Le management des risques trop souvent oublié ?

Management

Une industrie bon marché, des achats au plus bas coût… Ces choix ont des conséquences, révélées par la crise actuelle… N'avons-nous pas un peu trop négligé l'identification des risques pris en mettant tous nos œufs dans le même panier… ?

La crise du Covid-19 affecte considérablement les activités humaines sur l’ensemble de la planète, avec de nombreux impacts. Sur la sécurité des personnes, bien évidemment. Les morts se compteront sans aucun doute par centaines de milliers à la fin de l’épidémie. Sur le système de santé, en grande tension. Sur l’activité économique enfin. Même en mettant de côté les conséquences du confinement, qui seront considérables, cet épisode a brutalement montré que la quasi-totalité de l’industrie occidentale a mis tous ses œufs dans le seul panier chinois. Nous faisons travailler une industrie meilleur marché, ce qui diminue le coût de nos achats, au profit des actionnaires et potentiellement du client. Lorsque cette industrie se bloque, les clients en pâtissent les uns après les autres. Imaginez un fabricant européen de machines dont le site de production est en Europe. Dans ces machines, on trouve des cartes électroniques. Imaginons que ces cartes soient produites en Ardèche, dans une PME qui utilise des composants : résistances, diodes, transistors, etc. Comme ces composants viennent de Chine, la fermeture d’usines dans la province de Wuhan va rendre impossible une production « Made in France ».

Une situation résultant de choix humains

Cette situation n’a rien d’une fatalité. Une éruption volcanique, un tremblement de terre, sont des évènements sur lesquels nous n’avons aucune prise : nous subissons les mouvements de l’écorce terrestre. Dans les conséquences du Covid-19, au contraire, nous sommes en face d’une situation presque totalement créée par l’homme. Elle résulte de choix individuels et collectifs, faits pendant des années, sans que personne n’en ait analysé clairement tous les impacts. La facilité avec laquelle des millions de personnes se déplacent chaque jour accélère la vitesse de propagation des épidémies. Le regroupement de populations dans des mégalopoles en augmente le nombre de victimes. C’est vrai depuis le Moyen-Âge, pour l’homme comme pour les animaux (grippe aviaire) et les végétaux (mildiou, phylloxéra).Mais à ceci, nous avons « librement » ajouté une dépendance vis-à-vis de l’extérieur. Et comme nous n’avons, collectivement, pas identifié les risques que nos décisions accumulées faisaient courir à notre société et à nos entreprises, le résultat s’avère critique. Nous n’avons plus la capacité de fabriquer des masques chirurgicaux, les automates de biologie médicale contiennent tous des composants importés, de nombreuses substances actives des médicaments sont fabriquées hors d’Europe.

Un manque d’analyse des décisions

Une accumulation de décisions « privées » met à mal les états, incapables de protéger leurs populations. L’analyse de ces décisions aurait dû être conduite par les responsables politiques. Et, à leur niveau, par les chefs d’entreprises, donc les directeurs de laboratoires de biologie médicale.
La norme ISO 15189 : 2012, qui traite du management, s’intéresse aux risques. Mais d’une manière plutôt superficielle. La clause 4.16.6 règle son compte au problème en seulement 38 mots : « Gestion des risques : le laboratoire doit évaluer l’impact des processus de travail et défaillances potentielles sur la sécurité des résultats des de leur vraisemblance, ou probabilité d’apparition, et de la gravité de leurs conséquences. On continue par le traitement de ces risques, qui consiste à identifier puis mettre en œuvre une réponse appropriée au risque, mais aussi - et surtout - à en évaluer l’effectivité (on a fait ce qui a été décidé) et l’efficacité (la mesure fonctionne, le risque est maîtrisé).
L’identification des risques doit être renouvelée chaque fois que le contexte change, ou que l’on a connaissance d’une défaillance. La réglementation européenne 1 exige ainsi que les analyses de risques réalisées par les fabricants de dispositifs médicaux soit révisées au moins une fois par an.
Pour chaque risque à maîtriser, plusieurs options sont à considérer (voir figure 2). On peut refuser de prendre le risque, ou au contraire l’accepter, voire accepter un risque accru. Le plus souvent, on adopte une stratégie visant à en diminuer la vraisemblance (on parle alors de prévention), examens et doit modifier les processus pour réduire ou éliminer les risques identifiés, et documenter les décisions et actions menées ». Rien sur ce qu’il faut faire en pratique, ni comment. À peine pourquoi il faut identifier les risques.

