La gestion des risques est souvent vue comme une affaire de spécialistes, les dirigeants associatifs ne s’intéressant alors qu’aux risques majeurs ou à ceux (souvent financiers) avec lesquels ils sont plus familiers. De plus, ils peuvent être démunis en termes de méthodologie et, ne sachant pas par où commencer, se résignent parfois à ne pas commencer du tout.

Pourtant, dans l’optique d’une bonne gouvernance telle que décrite par le Guide IDEAS des bonnes pratiques et valorisée par le Label IDEAS, une bonne gestion des risques fait partie intégrante des processus clés à mettre en œuvre dans une organisation.

Nous décrirons la première étape – cruciale – d’un processus de gestion des risques, avec l’espoir de convaincre le lecteur qu’avec un peu de détermination, de rigueur et d’imagination, il est relativement facile d’en venir à bout.

 

Qu’entend-on par « cartographie des risques » ? 

Un randonneur préparant une sortie en montagne utilisera une carte pour reconnaître son itinéraire et identifier les principaux obstacles à sa progression (ici une pente raide, là un torrent à franchir), en évaluer la difficulté et anticiper comment les surmonter (par exemple en emportant un équipement spécifique, ou en prévoyant de faire un détour).

Pour une association ou une fondation, pas de carte IGN prête à l’emploi. Il va s’agir, dans une première phase, de construire sa propre cartographie des risques : s’appuyant sur le plan stratégique (qui décrit le but et l’itinéraire), elle devra identifier et analyser les principaux événements négatifs pouvant survenir sur sa route. C’est ensuite sur la base de cette cartographie que l’on pourra, dans une seconde phase, définir des parades aux risques identifiés.
Il est clair que de la qualité de la cartographie initiale dépendra l’efficacité des parades et la sécurité globale de l’organisation. Nous nous attacherons donc ici à décrire à grands traits comment élaborer la cartographie des risques.

Par où commencer ?

La première étape consistera en un simple recensement de tous les risques. Un moyen simple et efficace consiste à procéder à un « remue-méninges » (brainstorming) avec des personnels représentatifs de différentes facettes des activités, autour de la question simple : qu’est-ce qui pourrait survenir qui aurait le potentiel de nous empêcher (un temps ou définitivement) d’atteindre nos objectifs ?

Cette approche collégiale permettra d’éviter le premier écueil dans la démarche, qui consiste à « chercher sous le lampadaire », c’est à dire n’explorer que des domaines familiers ou de ne procéder qu’à un recensement des événements déjà survenus dans le passé. C’est ainsi qu’une association pensera spontanément à inclure dans sa cartographie le risque de retrait d’un grand donateur, mais pas celui lié à une exposition médiatique défavorable liée à un incident survenu dans le cadre de ses activités, où même chez un partenaire ; pourtant, un tel incident aurait le potentiel de gravement nuire à l’image de l’association et par contrecoup à sa capacité à mobiliser des financements pour poursuivre son action.

La deuxième étape s’attachera à qualifier chacun des risques identifiés dans le contexte spécifique de l’organisation, aussi bien en termes de probabilité (le risque de tsunami est probablement très faible au siège, mais peut être fort si l’organisation intervient par exemple en Indonésie), qu’en termes d’impact (certains événements certes négatifs n’affecteront que marginalement les opérations, tandis que d’autres auront le potentiel de paralyser toute l’organisation).

La troisième étape utilisera la qualification des risques pour évaluer leur criticité (définie comme le produit de probabilité x impact) et les prioriser. En effet, la liste des risques identifiés sera probablement trop longue pour imaginer que l’organisation puisse les affronter tous et construire une parade appropriée pour chacun. Seule une priorisation rigoureuse fondée sur le niveau de criticité de chaque risque permettra à l’organisation de développer des plans d’action efficaces.
Enfin, il sera nécessaire d’identifier pour les risques les plus critiques, des responsables qui seront en charge du suivi de la mise en place des parades et de leur capacité à traiter ces risques.

Quelles sont quelques erreurs à ne pas commettre ?

Nous avons mentionné plus haut le premier des écueils, celui des “angles morts” de l’organisation qui l’amènent à ignorer certains risques bien réels, se contenter de couvrir le champ qui lui est familier ou simplement recenser les événements déjà survenus dans le passé. Il est crucial de se poser des questions sur tout ce qui pourrait survenir (pas seulement ce qui s’est déjà passé), et pour cela une démarche collégiale est particulièrement adaptée.
Un deuxième écueil est la difficulté de trouver le niveau de détail adapté : une cartographie des risques décrite de façon trop générale ne permettra pas d’agir, tandis qu’un catalogue trop exhaustif épuisera l’organisation dans la poursuite d’un trop grand nombre de chantiers. Posons-nous simplement, pour chacun des risques identifiés, la question suivante : “est-ce que ce risque est suffisamment bien défini pour nous permettre d’élaborer une parade effective ? ” Si la réponse est oui, inutile d’aller plus loin dans le détail. Si elle est non, il faudra continuer à analyser le risque, souvent en le subdivisant, jusqu’à ce qu’il soit suffisamment clair et explicite.
Enfin, un troisième écueil résulte d’une cartographie inachevée La cartographie incomplète qui ne permet pas de prioriser : la cartographie n’est pas un simple catalogue, même si le recensement systématique des risques est une étape indispensable dans son élaboration. La cartographie des risques ne peut jouer pleinement son rôle que si chaque risque est caractérisé (en termes de probabilité et d’impact potentiel) et priorisé en termes de criticité (probabilité x impact). Seule une priorisation rigoureuse permettra à l’organisation de développer des plans d’action efficaces.

Notre cartographie est prête, et après ?

L’élaboration d’une cartographie des risques aboutie représente un travail significatif pour l’organisation, et la tentation peut être forte de pousser un ouf de soulagement… et de s’arrêter là. Cependant, elle n’aura vraiment de valeur pour l’organisation que dans la deuxième phase du processus qui consistera, pour chaque risque identifié, caractérisé et priorisé, à définir un plan d’action permettant de le prévenir ou l’atténuer. L’engagement fort des dirigeants de l’association ou de la fondation sera alors essentiel pour garantir que ces plans d’action soient effectifs et protègent l’organisation de façon adéquate. Dans le référentiel IDEAS, c’est le rôle dévolu à un comité spécialisé, dénommé Comité d’Audit, d’être le garant des bonnes pratiques, au premier rang desquelles la gestion rigoureuse des risques.

 

Olivier Thomas, Conseiller bénévole IDEAS