01. septembre 2023

    La gestion du risque

    LA PLACE ET LE POSITIONNEMENT DES SERVICES DE GESTION DU RISQUE DANS UNE ORGANISATION

    Benoît Perez

    Ingénieur qualité

     

    Cet article est le fruit d’une réflexion concernant la situation des organisations ayant fait le choix de créer des services dédiés à la gestion du risque. Les ingénieurs-conseils sont souvent interpellés quant à la difficulté qu’ont de nombreux services de gestion des risques[1] à trouver une place et un positionnement dans une organisation. Il m’est donc apparu pertinent d’approfondir le sujet pour en explorer les contours comme le contenu. Mon propos sera d’argumenter sur le fait qu’au-delà de connaître une difficulté de position ou de place, les services de gestion du risque présentent une omniprésence symbolique et réelle puissante. Cette omniprésence liée à des évolutions managériales et organisationnelles crée une tension qui pourrait cependant se résoudre dans une nouvelle manière d’aborder la « question des risques » et les modalités d’application concrètes des actions qui y sont rattachées.

     

     

    ■■■ État des lieux : place, positionnement et concept

     

    Une analyse rapide nous démontrera que les services de gestion du risque sont souvent confrontés à des problématiques organisationnelles très spécifiques:

    • La gestion difficile de leur transversalité en interne (périmètre d’intervention, nature et temporalité des interventions, modalités d’intégration des actions notamment pour les organismes fonctionnant en mode projet),

    •  L’exigence de la mise en place de nouveaux modes de communication en interne comme en externe pour assurer une meilleure prise en compte des réalités et de l’utilité des systèmes de gestion du risque (notamment des SMR : systèmes de management des risques),

    •  La question des correspondances et des complémentarités entre les services financiers et les services liés à la gestion du risque (cette question est d’autant plus prégnante pour les organisations disposant d’un système de contrôle de gestion piloté par un service financier),

    •  La question des correspondances et des complémentarités entre les services dédiés à la mise en place et au suivi du système d’information et les services liés au développement de la gestion du risque (cette question étant d’autant plus importante quand il existe un système d’information utilisant un progiciel de gestion intégré – PGI),

    •   La constante recherche et obligation de mettre en avant des sources de légitimité (par rapport à des cultures et des pratiques professionnelles éloignées ou suspicieuses quant à la question de la maîtrise des risques).

    Les organisations concernées, quand on en fait une analyse comparative, connaissent ainsi, et le plus souvent, des difficultés à intégrer de manière claire et fluide les services liés à la gestion du risque. Ce constat prévaut dans le secteur privé comme dans le secteur public. L’expérience tend donc à montrer que cette intégration se heurte souvent à la complexité des organisations et aux positions des acteurs. L’amélioration du fonctionnement des entités dédiées à gestion des risques est cependant un enjeu d’importance dans un contexte d’évolution socio-économique qui commande le développement de l’efficience des organisations et la sécurisation des processus de gestion. Ce constat, une fois posé, commande de mettre en perspective le concept même de gestion du risque dans la dimension de l’organisation du travail. Il semble en effet que l’entrée par le concept présente une pertinence accrue par apport à une approche consistant à étudier la notion, à savoir la place des services dans une configuration structurelle[2].

     

    ■■■ La gestion du risque : expansion et omniprésence


    En ce sens, si nous prenons le parti d’étudier le concept de gestion des risques dans l’organisation du travail, nous remarquerons une évolution intéressante tout autant que plurielle : la première évolution concerne le passage de la gestion unique du risque 
    local[3], internalisée et thématique (risque chimique, risque informatique …mais aussi risque physique puis risque psychique[4]) à la gestion du risque au niveau sociétal (RSE-Responsabilité Sociale de l’Entreprise). Il serait juste de dire que le concept de gestion du risque ne connaît pas un changement en tant que tel mais plutôt une transformation de son dimensionnement : la gestion du risque est maintenant (disons, de plus en plus souvent depuis les années 1950[5]) autant locale que sociétale, interne qu’externe, thématique que globale[6]. L’augmentation des procédures et référentiels de gestion des risques, de la réglementation en la matière, la naissance de services dédiés sont autant les fruits d’une augmentation de volume (évolution des thématiques à traiter) que d’un élargissement du périmètre (de la localité à la société). La gestion des risques est un univers en expansion.


