment utilisés :

- définition des missions, des activités, des tâches et opérations assignées aux collaborateurs ;
- manuels de procédures, instructions, guides, modes opératoires ;
- détermination des profils de poste et des compétences attendues ou niveaux de savoir-faire des
collaborateurs ;
- surveillance des processus, activités aux moyens de tableaux de bord ;
- mise en place de systèmes informatiques sécurisés ;
- établissement d’organigrammes structurels ou fonctionnels ;
- documentation des directives, consignes, instructions règles précises ;
- actions de vérifications : auto-contrôle, contrôle humain, contrôles embarqués (à expliquer),
- séparation des fonctions ou des tâches ;
- rotation des agents sur les postes sensibles ;
- procédures de délégations de pouvoirs et de signatures.
Cinquième étape : Suivi et revue

« Le suivi et la revue ont pour but de s’assurer et d’améliorer la qualité et l’efficacité de la conception,
de la mise en œuvre et des résultats du processus. Il convient que le suivi continu et la revue
périodique du processus de management du risque et de ses résultats soient planifiés dans le processus
de management du risque, en définissant clairement les responsabilités.
Il convient que le suivi et la revue aient lieu à toutes les étapes du processus. Le suivi et la revue
comprennent la planification, le recueil et l’analyse d’informations, l’enregistrement des résultats et le
retour d’information.
Il convient d’intégrer les résultats du suivi et de la revue aux activités de management des
performances de l’organisme, de suivi des résultats et d’élaboration de rapports » (Source : ISO
31 000 : 2018, Article 6.6, PP. 14-15)
Note 1 : dans le cadre du pilotage des processus, chaque pilote de processus a la responsabilité de faire
la revue de son processus. Cette revue de processus comprend l’évaluation de la conformité et de
l’efficacité des dispositions prises pour assurer la maîtrise des risques sur le processus.
Note 2 : la revue du dispositif de management du risque peut se faire au niveau du Comité de

direction, du Comité des risques ou Comité de surveillance des risques, selon le cas.
Note 3 : l’audit du dispositif de management du risque est effectué par les organes de surveillance,
notamment les services en charge de l’audit. Les résultats des missions d’évaluation de la conformité
et de l’efficacité du processus de management du risque font partie des éléments d’entrée de la revue
du processus de management du risque.
Les résultats du suivi et de la revue du processus de management du risque permettent

d’améliorer le cadre organisationnel de management du risque et le processus de management
du risque.
Sixième étape : Enregistrement et élaboration des rapports
(Source : ISO 31 000 : 2018, Article 6.7, Page 15)

« Il convient que le processus de management du risque et ses résultats soient documentés et fassent
l’objet de rapports selon des mécanismes appropriés. L’enregistrement et l’élaboration de rapports a
pour but de:
- communiquer sur les activités de management du risque et leurs résultats au sein de
l’organisme;
- fournir des informations en vue de la prise de décisions;
- améliorer les activités de management du risque;
- faciliter l’interaction avec les parties prenantes, y compris celles ayant la responsabilité des
activités de management du risque.
Il convient que les décisions concernant la création, la conservation et le traitement des informations
documentées tiennent compte, sans toutefois s’y limiter, de leur utilisation, du caractère sensible des
informations et du contexte externe et interne.
L’élaboration de rapports fait partie intégrante de la gouvernance de l’organisme et il convient qu’elle
améliore la qualité du dialogue avec les parties prenantes et aide la direction et les organes de
surveillance à faire face à leurs responsabilités. Les facteurs à prendre en considération pour
l’établissement de rapports comprennent, sans toutefois s’y limiter:
- les différentes parties prenantes et leurs besoins et exigences spécifiques en matière
d’information;
- le coût, la fréquence et le caractère opportun de l’établissement de rapports;
- la méthode adoptée pour l’établissement de rapports;
- la pertinence des informations au regard des objectifs de l’organisme et de la prise de
décisions ».
Note : un cas pratique de rapport à présenter.
LISTE DES ANNEXES
ANNEXE 1 : TEXTE DE SENSIBILISATION SUR LE RISQUE DES FAUSSES

