Afin de tenter une approche nouvelle à propos de la culture du risque, dont les objectifs sont la sensibilisation et un apport de base à la réflexion des lecteurs, ce billet porte sur les points suivants :
1. Principe d’incertitude et notion de risque.
2. Implantation d’une culture du risque.
3. Éthique.
4. Réalité et perspectives.
5. Synthèse.
I – PRINCIPE D’INCERTITUDE ET NOTION DE RISQUE :
L’incertitude, comme ce terme le sous-entend, définit un événement incertain ou imprévisible. Elle peut aussi être interprétée au sens d’instabilité ou de mouvant, c’est-à-dire ayant une proportion à la variabilité.
Le risque, ou danger plus ou moins prévisible, exprime une conséquence survenant en référence à des actions personnelles ou à des effets externes à notre pouvoir de précaution, voire à une combinaison de ces deux facteurs : interne et externe.
Incertitude et risque sont de ce fait des notions liées entre elles.
Comme nous le savons, il n’existe pas de risque « zéro ». Même si toutes les précautions sont prises, un infime phénomène peut survenir et remettre en cause notre protection préventive ou gêner l’immédiateté de notre réaction et l’accomplissement de la bonne correction ou de la bonne réaction.
Un degré plus ou moins conséquent d’indécision, d’indétermination, de perplexité ou d’irrésolution participe à cet écart entre survenance des faits et réactions effectives.
Réfléchissons à combien d’organisations, de collectivités ou d’entreprises, ont été prises en défaut, soit qu’elles aient ignoré les risques, soit qu’elles en aient sous-estimé la probabilité et la portée.
En revanche, la détermination du degré d’incertitude d’occurrence des nouveaux risques, et de la prévention de leur survenance, tel que le risque de catastrophe naturelle, le risque sanitaire, le risque de fraude, le risque d’informations mensongères ou le risque social sont beaucoup moins aisés à appréhender. Nous évoluons dans un univers complexe et nous ne disposons pas forcément d’exemples et de données historiques permettant d’affiner notre analyse.
« Aussi ne saurions-nous trop engager l’homme mûr, trop confiant en lui-même, à veiller toujours, car le péril est insidieux et les risques sont grands. »
Charles Burlureaux, la Lutte pour la santé, Projet Gutenberg
« D’autant que la complexité des facteurs qui entrent en ligne de compte et les éléments d’incertitude sont plus nombreux qu’avant. »
Jean-Jacques Bourque et François Lelord, l’Âme de l’organisation, Québec Amérique
Selon les périodes, les variables du couple incertitude / risque ont évolué de façon concomitante, mais pas forcément de manière égale. D’un contexte de proximité, nous sommes passés à un environnement départemental, puis régional et national, pour arriver à une semi-mondialisation.
À l’heure actuelle, nous sommes en totale mondialisation par l’ouverture de chacun au monde et par la survenance des pays émergents.
De ce fait, les degrés d’incertitudes et de risques sont de plus en plus élevés en fonction des zones géographiques d’intervention, mais aussi en raison d’une concurrence accrue venant de l’extérieur.
D’où la nécessité d’aller d’une gestion courante des risques vers une intelligence des risques ou, pour certains, vers l’ERM (Entreprise Risk Management).
Notons qu’appliquer une méthodologie de gestion / de management des risques sans la présence d’une culture d’entreprise, et au sein de celle-ci, sans l’implantation d’une culture du risque, fera que l’entité ne sera pas entièrement protégée.
II – IMPLANTATION D’UNE CULTURE DU RISQUE :
En règle générale, dans le passé, mais encore à l’heure actuelle, la gestion des risques s’exerce selon une hiérarchie verticale descendante.
Cette façon de faire n’a pas totalement disparu et elle est toujours appliquée dans certaines grandes entreprises, ETI et PME/PMI, voire d’autres entités.
Les dirigeants pratiquent, selon les organisations, par l’application d’une des méthodes suivantes :
1. Décrètent la méthodologie et les processus de gestion des risques et les imposent pour application au travers de procédures organisationnelles et de guides opérateurs.
