Polycrise[1]. Sans précédent. Historique. Extrême. Ce ne sont là que quelques-uns des titres qui arrivent dans la boîte de réception de tous les dirigeants. Le monde évolue à un rythme effréné, les régulateurs et les actionnaires ajoutent de nouvelles exigences de gouvernance, et vous coordonnez certainement des actions sur plusieurs business models, marchés et fuseaux horaires.
Les 100 plus grandes entreprises au monde produisant 17,7 milliards USD de chiffre d’affaires[2], les valeurs en jeu à la suite d’une mauvaise décision - ou pire d’une inaction - nécessitent une compréhension commune et une stratégie unifiée. Il n’est pas surprenant que les plus grandes entreprises du monde accordent une attention particulière à la manière dont elles peuvent identifier les tendances émergentes à l’origine de risques en cascade et d’opportunités, afin d’explorer comment elles peuvent influencer leur profil de risque, mais aussi découvrir des sources de croissance.
L’intelligence artificielle (IA) se dresse actuellement comme un leurre, avec des projections suggérant que l’IA générative pourrait créer 13 000 milliards USD[3] de valeur économique avec un appel clair aux entreprises : évoluer avec l’IA ou risquer d’être laissé pour compte. L’histoire est jalonnée d’exemples d’organisations qui ont raté des opportunités de faire évoluer leurs business model, ou des conseils d’administration qui n’ont pas su reconnaître des risques importants tels que les risques réputationnels, avec le même engagement que pour des opportunités commerciales. Personne ne veut être le prochain Kodak et être confronté à l'issue fatidique de son business model. Ce qui aurait pu être évité en imaginant des avenirs plausibles que leur concurrents avaient eux-mêmes envisagés.
L’urgence de répondre à de multiples parties prenantes internes et externes peut empêcher les organisations de regarder au-delà de leurs défis les plus immédiats. En comparant les rapports annuels 2007 des 10 plus grandes entreprises du classement Fortune 500 à ceux d’aujourd’hui, on constate qu’une seule d’entre elles avait mentionné le mot « pandémie ». En 2022, la pandémie était dans les 10 risques les plus importants, certains rapports dédiant des sections entières à ce risque maintenant familier. Qu’est-ce qui a changé depuis ? L’expérience. Les périodes post pandémie n’ont pas changé. Les statistiques ont toujours indiqué qu’une autre pandémie pouvait survenir, mais ces données n’étaient pas disponibles ou récentes.
Le risque de pandémie n’a pas disparu simplement parce que nous en avons connu une récemment. Les chercheurs qui modélisent le risque de pandémie futures estiment qu’il existe une probabilité de 47 à 57 % qu’une autre pandémie mondiale aussi mortelle que la COVID-19 survienne au cours des 25 prochaines années[4].
L’examen des risques émergents et la préparation à l’avenir ne se limitent pas à la tenue d’un registre des risques ou à l’évaluation de leur probabilité, de leur impact et de leur capacité à évoluer rapidement. Pour exploiter pleinement le potentiel des travaux en matière de risques émergents, il convient d’adopter une approche axée sur la maturité du risque, et d’établir des liens entre les différentes fonctions de l’entreprise afin de renforcer les connaissances en matière de risque ainsi que d’obtenir l’adhésion de tous. De même qu’aucun risque n’est isolé, les dirigeants doivent tendre vers une plus grande compréhension des impacts au-delà de leur fonction.
Les directeurs généraux, et l’ensemble de la C-Suite (directeurs des risques, des ressources humaines, de l’IT, des opérations, de la stratégie et des finances) ont besoin d’une approche et de référentiels communs pour faire coïncider la prise de décision en matière de gestion des risques et de priorités financières. Par exemple, les risques émergents autour de la propriété intellectuelle pourraient avoir des points de contact multiples dans l’organisation :
Avoir une approche collaborative permet d’obtenir une vision globale des risques, en permettant aux dirigeants et aux risk managers d’accéder à des analyses qualitatives et quantitatives. Faire travailler la gestion des risques avec d’autres fonctions permet de gérer les risques et les incertitudes de manière proactive plutôt que réactive.
Cette situation nécessite d’aller vers la reconnaissance d’un éventail plus large des risques, mais aussi vers une approche proactive de ces derniers. Des recherches suggèrent que les organisations qui ont investi dans la mise en place d’unités de prospection atteignent une rentabilité supérieure de 33 % et une croissance supérieure de 200 %[5]. Il est important de raisonner en amont pour tirer les leçons de l’histoire et de raisonner en aval pour explorer les avenirs collectifs possibles.
