Dans l’article publié par le journal Le Monde le 10 avril 2020, Pablo Servigne, théoricien de l’effondrement considère la crise COVID-19 comme « un signe avant-coureur de possibles effondrements plus graves. La pandémie montre l’extrême vulnérabilité de nos sociétés, leur degré d’interconnexion, de dépendances et d’instabilité. »
A quel point doit-on tenir compte de ces signes avant-coureurs ? Quel est leur degré de fiabilité ? Peut-on s’y préparer ?
Peut-on prévoir ce qui a pour particularité d’être imprévisible ?
Comment intégrer dans la réflexion stratégique les imprévus, les incertitudes, les menaces et les risques ?
Comment gérer les risques auxquels chaque organisation est confrontée ?
« Celui qui prend des risques peut perdre, celui qui n'en prend pas perd toujours » disait Savielly Tartakower, un grand jouer d’échecs d’origine russe.
On peut considérer que le risque est la probabilité d’apparition d’un événement négatif et de ses conséquences et il nécessite la mise en place d’une stratégie de gestion des risques pondérée.
Tantôt nous subissons certains risques, tantôt ils sont à notre avantage. En général les risques ne sont pas entièrement en dehors de notre contrôle.
Le « paradoxe de Saint-Pétersbourg », théorisé en 1738 par le célèbre mathématicien suisse Daniel Bernoulli, explique le comportement d’un être humain face à la prise de risque. Il s’agit d’un jeu à somme nulle. Le joueur joue à pile ou face pour gagner le double de la mise. Ce jeu a une espérance de gain infinie avec une mise infinie. Néanmoins en pratique personne n’est prêt à payer n’importe quel prix pour jouer à ce jeu.
Définition, gestion et management du risque
Au niveau national le site de gouvernement définit les 5 risques majeurs qui sont la menace terroriste, les risques naturels, les risques technologiques, les risques sanitaires et les risques cyber. Les plans de prévention et de réaction en cas d’occurrence de ces risques existent et le gouvernement considère qu’« en développant une culture des risques et une meilleure connaissance des comportements à adopter pour les prévenir, ces informations visent à en réduire la portée et à assurer une meilleure sécurité en cas de survenue de crise. »
Entre les risques individuels et les risques à l’échelle nationale, l'entreprise fait face à de multiples incertitudes, des risques, des obstacles ou des imprévus qui sont autant de menaces pour son développement, voire son existence. Les nombreux événements qui se sont produits ces derniers mois auraient été difficilement prévisibles il y a tout juste un an. Les entreprises ont toujours été exposées à des risques. Ces risques sont variables et peuvent provenir aussi bien de l’environnement externe comme de l’environnement interne lié directement à l’entreprise. La liste des risques est relativement longue et il est nécessaire de les identifier et de les évaluer afin d’y faire face. Qu’il s’agisse de risques stratégiques, juridiques, financiers, opérationnels, industriels, sanitaires, environnementaux ou encore de risques liés à la sécurité et la sûreté, seule la mise en place d’une stratégie de Gestion des Risques de l’entreprise permettra de diminuer leur impact. Cette gestion permettra d’évaluer les risques puis de développer les diverses stratégies destinées à les garder sous contrôle.
L’ISO (organisation internationale de normalisation), une fédération mondiale d’organismes nationaux de normalisation (comités membres de l’ISO) travaille sur la gestion des risques intégrée dans les entreprises depuis plusieurs années.
La Norme ISO 31000, Management du risque – Lignes directrices, édition 2018, définit le risque comme « l’effet de l’incertitude sur l'atteinte des objectifs. » Elle sert de guide pour aider les organisations à appliquer les principes de management du risque pour améliorer leur planification et prendre de meilleures décisions. Comme l’explique Jason Brown, Président de l’ISO/TC 262 « L’absence de gestion des risques est en soi un risque d’échec. »
Indépendamment du nombre d’étapes dans la gestion des risques à mettre en place, la plupart des experts s’accordent à dire que la bonne gestion des risques nécessite l’identification des risques, leur valorisation selon leur gravité, leur probabilité d’apparition et leur impact, la définition des solutions et leur exécution ainsi que le contrôle et la capitalisation d’expérience. Le rôle de Risk Manager facilite la mise en place de la stratégie de gestion des risques.