2. Définissent un cadre général qu’ils diffusent au sein des départements/services de l’entreprise, à charge pour le management opérationnel de compléter ce cadre au plus près de leur activité et de le retourner pour validation. Cette méthodologie favorise la participation du management opérationnel, mais pas celle des collaborateurs qui en sont souvent exclus.
3. Établissent un cadre général et organisent des ateliers de travail, communément appelés dans la pratique « workshop », où se côtoient différents collaborateurs et managers opérationnels et des représentants des fonctions support (attention à la composition des workshops, car l’essentiel est que chacun puisse exprimer son point de vue sans subir la « peur » ou la « pression » d’autres collaborateurs ou managers. Par ailleurs, l’animateur d’un workshop doit faire preuve d’empathie, c’est-à-dire avoir la capacité de se mettre intuitivement à la place des participants, de ressentir la même chose qu’eux, de s’identifier à eux).Les résultats de ces travaux sont ensuite validés par une instance désignée, suivie d’une réunion d’information (feed back) afin que les participants puissent avoir connaissance des motifs des choix retenus et des raisons de non prise en compte de certains éléments.
4. Appellent un cabinet de conseil, un consultant membre d’une association spécialisée (AMRAE…) ou un consultant free-lance présentant une expérience prouvée sur ces sujets.
5. Appliquent un mixte des méthodes énoncées ci-devant.
6. …
Nous sommes plus en présence de méthodologies influentes que réellement participatives et responsabilisantes.
Une gestion des risques n’est efficace et efficiente que si elle prend en compte ses propres expériences passées et les données correspondantes en sa possession (bases de données, informations comptables et financières…), mais aussi celles connues d’autres entités (benchmark ou veille).
Ce principe est toujours d’actualité, mais il n’est plus suffisant.
La présence d’une culture d’entreprise doit être recherchée, tout comme le style de management, et ils doivent être analysés.
À ce stade de la démonstration, n’y a-t-il pas confusion entre la notion de « gestion » et la notion de « culture » ?
Il est souvent évoqué une culture de la gestion du risque et, non pas, une culture du risque.
Il est nécessaire d’apporter une précision sur la notion de « culture » : Ensemble des connaissances acquises dans un ou plusieurs domaines par un individu ; mais aussi : Savoir — acquis (bagage de) connaissances, compétence, expérience, instruction, notions, savoir.
Étymologiquement « culture » est un emprunt au latin classique cultura, ‘soin’, signifiant ‘dont on a pris soin’, participe passé de colere, ‘prendre soin’ (principe de gestion du care anglo-saxon ou du principe de précaution).
Nous sommes en présence d’une première approche ou, plus précisément, d’un premier lien avec la notion de risque, grâce au sens de « prendre soin », ou plus communément, l’application du principe de précaution.
Mais le principe de précaution n’équivaut pas à la prévention.
La prévention s’intéresse aux risques avérés (ceux dont l’existence est démontrée ou connue empiriquement sans toutefois qu’on puisse en estimer les fréquences d’occurrence), alors que la précaution, forme de prudence dans l’action, s’intéresse aux risques potentiels (risques dont ni l’ampleur ni la probabilité d’occurrence ne peuvent être calculés avec certitude, compte tenu des connaissances du moment). Elle recouvre les dispositions mises en œuvre de manière préventive afin d’éviter un mal ou d’en réduire les effets, avant qu’il ne soit trop tard.
Enfin, il me semble que dans le langage professionnel courant, voire au sein de la plupart des entités, nous nous trouvons en présence d’un amalgame entre les notions de culture du risque et de culture d’entreprise.
Pour apporter un peu de clarté, il existe trois niveaux de culture interférant entre eux, sachant que chacun comprend différentes composantes.
1. La culture de la conformité.
2. La culture du risque : Environnement de contrôle, appétence aux risques, communication sur les risques, sensibilisations et formations, indicateurs.
3. La culture organisationnelle.
Parallèlement, la perception des risques est liée à la dimension culturelle des zones d’intervention (géographique…) de l’entité concernée.
