Publicité en cours de chargement...
La nécessaire culture du risque
Par exemple, selon Olivier Sibony, le retard dans les prises de décision des pouvoirs publics – de tous les pays d’ailleurs – s’analyse sous l’angle des biais dans les prises de décision : lanceurs d’alertes inaudibles, pas de crise semblable en Europe du vivant de la plupart de ses dirigeants, etc. À ce sujet, voir les excellentes vidéos du la chaîne Xerfi Canal (1) . La position d’Olivier Sibony sur la question est d’ailleurs plutôt consensuelle.
À l’inverse, Alain Bauer est beaucoup plus dur dans son analyse envers les décideurs, affirmant que, comme le dispositif mis en place dans les mandatures précédentes (stocks de vaccins et de masques) n’avait (malheureusement ou heureusement, c’est selon) pas servi, les comptables ont pris le pouvoir sur les stratèges, affirmant que le coût du maintien était exorbitant au regard du risque couvert (nul selon eux puisqu’il ne s’était jamais produit). Voir à ce sujet son excellente intervention ici.
Mais on peut avoir à ce propos une autre analyse, un autre angle de vue, en l’occurrence celui de la culture du risque – ou plutôt, dans le cas présent, de l’absence de cette culture. Dans un monde parfait, toute organisation (État, entreprise, etc.) doit disposer d’une cartographie des risques encourus ainsi que d’un plan de traitement de ces derniers (réduction, transfert, évitement ou acceptation) chiffré, étalé dans le temps, etc. Avoir identifié un risque ne signifie d’ailleurs nullement qu’il faudra le réduire : le big boss en chef peut très bien décider, à l’aune des habituels paramètres, tels la probabilité et l’impact, ou tout simplement en fonction de considérations stratégiques qui ne regardent que lui, de le passer en risque accepté.
Une telle décision ne conduit d’ailleurs pas à effacer la ligne de ce risque dans le tableau général, mais à positionner la décision « Acceptation » horodatée et imputée à celui qui l’a prise. Mais la présence d’une « madame » ou d’un « monsieur » Risque (MMR) est alors nécessaire dans l’organisation : le fait que les comptables ou les financiers prennent le pouvoir sur les directions métiers est révélateur, justement, de l’absence d’un tel référent. A contrario, sa présence est un garde-fou efficace : faites l’expérience de mettre un nom dans la colonne « Propriétaire du risque » d’un risque passé en statut « Accepté » et communiquez très largement en interne ce tableau, vous verrez le résultat. Étonnamment, on trouve pas mal de gens qui se targuent d’avoir fait économiser des sous à la boutique, un peu moins qui acceptent de mettre leur tête sur un billot virtuel de ce genre.
Ce type de fonctionnement a d’ailleurs le mérite de dépassionner les débats : après tout, à madame ou monsieur Risque, peu lui chaut que le décideur (qui accepte de facto de devenir le propriétaire du risque, j’insiste) soit le DAF, le DRH, le directeur de la Business Unit ou autre : il lui faut juste un nom. Évidemment, MMR ne doit surtout pas rentrer dans le fond des risques identifiés : elle (il) est le seul à disposer de cette compétence d’analyse, et il n’est pas question d’effacer une ligne au prétexte que cela pique les yeux d’un décideur.
Du reste, cette incitation à établir son portefeuille de risques n’est rien d’autre que ce que demande le RGPD (pour les risques relatifs aux traitements de données personnelles), les commissaires aux comptes (pour les risques relatifs aux flux financiers), la LPM et la directive NIS (en partie pour les risques généraux SI, mais pas que), etc. Cette démarche n’est donc en rien novatrice ou révolutionnaire – elle est utilisée depuis des décennies dans l’aviation civile.
Ce qui est différent avec le Covid, c’est qu’il ne s’agit pas de cartographier des risques mineurs ou affectés à une fonction support (SI, logistique, etc.), mais de risques majeurs de classe « cygne noir ». Un cygne noir est, selon Nassim Nicholas Taleb, un risque à probabilité d’occurrence epsilonesque, mais à impact quasi infini : ce sont, par définition, les risques que l’on a du mal à identifier, coter et tenir à jour – et ce n’est pas pour rien que c’est justement le dispositif de lutte contre les infections à l’échelle de la population mondiale qui est passé à la trappe, il s’agit bien d’un risque de classe « cygne noir ».
Or, ces typologies des risques, du fait de leur classe et surtout de leur capacité à affecter toute l’organisation, ne peuvent pas être évaluées à l’échelon hiérarchique d’une direction métier ou fonctionnelle, mais nécessairement par la DG. Les établissements de santé ont tous des directions Qualité, qui toutes maintiennent une cartographie des risques, voire une cartographie « top level » : mais là il s’agit d’une troisième famille, les risques top level de classe « cygne noir ». La LPM et la directive NIS engagent à mener ce type de réflexion, mais MMR doit faire face à la question de l’attention du board sur ces problématiques. On en revient donc à une question de culture du risque.
Un risque cyber majeur, une pandémie correspondent à des risques de classe « cygne noir », aussi bien pour une organisation privée (entreprise) que pour l’État. À ce sujet, voir d’ailleurs le dernier rapport annuel [2] du World Economic Forum, qui place le risque cyber largement devant celui du terrorisme ; les affectations des budgets dans les pays du G7 sont peut-être à réviser.
Culture du risque, démarche Qualité, culture de la check-list dépendent en grande partie de la maturité des organisations, qui peuvent avoir décollé grâce à différents leviers. Si vous n’avez pas un seul avion de ligne qui décolle sans que tous les éléments de la check-list de décollage aient été balayés, c’est certainement parce que le pilote est dans l’avion.
[1] https://www.youtube.com/channel/UClLFPD1pu0nVTR_Y8NCpXJQ
[2] http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf
Avez-vous apprécié ce contenu ?
A lire également.

