La plupart des organisations construisent leurs cadres de gestion des risques et de résilience autour d’une prémisse simple : identifier les menaces, les évaluer et les contrôler. Elles élaborent un plan de continuité des activités en cas de défaillance de systèmes ou de processus clés. Pendant de nombreuses années, cette approche a rempli son objectif.
Mais l’environnement opérationnel actuel est défini par des risques interconnectés, des chaînes d’approvisionnement interdépendantes, des technologies intégrées et des dépendances vis-à-vis de tiers, ce qui signifie que les perturbations se produisent rarement de manière isolée. Elles se propagent à travers les équipes, les partenaires et les systèmes, ce qui signifie que la gestion des risques et de la résilience liée à un événement unique ne suffit plus. Cet environnement volatile et complexe a poussé les organisations à renforcer leur préparation et leur capacité de réponse.
La construction d’un modèle plus intégré où le risque et la résilience fonctionnent comme une capacité unifiée aide les équipes à identifier les lacunes, à maintenir les performances sous pression et à s’adapter au changement.
La gestion des risques par le biais de contrôles et de la planification de la continuité reste essentielle, mais les organisations doivent étendre cette base pour inclure la prospective, l’adaptabilité et l’alignement avec la stratégie à long terme.
Ce changement fait passer les organisations d’approches cloisonnées à un modèle axé sur la résilience qui soutient la continuité des opérations en cas de perturbation.
De la prévention des risques à l’adaptation en situation de crise
Bien que l’accent mis sur la prévention des risques demeure important, tous les risques ne peuvent pas être prédits, quantifiés ou évités.
Votre organisation doit être prête à réagir lorsque les contrôles échouent, que les hypothèses s’effondrent ou que des événements à risque imprévus se produisent. Cela reformule la gestion des risques en passant de « Comment empêcher que cela se produise ? » à « Comment réagir, s’adapter et continuer à fonctionner lorsque cela se produit ? »
En pratique, cela introduit un ensemble différent de capacités :
- Anticiper la manière dont les risques se propagent dans l’entreprise
- Absorber les chocs sans défaillance immédiate
- S’adapter en temps réel
- Établir des priorités sous pression tout en maintenant les services critiques
- Reconnaître et capitaliser sur les opportunités en situation de crise
Ces capacités constituent le cœur d’une organisation résiliente.
Les organisations font face à des perturbations en cascade dans un environnement de polycrise
Les perturbations systémiques redéfinissent de plus en plus la manière dont les risques sont gérés. Les chaînes d’approvisionnement, les systèmes et les dépendances vis-à-vis de tiers sont désormais étroitement interconnectés, ce qui signifie que les perturbations restent rarement contenues. Au contraire, elles se propagent à travers les fonctions et les partenaires, souvent simultanément. On parle communément de polycrise, où plusieurs perturbations qui se chevauchent se cumulent plutôt que de se produire de manière isolée.
« Un incident de cybersécurité ne concerne plus seulement l’informatique. Il peut déclencher un arrêt opérationnel, des violations réglementaires, des dommages à la réputation et une perte de talents. De même, les événements climatiques affectent la chaîne d’approvisionnement, la disponibilité des assurances et la sécurité du personnel. »
— Agnès de Calbiac, Responsable des risques d’entreprise et de l’assurance, Southern Cross Healthcare
Les cadres de gestion des risques traditionnels ont été conçus pour des événements uniques plus circonscrits. Les catégories de risques avaient des responsables clairement définis, des contrôles établis et des lignes hiérarchiques structurées. Lorsqu’une perturbation unique se produisait, les voies de réponse étaient claires. Lorsque plusieurs perturbations se produisent simultanément, ces structures sont déconnectées et les impacts se propagent à travers les unités opérationnelles.
Cette déconnexion devient plus grave lorsque les équipes de gestion des risques, de résilience et opérationnelles réagissent de manière indépendante, sans compréhension partagée de la situation. Un choc géopolitique, par exemple, peut déclencher des pénuries de carburant, perturber les chaînes d’approvisionnement, augmenter les coûts, diminuer les ventes et exercer une pression sur la stabilité du personnel.
