Management des risques et gestion de crise

risques

Les entreprises prennent de plus en plus conscience que les nouvelles règles de l’économie mondiale et de l’information internationale sont souvent sources de richesses mais aussi de vulnérabilités et qu’elles les projètent dans un univers de risques et d’incertitudes.

Les exigences de l’opinion publique face au risque

Par ailleurs, les entreprises et leurs dirigeants réalisent que les exigences de l’opinion publique font que toute manifestation d’un risque doit nécessairement trouver un responsable qui en assumera la charge morale et financière.

Partant de ce double constat, de nombreux dirigeants publics ou privés en concluent que l’absence d’évaluation et de maîtrise du risque est désormais devenue économiquement très dangereuse et socialement inacceptable. C’est la raison pour laquelle la notion de risque constitue depuis quelques années un réel sujet de préoccupation pour les organisations privées et publiques. Ces dernières sont de plus en plus nombreuses à chercher à maîtriser leurs vulnérabilités par la mise en place d’un système de management des risques et des crises, même si pour parvenir à leurs objectifs, elles emploient des méthodologies diverses étant le fruit de leurs histoires, de leurs cultures et de leurs activités.

Nous faisons régulièrement un état des lieux approfondi, au sein des grandes entreprises françaises, des perceptions des risques et des crises, des structures de management mises en place, ainsi que des stratégies de gestion pour y faire face.

Pour le réaliser, nous sélectionnons un échantillon restreint d’entreprises publiques et privées, leaders dans leur secteur et représentatives des principales activités économiques, telles que l’agroalimentaire, l’énergie, les services, le tourisme et les médias. Ce panel permet d’offrir à nos clients une vision large et diversifiée de ce qui se fait en matière de management des risques et des crises. Toutefois, pour obtenir des informations que ces dernières considèrent à juste titre comme confidentielles, il a été convenu que leurs identités ne seraient pas explicitement mentionnées dans cette étude.

Notre travail s’appuie également sur les analyses et les résultats de diverses études menées sur ce thème, ainsi que sur notre expérience professionnelle aux côtés de différents clients confrontés à des problématiques diverses.

La finalité de cette étude annuelle est de fournir à nos clients un outil de comparaison et d’évaluation à la fois des dispositifs mis en place par le Risk Management, et de ce qu’est aujourd’hui la culture du risque dans leur entreprise par rapport à ce que l’on peut observer dans des sociétés comparables.

La (très!) large notion de risque

La notion de risque est très large. Elle englobe en effet aussi bien les risques financiers, humains, technologiques que le risque image, le risque réputationnel et le risque produit. La difficulté ne réside pas ici dans la définition qu’on lui donne mais plutôt dans la manière de discerner son contenu exact.

Maîtriser les risques et gérer les crises n’est pas, pour les entreprises, une préoccupation nouvelle mais plutôt une inquiétude constante, plus marquée et plus visible. Cette évolution tient à la montée en puissance des médias traditionnels comme des réseaux sociaux (une crise qui passait inaperçue il y a dix ans sera maintenant fortement médiatisée), à l’élargissement de la famille des risques (on assiste à l’émergence de nouveaux types de risques liés à l’image de l’entreprise : manipulation, mensonge, discrimination, plan social), ou encore aux évolutions constantes de l’environnement juridique et social faisant naitre des mouvements de mobilisation sociale très forts comme BalanceTonPorc ou Metoo en ont été des exemples.

D’ailleurs, les études réalisées par notre agence de communication de crise convergent pour montrer que huit entreprises sur dix estiment que leurs préoccupations à l’égard des risques et des crises se sont considérablement accrues ces trois dernières années.

Une culture du risque hétérogène

Il est possible de classer les entreprises en fonction de leur degré d’imprégnation d’une culture du risque et du niveau de mise en place opérationnelle d’une structure adaptée.

L’étude quantitative réalisée sur ce thème souligne plusieurs grandes tendances :

• Près de 70% des entreprises ont mis en place une politique de gestion des risques.
Des disparités sont cependant visibles selon les secteurs d’activité puisque 88% des entreprises du secteur de la banque/assurance et 80% des entreprises de services ont mis en place un système de management des risques tandis qu’à peine 54% des entreprises de la distribution le font.

C’est en général pour des raisons historiques, industrielles ou à la suite d’une crise grave les ayant touchées que les entreprises ont ancré une culture du risque forte dans leur mode d’organisation.

• Les entreprises n’ayant pas encore de dispositif de gestion des risques (30%) déclarent, pour 37%, vouloir mettre en place un tel système et 64% d’entre elles prévoient même de le faire.

Il est par ailleurs intéressant de mentionner que 30 % des sociétés cotées, c’est-à-dire en général les plus exposées aux crises, disent ne pas avoir mis en place de politique de gestion des risques.

Il convient d’ailleurs de noter que, dans leur grande majorité, les entreprises interrogées sur ce sujet considèrent que le risque généré par le secteur d’activité dans lequel elles évoluent est plus élevé que le risque auquel elles s’estiment effectivement soumise. Cela démontre que toute entreprise a plutôt tendance à être clairvoyante pour évaluer le risque porté par ses concurrents, tout en faisant preuve d’aveuglement et d’excès de confiance pour évaluer ses propres risques, alors que ces derniers ne diffèrent pas de ceux de ses concurrents.

Une identification des risques sur la base d’une distinction interne/externe

Les dirigeants d’entreprises semblent donc bien identifier les risques auxquels ils sont soumis et qui sont susceptibles d’impacter l’image, le chiffre d’affaires, la productivité, etc.

Schématiquement, ces risques se présentent sous deux catégories distinctes et n’ont pas, à leurs yeux, une importance similaire. La première catégorie, plus difficilement contrôlable, regroupe les risques liés à l’environnement externe de l’entreprise. La seconde regroupe les risques liés à l’organisation interne. Celle-ci est naturellement mieux connue des dirigeants et leur paraît plus facilement maîtrisable.

Les risques externes

Les entreprises identifient, pour 30% d’entre elles, l’environnement réglementaire comme le risque majeur auquel elles sont confrontées.

Ensuite, on trouve les risques liés aux concurrents pour 27% d’entre elles (47% dans le secteur des services), au marché et à ses évolutions (24%) et enfin ceux liés aux marchés financiers (19% en moyenne contre 46% dans le secteur bancaire).

Les risques internes

La « satisfaction client » est identifiée, par 33% des entreprises interrogées, comme étant le risque majeur.

Les risques induits par le système d’information et de sécurité sont considérés pour 28% comme vitaux. Viennent ensuite l’image de marque et la réputation ainsi que la rétention et la mobilisation des collaborateurs.

De plus, il s’avère que :

• Les risques provenant de l’externe sont davantage considérés comme des risques majeurs par rapport à ceux provenant de l’organisation interne (l’importance accordée aux risques externes tient au fait que les dirigeants en ont une maîtrise limitée. Ils les perçoivent donc comme de réelles menaces, susceptibles de mettre en péril la viabilité de l’entreprise).

• Ces derniers risques, fruits de la vie interne de l’entreprise, sont pourtant mieux couverts que les risques externes alors que ceux-ci sont perçus comme constituant un enjeu plus fort (cela peut-être interprété comme une forme de conversion à la facilité, les entreprises se donnant « bonne conscience » en choisissant de couvrir les risques les plus « accessibles »).

Par ailleurs, il est intéressant de voir les risques spécifiques spontanément identifiés par les dirigeants, ainsi que les ordres de priorité énoncés, lorsqu’on les interroge sur trois domaines majeurs de la vie de l’entreprise : le Management, les Ressources Humaines et la Communication .

Le Management 

• Le Management est une source de risques pour 95% des entreprises interviewées.

• Pour plus de 45% des dirigeants, le risque principal lié au Management est le manque de cohésion de l’équipe dirigeante.

Arrivent ensuite l’incompréhension de la stratégie par les salariés (34%) et le défaut de confiance dans les managers (27%).

• Quand aux risques les plus importants dont il conviendrait d’améliorer la couverture, on trouve la cohésion de l’équipe dirigeante pour 53% des entreprises, la confiance envers les managers (49%) et la compréhension entre les différentes cultures (48%).

Les Ressources Humaines 

• Dans le contexte actuel, en mutation constante et appelant au maintien d’un haut niveau de compétence et de qualification de la main d’œuvre, il est normal que la gestion des compétences clés apparaisse pour 52% comme le principal risque.

