Selon Gartner, dans la situation actuelle, il est préférable de se concentrer sur les impacts -et donc l’urgence- plutôt que sur des scénarios spécifiques.

«Nous sommes dans l’urgence. Evitez donc de construire des scénarios élaborés. Concentrez-vous plutôt sur ce qui est connu», conseille Matt Shinkman, Vice-President, Risk and Audit, Gartner. Ce qui est connu et ce qui existe. Selon un récent sondage de Gartner, seulement 12 % des 1 500 personnes interrogées pensent que leur entreprise est hautement préparée à l’impact du coronavirus, tandis que 26 % pensent que le virus aura peu ou pas d’impact sur leur entreprise. Le sondage date du 6 mars, il a été mené au cours d’un wébinaire sur la continuité des activités.

«Ce manque de confiance montre que de nombreuses organisations abordent la gestion des risques d’une manière dépassée et inefficace, constate Matt Shinkman, Vice-President, Risk and Audit, Gartner. Les organisations les mieux préparées géreront bien mieux les perturbations causées par le virus que leurs pairs moins préparés.» Mais voilà, il est trop tard.

Des politiques existent. Sont-elles activées ?

La plupart des répondants (56 %) se jugent peu préparés. 11 % se disent relativement ou très mal préparés. Et si 24 % des personnes interrogées s’attendent à peu de perturbations, 57 % estiment que les affaires vont se poursuivre à un rythme réduit. Encore une fois, ces résultats remontent au 3 mars. Les réponses seraient différentes aujourd’hui, comme elles le seront demain.

Le défi réside en partie dans l’ambiguïté inhérente à la gestion d’un risque émergent tel que le coronavirus, souligne Gartner. Les organisations ont souvent des politiques en place pour faire face à la plupart des risques, mais elles ne les activent pas. Ou trop tard. En fait, personne ne prend les risques au sérieux… jusqu’à ce qu’ils se manifestent pleinement. Le seuil pour qu’un risque génère une action exécutive est souvent trop élevé pour permettre une réponse efficace.

Urgence !

«Les membres du conseil d’administration ont tendance à gérer les risques émergents en supposant simplement qu’ils disparaîtront. Elles préfèrent concentrer leur attention sur ce qui est le plus important aujourd’hui, analyse Matt Shinkman. Dans les bons moments, cette méthodologie est favorable, parce que les risques émergents disparaissent vraiment. Dans l’urgence, c’est différent. Mieux vaut parler de déni : ne pas vouloir voir les problèmes.»

La mise en place d’une fonction de gestion des risques d’entreprise signifie qu’une organisation est plus susceptible de voir des risques arriver et d’atténuer ensuite l’impact de ceux-ci plus rapidement et plus efficacement. Selon Gartner, il est préférable de se concentrer sur les impacts plutôt que sur des scénarios spécifiques.

«Il est presque impossible de prédire exactement comment un scénario particulier se déroulera, voire quand, estime Matt Shinkman. C’est ce qui crée l’ambiguïté. Et, souvent, l’inaction face aux risques émergents. Il est beaucoup plus efficace de se concentrer sur les impacts potentiels et sur la manière de les atténuer.»

Impliquer plus de personnes

Le risque de pandémie était connu partant que l’épidémie est née en Chine. Les entreprises auraient pu analyser un risque émergent similaire. Et utiliser une approche ERM (Enterprise Risk Model) pour identifier et préparer la spécificité de l’événement.

Pour ceux qui font face à une réponse de crise au COVID-19 dans leur organisation, ils devraient avoir prévu des réponses à des impacts spécifiques. Par exemple, que fera l’entreprise si un employé tombe malade ? Faudra-t-il demander à tous les employés de s’isoler ? Les procédures de travail à domicile sont-elles suffisamment mûres pour supporter cela ? Ou, ultime possibilité, le travail devra-t-il s’arrêter ? Par ailleurs, les fournisseurs ou clients doivent-ils être informés ? Enfin, la finance est-elle en mesure de soutenir les opérations en cas de pertes anticipées ?

L’utilisation d’une méthode basée sur les impacts indique très clairement quand déclencher un plan de réponse et commencer à atténuer l’effet d’impacts spécifiques sur une organisation. «Le fait d’avoir des plans d’intervention qui réagissent à des impacts spécifiques signifie qu’il est plus simple de communiquer le plan au personnel, de sorte que tous les employés puissent jouer un rôle dans la gestion des risques. Dans des situations en évolution rapide comme celle-ci, plus il y a de personnes maîtrisant les risques, plus opportune sera la réponse organisationnelle», conclut Matt Shinkman.