Nous avons demandé à nos experts quels sont les risques émergents et interconnectés les plus importants et nous leur avons demandé « comment comprendre et agir sur les sources de ces risques émergents ? » :
Comment se préparer aux risques cyber actuels et futurs ?
5 200 M USD de valeurs mondiales en danger en raison de menaces cyber
Le paysage cyber évolue sans cesse. IBM estime que le coût moyen mondial d’une violation de données en 2023 était de 4,45 millions USD, soit une augmentation de 15 % sur trois ans[6].
Derrière ces chiffres se cachent en réalité une grande diversité d’impacts.
La Banque mondiale a estimé qu’à l’échelle mondiale, de 2019 à 2023, environ 5 200 milliards USD de valeur mondiale étaient en danger en raison d’attaques cyber potentielles. Chaque mois, 10,5 millions d’informations sont perdues ou volées, soit environ 438 000 par heure[7].
Ces événements peuvent avoir des conséquences très sérieuses pour les organisations complexes, avec des sources de risque très variées et complexes qui nécessitent une approche holistique pour les gérer. Prenons pour exemple l’expérience d’une chaîne hôtelière mondiale.
En 2018, cette chaîne a annoncé que des cyber criminels avaient volé environ 500 millions dossiers clients. Ces derniers ont obtenu un accès non autorisé à une société acquise par la chaîne hôtelière en 2014 et sont restés dans le système pendant 4 années. L’accès n’a été découvert qu’en 2018, et la chaîne hôtelière a été condamnée à une amende de 18,4 millions GBP pour violation de données à caractère personnel par le Bureau du commissaire à l’information du Royaume-Uni, en vertu du Règlement général sur la protection des données (amende de 99,2 millions GBP au départ qui a été réduite). Les conséquences à l’époque comprenaient : les coûts de recouvrement, les dommages à la réputation dus à la perte de confiance des clients et les ramifications juridiques par le biais de poursuites collectives intentées par les personnes touchées.
En 2022, 20 gigaoctets de données supplémentaires ont été volés via l’accès au compte d’un employé, une méthode d’attaque différente qui a permis d’infiltrer la société par un autre biais.
Lorsque les organisations sont confrontées à de tels événements, il est nécessaire de penser au-delà de risques spécifiques et au-delà de solutions uniques pour s’assurer de la résilience de l’entreprise.
Bloomberg Intelligence estime qu’elle passera à 1 300 milliards USD au cours des 10 prochaines années, par rapport à une taille de marché de seulement 40 milliards USD en 2022[8].
La technologie évoluant rapidement, les efforts de gouvernance seront essentiels, d’autant plus que les développeurs d’IA sont confrontés aux risques inhérents à leurs données d’entraînement. L’ensemble de votre organisation devra également prendre en compte les effets secondaires : les risques cyber en font partie.
Quels sont actifs exposés à des pertes potentielles dans les différentes zones géographiques où nous opérons ? Combien d’événements peuvent survenir pendant une année?
28 événements dépassant 1 millard USD
En 2023, l’Administration nationale de l’océan et de l’atmosphère (NOAA) a calculé que les États-Unis, à eux seuls, avaient essuyé 28 événements climatiques avec des pertes dépassant 1 milliard USD, bien au-dessus de la moyenne depuis 1980 de huit événements par an et de la moyenne au cours des cinq dernières années de 18 événements par an. Aux États-Unis, les assureurs ont enregistré les tempêtes convectives sévères (SCS) les plus coûteuses, avec un total de réclamations dépassant 50 milliards USD[9].
Les sinistres liés à des risques secondaires, principalement les tempêtes convectives sévères aux États-Unis et en Europe, ont contribué de manière substantielle aux sinistres d’assurance de l’année, soulignant leur influence croissante par des pertes cumulées dépassant celles causées par une saison d’ouragans.
D’autres catastrophes naturelles établissent également de nouveaux records, avec des impacts négatifs pour les assureurs qui remettent en question leur propre point de vue sur les agrégations, ainsi que pour les risk managers qui examinent de nouveau l’étendue de leur empreinte géographique. En 2023, le Canada a connu sa saison de feux de forêt la plus importante jamais enregistrée, avec 17,94 millions d’hectares brûlés.