CERTITUDES
ANNEXE 2 : EXEMPLE DE FICHE DE RISQUE
ANNEXE 3 : ETUDE DE CAS : CAS IVOIRE LOGISTIQUE
ANNEXE 4 : ETUDE DE CAS : EXEMPLES DE METHODES ET OUTILS

D’IDENTIFICATION, D’ANALYSE, D’EVALUATION, DE TRAITEMENT ET DE
SURVEILLANCE DES RISQUES
RABET ZEHI – Economiste, Expert Qualité, Auditeur de systèmes de management –Mars 2014 Page 1/1
ANNEXE 1 : TEXTE DE SENSIBILISATION : CHANGER LES MENTALITES
Les dernières années nous ont démontré les failles colossales que génèrent les fausses certitudes :
les attentats du 11 septembre 2001 en sont un exemple douloureux.
Les auteurs des détournements d’avion du 11 septembre ont fondé leur action sur trois fausses
certitudes majeures, qui ont rendu illisibles tous les signaux annonciateurs d’une telle tragédie. La
première faille dans le système fut le fort sentiment d’invulnérabilité du territoire américain. En
effet, la dernière action de guerre sur le territoire des Etats-Unis fut le bombardement de la flotte dans
le port de Pearl Harbor par l’aviation japonaise en décembre 1942. Depuis cette date, les Etats-Unis
ont mené de multiples actions militaires (Corée, Vietnam, Panama, Irak) mais jamais sur leur propre
territoire. Il était donc impossible de réellement prendre en compte le fait qu’un pays capable de porter
en quelques heures la guerre en n’importe quel point de la planète puisse être attaqué sur son propre
territoire. Depuis la chute du mur de Berlin et l’effondrement du pacte de Varsovie, aucune armée au
monde n’aurait pu mener à bien une telle action.
La seconde certitude qui a rendu les Etats-Unis vulnérable fut l’illusion que toutes les
informations ou les renseignements disponibles sur les menaces éventuelles étaient traités de
façon efficace. Il ne fait plus aucun doute aujourd’hui que l’information indiquant qu’un groupe de
personnes potentiellement suspectes, originaires du Moyen Orient, prenait des cours de pilotage dans
diverses écoles des Etats-Unis étaient connue de certains membres du FBI. Mais cette information,
noyée parmi les millions d’autres captées chaque jour par les systèmes d’écoute et du renseignement
américains, n’a pas été appréciée à sa juste valeur.
La dernière certitude enfin, fut de croire que les services de sécurité et les multiples agences
américaines travaillent main dans la main et en parfaite coordination.
Prises une à une, ces fausses croyances auraient pu être assimilées à des dysfonctionnements du
système. Pourtant, leur tragique conjugaison a fait que l’organisation la plus avancée en matière de
sécurité d’un territoire a été mise en défaut par une vingtaine de terroristes armés de cutters
(Instrument servant à couper le papier, les cartons).
S’il existe une bonne certitude il en est une fondamentale : rien n’est certain, mais l’instable peut
malgré tout se gérer.
In "Le management des situations de crise ; Anticiper les risques et gérer les crises" ; 2005, esf
EDITEUR, 208 pages ; Laurent Combalbert
TAF : Analyse, commentaire et conclusion à tirer par rapport à la notion de risque.
ANNEXE 2
ANNEXE 5 : EXEMPLE DE FICHE DE RISQUE
(Cf. FD X 50-117 Management de projet - Gestion du risque - Management des risques d'un projet), Page 29
FICHE DE RISQUE DU PROJET "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
N° de fiche : Date MAJ : Etat :
Phase projet concernée : Produit concerné :
Lot de travaux concernée : Nature du risque :
Caractéristiques du risque
Description du risque (situation redoutée) :
Causes possibles du risque :
Effets sur le projet : Référence des tâches ou lots de travaux impactés :
Evaluation AVANT action de traitement du risque

Niveaux de gravité : Niveau de probabilité
Coûts : Délais Performances techniques
1: Négligeable 1: Négligeable 1: Négligeable 1: Impossible

