Publicité en cours de chargement...
La nécessaire culture du risque
Par exemple, selon Olivier Sibony, le retard dans les prises de décision des pouvoirs publics – de tous les pays d’ailleurs – s’analyse sous l’angle des biais dans les prises de décision : lanceurs d’alertes inaudibles, pas de crise semblable en Europe du vivant de la plupart de ses dirigeants, etc. À ce sujet, voir les excellentes vidéos du la chaîne Xerfi Canal (1) . La position d’Olivier Sibony sur la question est d’ailleurs plutôt consensuelle.
À l’inverse, Alain Bauer est beaucoup plus dur dans son analyse envers les décideurs, affirmant que, comme le dispositif mis en place dans les mandatures précédentes (stocks de vaccins et de masques) n’avait (malheureusement ou heureusement, c’est selon) pas servi, les comptables ont pris le pouvoir sur les stratèges, affirmant que le coût du maintien était exorbitant au regard du risque couvert (nul selon eux puisqu’il ne s’était jamais produit). Voir à ce sujet son excellente intervention ici.
Mais on peut avoir à ce propos une autre analyse, un autre angle de vue, en l’occurrence celui de la culture du risque – ou plutôt, dans le cas présent, de l’absence de cette culture. Dans un monde parfait, toute organisation (État, entreprise, etc.) doit disposer d’une cartographie des risques encourus ainsi que d’un plan de traitement de ces derniers (réduction, transfert, évitement ou acceptation) chiffré, étalé dans le temps, etc. Avoir identifié un risque ne signifie d’ailleurs nullement qu’il faudra le réduire : le big boss en chef peut très bien décider, à l’aune des habituels paramètres, tels la probabilité et l’impact, ou tout simplement en fonction de considérations stratégiques qui ne regardent que lui, de le passer en risque accepté.
Une telle décision ne conduit d’ailleurs pas à effacer la ligne de ce risque dans le tableau général, mais à positionner la décision « Acceptation » horodatée et imputée à celui qui l’a prise. Mais la présence d’une « madame » ou d’un « monsieur » Risque (MMR) est alors nécessaire dans l’organisation : le fait que les comptables ou les financiers prennent le pouvoir sur les directions métiers est révélateur, justement, de l’absence d’un tel référent. A contrario, sa présence est un garde-fou efficace : faites l’expérience de mettre un nom dans la colonne « Propriétaire du risque » d’un risque passé en statut « Accepté » et communiquez très largement en interne ce tableau, vous verrez le résultat. Étonnamment, on trouve pas mal de gens qui se targuent d’avoir fait économiser des sous à la boutique, un peu moins qui acceptent de mettre leur tête sur un billot virtuel de ce genre.
Ce type de fonctionnement a d’ailleurs le mérite de dépassionner les débats : après tout, à madame ou monsieur Risque, peu lui chaut que le décideur (qui accepte de facto de devenir le propriétaire du risque, j’insiste) soit le DAF, le DRH, le directeur de la Business Unit ou autre : il lui faut juste un nom. Évidemment, MMR ne doit surtout pas rentrer dans le fond des risques identifiés : elle (il) est le seul à disposer de cette compétence d’analyse, et il n’est pas question d’effacer une ligne au prétexte que cela pique les yeux d’un décideur.
Du reste, cette incitation à établir son portefeuille de risques n’est rien d’autre que ce que demande le RGPD (pour les risques relatifs aux traitements de données personnelles), les commissaires aux comptes (pour les risques relatifs aux flux financiers), la LPM et la directive NIS (en partie pour les risques généraux SI, mais pas que), etc. Cette démarche n’est donc en rien novatrice ou révolutionnaire – elle est utilisée depuis des décennies dans l’aviation civile.
Ce qui est différent avec le Covid, c’est qu’il ne s’agit pas de cartographier des risques mineurs ou affectés à une fonction support (SI, logistique, etc.), mais de risques majeurs de classe « cygne noir ». Un cygne noir est, selon Nassim Nicholas Taleb, un risque à probabilité d’occurrence epsilonesque, mais à impact quasi infini : ce sont, par définition, les risques que l’on a du mal à identifier, coter et tenir à jour – et ce n’est pas pour rien que c’est justement le dispositif de lutte contre les infections à l’échelle de la population mondiale qui est passé à la trappe, il s’agit bien d’un risque de classe « cygne noir ».
