La gestion des risques ne fait pas l'objet d'une démarche structurée dans l'entreprise.

Les principaux risques pris en compte se limitent à l'identification des fournisseurs et des produits stratégiques par la Direction Générale ou les Achats.

Selon la criticité et l'éloignement des fournisseurs stratégiques, une liste de produits critiques et de sources alternatives a été définie.

L’entreprise n’a pas formalisé de stratégie de résilience mais elle a pris quelques mesures concrètes pour contrer les risques de défaillance des fournisseurs et sous-traitants stratégiques, de rupture de stock de produits critiques et de non livraison des clients.

Exemples :

L'entreprise a mis en place plusieurs dispositifs de prévention et de protection pour assurer la sécurité des lieux, des personnes et des biens matériels et immatériels contre les risques d'incendie, de vol, de malveillance et de terrorisme tels que :

Les dispositifs mis en place sont répertoriés mais manquent de suivi à certains endroits faute de procédures et de contrôles suffisants.

L’entreprise maintient une liste d’intrants critiques (matières premières, composants, emballages, etc.).

La plupart des produits critiques sont approvisionnés par un fournisseur principal et un fournisseur secondaire selon des quotas prédéterminés.

Des stocks stratégiques existent pour des intrants sensibles afin d’anticiper les hausses de prix comme les risques de pénurie. Mais aucune méthode de dimensionnement et de révision des stocks stratégiques n’a encore été définie.

Connaissance partielle des capacités réelles de production se limitant à une partie du parc machines pour laquelle une analyse des causes et des temps d’arrêt est effectuée.

Faiblement préparée aux situations de crise, l'entreprise dispose de peu de moyens de production de remplacement et de mesures de prévention :

L'entreprise a une connaissance générale et partielle des ressources, des équipements et des surfaces utilisés dans l'(les) entrepôt(s). Elle n'a pas mené d'analyse détaillée des process, des moyens et des spécifications d'exploitation.

En cas de perturbation de l'(des) entrepôt(s) et/ou des livraisons, elle n'a pas de plan de secours mais elle mise sur la réactivité pour :

En cas d’incendie ou d’inondation, l’exploitation de l’entrepôt est compromise voire bloquée sans solution de secours.

Il n’existe pas de responsable de la cybersécurité.

Mais sous l’impulsion du Service Informatique, un certain nombre de bonnes pratiques sont en place pour :

... face aux risques de cyberattaque, de vol et de perte de données.

L'entreprise a constitué une cellule de crise. Tous les membres ont reçu une formation générale et chacun sait en principe ce qu'il a à faire.

Une salle de crise a été aménagée avec :

Un annuaire du personnel sur site et dans les autres sites est à disposition ainsi que les n° de téléphone des services de secours, des autorités extérieures (élu local, préfet, associations, ...), de la presse, etc.

Mais la cellule de crise manque d'expérience et n'a jamais testé sa capacité à travailler ensemble, à traiter et à synthétiser un flot d'informations disparates, à vérifier les faits, à prendre des décisions, à soutenir les équipes terrain, à rédiger des communiqués de presse, à organiser des points presse, à résister à la pression, etc.  si bien qu'elle risque de se faire dépasser en cas de crise grave et complexe. 

Des départs de feu sont testés 1 à 2 fois par an dans chaque bâtiment. Sous la conduite du ou des responsables évacuation et du responsable de l’accueil des secours, ils démontrent la capacité à évacuer les lieux en moins de 6 minutes dans le calme selon les consignes décrites dans le registre sécurité. Le comptage des effectifs au point de rassemblement utilise les listes de présence ou un outil adapté. La durée de chaque exercice est mesurée en incluant le comptage. A l'issue de l'exercice, un commentaire succinct est effectué sur chaque point de rassemblement et des améliorations sont apportées en cas de besoin.

En dehors des tests d'évacuation incendie, aucune autre procédure n'a été définie et n'est testée pour faire face à d'autre situation de crise.

En cas de panne informatique, de rupture d'approvisionnement, de défaillance logistique, etc., l'entreprise mise sur la réactivité du personnel pour prévenir les clients impactés, trouver un dépannage providentiel, redistribuer les plans transport, etc. et limiter ainsi les impacts.