Innovation et prévention des risques : l'autorégulation est une chimère

Un certain niveau de protection existe généralement quel que soit le secteur d'activité, calibré pour parer aux scénarios connus ou prévisibles. Ce n'est pas toujours suffisant.

Il est difficile d’écarter les biais cognitifs individuels qui, cumulés, influencent les décisions collaboratives. Nombreux sont ceux qui méritent notre attention : la réticence des personnes à exprimer un avis divergeant en collectivité, la tendance à se conformer aux opinions du groupe ou à se cantonner à une position initiale entravent la capacité à envisager toutes les hypothèses, même farfelues.

Ces biais conduisent à minimiser certains facteurs de risque et leurs impacts potentiels ou à écarter les scenarii les plus extrêmes. Déterminer le meilleur dispositif de prévention devient donc un véritable casse-tête, alors qu’il doit être équilibré.  

De l’importance d’un dispositif équilibré en matière de prévention

Sur quelle base fonder cet équilibre ? Sur la résolution d’une équation économique et financière complexe. D’un côté, l’espérance de chiffre d’affaires. De l’autre, les dépenses et l’impact prévisibles des activités liées à la prévention et celui, aléatoire, de la concrétisation des risques (pertes, indemnisations, amendes …). Une des inconnues est l’impact que la mise en place de mécanismes d’atténuation — par ailleurs couteux — aura sur le développement commercial, à l’instar des obligations légales qui découragent l’utilisateur avant l’acte d’achat on-line. Pour écarter ce facteur potentiellement nuisible, il s’avère tentant de postuler que moins d’exigences à l’enregistrement de nouveaux clients permettrait d’atteindre les objectifs fixés par le management plus rapidement.

Aussi, les organisations et leurs équipes sont souvent soumises à des injonctions contradictoires. Prenons le cas du secteur financier, lorsqu’il faut accroitre les ventes de produits financiers tout en renforçant l’information sur les risques de perte, quitte à dissuader des investisseurs potentiels.

La gestion des risques implique donc de faire face à l’incertitude et à la complexité des situations. Dans de telles conditions, il est périlleux de laisser chacun adopter des décisions dans son domaine de responsabilité tout en sachant qu’il y a une part d’aléa dans leur manière de résoudre les dilemmes — et donc des risques de dérapage incontrôlés.

À cadre régulé, risques mieux contrôlés

Autant dire que l’avenir de l’autorégulation raisonnée est, et restera, une chimère : même les secteurs les plus averses à l’idée d’autorité centrale n’y croient pas. L’exemple des cryptoactifs est flagrant, tous les acteurs sont partisans d’un cadre normatif afin de rétablir une confiance écornée !

Dans les secteurs réglementés, l’intervention des régulateurs et des autorités de supervision vise justement à réduire la marge d’incertitude liée à la résolution des dilemmes – tant au niveau du secteur tout entier, pour limiter les risques systémiques, qu’à un niveau de plus en plus granulaire dans chaque entité.

Dès lors, les dispositifs qu’ils préconisent prennent tout leur sens. Pour maitriser les risques, il faut les connaitre, et donc faire des cartographies. Afin de déterminer quel niveau de risque est acceptable après prise en compte des mesures d’atténuation, une politique d’appétit aux risques doit être définie. Enfin, pour s’assurer du bon suivi des obligations légales, éthiques ou encore sociétales, des contrôles doivent être effectués régulièrement.

Le rôle des instances dirigeantes est primordial pour donner le ton et si besoin, rectifier le tir.

Être pragmatique : une condition indispensable

Cependant, l’homéostasie apporte un éclairage intéressant sur les limites de la gouvernance. Il ne faut pas négliger l’influence que peut avoir une croyance irraisonnée ou démesurée en la capacité à suffisamment encadrer les risques. Il convient en outre de tenir compte de la propension de chacun à adopter des pratiques de compensation pour mieux atteindre les objectifs, quitte à rogner sur les marges de sécurité. Par exemple, il est démontré que l’introduction de l’ABS dans les véhicules a incité une réduction inconsciente des distances de sécurité. Ces dispositifs ont donc « seulement » réduit la gravité des accidents, et non leur nombre.

Il n’est donc pas étonnant de constater dans le cadre de nos missions de conseil que la notion d’obligations de résultat imposée par les régulateurs prend le pas sur celle de l’obligation de moyen qui a longtemps dicté le tempo aux dispositifs de gestion des risques de non-conformité. Leur prise en compte requiert d’adapter les mesures d’atténuation et de se préoccuper de l’efficacité réelle des procédures, en particulier pour des secteurs émergents comme celui des cryptoactifs qui doivent se structurer.

Pour conclure, il est tentant de paraphraser une citation célèbre d’un ancien Garde des Sceaux adjoint aux États-Unis au sujet de la conformité : If you think that prevention is expensive, try non-prevention!