2:Significative 2: Significative 2: Significative 2: Très peu probable
3: Majeure 3: Majeure 3: Majeure 3: Probable
4: Catastrophique 4: Catastrophique 4: Catastrophique 4: Fortement probable
Action(s) de traitement du risque
Action de traitement du risque : Responsable de réalisation et de suivi de l'action :
Date de début prévue : Date de fin prévue :
Moyens techniques à mettre en œuvre :
Evaluation APRES action de traitement du risque

Niveaux de gravité Niveau de probabilité
Coûts : Délais : Performance :
Date d'ouverture : Date de clôture :
ANNEXE 3
ETUDE DE CAS : CAS IVOIRE LOGISTIQUE
Métier de l’entreprise, marché et clients

La société Ivoire Logistique est une société unipersonnelle à responsabilité limitée spécialisée dans le
transport de marchandises et de personnes :
 Transport de marchandises : Ivoire Logistique, avec un parc de 80 camions de type poids

lourds, intervient comme sous-traitant auprès des grandes sociétés ivoiriennes spécialisées
dans le négoce ou la torréfaction de café et de cacao acheté bord champ ou à tout venant.
 Transport de personnes : avec un parc de 100 taxis compteurs, Ivoire Logistique intervient
dans le transport urbain au niveau de la ville d’Abidjan.
Management
Gnrègbè Zédjibèroh est Directeur-fondateur de la société depuis 10 ans. Cette société a pour ambition
de devenir leader dans le domaine de la logistique en Côte d’Ivoire. L’engagement du Directeur-
fondateur à réaliser cette ambition a été communiqué à l’ensemble du personnel, mais il ne voit pas
pour l’instant la nécessité de réaliser des enquêtes de satisfaction client dès l’instant où son entreprise
fait du chiffre d’affaires.
La structure de l’organisation n’est jusque-là pas formalisée. Les missions et attributions des agents ne
sont pas définies et formalisées.
Ivoire Logistique est confrontée à des problèmes de planification de ses activités. Tantôt certains
agents sont affectés en cours de journée au suivi des taxis, tantôt au suivi des chauffeurs des poids
lourds.
Le Directeur-fondateur prend les rendez-vous à l’extérieur sans que son secrétariat en soit informé.
Lorsque la pauvre secrétaire a attiré son attention sur la question un jour, il l’a tout simplement
menacée en ces termes : « C’est toi qui va me dire comment je dois diriger mes affaires ? Que ce soit
la dernière fois que tu m’interpelles ainsi ! » Très confuse, la secrétaire a passé toute la journée à
bouder tout le monde autour d’elle.
Des dispositions sécuritaires ont été prises par Ivoire Logistique : choix d’une société de service de
gardiennage, un dispositif d’alerte et des moyens de lutte contre les incendies. Cependant, le personnel
n’a été formé à l’utilisation des extincteurs dans l’entreprise. Il n’a pas été également sensibilisé aux
instructions relatives à la sécurité. En plus, les extincteurs ne font pas l’objet de vérification planifiée.
Zédjibèroh assure lui-même, la supervision quotidienne des mouvements des camions. Les vidanges
sont réalisées tous les 10 jours avec une limitation quotidienne à 500 Km au maximum par camion. Le
relevé du kilométrage des taxis se fait tous les matins.
En ce qui concerne la supervision et la vérification du taux de présence des chauffeurs en activité, le

Directeur-Fondateur passe tous les matins un coup de fil au hasard aux Chefs de sites concernés pour
obtenir les informations recherchées.
L’an dernier, Ivoire Logistique a renforcé son parc de poids lourds avec un investissement de 200
millions de F CFA au motif que son principal client venait de signer un contrat avec un ensemble de
Groupements à vocation coopérative (GVC) basés dans le bas Sassandra.
L’investissement réalisé n’a pas fait l’objet d’une étude de faisabilité préalable et le contrat a été signé
avec le client. Malheureusement, des conflits de leadership ont entraîné la disparition du GVC,
spécialisé dans la production de café et de cacao.
Fonction financière et comptable :