La qualité des recrutements est primordiale pour 38% car elle représente un enjeu financier et temporel non négligeable pour l’entreprise.

On trouve ensuite la qualité des relations avec les partenaires sociaux (35%), garante d’un bon climat social et donc d’une bonne productivité, et le système de reconnaissance des salariés (30%).

• En matière d’amélioration du contrôle, on trouve ici la gestion des compétences clés pour 76% des entreprises, le système de reconnaissance des salariés (58%) et la qualité des recrutements (57%).

• Enfin, la gestion des accidents de travail serait un risque à mieux couvrir pour « seulement » 23% des dirigeants interrogés.

La Communication 

• Pour 44% des entreprises interrogées, l’inadéquation entre les messages et les cibles est le risque principal auquel les entreprises doivent faire face. La difficulté réside dans le fait que le message émis ne soit pas compris par le récepteur ou bien même que le message véhiculé ne soit pas adapté à la cible.

L’incohérence entre les messages externes et internes est le risque que 36% des dirigeants souhaiteraient éviter, ainsi que la fuite d’informations confidentielles (34%).

• Enfin, il leur paraît important d’améliorer la confidentialité des informations (47%) et l’adéquation des messages et des cibles (46%).

Bien que l’importance du management des risques soit unanimement reconnue, environ 30% des entreprises n’actualisent leurs risques que si cela s’avère nécessaire au lieu de les étudier de façon régulière.

Par ailleurs, l’aspect juridique prend de plus en plus d’importance dans la gestion des risques liés au management en général, pour 88%, ou en particulier dans la gestion des risques liés aux ressources humaines (72%) et à la communication (30%).

Les structures mises en place

Une différentiation sémantique peut apparaître quant à la façon de nommer la structure en charge de la prévention des risques et de la gestion de crise. Que l’on parle de prévention/management des risques chez nos clients, de maîtrise ou encore de contrôle des risques dans d’autres entreprises, on trouve derrière tous ces termes une seule et même réalité : la gestion des risques et des crises.

On note toutefois une préférence pour la notion de « management des risques » qui renvoie une image plus opérationnelle, plus dynamique (pour mettre en exergue le fait que rien n’est figé) et plus globale (sa mise en place nécessite d’actionner plusieurs leviers).

• Pour 29% des entreprises, la politique de gestion des risques est prise en main par la direction générale, ou encore par le Conseil d’administration ou des comités spécialisés pour 14% et par le Directeur financier pour 14%.

• Seule une entreprise sur deux met en place une fonction ou une activité spécifiquement dédiée au Risk Management (ratio ramené à 1 sur 10 dans le secteur des services contre 6 sur 10 dans la banque/assurance et dans l’industrie).

Les outils et les moyens

Adoptés pour mener à bien la politique de gestion des risques, ils sont utilisés de façon assez inégale.

• Les audits réguliers des risques en interne et les réunions et travaux des directions générales sont utilisés respectivement par 81% et 70% des entreprises, alors qu’une cartographie des risques n’est rédigée que par 49% d’entre elles.

• 41% des entreprises font appel à des prestataires externes comme l’agence LaFrenchCom, pour l’essentiel assureurs et cabinets de conseil.

• En ce qui concerne les avantages de la mise en place d’une stratégie de gestion des risques, l’anticipation et la gestion des risques arrivent en première position (38%).

• Quant aux inconvénients induits par l’application d’une telle politique, les entreprises citent les coûts (24%) et les lourdeurs administratives (22%). En effet, l’adoption d’une politique de contrôle et de gestion des risques nécessite des investissements conséquents. Pour 47% des entreprises, le budget global annuel consacré est supérieur à un million d’euros. Cependant, 5% estiment dépenser plus de dix millions par an.

Enfin, quand on demande aux entreprises ayant un dispositif de gestion des risques d’évaluer leur système actuel, elles sont 23% à se déclarer être peu ou pas satisfaites tandis que 19% disent être très satisfaites.

Après ce bref panorama général des perceptions et attitudes des entreprises françaises face aux risques, fondé sur des études quantitatives, l’étude permettra d’approfondir ces points en réalisant une analyse comparée des méthodologies mises en œuvre pour anticiper, appréhender, gérer et éventuellement capitaliser sur la base des retours d’expériences.

L’identification des risques et l’anticipation des crises

L’identification des risques est un préalable nécessaire à la prévention et gestion de crise.

L’ensemble des responsables interrogés dans le cadre de cette étude s’accorde à dire que l’anticipation est une phase indispensable et nécessaire à la prévention des risques auxquels leur entreprise est soumise. Ils ajoutent également que c’est la condition préalable à une gestion de crise efficace.

Ils estiment que les outils d’anticipation des crises qu’ils ont mis en place participent à la fois d’une meilleure identification des zones de vulnérabilités (apparition de risques nouveaux par les remontées d’information que permettent les outils) et d’une meilleure évaluation des risques.

Par ailleurs, ceux qui ont eu à gérer des crises reconnaissent que les efforts d’anticipation se traduisent généralement par une meilleure gestion de la crise. Pourtant, nous verrons ultérieurement que les crises qui surviennent n’ont pas toujours été prévues, soit parce que le risque générateur n’a pas été identifié, soit parce qu’il n’a pas été évalué correctement.

Enfin, l’identification des risques est globalement considérée comme un formidable vecteur de sensibilisation en interne et donc à même de propager une culture du risque plus ancrée dans l’entreprise.

Des outils couramment utilisés mais à des degrés divers.

Les entreprises sollicitées ont généralement recours aux outils « classiques » d’identification et d’évaluation des risques même si leur mise en œuvre peut prendre des formes diverses et qu’ils ne sont pas tous systématiquement appliqués au sein d’une même entreprise.

La cartographie des risques

La quasi totalité des entreprises interrogées procède à la réalisation d’une cartographie des risques ; même si de l’avis de tous, c’est un travail lourd qui demande beaucoup de temps et nécessite la mobilisation de toutes les directions de l’entreprise.

Une entreprise publique du secteur de l’énergie considère que la cartographie est un outil essentiel dans la gestion des risques car elle permet, certes d’identifier, mais également de classer, de comparer, de hiérarchiser des risques entre eux et de mettre en place des plans d’action pour les traiter. C’est également un moyen de suivi et de communication.

Cependant, il existe des différences notables dans le périmètre, le contenu et l’identification des impacts des cartographies.

Certaines entreprises identifient l’ensemble des risques potentiels pouvant les concerner et font donc un effort d’exhaustivité, d’autres au contraire, se concentrent uniquement sur les risques spécifiques à leurs activités.

De la même manière, nous observons des différences notables quant aux procédés d’identification des risques et de recueil d’information. Une majorité des entreprises demande à l’ensemble des directions et/ou filiales d’exécuter le travail de recensement des risques les concernant.

Pour les autres, ce travail est effectué par la direction en charge du Risk Management, notamment pour les entreprises de plus petites tailles.

Pour les entreprises qui font effectuer le recensement des risques par les directions/filiales, on notera que deux méthodes existent : en mode assisté ou en mode spontané.

En mode spontané, on demande aux directions concernées d’identifier les risques éventuels.

Une entreprise du secteur de l’énergie et de la communication demande à ses Business Unit d’identifier les dix risques les plus importants pouvant les affecter. Ces risques sont ensuite intégrés dans la « Business Review » du groupe.

En mode assisté, les risques sont identifiés au préalable et les directions n’ont plus qu’à les qualifier, en les adaptant à leur activité.

Quoiqu’il en soit, les directions du Risk Management effectuent toujours en parallèle un travail d’identification, au moins par grande famille de risques, afin d’encadrer les remontées d’information en provenance du « terrain ».

Toutes les entreprises ne procèdent pas de la même manière pour évaluer leurs risques et ne prennent pas en compte les mêmes critères : attribution de notes, probabilité d’occurrence, impacts, pondération, taux de couverture…

Par exemple, aucune des sociétés ne fait de distinction formelle entre les différentes catégories d’impact (financier, client, juridique, image et social), ce qui prouve que le raisonnement n’est pas abouti et que l’optimisation de « l’outil » cartographie n’est pas encore réalisée. Généralement, les entreprises retiennent un ou deux critères d’impact ; les plus couramment cités sont l’impact sur le chiffre d’affaires, l’impact d’image et l’impact client. On ne nous a jamais cité plus de deux critères d’impact.

Surtout, il convient de souligner que la mesure d’impact est souvent intuitive, à l’exception du risque sur le chiffre d’affaires.

