Par Scott Fenstermaker

« Hydre, dont le corps unique a donné naissance à cent cous, chacun portant une tête de serpent. Et lorsqu’on lui coupait une tête, à l’endroit où elle était coupée, il en sortait deux autres ; c’est pourquoi on la considérait comme invincible, et à juste titre, puisque la partie de l’hydre qui avait été soumise envoyait à sa place une double assistance ».

-Diodore de Sicile, Bibliothèque d’histoire 4. 11. 5 (trad. Oldfather) (historien grec du 1er siècle av. J.-C.)

Si vous vous retrouvez un jour à Florence, en Italie, dans la célèbre Galleria degli Uffizi, cherchez un chef-d’œuvre peu connu : Hercule tuant Antée, de Pollaiuolo, qui représente le 11e des 12 travaux d’Hercule : tuer à mains nues Antée le Géant, fils de Poséidon et de la déesse de la terre Gaïa. Ce qui rendait Antée presque impossible à tuer, c’est qu’il pouvait puiser sa force dans la terre, ce qui le rendait plus fort à chaque fois qu’il était mis à terre. Tous les dommages que les adversaires lui infligeaient rendaient donc Antaeus encore plus difficile à vaincre. Hercule dut tenir Antaeus complètement au-dessus du sol pour finalement l’étrangler. Cinq cent cinquante ans plus tard, Nassim Taleb invente le terme « antifragile » pour décrire les systèmes qui ne se contentent pas de résister à la volatilité, mais qui s’en trouvent positivement améliorés. Dans son livre Antifragile : Things That Gain from Disorder, il écrit :

Certaines choses profitent des chocs ; elles prospèrent et se développent lorsqu’elles sont exposées à la volatilité, au hasard, au désordre et aux facteurs de stress, et elles aiment l’aventure, le risque et l’incertitude. Pourtant, malgré l’omniprésence du phénomène, il n’existe pas de mot pour désigner l’exact opposé de fragile. Appelons-le antifragilité. L’antifragilité se situe au-delà de la résilience ou de la robustesse. Le résilient résiste aux chocs et reste le même ; l’antifragile s’améliore. Cette propriété est à l’origine de tout ce qui a changé avec le temps : l’évolution, la culture, les idées, les révolutions, les systèmes politiques, l’innovation technologique, le succès culturel et économique, la survie des entreprises, les bonnes recettes (par exemple, la soupe de poulet ou le steak tartare avec une goutte de cognac), l’essor des villes, des cultures, des systèmes juridiques, des forêts équatoriales, la résistance des bactéries … et même notre propre existence en tant qu’espèce sur cette planète.

À l’instar des exemples de Taleb, les entreprises prospères et durables tirent leur valeur de leur exposition aux facteurs de stress du marché. Les meilleures entreprises, comme les organismes, se renforcent en surmontant les difficultés et en s’engageant dans la compétition. Cependant, peu d’entreprises sont antifragiles. Les entreprises font régulièrement faillite, même des icônes éprouvées comme JC Penney et Sears. En fait, l’ensemble du secteur de la vente au détail, dont les marges sont traditionnellement faibles, s’est révélé extrêmement fragile face à un facteur de stress socialement perturbateur tel que la pandémie de COVID-19. La fragilité du secteur a fini par concentrer le pouvoir entre les mains de quelques mastodontes, comme Amazon et Walmart, dont les opérations et le positionnement démontrent leur antifragilité. Quelles sont les implications de ce concept d’antifragilité pour d’autres organisations qui sortent d’une pandémie mondiale et qui sont en quête permanente de résilience ? Existe-t-il un moyen de mettre en place des programmes de gestion des risques et de conformité qui permettent non seulement aux organisations de faire face à des événements extrêmes, mais aussi de s’en renforcer directement et systématiquement ? Récemment, Bob Bowman, directeur de la gestion des risques chez The Wendy’s Company, s’est entretenu avec l’équipe de Riskonnect pour enregistrer un webinaire sur la façon dont son équipe a utilisé la technologie ERM pour gérer les risques associés à la pandémie de COVID-19. L’enregistrement est accessible ci-dessous :

Écoutez Bob dans notre récent webinaire Risk@Work.