Malgré les investissements importants réalisés en matière d’accroissement de sa flotte logistique et le
volume croissant de ses activités, cette société ne dispose pas de budget. Par ailleurs, les prévisions de
chiffre d’affaires sur l’ensemble des prestations ne sont pas réalisées.
Il existe une fonction comptable sans attribution véritable. L’ensemble des opérations réalisées ne sont
pas saisies au jour le jour. La comptabilité est assurée par un Cabinet comptable. Les dettes
fournisseurs ne sont pas constatées et les factures s’accumulent tant qu’elles sont dans le bureau de
Zédjibèroh.
Fonction ressources humaines

Zédjibèroh a procédé au recrutement d’un jeune mécanicien au profit du garage interne. Et pourtant,
ce jeune homme n’a aucune formation initiale ni l’expérience nécessaire. Et pourtant, Zédjibèroh ne
cache pas sa fierté de l’avoir fait recruté : « Ce petit-là est bon ! La dernière fois, lorsque les deux
pneus de ma voiture ont explosé, c’est lui qui m’a dépanné rapidement. Il paraît qu’il travaille dans le
garage de Tassouma. »
Quant aux chauffeurs de taxis, leur recrutement se fait sans aucune enquête de moralité ni examen
médicale. Le seul critère pris en compte est l’expérience.
Fonction logistique
Moussogbè, en charge de la Fonction logistique, ignore les exigences légales et réglementaires
relatives au transport de marchandises en vigueur en Côte d’Ivoire contenues dans l’article 4 du
contrat de transport de marchandises signé avec la société SOCACAO.
Fonction achat et gestion des stocks

La liste des références en stock n’est pas disponible. Les pièces sont mises à disposition au fil de l’eau
par le magasinier Koutcha sans qu’aucune décharge ne soit signée par le bénéficiaire.
Les pneumatiques achetés auprès d’un fournisseur chinois sont défaillants. De même, les charges
d’entretien du parc auto très élevées n’attirent guère l’attention des responsables concernés. D’ailleurs,
il a été constaté une absence totale de critères de sélection et d’évaluation des fournisseurs de
pneumatiques et de pièces de rechange. Par ailleurs, il n’existe aucune fiche de vie pour chaque
véhicule du parc automobile.
Le Directeur-Fondateur de Ivoire Logistique, Gnrègbè Zédjibèroh est un dirigeant réputé anti-qualité.

