Une culture du risque appropriée peut-elle aider à atteindre les objectifs de l’entreprise et à éviter les surprises potentiellement destructrices ? La réponse est « oui » selon l’Institute of Operational Risk (IOR), qui aborde le sujet et explore comment une meilleure compréhension, évaluation et mesure de la culture du risque organisationnel peut contribuer à atténuer les risques opérationnels et à renforcer la résilience opérationnelle, dans le cadre de son livre blanc intitulé « Culture du risque – Guide de bonnes pratiques en matière de risque opérationnel ».

Principaux enseignements du livre blanc :

  • Il n’y a pas de « taille unique

Dès le départ, les orientations affirment qu’il n’existe pas de culture du risque optimale à atteindre, ni de caractéristiques de culture du risque « fortes » à viser ou « faibles » à éviter. La culture du risque concerne aussi bien la prise de risque que le contrôle du risque et il convient de tenir compte du fait que différentes cultures du risque peuvent exister dans différents secteurs d’une entreprise, en particulier dans les entreprises plus grandes et plus diversifiées. Néanmoins, la culture du risque peut être gérée efficacement avec des résultats positifs, dans le cadre d’une gestion saine du risque opérationnel.

  • Qu’est-ce que la culture du risque ?

La GIR définit la culture du risque comme suit « Un terme décrivant les valeurs, les croyances, les connaissances, les attitudes et la compréhension du risque, partagées par un groupe de personnes ayant un objectif commun. Ce terme s’applique à toutes les organisations, y compris les entreprises privées, les organismes publics, les gouvernements et les organisations à but non lucratif ». Au-delà de la définition, ce qui compte, c’est un concept et une compréhension partagés de la culture du risque à l’échelle de l’organisation, en particulier lorsqu’il s’agit de savoir ce qui est inclus (ou non) dans le « parapluie » de la culture du risque et comment les valeurs, les croyances, les connaissances, les attitudes et la compréhension sont pertinentes et résonnantes. Prenons l’exemple des « valeurs » : quelles sont-elles pour une entreprise donnée et comment sont-elles liées à la gestion du risque opérationnel et l’influencent-elles ? Le personnel apporte-t-il ses propres valeurs et, le cas échéant, celles-ci renforcent-elles ou contredisent-elles la gestion du risque opérationnel ? En ce qui concerne les « croyances », il y aura des interprétations positives et négatives de ce que les gens pensent de l’importance du risque opérationnel et des avantages et des coûts de sa gestion. Les « connaissances  » – le degré de connaissance du risque opérationnel et de sa gestion. Les gens sont-ils plus ou moins compétents en matière de risque opérationnel ? Et comment les « attitudes » à l’égard du risque interagissent-elles ? Les gens sont-ils plus averses au risque lorsqu’ils perçoivent une menace potentielle importante et plus ouverts aux risques associés aux opportunités ? La « compréhension » s’acquiert par l’expérience et les personnes activement impliquées dans l’identification, l’évaluation et le contrôle des risques opérationnels sont susceptibles d’avoir une meilleure compréhension.

  • Évaluer la culture du risque

« L’évaluation de la culture du risque est compliquée et sujette à des inexactitudes et à des interprétations biaisées… En outre, la manière dont les dirigeants interprètent les résultats des évaluations de la culture du risque sera biaisée par leurs propres croyances, connaissances, attitudes, etc. concernant le risque opérationnel et sa gestion. » Tout en mettant en garde, le guide fournit des détails sur les principales méthodes d’évaluation, à l’échelle de l’entreprise ou par l’intermédiaire des fonctions de risque opérationnel respectives. En bref, les méthodes d’évaluation examinées couvrent les questionnaires, avec des conseils et des considérations utiles pour leur conception ; les entretiens qui peuvent fournir « une image plus profonde et plus complète, reflétée dans ce que les gens ont dit au sujet de la culture du risque d’une organisation », bien que cette approche puisse nécessiter beaucoup de temps et de ressources ; les groupes de discussion qui permettent de mettre en évidence des thèmes ou des problèmes communs au sein d’une culture du risque ; et la façon dont l ‘observation directe peut fournir un outil d’évaluation puissant pour dresser un tableau de la culture du risque et de ses sous-cultures.

  • Mesures de la culture du risque

Étant donné que les évaluations de la culture du risque peuvent nécessiter beaucoup de ressources, une solution plus viable consisterait à les réaliser peu fréquemment (peut-être une fois par an ou tous les deux ans) et à les combiner avec des rapports plus fréquents sur les indicateurs de la culture du risque. Le livre blanc présente six indicateurs qui peuvent être utilisés pour surveiller la culture du risque : la rotation du personnel, en soulignant les pièges des changements de personnel importants qui peuvent diluer la culture du risque et comment de faibles niveaux de rotation peuvent intensifier la « pensée de groupe », où des opinions bien ancrées sur la culture du risque peuvent ne pas être remises en question ; la conduite du personnel, où des hausses ou des baisses des griefs du personnel ou des mesures disciplinaires peuvent indiquer des changements dans la culture du risque ; le respect des politiques, où l’augmentation du respect des politiques est un indicateur positif de la culture du risque ; l’audit interne, où les retards dans l’achèvement des actions d’audit peuvent signaler des problèmes de comportement ou un manque de compréhension de la nécessité d’une gestion solide du risque opérationnel ; les pertes et les accidents évités de justesse, où des augmentations ou des diminutions soudaines peuvent refléter des changements dans la culture du risque ; et la communication sur le risque – le nombre de fois où les fonctions de l’entreprise contactent la fonction de risque opérationnel pour obtenir des conseils peut être extrêmement révélateur. Les orientations suggèrent également une implication interdépartementale : le personnel des ressources humaines et de l’audit interne devrait travailler avec les collègues chargés du risque opérationnel, ce qui permettrait d’avoir un aperçu de la diversité des personnalités au sein du personnel et de comprendre le mode de fonctionnement de l’organisation.

  • Influencer la culture du risque

« Il convient d’être extrêmement prudent lorsqu’on tente de contrôler la culture du risque. Pour une réussite optimale, il est conseillé d’éviter les projets de changement de culture du risque de grande envergure et de se concentrer sur des aspects spécifiques de la culture du risque qu’il serait avantageux ou souhaitable d’influencer. De la stratégie et du leadership, de l’appétit et de la tolérance au risque, des politiques et procédures de ressources humaines à la communication (formelle et informelle) et à la conception de processus et de systèmes, les mesures communes et diverses utilisées pour influencer la culture du risque font l’objet d’un examen approfondi. En fin de compte, si comme le suggère le livre blanc, « la culture du risque d’une organisation est un élément important de sa réussite ou de son échec », cela vaut-il la peine de s’y intéresser ?