La culture du risque se décrète-t-elle ou s’impose-t-elle ? Ni l’une, ni l’autre ; elle découle du bon sens dans la mesure où il est souhaité la pérennité de l’entité.
Quel est le moteur, ou plutôt le « véhicule », favorisant la diffusion, l’enseignement et l’application de cette culture du risque ?
La réponse est la communication. Terme vaste et peu parlant en matière de méthodologie au stade de cet exposé.
Partons de la base pour expliquer son fonctionnement.
La communication est un processus qui doit être inclus dans les « flux » organisationnels, opérationnels et fonctionnels de l’entreprise.
Elle est un élément important de cohésion au sein de ses équipes et elle a pour objet de renforcer le sentiment d’appartenance des collaborateurs (former, informer, motiver, fédérer).
La communication interne est une valeur ajoutée pour l’organisation. La valeur ajoutée que peut apporter la communication interne dans une organisation est donc étroitement liée au type de management qui se pratique.
Nous évoquons constamment l’instauration d’une culture du risque au sein d’une entreprise, mais cette notion n’est-elle pas devenue en partie obsolète ? Nous devons tenir compte des parties prenantes, car beaucoup d’entreprises font intervenir des prestataires de services ou pratiquent l’externalisation de fonctions n’appartenant pas à leur cœur de métier.
La culture du risque au sein d’une entité publique par exemple, « c’est la connaissance par tous les acteurs (élus, techniciens, citoyens, etc) des phénomènes naturels et l’appréhension de la vulnérabilité. En faisant émerger toute une série de comportements adaptés lorsqu’un événement majeur survient, la culture du risque permet une meilleure gestion du risque. » (www.georisques.gouv.fr>glossaire>culture)
D’un point de vue entreprise, développer une culture du risque, c’est pour un directeur d’entité ou un manager, un risk-manager, un responsable ou un acteur du management des risques de mettre en place des pratiques performantes afin de faire évoluer les comportements, d’anticiper et de maîtriser les risques.
Écrire sur l’implantation d’une culture du risque au sein d’une entreprise implique parallèlement à connoter les concepts d’éthique.
III – ETHIQUE :
La définition de l’éthique est la suivante : « Ensemble des règles de conduite propres à une société, à un groupe. Éthique professionnelle ».
L’étymologie de ce mot provient du latin « ethica », ce qui est relatif aux mœurs.
Nous pouvons la rapprocher de quelques synonymes, à savoir : conscience, déontologie, prescription, principes au sens moral de ces termes.
Quelle est la distinction entre l’éthique et la morale :
• L’éthique est relative à chaque individu, et même au vécu actuel de chaque individu, puisqu’elle concerne la préférence d’un individu à un moment donné entre un nombre limité de possibilités.
• La morale signifie qu’il peut y avoir, parmi les lignes de conduite ouvertes à un individu à un moment donné, certaines qui lui soient obligées, et d’autres qui lui soient interdites.
La voie de l’éthique professionnelle axée sur les valeurs partagées se développe dans différents modèles à l’heure actuelle pour répondre aux insuffisances des modes précédents. L’Encyclopédie de L’Agora
Le changement est devenu la règle, et non l’exception. Par conséquent, chacun de nous doit constamment apprendre, s’adapter et mettre ses connaissances à jour. Et il semble que nous manquions toujours de temps, d’information ou de soutien pour ce faire.
Ce phénomène crée un dénivelé entre l’existant (habitudes) et la nouveauté (l’inconnu).
De nombreuses entreprises plaident ainsi pour une éthique compatible avec le profit et affichent le recueil de leurs valeurs phares qui peuvent reprendre les normes existantes, mais peuvent également les illustrer ou les prolonger. Les Échos
Par contre, la locution Code d’éthique exprime l’idée d’un code non directif qui reflète une morale, des valeurs. Contrairement au Code de déontologie qui définit par avance la conduite à tenir selon l’activité exercée.