Pour lui, la qualité est un « machin » qui constitue une perte de temps, une charge supplémentaire de
travail, une démarche onéreuse et superficielle. C’est le discours qu’il tient régulièrement lorsqu’on lui
présente les enjeux de la qualité pour son entreprise.
Finalement, sur conseils de son meilleur ami, Directeur d’une agro-industrie spécialisée dans la
production de caoutchouc granulé de grade TSR10, Zédjibèroh accepte de mettre en place une
Direction de la Qualité au sein de son entreprise.
Cette Direction est dirigée par Lejardin Guy Amos, ancien diplômé en qualité de l’IAQT. Ce dernier
fait accepter l’idée d’engager deux stagiaires à la Direction de la Qualité à qui il confie la mission de
faire un diagnostic qualité de la société.
La restitution des résultats du diagnostic et la campagne qualité organisée au sein de l’entreprise ont
permis à Zédjibèroh de prendre davantage conscience des enjeux de la qualité : « J’ai compris les huit
principes du management de la qualité et je m’évertue à ce que ces principes soient une réalité
aujourd’hui dans mon entreprise. Nous allons bâtir notre démarche qualité autour des exigences de la
norme ISO 9001 version 2008, norme expliquée à l’ensemble du personnel par notre jeune Directeur
de la qualité. J’ai particulièrement aimé cette communication. »
Au cours de la séance d’explication de la norme ISO 9001, Zédjibèroh a fait un certain nombre de
d’observations jugées très pertinentes par le Directeur de la Qualité. Ces observations sont les
suivantes :
Première observation : Si le risque de ne pas satisfaire les clients est parfaitement identifié, il faudrait
bien que nous définissions le niveau d’acceptation de ce risque ; car prendre le risque revient à
accepter un certain niveau de risque.
Deuxième observation : Le déficit de méthode est un critère d’estimation du risque, car si nous
n’avons pas de méthode, nous courons de gros risques…Il faut donc rompre avec l’improvisation
« structurée », la gestion récurrente des urgences et la culture de l’oralité dans nos actes de gestion.
Troisième observation : Plus nous contrôlons…, plus nous limiterons les défaillances…
Quatrième observation : Si je dois établir une politique qualité, il faudrait que je m’appuie sur un
ensemble de données et d’informations objectives et pertinentes…
Cinquième observation : L’analyse des risques liés au traitement des non conformités doit alimenter
les actions préventives.
En définitive, une politique qualité a été établie par Zédjibèroh. Les principales orientations générales
de cette politique qui vont servir à l’établissement des objectifs qualité sur l’ensemble des processus
sont les suivants :
1. Améliorer l’efficacité de nos processus
2. Respecter nos engagements de services contenus dans notre charte qualité
3. Accroître la satisfaction de nos clients en leur apportant une forte valeur ajoutée en termes
de prestations de service
4. Maintenir la motivation du personnel en lui donnant particulièrement les atouts
professionnels pour réussir sa mission
TRAVAIL A FAIRE :
1. Identifier l’ensemble des risques générés par les problèmes de Ivoire Logistique énumérés par
Fonction dans le sujet.
2.
(Présenter la réponse selon le tableau ci-dessous)
Fonctions/Domaines concernés Principaux risques identifiés par fonction ou domaine
au regard des problèmes constatés
1. Management
2. Fonction financière et comptable
3. Fonction ressources humaines
4. Fonction logistique
5. Fonction achat et gestion des
stocks
3. Zédjibèroh a fait cinq observations au cours de la séance d’explication de la norme ISO 9001.
Quelles sont les exigences de la norme ISO 9001 concernées par chaque observation ?
Justifiez votre réponse.
(Présenter la réponse selon le tableau ci-dessous)
Observations Exigences associées de la Justifiez votre réponse

norme ISO 9001
1ère observation
2ème observation
3ème observation
4ème observation
5ème observation
4. Norme ISO 9001 version 2015 et notion de risque : quelle analyse faites-vous ? (références
dans la norme ISO 9001 : 2015 et explications)
ANNEXE 4 :
EXEMPLES DE METHODES ET OUTILS D’IDENTIFICATION, D’ANALYSE,