Apprécier et traiter les risques

C’est la norme ISO 31000 qui traite du management des risques, activité comportant deux phases (voir figure 1). Elle commence par l’appréciation des risques : ils sont identifiés puis évalués en fonctionou la gravité des conséquences (c’est la protection). Une option souvent utilisée est le partage (la sous-traitance) du risque : on fait intervenir une autre entreprise, qui assume les conséquences d’un éventuel problème.
C’est ainsi que nombre d’établissements hospitaliers n’utilisent que du matériel chirurgical à usage unique, les conséquences d’un défaut d’asepsie étant reportées sur le fournisseur.
On peut également assurer ce risque : c’est ce que chacun d’entre nous fait en souscrivant une assurance en responsabilité civile. La norme ISO 15189 limite l’analyse desrisques à la sécurité des examens. C’est bien évidemment le cœur de métier du laboratoire, et de nombreux moyens de maîtrise sont mis en place : passage de contrôles qualité, inscription à des essais interlaboratoires, comparaison des équipements, habilitation du personnel, etc. De manière spontanée, d’autres risques sont aussi pris en compte : la polyvalence permet de pallier l’absence d’une personne ; le maintien d’un stock de réactifs pallie un retard de livraison.

Anticiper les coûts et risques cachés

Certains risques en revanche sont pris sans que la réflexion soit toujours totalement aboutie. Confier le stockage de données à un prestataire qui va les mettre « dans le cloud » pose le problème de la propriété et de la perte de confidentialité. La généralisation des accès au réseau depuis tous les ordinateurs et tous les automates augmente la vulnérabilité aux attaques par « rançongiciel » 2 .
Centraliser les achats permet généralement d’obtenir des réductions de prix. Mais cela revient parfois à mettre tous ses œufs dans le même panier. Et lorsqu’un acheteur affirme que le risque est couvert par un contrat épais et relu par de multiples juristes, il oublie que le jour venu, toutes les signatures du monde ne suffiront pas à faire fonctionner un équipement, si le fournisseur est en défaut.
Lorsque le transporteur coréen Hanjin shipping a déposé le bilan en août 2016, ses 80 bateaux se sont vus interdire d’accoster par tous les ports du monde. Les clients, dont les marchandises contenues dans quelque 500 000 conteneurs ont été retardées parfois plusieurs mois, n’ont pour la plupart pas été entièrement dédommagés de leurs pertes. Avoir un fournisseur peut-être plus cher, mais plus proche, accessible de multiples manières, aurait été plus sûr. D’ailleurs, c’est le succès de l’offre à bas coût de Hanjin qui est la cause de sa faillite. Malheureusement, si les acheteurs savent mesurer les économies, ils sont moins à l’aise pour anticiper les coûts cachés. On voit donc que les risques sont intimement liés aux activités, à l’organisation, au contexte. Il n’est (sauf dans le nucléaire, ou l’armement) pas imaginable d’avoir un processus spécialisé dans l’identification des risques. Au contraire, c’est chaque pilote de processus qui doit passer en revue ses activités, ses produits, ses clients (internes ou externes), et identifier quels sont les risques de ne pas disposer d’un élément d’entrée, ou d’avoir un élément d’entrée non conforme, les risques de ne pas pouvoir délivrer les éléments de sortie, ou de délivrer un élément de sortie non conforme, sans oublier les risques intrinsèques à l’activité. Mais ceux-là sont en partie pris en compte par la réglementation, au travers de l’évaluation des risques au poste de travail.
Ensuite, il convient d’identifier quelle sera la meilleure manière de maîtriser le risque. On peut avoir de la formation, de l’investissement, des modifications de technologie, ou même des procédures.
Enfin, on passe en revue l’efficacité de ces mesures. S’il le faut, on les change.

Intégrer le service rendu à la population

Et lorsque la situation l’exige - par exemple dans le cas d’une crise sanitaire -, on peut même supprimer certaines de ces mesures de maîtrise, comme autoriser la fabrication de dispositifs médicaux par à peu près n’importe quelle bonne volonté, ou la réalisation d’analyses de biologie médicale par des laboratoires non accrédités. Le risque de défaillance étant alors identifié comme bien inférieur au service rendu à la population. La revue du système peut fonctionner dans le sens de l’augmentation comme dans le sens de la diminution du niveau de maîtrise.
 

Retrouvez le PDF issu de Biologiste Infos numéro 105 ici

Hubert Bazin