Enfin, les cartographies classent les risques par grandes familles ou par directions responsables de leur couverture. Si les familles peuvent être nombreuses, les risques identifiés sont relativement souvent liés à des problèmes techniques, aux métiers de l’entreprise et aux impacts perçus comme importants par l’environnement extérieur (administratifs, boursiers, associatifs,…).

A l’exception de deux entreprises qui ont déclaré une volonté de rechercher l’exhaustivité ou bien d’imaginer des risques provoqués par des situations à facteurs multiples, les cartographies recensent généralement le minimum.

Ces responsables précisent que les situations à facteurs multiples sont évidemment plus dangereuses, car plus ardues à identifier, mais aussi plus difficiles, voire impossibles à couvrir comme d’autres risques.

Ils ajoutent que les principales crises à venir seront générées par des situations inattendues (événement interne en conjonction avec une situation externe à l’entreprise), s’appuyant pour cela sur l’étude des crises récentes les plus « violentes ».

Une entreprise publique spécialisée dans le secteur de l’énergie réalise une cartographie intéressante puisqu’elle y intègre non seulement les éléments « de base » mais également les actions de contrôle à mettre en oeuvre pour chaque risque identifié.

La cartographie mentionne la direction concernée par le risque, la catégorie du risque, son impact (aucune distinction n’est faite entre les différents impacts possibles), sa probabilité et son contrôle.

Le fait de mentionner, dans le même document et pour chaque risque, les actions de contrôle à mettre en œuvre, « permet d’avoir une vision d’ensemble des risques et des mesures à prendre pour mieux les gérer. Cela permet également à l’entreprise de travailler, en amont, avec chaque direction pour déterminer non seulement les risques mais également les mesures qui les accompagnent et donc de diffuser la culture du risque dans toute l’organisation ».

Enfin, il convient de mentionner que toutes les entreprises qui mettent en œuvre une cartographie globale des risques font appel à un cabinet de conseil, que ce soit pour l’identification et l’évaluation des risques ou la mise en œuvre effective de cette cartographie au sein de l’entreprise.

Les scénarisations et simulations, rarement utilisées

Certaines entreprises approfondissent leur travail d’identification et de qualification des risques en réalisant des scénarisations sur des risques spécifiques. Ces scénarisations portent cependant encore essentiellement sur des risques liés au « business » même de l’entreprise.

Une entreprise du secteur agroalimentaire procède régulièrement à des simulations de crise sur des risques sanitaires pour éprouver les procédures et s’assurer que les équipes sont capables de les gérer. Ces procédures lui permettent de faire progresser la culture du risque dans l’entreprise en associant à chaque fois des responsables nouveaux, de l’entretenir régulièrement et de la diffuser en interne. Elles permettent également de valider « en situation » les scénarisations, d’actualiser et de rendre opérationnelles les procédures de gestion de crise et de transmettre l’expérience acquise.

Les indicateurs de suivi des défaillances

Les entreprises interrogées auditent également leurs risques par le biais de leurs indicateurs de suivi des défaillances. En effet, les différents services transmettent régulièrement aux services compétents des déclarations de sinistres à l’attention des compagnies d’assurance, des déclarations d’accidents du travail, etc.

Ces informations qui ne nécessitent pas la mise en œuvre de procédures lourdes permettent à la structure en charge du management des risques d’avoir un aperçu de certains risques bien spécifiques et d’établir les données statistiques d’aide au management. Ces informations ne sont cependant jamais utilisées seules et servent plutôt à compléter et valider les outils tels que la cartographie (évaluation/occurrence).

Une entreprise du secteur du tourisme complète et valide son identification des risques (qui n’est d’ailleurs pas formalisée par une cartographie) par le biais des diverses déclarations de sinistres, d’incidents ou d’accidents qui remontent très régulièrement de ses nombreux sites.

Ces procédures permettent de suivre l’évolution des différents risques, d’actualiser leurs impacts ou leur probabilité d’occurrence et donc de mieux gérer les crises éventuelles.

Obstacles et difficultés partagés par la majorité des entreprises

Les entreprises rencontrent généralement les mêmes difficultés de mise en œuvre des outils de management des risques.

Pour la majorité d’entre-elles, la première difficulté réside dans le fait que leur Top Management et le personnel ne possèdent pas une culture du risque suffisante et surtout globale. Cela limite à la fois la mise en oeuvre de leur méthodologie et de leurs outils de management des risques.

En effet, la quasi-totalité des entreprises possède une culture du risque parcellaire et centrée sur les risques endogènes ou liés à leur cœur d’activité (alimentaires et sanitaires dans l’agroalimentaire, assurances et financiers dans les banques…). La plupart du temps, il coexiste donc au sein des sociétés une culture du risque forte sur un ou deux domaines spécifiques, qui leurs permet de gérer les risques inhérents à leur fonctionnement, et une quasi absence de perception globale et générale des autres risques pouvant impacter l’entreprise, tels les risques exogènes ou encore ceux liés à l’image de l’entreprise (mensonges, rumeurs, mises en examen…).

Une entreprise publique du secteur de l’énergie qui possède un parc de centres de production extrêmement sensibles a une très forte culture du risque partagée par l’ensemble du personnel. Les normes de sécurité y sont drastiques, les contrôles permanents et les enjeux sont vitaux.

Cependant, sa perception des autres risques, et en particulier ceux liés à l’image ou au chiffre d’affaires, est encore très limitée, voire inexistante. Pour palier cette absence de prise en compte, une direction du contrôle des risques, dont l’objectif sera d’identifier et de classifier l’ensemble des risques pouvant affecter l’entreprise, vient d’être créée.

Il ressort également de cette étude que les entreprises ayant une bonne culture du risque sont généralement celles qui ont déjà du faire face à une crise majeure ou qui évoluent dans un secteur d’activité sensible et celles dont les membres de la direction générale, de par leurs précédentes fonctions, possèdent cette sensibilité et ont conscience des enjeux liés à une bonne anticipation des risques.

L’élaboration des différents outils (cartographie, scénarisation, …) est d’ailleurs pratiquement toujours faite sur la base des critères d’appréciation transversaux fixés par la direction générale.

Une entreprise du secteur du tourisme possède une véritable culture du risque parce qu’elle est régulièrement exposée à un très grand nombre de crises diverses qui surviennent partout dans le monde. Le spectre de ces crises, qui peuvent aller de l’accident de transport, à l’intoxication alimentaire ou d’une épidémie généralisée à une prise d’otages lors d’un coup d’Etat, « oblige » l’entreprise à avoir une culture du risque plus globale et moins « technique ».

Les autres éléments à prendre en compte sont que cette culture est impulsée par la direction générale et que l’entreprise a conscience que 70% de ses clients font appel à ses services en sachant qu’ils seront en sécurité. La sécurité, sous toutes ses formes, est donc leur priorité.

Une entreprise spécialisée dans l’aménagement et l’exploitation d’aéroports, bien qu’ayant la responsabilité de vies humaines, possède une culture du risque très technique (back-up informatique…) et ne procède ainsi qu’à une identification limitée de ses risques.

La direction générale de cette société semble refuser de procéder à une identification de tous les risques pouvant impacter l’entreprise et conçoit le risque comme se limitant à éviter les accidents, mais en aucun cas comme source d’événement pouvant nuire à son image, à son chiffre d’affaires,…

En conséquence, celle-ci se « trouve désarmée dès lors qu’elle doit faire face à une crise ».

Le choix des outils et de la méthodologie est souvent considéré comme parcellaire et est relativement souvent contesté. En effet, même si toutes les personnes interrogées n’utilisent pas les mêmes outils ou n’ont pas la même culture du risque, elles s’accordent à regretter que leur entreprise ne consacre pas le temps et les investissements nécessaires à mieux anticiper et gérer les crises.

L’absence de certains outils ou une méthodologie « légère » semble donc être la résultante d’un choix stratégique de l’entreprise de ne pas approfondir la culture du risque et les mécanismes de prévention.

L’apparition de résistances dues à la difficulté de se remettre en cause

Parmi les raisons invoquées, est souvent cité « le volontaire aveuglement » des directions opérationnelles et/ou des directions générales.

Parmi les Risk Managers interrogés, ceux qui procèdent à la réalisation d’une cartographie globale des risques soulignent la nécessité de réaliser une bonne identification des risques et une radiographie complète de l’organisation. Or, cela suppose un besoin de transparence et donc une mise à jour des vulnérabilités. Une majorité s’accorde à dire que cette « transparence » n’est pas suffisante et quelques uns précisent que leur direction générale ne fait pas davantage d’effort pour « admettre » un risque.

