Risques politiques, cyber-risques, catastrophes naturelles… le nombre et l’importance des risques auxquels sont exposées les entreprises ne cessent de croître. Face à ces phénomènes parfois difficiles à cerner, les risk managers ont plus que jamais un rôle clé à jouer afin d’accompagner leurs organisations dans la perception et le financement des risques.
Il y a un an et demi, l’Amrae (Association pour le management des risques et des assurances des entreprises) sortait le référentiel métier du risk manager. Cette publication n’a pas seulement permis aux professionnels concernés de mettre en avant leurs tâches et leurs compétences. Elle a eu également pour effet bénéfique de donner davantage de visibilité à une fonction encore parfois mal identifiée au sein des entreprises.
Un paradoxe alors que la gestion des risques fait partie inhérente de l’activité des entreprises et qu’en 2015, celles-ci sont particulièrement exposées : risques politiques, cyber-attaques, catastrophes naturelles… Ces derniers mois ont été marqués par une succession d’événements graves tant dans leur ampleur que dans leurs conséquences qui viennent se rajouter aux risques plus «classiquement» rencontrés par les entreprises que sont les incendies, les faillites, les matériels défectueux mais également les risques financiers ou réglementaires.
Dans ce contexte, le rôle du risk manager prend une nouvelle ampleur. Il suffit d’ailleurs de regarder les organigrammes des entreprises pour constater que le risk manager se rapproche des organes de décision, notamment des comités de direction. Le dernier baromètre du risk manager publié en 2013 par l’Amrae et le cabinet Deloitte montre que 60 % des professionnels sont en position N-2 par rapport au directeur général/CEO contre 47 % en 2011. De même, 36 % d’entre eux participent au comité opérationnel des risques (26 % en 2011) et 43 % au comité d’audit (33 % en 2011). «Il y a une véritable évolution de la fonction», confirme Laurent Belhout, directeur général d’Aon France. Dans les pays latins, elle reste moins valorisée que dans les pays anglo-saxons, mais cela change. Les risk managers sont davantage impliqués dans les risques de gouvernance et ils participent de plus en plus souvent avec la DRH à la problématique des bénéfices des entreprises. Certes l’étude menée par l’Amrae concerne quasi exclusivement les risk managers travaillant dans des grands groupes internationaux mais elle traduit bien l’état du marché. D’autant que si la fonction de risk manager commence à monter dans les ETI, elle est encore loin d’être généralisée et a besoin d’être formalisée (voir encadré).
Les 3 priorités des risk managers européens
● Développer et intégrer la gestion de continuité d’activité
● Développer et intégrer la culture du risque à travers l’entreprise
● Aligner et intégrer la gestion des risques dans la stratégie
Source : Ferma 2014
Des rencontres mais surtout des lieux de réflexion
Pendant trois jours, du 5 au 7 février, les rencontres de l’Amrae qui se déroulent cette année à Cannes seront l’occasion pour les 2 200 participants – risk managers, courtiers, assureurs, réassureurs, éditeurs, etc. – de se retrouver pour échanger et débattre. Plusieurs conférences plénières avec des invités de marque (comme Henri de Castries, le PDG d’Axa) et cinq sessions de formation et 33 ateliers viendront ponctuer cet événement. L’intitulé des Rencontres, «Arrêt sur Image», n’a pas seulement été choisi parce que Cannes est la ville du cinéma. Pour Bénédicte de Luze, les mots ont un sens fort : «L’idée que sous-entend ce titre est de savoir si les risk managers sont capables de voir l’avenir arriver et de gérer cet avenir. Pouvons-nous nous remettre en question par rapport aux nouvelles technologies et à la robotisation ? Sommes-nous prêts pour affronter ce qui va se passer ? A-t-on une stratégie face aux grands acteurs de l’Internet ? Face aux big data ? A l’intelligence artificielle ?» Autant de sujets qui peuvent sembler un peu éloignés du quotidien des entreprises mais qui vont vite devenir importants. Car demain, comment va-t-on assurer une voiture sans chauffeur ? Quels seront les litiges et les responsabilités ? «Il ne faut pas découvrir ces problèmes dans cinq ans. Et nous posons aussi la question aux courtiers et aux assureurs : que pouvez-vous faire pour nous face à ces nouveaux risques ?», insiste Bénédicte de Luze.