« La gestion des risques n’est pas seulement une question de : comment empêcher que les choses tournent mal ? Mais plutôt, comment nous assurer que l’organisation continue de fonctionner lorsque plusieurs choses tournent mal en même temps ? »
— Agnès de Calbiac, Responsable des risques d’entreprise et de l’assurance, Southern Cross Healthcare
Les attentes de la direction ont également évolué. Les conseils d’administration se concentrent sur la rapidité et l’efficacité avec lesquelles l’organisation réagit aux perturbations, sur la capacité des services critiques à continuer et à s’adapter sous pression, et sur la valeur que l’organisation préserve.
Les réglementations incitent les organisations à lier risque et résilience
Les exigences réglementaires se concentrent de plus en plus sur le maintien des opérations par les organisations, la gestion des tiers et la réponse aux perturbations en tant que système connecté et coordonné.
Dans toutes les juridictions, les régulateurs attendent de vous que vous connectiez le risque opérationnel, la continuité des activités et la surveillance des tiers. En Australie, la norme APRA CPS 230 établit des attentes en matière de résilience opérationnelle de bout en bout, y compris la cartographie des services, les tolérances d’impact et la surveillance des fournisseurs critiques. En Nouvelle-Zélande, la Financial Markets Authority se concentre sur la résilience opérationnelle et la notification rapide des incidents. Dans l’UE, DORA établit des exigences en matière de gestion des risques informatiques, de tests de résilience et de contrôles des risques liés aux tiers.
Même en dehors des services financiers, ces orientations sont importantes. Les organisations doivent intégrer leurs processus de gestion des risques et de résilience dans un modèle opérationnel unique, ce qui renforce leur capacité à fournir des produits et des services pendant les perturbations, à s’adapter lorsque les conditions changent ou que les impacts se propagent, et à intégrer l’apprentissage dans leurs processus de gestion des risques et de résilience.
S’appuyant sur une expérience intersectorielle, David Turner, PDG de Risk New Zealand, met en évidence les pratiques courantes parmi les organisations qui renforcent leur résilience :
- Tester les plans de continuité plus fréquemment, en augmentant la fréquence des cycles annuels ou de 18 mois à des exercices trimestriels ou semestriels
- Étendre la surveillance et l’assurance à l’ensemble de la chaîne d’approvisionnement, y compris les dépendances vis-à-vis de tiers et de sous-traitants
- Formaliser la planification de la relève pour les rôles critiques et renforcer la formation croisée et le partage des connaissances
- Planifier les perturbations systémiques par le biais de tests de scénarios structurés et de planification d’urgence
- Élargir l’éducation et la formation pour accroître la sensibilisation aux risques et à la résilience à tous les niveaux
Les normes de résilience privilégient une approche intégrée
Les normes internationales fournissent désormais des orientations aux organisations sur la manière de connecter la gestion des risques, la continuité des activités et la résilience organisationnelle dans un modèle stratégique et opérationnel efficace :
- ISO 31000 – Lignes directrices pour la gestion des risques : définit la manière dont vous identifiez, évaluez et gérez les risques dans l’ensemble de l’organisation
- ISO 22301 – Systèmes de gestion de la continuité des activités : définit la manière dont vous planifiez les perturbations, effectuez une analyse d’impact sur les activités et rétablissez les services critiques
- ISO 22316 – Résilience organisationnelle (Principes et attributs) : décrit comment le leadership, la culture et l’adaptabilité renforcent la résilience à long terme
- ISO 22332 – Cadre de résilience organisationnelle : fournit des orientations sur l’intégration de la résilience dans la stratégie, les opérations et la prise de décision
Il est important de noter que ces normes suggèrent une approche connectée entre la stratégie et les objectifs organisationnels, garantissant que les approches intégrées de gestion des risques et de la résilience s’alignent sur le succès de l’entreprise.
Résilience opérationnelle vs résilience organisationnelle
La résilience dans l’organisation a deux axes distincts : 1) la résilience opérationnelle – maintenir les services, les opérations et les infrastructures critiques pendant les perturbations, et 2) la résilience organisationnelle – la capacité de l’ensemble de l’organisation à anticiper, s’adapter et prospérer face aux perturbations.
Les éléments de chacun peuvent être résumés comme suit :
| RÉSILIENCE OPÉRATIONNELLE | RÉSILIENCE ORGANISATIONNELLE |
|
|
Les éléments de résilience opérationnelle doivent être en place et fonctionner efficacement pour soutenir une approche réussie de la résilience organisationnelle.
