Les principes de l’analyse des risques classiques sont repris dans de nombreux domaines, dont le commissariat aux comptes. Le commissariat aux comptes n’a rien inventé en la matière mais a eu le mérite d’industrialiser cette méthode dont les apports en pertinence sur la qualité de l’opinion sont indiscutables.
La notion de risque théorisé
La notion de risque a été définie à travers de nombreux domaines, notamment mathématiques, militaires ou encore médicaux. L’entreprenariat ne fait pas exception et les approches par les risques dans les théories contemporaines de la gestion d’entreprise sont légion. On retrouve également cette notion de risque dans les grands référentiels normatifs internationaux comme la norme ISO 31000:2010 qui définit le risque comme étant « l’effet de l’incertitude sur l’atteinte des objectifs »
De manière générale, le risque est le produit entre deux facteurs : l’aléa et l’enjeu.
- L’aléa, également nommée « probabilité d’occurrence », est la probabilité qu’un événement se produise (probabilité de tomber dans un trou).
- L’enjeu met en évidence la gravité des conséquences de la réalisation du risque (profondeur du trou).
En ce sens, le produit de l’aléa et de l’enjeu forment la notion de risque inhérent, c’est-à-dire de risque fondamental avant toute tentative d’y remédier.
Il s’agit donc de proposer des options afin de réduire le risque inhérent, en agissant soit sur l’aléa, soit sur l’enjeu. Dans le domaine de la finance, on appelle cela le « risque d’anomalie significative« .
Enfin, notons qu’une tentative de réduire le risque inhérent, qu’elle soit réussie ou non, provoque une modification de son environnement. Concrètement, chaque tentative de réduction des risques génère la possibilité de provoquer des risques supplémentaires. Ajoutons à cela la possibilité que les mesures prises en vue de réduire le risque ne suffise pas ou que le comportement des acteurs puisse être modifié selon a pertinence de la solution.
Regroupons l’ensemble dans un calcul probabiliste aux multiples facteurs et nous obtenons un « score » au risque. Ce score doit être comparé à d’autres éléments afin de définir si le risque nécessite ou non une intervention.
La prise de décision sur la base d’une analyse de risque
C’est à partir de là que les choses se compliquent. Jusqu’ici, nous avons été rassurés par l’approche scientifique et rationnelle des théories d’analyse des risques. Cependant, dans les faits, les choses ne sont pas aussi simples. En effet, le choix scientifique peut rapidement être abandonné en faveur du choix social, suggéré par divers biais cognitifs (raison, envie, interprétation, dimensions, préférence pour l’action, autocomplaisance, nombre…). Autant de paramètres « inattendus » mais qu’il convient de prendre en compte.
De manière générale, l’analyse des décisions prises doit toujours être replacée dans son contexte, en formalisant les informations disponibles à l’instant T.
La décision politique dans ce contexte
D’un point de vu politique, la prise de décision sur des critères uniquement rationnels peut être difficilement tenable. En effet, le décideur politique doit non-seulement prendre en compte ses propres convictions, mais également celles du groupe. En effet, le fait de prendre une position contradictoire à des intérêts particuliers peut ne pas être perçu comme favorable à l’intérêt collectif.
Prenons un exemple :
Un virus contamine les habitants d’une ville. Les différents paramètres de ce virus sont inconnus.
Le décideur politique a donc le choix entre plusieurs options :
- Poster la ville sous quarantaine, mais prendre le risque soit de limitation les droits des habitants, soit de limiter l’accès aux soins.
- Limiter les entrées et sorties tout en conservant une certaine flexibilité et évaluer l’efficacité des décisions prises en fonction des moyens engagés.
- Attendre plus d’informations avant d’agir et prendre le risque d’être exposé à des difficultés concernant la mise en place des décisions.
La confiance dans le plan d’urgence
Un Plan de Continuité d’Activité (PCA) a pour objectif de garantir le fonctionnement d’une entreprise en cas de sinistre important relatif au système informatique. En ce sens, et suite à la crise du COVID, la définition des plans d’urgence s’est retrouvée au cœur des enjeux professionnels des sociétés. Cependant, la simple mise en place d’un PCA ne suffit pas.
En effet, les entreprises ayant pu aborder la crise de manière optimale sont celles qui ont été capables de prévoir un plan d’urgence, de l’appliquer et de l’adapter à la situation.
L’absence de prise de recul et d’évaluation des effets en temps réel d’un plan d’urgence n’est jamais la bonne solution. Une l’application « bête et méchante » d’un plan inadapté peut produire des effets plus dévastateurs encore que l’absence de plan.
A l’opposé, la non-application du plan d’urgence sous prétexte que la situation est inédite (ce qui est le propre de beaucoup de situations) revient à rendre inutile la conception même d’un tel plan.
Conclusion
Plus le risque est difficile à évaluer, plus la décision est difficile à prendre.
En ce sens, l’expert en sécurité se doit d’analyser les termes de l’équation Aléa x Enjeu afin de fiabiliser au mieux la prise de décision. Il doit être capable de mesurer l’impact prévisionnel des mesures de réduction du risque.
Les plans d’urgence doivent consister en une trame scientifique (avec toutes les limites que cela implique) permettant la mise en œuvre de mesures dans un contexte où l’urgence tend à décoordonner les actions collectives, et donc leur efficacité. Leur action doit être mesurée comme pour tout outil et ne pas constituer un axiome.
Des questions sur l’analyse des risques ou pour tout autre motif ? N’hésitez pas à contacter l’équipe KARDAN RH !