En raison de l’ampleur des incendies, le gouvernement canadien a fermé plusieurs routes au Québec et de nombreuses entreprises ont dû réduire leurs activités. Face à l’augmentation du risque d’incendie de forêt, il sera nécessaire d’adopter une approche à multiples facettes combinant la prévision précoce et l’anticipation des incendies avec des infrastructures solides, une communication efficace, des politiques adaptables et la prise en compte de solutions basées sur la nature.
Comment appréhender les risques géopolitiques ?
4,1 M de personnes vont voter en 2024
L’année 2024 devrait être ce que l’Economist a appelé « la plus grande année électorale de l’histoire », avec des élections nationales prévues dans au moins 64 pays, plus l’Union européenne, représentant 4,1 milliards de personnes, soit près de la moitié de la population mondiale (49 %) qui représente un PIB mondial estimé à 57 000 milliards USD. En avril, ce nombre était de 83 dans 78 pays.[10] Nombre d’entre elles auront des conséquences pour les années à venir, avec des impacts potentiels sur la stabilité sociale, la politique de relocalisation/délocalisation, les changements réglementaires et l’évolution des investissements internationaux. Les valeurs actuelles du PIB de la Banque mondiale (USD) pour 2023 ne sont pas disponibles pour le Bhoutan, la République populaire démocratique de Corée, les Palaos, la Corée du Sud, le Soudan du Sud, la République Arabe Syrienne, Taïwan et le Venezuela.
Des recherches récentes menées par WTW et Oxford Analytica, publiées dans l’Index Risques Politiques WTW, suggèrent que les alignements géopolitiques évoluent rapidement. Inévitablement, les changements de gouvernement sont l’occasion de réalignements géopolitiques importants. Les investisseurs ont tendance à détester l’incertitude ; d’une certaine manière, des évolutions négatives prévisibles sont préférables au fait de ne pas connaître l’avenir, ce qui rend difficile le calcul des rendements futurs. Les élections de 2024 apporteront leur lot d’incertitudes, d’où l’importance pour les organisations de s’interroger sur les sources d’information auxquelles elles peuvent faire appel pour s’assurer qu’elles sont informées des impacts étendus des risques géopolitiques.
Les organisations importantes ne manquent pas d’approches pour relever ces défis. Cependant, il n’existe pas d’approche unique pour identifier, analyser, surveiller et répondre aux risques émergents. Les entreprises doivent en être conscientes et veiller à tenir compte de leur culture, de leur expérience, de leurs capacités technologiques et de l’attitude de leurs équipes lorsqu’elles conçoivent ou affinent leur approche.
WTW estime qu’une approche efficace commence par établir et comprendre votre tolérance au risque. Cette étape vous permet d’identifier les risques émergents qui peuvent dépasser ce niveau de tolérance et qui nécessitent des mesures d’atténuation, tant sur le plan financier qu’organisationnel.
Les organisations utilisent une série de définitions différentes des risques émergents, affinées en fonction des horizons temporels, des seuils de tolérance au risque et de la stratégie. La récente publication de la norme ISO 31050 (directives pour la gestion des risques émergents afin d’améliorer la résilience) marque un moment crucial dans la gestion de ces risques à un moment où de nouvelles normes et exigences réglementaires sont mises en œuvre ou prises en compte.
Si les définitions peuvent varier, quels sont les risques émergents ? D’après la norme ISO 31050, ils peuvent couvrir une série de caractéristiques :
Il s’agit d’un point de départ utile, mais les organisations peuvent souhaiter simplifier cette définition pour rendre le langage plus clair et plus accessible. Une organisation peut choisir de considérer les risques émergents comme :
Pour savoir si votre approche actuelle traite ces risques et ces opportunités de manière appropriée, posez-vous trois questions :
01
On ne saurait trop insister sur l’importance de mettre en place un processus de gestion des risques émergents et de le relier au business model. Cela inclut le prisme de l’opportunité. L’examen des risques émergents consiste également à prendre en compte votre avantage concurrentiel et à recueillir des informations sur les nouvelles opportunités de marché, les besoins des clients et les avancées technologiques. Enfin, il est nécessaire de rester en veille à l’égard des évolutions réglementaires, des exigences de conformité et des normes sectorielles susceptibles d’avoir un impact sur vos activités et votre réputation.
