Huit conseils pour analyser et gérer les risques émergents

Comme l’a rappelé Laurence Baillif, consultante en gestion des risques et des crises, lors des Rencontres CNPP / Face au Risque fin 2023, les risques émergents sont complexes à appréhender.

• Ils sont le plus souvent nouveaux. « On a une certaine méconnaissance des effets et, dans certains cas, un déficit des connaissances scientifiques ou des résultats contradictoires », a expliqué l’experte.

• Il y a souvent un manque de conscience collective : « On est dans des biais cognitifs, voire dans le déni ».

• Ils sont caractérisés par une certaine insécurité juridique et réglementaire. « Souvent, les périodes de développement sont longues, même si on peut avoir à un moment une accélération rapide, dans un environnement réglementaire et juridique souvent à la traîne par rapport à la réalité », commente-t-elle.

• Enfin, ce sont des risques le plus souvent à portée mondiale. « Il faudra donc réussir à sensibiliser des cultures très différentes », prévient-elle.

Les entreprises doivent pourtant intégrer ces risques émergents à leur analyse de risques. Voici huit conseils pour les y aider.

Des outils comme Vigie2030 d’Arengi (voir ci-dessous) ou des baromètres d’assureurs par exemple offrent une vision prospective des risques et permettent aux personnes qui gèrent les risques de suivre les tendances des risques émergents.

Vigie2030, animé par le cabinet de conseil en gestion des risques Arengi, est un dispositif permanent de veille et d’observation des tendances émergentes, qui peuvent représenter à long terme soit un risque, soit une opportunité pour les entreprises françaises. Le registre Vigie2030 3.0 compte 10 thématiques, qui se déclinent en 68 tendances. On y trouve par exemple la part croissante des séniors en entreprise, la démocratisation de l’intelligence artificielle, l’accentuation du désordre informationnel, la démultiplication des événements climatiques extrêmes, la cyberguerre, le recul de la valeur travail ou encore l’hyper-dépendance aux données personnelles et biométriques.

Les entreprises peuvent l’exploiter tel quel ou l’amender, en fonction de leurs activités et spécificités. L’Amrae (Association pour le management des risques et des assurances), l’Ifaci (Institut français de l’audit et du contrôle interne) et le CDSE (Club des directeurs de sécurité des entreprises), partenaires de Vigie2030, contribuent également à enrichir et à croiser les points de vue.

Pour évaluer les risques émergents, il est nécessaire pour une organisation de prendre en compte son environnement, qu’il soit interne ou externe. « La première chose à faire, c’est déjà de prendre conscience que les entreprises évoluent désormais dans un contexte volatile, incertain, complexe et ambigu. C’est un défi, mais il faut pourtant prendre en compte ce contexte », souligne Laurence Baillif. Pour ce faire, elle conseille aux personnes en charge des risques de détourner des outils qui existent déjà pour intégrer les facteurs de risques liés aux parties prenantes.

Cette analyse va permettre d’identifier les déficits culturels, organisationnels ou managériaux de l’organisation, les déficits d’une partie prenantes mais aussi les dissonances entre deux ou plusieurs réseaux d’acteurs.

« Les personnes en charge de la gestion des risques vont contextualiser les tendances de risques émergents, piochées dans Vigie2030 par exemple, avec ces outils pour identifier les facteurs de risques liés au contexte », explique Laurence Baillif.

L’objectif est ici de répondre à la question suivante : parmi les tendances de risques émergents et au vu des forces et faiblesses de mon environnement, quels risques émergents peuvent affecter mon entreprise et avoir un impact sur ma capacité à atteindre les objectifs fixés ? Quels risques retenir ?

« Chaque entreprise peut réaliser son propre panorama des risques en croisant ses éléments de contexte (son environnement) et les résultats de sa veille sur les risques émergents pour identifier ce qui peut l’impacter à son échelle, explique Jean-François Iparraguirre, manager Gestion des risques et des crises à CNPP. On entre un peu dans du ligne à ligne pour identifier ce qui nous concerne. »

Il propose par exemple, à l’échelle de l’entreprise, de qualifier les risques émergents sous différentes thématiques, comme :

• les nouveaux risques liés à l’innovation technologique (nanotechnologies, biotechnologies, IA…) ;

• les risques anciens dont le changement conduit à de nouvelles expositions (changement climatique, maladies infectieuses, exposition aux champs électromagnétiques…) ;

• les évolutions sociétales (exigence de transparence, évolutions des modes de consommation, bien-être et cause animale…).