« La résilience opérationnelle protège les opérations d’aujourd’hui, tandis que la résilience organisationnelle protège la pertinence de demain. »
— Agnès de Calbiac, Responsable des risques d’entreprise et de l’assurance, Southern Cross Healthcare
Les dirigeants et les gestionnaires ont besoin d’une stratégie claire, de processus, de rôles et de responsabilités pour la résilience opérationnelle et organisationnelle, afin de s’assurer qu’ils prennent les bonnes décisions et entreprennent les actions nécessaires au bon moment. Cela permet de tester les hypothèses sous-jacentes à la stratégie, d’identifier où les perturbations pourraient les remettre en cause et d’agir sur les opportunités de s’adapter ou de se repositionner.
La dimension humaine de la résilience
La technologie, les processus et la gouvernance ne constituent qu’une partie de l’équation. La résilience dépend de personnes capables de prendre des décisions rapides et éclairées, de modifier les priorités et de réaffecter les ressources lorsqu’une perturbation survient.
Cette capacité n’émerge pas par hasard. Elle est façonnée du haut vers le bas. Le leadership donne le ton quant au sérieux avec lequel la résilience est prise, à la manière et au moment où les décisions sont prises, et à l’autonomie dont disposent les équipes lorsqu’elles réagissent à une perturbation. Lorsque les dirigeants accordent la priorité à la résilience, communiquent des attentes claires et modélisent un comportement décisif, cela se propage dans toute l’organisation, des équipes de direction aux premières lignes.
« La gestion des risques évolue actuellement trop lentement, et cette lenteur crée ses propres risques. Nous avons besoin de penseurs plus rapides et d’actions plus rapides. Nous devons connaître suffisamment bien l’environnement opérationnel de notre organisation pour permettre cela. »
— David Turner, PDG, Risk New Zealand
Vous ne pouvez pas vous fier uniquement à la structure. Ce sont les personnes qui déterminent l’efficacité avec laquelle votre organisation réagit lorsqu’une perturbation survient.
Les organisations qui intègrent la résilience dans leurs opérations quotidiennes permettent à leurs équipes de gestion des risques et de la résilience d’aller au-delà du maintien des contrôles et des plans. Ces équipes testent la performance des processus sous contrainte, remettent en question les hypothèses et communiquent des informations qui soutiennent des décisions plus rapides et meilleures.
Cela exige plus qu’une expertise technique dans les cadres de gestion des risques et les plans de continuité des activités. Assurez-vous que vos équipes peuvent travailler de manière transversale, participer aux tests de scénarios, s’adapter rapidement aux circonstances changeantes et s’aligner sur les objectifs de l’entreprise. Cela leur permet d’influencer les décisions, d’établir des relations entre les fonctions et d’obtenir un soutien pour les initiatives de résilience.
La planification de la relève et la gestion des connaissances exigent également une attention particulière. La dépendance vis-à-vis de personnes clés continue d’exposer les organisations à des risques inutiles. La documentation seule ne suffit pas. Les processus non testés et les manuels statiques offrent peu de protection lorsque les conditions changent.
La résilience se renforce lorsque les connaissances et l’apprentissage sont diffusés à travers les équipes plutôt que de rester avec des individus ou enfermés dans des systèmes.
Construire la résilience par la prospective et les signaux informatifs
La résilience ne concerne pas seulement la manière dont votre organisation réagit aux perturbations, mais aussi la rapidité avec laquelle vous pouvez les voir émerger. La différence entre une perturbation qui est gérée et une perturbation qui s’aggrave dépend souvent de la rapidité et de la qualité de la prospective et des signaux.
Les processus traditionnels de gestion des risques et de la résilience se concentrent fortement sur les évaluations périodiques et l’analyse de scénarios structurée. Bien que celles-ci demeurent importantes, elles sont souvent trop statiques pour capturer les risques en évolution rapide ou interconnectés.
La gestion prospective des risques et de la résilience déplace l’attention de ce qui s’est historiquement produit vers ce qui pourrait encore se produire. Cela nécessite une veille stratégique structurée, non pas comme un exercice théorique mais comme un processus continu de surveillance des signaux et indicateurs externes et internes.