Toutefois, il convient de préciser que la majorité de nos interlocuteurs note une évolution récente et notable dans ce domaine. Bien sûr, les réticences ou le peu d’objectivité, en ce qui concerne l’identification et l’évaluation des risques transversaux ou des risques nouveaux, sont encore une zone de danger en soi pour leur entreprise.

La direction générale d’une entreprise spécialisée dans l’aménagement et l’exploitation d’aéroports, alors même qu’elle est soumise à des crises très régulières dont certaines peuvent avoir un impact en terme d’image et sur les clients, se refuse à les considérer comme une source de danger potentiel pour l’entreprise.

En conclusion, si l’anticipation des risques est considérée comme essentielle par la quasi-totalité de nos interlocuteurs, ces derniers sont également d’accord pour dire que les différents outils d’identification doivent être perçus comme un moyen, un point de départ et non comme une finalité.

L’organisation variable du management des risques

Des structures de management des risques très variables selon les entreprises.

Les entreprises ont généralement mis en place, à deux exceptions près, tout un ensemble de structures dédiées à la prévention des risques et à la gestion de crise. Cependant, selon le parti pris de l’entreprise et la direction générale, les structures, leurs moyens et leur organisation interne varient grandement selon les cas.

Le premier constat est que les moyens (en valeur relative) alloués au management des risques ne dépendent pas de la taille de l’entreprise.

Une PME du secteur agroalimentaire a créé, fin 2000, durant une période de crise, une structure ad-hoc qui gère en continu la dimension management des risques et la gestion opérationnelle des crises quand elles surviennent. Elle est directement rattachée au PDG et rassemble l’ensemble des fonctions stratégiques de l’entreprise.

Elle n’a pas d’effectifs dédiés propres mais ses douze membres peuvent être « activés » à tout moment. La direction de la qualité assure une veille permanente des risques liés au cœur d’activité de l’entreprise, ainsi que la direction financière pour les risques des activités de « support ».

La cellule dispose de moyens matériels propres : une salle dédiée et équipée du matériel nécessaire à la gestion de crise (ordinateurs avec connexion Internet, Visio, photocopieurs, télévision, paperboards, téléphones, réfrigérateur, etc.).

Au plan financier, les investissements en matière de management des risques sont intégrés au fonctionnement général de l’entreprise (et notamment par la direction de la qualité) et ne sont pas dissociés au plan budgétaire et comptable.

L’appel à des compétences spécifiques se développe.

Dans l’ensemble, lorsque les entreprises atteignent une taille importante, nous constatons que les équipes dédiées à la gestion de crise sont constituées avec une grande diversité d’expertises (finance, juridiction, communication, stratégie, RH, …) qui reflète la nécessité de prendre en considération de multiples paramètres pour analyser les risques et gérer les crises. Les équipes deviennent alors pluridisciplinaires même si elles font encore appel à des spécialistes externes, spécialement pour gérer les crises.

En effet, toutes les entreprises interrogées ayant une structure dédiée au management des risques et à la gestion de crise travaillent en collaboration avec des équipes externes spécialisées dans ces domaines.

Une entreprise publique du secteur de l’énergie a mis en place une structure de management des risques pluridisciplinaire. La direction du contrôle des risques compte un Directeur et des collaborateurs avec des profils variés et donc des missions diverses :
– Une personne contrôle les investissements du groupe à l’international, importante source de risque.
– Des spécialistes réalisent la veille dite des signaux faibles de thèmes tels que l’environnement, le développement durable, la corruption …
– Des expertises, à vocation thématique, par typologie de risques, sont réalisées par des experts présents en permanence au sein de la structure : le système informatique, le management, les mathématiques financières, la production et les questions juridiques.

La réalisation de la cartographie des risques (identification des risques et méthodologie à appliquer) est, elle, réalisée par l’ensemble de ces personnes en mettant à profit toutes leurs compétences et leurs spécialités.

Une entreprise sur deux dispose d’un réseau de Risk Managers

Si toutes les entreprises interrogées considèrent qu’une bonne anticipation des risques ne peut se faire qu’avec l’aide et le soutien des directions opérationnelles, seule la moitié a mis en place un réseau formalisé de Risk Managers, placé sous l’autorité d’une direction du Risk Management (autorité fonctionnelle), comme cela est le cas chez nos clients.

Ces Risk Managers, qui ont une fonction opérationnelle au sein de leur Direction, sont formés au management des risques et fournissent une expertise utile à la structure en charge de l’anticipation des risques (rédaction de la cartographie, aide à la réalisation de scénarisation…).

Dans les autres entreprises, bien qu’aucune fonction « RM » n’ait été créée, toutes ont mis en place des procédures de remontées d’informations, faisant appel à des expertises propres à chaque entité, généralement en sollicitant les principaux responsables des directions/filiales.

La cellule de crise se généralise dans les entreprises

En ce qui concerne la gestion des crises, cette étude fait apparaître que toutes les entreprises ont une structure de gestion de crise même si ce terme revêt des réalités assez contrastées, que ce soit en terme d’organisation, de structure, de moyens ou de fonction.

Les différences portent sur la structure même qui peut être une cellule de crise, distincte ou non de celle en charge de l’identification des risques et plus ou moins formalisée sur le plan hiérarchique (un organigramme est défini), fonctionnel (formalisation des process à suivre) et matériel (existence d’un lieu dédié).

La majorité des entreprises interrogées possède une cellule de crise qui n’est pas une superposition de l’équipe dédiée au management des risques.

La direction du contrôle des risques d’une entreprise publique du secteur de l’énergie a un rôle d’expertise, en amont de la cellule de crise. Elle a plusieurs objectifs, du plus court terme (identification du plan de couverture) au plus long terme (prospective).

La cellule de crise, qui compte quinze personnes, distinctes de celles de la direction du contrôle des risques, est placée auprès du Directeur des ressources humaines et son rôle consiste à gérer les crises de manière opérationnelle. Elle réunit à la fois des experts et des décideurs et dispose d’un organigramme très précis pour faciliter la chaîne de commandement.

Pour deux entreprises – celles qui n’ont pas de direction du Risk Management, il a été décidé que l’équipe ad-hoc en charge de la prévention des risques serait celle en charge de gérer les crises.

Une société spécialisée dans l’organisation de voyages possède une structure permanente composée de sept personnes provenant à la fois de la direction des assurances et de la direction sécurité, hygiène et santé. Au cas par cas et selon le risque à identifier et à scénariser, l’équipe est renforcée par des experts/spécialistes internes : médecins, juristes, responsables marketing, communication ou transports …

La particularité de cette entreprise réside dans le fait que les membres de la structure en charge de la prévention des risques sont pratiquement les mêmes que ceux de la cellule de crise. Selon le type de crise, la cellule fait également appel à des experts internes.

Il existe tout de même une constante forte qui ressort de cette étude : quelle que soit la solution adoptée, le Risk Manager est toujours membre de la cellule dédiée à la gestion des crises.

D’autres éléments importants peuvent être dégagés des entretiens réalisés auprès des entreprises.

Seuls les très grands groupes internationaux démultiplient les structures de gestion des crises.

Dans certaines entreprises, il existe une cellule de crise au siège même, ainsi que des cellules propres aux métiers ou zones géographiques. Les structures concernées agissent de concert, mais le pilotage opérationnel est confié à la cellule de crise « décentralisée ».

Une solution peut également consister à entièrement « délocaliser » la cellule de crise ; le siège venant en support technique et en contrôle. Dans ce type de situation, les crises qui concernent directement les intérêts ou l’image du groupe sont gérées par une équipe ad-hoc constituée de l’équipe de Risk Management et des plus hauts responsables de l’entreprise.

Une entreprise, leader mondial des médias et de la communication présent dans divers domaines ne possède pas de structure de gestion commune des crises. Le management des risques et la gestion de crise sont « répartis » au sein du groupe à deux niveaux :

Au niveau des métiers (musique, télécommunications…).
Il revient à chacune des entités qui compose le groupe d’apprécier et de gérer leurs risques financiers et juridiques ou leurs risques en terme d’image, ce qui se fait le plus souvent par le biais des directions financières et des directions juridiques pour les risques financiers et juridiques (risques de change, assurance, litiges), et des directions communication pour les risques d’image.