D’EVALUATION, DE TRAITEMENT ET DE SURVEILLANCE DES RISQUES :
(connaissances à approfondir par vos recherches en exploitant la norme ISO 31010 versions
2009 et 2019 et autres sources possibles)
1. Analyse causes-conséquences
2. Analyse des causes et de leurs effets
3. Analyse des niveaux de protection
4. Analyse « nœud papillon »
5. Analyse bayésienne et réseaux de Bayes (Cf. théorème de Bayes)
6. Analyse coût/bénéfice
7. Analyse d’impact sur l’activité
8. Analyse de décision à critères multiples
9. Analyse de la fiabilité humaine
10. Analyse de Markov (l’état futur d’un système dépend de son présent)
11. Analyse de scénario
12. Analyse des causes profondes (analyse de perte majeure)
13. Analyse des conditions insidieuses ou Analyse transitoire
14. Analyse des modes de défaillance et de leurs effets
15. Analyse par arbre d’événements
16. Analyse par arbre de panne
17. Analyse préliminaire du danger
18. Arbre de décision
19. Arbre de décision
20. Baromètre de risque
21. Brainstorming
22. Cartographie des risques (risques inhérents, risques résiduels)
23. Courbe FN (zone d’acceptabilité du risque)
24. Diagramme d’Ishikawa
25. Entretiens structurés ou semi-structurés (méthode qualitative)
26. Etudes de danger et d’exploitabilité (HAZOP)
27. Evaluation des risques environnementaux
28. Formulaire de surveillance des risques
29. HACCP
30. Indice de risque
31. Listes de contrôle (répertoire de dangers)
32. Maintenance basée sur la fiabilité
33. Matrice conséquence/probabilité
34. Matrice de découverte
35. Méthode MocoMé
36. Profil de risques
37. Référentiel de contrôle interne et de maîtrise des risques
38. Simulation de Monte-Carlo (résolution de situation complexe)
39. SWIFT (Que se passerait-il si?)
40. Technique Delphi (avis d’experts)
REFERENCES BIBLIOGRAPHIQUES
Ouvrages et assimilés
1. Bruno Anselme, Françoise Albasini, les risques professionnels, Edition Nathan 2006, 159
pages ;
2. CAP AFNOR, CARTOGRAPHIE DES RISQUES – Représenter et hiérarchiser les
risques, Livret Stagiaire, 168 pages ;
3. Gilbert de Mareschal, La cartographie des risques, AFNOR 2003, Collection A
SAVOIR, 50 pages;
4. La documentation française, Accident du travail et maladies professionnelles, 2ème édition,
Septembre 2012, 206 pages ;
5. La documentation française, Maîtriser les risques professionnels, 2ème édition, Mars 2012,
108 pages ;
6. Laurent Combalbert, Le management des situations de crise, Anticiper les risques et gérer
les crises, 2005, esf EDITEUR, 208 pages ;
7. Marie-Claude Delaveaud, Le « Risk Management » en 5 étapes, AFNOR 2003, 49 pages,
Collection A SAVOIR ;
8. Octave Jokoung Nguéna, Management des risques, Ellipses Edition Marketing, 2008, 188
page ;
9. Olivier Hassid, Le management des risques et des crises, DUNOD 2011, 3ème édition, 179
pages ;
10. Pascal Kerebel, Mise en œuvre d’un contrôle interne efficace via un ERP, AFNOR 2007,
148 pages ;
11. Sous la direction de Yves DUPONT, Armand Colin, Dictionnaire des risques, 2004, 421
pages ;
12. Yves Métayer, Laurence Hirsch, Premiers pas dans le management des risques, AFNOR
2007, 135 pages.
Normes (inventaire non exhaustif)
1. FD X 50 – 117, Management de projet – Gestion du risque – Management des

risques d’un projet, Avril 2003 ;
2. FD X50-117 Management de projet - Gestion du risque : management des risques d'un
projet
3. FDX 50-252 Management du risque - Lignes directrices pour l'estimation des risques ;
4. ISO GUIDE 73 : 2009, Management du risque – Vocabulaire ;
5. ISO/IEC 27000:2018 : Technologies de l'information — Techniques de sécurité —
Systèmes de management de la sécurité de l'information — Vue d'ensemble et
vocabulaire ;
6. Norme ISO 14 001 : Systèmes de management environnemental – Exigences ;
7. Norme ISO 14971 : Dispositifs médicaux — Application de la gestion des risques aux
dispositifs médicaux ;
8. Norme ISO 17666:2016 : Systèmes spatiaux — Management des risques ;
9. Norme ISO 22 000 : 2018 : Systèmes de management de la sécurité des denrées
alimentaires - Exigences pour tout organisme appartenant à la chaîne alimentaire ;
10. Norme ISO 26 000 : Responsabilité sociétale ;
11. Norme ISO 31 010 : 2019 : Management du risque – Techniques d'appréciation du
risque ;
12. Norme ISO 31000 : 2018 : Management du risque – Lignes directrices ;
13. Norme ISO 37 001 : Systèmes de management anti-corruption ;
14. Norme ISO 45 001 : 2018 : Systèmes de management de la santé et de la sécurité au
travail – Exigences et lignes directrices pour leur utilisation ;
15. Norme ISO 9001 : 2015 : Systèmes de management de la qualité – Exigences ;
16. Norme ISO/IEC 27701:2019 : Techniques de sécurité — Extension d'ISO/IEC 27001 et
ISO/IEC 27002 au management de la protection de la vie privée — Exigences et lignes
directrices.