« Ces travailleurs intellectuels devraient également élaborer et diffuser une éthique novatrice et pragmatique pour le XXIe siècle. Le Monde diplomatique.fr »
Parler ou écrire à propos de l’éthique, c’est souvent en corrélation avec les problématiques de fraude et de corruption.
La gestion de l’éthique entre dans le « catalogue » de mesures préventives du management des risques, mais l’éthique est également un risque en tant que tel.
Mais dans notre contexte, il faut prendre en considération le principe d’éthique de la responsabilité. Qu’entendons-nous par cette notion ?
Le principe de responsabilité permet au sujet de prendre des décisions raisonnables, de réaliser des actes lucides. Au passage, j’attire votre attention sur la présence d’un lien entre gestion des risques, contrôle interne et RSE (Responsabilité Sociale de l’Entreprise). L’ensemble participant à la performance durable.
La réactivité exigée des organisations modernes engendre souvent une perte de maîtrise sur l’organisation du travail.
Alors que l’appel à la responsabilité des employés sur l’efficience et l’efficacité de leur travail augmente le contrôle normatif, celui qu’ils ont sur leur travail décroît
A contrario, l’éthique réflexive consiste à construire avec l’équipe, en fonction des situations, ce que sont les comportements éthiques.
Par le soutien ou l’accompagnement à la prise de décision qu’elle permet, l’éthique réflexive (qui vise le « juste »*) contribue à rétablir cette responsabilité déficiente, de la redéployer en toute sécurité, tout en permettant aux directions des services d’assumer une maîtrise suffisante des risques.
Je n’irai pas jusqu’à dire que l’éthique réflexive prend un nouvel essor au sein des organisations, mais elle est le corolaire de la transition (et non du changement au sens de conduite du changement) vers le numérique et des possibilités (outils, activités…) y afférentes.
La pratique réflexive consiste à caractériser la manière dont l’action est organisée, à penser ce qui pousse à l’action, à formaliser ses savoirs pour les rendre lisibles et visibles par tous.
La pratique réflexive permet de « résoudre un problème, comprendre une situation complexe, s’interroger sur sa pratique et imaginer de nouvelles façons d’améliorer sa performance » P. Perrenoud
Développer une pratique réflexive, c’est adopter une posture réflexive, de manière régulière et intentionnelle, dans le but de prendre conscience de sa manière d’agir, ou de réagir, dans les situations professionnelles ou formatives.
* Contrairement à l’éthique normative qui exprime le « bien ». En ce qui concerne le management, cela revient à guider l’équipe pour l’amener à adopter des comportements éthiques.
IV – RÉALITÉ ET PERSPECTIVES :
Où en est l’expression du collectif et son organisation, qui sont une dimension essentielle de la vie en entreprise ? N’est-il pas le plus souvent employé le « je » au lieu du « nous » ?
Les méthodes de management, telles qu’« individualisation salariale », « partie variable de la rémunération », « valorisation des performances individuelles », « management par les compétences », « individualisation du contrat de travail », « … », n’ont-elles pas modifié sensiblement la vision et les réactions des collaborateurs d’entreprise ?
Et, même dans les cas de prédominance du « nous (collectif) », n’y a-t-il pas le risque de la présence d’une forte personnalité influençant parfois, dans un sens non conforme, la gouvernance ? Nos organisations ne comprennent-elles pas des individus au comportement négatif pouvant se manifester de deux manières différentes ou concomitantes :
• Ecarts systématiques (négligences, tromperies, sous-activité).
• Violation des normes relationnelles (agressivité, non-communication, intimidation) ?
Ce que les anglo-saxons dénomment rotten apples (pommes pourries) ou bad apples (mauvaises pommes) (confère « Les décisions absurdes III de Christian Morel).
Comment créer le cadre qui permettra aux individus de prendre part à une gestion intégrée des risques ? Est-ce envisageable ou réaliste avec une addition de « je » ou en présence de fortes personnalités difficiles à gérer ?
