Au fil des ans, la nature des risques s’est intensifiée et diversifiée, à tel point que la gestion des risques fait aujourd’hui partie intégrante de l’activité des entreprises. Qu’elles soient mastodontes cotées, ETI en développement ou petites PME, les sociétés doivent, à l’heure actuelle, faire face à des risques multiples. Risques politiques, climatiques, cyberattaques et rupture numérique viennent à présent s’ajouter aux risques plus classiques tels que les risques incendies, les risques de faillites, de matériels défectueux ou encore les risques financiers et réglementaires. Dans ce contexte, le risk manager est, plus que jamais, l’un des éléments clés de l’entreprise. Il doit être à même de réagir vite et de s’adapter dans un environnement en pleine mutation.
Polyvalence. Tel est sans conteste le mot d’ordre qui s’applique à présent aux prérogatives des risk managers. Plus question de se cantonner à la gestion des assurances et de la prévention. Selon le Baromètre risk manager 2015 réalisé par l’Amrae, en partenariat avec le cabinet de conseil PwC, les champs d’intervention des risk managers sont aujourd’hui multiples. Ils interviennent à la fois sur les risques opérationnels, les risques de fraude, les risques environnementaux, les risques sûretés/sécurité ainsi que les risques fournisseurs. Il ressort par ailleurs du baromètre que, en 2015, 62 % des risk managers disent avoir un accès direct au directeur général de leur entreprise. Signe que cette fonction joue à présent un rôle clé au sein des groupes, ce pourcentage n’a cessé de progresser depuis la première vague du baromètre. Loin d’être une simple fonction support, le risk management est aujourd’hui au cœur de la stratégie des entreprises. François Cottignies est administrateur indépendant. Il se décrit lui-même comme un «administrateur soucieux de la gestion des risques». Il explique : «La question des risques doit être au cœur des questions traitées au plus haut niveau, c’est-à-dire au niveau du conseil d’administration et sous le contrôle de l’assemblée générale, qui doivent tous deux s’assurer de l’efficacité de la stratégie globale, sans pour autant intervenir directement. La direction doit ensuite s’appuyer sur le management et les collaborateurs qui seront, eux, chargés de la surveillance, du pilotage et de la gestion des risques.»
Dans ces conditions, la fonction risk management a connu au cours des dernières années une réelle professionnalisation, via notamment le développement d’outils spécifiques. Car, dans les faits, les tâches qui incombent au risk manager sont multiples. Outre la gestion des polices d’assurance, il doit également être à même de piloter une stratégie globale sur les défauts de paiement. Par ailleurs, dans un monde globalisé, les risques de taux de change, les risques géopolitiques et économiques sont des enjeux avec lesquels les experts doivent composer. A cela s’ajoute le risque de fraude qui, avec l’arrivée des paiements électroniques, s’intensifie. Ainsi, il ressort d’une récente étude que les entreprises victimes de fraude ne s’en rendent compte en moyenne que dix-huit mois après l’incident. «D’où l’importance de sensibiliser en amont à la fois les équipes comptables et les équipes en charge de la sécurité informatique», explique François Malan, vice-président de l’Amrae. A ces prérogatives assez récurrentes viennent s’ajouter d’autres problématiques qui affectent plus ou moins les entreprises, selon leur secteur d’activité et leur phase de développement. Enfin, avec l’arrivée des nouvelles technologies et l’«uberisation» de l’économie, les risk managers doivent également garder un œil sur l’émergence des nouveaux entrants. Bien sûr, cette mission de veille n’est pas du ressort exclusif du risk manager, mais il se doit d’y rester attentif à la fois grâce à ses interactions avec le comité de direction mais aussi en lien avec les équipes opérationnelles.