Support de Formation ISO 31000 2018 Rabet V3

Transféré par

Droits d'auteur :

Formats disponibles

Support de Formation ISO 31000 2018 Rabet V3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Support de Formation ISO 31000 2018 Rabet V3

Transféré par

Droits d'auteur :

Formats disponibles

SUPPORT RÉFÉRENCES Consultant Formateur

S ISO 31000 : 2018 SF-MR-I/MQ-V3 Octobre 2023 RABET ZEHI

NORME ISO 31 000 : 2018,

Formateur : RABET ZEHI

TABLE DES MATIERES

PREAMBULE MOTIVANT : INTRODUCTION AUX ENJEUX DU MANAGEMENT DU

DEUXIEME ETAPE : ETABLISSEMENT DU PERIMETRE D’APPLICATION, DU CONTEXTE ET DES

1. But de l’établissement du périmètre d’application, du contexte et des critères de management

PROGRAMME SOMMAIRE ET OBJECTIFS DE FORMATION

Préambule motivant : Introduction aux enjeux du management du risque

Première partie : Généralités

Objectif général : appréhender la notion de risque et les concepts associés

Deuxième partie : Présentation générale de la norme ISO 31 000 : 2018

Objectif général : comprendre la structure générale de la norme ISO 31 000 : 2018

PREAMBULE MOTIVANT : INTRODUCTION AUX ENJEUX DU MANAGEMENT DU

Vidéo film : Explosion de la navette américaine Challenger le 28 janvier 1986

PREMIERE PARTIE : GENERALITES

Huitième définition du risque :

2.1 Première caractéristique du risque : le danger

2.2 Deuxième caractéristique du risque : la cible exposée

2.3 Troisième caractéristique du risque : l’évaluation de la menace

3. Définition du management du risque

Le management du risque est également défini comme un « processus d’application de la politique de

4. Management du risque : contexte général

5. La norme ISO 9001 version 2015 et la notion de risque

6. Préalables à la mise en place d’un processus de management du risque

- Déterminer les parties intéressées pertinentes et leurs exigences ;

DEUXIEME PARTIE : PRESENTATION GENERALE DE LA NORME ISO 31 000 : 2018

1. Objectifs de la norme ISO 31 000

2. Rappel des principes de management du risque

Note : principes à expliquer.

3. Cadre organisationnel du management du risque

3.2 Leadership et engagement

(Cf. Article 5.2, Page 5)

Note 1: le leadership et l’engagement concernent l’équipe dirigeante et tous les responsables de

Note 2 : le leadership et l’engagement concernent également la capacité de la direction à mettre en

3.3 Composantes du cadre organisationnel de management du risque

« L’intégration du management du risque dans un organisme est un processus dynamique et itératif,

Deuxième composante : Conception

2. Définir clairement l’engagement en matière de management du risque.

(Cf. Article 5.4.2, Page 6)

Note 1 : le contenu de l’engagement de l’organisme en matière de management du risque, à titre

Note 2 : l’engagement ou la déclaration d’engagement de l’organisme en matière de management du

3. Attribution des rôles, pouvoirs et responsabilités au sein de l’organisme

- les processus et procédures documentés;

Note 1 : pour rappel, leadership et engagement (Article 5.2).

Note 2 : éclairages à apporter en classe.

5. Établissement d’une communication et d’une concertation

Troisième composante : Mise en œuvre

Quatrième composante : Evaluation

(Cf. ISO 31 000 : 2018, Article 5.6, Page 8)

« Pour évaluer l’efficacité du cadre organisationnel de management du risque, il convient que

Cinquième composante : Amélioration

TROISIEME PARTIE : LE PROCESSUS DE MANAGEMENT DU RISQUE

Première étape : Mise en place et déploiement d’un processus de communication et consultation

Note : liste non exhaustive.

Parties intéressées Justification de la pertinence Exigences des parties intéressées à

Deuxième étape : Etablissement du périmètre d’application, du contexte et des critères du

2. Définition du domaine d’application du management du risque

3. Etablissement du contexte interne et externe