Un cadre de gouvernance pour la gestion intégrée des risques chez les organisations de grande ampleur

Les organisations font face à des changements importants de leur environnement qui font apparaître de nouveaux risques. Qualifiés d’ « émergents », ces risques sont caractérisés par un plus haut niveau d’incertitude, d’ambiguïté et de complexité qui fait en sorte qu’ils peuvent difficilement être adressés via les processus usuels de gestion des risques. Pour faire face à ces nouveaux risques, des approches plus multidisciplinaires et transversales de gestion des risques, dites « intégrées », sont nécessaires. La Gestion Intégrée des Risques (GIR) est une problématique qui concerne davantage les grandes organisations. En effet, ce défi ne se pose pas particulièrement dans le contexte des petites organisations. Dans ces cas, la gestion des risques est souvent sous la responsabilité de quelques acteurs (voire, une seule équipe) et elle s’en retrouve donc, de soi, intégrée. En revanche, chez les grandes organisations, la gestion des risques est généralement scindée et répartie entre plusieurs Unités Fonctionnelles (UF) relativement indépendantes, chacune responsable de gérer une Activité liée à la Gestion des Risques (AGR), comme la continuité des affaires, les mesures d’urgence, la sécurité physique, la sécurité de l’information ou la santé et la sécurité au travail, par exemple. Or, lorsque plusieurs parties prenantes sont impliquées dans la même entreprise, une solide gouvernance doit être établie afin de s’assurer que chacune d’elles comprenne bien ses rôles et ses responsabilités (et celles des autres) dans l’entreprise commune et, surtout, afin de s’assurer de la coordination, la complémentarité et la cohérence des décisions qu’elles prennent et des actions qu’elles posent. Ce projet de recherche doctorale explore cette problématique de la GIR chez les grandes organisations. Plus spécifiquement, il propose un cadre de gouvernance pour la GIR chez les organisations de grande ampleur. Ce cadre de gouvernance est basé sur le concept d’Espace de Coopération (EC) développé par le CRP dans le cadre du projet DOMINO et repose sur trois grands piliers : un référentiel commun, une structure de coopération et un modèle d’agrégation des Informations et des Connaissances, mais aussi des Incertitudes et des Inconnus (ICII) sur les risques. Concernant le référentiel commun, le cadre propose aux grandes organisations d’adopter un concept de risque transversal qui permettra aux UF responsables des AGR d’établir une Représentation Mentale Commune (RMC) (donc, une vision et une compréhension communes) de ce qu’est le risque et de visualiser à quels niveaux se situent leurs rôles et leurs responsabilités en lien avec la GIR, et plus spécifiquement, en lien avec les Mesures de Mitigation et Contrôles (MMC) qui sont déployées pour réduire les risques. Il propose également la mise en place d’un Cadre de Référence Commun (CRC) à l’ensemble des acteurs au sein de ces UF qui vise à s’assurer que toutes les décisions et les actions qui sont prises par ces acteurs sont clairement balisées et s’inscrivent dans une logique autant fonctionnelle qu’organisationnelle. Concernant la structure de coopération, le cadre recommande que la GIR soit sous la responsabilité d’une équipe multidisciplinaire compétente et entièrement dédiée. Cette équipe a pour mission d’assurer le lien et la coordination entre toutes les UF responsables des AGR, mais aussi entre les niveaux opérationnel, tactique et stratégique de l’organisation. Finalement, en ce qui concerne le modèle d’agrégation des ICII sur les risques, comme son nom l’indique, celui-ci a pour objectif d’agréger l’ensemble des ICII sur les risques qui sont réparties dans l’organisation afin d’en tirer une connaissance collective à plus forte valeur ajoutée capable de mieux supporter les processus de prise de décisions plus tactiques et stratégiques relatifs à la gestion des risques. L’originalité du cadre de gouvernance proposé dans cette thèse naît en partie du concept de risque sur lequel il est basé. En effet, plutôt que d’utiliser le concept de risque issu des sciences exactes (et reposant sur la probabilité d’occurrence d’un aléa), celui-ci repose sur le concept de risque basé sur l’incertitude. Dans cette optique, où le risque est associé à une incertitude, réduire le risque ne revient plus à réduire la probabilité d’occurrence d’un aléa (paramètre sur lequel l’organisation a bien souvent peu de contrôle), mais plutôt à accroître la connaissance collective transversale (transdisciplinaire) des risques auxquels l’organisation est confrontée. Cette connaissance collective permet alors aux acteurs responsables de la GIR d’obtenir une compréhension commune plus large sur les risques qui contribue à une prise en charge cohérente et concertée de ces risques, mettant de l’avant les deux concepts qui sont au coeur de ce cadre de gouvernance, à savoir, le socioconstructivisme et l’intelligence situationnelle partagée. Ce projet de recherche a été conduit en deux volets menés en parallèle : un volet théorique, visant à poser les concepts sous-tendant le cadre de gouvernance, et un volet pratique, visant à traduire ces concepts en outils concrets applicables dans les grandes organisations. Pour cela, les travaux ont été conduits en partenariat avec une grande organisation canadienne. Mettant de l’avant une méthodologie de recherche de type recherche-intervention, les travaux réalisés au sein de cette organisation ont permis de développer un cadre de gouvernance qui est non seulement valide en théorie, mais qui est également opérationnel, c’est-à-dire qui est aussi valide en pratique. Malgré certaines limitations, ce projet de recherche démontre la valeur ajoutée que la mise en place d’un cadre de gouvernance pour la GIR peut apporter aux grandes organisations. Il ouvre aussi la voie vers des manières plus efficaces et proactives, possiblement basées sur l’utilisation d’algorithmes informatiques ou l’intelligence artificielle, de gérer les risques, dont les risques émergents. Plus généralement, ce projet de recherche pourrait permettre à des initiatives de GIR multiorganisationnelles comme DOMINO de renaître. Mots clés : cadre de gouvernance, cadre opérationnel commun, gestion intégrée des risques, incertitude, intelligence situationnelle partagée, organisation de grande ampleur, représentation mentale commune, risque émergent, socioconstructivisme.

