Concept de risque et définitions
Premiers pas dans le management du risque

La gestion des risques semblerait être un sujet émergent, une préoccupation récente de nos organisations. Prenons-en pour preuve la récente parution, en janvier 2010, de la norme EN NF ISO 31000 consacrée au management du risque. Nous y reviendrons bien entendu par la suite (cf. paragraphe 4).

Pourtant, de tout temps l’homme a été exposé à des risques, de tout temps l’activité humaine a généré des risques pour son environnement.

Dans les temps préhistoriques, les risques sont peu nombreux mais redoutables : prédateurs, maladies... Prévention et protection tiennent alors de l’instinct de conservation. Les civilisations antiques (Égypte, Grèce...) vont donner une véritable dimension politique au risque en organisant la prévention et la protection autour de finalités et d’objectifs. Puis, les Romains, pour unifier et rationaliser un espace d’influence immense et pluriculturel, vont instituer la codification et développer les réglementations, donnant en quelque sorte naissance aux notions de « norme » et de « conformité ». Plus tard, au XVIII^e siècle, l’avènement de l’ère industrielle marque une rupture nette dans l’évolution des risques : ceux-ci se multiplient et changent de nature comme de dimension, liés à l’utilisation de nouvelles substances ou de nouvelles sources d’énergie, à la mécanisation ou à de nouveaux modes de déplacements. Pourtant, jusqu’aux années 1970, il nous semblera naturel que ces nouveaux risques méritent d’être courus, car les technologies et l’industrialisation apparaissent nécessaires à la prospérité de nos sociétés. Mais la succession de crises intervenues depuis lors et les mutations socio-économiques engagées vont modifier cette perception du progrès et des risques qui l’accompagnent.

Ces quarante dernières années, le contexte s’est considérablement complexifié et il semble bien illusoire d’envisager une identification exhaustive des risques, d’espérer en prévenir toutes les causes et d'en apprécier toutes les conséquences. Seule certitude, ces conséquences peuvent désormais atteindre une ampleur terrifiante : Bhopal, Mexico, Tchernobyl, Toulouse... Nous avons aussi commencé à appréhender la nécessité de préserver des ressources naturelles dont la rareté nous apparaît désormais très factuelle. Quant au développement des connaissances scientifiques, en repoussant nos limites d’investigation, il semble paradoxalement élargir notre champ d’incertitude ! Mais l’évolution essentielle tient à cette prise de conscience récente que ce sont nos propres agissements, nos comportements d’humains, qui engendrent la plupart des menaces pesant sur nous. Judiciarisation et médiatisation font le reste : il devient risqué de prendre des risques !

Du coup, la tendance est aujourd’hui au refus du risque. Du moins au refus des risques que la société pourrait nous faire supporter car, dans le même temps, nous assistons régulièrement à des prises individuelles de risques ou à la transgression de règles édictées pour nous sécuriser : les risques choisis sont recherchés alors que ceux perçus comme subis sont devenus intolérables.

Qu’en est-il sur le terrain des organisations, sur le terrain de la gestion des risques dans le monde du travail ? Premier constat : l’arsenal législatif se développe, tendant dorénavant vers l’obligation de résultats, sans toutefois qu’on sache toujours dire précisément ce qu’est un résultat en la matière. Le management de la conformité (compliance management) devient un enjeu ! Second constat : les analyses de risques se multiplient. Mais elles sont souvent le fruit d’initiatives individuelles, rarement inscrites dans une démarche globale et coordonnée. La maîtrise des risques est donc partielle, basée sur une évaluation souvent intuitive de ces risques. Rares encore sont les organisations qui pensent la gestion des risques comme un système de management, basé sur une politique assumée, des principes partagés et des objectifs clairs. Pourtant, et c’est le postulat de l’ouvrage  que nous avons publié : « gérer une entreprise, c’est gérer des risques ».

Cet article [G 9 000] est le premier d’une série de trois consacrés au management des risques. Nous y commencerons par définir précisément le risque et ses notions associées, avant de décrire globalement, en nous appuyant sur la nouvelle norme ISO 31 000, les principes et les enjeux de la maîtrise des risques. Il s’agit ici de poser le cadre. Le second article [G 9 010] traitera de l’évaluation des risques, mais surtout du préalable nécessaire à une évaluation lisible et partagée : l’élaboration d’un référentiel de gestion du risque. Enfin, dans un dernier article [G 9 200], nous reviendrons sur la mise en œuvre d’un système de management qui ne doit pas être perçu comme « une couche de plus ! » mais bien comme une façon de fédérer l’ensemble des systèmes et processus de l’organisme.

Attention ! Notre sujet est ici d’aborder le management du risque, de tous les risques. Notre discours ne se limite donc pas aux risques professionnels (santé et sécurité au travail) ou aux risques environnementaux.