Ne nous leurrons pas, et nous ne pouvons le leur reprocher, certains collaborateurs (tous niveaux) n’ont pas choisi une entreprise selon leurs critères, mais en fonction d’une recherche d’emploi, de ce qui a eu la chance de se présenter à eux et de réussir en matière d’embauche.
Vous me direz qu’une proche adéquation entre collaborateurs et une entreprise existe au travers de l’implication du DRH et de ses collaborateurs. Effectivement, mais est-ce durable ou éternel ?
Ce sont les principales questions qui viennent à l’esprit, dans le contexte actuel, et aussi en évitant de nier une réalité présente et qui ne cesse de se décupler : l’adéquation des volontés des collaborateurs internes avec la stratégie de l’entreprise et son organisation.
Beaucoup d’écrits spécialisés et d’interviews expriment la présence d’une culture du risque au sein d’entités diverses. Mais qu’en est-il vraiment ?
Où se situe-t-elle vraiment ? Qu’elle est sa place par rapport à la culture d’entreprise (imbrication, chevauchement ou complémentarité) ? S’inclue-t-elle dans la culture RSE (Responsabilité Sociétale de l’Entreprise) ou s’y ajoute-t-elle ? Le débat est ouvert tout en sachant que la gestion des risques est un enjeu majeur de management et qu’elle doit s’inscrire dans la culture globale d’entreprise.
Il faut admettre qu’il n’existe pas une communication parfaite sur le long terme, il s’agit d’une adaptation, voire d’une amélioration continue, en fonction de différents éléments internes et externes. Le principe de base est de s’approcher au plus près de la «perfection».
D’autant plus que sur le plan de la gestion des risques, il doit être également inclus les communications spécifiques (interne et externe) en cas de discontinuité de l’activité (PCA) ou de gestion de crise.
À l’instant présent, ce qui est au cœur des enjeux ce sont les principaux éléments ci-après :
> La protection des informations : ce qui semblait aisé dans le passé, devient nettement plus difficile dans un contexte de complexité des activités et des systèmes, accentué par la survenance du numérique et, plus tard, par l’implantation de l’intelligence artificielle.
> Le management organisationnel : intensifier la confrontation des valeurs, des croyances et des perceptions sociales en amenant différentes expériences à se croiser et à s’informer mutuellement en fonction des situations qu’elles ont déjà tenté de gérer ou qu’elles tentent de gérer actuellement.
> L’influence et l’implication des décideurs : ces deux points influent sur le comportement des salariés. Par comportement, il faut entendre les principes de motivation et d’implication. A cela, nous devons ajouter l’influence de l’éthique des managers sur les deux variables précédentes (motivation et implication).
> La communication : consiste à appliquer la démarche stratégique à l’activité de communication dans l’entreprise.
Afin d’être efficace et efficient, le communicant doit être pleinement au fait de la stratégie de l’entreprise.
Ce qui se traduit concrètement par deux axes concomitants : un savoir-faire et un savoir-être.
A – Savoir-faire :
1. Élaborer une charte et sa diffusion à tous les collaborateurs.
2. Recueillir un maximum d’informations qui multiplieront les éclairages possibles.
3. Se livrer à une analyse précise et fine du contexte dans lequel opérera la stratégie de communication.
4. Participer à la transmission d’un savoir (au plus grand nombre).
5. Organiser des journées événementielles et engageantes (sur un thème précis).
J’attire votre attention sur l’intérêt, mais surtout la nécessité d’une présence d’un lien entre la communication interne et la communication de l’audit interne. L’ensemble participant à la performance durable
B – Savoir-être :
1. Connaître les différents métiers de l’entité sur leurs problématiques spécifiques.
2. Identifier les besoins des composantes de l’entité.
3. S’impliquer fortement dans les activités de l’entreprise.
4. Savoir informer, fédérer, impliquer, tout en disposant d’un degré conséquent de convivialité.
5. Encourager l’innovation et la créativité.
6. Permettre l’anticipation et la mettre au service de l’aide à la décision.
7. Favoriser l’intégration des nouveaux arrivants.
8. Prendre en compte les autres dimensions du management : ressources humaines, analyse financière, gestion de l’information, marketing…
9. Encourager les mutations de poste.
C’est dans la psychologie de l’engagement qu’il convient de rechercher l’assise théorique sur laquelle reposent les principales techniques permettant d’obtenir sans imposer. Gardons en mémoire que c’est la situation qui, en fonction de ses caractéristiques objectives, engage ou n’engage pas l’individu dans ses actes.
