La nécessaire culture du risque

Par exemple, selon Olivier Sibony, le retard dans les prises de décision des pouvoirs publics – de tous les pays d’ailleurs – s’analyse sous l’angle des biais dans les prises de décision : lanceurs d’alertes inaudibles, pas de crise semblable en Europe du vivant de la plupart de ses dirigeants, etc. À ce sujet, voir les excellentes vidéos du la chaîne Xerfi Canal (1) . La position d’Olivier Sibony sur la question est d’ailleurs plutôt consensuelle.

À l’inverse, Alain Bauer est beaucoup plus dur dans son analyse envers les décideurs, affirmant que, comme le dispositif mis en place dans les mandatures précédentes (stocks de vaccins et de masques) n’avait (malheureusement ou heureusement, c’est selon) pas servi, les comptables ont pris le pouvoir sur les stratèges, affirmant que le coût du maintien était exorbitant au regard du risque couvert (nul selon eux puisqu’il ne s’était jamais produit). Voir à ce sujet son excellente intervention ici.

Mais on peut avoir à ce propos une autre analyse, un autre angle de vue, en l’occurrence celui de la culture du risque – ou plutôt, dans le cas présent, de l’absence de cette culture. Dans un monde parfait, toute organisation (État, entreprise, etc.) doit disposer d’une cartographie des risques encourus ainsi que d’un plan de traitement de ces derniers (réduction, transfert, évitement ou acceptation) chiffré, étalé dans le temps, etc. Avoir identifié un risque ne signifie d’ailleurs nullement qu’il faudra le réduire : le big boss en chef peut très bien décider, à l’aune des habituels paramètres, tels la probabilité et l’impact, ou tout simplement en fonction de considérations stratégiques qui ne regardent que lui, de le passer en risque accepté.

Une telle décision ne conduit d’ailleurs pas à effacer la ligne de ce risque dans le tableau général, mais à positionner la décision « Acceptation » horodatée et imputée à celui qui l’a prise. Mais la présence d’une « madame » ou d’un « monsieur » Risque (MMR) est alors nécessaire dans l’organisation : le fait que les comptables ou les financiers prennent le pouvoir sur les directions métiers est révélateur, justement, de l’absence d’un tel référent. A contrario, sa présence est un garde-fou efficace : faites l’expérience de mettre un nom dans la colonne « Propriétaire du risque » d’un risque passé en statut « Accepté » et communiquez très largement en interne ce tableau, vous verrez le résultat. Étonnamment, on trouve pas mal de gens qui se targuent d’avoir fait économiser des sous à la boutique, un peu moins qui acceptent de mettre leur tête sur un billot virtuel de ce genre.

Ce type de fonctionnement a d’ailleurs le mérite de dépassionner les débats : après tout, à madame ou monsieur Risque, peu lui chaut que le décideur (qui accepte de facto de devenir le propriétaire du risque, j’insiste) soit le DAF, le DRH, le directeur de la Business Unit ou autre : il lui faut juste un nom. Évidemment, MMR ne doit surtout pas rentrer dans le fond des risques identifiés : elle (il) est le seul à disposer de cette compétence d’analyse, et il n’est pas question d’effacer une ligne au prétexte que cela pique les yeux d’un décideur.

Du reste, cette incitation à établir son portefeuille de risques n’est rien d’autre que ce que demande le RGPD (pour les risques relatifs aux traitements de données personnelles), les commissaires aux comptes (pour les risques relatifs aux flux financiers), la LPM et la directive NIS (en partie pour les risques généraux SI, mais pas que), etc. Cette démarche n’est donc en rien novatrice ou révolutionnaire – elle est utilisée depuis des décennies dans l’aviation civile.

Ce qui est différent avec le Covid, c’est qu’il ne s’agit pas de cartographier des risques mineurs ou affectés à une fonction support (SI, logistique, etc.), mais de risques majeurs de classe « cygne noir ». Un cygne noir est, selon Nassim Nicholas Taleb, un risque à probabilité d’occurrence epsilonesque, mais à impact quasi infini : ce sont, par définition, les risques que l’on a du mal à identifier, coter et tenir à jour – et ce n’est pas pour rien que c’est justement le dispositif de lutte contre les infections à l’échelle de la population mondiale qui est passé à la trappe, il s’agit bien d’un risque de classe « cygne noir ».

Or, ces typologies des risques, du fait de leur classe et surtout de leur capacité à affecter toute l’organisation, ne peuvent pas être évaluées à l’échelon hiérarchique d’une direction métier ou fonctionnelle, mais nécessairement par la DG. Les établissements de santé ont tous des directions Qualité, qui toutes maintiennent une cartographie des risques, voire une cartographie « top level » : mais là il s’agit d’une troisième famille, les risques top level de classe « cygne noir ». La LPM et la directive NIS engagent à mener ce type de réflexion, mais MMR doit faire face à la question de l’attention du board sur ces problématiques. On en revient donc à une question de culture du risque.
Un risque cyber majeur, une pandémie correspondent à des risques de classe « cygne noir », aussi bien pour une organisation privée (entreprise) que pour l’État. À ce sujet, voir d’ailleurs le dernier rapport annuel [2] du World Economic Forum, qui place le risque cyber largement devant celui du terrorisme ; les affectations des budgets dans les pays du G7 sont peut-être à réviser.

Culture du risque, démarche Qualité, culture de la check-list dépendent en grande partie de la maturité des organisations, qui peuvent avoir décollé grâce à différents leviers. Si vous n’avez pas un seul avion de ligne qui décolle sans que tous les éléments de la check-list de décollage aient été balayés, c’est certainement parce que le pilote est dans l’avion.

[1] https://www.youtube.com/channel/UClLFPD1pu0nVTR_Y8NCpXJQ 

[2] http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf