En l’espace de 10 ans, les risk managers se sont imposés dans les grandes entreprises. Avec l’émergence de nouveaux risques (fraude, corruption, attaques informatiques, etc.), la demande pour ces professionels s’accroît, mais les recruteurs peinent toujours à trouver les profils idoines.
Sujets financiers, réglementaires, cyber, RH ou encore environnementaux, industriels, immobiliers ou bancaires… La palette de domaines sur lesquels les risk managers peuvent travailler ne cesse de s’agrandir ! En effet, cette profession, dont l’essentiel de la mission consiste à cartographier les risques de l’entreprise et évaluer leurs impacts, a vu son champ d’action s’agrandir considérablement ces 10 dernières années.
Auparavant présents uniquement dans les grands groupes privés et les ETI, les risk managers s’installent peu à peu dans les autres catégories d’entreprises.
Selon le baromètre 2019 de l’Association pour le management des risques et des assurances de l’entreprise (Amrae) et de PwC sur la profession, 7 % des interrogés exercent désormais dans des PME, 4 % dans le secteur public et 2 % dans des associations ou des ONG, alors qu’ils n’étaient pas du tout présent dans ces entreprises il y a 10 ans. Dans les faits, des salariés en partie dédiés aux risques sont même présents dans la plupart de ces sociétés. «Même si les entreprises de petite taille n’ont pas de poste de risk manager à proprement parler, la gestion des risques y est présente, répartie par exemple entre une direction finance ou juridique, une direction industrielle ou qualité, tout est fonction de la culture de l’entreprise», précise Thibault Bulabois, responsable risques et contrôles de la Française des jeux et pilote du baromètre Métier du risk manager de l’Amrae.
De nouveaux risques
Il faut dire que les risques auxquels font face les entreprises sont devenus prépondérants.
«Maintenant, les risques sont souvent corrélés entre eux et plus véloces (par exemple un risque cyber avec, entre autres conséquences, un impact sur les données personnelles), observe François Beaume, vice-président risques numériques de l’Amrae et directeur des risques et assurances de Sonepar. Nous sommes ainsi amenés à déployer nos cartographies des risques dans plus de pays, et sur des populations plus larges (fournisseurs, clients, salariés, investisseurs).» Historiquement en charge de la gestion des assurances du groupe, le domaine d’activité des risk managers est désormais davantage orienté sur la gestion des risques globaux de l’entreprise. «Il y a 10 ans, nous nous concentrions essentiellement sur les risques d’hygiène et de sécurité, désormais ceux-ci sont en recul et nos missions sont davantage tournées sur d’autres aspects, comme sur les sujets réglementaires par exemple (respect de la loi Sapin 2, du devoir de vigilance, du RGPD, de Solvabilité 2, de Bâle 3, etc.), indique Thibault Bulabois. Le risque cyber est devenu prééminent, suivi par la supply chain. Les problématiques organisationnelles et RH sont rentrées dans le top 5 des risques suivis.» En revanche, les risques liés aux marchés financiers (taux de change, liquidité, crédit etc.), ainsi que le reporting extra-financier ne font encore rarement partie du périmètre d’actions des risk managers et continuent de dépendre du département en charge de la trésorerie ou des credit managers.
Des intéractions avec d’autres métiers
Face à cette évolution, les connexions des risk managers avec les autres professions de l’entreprise se sont renforcées. «Avant, nous travaillions surtout avec les métiers juridiques, financiers et opérationnels, remarque François Beaume. Dorénavant, nos missions nous amènent également souvent à intervenir conjointement avec le service des ressources humaines, la direction de la conformité et avec la direction des systèmes d’information.» Les interactions sont d’autant plus fortes avec les autres métiers que les risk managers ont un rôle de plus en plus important dans la diffusion de la culture du risque au sein de leur groupe. Pour 72 % des spécialistes sondés par l’Amrae, ce rôle va même progresser dans les deux prochaines années. «Il y a un besoin de compréhension, d’éclairage par les risques des sujets clés ou stratégiques de l’entreprise», confirme Thibault Bulabois. Un avis partagé par plusieurs risk managers. «Il est important de développer sur l’ensemble de l’entreprise une culture du risque homogène et d’adopter une attitude commune face au risque», ajoute François Beaume.