    Il est également à relever que le travail par mode projet aurait aussi accentué de manière indirecte, l’importance de la gestion du risque. Si l’on part du principe que le projet convoque l’avenir (du latin projectum « jeter vers l’avant ») la notion d’objectif lui répond comme un écho[7] (du latin objectum, « ce qui est placé devant »). À partir de ce travail étymologique, la mise en parallèle de la définition normative et managériale du risque prend tout son sens par rapport à mon hypothèse : le risque est l’effet de l’incertitude sur les objectifs[8]. Associer projet et risque ne serait donc pas une erreur, mais la mise au jour d’un lien évident bien que peu lisible de prime à bord. Quand l’on connaît l’engouement du travail en mode projet dans les organisations publiques ou privées, nous comprenons de facto l’importance grandissante de la gestion du risque dans les processus managériaux et organisationnels.

    En parallèle de la question liée au pilotage en mode projet, un détour par le concept d’externalité sera également très éclairant pour expliquer en quoi la gestion des risques imprègne la vie des organisations. Comme l’écrit Ulrich BECK, « à la différence de toutes les époques qui l’ont précédée, la société du risque se caractérise avant tout par un manque : l’impossibilité d’imputer les situations de menaces à des causes externes. Contrairement à toutes les cultures et à toutes les phases d’évolution antérieures, la société est aujourd’hui confrontée à elle-même »[9]. Nous pourrions dire que l’organisation est également concernée par cette confrontation en miroir : elle est confrontée à elle-même. Elle ne peut reporter la cause des risques sur des éléments externes. C’est à elle et elle seule de gérer ses propres risques[10]. Sa responsabilité est pleine et entière.

    À la lecture de ces constats et réflexions nous pouvons prendre conscience que les services de gestion du risque prennent une place importante car le risque est présent, presque palpable, il fait partie intégrante du projet, il en est même inhérent: les services de gestion du risque occupent donc, par extension, une part considérable de l’espace symbolique et des soubassements structurels de l’organisation. D’un concept central, puissant, imprégnant, ils deviennent par ricochet des services symboliquement présents aux autres et ceci d’une manière continue et permanente. Le risque est potentiel dans chaque geste, maintenant dans chaque pensée. Il est un risque interne et externe : quand l’organisation s’arrête de produire (produits ou services) elle n’en reste cependant pas moins un risque plus ou moins important. Un incendie, une fuite de gaz…le risque est constitutif de l’organisation. La faire exister revient à créer le risque.

    Cette omniprésence, fut-ce telle symbolique, n’en est pas moins et parfois irritante pour les autres services. Le contrôle des procédures, le rappel aux normes comme la création de nouvelles normes ou de procédures sont des actions réelles qui viennent se surajouter à cette tension préexistante du fait même de cette omniprésence. «Ces services (gestion du risque) contrôlent tout, on les voit partout » me dira un agent de maintenance d’un grand aéroport. Oui, le risque est partout et les services de gestion du risque le traquent donc dans les moindres espaces interstitiels où il peut se trouver.

