Nous observons dans les entreprises un phénomène paradoxal en relation avec le traitement des risques. D‘une part de plus en plus de travaux y sont faits pour les maîtriser et les gérer. D’autre part il est de plus en plus difficile pour les dirigeants d’avoir une vision fiable et globale des risques critiques de leur entreprise qui leur permettrait de prendre les décisions les meilleures possibles compte tenu des incertitudes auxquelles ils sont exposés.
Une exposition croissante des entreprises aux risques.
Les risques font partie intégrante de l’activité des entreprises. Entreprendre consiste à innover, à transformer l'existant qu’il soit économique, sociétal ou social et de ce fait toute entreprise est soumise à des incertitudes.
Les entreprises sont toutefois de plus en plus exposées aux risques. Les facteurs de risques peuvent être exogènes (mondialisation de l’économie, développement rapide des technologies digitales, changement climatique, intolérance croissante d’une grande partie de la population vis-à-vis des risques, multiplication des réglementations, etc.) ou endogènes, notamment sous l’effet de la complexité croissante de leurs organisations et mode de fonctionnement. Ces phénomènes sont bien étudiés et connus.
La mise en œuvre de multiples dispositifs de maîtrise des risques.
Pour répondre aux risques qui les menacent, les entreprises mettent en place des démarches, procédures et outils de gestion des risques. Ceux-ci sont fréquemment imposés soit par les législateurs et régulateurs soit par des parties prenantes externes (clients, partenaires) qui exigent une gestion de risques spécifique. Mais ces démarches sont également largement promues volontairement par les dirigeants dans le but de limiter l’exposition de l’entreprise aux risques et d’en réduire ainsi la fragilité. Ces différentes initiatives sont malheureusement rarement cordonnées et cohérentes les unes avec les autres dans leurs objectifs comme dans leurs logiques. Cela crée des incohérences, voire des conflits, ainsi qu’une gestion incomplète des risques.
Ces risques d’incohérence, de conflit, d’incomplétude sont renforcés par le nombre et la variété des acteurs et entités de l’entreprises qui sont engagés dans le traitement des risques : service juridique, département assurance, sécurité industrielle, direction financière, DRH, direction de la qualité, direction de la communication, gestionnaires de crise, etc. Ces entités ont naturellement tendance à se concentrer sur leur champ de responsabilité et à suivre leur propre logique. Or la fonction globale de management des risques s’intéressant à la totalité des risques existe rarement.
La nécessaire prise en compte des éléments “illogiques” et “irrationnels”.
La multiplication des risques et l’insuffisance des dispositifs mis en place sont des problèmes qui peuvent être efficacement et correctement résolus par les dirigeants de l’entreprise avec des actions managériales et structurelles. Mais toutes ces actions, ces dispositifs, procédures et outils destinés à améliorer l’identification, l’évaluation, la prévention et plus globalement la gestion des risques se heurtent à un obstacle majeur : l’existence de biais cognitifs, de stratégies d’acteurs, d’attitudes et comportements issus de la culture de l’entreprise.
Ces différents éléments introduisent une forte dose d’”illogisme”, d’”irrationalité” dans la gestion des risques. Tous les travaux de recherche récents s’accordent d’ailleurs sur la nécessité d’inclure des facteurs psychologiques dans la modélisation de l’incertitude et du risque. Il s’agit d’une tâche complexe, car ces biais cognitifs, ces éléments illogiques et irrationnels peuvent être profondément ancrés dans chaque individu et dans la culture de l’entreprise.
Être conscient de cette composante irrationnelle, illogique et l’accepter permet d’en réduire les effets négatifs et d’améliorer fortement la qualité de la gestion des risques. Nous mentionnons ci-dessous quelques-uns de ces biais cognitifs, de ces éléments irrationnels que l’on retrouve fréquemment dans le domaine des risques, mais sans vouloir prétendre à l’exhaustivité, car la liste est longue.
L’imposture du ROI.
Il est difficile de mesurer de manière déterministe le ROI de la gestion de risques, sur une seule activité ou sur une activité limitée dans le temps. La gestion des risques fait appel à des probabilités, donc à des grands nombres ou des longues périodes. Dans une entreprise, un participant à un séminaire sur la gestion des risques affirmait que la démarche était intéressante, mais qu’il ne savait quoi répondre à son manager qui lui disait : “la gestion de risques, je sais ce que cela me coûte en temps et en mesures de traitement, mais je ne sais pas ce que cela me rapporte”.
La difficulté à estimer les probabilités.
Il n’est pas facile de quantifier des probabilités d’événements isolés dans le temps et pour lesquels on ne dispose donc pas d’historique. Certains sont donc tentés de raisonner en termes qualitatifs des probabilités faibles, moyennes ou fortes. Or nous constatons dans des groupes de personnes de différents métiers des variations de 1% à plus de 30% pour une quantification de “probabilité faible”.
Le refus de responsabilité.
Dans la gestion des risques, le management doit avoir un rôle de mutualisation des risques supportés par leurs collaborateurs. Mais il est fréquent que des dirigeants demandent à leurs collaborateurs de prendre en charge la totalité des risques liés à leurs activités, leurs projets, afin de s’en décharger. Or certains risques qui apparaissent insupportables au niveau d’un projet pourraient parfaitement être assumés au niveau du portefeuille de projets gérés par le management.
La relation à la peur.