Face à ces enjeux, les risk managers sont de plus en plus impliqués dans la stratégie de leur groupe. «Avant, les risk managers étaient rarement sollicités dans le cadre de la mise en place de plans stratégiques, rappelle François Beaume. Maintenant, il est de plus en plus fréquent que nous le soyons pour apporter un éclairage ou challenger les prises de décision». Les risk managers sont également de plus en plus nombreux à participer aux comités directionnels (comité des risques, mais aussi comité d’audit et comité de direction).
Des équipes renforcées
Compte tenu des besoins croissants des entreprises en matière de gestion des risques, les équipes de risk managers s’enrichissent peu à peu, mais à une allure moins vive que la croissance de leur activité. En effet, seuls 27 % des interrogés par l’Amrae indiquent que l’effectif de leur équipe est en hausse, et 31 % des sondés constatent une augmentation des budgets qui leur sont alloués. De plus, trouver des candidats disposant de cette expertise peut s’avérer complexe. Et pour cause : les formations en gestion des risques restent rares, amenant les recruteurs à s’intéresser davantage au parcours du candidat. «La connaissance de l’entreprise est très importante pour accéder à ce métier, souligne Thibault Bulabois. Le risk manager ausculte et éclaire les décisions immédiates et futures : la confiance dans la fonction et dans celui ou celle qui l’occupe est donc cruciale. C’est pourquoi, le recrutement de ces profils, souvent seniors, fonctionne surtout par cooptation ou par promotion interne, en les accompagnant de formation technique.» L’éventail des sujets pouvant ensuite être traités par les risk managers étant très large, ils sont de plus en plus nombreux à souhaiter suivre des formations complémentaires, notamment sur les aspects de la conformité et du digital. Deux points qui feront partie des ateliers des Rencontres de l’Amrae début février.
Les entreprises craignent le risque cyber
. Selon l’enquête 2020 sur les risques menée par Allianz, les incidents cyber arrivent au premier rang des risques cités par les entreprises françaises, devant les interruptions d’activité (y compris les perturbations de la chaîne logistique), les incendies et les explosions, et enfin les catastrophes naturelles. Si ce classement est stable par rapport à l’an dernier, les entreprises sont préoccupées par davantage de risques.
. Par ailleurs, le risque politique (guerre, terrorisme, conflits sociaux, etc.) arrive cette année à la septième position des 10 risques les plus importants pour les entreprises, alors qu’il ne figurait pas dans ce classement lors de l’étude 2019.
Un retard digital ?
. Alors que la plupart des métiers au sein des fonctions supports des entreprises se transforment par l’utilisation de nouveaux outils technologiques, les risk managers font plutôt figure d’exceptions. Certes, ces derniers sont équipés d’outils spécifiques à leur profession. «De plus en plus d’entreprises disposent d’un système d’information en gestion des risques (SIGR), remarque François Beaume, directeur des risques et assurances de Sonepar. Ceux-ci ont évolué, notamment en permettant désormais de géolocaliser les actifs des entreprises et d’analyser leur exposition à certains risques, ou encore de mieux prévenir certains événements.»
. Cependant, seulement 9 % des risk managers interrogés par l’Amrae indiquent utiliser des solutions de robotisation dans leur activité. «Nous utilisons de plus en plus d’outils de data visualisation qui permettent de mieux communiquer sur les risques auprès des parties prenantes, précise Thibault Bulabois, responsable du risk management et du contrôle interne du groupe FDJ. En revanche, les risk managers sont encore très peu à recourir à l’intelligence artificielle, ou à l’analyse prédictive, le marché de ces outils n’ayant pas encore montré d’éléments satisfaisants pour les risk managers qui ne perçoivent pas encore pleinement la valeur ajoutée pour leurs travaux.»
