Peut-on aller trop loin dans la gestion des risques? En fait, il s’agit d’une question étrange. Elle présuppose l’existence d’un effort idéal en matière de gestion des risques, et que le niveau correspondant peut être dépassé. Je ne suis sûr ni de l’un ni de l’autre. Je présente ici la gestion des risques comme étant simplement l’ensemble des actions coordonnées pour diriger et maintenir une organisation par rapport au risque. Peut-il y avoir un niveau idéal de gestion des risques ? Est-il possible de coordonner trop de choses ? L’excès est-il possible ? Donc : peut-il y avoir de l’excès dans la gestion des risques ? | Dans cette contribution, j’exprime ma propre opinion et non celle d’une quelconque organisation. |
Contenu
Une réponse possible
Une réponse possible à cette question est la suivante. « Lorsqu’il y a trop de coordination et d’action, il ne s’agit plus de gestion des risques ».
Au milieu du 18e siècle (e ), Samuel Johnson a déclaré ce qui suit. « Les règles peuvent éviter les défauts, mais ne peuvent jamais conférer de beauté. Et la prudence préserve la vie, mais ne la rend pas souvent heureuse. »
En tant que gestionnaire des risques de l’organisation, où se situe, selon vous, la norme ISO 31000 ? (La norme ISO pour la gestion des risques.) Quelque part entre la perfection et la beauté, entre la sécurité et le bonheur ?
Le général Chuck Yeager avait peut-être un bon point de vue sur la question :
« On ne se concentre pas sur les risques. On se concentre sur les résultats. Aucun risque n’est trop grand pour empêcher le travail nécessaire d’être accompli. »
« N’attendez jamais les ennuis. »
« J’ai toujours eu peur de mourir. C’est ma peur qui m’a fait apprendre tout ce que je pouvais sur mon avion et mon équipement d’urgence, et qui m’a fait voler dans le respect de ma machine et toujours en alerte dans le cockpit ».
Les mots clés sont les suivants :
Résultats ; Nécessaire ; Problèmes ; Peur ; Équipement d’urgence ; Respectueux ; Alerte
Mots clés
Lorsque je cherche moi-même des mots-clés dans la gestion des risques par le biais de la pensée associative, j’obtiens les mots suivants :
Lean ; résistance (résilience) ; réputation ; beauté ; santé ; coût-bénéfice ; anticipation et incertitude ; équilibre entre la gestion des risques et la gestion générale ; aversion pour le risque ; appétit pour le risque ; progrès ; scénario le plus défavorable ; temps et ressources ; Pareto.
Lean et incertitude
La base du « Lean » est de faire fonctionner un processus de manière efficace, puis de le rendre efficient. Cette séquence est importante. Le problème est que les gens pensent parfois que « efficace » signifie la même chose que « complet ». Ce faisant, ils rendent le processus désespérément complexe.
Dans un monde aussi incertain, imprévisible et changeant que le nôtre, la capacité à s’adapter, à évoluer, requiert de la résistance (résilience). Celle-ci est affaiblie dans la culture du travail « allégé ». Ce type de raisonnement peut avoir un impact sur l’impression de « santé » à court terme, mais il n’est pas durable. Dans les systèmes biologiques et les systèmes d’entreprise, la redondance et l’adaptation évolutive sont des caractéristiques de la résilience et de la durabilité. En revanche, les processus élaborés selon la méthode « Lean » sont souvent fragiles et sources de risques.
Trop de normes ?
En outre, il pourrait y avoir trop de normes différentes. Chacune susceptible d’être interprétée différemment par des personnes bienveillantes disposant de ressources limitées. En fin de compte, chacun doit ramer avec les rames dont il dispose, dans le temps qui lui est imparti. Certaines tâches peuvent être automatisées, comme certains types d’analyse des risques. Mais en fin de compte, il n’y a pas de raccourci pour réaliser le processus de gestion des risques. En outre, lorsque le concept de risque de réputation fait son apparition, les choses peuvent devenir difficiles. Après tout, la réputation est triple : 1) la réputation que l’on acquiert par le travail, 2) la réputation que l’on acquiert par le statut social de sa position, 3) la réputation que l’on acquiert par son pedigree. Mais nous n’allons pas nous étendre sur ce sujet.
Les normes sont également source de beauté. La beauté vient de l’intérieur, et la gestion conventionnelle des risques ou la mise en œuvre littérale d’une norme créent souvent une fausse propreté. Il s’avère souvent qu’il s’agit de maquillage. La préservation de la beauté (tant pour les systèmes d’entreprise que pour les systèmes biologiques) exige un certain degré de santé. C’est là qu’il convient de se concentrer. Mais, comme pour les causes du risque, il s’agit d’un niveau plus profond que le champ d’application de la gestion du risque conventionnelle ou de la gestion générale. Bien que les deux servent à traiter les symptômes, sans une compréhension du lien entre la cause et l’effet, des effets secondaires inattendus se produiront. Et la gestion des risques et la gestion générale deviendront une source de risque.
La santé comme analogie
En fait, la santé est une bonne analogie. Certains problèmes de santé peuvent être traités. Mais pour d’autres, les effets secondaires peuvent être pires que la maladie. Dans de telles circonstances, il peut être préférable de traiter les symptômes plutôt que la maladie. Il est important d’examiner la santé organisationnelle. Et de faire en sorte que cette façon de travailler soit valable dans le cadre d’un travail conforme aux normes.