La peur est omniprésente dans les risques, avec toute la palette d’attitudes et de comportements irrationnels qui l’accompagne. Ainsi, la réponse d’un dirigeant à qui nous faisions remarquer que la prime d’assurance qu’il payer pour un risque de type “la foudre détruit l’enrobée de la chaussée de votre usine” était supérieure de 10% au plafond d’indemnisation nous répondit à notre grande stupéfaction que “c’est effectivement un peu cher, mais comme cela je peux dormir tranquille”.
La confusion entre prédiction et risque.
Un dirigeant avec lequel nous travaillions avait rejeté notre suggestion de se couvrir par rapport à la hausse d’une matière première ayant un fort impact sur les coûts de production sur une affaire à marge limitée. Il nous fit remarquer après l’affaire qu’il avait eu raison de prendre cette décision puisque le cours de la matière première concernée avait baissé !
Le rêve d’une gestion collective des risques.
Les positions, les intérêts vis-à-vis des risques varient souvent fortement selon les individus et groupes. Les différentes parties prenantes ont fréquemment des intérêts différents, voire opposés. Un même événement peut être un risque pour l’une et une opportunité pour l’autre. La croyance en un intérêt spontanément partagé, y compris avec les acteurs externes (fournisseurs, partenaires) est une solution de facilité, qui tend à éviter de mener les nécessaires investigations globales et contradictoires.
L’effet de la culture et des systèmes de management de l’entreprise.
De par ses valeurs et ses croyances partagées, la culture de l’entreprise crée des biais cognitifs dans la relation au risque des équipes. Une culture d’entreprise qui affirme l’audace, la prise d’initiative comme valeur pourra naturellement favoriser la prise de risques, pouvant même dans certains cas conduire au déni du risque. Des systèmes de management qui privilégient les résultats à court terme, accordent une confiance excessive aux procédures, valorisent les résultats sans bien prendre en compte les risques pris… peuvent également empêcher une gestion optimale des risques.
Tout ou rien.
« Pourquoi mener des actions qui n’auront qu’un effet limité sur les risques ? » est un biais que nous rencontrons chez des décideurs. Par exemple « Il ne sert à rien de mettre en place des protections électroniques contre des intrusions dans un bâtiment. Elles n’empêcheront pas des modes d’intrusion très sophistiqués. ». La deuxième partie de l’affirmation est juste : rares sont les moyens de suppression totale du risque d’intrusion. Toutefois des défenses électroniques empêcheront des intrus occasionnels ou opportunistes.
L’analyse post mortem.
Nous observons fréquemment des analyses détaillées, le plus souvent empreintes de critique ou d’ironie, sur des imprévus malheureux dans la vie de l’entreprise. Par exemple l’échec commercial d’un lancement de produit, alors même que des analyses poussées du marché ont été effectuées. Ces comportements campent sur la croyance suivante : « çà s’est produit, donc c’était prévisible,.. et il y a un fautif ». Cette croyance fort répandue est dangereuse : elle laisse supposer qu’il est possible et obligatoire pour un décideur d’avoir supprimé toute incertitude avant de prendre une décision. Or la réduction totale de l’incertitude est impossible dans le monde vivant et quand il est possible de la réduire, cela a un coût qui n’est pas toujours justifié. Une telle relation à l’incertitude peut par ailleurs inhiber l’audace nécessaire à l’entrepreneur.
La superstition.
A l’opposé du déni d’incertitude nous observons le déni de responsabilité chez ceux qui s’opposent au traitement des risques, en avançant une apparente confiance sur leur capacité à traiter les situations difficiles qui peuvent se présenter, quelles qu’elles soient. Cette attitude est parfois renforcée par la crainte que trop penser à une situation contribue à la provoquer. Ceci peut être vrai selon le mécanisme cognitif et comportemental bien connu des prophéties auto réalisatrices ; par exemple trop penser qu’une négociation avec des partenaires sociaux à laquelle on participe va mal se passer augmente les chances qu’elle se passe mal. Mais ce mécanisme est absent des phénomènes dans lesquels on n’intervient pas de manière significative, comme par exemple l’évolution des cours des matières premières.
Doter les dirigeants d'un dispositif global de pilotage dans une entreprise acculturée au risque.
Le renforcement de la capacité à évaluer et gérer les risques globalement, ainsi qu’une plus grande implication des comités de direction sont donc nécessaires, voire indispensables, dans la plupart des entreprises. Les décisions et les actions concernant les risques sont en effet déterminantes pour les performances, le fonctionnement et la pérennité des entreprises.
De meilleures décisions et des actions plus efficaces permettraient évidemment de réduire les conséquences négatives des risques. Mais parallèlement à ce bénéfice défensif, elles auraient également des bénéfices offensifs. Une politique de risque performante pourrait favoriser des initiatives stratégiques judicieuses, soutenir l’innovation et faciliter les changements et transformations à réaliser.
Notre expérience montre que deux types d’initiatives menées conjointement entraînent une forte amélioration de la maîtrise des risques.
La mise en place rapidement d’un dispositif efficace de pilotage des risques, en particulier des risques critiques, à destination du comité de direction.
L’acculturation des collaborateurs de l’entreprise aux risques et à l’incertitude, afin notamment de traiter les éléments illogiques et irrationnels et de tirer profit de l’intelligence collective de l’entreprise.
Jean-Louis GALANO et Benoît GROUAR
Comments