La question d’une structure qui vise à coordonner les efforts d’une société lors de crises se traduisant par des risques maximums (impact financier, impact sur l’image), pourrait se poser pour les filiales. Cependant, aucun des produits et services proposés par les différents domaines d’activité de cette entreprise ne présente, selon eux, de risque immédiat pour le consommateur. A ce titre, les délais de réaction qui sont accordés, en cas de crise, sont sans commune mesure avec ceux exigés dans d’autres industries. Ils ne jugent donc pas nécessaire la mise en place d’une structure interne et commune « de réaction rapide ».

Au niveau de la holding.
Il n’existe pas non plus de cellule de crise à proprement dite au sein de la holding. Cependant, il existe des spécialistes des risques financiers et juridiques au sein de la direction financière et du secrétariat général. Par ailleurs, la direction de la communication veille sans cesse à préserver et améliorer l’image du groupe. Les réponses aux risques auxquels l’entreprise fait face s’élaborent par un travail continu de coordination opéré par la direction générale entre ces différents services.

Les délais de réaction qui sont impartis permettent au groupe d’organiser raisonnablement ses réponses et d’établir ses coordinations entre services sans qu’il soit nécessaire de mettre en place une structure commune dédiée à la gestion de crise.

Il ressort également de l’étude que dans les cas d’une gestion commune des crises, chaque direction dispose néanmoins de ses propres moyens et gère, en général, les crises mineures en collaboration avec le RM ou le responsable crise, ou l’aspect « local » d’une crise si l’entreprise est présente dans plusieurs pays.

Une entreprise spécialisée dans le tourisme et qui possède plus de cent sites différents dans le monde peut activer trois niveaux de gestion de crise (local, régional et au siège) selon l’ampleur de la crise.

Ces derniers sont d’ailleurs souvent activés ensemble et gèrent la crise en même temps. Les décisions sont cependant toujours validées par la cellule du siège. En ce qui concerne la sensibilisation et la diffusion des kits de crise, celles-ci sont effectuées au siège, dans les bureaux régionaux et au sein de l’ensemble des sites.

La question délicate du réseau de Risk Managers et de son animation

La plupart de nos interlocuteurs soulignent l’importance de la reconnaissance de la fonction dédiée au Risk Management, tout en admettant les difficultés de la tâche. Pour eux, il est important que les différents interlocuteurs de l’entreprise (départements en interne, médias, collectivités,…) connaissent l’existence de la structure, comprennent quelles sont ses missions et aient le sentiment qu’elle est utile à l’entreprise. La fonction et la structure ne doivent pas être perçues comme des « empêcheurs » d’avancer.

Quelques entreprises ont fait le choix d’impliquer directement la présidence ou la direction générale pour « résoudre » la question de la légitimité et de la crédibilité du Risk Management. Il peut s’agir du rattachement hiérarchique direct de la structure qui peut, dans un grand groupe, conférer une forte légitimité ou cela peut être l’implication personnelle du Président ou du Directeur général dans la cellule de crise (c’est par exemple le cas de la PME du secteur agroalimentaire a pris le parti d’intégrer le Directeur général dans sa cellule de crise, en qualité de coordinateur et de porte-parole, en charge des relations avec les média).

La direction du contrôle des risques d’une entreprise publique du secteur de l’énergie est placée directement sous le contrôle du Président. Ce rattachement dans l’organigramme vise d’abord à souligner l’importance que l’entreprise attache à la question du contrôle des risques et ensuite à renforcer la légitimité de cette direction qui apparaît ainsi stratégique.

Pour la plupart des responsables interrogés, la construction d’un réseau efficace de Risk Managers (choix des RM, procédures de désignation et marges de manœuvre) reste relativement difficile. Ils soulignent que ces réseaux ont été créés pour remplir des missions liées aux métiers premiers du Risk Management exercés en général par les responsables sécurité. Ils insistent sur la difficulté qu’ils ont à faire émerger de nouvelles pratiques, ouvertes à d’autres risques, par les réseaux existants.

Enfin, au registre des difficultés, il faut prendre en compte, selon eux, la sensibilité personnelle des dirigeants aux risques et aux crises comme facteur susceptible de freiner le bon fonctionnement de la structure de management des risques dans l’entreprise.

L’alerte

Une phase clé essentiellement intuitive.

Selon tous nos interlocuteurs, l’alerte est une phase délicate et clé du processus de gestion de crise. De la rapidité et de la qualité des informations transmises dépend souvent l’intensité de la crise pour l’entreprise. Plusieurs d’entre eux déclarent avoir expérimenté des crises où les premières heures ont joué un rôle essentiel sur le déroulement ultérieur de la crise (positivement ou négativement).

Pourtant, ce « moment délicat » où une crise survient se gère souvent avec la plus grande improvisation et une grande part réservée à l’intuition. En effet, même si l’entreprise dispose des outils méthodologiques adaptés, l’alerte reste une improvisation.

La plupart de nos interlocuteurs constatent que l’évaluation du risque se fait toujours de manière intuitive et qu’ils ne fondent pas leur première appréciation/évaluation sur la base de critères méthodologiques (grille d’analyse). De ce fait, les réactions immédiates ne prennent pas nécessairement en compte l’ensemble du contexte d’une crise.

Tous les systèmes d’alerte sont différents et les process varient selon l’entreprise.

Il existe une cellule d’appel au sein d’une entreprise du secteur de l’énergie et de la communication c’est-à-dire un plateau téléphonique, avec un numéro d’appel utilisable en permanence.

L’appelant est mis en relation avec une cellule d’astreinte, propre à chaque business division, composée de plusieurs personnes et « reportant » directement au siège en cas de grosse difficulté. A chaque appel, le plateau téléphonique envoie un message au siège pour qu’il vérifie la gravité de l’évènement mais sans qu’il y ait pour autant une obligation de réaction.

La direction de la communication est appelée en cas de problème : elle fait la veille média, devient un support en cas d’intervention pour formaliser les messages et leur diffusion et transmet les informations.

L’entreprise insiste sur l’avantage de son organisation en mentionnant qu’ainsi toutes les alertes sont centralisées. Le siège est informé de tout, ce qui permet de mieux « dispatcher » les mesures à prendre en fonction de l’importance de la crise et donc de mieux régler le problème.

La rapidité de la réaction est également un facteur déterminant pour la totalité des personnes interrogées. Elles insistent plus précisément sur les problèmes liés à un « circuit » de remontée d’informations non adapté (trop d’intermédiaires, mauvaise fluidité de l’information, …) et considèrent qu’il s’agit là d’une priorité absolue dans leur mission.

La politique de l’entreprise du secteur du tourisme consiste à restreindre au maximum le nombre d’intermédiaires pour que l’information soit transmise le plus rapidement possible et de manière complète.

Quand les signaux précurseurs d’une crise apparaissent, l’information est transmise directement du responsable crise du site touché au responsable régional puis à la personne en charge au sein de la cellule de crise. C’est cette personne, d’astreinte 24h sur 24, qui prend la décision de mettre ou non en place un dispositif de gestion de crise.

Par la suite et selon la nature de celle-ci, l’information est transmise à la direction générale et au Directeur de la communication.

Les critères financiers et « pertes humaines » sont très largement dominants.

S’agissant des pertes humaines, il est évident qu’elles provoquent un processus d’alerte et de gestion de crise immédiat pour les entreprises. Mais les responsables interrogés, admettent que l’évaluation d’un risque susceptible de déclencher une alerte est souvent faite en rapport avec l’impact financier.

Bien évidemment, l’impact d’image est lui aussi important dans le processus, puisque la publication d’un article « agressif » est souvent à l’origine du déclenchement d’une crise.

Les trois principales raisons d’une mauvaise évaluation

De par les réponses de nos interlocuteurs et l’analyse de cas concrets de crises dont ils ont bien voulu nous informer, permet de déterminer trois problèmes principaux concernant l’évaluation durant la phase d’alerte :

Les entreprises, de par la faiblesse des procédures mises en place ou par négligence, peuvent ne pas être suffisamment vigilantes aux symptômes d’une crise. Selon nos interlocuteurs, une crise permet souvent d’identifier les carences des outils de veille et des mécanismes de reporting.

Même si la majorité des entreprises  semble faire preuve de beaucoup « d’humilité » face aux crises et aux symptômes de crises, quelques unes s’illustrent cependant par un excès de confiance qui amoindrie leur vigilance, minimise leur perception des impacts et surévalue leurs capacités de réaction.