Après l’identification des risques, place à la cartographie. Il s’agit ici d’évaluer l’impact potentiel des risques émergents sur la santé, la sécurité et l’environnement pour savoir quels risques sont prioritaires.

« Pour mieux accueillir les risques émergents, l’entreprise doit passer d’une démarche d’analyse de sécurité, de conformité à des exigences réglementaires, à une approche plus globale des risques. Elle doit avoir cette ouverture au-delà des risques techniques classiques », souligne Jean-François Iparraguirre.

Une cartographie a pour but d’identifier ce qui menace les objectifs de l’organisation et potentiellement de déterminer des opportunités. C’est aussi un outil d’aide à la décision et une base de travail pour construire des plans d’actions.

Dans une matrice fréquence/impact de ce type, certains risques émergents pourront être qualifiés bien qu’il y ait une incertitude sur la vraisemblance ou les conséquences. « Si on prend l’exemple d’un incendie de batteries lithium-ion dans une entreprise, on pourra certainement qualifier l’impact de ce scénario au sein de la matrice », remarque Jean- François Iparraguirre.

Pour d’autres risques émergents, il sera beaucoup plus compliqué, voire impossible, de les qualifier. « Dans ce cas, il ne s’agit pas de les occulter, mais de les poser en scénarios redoutés, dans une liste ou un dossier spécial par exemple, et de travailler sur la résilience en cas de survenance de l’événement », ajoute-t-il.

Il faut mettre en place des mesures préventives quand c’est possible. Si ce n’est pas le cas, se préparer à la survenance de l’événement. « On traite de mon point de vue les risques émergents par cette capacité à gérer leur survenance, si on n’a pas pu travailler en amont sur la prévention et la protection de façon classique. C’est là qu’on parle de plan de continuité d’activité et de capacité à rebondir suite à l’événement », explique Jean- François Iparraguirre.

C’est une étape nécessaire pour développer une culture du risque émergent. « La cartographie des risques peut apparaître comme un exercice corporate mais pour que cela fonctionne il faut de réels échanges, illustre Michel Josset, directeur Assurances et Prévention chez Forvia, groupe français d’ingénierie et de production d’équipements automobiles. Dans notre groupe, mon collègue en charge de la gestion des risques a eu à coeur de déployer la cartographie des risques à tous les étages de l’entreprise avec des correspondants chargés de déployer des cartographies à l’échelle d’un pays, d’un atelier, d’une opération particulière… et de remonter les informations. »

Puisqu’il y a une vraie difficulté pour les assureurs à délivrer des garanties sur un risque émergent sur lequel il existe peu de données et de recul, il va être demandé aux entreprises d’avoir une réponse la plus technique possible. « Un recours aux experts va aider à évaluer le risque pour pouvoir discuter avec l’assureur », expose Laurence Baillif.

« Les assureurs ont un rôle éminent à jouer dans la prévention, ajoute Michel Josset. Le dialogue technique entre l’entreprise et les ingénieurs des compagnies est primordial. Il doit se faire dans un cadre informé, en toute transparence. Des co-constructions peuvent être intéressantes. »

Pour Jean-François Iparraguirre, la réponse face à ces risques émergents doit être une réponse combinée de l’État, qui doit prendre en compte ces nouveaux risques en les qualifiant et en adaptant parfois la réglementation ou, dans ses dispositifs généraux d’organisation, de l’assureur et de l’assuré (protection via de nouvelles technologies, continuité d’activité).

La mise à jour de la cartographie des risques est un exercice permanent car l’activité de l’entreprise, le contexte des risques évoluent. La veille stratégique va permettre de détecter les nouveaux risques émergents, les événements particuliers concernant un risque déjà identifié. Il faudra également évaluer régulièrement l’efficacité des mesures préventives. « On est typiquement dans une démarche itérative, dans une boucle d’amélioration pour les tendances présentées par exemple dans Vigie2030 ou pour la cartographie », conclut Laurence Baillif.

Article extrait du n° 599 de Face au Risque : « Gérer les risques émergents » (janvier-février 2024).