L’intérêt de ces techniques est de conduire à la responsabilisation des acteurs qui en arrivent à prendre librement les engagements que l’on attend d’eux, à les assumer, et à intérioriser les traits ou les valeurs qui vont assurer la pérennité de leurs nouvelles conduites.
V – SYNTHÈSE :
La gestion du risque est un enjeu de management, elle doit être incluse dans le « cœur » de Métier.
Le développement de la culture du risque sera garanti par un savant cocktail qui associera une bonne gouvernance (légitimité des messages) et une révision des pratiques anciennes (amélioration de la forme et utilisation des technologies de communication).
Le prérequis consistera à prioriser les menaces et les dangers pour lesquels des actions de communication / sensibilisation doivent être menées. Face à la multitude et à la variété des risques, il est vital de cibler ceux pour lesquels les individus ont ou auront un rôle majeur et pratique à jouer.
Mais, même ciblée, la gestion des risques doit être aussi stratégique qu’opérationnelle,
D’où l’intérêt d’appliquer une méthode ERM ou de se diriger vers un nouveau concept : l’intelligence des risques.
Le management des risques vise à diffuser une culture et à mettre en oeuvre un système de management, qui va des risques opérationnels à ceux pouvant affecter les objectifs stratégiques. En sorte que la culture soit aussi diffuse que les responsabilités sont ciblées.
La gestion du risque soulève la question du contrôle ante et post operandi.
La culture d’entreprise, facteur d’implication des salariés, est un ensemble de valeurs, de principes partagés par tous les membres d’une entreprise et qui se traduit par une homogénéisation des comportements, des façons d’agir et de penser. Elle résulte de l’histoire, de la personnalité des fondateurs et des facteurs environnementaux de l’entreprise.
“The values are an important part of the board’s discussion of the risk appetite – the values are an integral part of this – and in turn risk appetite is part of the culture”.
António Horta-Osório Chief Executive Lloyds Banking Group
L’Institut du Risk-Management (Institut of Risk Management) définit la “culture du risque” selon les croyances en les valeurs suivantes :
• Connaissance et compréhension à propos des risques.
• Partage, par un groupe de personnes, d’un but (objectif) intentionnel commun, en particulier par les dirigeants (management) et les collaborateurs d’une organisation.
En parallèle, il convient de surmonter les « égos » et les échecs précédents, qu’ils soient collectifs ou personnels, de manière à prendre en compte de façon la plus réaliste possible les incidents et catastrophes survenus en termes de risques. Ce concept revient à transformer l’échec en vertu (« La vertu de l’échec » – Charles Pépin).
Le lien avec la réalité peut s’effectuer par l’abandon du « fast track » français et par l’adoption du « fast fail » des pays anglo-saxons et des pays nordiques qui veut que l’échec soit vu comme une expérience, un signe de maturité, une assurance que le même type d’erreur ne se reproduira pas.
Pour ce faire, une réflexion collective doit être organisée au sein de l’entité tout en y incluant le questionnement : comment faire face à la complexité ?
Enfin, apprenons à oser et dirigeons-nous vers la « confiance en soi ».
C’est d’ailleurs ce que nous dit Socrate : cessez d’écouter les traditions, vous avez en vous de quoi répondre aux grandes questions.
A consulter également :
LA COMMUNICATION SUR LES RISQUES | AMRAE
La culture du risque constitue-t-elle un risque majeur pour l’entreprise ?
Augmentation du nombre de PDG congédiés pour des manquements à l’éthique
Des PDG encore peu conscients des risques qu’ils font courir à leur entreprise
2017 : Disruption – Stratégie de disruption et innovation par la maîtrise des risques