Diffuser la culture risque au sein de l’entreprise
L’une des tâches qui incombe au risk manager est de diffuser une culture risque au sein du groupe. Face à l’émergence de nouvelles problématiques, le risk manager doit être à même de sortir des stratégies préétablies pour rentrer en contact avec les forces vives de l’entreprise. Et, dans les faits, le risk manager n’est pas toujours bien accueilli par les autres fonctions d’un groupe. Parfois perçu comme un chasseur de coûts ou un porteur de mauvaises nouvelles, il peut rencontrer une forte réticence de la part des services. «Lorsqu’un risk manager prend le temps d’expliquer aux opérationnels que la prudence et les économies peuvent amener à de nouveaux investissements au sein du groupe, ou éviter des risques réels, les collaborateurs changent souvent de perception. Notre rôle est donc aussi de faire de la pédagogie», explique un directeur en charge de la gestion des risques. D’où l’importance d’avoir un discours didactique en interne, en appuyant ses propos sur une présentation marketing claire et concise. Car dans les faits, les conseils d’administration, de même que les équipes opérationnelles, ont souvent peu de temps à consacrer aux problématiques de gestion des risques. Il faut donc savoir convaincre rapidement et séduire via des présentations simples. D’où l’importance de la mise en place d’outils destinés à faciliter le travail de suivi et de gestion des risques. Ainsi, de plus en plus, la fonction gestion des risques tend à s’affranchir des process et suivis, laissant le facteur humain au cœur des prérogatives du risk manager, dont l’une des missions principales consiste à faire le lien entre les différentes fonctions opérationnelles de l’entreprise.
«Envisager l’inenvisageable»
Parmi les outils à disposition des risk managers, la réalisation d’une cartographie des risques, régulièrement mise à jour, permet d’établir des plans d’action ciblés afin de minimiser les risques encourus. François Cottignies recommande même d’aller plus loin en réalisant en interne un manuel de gestion de crise : «Il doit être concis, flexible et actualisé régulièrement. Il permet d’envisager l’inenvisageable, c’est-à-dire un événement grave, mais d’une probabilité d’occurrence faible. Réalisé en interne au sein de l’entreprise, il pourra alors être un document de référence en cas d’incident, qui permettra à l’ensemble des équipes de suivre une méthodologie fixe afin de résoudre l’incident.» Et de poursuivre : «Toutes les entreprises sont aujourd’hui confrontées à des risques variés et grandissants. On peut citer les risques géopolitiques, mais également industriels, comptables, fiscaux, opérationnels, juridiques, informatiques, ou encore ceux qui impactent les ressources humaines et le climat social. Il s’agit là de problématiques qui impactent chaque entité de l’entreprise, d’où l’importance de la diffusion d’une culture risque.»
Avec l’émergence de nouveaux risques et, conséquemment, l’allongement du nombre de tâches qui incombent aux risk managers, le secteur s’est professionnalisé au cours des dernières années. Au sein des grands comptes, bon nombre de divisions risk management ont étoffé leurs équipes. Le cas échéant, elles font appel à des conseils extérieurs à même de leur apporter un accompagnement sur des thématiques précises, à l’instar des catastrophes naturelles, par exemple, ou encore des risques géopolitiques.
Des ETI qui restent à convaincre
Reste que, dans les faits, les ETI, à la différence des grands comptes, sont rarement dotées d’un risk manager opérant en interne. C’est d’ailleurs bien souvent le directeur administratif et financier ou le directeur technique qui fait office de risk manager. A noter, cependant, que les petites et moyennes structures n’ont pas attendu le référencement de la fonction risk pour mettre en place des process de gestion des risques. Ceux-ci sont d’ailleurs souvent bien connus et appréhendés, notamment au sein des entreprises familiales qui opèrent des gestions prudentes, en «bons pères de famille». Pour autant, la formalisation de la fonction permet d’appréhender différemment et souvent de façon plus efficace l’ensemble des risques auxquels une entreprise est confrontée. Une problématique qui se pose souvent aux conseils des ETI qui doivent alors faire de la pédagogie : «Il faut bien avoir à l’esprit que les dirigeants de PME ou d’ETI ont peu de temps à consacrer aux questions de couverture des risques. Bien sûr, pour eux, il s’agit d’un élément important, mais au même titre que la production ou l’état des commandes. Il faut donc aller à l’essentiel en leur démontrant l’intérêt concret des solutions que nous proposons», explique Laura Flandin, responsable du marketing produits chez Euler Hermes France. Et de poursuivre : «Il faut ainsi faire preuve de pédagogie et proposer des outils simples de pilotage et de reporting car les PME et ETI disposent souvent de données statistiques moindres en interne.» Ainsi, il arrive souvent que les dirigeants d’ETI apprennent l’importance de se doter d’une couverture risque à leurs dépens : «Une entreprise qui a fait l’expérience d’un impayé important comprendra vite l’intérêt de la mise en place d’une assurance-crédit», explique Laura Flandin. Dans ce contexte, le rôle du conseil extérieur est de parvenir à apporter la preuve de la pertinence de ses solutions : «C’est aujourd’hui tout l’enjeu de l’assurance crédit : apporter la preuve du retour rapide sur investissement en donnant à voir à nos clients et prospects la valeur de notre démarche de prévention», poursuit Laura Flandin.
