Selon cette enquête, plus de la moitié des entreprises avouent avoir subi une crise au cours des cinq dernières années ; les nouveaux risques ne correspondent pas forcement à ceux déjà vécus par l’entreprise ; et la continuité des activités devient la priorité des dirigeants en cas d’évènements majeurs mais le manque d’immersion en situation est une limite.
Le groupe d’audit et de conseil, Grant Thornton, annonce les dernières tendances de son baromètre relatif aux risques majeurs des entreprises. Menée au cours de l’automne dernier auprès d’un panel de plusieurs centaines de dirigeants, cette mise en perspective indique que plus d’une entreprise sur deux a déjà subi un ou plusieurs événements qualifiés de « crise » au cours des cinq dernières années (57%). Les décideurs qui ont éprouvé ces situations exceptionnelles identifient leur origine pour 65% d’entre eux à une défaillance impactant les activités opérationnelles. Les principales situations de crises vécues sont donc en lien avec le métier.
Ce baromètre revient également sur la perception des dirigeants quant aux nouvelles causes d’exposition aux risques. Si une très grande majorité de répondants estime que les entreprises sont davantage exposées aux situations de crise (75%), il est intéressant de noter que les causes redoutées ne sont pas forcément celles à l’origine des événements vécus. La vulnérabilité des systèmes d’information apparait ainsi comme la cause principale d’exposition (Figure B) alors que cette dernière n’est pourtant pas l’origine principale des événements ayant entrainé une situation de crise avérée, au cours des cinq dernières années. Enfin, les risques sociétaux et éthiques et les sujets relatifs à la gouvernance sont également identifiés comme de nouveaux sujets d’exposition préoccupants avec respectivement 29% et 13%.
La Direction générale accorde un intérêt particulier à la gestion de crise pour 63% des répondants. Ce résultat va dans le sens d’une prise de conscience avérée du Top management : anticiper des événements ayant une très faible occurrence peut ne pas toujours constituer la priorité affichée des dirigeants par ailleurs mobilisés sur le développement de leur structure.
Sur le plan opérationnel, les tendances indiquent que le pilotage de la gestion de l’évènement est assuré à 39 % par un service dédié. En l’absence d’un « service de gestion de crise », c’est dans 61% des cas la direction métier concernée qui traitera l’évènement. Enfin quand ils existent, les services dédiés à la gestion de crise sont constitués majoritairement de 1 à 5 personnes et dépendent du Top management. Par ailleurs, les répondants s’appuient majoritairement sur les recommandations de retours d’expérience issus d’exercices de crise (57%) et d’audit (38%) afin d’améliorer leur organisation.
D’autre part, cette étude fait état de l’existence d’un Plan de continuité d’activités (PCA) pour 76% des décideurs interrogés. La mise en œuvre d’un PCA ne concerne ainsi plus uniquement les secteurs réglementés ou « d’importance vitale ». Les autres secteurs d’activité sont eux-aussi concernés par la démarche car le risque de non-continuité des activités est aujourd’hui perçu comme l’une des menaces les plus redoutées au sein des entreprises privées. Le périmètre du PCA est fonctionnel pour les trois quarts des répondants : il couvre toutes les activités de l’organisme considéré, la continuité informatique n’étant plus l’unique priorité des dirigeants. Toutefois, 55 % des répondants déclarent qu’au sein de leur entité respective, il est difficile d’affirmer l’existence d’un lien entre le dispositif de gestion de crise et le PCA, dans la mesure où il n’a jamais été testé.
Clotilde Marchetti, Associée et responsable de l’offre Risques extrêmes de Grant Thornton : « Culture de crise et culture de continuité doivent aller de pair. Nous observons un progrès notable en la matière avec notamment l’intégration quasi systématique du Plan de continuité d’activité en lien avec la cartographie des risques établie en amont. Afin d’améliorer cet ensemble et de pousser vers une plus grande intégration des systèmes, il appartient aux entreprises de s’immerger dans des exercices reproduisant des situations tout à fait exceptionnelles pour mieux impliquer et faire adhérer l’ensemble des collaborateurs à la gestion des événements sensible
Méthodologie : baromètre réalisé auprès de plus de 200 responsables : Des Responsables gestion de crise et RPCA ; Des Responsables / Directeur des risques, des Risk manager, des Responsables compliance, des Responsables contrôle interne, des Responsables de l’audit interne, des Directeurs sûreté ; Des Directeurs opérationnels métier ; Des Directeurs généraux, des Directeurs administratif et financier, des Responsables achats.
