A la fin des années 80, alors que je finissais mes études d’ergonomie, un débat faisait rage chez les étudiants et chez beaucoup d’ergonomes : comment convaincre les décideurs de l’importance de l’ergonomie et surtout de l’importance d’investir dans l’ergonomie ? Je retrouve aujourd’hui ce même débat autour du management des risques : comment peut-on convaincre un décideur d’investir,- je dirais même de s’investir-, sur ce sujet ?
La première réponse qui vient à l’esprit est portée par le corpus normatif (ISO 31000 notamment qui s’installe à grand pas sur le plan international, mais aussi dans d’autres disciplines, la version 2015 de la norme ISO 9001 en est un exemple d’actualité), qui positionne le management des risques comme une discipline incontournable du management. J’espère qu’un jour ce sujet sera traité plus à fond dans la revue Préventique.
L’arsenal règlementaire, imposé aux société financières et d’assurance et qui se dissémine petit à petit dans toutes les branches d’activité constitue la deuxième réponse. Elle est en soi critiquable dans la mesure où une obligation légale impose de faire, rarement de bien faire, je le constate régulièrement dans les plans (PCA ou PCS) ou dans les documents uniques que j’étudie dans le cadre de mes activités professionnelles.
Il existe une troisième réponse qui, si elle est utilisée à bon escient, peut permettre au manager des risques d’une organisation de convaincre les décideurs du bien fondé et de l’apport du management des risques. Généralement utilisée comme un tableau de bord, la cartographie des risques est bien plus que cela et doit permettre, si elle est bien menée, d’emporter l’assentiment des décideurs de l’organisation et même de la plupart de ses membres.
Avant tout il s’agit de préciser que nous parlons ici d’une cartographie permettant de affecter aux risques de l’organisation, quelque soit sa nature, une fréquence et une gravité, et non d’une cartographie géographique telle qu’on peut en faire sur les risques environnementaux majeurs par exemple. Il semble cependant que le croisement de ces deux types de cartographies pourrait donner un outil d’aide à la décision important pour nos collectivités territoriales. Ce sera un sujet à développer plus tard.
La cartographie des risques est avant tout un processus qui doit aboutir à la prise de conscience, par les personnes participant à sa construction, des risques existant dans l’organisation et de leur importance relative les uns par rapport aux autres. On pourrait donc faire un parallèle avec le voyage et ce qu’en disait Robert Louis Stevenson : « L’important, ce n’est pas la destination, mais le voyage en lui-même ». Dans notre cas, l’important n’est pas forcément le diagramme obtenu, bien qu’il ait son utilité, mais le processus pour l’obtenir.
Ainsi, si la cartographie se construit dès le début par concertation, à tous les niveaux de l’organisation, elle devient alors l’outil de chacun pour positionner ses risques, et les mettre au regard de ses objectifs[1]. L’organisation se trouve alors dotée, non pas d’une cartographie des risques mais de plusieurs, construites collégialement et qui s’agrègent suivant les niveaux de l’organisme par décision si possible consensuelle.
Si nous ne considérons pas notre cartographie comme un tableau de bord, elle reste un outil opérationnel par suivre les risques de notre organisation. Il faut donc respecter quelques règles simples pour garder l’opérationnalité de notre cartographie :
- Ne pas afficher plus d’une dizaine de risques sur chaque cartographie. Pour information, l’empan mnésique[2] d’une personne est d’environ 8 items. Il y a en général plus de risques que cela dans une organisation, et suivant le niveau organisationnel concerné par la cartographie, il faudra regrouper des risques en familles plus importantes pour respecter cette règle.
- Impliquer l’ensemble du personnel de l’organisation. En effet, plus vous impliquez de monde, plus votre cartographie est riche et plus vous aurez de personnes en charge de suivre certains risques (propriétaires de risques). cela permet alors de faciliter l’utilisation d’autres outils sur les risques, comme le document unique par exemple.
- « Vingt fois sur le métier remettez votre ouvrage », comme disait Boileau. La cartographie est un processus itératif. Le contexte externe et interne de votre organisation évolue en permanence. en faisant régulièrement des revues de cartographie, vous rendez le management des risques vivant et concret. Cette tâche de révision, si rébarbative sur une cartographie contenant plusieurs dizaines de risques, devient tout à fait abordable si on respecte le premier point et que la révision est faite par les propriétaires de risques.
- Rendez le risque positif ! La cartographie doit être un outil valorisant les progrès faits en matière de gestion des risques. Le catastrophisme permanent sur les risques encourus par l’organisation est contreproductif. La cartographie permet de présenter les avancées de l’organisation, les risques pour lesquels elle se surprotège et ceux qui devraient être mieux pris en compte.
J’ai souvent constaté en faisant cet exercice chez différents clients que les participants au groupe de travail étaient surpris par les risques auxquels ils étaient le plus exposés, bien loin souvent de ceux qu’ils pensaient, qui étaient mis en avant par l’organisation mais qui étaient généralement bien couverts !
La cartographie des risques doit donc être utilisée comme un processus de dissémination de la culture du risque au sein d’un organisme, en animant des groupes de travail (par service, par processus, par équipe). Le manager des risques n’impose plus sa vision, mais participe de manière consensuelle au choix des risques à traiter. Les acteurs de l’organisation acceptent les risques retenus comme étant ceux que l’organisme doit suivre et sur lesquel il doit progresser.
[1] La norme ISO 31000 définit le risque comme étant l’effet de l’incertitude sur l’atteinte des objectifs
[2] L’empan mnésique désigne le nombre d’éléments que l’on peut restituer immédiatement après les avoir entendus. Ce nombre est de 7 plus ou moins 2.