Toute forme de gestion doit se traduire par une certaine forme de rendement. S’il n’y a pas de création de valeur, vous devez vous demander pourquoi vous le faites. La réponse à la gestion des risques peut être trouvée dans des concepts économiques tels que la VAN (valeur actuelle nette), le ROSI (retour sur investissement en matière de sécurité), etc. L’une des raisons pour lesquelles le gestionnaire de risques doit évaluer sa façon de faire est donc de s’assurer qu’il n’en fait pas trop. Grâce à ces notions, il peut également justifier les limites des mesures qu’il souhaite prendre. À moins que le conseil d’administration n’en décide autrement. Il s’agit donc d’une question de coûts et d’avantages. Il ne s’agit donc pas d’éliminer complètement les risques. Plutôt de prendre des mesures pour sortir les risques de la zone dangereuse et les ramener à un niveau acceptable.
Anticipation, santé et équilibre
L’anticipation et l’incertitude sont humaines. Nous regardons les nouvelles pour avoir des certitudes, puis nous disons « Je vous l’avais bien dit ». Inconsciemment, nous appliquons ce principe à un match de football, lorsque les Diables rouges jouent au Brésil, etc. Dans les affaires, nous pouvons tomber dans le piège de l’assurance excessive, qui est en soi une source de risque. Parfois, même les ministres citent l’histoire en disant « on verra qui a raison sur l’histoire ». Mais en réalité, le temps est fait pour donner une chance à l’incertitude : « seul le temps nous le dira ».
Un équilibre sain entre la gestion des risques et la gestion générale est plus important que le fait de jouer au hasard avec l’anticipation et l’incertitude. Je pense qu’il est possible de juger s’il y a une tendance à pencher d’un côté ou de l’autre. (Ce qui n’est pas productif.) Il doit y avoir un équilibre sain entre l’aversion pour le risque et l’acceptation du risque. (Ou l’appétit pour le risque). C’ est rare que le risque puisse être complètement éliminé de l’idée d’équilibre. Il faut donc trouver un compromis entre les mesures préventives, d’une part, et les coûts et le temps, d’autre part. En effet, si l’aversion pour le risque est totale et que l’on agit en conséquence, on ne prend plus de risques. Or, tout innovateur sait que l’innovation et le progrès stagnent. La prise de risque est donc le travail de tout manager. Ne pas oser l’échec peut sonner le glas de toute organisation.
Appétence pour le risque
Chaque organisation a donc besoin d’un certain niveau d’appétit pour le risque. Une fois ce niveau atteint, il est possible de l’ajuster à la hausse ou à la baisse. La valeur limite est que le coût de la prise ou de la non prise de mesures de risque est toujours inférieur au rendement attendu ou réel.
Cela ne signifie pas qu’il faille se contenter de réduire la prévention et la protection. Le principe coût-bénéfice peut également être appliqué, et si l’on veille à un bon équilibre dans ce domaine, la gestion des risques peut s’avérer très « responsabilisante ». Après tout, un employé en bonne santé sur un lieu de travail agréable est toujours un atout pour l’entité. Ce qui importe ici, c’est la manière dont vous vous assurez de prendre des risques acceptables. Et les calcules pour continuer à aller de l’avant. Si la gestion des risques et l’évaluation des risques ne font pas partie de la prise de risques, alors vous êtes un touche-à-tout, un joueur et non un dirigeant stratégique. Les parties prenantes respectent ce dernier et laissent généralement tomber le premier. Après tout, l’objectif de la gestion des risques est également de contribuer à l’allocation des ressources. Ceci en soutien à la gestion globale.
Un signal important de l’excès de gestion des risques
Le fait d’essayer de prévoir toutes les éventualités est un signe important d’exagération dans la gestion des risques. Un bon moyen de vérifier et d’équilibrer les choses pour décider jusqu’où il faut aller est de prévoir un « scénario du pire » qui soit « raisonnable ». En d’autres termes, il faut d’abord prévoir ce que l’on peut raisonnablement considérer comme un événement ayant l’impact le plus grave, puis continuer à partir de là. Une planification plus poussée susciterait l’opposition de toute personne dotée d’un esprit paysan sain, car elle ferait valoir les raisons pour lesquelles elle ne peut être justifiée.
Conclusion
La question était de savoir si la gestion des risques pouvait être excessive. Je réponds invariablement par l’affirmative :
- Oui, vous pouvez
- Mais c’est rarement le cas
- Après tout, les gens sont très prompts à dire : « Nous ne pouvons pas tout prévoir » et « Nous n’avons ni le temps ni les ressources nécessaires pour tout prévoir ».
Je dirais également que nous ne pouvons pas tout prévoir et que nous n’avons pas besoin de le faire. Nous devons nous efforcer de parvenir à un scénario catastrophe raisonnable et nous devons faire en sorte que le principe de subsidiarité s’applique à la gestion des risques. À tous les niveaux des entités, nous devons fournir un volume approprié de formation, de pratique, mettre en place les bons outils, mais aussi nous comparer aux normes pertinentes appropriées, afin d’être prêts à faire face à la plupart des circonstances possibles qui se présenteront à nous. N’oubliez pas que le principe de pareto s’applique dans ce cas : 20 % des mesures permettront d’arrêter ou d’intercepter 80 % des problèmes. Impliquer toutes les parties prenantes dans la gestion des risques. N’oubliez pas qu’une crise peut en déclencher une autre et que des facteurs sans précédent peuvent également entrer en jeu en permanence, sans qu’il soit possible de les prévoir.