Le risque de queue, c’est-à-dire le risque dont la probabilité est faible et l’impact élevé, est souvent négligé par la gestion traditionnelle des risques de l’entreprise. En effet, la rareté des risques secondaires fait qu’il est facile de les négliger, surtout lorsque tant de risques quotidiens requièrent une attention particulière.

Il s’avère toutefois que ce sont les risques secondaires qui causent le plus de dommages aux organisations et aux efforts de résilience opérationnelle. Les données recueillies par un consortium des plus grandes banques du monde ont révélé que les incidents les plus fréquents – 61 % – n’ont causé que 5,7 % des pertes. Un petit 0,3 % de l’ensemble des événements à risque a cependant causé 63 % des pertes, ce qui est stupéfiant.

Compte tenu de la présence et de l’ampleur du risque de fuite, comment en rechercher les causes ? Comment repérer les signes précurseurs d’un problème ? Le risque de fuite est-il toujours une surprise ?
Pourquoi les entreprises ont tendance à sous-estimer les risques de fuite

Pourquoi les entreprises ont tendance à sous-estimer les risques de fuite

Malgré leur importance, les programmes de GRE sous-estiment souvent les risques de fuite, simplement parce qu’il est dans la nature humaine de se concentrer sur les événements les plus fréquents et les plus récents plutôt que sur ceux qui sont moins visibles. Il est doublement difficile de se préparer à faire face aux risques secondaires, car ils ne se produisent généralement pas à la suite d’un seul événement grave. Les risques de queue sont généralement le résultat d’une tempête parfaite de conditions qui s’alignent pour causer des dommages dévastateurs.

Pensez au diamant, la substance naturelle la plus dure sur Terre. Vous pouvez marteler un diamant à plusieurs reprises sans l’endommager. Mais si vous le frappez exactement au bon endroit, il se désagrège.

De même, un événement à risque combiné à une faiblesse systémique peut se transformer en un point de destruction. Les organisations dont les opérations sont interconnectées et qui ne disposent pas d’une marge de manœuvre suffisante en matière de redondances stratégiques sont particulièrement vulnérables à une chaîne d’événements destructeurs. Ces types de faiblesses systémiques sont souvent minimisés par les modèles de risque traditionnels en raison de leur faible probabilité.
Se préparer aux risques de queue

Se préparer aux risques de queue

« Les grands événements sont rares lorsque vous les contrôlez bien », a déclaré le Dr Ariane Chapelle lors d’un récent webinaire de Risk@Work. Si vous ne regardez pas quand vous traversez la rue, c’est une question de temps avant d’être renversé par un bus. La probabilité de l’événement (être touché) dépend de la façon dont vous contrôlez vos pertes (en regardant d’abord dans les deux sens) et de la façon dont vous les surveillez.

Comment trouver ces failles fatales ? Voici trois techniques :

  • L’analyse factorielle permet de décomposer des situations complexes en déconstruisant des scénarios. Il examine des sources de risque indépendantes afin d’identifier les points faibles et les points de défaillance potentiels. Par exemple, l’analyse factorielle des risques liés aux tiers peut évaluer la fiabilité des fournisseurs, les risques liés au transport, la gestion des stocks et d’autres risques de votre chaîne d’approvisionnement. Cette méthode permet de démêler l’écheveau complexe des facteurs contribuant aux risques de fuite afin de constituer la base des efforts d’atténuation des risques.

  • L’analyse Monte Carlo
     combine un ensemble de scénarios possibles, chacun pondéré en fonction de sa probabilité et de son impact, et simule leurs résultats potentiels. Ce type d’analyse fournit des informations sur la probabilité que les risques se combinent.
  • Les évaluations complètes des risques résiduels vont au-delà de la simple identification des risques pour traiter les risques émergents par le biais d’un suivi et d’une adaptation continus. Cette technique met l’accent sur une compréhension approfondie de l’interdépendance entre les contrôles dans la gestion des risques. Par exemple, une évaluation complète du risque de fuite dans le secteur des soins de santé pourrait impliquer une surveillance continue des protocoles de soins aux patients et l’évaluation de l’interdépendance des processus de soins de santé critiques. Il pourrait également inclure des mesures de suivi de l’évolution des technologies médicales.

Analyse de scénarios et modèle du fromage suisse

L’analyse de scénarios permet d’approfondir les composantes de l’évaluation des risques résiduels afin d’évaluer la probabilité et la vraisemblance des différents facteurs d’impact, de sorte que vous puissiez déterminer vos points d’action. Le risque de queue dépend de la manière dont vos contrôles sont superposés et de leur degré de dépendance ou d’interdépendance les uns par rapport aux autres.

Le Dr Chapelle utilise le modèle du « fromage suisse » de James Reason pour illustrer son propos. Appliqué à un exemple pratique comprenant quatre contrôles, chacun ayant un taux de défaillance de 10 %, le modèle illustre l’impact de la fiabilité collective des contrôles. Les contrôles superposés ne sont efficaces que lorsqu’ils sont indépendants. Les faiblesses de plusieurs contrôles peuvent être exploitées par certains événements à risque – comme l’alignement des trous dans les tranches de fromage suisse.

Analyse de scénarios et modèle du fromage suisse

Une fois la modélisation effectuée, vous pouvez voir où se situent vos contrôles, vos principales causes d’impact et vos faiblesses afin de déterminer si vous devez en faire plus.

« Les gens pensent qu’ils ont beaucoup de contrôles. Mais lorsque vous superposez les contrôles, vous devez vous assurer que les trous ne sont pas alignés », explique le Dr Chapelle. « Le niveau d’indépendance entre vos contrôles est bien plus important que leur fiabilité individuelle. Si vos contrôles sont tous dépendants, ils tomberont comme des dominos ».

La résilience opérationnelle consiste à avoir la capacité d’absorber les chocs opérationnels – et leurs conséquences. Et lorsque les dominos tombent, c’est votre résilience opérationnelle qui s’envole. Une crise financière, par exemple, peut avoir toutes sortes de répercussions, telles qu’une atteinte à la réputation, une défection de la clientèle et un épuisement des talents, qui peuvent avoir un effet exponentiel sur l’entreprise.

Abandonnez l’état d’esprit dépassé qui consiste à réduire les risques fréquents mais insignifiants. Selon le Dr Chapelle, « il est en fait sain pour la gestion des risques d’ignorer les petites choses, car cela vous permet d’économiser votre capacité cognitive, votre temps, vos efforts et votre capacité d’attention pour quelque chose d’important ».

Dans quelle mesure votre résilience opérationnelle s’améliorerait-elle si vous parveniez à éviter – ou même à réduire – le danger du risque de queue ?

Pour en savoir plus sur les risques cachés, téléchargez notre livre électronique, The Hunt for Hidden Risks, et découvrez la solution logicielle de gestion des risques d’entreprise de Riskonnect.