Or, ces typologies des risques, du fait de leur classe et surtout de leur capacité à affecter toute l’organisation, ne peuvent pas être évaluées à l’échelon hiérarchique d’une direction métier ou fonctionnelle, mais nécessairement par la DG. Les établissements de santé ont tous des directions Qualité, qui toutes maintiennent une cartographie des risques, voire une cartographie « top level » : mais là il s’agit d’une troisième famille, les risques top level de classe « cygne noir ». La LPM et la directive NIS engagent à mener ce type de réflexion, mais MMR doit faire face à la question de l’attention du board sur ces problématiques. On en revient donc à une question de culture du risque.
Un risque cyber majeur, une pandémie correspondent à des risques de classe « cygne noir », aussi bien pour une organisation privée (entreprise) que pour l’État. À ce sujet, voir d’ailleurs le dernier rapport annuel [2] du World Economic Forum, qui place le risque cyber largement devant celui du terrorisme ; les affectations des budgets dans les pays du G7 sont peut-être à réviser.
Culture du risque, démarche Qualité, culture de la check-list dépendent en grande partie de la maturité des organisations, qui peuvent avoir décollé grâce à différents leviers. Si vous n’avez pas un seul avion de ligne qui décolle sans que tous les éléments de la check-list de décollage aient été balayés, c’est certainement parce que le pilote est dans l’avion.
[1] https://www.youtube.com/channel/UClLFPD1pu0nVTR_Y8NCpXJQ
[2] http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf
Avez-vous apprécié ce contenu ?
A lire également.

Élargissement de la feuille de route pour la performance des achats et de la logistique
06 mai 2025 - 08:10,
Actualité
- Damien Dubois, DSIHLe 28 avril, la feuille de route pour la performance des achats et de la logistique des établissements de santé et médico-sociaux a été étendue selon trois axes structurants : Pilotage, Produits de santé et criticité, Pratiques et processus d’achat.
![Illustration [SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !](/_next/image?url=https%3A%2F%2Fdsih.fr%2Fupld%2Farticles%2F2025%2F05%2Fcapture-d_ecran-2025-05-05-a-191502.png&w=3840&q=75)
[SANTEXPO 2025] Inscrivez-vous à la conférence inédite de Nicolas BOUZOU à Santexpo !
05 mai 2025 - 19:12,
Communiqué
- Axigate Link"Économie de la santé & transformation numérique : les enjeux et les leviers pour améliorer la qualité du système de santé" Le mercredi 21 mai à 15h00, la Division Axigate Link du Groupe EQUASENS, aura l'honneur d'accueillir Nicolas BOUZOU, économiste et essayiste reconnu, pour une conférence exclus...
![Illustration [SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !](/_next/image?url=https%3A%2F%2Fdsih.fr%2Fupld%2Farticles%2F2025%2F05%2F20230523_114151-min.jpg&w=3840&q=75)
[SANTEXPO 2025] Rendez-vous sur notre stand K48 pour découvrir nos innovations et des conférences inédites !
05 mai 2025 - 18:50,
Communiqué
- Axigate LinkÀ l’occasion de SantExpo, du 20 au 22 mai 2025, retrouvez les équipes de la Division Axigate Link du Groupe EQUASENS à SANTEXPO sur le Stand K48 pour échanger autour de vos enjeux métier, découvrir les innovations logicielles, et assister à une série de conférences exclusives animées avec nos client...

Téléconsultation de Territoire Assistée : une révolution saluée par les patients dans le Grand Est
02 mai 2025 - 14:47,
Actualité
- DSIHUne nouvelle ère pour l’accès aux soins voit le jour grâce à la Téléconsultation de Territoire Assistée, un modèle innovant testé avec succès dans la région Grand Est. Porté par e-Meuse santé en collaboration avec les URPS Pharmaciens et Infirmiers du Grand Est, ce dispositif allie technologie et ac...