L’analyse de scénarios joue un rôle essentiel dans la transformation des informations en actions. En testant la manière dont différents types de perturbations pourraient se dérouler, les organisations peuvent identifier les points de pression, remettre en question les hypothèses et comprendre l’impact potentiel sur l’entreprise avant que les événements ne se matérialisent.
Faites évoluer vos évaluations des risques régulières pour identifier et évaluer les risques émergents. Cette approche implique l’identification des dépendances, ainsi que des signaux et indicateurs, afin d’améliorer la qualité des informations et de soutenir une intervention précoce.
La valeur de cette approche ne réside pas simplement dans une meilleure sensibilisation. Elle réduit les risques inattendus et améliore la qualité et la rapidité de la prise de décision lorsque des perturbations se produisent. Les organisations qui investissent dans la prospective minimisent les surprises, réagissent plus tôt et limitent l’ampleur et l’impact des perturbations sur l’entreprise.
Cela fait passer la gestion des risques et de la résilience d’une analyse périodique à une sensibilisation continue, où les signaux sont surveillés et traités en temps réel plutôt que de s’appuyer uniquement sur des examens et des mises à jour programmés.
Faire évoluer vos processus de gestion des risques vers une capacité axée sur la résilience
Le passage de la gestion des registres de risques et des plans de continuité des activités dans des fonctions cloisonnées à une capacité intégrée axée sur les risques et la résilience nécessite plusieurs changements dans l’organisation.
Agnès de Calbiac, Responsable des risques d’entreprise et de l’assurance chez Southern Cross Healthcare, décrit quatre étapes pratiques que vous pouvez suivre :
- Utilisez la planification de scénarios pour repérer tôt où votre stratégie pourrait échouer. Cela vous aide à agir plus tôt et à prendre de meilleures décisions d’investissement avant que les risques ne s’aggravent.
- Connectez les activités de gestion des risques dans l’ensemble de votre entreprise. Cela améliore l’alignement des équipes, des données et des priorités et clarifie l’autorité décisionnelle lors d’un incident.
- Cartographiez et testez les dépendances clés sous contrainte. Cela vous aide à comprendre comment les perturbations se propagent à travers les fournisseurs, les partenaires et votre personnel, et pas seulement les contrôles individuels.
- Traitez les perturbations comme des opportunités d’apprentissage. Cela permet une amélioration continue par le biais d’exercices, d’examens et d’adaptation pour l’avenir.
Renforcer la résilience opérationnelle grâce à la gestion intégrée des risques
Une approche déconnectée de la gestion des risques et de la résilience laisse des lacunes et des vulnérabilités lors d’événements perturbateurs. Les réunir offre des plans et des processus plus efficaces, soutenus par des données et des informations partagées qui peuvent ensuite être déployées pour assurer une réponse et une prise de décision rapides.
Dans la première partie de la série de webinaires Resilience Reset avec Riskonnect, Agnès de Calbiac a mis en évidence trois scénarios courants dans lesquels l’intégration des risques et de la résilience améliore les résultats.
Cyberattaque
Prenons une attaque par rançongiciel. Une approche de gestion des risques axée sur les contrôles met l’accent sur la prévention par le biais de pare-feu, de contrôles d’accès et d’authentification, tandis que les efforts de résilience se concentrent sur la récupération après la défaillance des systèmes. Lorsque ces efforts restent séparés, des lacunes apparaissent lors des incidents et la réponse ralentit.
Une approche intégrée vous prépare à la fois à la prévention et à la continuité. Vous concevez des systèmes pour qu’ils échouent en toute sécurité, maintenez les services critiques à un niveau réduit mais fonctionnel et établissez une autorité décisionnelle claire à l’avance. Même si une attaque franchit vos contrôles, vous pouvez continuer à servir les clients et limiter les perturbations opérationnelles.
Perturbation de la chaîne d’approvisionnement
Prenons une opération de fabrication fortement dépendante du carburant. Un événement géopolitique fait grimper les prix du carburant et restreint la disponibilité, exerçant une pression à la fois sur les coûts et sur la capacité de livraison. Une approche traditionnelle de gestion des risques gère l’exposition financière par la couverture, la tarification fixe ou le changement de fournisseurs, mais laisse la production vulnérable lorsque la capacité de transport se resserre.