Action : instaurer une analyse de l’environnement qui dépasse les frontières traditionnelles, en se concentrant par exemple sur la nouvelle législation ou les normes d’information financière. Se poser la question « Quelles sont les nouveautés et qu’est-ce que cela signifie pour nous ? » Régulièrement, de nouveaux risques et opportunités peuvent apparaître bien plus tôt. En examinant les hypothèses par le biais de tests de scénarios, les organisations peuvent se faire une idée des vulnérabilités potentielles et développer des stratégies pour gagner en résilience. Le wargaming est un moyen de donner vie à cette idée, car le jeu se concentre sur les risques, mais aussi sur les acteurs – afin d’avoir une vision plus réaliste.
02
Le rythme des changements dans nos contextes internes et externes est tellement soutenu qu’il est évident que des vrais « nouveaux » risques sont de plus en plus probables. Un élément important d’un processus efficace de gestion des risques émergents est la capacité à repérer ces risques à temps, à planifier et à hiérarchiser une réponse appropriée, compte tenu du profil de risque varié que l’organisation est susceptible d’avoir. Pour les organisations complexes composées de plusieurs secteurs et business models, la possibilité d’exploiter ces points de vue est de permettre l’analyse de l’environnement et de créer une vision holistique du risque. Mais la connaissance des risques doit être le moteur de la prise de décision et de la stratégie. La norme ISO 31050 fournit désormais un cadre standardisé pour traduire les données prévisionnelles en renseignements sur les risques qui peuvent être intégrés dans les processus de gestion des risques existants.
Action : positionner la gestion des risques au cœur de la gouvernance d’entreprise, car elle est essentielle à la création d’une organisation durable et résiliente. Les organisations qui intègrent la réflexion sur les risques émergents dans leurs approches peuvent en exploiter les valeurs. Cela peut signifier jeter un regard neuf sur les sources de données existantes, telles que vos demandes d’indemnisation, remettre en question les dimensions du risque suivies par votre organisation ou se tenir au courant des dernières réflexions menées par les scientifiques, les universitaires, les groupes de réflexion et le secteur privé. C’est l’approche qu’utilise notre réseau de recherche WTW pour identifier les risques et améliorer leur compréhension et leur quantification dans l’intérêt de nos clients et de la société ; nous constatons qu’en regardant à gauche et à droite et en observant ce que d’autres industries envisagent, vous pouvez apporter un regard neuf à vos enjeux.
03
Les cadres traditionnels d’évaluation des risques utilisent fréquemment des méthodes et des techniques statistiques pour identifier et isoler les tendances historiques dans le déclenchement, l’ampleur ou la fréquence d’un danger particulier. Bien que cela permette d’appréhender le risque un par un, cela ne permet pas d’appréhender de manière adéquate le risque associé à la connectivité entre les risques, qu’il s’agisse de risques co-occurrents, composés ou en cascade. Si un incident survient et dépasse la capacité de résistance de l’organisation, il s’agit d’un risque individuel avec de nombreux contrôles et scénarios étroitement définis. Il s’agit généralement de risques interconnectés ou de scénarios qui dépassent l’imagination.
Action : mettre en place une approche structurée pour prendre en compte l’interconnectivité entre les risques pour partager la compréhension entre les parties prenantes. Les registres ont leur place, mais challenger ses perspectives peut avoir une vraie valeur ajoutée : ici nous avons demandé aux personnes interrogées d’indiquer les trois principales combinaisons de risques qui les préoccupent parmi une liste des 25 principaux risques (Graphique 1). Cette approche peut être utilisée pour faire émerger des connexions peu ou pas visibles, en encourageant la collaboration entre les fonctions de l’entreprise. Grâce à une méthode flexible et duplicable, l’entreprise acquiert une meilleure connaissance des connexions complexes entre les risques.
Source : Enquête sur les risques émergents WTW 2021
La prise en compte des risques émergents est essentielle pour une approche stratégique réellement efficace, qui apporte une valeur à long terme. Par conséquent, les organisations doivent s’assurer qu’elles accordent suffisamment d’attention aux risques émergents sous toutes leurs formes lorsqu’elles élaborent, améliorent et mettent en œuvre des cadres et des processus stratégiques.
Face au changement global, c’est le moment ou jamais de remettre en question votre approche des risques émergents. Êtes-vous prêt à faire face aux risques et aux opportunités qui se présentent ? Et êtes-vous prêt à saisir les opportunités ?