Enfin, la mauvaise perception des enjeux, c’est-à-dire une absence totale de vision transversale et pluridisciplinaire, et une lecture trop technique et insuffisamment politique des événements ont souvent eu des conséquences dramatiques pour les entreprises ayant répondu.

Une société chargée du développement et de l’exploitation d’aéroports a du faire face à une crise politique et médiatique, provoquée par le non respect d’un engagement daté, et amplifiée par le mécontentement du client concerné. L’absence d’anticipation de ce risque conjointe à un excès de confiance a pu à la fois brouiller la perception de la situation naissante et la mesure de l’impact d’un tel risque. A l’occasion de cette crise, l’entreprise a été « attaquée » à plusieurs reprises sur son savoir faire et ses engagements vis-à-vis de ses clients : attaques qui ont trouvé un relais médiatique et une audience forte auprès de son environnement et des pouvoirs publics.

Les stratégies de réaction

De cette étude, il ressort que la crise surprend toujours parce qu’elle est, à chaque fois, inattendue. Tout ceux que nous avons interrogés et qui ont eu à gérer des crises importantes font état d’une réelle improvisation des décideurs dans leurs stratégies de réaction. Nous avons cherché à identifier les points communs des stratégies de réaction des entreprises qui ont géré ce type de crises et leurs failles.

Les règles de fonctionnement sont rarement pré-établies mais il existe des constantes.

Le premier point commun des entreprises subissant une crise est souvent leur premier réflexe : la mobilisation de la cellule de crise (pour autant qu’il en existe une). Même si la crise est mineure ou qu’elle ne concerne qu’une activité relevant d’une direction ou d’une filiale, la mobilisation de la cellule est souhaitée et appréciée car elle permet la fluidité des échanges entre les responsables de l’entreprise, la collégialité des prises de décision et le pilotage opérationnel.

Ce phénomène se constate y compris parmi les entreprises qui n’ont pas de cellule de crise, où une équipe ad hoc se constitue et s’organise généralement sur des bases identiques.

Parmi les entreprises qui disposent d’une cellule de crise, leurs responsables soulignent qu’il n’existe pas toujours de règles pré-établies en ce qui concerne le fonctionnement de la structure (saisine, porte-parole…) une fois la crise déclenchée. Cependant, la plupart mettent en place des processus qui répondent à une série de questions assez évidentes :

Qui décide ? Qui est mobilisable ? Qui parle ? Qui fait quoi ? Qui est responsable de quoi ?

Quelques responsables précisent que lorsque les règles existent, elles sont souvent bousculées par les événements ou les aléas qui obligent à adapter, voire improviser.

Dans un autre registre, aucune entreprise étudiée n’a de méthodes / critères précis, selon le stade d’avancement de la crise, pour décider du basculement dans un dispositif de type cellule de crise. Tous s’accordent à dire que, très souvent, la décision est évidente et s’impose à l’entreprise, à un moment ou à un autre. Leurs priorités sont alors de conserver une unité dans l’échange d’informations, l’évaluation des options et dans la prise de décisions.

Les réactions aussi peuvent être préparées …

Les réactions programmées pour répondre à des crises identifiées sont relativement rares : si toutes les entreprises recensent et évaluent les risques, en développant des moyens importants pour cela, il est, en revanche, beaucoup plus rare que les risques majeurs fassent l’objet d’une étude ou de l’élaboration d’une stratégie de réaction.

Dans des démarches souvent « en construction », les responsables interrogés disent ne pas encore avoir eu l’occasion d’effectuer ce travail de scénarisation qui reste donc encore peu couramment usité.

Pourtant, plusieurs d’entre eux ont précisé que leur Top Management avait le souci de la règle de conduite à adopter. Cette attitude tend à se généraliser et se définit soit à l’occasion de crises en cours (et perdurant par la suite), soit fait l’objet d’une démarche construite et volontaire (mais parcellaire).

Une entreprise du secteur des services aux collectivités a élaboré une charte éthique qui intègre notamment une série de postures à adopter dans le cas où surviendrait un litige ou un problème.

Quasiment toutes les entreprises ont pourtant mis en place, en amont, un dispositif et des procédures de réaction face aux crises qui prennent le plus souvent la forme de « kits de gestion de crise » contenant les informations vitales pour faire face au problème. Il s’agit souvent d’un outil d’aide à la décision qui fixe à la fois les procédures internes à suivre et les comportements à adopter.

Deux difficultés sont relevées sur l’usage de ces Kits de gestion de crise :

-> la première réside dans son accessibilité au moment clé ou encore sa non appropriation par les acteurs de la gestion de crise ;

-> la seconde consiste à adapter les procédures définies en amont à une situation souvent non prévue.

Pour gérer au mieux les crises et éviter toute improvisation, une entreprise du secteur agroalimentaire a constitué et diffusé à l’ensemble des membres de la cellule de crise des « kits » centralisant l’ensemble des informations nécessaires à la gestion de la crise : argumentaires, fiches diagnostic par types de risques, fichier de contact presse et relais d’opinions, …

Chaque membre de la cellule de crise, ainsi que chaque patron de site dispose d’un exemplaire mais doit régulièrement s’en « imprégner ». Par ailleurs, les simulations décidées par la direction générale ont notamment pour objectif d’apprendre à se servir de ces kits et d’intégrer les règles et procédures définies.

De part l’étendue géographique de ses sites, l’entreprise du secteur du tourisme diffuse plus largement encore ses « kits de crise ». Ceux-ci contiennent des fiches actualisées, mises à jour trimestriellement, comprenant les coordonnées des membres de la cellule de crise, des membres de la direction et des responsables crises de chaque site (plus de cent dans le monde), et un manuel de gestion de crise (marche à suivre, argumentaires, …).

…. mais la préparation des acteurs est souvent insuffisante.

Si toutes les entreprises ayant une structure dédiée à la gestion des crises réalisent des kits de crise pour les membres de la cellule, de la direction générale voire même de l’ensemble de leurs responsables de sites, leur programme de formation reste extrêmement variable.

Nos interlocuteurs admettent que la formation des managers et des relais internes, mais également des membres de la cellule de crise, est la plupart du temps insuffisante. Tous ont identifié le besoin d’un programme de formation et plusieurs d’entre eux l’ont initié.

Ces formations peuvent se concrétiser de plusieurs manières :

L’organisation de sessions de formation pour le réseau de Risk Management.

Les formations plus spécifiques et adaptées aux responsables concernés, comme par exemple les simulations de crise qui mobilisent à la fois les membres de la cellule de crise, mais aussi les responsables opérationnels des directions/filiales/sites.

Les séances de médiatraining pour les porte-parole ou les dirigeants de l’entreprise.

Même les entreprises les plus en pointe sur ce sujet reconnaissent que ces formations ne sont pas régulières ou pas suffisamment complètes.

Dans l’entreprise du secteur du tourisme, la sensibilisation/la formation à la gestion de crise se fait à la fois au siège, au niveau de la direction générale et auprès des responsables des cent vingt sites, répartis partout dans le monde.

Dans les sites : Les équipes en charge des sites sont renouvelées deux fois par an ce qui oblige l’entreprise à désigner une équipe de gestion de crise à chaque changement. Les documents d’aide à la gestion de crise sont régulièrement mis à jour et des vidéos ou des séminaires de sensibilisation sont réalisés. Les séminaires de formation, qui ont lieu deux fois par an pour chaque site, sont généralement animés par le directeur régional des opérations.

Pour certains risques, des argumentaires et des procédures types à suivre sont préparés à l’avance et intégrés dans les kits.

Au siège, pour la direction : les dirigeants sont formés régulièrement et des simulations d’une journée sont organisées une fois par an ou tous les deux ans.

Des stratégies de réactions qui visent à responsabiliser les unités opérationnelles.

De cette étude, il ressort que la segmentation de la gestion même des crises est de plus en plus pratiquée. Elle se fait généralement sur le fondement d’un double critère : l’impact majeur pour l’entreprise et l’organisation de l’entreprise (ou son histoire).

La tendance générale semble donc être à la délégation de responsabilité et donc à la délégation de la gestion des crises. Mais c’est aussi le souci de ne plus laisser des crises se développer sans réaction de la part de l’entreprise et d’en ignorer les impacts. C’est d’ailleurs la raison pour laquelle les entreprises forment plus largement leurs équipes de management à la gestion de crise.