A titre d’exemple, on peut citer la méthode TEM (Threat and Error Management, en français Gestion des menaces et des erreurs) utilisée dans l’industrie aéronautique dont l’objectif est de limiter le nombre et l’importance des erreurs qui pourraient être produites en mettant en place le projet d’action le plus adéquat possible.
Pour notre part, dans le domaine de la sécurité et de la sûreté, nous utilisons la méthodologie SCM (Security Circle Model) et RTA (Red Traffic Analysis) en s’appuyant sur le TRO (Triangle de Résilience des Organisation). Ce type de modélisation nous permet d’identifier les risques sécuritaires inhérents à une organisation et à une situation donnée en les classifiant et en proposant des solutions adaptées aux besoins réels des organisations.
Pandémie du COVID-19 : risque ou incertitude ?
C’est à Frank Knight que l’on doit la première théorie du risque. Dans son livre « Risk, Uncertainty and Profit » paru en 1921 Knight distingue le risque de l’incertitude.
Selon F. Knight le risque désigne une situation où les possibilités dans l’avenir sont connues et probabilisables. Par opposition, l’incertitude désigne une situation où l’on ignore tout cela.
En d’autres termes, le risque est un cas probable mais nous ne connaissons pas la probabilité d’apparition de ce cas. Dans l’incertitude, nous ne connaissons pas le cas, sans même parler de la probabilité de son apparition.
La pandémie de COVID-19 peut-elle s’inscrire dans ce que F. Knight a théorisé comme l’incertitude ? Il semblerait que non, étant donné que l’apparition de ce type de pandémie était probable, mais nous ne connaissions pas d’une manière exacte la probabilité de son apparition. Néanmoins, la crise actuelle, au-delà de montrer l’impréparation à y faire face, est un exemple de gestion de l’imprévu car contrairement à la grippe, qui est un phénomène saisonnier et maîtrisé, la pandémie actuelle n’a pas été anticipée.
La difficulté de la gestion de cette crise résulte dans la complexité de positionner le curseur au bon endroit aussi bien pour l’anticipation que pour la gestion. Doit-on prendre des mesures drastiques avec une probabilité de voir que le risque ne s’est pas matérialisé (effet du garçon qui criait au loup) ou au contraire laisser faire et agir probablement trop tard.
Au-delà de la gestion de la crise actuelle au niveau mondial et national comment les entreprises ont-elles pu se préparer à l’arrêt brutal de leur production et quelles expériences passées auraient-t-elles pu nous préparer à cette nouvelle réalité ?
La réponse semble malheureusement évidente. La plupart des Plans de Continuité d’Activités (PCA) ou des Plans de Gestion des Risques n’ont pas intégré ou n’ont pas pu intégrer la situation de rupture que nous traversons actuellement.
La nécessite d’intégrer ce type de phénomène dans les différents plans de prévention et de gestion pour être mieux préparé la prochaine fois tout en repensant les modèles mis en place actuellement semble évidente. Le retour d’expérience (RETEX) ainsi qu’une réflexion stratégique et innovante sur nos modes de fonctionnement sont nécessaires.
La rupture ou la (r)évolution de nos modes de fonctionnement, incluant le déploiement massif du télétravail et du e-learning pour certains sujets deviendront, sans doute dans l’avenir proche, la norme, tout comme la mise en place d’une continuité d’activité partielle qui prend en compte les risques propres à chaque crise.
« Ne réussissent que ceux qui osent oser »
Georges Clemenceau