Le jour où le risque est devenu réel
En 2016, Wells Fargo s’est retrouvée au cœur de l’un des échecs les plus retentissants en matière de gestion des risques dans l’histoire moderne des entreprises. Des milliers d’employés avaient ouvert des comptes clients non autorisés pour atteindre des objectifs de vente agressifs. Les systèmes étaient en place, les politiques existaient et les contrôles internes étaient documentés. Pourtant, l’organisation a échoué, non pas par manque de cadres de gestion des risques, mais parce que sa culture récompensait des comportements qui les compromettaient. La leçon est à la fois simple et dérangeante : les cadres de gestion des risques ne sont pas inefficaces sur le papier ; ils échouent dans la pratique.
Dans tous les secteurs, les organisations ont investi massivement dans entreprise#atfp_close_translate_span# gestion des risques (ERM)Malgré la mise en place de cadres de contrôle interne et de systèmes de conformité, les défaillances persistent, comme le constatent régulièrement les organismes de réglementation et les cabinets de conseil. Elles ne sont pas dues à l’ignorance des risques, mais à leur omission, leur mauvaise compréhension ou leur remontée d’information inappropriée. Autrement dit, le problème n’est pas la gestion des risques, mais la culture du risque.
Ce qu’est réellement la culture du risque (et ce qu’elle n’est pas)
La culture du risque est souvent décrite en termes abstraits, mais elle est, par essence, remarquablement concrète. Il s’agit de la manière collective dont les individus perçoivent, discutent, signalent et gèrent les risques dans leurs activités quotidiennes. L’Institute of Risk Management la définit comme l’ensemble des valeurs, croyances et comportements partagés qui façonnent la compréhension et la gestion des risques au sein d’une organisation. La force de ce concept réside dans son application en dehors des structures formelles. Si les politiques peuvent définir les attentes, c’est la culture qui détermine si ces attentes sont respectées. Les travaux de Deloitte corroborent ce point, soulignant qu’une culture du risque efficace existe lorsque les individus, à tous les niveaux, comprennent le risque, se l’approprient et l’intègrent à leur processus décisionnel.
Cette distinction explique pourquoi des organisations dotées de cadres sophistiqués peuvent néanmoins subir des défaillances catastrophiques. Comme le souligne le COSO lui-même, la gouvernance et la culture constituent le socle sur lequel reposent tous les autres éléments de la gestion des risques d’entreprise. Sans ce socle, même les registres de risques et les matrices de contrôle les plus avancés demeurent largement inefficaces.
Du risque cloisonné à l’intelligence des risques d’entreprise
L’un des principaux défis pour instaurer une culture du risque efficace est de surmonter la fragmentation. Dans de nombreuses organisations, la gestion des risques reste cloisonnée, c’est-à-dire qu’elle relève des équipes de conformité, des services d’audit interne ou d’une cellule de gestion des risques centrale, au lieu d’être intégrée à l’ensemble de l’entreprise. Cela crée une illusion dangereuse : les risques sont identifiés, documentés et signalés, mais ils ne sont pas véritablement pris en charge par l’entreprise. Les décideurs perçoivent le risque comme un élément extérieur à leur rôle, plutôt que comme une composante essentielle. Le référentiel RIMS-CRMP met l’accent sur l’intégration à l’échelle de l’entreprise, où la gestion des risques est intégrée à la stratégie, à la planification et à la gestion de la performance. Concrètement, cela signifie que le risque n’est pas seulement abordé au sein des comités de gestion des risques, mais aussi dans :
- séances de planification stratégique
- Examens budgétaires
- Discussions sur l’évaluation des investissements
- Forums de décision opérationnelle
Lorsque le risque est traité comme un processus distinct, il devient réactif. Lorsqu’il est intégré, il devient anticipatif.
L’architecture d’une culture du risque au travail
Instaurer une culture du risque efficace exige bien plus qu’une simple sensibilisation. Cela requiert une structure, de la discipline et des mécanismes de renforcement qui alignent les comportements sur les intentions. Une caractéristique essentielle des organisations matures est l’existence d’un réseau de gestion des risques : un système distribué de responsables, de référents et de responsables fonctionnels qui gèrent collectivement les risques à l’échelle de l’entreprise. Ce réseau garantit que l’identification et l’atténuation des risques ne constituent pas des goulots d’étranglement centralisés, mais des processus continus intégrés aux opérations.
La qualité du reporting des risques est tout aussi importante. Trop souvent, les rapports de risques sont statiques, rétrospectifs et déconnectés de la prise de décision. Les organisations performantes considèrent le reporting des risques comme un outil stratégique. Leurs tableaux de bord des risques sont dynamiques, alignés sur les indicateurs clés de risque (ICR) et régulièrement présentés à la direction générale et aux comités des risques du conseil d’administration. L’objectif n’est pas de simplement signaler les risques, mais d’éclairer les décisions. Ceci est en parfaite adéquation avec les principes de la norme ISO 31000, qui mettent l’accent sur l’intégration, les processus structurés et l’amélioration continue. La gestion des risques n’est pas une fonction isolée ; elle fait partie intégrante du pilotage et du contrôle de l’organisation.