Les entreprises qui ont une stratégie de prévention et de gestion de crise ont pour la plupart défini des règles strictes sur l’attribution de la responsabilité de gérer les crises. Il s’agit souvent d’un critère d’impact financier ou de situation géographique.

Il convient de préciser que, dans les entreprises où cette délégation s’effectue, un dispositif de centralisation des informations et de veille a néanmoins été mis en place au siège afin de contrôler bien sûr, mais aussi d’être prêt dans le cas où la crise « remonterait » au niveau du groupe.

Il peut y avoir une multiplication du processus même de gestion de crise, si les différentes unités sont responsables de leur propre gestion de crise, comme c’est le cas pour une multinationale de l’agroalimentaire (dans le cadre d’un rappel de produit), soit de l’ampleur de la crise.

Selon le niveau de médiatisation et les interlocuteurs, différentes cellules peuvent se mettre en place sur des niveaux distincts : local, régional ou au siège, comme c’est le cas pour l’entreprise spécialisée dans le tourisme. La coordination et les prises de décisions restent cependant l’apanage de la cellule au siège.

Dans une entreprise mondiale de service aux collectivités, le double critère d’impact financier et de localisation géographique s’impose. Les crises dont l’impact est évalué à un montant inférieur à 50 millions d’euros restent gérées par la division « porteuse ». De la même manière, une crise survenant dans un pays étranger est gérée localement. Toutefois, dans le cas où cette crise pourrait avoir un impact d’un montant supérieur ou un écho médiatique dépassant les frontières de son pays d’origine et donc impacter l’image globale du Groupe ou bien encore avoir des répercussions sur le cours de bourse, le siège prend le relais.

Les enjeux stratégiques, systématiquement gérés par la direction générale.

Pour toutes les entreprises interrogées qui ont connu des crises majeures, dès qu’il y a un enjeu stratégique, quelle qu’en soit sa nature, la stratégie de réaction est conçue et mise en œuvre par les directions générales. Ce constat suscite deux réactions complémentaires de la part de nos interlocuteurs : d’abord, les crises majeures ne sont, de ce fait, pas toujours gérées avec l’ensemble des données et des outils dont disposent l’entreprise ; ensuite, l’implication en amont des directions générales est absolument indispensable pour les sensibiliser aux méthodes de gestion de crise.

Nos interlocuteurs reconnaissent qu’un de leurs enjeux réside justement dans leur capacité à « intéresser et mobiliser » les directions générales sur les dispositifs qu’ils ont élaborés et mis en place.

Les mauvaises réactions peuvent être induites par une mauvaise connaissance de l’environnement d’une situation crisogène.

Au-delà des erreurs habituelles provoquées par la soudaineté d’une crise et donc par une absence de réaction (ou au contraire une réaction trop rapide), l’étude fait apparaître que la faible compréhension de l’environnement global d’une crise est un facteur non négligeable qui conduit souvent à faire les mauvais choix.

Parfois, l’entreprise dispose de toutes les informations possibles sur la crise, ses causes, son environnement, ses impacts, etc. mais les décideurs de l’entreprise n’auront pas l’ensemble des données en main et ne pourront donc être à même de prendre soit les bonnes décisions soit toutes les décisions qu’il conviendrait de prendre.

D’après deux de nos interlocuteurs, ce risque bien réel peut être limité par une complète centralisation des données sur les risques de l’entreprise, une constante actualisation du recensement des risques et de leur évaluation et par la collégialité des décisions. Ces deux responsables nous ont indiqué avoir conçu leur dispositif et créé une cellule de crise pour éviter ces erreurs.

La communication

Sans surprise, pour la totalité des responsables interrogés, la mise en place d’une communication spécifique à la situation est considérée comme un élément crucial dans l’évolution de la crise.

D’ailleurs, beaucoup d’entre eux ont insisté sur le fait que les décideurs ont deux grands types de décisions à prendre en cas de crise : d’une part, les mesures de « couverture » ou de résolutions de la crise et, d’autre part, les décisions en terme de communication. Ces dernières prenant une place essentielle dans le management d’une crise.

Il s’agit en effet d’enjeux stratégiques puisque cela revient à répondre aux questions suivantes : Que dit-on et que choisi-t-on de ne pas dire ? Par quels moyens le dit-on ? A quel moment parle-t-on ? A qui parle-t-on ?

Les directions de la communication ne sont guère associées à la prévention des crises…

Si la communication joue incontestablement un rôle central dans la gestion des crises – constat souligné par la présence de la direction de la communication dans un tel processus, auprès des décideurs, voire même un rôle de porte-parole – elle n’est que rarement pilote dans la prévention des crises.

En effet, paradoxalement, environ la moitié des entreprises étudiées n’associent pas en amont la direction de la communication au plan de prévention des crises. Un rôle de « support technique » lui est confié sans que son implication soit plus stratégique. Ce rôle consiste essentiellement à assurer une veille des média ou encore à préparer des éléments de langage pour les prises de parole publiques, puis à gérer les relations avec les média. Néanmoins, leurs directeurs sont généralement « partie intégrante » de la cellule de crise.

Toutefois, il convient de préciser que dans certaines entreprises, la direction de la communication est en charge de la gestion des crises et c’est donc à elle qu’il revient de préparer/anticiper les crises.

… même si la communication est en première ligne lors des crises.

Lorsqu’une crise survient, la direction de la communication intervient immédiatement, soit directement, soit en support du porte-parole (direction générale). Son rôle devient alors stratégique puisqu’elle prépare les éléments de langage dont les entreprises ont, dans l’ensemble, compris le réel enjeu, contrôle le contact avec les relais extérieurs et notamment les média, diffuse l’information en interne, voire « coache » la direction générale.

Une entreprise industrielle dont l’activité peut présenter un danger pour la santé publique procède à la rédaction d’un argumentaire général, à destination de tous ses publics (salariés, riverains, pouvoirs publics, journalistes, …) sur son activité, les risques liés à sa production, les réglementations en vigueur et ses investissements en matière d’environnement. Cette démarche lui permet de ne pas être prise au dépourvu et de diffuser un message cohérent pendant la crise.

Pour certains risques (méningite par exemple), des argumentaires sont préparés à l’avance par l’entreprise du secteur du tourisme. Ceux-ci lui permettent de mettre de côté le problème des éléments de langage et de se consacrer concrètement à la mise en œuvre d’un plan d’action. La crise est ainsi gérée de manière plus rapide et plus efficace.

Le constat va même plus loin puisque plusieurs interlocuteurs insistent sur la prédominance toujours plus grande de la communication dans la gestion des crises, induite par la pression toujours plus forte des média et la nature des « nouvelles » crises.

En effet, certaines crises n’ont de réponse que la communication (ou presque) – par exemple les rumeurs – et, par conséquent, la communication remplace les plans de couverture habituels ou les mesures « techniques ».

En d’autres termes, plusieurs de nos interlocuteurs constatent que, lors de crises récentes, les décisions ont été commandées et « mises en musique » par la communication. Il s’agit donc moins, dans ces cas là, de savoir si les mesures prises pour atténuer une crise sont efficaces ou non, mais de savoir si elles seront perçues comme telles et permettre ainsi de diminuer les impacts pour l’entreprise.

De ce fait, dans le cas de crises majeures où la direction générale est mobilisée, il est de plus en plus courant que la direction de la communication joue un rôle déterminant dans la gestion opérationnelle de la crise.

Cas pratique d’une procédure de gestion de crise efficace

Durant l’été, la noyade d’un enfant de sept ans, aspiré par une bouche du système de filtrage de la piscine d’un club de vacances, provoque une crise majeure pour l’entreprise, essentiellement par l’impact médiatique qui est donné à cette tragédie.

C’est un exemple de crise où les mesures à prendre, une fois l’événement – imprévisible – survenu, sont de l’unique ressort de la communication.

La crise :

L’accident s’est produit un samedi, pendant le week-end du 15 août et l’information est parvenue en France par le biais d’un appel au fil rouge d’Europe 1.

Le système d’alerte et de remontée d’informations a bien fonctionné : du responsable village, en passant par le responsable régional, jusqu’au responsable de la cellule de crise au siège.

L’activation de la cellule de crise s’est faite sur trois niveaux : local au village, au bureau régional et au siège. Les réunions étaient biquotidiennes en présence de plusieurs experts, avec analyses diverses, etc.

C’est le siège qui a géré l’ensemble de la communication du groupe et qui a validé les messages avant que les responsables locaux ne parlent à la presse.

