Organisation du management du risque et traitement des risques

Cet article vient conclure une série de quatre publications consacrées au management du risque. Avouons tout de suite que nous avons débuté ladite série par cette phrase : « cet article est le premier d’une série de trois » ! Tant pis. Le célèbre roman de Jérôme K. Jérôme, Trois hommes dans un bateau, commence bien par : « Nous étions quatre. »... Plus sérieusement ; il nous paraissait inconvenant de ne pas aborder dans cet ensemble d’articles la problématique du traitement des risques et l’organisation à mettre en place pour assurer une maîtrise durable des risques. Ce que nous n’avions pas fait ou très partiellement jusqu’à présent.

Notons d’ailleurs que la norme EN NF ISO 31000, parue début 2010 et intitulée « Principes et lignes directrices du management du risque », norme qui nous a servi de fil rouge tout au long de ces lignes, comporte d’une part un chapitre « cadre organisationnel du management du risque » a identifié d’autre part une activité « traitement du risque » au sein de son processus de management. Pour être complet (quoique nous n’ayons nullement la prétention d’avoir été exhaustifs au cours de ces quatre articles, le sujet est tellement vaste !), ces thèmes de l’organisation et du traitement devaient donc être abordés.

Ce nouvel article est le continuum des précédents : aussi nous permettons-nous de renvoyer nos lecteurs vers ses prédécesseurs, pour plus d’informations sur les thématiques évoquées mais non développées ici. Esquissons toutefois, comme dans toute bonne série, un rappel des épisodes précédents... Nous avons, dans l’article [G 9 000], commencé par approfondir le concept de risque – ses constituants (danger, cible, menace,...), sa mesure, son indissociabilité avec la notion d’objectif, ses implications financières, etc. – et analysé les exigences de la norme ISO 31000. Nous avons poursuivi, dans l’article [G 9 010], d’abord en insistant sur la nécessité d’élaborer un référentiel de gestion des risques afin que tous les acteurs d’un organisme partage une vision commune et objectivée (sinon objective) des risques à maîtriser, ensuite en expliquant comment apprécier – identifier, analyser et évaluer – les risques, pour dresser une cartographie globale, exhaustive tant est que cela soit possible, de tous les risques auxquels l’organisme est exposé. Notre article [G 9 200] démontre qu’il est alors possible de déployer les mêmes méthodes d’évaluation et de cartographie sur la gestion des processus, la gestion des projets, la gestion des ressources... avec l’ambition de faire du management des risques un véritable facteur d’intégration, de cohérence et donc de performance, plutôt qu’un énième système venant encore plus compliquer l’organisation. Ce faisant, nous avons beaucoup parlé d’évaluations et de cartographies. Et il est évident que l’évaluation n’a de sens que si elle est suivie, du moins pour les risques inacceptables, d’actions réduisant les risques.

Il reste que, s’il est « facile » de décrire des méthodes génériques pour identifier et cartographier des risques (entendons par « générique » applicable à tous, sous réserve de personnalisation), il est à notre sens impossible et même dangereux de prétendre à la même rationalité lorsque l’on parle de traitement du risque. Les aspects contextuels ou culturels, spécifiques à chaque organisation, sont bien trop prégnants, et ce qui fonctionne à un endroit peut être un parfait exemple d’échec ailleurs. Pour le dire de façon un peu tranchée, deux approches s’affrontent sur la problématique du risque : la première, dite « normative », de type pragmatique et rationnelle, s’appuie sur des réglementations et des procédures, lorsque la seconde, dite « compréhensive », de type sociologique et subjective, s’appuie plutôt sur l’analyse des comportements. Nous – mais ce n’est effectivement que notre avis – avons tendance à penser que l’approche normative convient aux étapes d’identification et d’évaluation des risques, pour ce qu’elles doivent aboutir à partager une même vision du risque, mais qu’un traitement pérenne de ces risques suppose une préoccupation sociologique, impose de travailler sur les comportements individuels et collectifs au sein de l’organisation observée.

En conséquence, nous pourrons certes lister ici différents types de traitement et énoncer quelques bonnes pratiques, mais ne pourrons en aucun cas livrer des recettes méthodologiques dont nous garantirions l’efficacité. Et ce qui est vrai en termes de traitement l’est aussi, quoique dans une moindre mesure, pour le cadre organisationnel du management du risque tant, là encore, les facteurs humains et culturels sont à prendre en considération. Or, n’oublions pas : c’est un des 11 principes de la norme 31000 : « Le management du risque intègre les facteurs humains et culturels ».