Marc Bertrand-Mapataud nommé directeur des ressources humaines de l’AP-HP
17 juin 2025 - 11:59,
Communiqué
- l’AP-HPNicolas Revel, directeur général de l’AP-HP, a nommé Marc Bertrand-Mapataud, directeur des ressources humaines de l’AP-HP, à compter du 16 juin 2025. Il succède ainsi à Vannessa Fage-Moreel, actuellement adjointe au directeur du groupe hospitalo-universitaire (GHU) AP-HP. Nord - Université Paris Cit...

Changer de solution SIH : méthode, engagement et vision d’usage pour réussir le déploiement
16 juin 2025 - 22:32,
Tribune
-Changer de DPI, de SIRH ou d’outil logistique n’est plus un simple projet technique. Dans un contexte hospitalier sous tension, réussir le changement et le déploiement d’une solution SIH impose une approche rigoureuse, coconstruite et profondément orientée utilisateurs. Objectiver les choix, sécuris...

Satelia® et Withings s’associent pour réinventer le suivi à distance des patients insuffisants cardiaques
11 juin 2025 - 17:22,
Communiqué
- Satelia® et WithingsSatelia®, leader de la télésurveillance de l’insuffisance cardiaque, et Withings, pionnier des objets connectés de santé, unissent leurs expertises pour améliorer le suivi à distance des patients insuffisants cardiaques. En intégrant la balance connectée Withings Body Pro dans le programme Satelia® ...

Partenariat Malt-Resah Un levier stratégique pour accéder à l’expertise freelance
09 juin 2025 - 20:54,
Actualité
- DSIH, Damien DuboisLe jeudi 5 juin, Malt et le Resah ont organisé un webinaire commun sur leur partenariat et les opportunités qu’il offre aux projets des adhérents du Resah, lors duquel Xavier Vallin, freelance engagé auprès d’établissements de santé, a fait part de son retour d’expérience.