Tendance

Risk manager : Du pilotage des risques à la création de valeur

Publié le 2 février 2018 à 10h47    Mis à jour le 2 février 2018 à 16h59

Anne del Pozo

Depuis quelques années, la montée en puissance de nouveaux risques, dont ceux liés à la transformation digitale, a considérablement fait évoluer la fonction de risk manager. Pour mieux les appréhender, celui-ci doit savoir non seulement les anticiper dans la mesure du possible, mais aussi déceler les opportunités qu’ils peuvent parfois présenter.

Un coût de 80 millions d’euros sur l’année : tel est l’impact que devrait avoir sur les comptes de Saint-Gobain la cyber-attaque au ransomware NotPetya que le groupe a subie le 27 juin dernier. Un mois avant, Renault avait été la première entreprise française à reconnaître avoir été touchée par la cyber-attaque mondiale Wannacry. Pas étonnant, dès lors, que la cybercriminalité figure désormais, selon le dernier baromètre mondial de l’assureur Allianz, au deuxième rang des préoccupations des entreprises, juste derrière les interruptions d’activité… consécutives, entre autres, aux cyber-attaques.

«Chez Engie, une telle attaque pourrait par exemple empêcher l’accès à la base client, impactant ainsi nos processus de facturation, explique Laurence Delaire, directeur des risques et assurances Engie.Il s’agit d’un risque en perpétuelle évolution. C’est pourquoi nous devons être vigilants et proactifs sur ce sujet en adaptant nos scénarios, plans d’actions ou plans de continuité d’activité face à ce type d’attaques virtuelles.»

Alors qu’ils sont déjà confrontés depuis plusieurs années à une palette de risques de plus en plus large (régulation, concurrence, image, qualité de produits, etc.), les risk managers, les spécialistes de la gestion des risques dans les entreprises, ont de ce fait dû s’adapter rapidement à ce nouvel environnement.

«Les grandes ruptures technologiques actuelles telles que la connectivité, le big data ou l’intelligence artificielle impactent l’évolution de notre groupe, de nos métiers, et de nos business models, ainsi que les interactions avec nos clients et fournisseurs, explique Brigitte Bouquot, directrice des assurances et de la gestion des risques du groupe Thales et présidente de l’AMRAE. Face à ces défis technologiques, mon rôle de risk manager consiste, entre autres, à veiller à ce que la politique de prévention et de protection évolue au même rythme que les produits et les métiers, de sorte que Thales soit toujours couvert le mieux possible en termes d’assurance.» Une mission qui passe d’abord par un gros effort de prévention. «Nous réalisons une veille permanente sur les risques cyber, et nous nous nourrissons de l’expérience des entreprises qui ont été confrontées à ces attaques pour définir nos plans de prévention», précise Laurence Delaire. Une approche proactive également menée par le groupe Renault.

«Dans les usines, l’angoisse se cristallise désormais autant autour de l’irruption d’un virus qui toucherait un ordinateur en charge du pilotage d’une ligne de production que de la survenance d’une panne mécanique de machine, constate Gérard Payen, chief risk officer chez Renault. A l’échelle mondiale, le groupe mène donc, entre autres, une veille permanente et proactive sur la cybersécurité.»

La détection des risques émergents

Parallèlement, les risk managers travaillent de plus en plus de manière prospective pour identifier les risques émergents et leurs conséquences, afin de mieux les anticiper. Veolia a ainsi fait le choix de dédier un comité à part entière à cette démarche.

«A mon arrivée chez Veolia en 2013, chaque direction réalisait sa propre veille en matière de risques, indique Oliver Wild, directeur risques, assurances et conformité de la société et administrateur de l’AMRAE. Pour tirer parti autant que possible de cette masse d’informations, nous avons donc créé un comité des risques émergents, qui réunit les directions du développement durable, de la sûreté, des risques, de la communication mais aussi la DRH. Ce comité des risques émergents permet de consulter toutes les parties prenantes sur différents sujets naissants et nous aide à anticiper sur les risques éventuels à venir. Au sein de ce comité, nous avons par exemple étudié les effets de la digitalisation.» De son côté, Thales capitalise sur chaque temps fort de son calendrier pour mener des réflexions sur les risques émergents correspondant à ces étapes. «Nous nous rattachons toujours au plan de gouvernance des risques du groupe, explique Brigitte Bouquot. Par exemple, nous traitons les risques prospectifs en phase stratégique (au printemps), les risques financiers au moment des budgets (à l’automne), les risques des projets en phase d’offre (tout au long de l’année)… Cela nous permet d’aborder le risque aussi bien sous l’angle de l’innovation que sous celui de la responsabilité.»

Cette approche des risques émergents met également en lumière la volonté des risk managers d’impliquer davantage les opérationnels et le comex dans la maîtrise des risques, en mettant en œuvre des processus de gestion en la matière plus transversaux et collaboratifs. Leur objectif, au travers de cette nouvelle démarche, consiste notamment à développer la culture risque au sein de leur organisation et à mieux appréhender et maîtriser les risques.