Abstract

Organizations are facing significant changes in their environment that are giving rise to new risks. Described as “emerging,” these risks are characterized by a higher level of uncertainty, ambiguity and complexity that makes them difficult to address through standard risk management processes. To address these new risks, more multidisciplinary and cross-functional risk management approaches, known as “integrated,” must be implemented by organizations. Integrated risk management (IRM) is an issue that is more relevant to large organizations. Indeed, this challenge does not particularly arise in the context of small organizations. In these cases, risk management is often the responsibility of a few actors (even a single team) and is therefore inherently integrated. On the other hand, in large organizations, risk management is generally distributed among several functional units, each responsible for managing an operational activity related to risks, such as business continuity, emergency measures, physical security, information security or occupational health and safety, for example. However, when several stakeholders are involved in the same undertaking, a solid governance must be established to ensure that each of them understands their roles and responsibilities (and those of the others) and, above all, to ensure the coordination and coherence of the decisions they make and the actions they take. This doctoral research project explores this issue of IRM in large organizations. More specifically, it proposes a governance framework for IRM in large organizations. This governance framework is based on the concept of Cooperative Space (CS) developed by the CRP as part of the DOMINO project and is based on three pillars: a common repository, a cooperative structure and an aggregation model for information and knowledge, but also uncertainties and unknowns on risks. Regarding the common repository, the framework proposes that large organizations adopt a transversal risk concept that will allow the Organizational Units (OUs) responsible for managing an Activity related to Risk Management (ARM) to visualize at what level their roles and responsibilities are in relation to risk management, and more specifically, in relation to the Mitigation and Control Measures (MCMs) that are deployed to reduce risks. It also proposes the establishment of a Common Frame of Reference (CFR) for all stakeholders within these OUs, which aims to ensure that all decisions and actions taken by these stakeholders are clearly marked out and are consistent both at the organizational and functional levels. Regarding the cooperative structure, the framework recommends that IRM be under the responsibility of a fully dedicated multidisciplinary team. This team's mission is to ensure the linkage between all OUs responsible for ARM, but also between the operational, tactical and strategic levels of the organization. Finally, regarding the aggregation model, as its name suggests, its objective is to allow information and knowledge, but also uncertainties and unknowns on risks that are distributed throughout the organization to be aggregated to derive collective knowledge with higher added value capable of better supporting decision-making processes relating to risk management. The originality of this governance framework arises from the concept of risk on which it is based. Indeed, rather than using the concept of risk arising from the exact sciences (and based on the probability of occurrence of a hazard), it is based on the concept of risks based on uncertainty. From this perspective, reducing risk no longer means reducing the probability of occurrence of a hazard (a parameter over which organizations often have very little control), but rather increasing the collective cross-functional knowledge and understanding of the organization regarding the risks it faces, highlighting the two concepts at the heart of this governance framework, namely, social constructivism and shared situational awareness. This research project was conducted in two parallel parts: a theoretical part, aimed at establishing the concepts underlying the governance framework, and a practical part aimed at translating these concepts into concrete tools applicable in large organizations. To this end, the work was conducted in partnership with a large Canadian organization. Putting forward an intervention research methodology, the work carried out within this organization has made it possible to develop a governance framework that is not only theoretically valid but is also operational (meaning that it is also valid in practice). Despite some limitations, this research project demonstrates the added value that implementing a governance framework for IRM can bring to large organizations. It also paves the way for more efficient and proactive ways, possibly based on the use of computer algorithms or artificial intelligence, to manage their risks, including emerging risks. More generally, this could allow multi-organizational IRM initiatives like DOMINO to be revived. Keywords: common operational framework, emerging risk, integrated risk management, governance framework, large organization, shared mental model, shared situational awareness, social constructivism, uncertainty.