     

    ■■■ De la gestion du risque à la question du risque : entrée interrogative, globalité de l’intérêt et localité de l’expertise

     

    Au regard de l’analyse développée ici, nous comprendrons qu’analyser la place et le positionnement des services liés à la gestion du risque est une action à mettre en œuvre. Cependant, dans un objectif d’efficacité et de cohérence, une étape préalable à cette analyse serait également à travailler : j’écrirais ainsi, qu’avant la « gestion du risque », il serait nécessaire d’échanger autour de la « question du risque ». Un travail d’explicitation est en effet à réaliser auprès de l’ensemble de l’organisation en ce qui concerne l’historique et les finalités de la question. Il semble essentiel de replacer la question du risque dans son contexte et ses perspectives avant d’évoquer la place du ou des services de gestion du risque. C’est par l’entrée interrogative qu’une réponse peut émerger. C’est alors, qu’une fois la question de fond posée et communiquée, qu’un travail sur la forme peut advenir : il s’agira ici de réfléchir aux principes d’action qui guideront le processus de gestion du risque. Les nombreuses expériences vécues en ingénierie-conseil et l’analyse développée dans cet article démontrent ainsi qu’il serait pertinent de préconiser aux services de gestion du risque un cadre d’intervention qui pourrait se résumer à la recommandation suivante : « éviter le risque mais aussi conseiller, accompagner plutôt que dicter ». Le bon sens commandera bien entendu une plus grande fermeté si des circonstances particulières l’exigent, mais la posture d’accompagnement à tenir devrait être la norme et non l’exception. Si le risque est global, systémique, il est alors l’affaire de toutes et de tous. Il nécessite, de surcroît, des experts pour l’anticiper, le réduire et l’évaluer. Globalité de l’intérêt et localité de l’expertise ne sont pas incompatibles, bien au contraire. C’est de leur juste articulation que naîtra une gestion des risques de qualité, acceptée, comprise et intégrée et par là même réellement efficace. Ce travail d’explicitation, d’expertise et d’articulation sera d’autant plus à affiner que les organisations sont en train de connaître un nouveau changement : le passage de la gestion des risques à une culture de la sécurité (de securitas, exemption de soucis)[11]. Les services de gestion du risque les mieux intégrés seront également ceux qui pourront faire émerger une culture de la sécurité respectueuse, réfléchie et équilibrée dans leur approche de l’incertitude.

     

    [1] Cet article se cantonnera aux services de gestion du risque limités aux actifs non financiers

    [2]La dénomination configuration structurelle est entendue ici dans le sens où Henry Mintzberg l’exploite dans son ouvrage « Structure et dynamique des organisations ». H. MINTZBERG « Structure et dynamique des organisations » Traduction de The structuring of organizations - Editions d'Organisation, 1982.

    [3] Du latin Localis « Local, du lieu, de l'endroit ».

    [4] C’est d’abord le corps avant l’esprit qui a fait l’objet d’une gestion des risques : la législation concernant les accidents du travail (1898) a été la première loi à prendre en compte le risque physique. Mais c’est seulement dans le nouveau Code du Travail du 1er mars 2008 (articles L1152-1 et suivants) que le risque psychique devient lui aussi un sujet d’attention particulier pour le législateur.

    [5] A.ACQUIER, « Au source de la responsabilité sociale de l’entreprise : à la (re)découverte d’un ouvrage fondateur, Social Responsabilities of the Businessman d’Howard Bowen » consulté au lien suivant http://leg.u-bourgogne.fr/rev/102035.pdf le 22/09/2012

    [6] Chaque nouvel accident possédant le pouvoir à lui seul, en dehors de toute logique statistique, de remettre en cause les choix opérés au niveau d’une société. Voir R. AMALBERTI, « La conduite des systèmes à risques », Le travail humain, PUF, Paris, 1996.

    [7] Un son déformé mais dont le signifiant reste le même

    [8] ISO Guide 73: Risk Management - Vocabulary [3]

    [9] U.BECK « La société du risque », Suhrkamp Verlag, 1986

    [10] Notons que si les externalités ont disparu, l’extérieur est par contre à considérer quant à lui, comme une dimension incontournable de la gestion du risque.

    [11]F-R. CHEVREAU, J-L WYBO Pour une maîtrise des risques industriels plus efficace http://www.cairn.info/revue-francaise-de-gestion-2007-5-page-171.htm Approche pratique de la culture de sécurité