Déjouer les risques : idées reçues et vraies pistes

Cet ouvrage est un appel à la discussion, à la vérification, à la garantie que les approches et les méthodes déployées par les organisations se justifient par leur pertinence et non par habitus ou réflexe de conformité.

Nous abordons l’enjeu d’analyse des risques avec la question à nos yeux fondamentale : « Pour qui le faisons-nous? »

Cette interrogation met en lumière la diversité des parties prenantes impliquées dans ce processus, parmi lesquelles les commissaires aux comptes, les actionnaires, les assureurs, les clients et les fournisseurs.

Cette reconnaissance de la pluralité des acteurs touchés par la gestion des risques est cruciale pour orienter efficacement cette démarche.

Idée reçue no 1

Une première idée reçue fréquemment rencontrée dans le domaine de la gestion des risques est la croyance que l’identification des risques constitue la première étape essentielle.

Identifier les risques est un exercice d’imagination et de projection.

Commencer par identifier des risques revient donc à rédiger de longues listes de situations critiques possibles souvent directement inspirées d’événements réellement survenus au sein d’autres organisations. Cette approche peut cependant se révéler inefficace.

Ce fantastique effort destiné à élaborer un « univers des risques » le plus exhaustif possible n’apportera que peu de bénéfices puisque l’identification n’est rien sans actions correctrices.

Disposer d’une liste à la Prévert

sans avoir les moyens de corriger

 les potentielles défaillances

n’a alors aucun intérêt.

Idée reçue no 2

Une deuxième idée reçue remet en question l’approche traditionnelle de classification des risques par typologie.

Souvent utilisée dans la littérature et les pratiques, cette approche catégorielle analyse les risques indépendamment de leur influence mutuelle.

Bien que cette approche ait l’immense vertu de l’ergonomie cognitive si précieuse pour des décideurs ne disposant que de peu de temps, elle ignore cependant les relations causales entre certains risques, limitant ainsi une vision globale et complexe des scénarios possibles.

Idée reçue no 3

La troisième idée reçue concerne l’évaluation des risques à travers le couple gravité/fréquence.

Bien que largement adoptée avec des représentations visuelles telles que les diagrammes de Farmer ou les cartographies de risques, cette approche peut devenir obsolète dans un monde en constante évolution.

L’utilisation continue de la probabilité pour évaluer les risques, malgré les crises mondiales récentes qualifiées d’imprédictibles (Fukushima, Tsunami de 2004, subprimes, COVID-19, etc.) qui en contredisent la pertinence, peut être comparée à la persévérance à conduire sur une autoroute de plus en plus chaotique en se contentant de regarder dans les rétroviseurs.

En outre, si le recours au concept de gravité a l’avantage du pragmatisme et de la simplicité, il montre nombre de faiblesses.

Il demeure en effet tributaire des expériences passées utilisées en références, et se montre irrémédiablement réductible au seul coût financier, et cela, d’un seul risque artificiellement donné.

Idée reçue no 4

La quatrième idée reçue met en évidence l’importance de la structure organisationnelle du système de gestion des risques.

Bien que l’approche centralisée puisse sembler pertinente pour de nombreux aspects, elle présente des fragilités potentielles qui pourraient nuire à l’organisation.

La question cruciale réside dans la façon dont cette organisation structurelle influence les fonctions du responsable du système de gestion des risques.

Idée reçue no 5

Enfin, la cinquième idée reçue concerne la perception de la gestion des risques comme une discipline distincte.

Cette division temporelle des activités de gestion des risques, de gestion de crise et de gestion de la continuité d’activité conduit souvent à une segmentation des approches et des méthodologies.

Cette fragmentation peut entraîner une incohérence dans la production d’informations, entravant ainsi la capacité des décideurs à articuler des projections cohérentes.

En conclusion, la remise en question de ces idées reçues offre une perspective critique sur la gestion des risques, encourageant une approche plus holistique et adaptative pour répondre aux défis complexes et dynamiques de notre environnement actuel.

La reconnaissance de la diversité des parties prenantes, la considération des relations causales entre les risques, l’adaptation des méthodes d’évaluation et la réflexion sur la structure organisationnelle sont autant d’aspects clés pour une gestion des risques efficace et résiliente.

La gestion de risques doit évoluer pour faire face aux défis du XXIe siècle. Les méthodologies classiques ne suffisent plus dans un monde ultra-connecté.

Plutôt que de privilégier de nouvelles approches méthodologiques, l’accent est mis sur une prise de conscience et un changement d’approche.

Il est essentiel d’intégrer les trois disciplines liées aux turbulences – gestion des risques (avant), gestion de crise (pendant) et gestion de la continuité d’activité (après) – et de confier ces fonctions à des profils dotés des qualités personnelles nécessaires.

La qualité de la gestion des turbulences repose sur les compétences du gestionnaire permettant à l’organisation d’anticiper des situations potentielles souvent négligées.

Article rédigé par Raphaël de Vittoris

Raphaël de Vittoris, directeur de la gestion des risques, de la gestion de crise, du contrôle interne, du progrès et de la cyberdéfense de l’entreprise Symbio. Il est professeur et chercheur associé à l’IAE Clermont Auvergne et le fondateur d’Antifragile.fr

Pour en savoir plus : https://antifragile.fr/

COMPLÉMENTS

6 POINTS À RETENIR POUR ÉVOLUER DANS LA GESTION DU RIQUES

1. Rejeter le recours au diagramme gravité/fréquence pour comparer les risques.

2. Cultiver l’ergonomie cognitive de son approche afin de permettre aux instances de gouvernance de saisir la portée des enjeux.

3. Éliminer toute notion probabiliste dès lors qu’on parle des risques.

4. Développer une analyse causale des risques identifiant comment des risques « parents » conduisent à l’expression de risques « enfants ».

5. Préférer une organisation en réseau bénéficiant des capacités imaginatives et de transformations de divers acteurs clés autonomes plutôt qu’une structure centrale top-down traditionnelle.

6. Sélectionner le gestionnaire des risques sur la base de sa capacité de transformation, et non pas en sa qualité de proche des instances de gouvernance responsable de décrire des diagrammes et d’animer des plans d’action.

PUBLICATIONS

De VITTORIS, Raphaël, CROCS, Sophiw, Déjouer les risques Idées reçues et vraies pistes pour les organisations publiques et privées, Dunod, 2024

https://www.dunod.com/entreprise-et-economie/dejouer-risques-idees-recues-et-vraies-pistes-pour-organisations-publiques-et

De VITTORIS, Raphaël, Surmonter les crises Idées reçues et vraies pistes pour les entreprises, Dunod, 202, 128 pages.

De VITTORIS, Raphaël, MONGUILLON, Loïc, Par-delà la résilience et l’antifragilité : l’entreprise du XXIe