De nouveaux outils destinés à accompagner les ETI
Pour accompagner les ETI dans une structuration de l’approche risque, bon nombre de cabinets de conseils et d’assureurs ont mis en place de nouveaux outils au cours des dernières années, surfant sur l’émergence de nouvelles technologies. Ainsi, des applications dédiées et des plateformes collaboratives ont vu le jour. Ces nouveaux outils se donnent pour mission de délester les ETI des process et de la méthodologie pour se concentrer sur l’humain, là où la valeur ajoutée est aujourd’hui la plus forte. Autre fonctionnalité de ces outils : permettre une collaboration entre les professionnels de l’entreprise et avec l’extérieur, sous le modèle de l’open data. En effet, de plus en plus de PME et d’ETI réalisent une cartographie des risques sous l’impulsion de leurs clients, de grands groupes toujours à la recherche de nouvelles garanties auprès de leurs fournisseurs. Cécile Cantrelle est présidente de la société Alsapan, une entreprise familiale spécialisée dans la fabrication de meubles en kit, au chiffre d’affaires de 200 millions d’euros. Elle explique : «Lorsque, au mois de juin 2015, le directeur qualité de l’un de nos très gros clients à l’international est venu nous auditer, sa seule remarque a été de dire que nous n’étions pas dotés d’une cartographie des risques. Nous avons donc réalisé cette cartographie. C’est aujourd’hui un document que nous présentons à l’ensemble de nos clients.» Ainsi, les différents outils aujourd’hui mis à disposition des ETI peuvent permettre de rassurer les clients en leur apportant la preuve que les risques sont connus et anticipés. A condition, néanmoins, d’inscrire cette démarche dans la durée. En effet, une cartographie des risques est une photographie à un moment donné et nécessite d’être mise à jour régulièrement en fonction du développement de l’entreprise. Enfin, le traitement de données en open data peut avoir pour conséquence la divulgation de données stratégiques de l’entreprise. D’où l’importance de définir en amont les éléments à communiquer à l’extérieur.
Le profil type du risk manager en 2016
Tous les deux ans, l’Amrea, en partenariat avec PwC, livre le Baromètre du risk manager. Pour l’édition 2015, l’association a de nouveau dressé le profil type des risk managers. Majoritairement masculins (59 %), ils sont à 53 % âgés de plus de 46 ans et exercent principalement dans des entreprises de type grands comptes (63 %), des secteurs de l’industrie et des services (52 %). Dans le détail, la nouvelle édition du baromètre montre une diminution des risk managers gérant exclusivement les assurances et la prévention (de 42 % en 2013 à 31 % en 2015) au profit des risk managers plus polyvalents en charge de la gestion des risques et/ou des assurances. Côté rémunération, le salaire fixe brut annuel s’établit à 108 000 euros pour les top managers et à 84 000 euros pour les autres. A noter, par ailleurs, qu’une différence de 15 % subsiste entre les hommes et les femmes.
Cyber-risks : des dirigeants français particulièrement inquiets
Selon le «Global CEO Outlook 2015», réalisé par le cabinet de conseil KPMG, les dirigeants français considèrent à l’heure actuelle les risques informatiques comme une priorité absolue. Ainsi, la cybercriminalité arrive au troisième rang du classement des sujets de préoccupation des chefs d’entreprise, citée par 40 % des répondants, juste derrière l’impact sur leur activité des technologies de rupture (cité par 44 % des répondants) et les conséquences de la croissance de l’économie mondiale (avancées par 45 % des sondés). Dans le détail, l’étude montre que, sur le sujet de la cybercriminalité, les Français sont plus inquiets que leurs voisins européens : seuls respectivement 24 % et 26 % des dirigeants allemands et britanniques disent craindre pour la sécurité informatique de leur entreprise. Ce pourcentage s’établit à 19 % seulement au sein des dirigeants d’entreprises américaines. A noter, par ailleurs, que les conseils d’administration français semblent prêter davantage d’importance à la menace de piratage que dans les autres pays : 72 % se sont réunis au moins quatre fois au cours de l’année pour aborder ces questions, alors que ce taux ne s’élève qu’à 43 % dans le reste de l’Europe.