Intégrer le risque dans la prise de décision et la performance
L’aspect le plus crucial et le plus difficile de la culture du risque réside peut-être dans son intégration à la gestion de la performance. Les organisations affichent souvent une tolérance au risque, mais omettent d’aligner les incitations sur celle-ci. Le résultat est prévisible : les employés réagissent à ce qui est mesuré et récompensé. Si les indicateurs de performance privilégient la croissance du chiffre d’affaires sans accorder une attention correspondante au risque, les comportements s’en trouveront affectés. C’est précisément ce qui s’est produit dans l’affaire Wells Fargo. Les objectifs ont été atteints, mais au détriment de la gouvernance et de l’éthique. Une culture du risque efficace exige que la prise en compte du risque soit intégrée dans :
- cadres d’évaluation des performances
- Structures d’incitation
- Indicateurs clés de performance stratégiques
- décisions d’allocation de capital
Comme l’ont souligné la Banque mondiale et d’autres institutions, l’alignement des incitations sur la gouvernance des risques est essentiel pour la résilience et la performance à long terme.
Formation, coaching et apprentissage continu
La culture du risque ne s’impose pas ; elle se cultive. C’est là que la formation et l’accompagnement jouent un rôle crucial. Les programmes de formation formels présentent les concepts, l’appétit pour le risque, la tolérance au risque et les cadres de contrôle, mais le véritable changement culturel s’opère par la pratique. Les exercices de simulation, les simulations de crise et les analyses post-incident permettent de passer de la théorie à la pratique. Les organisations les plus performantes vont plus loin. Elles intègrent les discussions sur les risques aux réunions régulières, encouragent la remise en question constructive et créent un environnement où la prise de parole est non seulement acceptée, mais attendue.
Les recherches de Deloitte soulignent l’importance de créer un « espace de confiance » pour le dialogue sur les risques, où les employés se sentent libres d’exprimer leurs préoccupations sans crainte de représailles. Sans cette sécurité psychologique, les risques restent latents jusqu’à ce qu’ils se concrétisent.
Suivi, atténuation et rigueur du suivi
Une autre caractéristique essentielle des cultures de risque efficaces est la rigueur dans leur mise en œuvre. Les risques ne sont pas seulement identifiés, mais également suivis, atténués et évalués au fil du temps. Cela implique de maintenir :
- Registres des risques alignés sur les objectifs stratégiques
- Responsabilité et attribution claires
- Plans d’atténuation définis avec échéanciers
- Suivi régulier via des indicateurs clés de risque (KRI) et des tableaux de bord
Tout aussi important est le concept d’apprentissage continu. Les organisations qui considèrent les événements à risque comme des occasions d’apprentissage, qui mènent des analyses des causes profondes et qui intègrent les enseignements tirés dans leurs processus développent leur résilience au fil du temps. Ceci reflète le principe d’amélioration continue de la norme ISO, selon lequel la gestion des risques évolue en fonction des nouvelles informations et des conditions changeantes.
Le rôle de la gouvernance et des cadres politiques
Les politiques et les cadres de gouvernance demeurent essentiels, mais leur rôle est souvent mal compris. Ils ne créent pas la culture ; ils l’ancrent. Le cadre COSO souligne l’importance de l’environnement de contrôle, c’est-à-dire le ton donné par la direction, comme fondement de systèmes de contrôle interne efficaces. Cela implique des politiques claires, des rôles définis et une communication cohérente de la part du conseil d’administration et de l’équipe de direction. Cependant, la gouvernance doit aller au-delà de la simple documentation. Les conseils d’administration doivent participer activement aux discussions sur les risques, remettre en question les hypothèses et veiller à ce que l’appétit pour le risque soit clairement compris et appliqué dans toute l’organisation.
Les comités de gestion des risques, lorsqu’ils sont efficaces, ne servent pas de forums de reporting, mais de plateformes de prise de décision où les analyses de risques influencent la stratégie.
Ce qui fonctionne réellement
S’il est une leçon qui se dégage à la fois de la pratique et de la recherche, c’est celle-ci : la culture du risque se construit par l’alignement. Alignement entre :
- Stratégie et appétit pour le risque
- Performance et incitations
- Politiques et comportements
- Rapports et prise de décision
Sans cet alignement, la gestion des risques reste purement formelle. Avec lui, elle devient transformatrice.
Réflexion finale
Les organisations se demandent souvent comment instaurer une solide culture du risque. Une question plus pertinente serait : quels comportements récompensons-nous actuellement ? Car la culture ne se définit pas par les politiques écrites ou les cadres de référence. Elle se définit par ce qui est toléré, encouragé et renforcé au fil du temps. Dans un environnement de plus en plus complexe, les organisations qui réussiront ne seront pas celles qui possèdent les modèles de risque les plus sophistiqués, mais celles où chaque individu comprend son rôle dans la gestion des risques et agit en conséquence. Voilà à quoi ressemble une culture du risque réellement efficace.
Références
Deloitte (2025) Comment la culture du risque améliore la gestion des risques d’entreprise. Disponible sur :https://www.deloitte.com
Institut de gestion des risques (IRM) (2012) Culture du risque : Ressources pour les praticiens. Disponible sur :https://www.theirm.org
Banque mondiale (2014) Culture du risque, gouvernance du risque et incitations équilibrées. Disponible sur :https://openknowledge.worldbank.org
COSO (2017) Gestion des risques d’entreprise – Intégration à la stratégie et à la performance.