Une gouvernance plus transversale

Aujourd’hui chez Engie, le risk manager travaille ainsi en direct avec les opérationnels. «Ils nous font part des impacts de certains risques sur leurs métiers, précise Laurence Delaire, directeur des risques et assurances d’Engie. Par exemple, sur le risque cyber, nous travaillons en étroite collaboration avec la DSI ; sur le terrorisme, nous travaillons avec les équipes sûreté/sécurité et, depuis peu, nous apportons même aux RH notre expertise, notamment en matière de benchmark, d’analyses et de négociations, sur les assurances de personnes.»Même constat chez Thales, où beaucoup d’acteurs sont impliqués dans la gestion des risques. «La gouvernance des risques est transversale au sein de toutes les activités du groupe, précise Brigitte Bouquot. Pour mon équipe, le défi consiste à garder la qualité de maîtrise globale des risques et des assurances, tout en étant prospectif et connecté avec l’ensemble des autres équipes de l’entreprise concernées par ces risques. Nous travaillons avec les opérationnels qui maîtrisent bien leurs sujets mais n’ont pas forcément la culture risque globale, et nous passons du temps avec eux pour modéliser des scénarios. Par exemple, nous nous rapprochons des équipes stratégiques pour suivre les nouvelles politiques produits du groupe et travailler avec eux sur la maîtrise des risques qui peuvent en découler. Nous coopérons également avec les fonctions supports, comme la finance ou le juridique, et avons créé un réseau de risk managers terrain qui nous remontent les sujets qu’ils ne peuvent traiter localement. Citons par exemple les gros contrats mettant en interdépendance plusieurs sociétés ou sites Thales, ou encore des demandes assurantielles de clients dérogatoires par rapport à nos lignes directrices.»

Des risques qui deviennent des opportunités

Si le risk manager doit sensibiliser les opérationnels à la gestion des risques, la thématique concerne désormais au premier chef la direction générale. A cet effet, Renault fait par exemple cohabiter depuis quinze ans la fonction risk management avec l’audit interne et le contrôle interne. Ces trois fonctions, en forte interaction, sont directement rattachées à la direction générale. «Ce circuit court démontre une conviction forte de la direction générale : pour construire un succès durable, il est indispensable à la fois de prendre des risques et d’en avoir, en permanence, une bonne maîtrise», poursuit Gérard Payen. Une évolution également constatée chez Veolia :«Depuis 2013, le pilotage de la maîtrise des risques a été élevé dans la hiérarchie de l’entreprise, rapporte Oliver Wild. Le comité des risques se tient a minima deux fois par an au comité exécutif du groupe. Le top management s’approprie donc les risques, leur identification, leur évaluation et le plan d’action. Chaque risque est attribué à un sponsor qui est membre du comex.»

Dans ce contexte, il incombe également de plus en plus au risk manager d’identifier dans quelle mesure un risque peut se transformer en opportunité pour son entreprise. Chez Veolia, pour identifier les opportunités business liées aux risques, l’équipe risk management a développé une analyse des risques articulée autour de 70 indicateurs (stress hydrique, part de la population en zone urbaine, croissance entendue du PIB, etc.) issus de différentes institutions telles que le World Resource Institute, la Banque mondiale ou encore le FMI. «Par exemple, le stress hydrique, qui est un risque naturel fort pour certains pays, représente une opportunité pour Veolia, car il va falloir aider les pays à avoir une meilleure gestion de leurs ressources en eau», explique Oliver Wild. Au sein du groupe Renault, le rôle de Gérard Payen et de son équipe consiste désormais aussi, au-delà de la gestion et du pilotage des risques opérationnels, à aider l’entreprise dans la définition de ses orientations et de ses opportunités stratégiques. «Nous avons également pour mission, à travers la gestion des risques, d’aider notre entreprise à grandir, en préservant un équilibre permanent entre sa liberté d’entreprendre et le respect de contraintes, en particulier légales ou réglementaires (telles que Sapin 2, le RGPD, etc.), qui ne cessent d’évoluer», indique Gérard Payen. Peu à peu, le risk manager a ainsi évolué d’un rôle de gardien de la conformité à un rôle plus large, visant à assurer et à accroître la qualité des risques que l’entreprise prend pour réussir, quels qu’ils soient.

Une palette de risques de plus en plus large

Selon le baromètre 2017 du risk manager de l’AMRAE réalisé en partenariat avec PwC, les risk managers interviennent donc sur une palette de risques de plus en plus larges dont les principaux sont les risques opérationnels (91 %), de fraude (83 %), de cybersécurité (79 %) ou encore environnementaux (79 %). Le baromètre met également en évidence une hausse des risk managers intervenant sur les risques de conformité (77 % en 2017, contre 59 % en 2015) et sur les risques sûreté/sécurité (76 % en 2017, contre 70 % en 2015), ce qui s’explique notamment par le contexte réglementaire actuel (loi Sapin 2, RGDP, devoir de vigilance, etc.) ainsi que par les enjeux de sécurité et de sûreté de plus en plus présents.

L'info financière en continu

Chargement en cours...

Dans la même rubrique

Les trésoriers, des experts métiers et IT

Dans le contexte actuel de crise permanente, le métier du trésorier se complexifie et devient un...

Audit et expertise comptable : un marché de l’emploi très favorable aux candidats

S’agissant des auditeurs et des experts-comptables, le déséquilibre entre candidats et recruteurs...

Télétravail : pas de retour en arrière pour les banques françaises

L’annonce par Amazon d’une remise en cause du télétravail a relancé le débat sur ce mode...

Voir plus

Chargement en cours...

Chargement…