L’analyse de Taleb propose plusieurs dynamiques susceptibles d’accroître l’antifragilité des systèmes complexes. Voici trois de ces dynamiques – et comment le programme ERM de Bowman démontre ces principes.

numéro unEssais et erreurs ou planification descendante

Les systèmes antifragiles tirent parti des essais et des erreurs systématiques. Dans la nature, la sélection naturelle élimine ceux qui sont incapables de s’adapter et leur confère de la force en permettant aux survivants de se reproduire. Dans les entreprises, les bons services de gestion des risques et de la conformité sont dirigés par des personnes dotées d’une vision, bien entendu. Les bons départements de gestion des risques et de la conformité résistent également au piège qui consiste à dicter les règles depuis le sommet plutôt que de s’adapter depuis la base. Ils peuvent considérer les événements indésirables non seulement comme une épreuve à surmonter, mais aussi comme une source d’enseignements. L’une des fonctions les plus importantes d’un système de GRE, note Bowman, est de mémoriser la dynamique des événements à risque une fois qu’ils sont terminés, en enregistrant les impacts sur l’entreprise, les réponses des contrôles, les adaptations des procédures et toute autre donnée pertinente qui pourrait rendre les réponses futures plus efficaces. L’intégration du retour d’expérience dans le programme permet de corriger les contrôles et les mesures d’atténuation insuffisants, ce qui permet de régler le système pour la prochaine fois. Les organisations antifragiles mettent en place des mécanismes qui imitent les essais et les erreurs de la sélection naturelle. Elles recueillent systématiquement les enseignements tirés des événements indésirables, les regroupent, les analysent pour en déterminer l’importance et permettent aux résultats significatifs d’éclairer leurs feuilles de route et leurs stratégies.

numéro deuxCapacité d’adaptation ou confiance en une prédiction réussie

Bowman parle en détail de l’énorme quantité de planification préalable et d’analyse du paysage des risques pour informer son programme ERM. Cependant, quelle que soit la prévoyance dont vous faites preuve dans votre registre des risques, il y aura toujours des événements qui se manifesteront différemment de ce que vous aviez prévu. Votre préparation peut vous donner des indications sur l’impact sur l’entreprise, la vitesse, etc., mais vous devez également vous adapter aux aspects de l’événement qui se manifestent différemment de ce que vous aviez prévu. La pandémie COVID-19 en est un bon exemple. Bowman note : « Nous avons très vite reconnu que cet événement à risque pourrait en fait dépasser une planification raisonnable, ou des efforts d’atténuation raisonnables, et que la réponse pourrait être plus large ou plus profonde que prévu. » De nombreuses entreprises ont enregistré des pandémies dans leurs systèmes de gestion des risques, mais peu d’entre elles – voire aucune – ont imaginé l’ampleur des perturbations causées par le COVID-19. Un gestionnaire de risques agile reconnaît que le COVID-19 ressemble à différents aspects de plusieurs risques. La pandémie, par exemple, peut ressembler en partie à un risque de catastrophe naturelle par sa capacité à fermer les bureaux physiques et à imposer le travail à domicile. Elle peut également ressembler aux risques liés aux ralentissements économiques, par son effet sur les fournisseurs tiers. Nous pouvons mieux comprendre un événement nouveau ou surprenant en analysant d’autres risques qui présentent des caractéristiques similaires, en tirant un peu de ceci et un peu de cela pour compléter le tableau.

numéro troisLes événements à risque entraînent moins d’événements futurs (corrélation négative des erreurs)