Une réponse axée sur la résilience construit de la flexibilité dans l’approvisionnement, la production et la logistique. Vous diversifiez les options d’approvisionnement, ajustez la planification de la production et priorisez les résultats critiques sous contrainte. Ensemble, ces actions vous aident à maintenir les livraisons tout en contrôlant l’impact sur les coûts.
Dépendance vis-à-vis d’une personne clé
Un ingénieur principal détient une connaissance approfondie du fonctionnement d’un système critique. Une réponse traditionnelle au risque s’appuie sur la documentation, mais les documents écrits capturent rarement la manière dont les systèmes se comportent sous pression ou comment les problèmes sont résolus dans la pratique.
Une approche intégrée diffuse les connaissances par le biais de formations croisées structurées, de simulations et d’exercices pratiques. Vous préparez plusieurs membres de l’équipe à exploiter et à récupérer le système sous contrainte, réduisant ainsi la dépendance vis-à-vis d’un seul individu et renforçant les performances quotidiennes.
Qu’est-ce qui change avec l’intégration ?
Dans tous ces scénarios, l’intégration améliore votre réponse. Vous maintenez le service pendant la perturbation, prenez des décisions plus rapides sous pression et réduisez l’impact financier et opérationnel, tandis que les organisations moins préparées font face à des retards, à des pertes de revenus et à des perturbations pour les clients.
Plaider en faveur de l’intégration des risques et de la résilience dans votre organisation
L’intégration des risques et de la résilience prend du temps et nécessite un soutien fort de la direction, et la valeur devient claire lorsque vous examinez comment les perturbations affectent les opérations et les résultats de l’entreprise. Vous pouvez commencer par engager les cadres supérieurs et concentrer la discussion sur les risques posés par les approches traditionnelles cloisonnées. Ceux-ci incluent l’accent mis sur les risques liés à un événement unique, la dépendance excessive aux contrôles préventifs, la dépendance vis-à-vis d’individus clés et les vulnérabilités opérationnelles pendant les temps d’arrêt qui limitent la réponse et la récupération rapides après des événements perturbateurs.
Les conseils d’administration et les cadres supérieurs exigent l’assurance de la performance des opérations critiques en cas de perturbation, de la rapidité avec laquelle les services essentiels de l’entreprise peuvent se rétablir et de la performance de l’organisation lorsque les contrôles échouent ou que la capacité devient limitée.
Commencez par cartographier les points d’intégration entre les fonctions et les processus de gestion des risques et de la résilience au sein de votre organisation. Identifiez les données requises, la manière dont elles sont partagées, où les frontières fonctionnelles retardent les réponses aux perturbations émergentes et où les responsabilités et la prise de décision cloisonnées ou fragmentées affaiblissent les initiatives de résilience.
Réunissez les parties prenantes dès le début pour établir une compréhension partagée de l’exposition stratégique et opérationnelle. Reliez les discussions aux objectifs organisationnels et aux priorités de l’entreprise déjà intégrés dans la prise de décision des cadres, y compris la continuité des activités, la stabilité organisationnelle et financière, la protection de la réputation et le maintien d’une position concurrentielle.
Lorsque les organisations se rapprochent de l’alignement entre les fonctions de gestion des risques et de résilience, l’interaction entre les équipes augmente régulièrement, les processus s’améliorent et les données partagées améliorent la visibilité sur l’exposition émergente et soutiennent une prise de décision éclairée. Cela, à son tour, améliore votre capacité à maintenir les opérations et les performances de l’entreprise en cas de perturbation.
La gestion des risques et la résilience en tant que disciplines continuent d’évoluer. Les changements dans les réglementations, les normes et lignes directrices internationales, et les organisations de premier plan conduisent à un passage de la simple gestion des registres de risques et des plans de continuité des activités à la construction d’une entreprise qui anticipe et gère l’exposition aux risques, s’adapte et prospère sous contrainte. Elles y parviennent en combinant leur gestion des risques avec une capacité axée sur la résilience.
Obtenez des informations complémentaires sur la manière dont vous pouvez intégrer la gestion des risques et la planification de la continuité afin de renforcer la résilience. Regardez notre webinaire à la demande, avec David Turner, CEO, Risk New Zealand, et Agnès de Calbiac, Head of Enterprise Risk and Assurance, Southern Cross Healthcare.
