La crise sanitaire, puis économique et probablement bientôt sociale provoquée par la Covid-19 démontre une évolution des risques devenus immatériels, systémiques et sans limite d’impact connue.

Le monde dans lequel nous vivons est indéniablement interconnecté. Même les plus sceptiques ne peuvent plus ignorer l’effet domino généré par certains risques et leurs impacts à tous les niveaux.

Cette crise nous appelle alors à réinterroger notre façon de penser et de structurer les risques, de définir et d’évaluer ces derniers au travers des méthodologies utilisées pour mettre à jour les cartographies des risques.

L’approche actuelle doit être holistique et le Risk Management systémique.

Changement de paradigme dans l’approche des risques

Historiquement, le Risk Management s’est appuyé pour évaluer les risques et leur probabilité d’occurence sur une liste d’évènements s’étant déjà réalisés ainsi que leurs statistiques de fréquence et l’étude de leurs impacts.

Cependant, dans un monde en pleine mutation, se baser uniquement sur le passé pour prédire l’avenir nous semble ne plus répondre plus aux objectifs de management des risques et ne permet pas, par ailleurs, de prendre en considération des risques émergents de plus en plus nombreux avec des impacts plus immatériels que ceux traditionnellement observés.

Le Risk Management doit muer, faire évoluer son approche et sa méthodologie afin d’être plus dynamique, plus proche de la stratégie, des nouveaux enjeux et des nouveaux risques.

Il doit notamment intégrer davantage les risques liés aux changements climatiques, aux réseaux sociaux, aux nouvelles attentes des parties prenantes que ce soit en matière d’organisation du travail, de leadership, de communication, de comportement des organisations ou encore de gouvernance et intégrer les facteurs humains et culturels dans sa cartographie des risques.

Idéalement, la sélection des risques devra prendre en considération, en sus des risques traditionnels et de leurs impacts financiers, les critères suivants :

  • Les valeurs de l’entreprise (éthique, sécurité, politique sociale, respect de l’environnement…)
  • La réputation et l’image de l’entreprise,
  • L’impact sur la stratégie d’entreprise,
  • Les conséquences en responsabilité civile et pénale des dirigeants

Comment faire évoluer la cartographie des risques ?

Précisons tout d’abord que l’appréhension des risques est personnelle/individuelle et culturelle.

Chacun de nous, selon son histoire, son éducation, sa personnalité, ses valeurs ou encore sa culture perçoit le risque d’une façon qui lui est propre. Là où certains auront une aversion aux risques ou à certains risques, d’autres y verrons une opportunité, une chance, une source de motivation.

Alors comment définir un niveau de risque partagé par toute l’organisation sans avoir défini au préalable le Risk Appetite (l’appétence aux risques) ?

La pédiode actuelle n’est-elle pas l’un des moments les plus propices à la réalisation de ce type d’exercice ?

1. Définition du Risk Appetite

La définition du Risk Appetite consiste à formaliser les attentes de la gouvernance en matière de prise de risques et de niveau de risque « acceptable » pour l’organisation. Il s’agit traditionnellement d’un débat entre les administrateurs et les dirigeants de l’organisation dont l’aboutissement mènera à la formalisation d’un document concernant les risques et opportunités souhaitables.

Ne pas fixer le seuil d’acceptation du risque peut conduire à ne pas prendre (ou accepter) assez de risques et donc à ne pas saisir des opportunités.

A l’inverse, le formaliser contribue à créer la confiance et la transparence.

2. Méthode qualitative, quantitative ou par scénario ? Bottom-up ou Top-down ?

Dans le cadre du processus méthodologique de mise à jour de la cartographie des risques, de nombreuses méthodes peuvent être utilisées. Quelle que soit celle que vous choisirez, les éléments de contexte interne et externes ainsi que l’écosystème environnant doivent impérativement être pris en considération dans votre analyse de risque.

  • En ce qui concerne le choix entre l’approche Bottom-up ou Top-down, nous vous recommandons plutôt une approche mixte plus systémique, permettant d’identifier des risques plus difficiles à identifier du fait de l’éloignement physique des collaborateurs.
  • Dans la méthode qualitative, résultant d’un travail de groupe, chaque entreprise défini son échelle de risque permettant de définir des priorités.
  • Dans l’approche quantitative, on utilise généralement des bases historiques pour évaluer d’une manière plus statistique les risques. Cela revient à se servir du « passé » pour prédire « l’avenir ».
  • Dans l’approche par scénario, l’impact est évalué non pas par rapport à l’intensité d’un risque spécifique mais par rapport à une corrélation des risques qui peuvent être d’une intensité faible ou moyenne mais dont le cumul dans une chaîne de causalité produira un évènement critique. Cette méthode nous semble plus adaptée aux risques actuels que la méthode quantitative dont le postulat de départ est la stabilité.
  • Dans l’approche « à dire d’expert », l’évaluation dans un domaine spécifique s’en remet à des experts du domaine. Cette approche peut s’avérer adaptée à l’évaluation de certains risques évolutifs comme les risques climatiques, les nouvelles attentes des parties prenantes, notamment les millenials… (transformations culturelles).

Dans un monde V.U.C.A. (Volatile, Incertain, Ambigüe et Complexe) comme celui dans lequel nous vivons actuellement, la méthode traditionnellement la plus utilisée, à savoir la méthode quantitative, sans apport d’autres méthodologies de type approche par scénario ou à dire d’expert nous semble avoir montré ses limites.

Les risques sont de plus en plus prospectifs, se baser uniquement sur le passé pour prédire l’avenir ne présente-t-il pas alors de nombreuses failles ?

3. Contexte interne et externe

Dans un monde interconnecté, il devient difficile de traiter les risques de façon indépendante. Le contexte externe influencera les évènements internes et vice et versa. Il convient donc de prendre en considération les deux aspects.

  • En ce qui concerne les éléments de contexte externes, il conviendra d’intégrer notamment les facteurs économiques et sociaux, les attentes des parties prenantes, les évolutions règlementaires…
  • En ce qui concerne les éléments de contexte internes, la vision, la mission, les valeurs, la notion de sens ainsi que la stratégie, les objectifs, la gouvernance, les modes de management et le leadership devront être étudiés.

Dans cette période d’incertitude, comme souligné par la nouvelle norme ISO 31000 : 2018 ainsi que le nouveau COSO ERM, une attention toute particulière doit se porter sur les risques RH ainsi qu’une meilleure intégration des facteurs humains et culturels dont le leadership.

Il s’agit donc d’accentuer la place de l’humain dans la construction du dispositif de maîtrise des risques en intégrant les facteurs humains et culturels comme source de risques.

  • Comment impulser une nouvelle dynamique, trouver un nouvel alignement et redonner du sens afin de relancer durablement les activités après le confinement ?
  • Comment ressouder le collectif et renforcer la confiance en capitalisant sur les nouvelles attentes et les nouvelles pratiques pour une transformation durable de l’organisation du travail ?

Autant de questions qui devraient trouver leur place dans les nouvelles cartographies des risques.

Sabine DRUJON, Président de la société de conseil Values & Sense.

Expert en management des risques (CEFAR), spécialiste des évolutions sociétales et des transformations culturelles (consultant certifié), nous nous tenons à votre disposition si vous avez besoin de « bras supplémentaires » pour la mise à jour de vos cartographies des risques.