Voici un problème mathématique courant en matière de gestion des risques. Supposons que vous soyez confronté à trois risques potentiels : 1) une cyber-pénétration réussie avec une probabilité de 2 % de se produire dans l’année ; 2) une récession économique avec une probabilité de 5 % ; et 3) un procès important intenté par un employé avec une probabilité de 3 %. Quelle est la probabilité que ces trois événements se produisent en même temps ? Si vous supposez que ces trois événements ne sont pas liés, vous multiplierez 2 % par 5 % par 3 %, ce qui vous donnera 0,003 % de chances que les trois événements se produisent en même temps. Dans le monde réel, cependant, les événements sont rarement sans lien entre eux. Ils peuvent être corrélés de manière surprenante. Supposons qu’au cours de l’année à venir, vous soyez confronté à l’un des événements susmentionnés, à savoir une récession économique. Vous vous sentez peut-être à l’abri des deux autres risques parce que vous avez fait le calcul et que les probabilités simultanées sont très faibles. Cependant, le ralentissement économique vous oblige à licencier du personnel dans plusieurs services, y compris votre service informatique. Ce dernier, en sous-effectif et sous pression, commence à retarder l’application de certains correctifs de sécurité cruciaux, ce qui entraîne une cyber-pénétration. Pendant ce temps, l’employé du service informatique que vous avez licencié uniquement en raison de la récession économique se sent injustement visé et intente une action en justice pour licenciement abusif.

Un événement à risque a rendu les deux autres plus probables. C’est plutôt ainsi que fonctionne la vie. L’inverse peut également être vrai. Dans certaines conditions, la présence de certains événements à risque peut rendre d’autres événements moins probables. Taleb prend l’exemple des pannes d’avion. Si un avion a une urgence, les résultats sont si médiatisés et les protocoles d’enquête si stricts que les vols sont immédiatement cloués au sol et que les correctifs sont rapidement diffusés, ce qui rend l’ensemble du système plus sûr. La valeur de la gestion des risques de l’entreprise consiste à comprendre les impacts commerciaux des risques de manière si approfondie que vous pouvez rendre vos contrôles et vos mesures d’atténuation aussi efficaces que possible. Bowman parle d’aller au-delà des simples scores d’évaluation d’un certain risque et de développer un profil complet d’associations, y compris les politiques, les procédures, les objectifs commerciaux, les indicateurs, les contrôles et les tierces parties concernées :

Et si vous pouviez associer une évaluation des risques à un profil ? … Alors que nous réunissons rapidement l’équipe interfonctionnelle d’intervention en cas d’incident, dotons chacun d’entre eux, individuellement et collectivement, d’un ensemble commun de connaissances relatives à ce risque. Et si nous pouvions faire cela sous la forme d’un rapport ? Et si la convocation initiale de l’équipe, le briefing initial, le triage – et nous utiliserons ici aussi un « comme » ou un « semblable » – s’articulaient autour d’un profil connu, détaillé et mûr, qui compléterait l’évaluation ?

Bowman utilise le moteur de corrélation des risques Riskonnect comme élément central de ce profil à 360 degrés pour comprendre les risques. Grâce à sa connaissance détaillée de l’impact d’un risque sur l’ensemble de son entreprise, il peut se concentrer sur la mise en œuvre de contrôles et de réponses qui découplent un événement de risque des événements en cascade potentiels qu’il pourrait déclencher. Les informations relatives à l’événement de risque principal sont directement utilisées pour réduire la probabilité d’événements connexes.

Au-delà de la résilience : La force progressive du stress

Dans le contexte de l’après-COVID, les professionnels du risque et de la conformité commencent à parler davantage de résilience opérationnelle. La résilience est cruciale, mais la conversation doit aller au-delà de la rapidité et de l’efficacité avec lesquelles une organisation peut revenir au statu quo ante. La discussion doit s’étendre à la manière dont l’organisation peut être construite – comme Antée – pour acquérir une force supérieure à son état initial chaque fois qu’elle est mise à terre. Le cœur de tout programme de gestion des risques d’entreprise antifragile est une discipline procédurale et un engagement en faveur de l’agilité, de l’analyse et de l’apprentissage. Les programmes ERM n’existent pas pour être un catalogue statique des choses qui pourraient arriver ; ils existent pour rendre les organisations toujours meilleures pour survivre et prospérer.

Pour en savoir plus sur le risque d’entreprise et sur la manière de lancer un programme de gestion du risque d’entreprise, téléchargez notre livre électronique intitulé  » Charting a Course for Enterprise Risk Management » (Tracer la voie de la gestion du risque d’entreprise).