Une équipe d’experts a également été envoyée depuis la France sous 24 heures.

La cellule a dû gérer la communication interne, la communication externe, les relations avec les journalistes et la famille de la victime.

Malgré la rapidité de la réponse mise en place, l’entreprise a été surprise par le déchaînement médiatique et l’acharnement sur son Président et ce pour plusieurs raisons : éléments de politique locale, attaque contre un groupe et une marque relativement sains, période médiatique creuse, …

De nombreuses fuites ont également eu lieu et l’inculpation des responsables sur place a été très rapide, ne permettant plus à l’entreprise de communiquer sur le sujet. L’entreprise a ainsi communiqué sur sa politique sécuritaire en général, ses investissements en la matière et sur ses diverses installations.

L’entreprise a également expliqué aux journalistes toutes ses procédures qualité/sécurité.

Le déchaînement médiatique s’est finalement calmé après une semaine de rebondissements.

A- LE DEBRIEFING

Il convient ici de préciser qu’il s’agit du débriefing post-crise, à distinguer des séances de debrief qu’une cellule de crise peut conduire à tout moment et qui sont d’ailleurs, dans la plupart des cas, largement effectuées.

Le debrief post-crise trouve notamment sa justification lorsque des mesures d’anticipation existent. Il permet ainsi d’évaluer le fonctionnement, pendant la crise, des dispositifs et procédures préalablement mis en œuvre. De ce fait, les entreprises dont les dispositifs de prévention et d’anticipation des crises restent succincts n’entreprennent pas de débriefing.

Un processus rarement mis en œuvre.

Force est de constater que le débriefing n’est pratiqué par quasiment aucune des entreprises ayant été l’objet de notre étude. Pourtant, plusieurs responsables interrogés ont souligné que cet exercice serait essentiel pour analyser ce qui a bien fonctionné ou non et étudier l’impact des actions – en positif ou en négatif – pour l’entreprise.

Nos interlocuteurs sont conscients de l’importance de cette phase qui permet « de prendre du recul sur la crise passée », mais selon eux, la culture prédominante consiste à vite passer à autre chose et à oublier les difficultés passées.

En réalité, l’excès de confiance conduit à un double dysfonctionnement souvent préjudiciable à l’entreprise. Avant la crise, il y a « volonté de ne pas voir ». Après la crise, il y a « volonté de ne pas se souvenir ».

Un débriefing-sanction plutôt qu’un débriefing-amélioration …

Dans la majorité des entreprises interrogées, la mise en cause n’est pas vécue de façon positive, comme un élément d’amélioration de la performance, mais plutôt comme un élément de critique et de remise en cause du travail accompli par les managers et leurs équipes.

Ce phénomène est d’autant plus marqué que, lors de la gestion de la crise, les décisions opérationnelles ont souvent été prises par les directions générales. Au final, celles-ci affichent peu de disponibilité à engager un « regard critique » sur les choix stratégiques effectués.

Quant aux directions opérationnelles, elles n’osent pas « mettre en cause » ou simplement « évaluer » la façon dont la crise a été pilotée par leur hiérarchie.

… mais néanmoins une culture de la sécurité publique qui se développe.

Dans certaines entreprises publiques dont l’activité impacte fortement la sécurité publique et qui ont l’habitude de travailler sur des sujets sensibles et dans l’urgence, le débriefing est une étape qui a été plutôt intégrée et codifiée.

De la même manière, certaines entreprises, notamment dans le domaine de la sécurité industrielle et alimentaire, s’inspirent de pratiques du secteur public et effectuent régulièrement des opérations de simulation (wargames), suivies de débriefing ayant pour finalité les procédures internes de couverture et de gestion.

Une entreprise du secteur du tourisme procède automatiquement à un débriefing de crise et rédige des fiches avec les points positifs et négatifs. Selon les crises, des débriefings psychologiques et de gestion du stress sont même réalisés afin de traiter plus spécifiquement les membres de la cellule de crise.

B- LE RETOUR SUR EXPERIENCE

Si la plupart des responsables interrogés s’accordent à dire que l’expérience est un facteur déterminant dans la gestion des crises, ils reconnaissent tous que cette expérience se « sédimente » d’une manière totalement individuelle et ne fait guère l’objet d’une analyse et d’une mutualisation.

Le retour sur expérience est considéré comme une phase clé de la gestion de crise par l’ensemble de nos interlocuteurs. Dans leur esprit, la capitalisation poursuit quatre objectifs :

  • Permettre à l’entreprise de ne pas refaire les mêmes erreurs.
  • Elever le niveau de protection de celle-ci.
  • Contribuer à l’amélioration de ses performances.
  • Maintenir l’organisation en état constant d’éveil et de vigilance.

En dépit de cette prise de conscience, le retour sur expérience reste une pratique peu répandue et pas systématisée puisqu’une seule des entreprises la met en œuvre concrètement.

Le Management de l’entreprise du secteur du tourisme veut créer, à partir de tous les documents de suivi papier existant, une base de données de suivi de crise qui leur permettra d’avoir un rapide aperçu de ce qui a été fait lors des crises précédentes, qui a géré la crise, et quelles contreparties ont été données aux clients.

Conclusion

Cette étude montre qu’il y a depuis quelques années, dans les entreprises françaises, une vraie prise de conscience de l’univers multiforme des crises et de leurs multiples impacts sur le chiffre d’affaires, la marque et l’image.

De façon croissante, l’identification des risques qui sont susceptibles de porter atteinte à l’entreprise et l’anticipation de la gestion des crises potentielles deviennent une préoccupation des directions générales dont la détermination managériale n’est, toutefois, pas toujours à la hauteur des préoccupations affichées.

C’est la raison pour laquelle, cette étude, au delà d’une première analyse plutôt encourageante, conduit à dresser un état des lieux plus nuancé.

En effet, trois observations montrent que la problématique d’anticipation et de gestion des crises n’est pas encore parvenue à maturité pour des raisons à la fois historiques et culturelles. Il y a certes prise de conscience mais le décryptage des exemples rencontrés permet d’en mieux cerner le moteur et les limites :

1) Une prise de conscience générale encore naissante, plutôt centrée sur les aspects « techniques » du cœur d’activité, et toujours prisonnière du « syndrome du funambule » (confrontation entre la perception rationnelle d’un risque majeur et la conviction quasi-irrationnelle d’y échapper).

2) Une prise de conscience au niveau du « top management » à géométrie variable (en fonction des formations et des centres d’intérêts) et directement liée aux expériences personnelles des dirigeants en matière d’exposition, par le passé, à des crises.

3) Une prise de conscience qui révèle un décalage important et persistant entre, d’une part, les vulnérabilités perçues comme véritablement nuisibles et, d’autre part, l’efficience des dispositifs opérationnels mis en œuvre pour y faire face, fruit à la fois d’un d’excès de confiance et d’un manque d’expertise.

Rapportée à la situation de nos clients, cette étude appelle trois remarques qui illustrent les choix effectués par l’entreprise pour développer un système de management des risques et des crises, ainsi que les forces et faiblesses du dispositif existant :

1) Un positionnement plutôt « classique » au regard de ce qui se fait dans des entreprises similaires :

– rattachement du Risk Management au secrétariat général devenu direction du management ;
– développement d’un réseau RM sur des bases non contraignantes pour les directions opérationnelles ;
– relative absence de la prise en compte des processus de gestion de crise par le Management ;
– faible intégration de la direction de la communication sur la définition en amont des procédures.

2) Des faiblesses largement partagées :

– absence de déconcentration de la gestion des crises ;
– faiblesse des « reporting » vers le siège ;
– absence de simulation des crises ;
– relative indifférence du management aux risques.

3) Mais des avancées non négligeables :

– structuration d’un vrai réseau RM ;
– existence d’une cartographie des risques assez poussée avec évaluation pondérée des impacts ;
– réalisation d’exercices de scénarisation des risques majeurs ;
– prémices d’intégration du système de management des risques dans les outils et process de pilotage global de l’entreprise.

Comme les entreprises ayant suivi une démarche similaire, l’enjeu pour nos clients consiste désormais à traduire le travail déjà accompli en matière d’identification et d’évaluation des risques dans le management opérationnel et stratégique de l’entreprise.

Il consiste également à diffuser une culture du risque qui transforme peu à peu des comportements incités, parfois contraints, en une contrepartie naturelle de l’exercice de responsabilités managériales ou opérationnelles.