Extension de la fonction dans tous les secteurs d’activité
L’une des grandes évolutions de ces dernières années est aussi l’extension de la fonction dans tous les secteurs d’activités. Au départ très présents dans l’industrie maritime, nucléaire ou chimique, dans l’aviation et dans le domaine de la santé, les risk managers sont aujourd’hui présents partout et Bénédicte de Luze, déléguée générale de l’Amrae, peut se féliciter qu’en 2015, l’Amrae fêtera son millième adhérent, preuve du dynamisme de la profession. Car aucun secteur n’échappe au risque, qu’il soit financier, politique ou réglementaire. Si les entreprises industrielles ayant une forte activité à l’international restent les premières concernées, le monde des services est aussi de plus en plus exposé. Ainsi, la crise économique a montré la forte exposition au risque de certaines entreprises qui n’avaient pas mis en place une véritable stratégie de risk management. Cependant, là aussi, les temps changent et la prise de conscience s’étend. Peu à peu les entreprises comprennent que gérer les risques, c’est aussi créer de la valeur et que risque et rentabilité sont indissociablement liés. De leur côté, les risk managers doivent savoir évoluer en même temps que leur métier. Occupant une fonction transverse dans l’entreprise, en relation avec toutes les directions (juridique, financière, informatique, production, qualité, etc.), il leur faut aussi être de véritables communicants capables de montrer à leurs interlocuteurs que la gestion des risques n’est pas qu’une contrainte mais un facteur de productivité et d’efficacité de l’entreprise.
Pour bien appréhender l’étendue du périmètre qui peut être sous la responsabilité du risk manager, l’Amrae a classé les risques en trois grandes familles qui ont chacune de nombreuses ramifications : les risques stratégiques et externes, les risques opérationnels et les risques transverses. De la mise en place d’un business model à la cybercriminalité en passant par les mouvements sociaux ou la défaillance d’un fournisseur, le spectre est très large. Ce positionnement se traduit aussi par une évolution du profil des risk managers au sein de leur entreprise. C’est en tout cas ce que laisse percevoir le Baromètre du risk manager. En effet, parmi les professionnels interrogés, un nombre croissant d’entre eux (39 % contre 31 % lors de la précédente enquête en 2011) possède un profil mixte intervenant à la fois sur des problématiques d’assurance et de prévention (AP) et sur les missions d’ERM (gestion globale des risques). Les rédacteurs de l’étude estiment que l’augmentation de la proportion d’AP/ERM «pourrait s’expliquer par une certaine maturité du dispositif de gestion de risques [au sein des entreprises]. Ce qui permettrait aux risk managers d’accroître leur périmètre d’activité».
Par ailleurs, si les entreprises n’ont pas attendu de voir se créer un poste de risk manager pour faire de la gestion de risques, la formalisation de la fonction permet aux organisations d’appréhender différemment (et donc plus efficacement) leurs risques. Par rapport à l’audit interne, le risk manager va en effet être davantage centré sur la prévention, un positionnement indispensable pour réaliser l’analyse des risques nécessaire à mettre en place un programme d’assurance. Charge alors aux courtiers et aux assureurs de proposer des polices en adéquation avec les besoins de l’entreprise. C’est vers ces professionnels que l’entreprise va de fait transférer ses risques une fois que la cartographie aura été faite et qu’auront été identifiés les risques qui devront être assurés en fonction des priorités de l’entreprise. Les professionnels doivent donc aussi savoir s’adapter aux évolutions que rencontrent leurs clients tout en faisant face aux exigences du marché. Aux reproches qui sont parfois faits aux courtiers de manquer de spécialistes, Laurent Belhout reconnaît la difficulté mais rappelle la complexification de l’environnement : «Tout se spécialise, tout se segmente. Même les grandes entreprises ont des niches. Notre profession doit être à l’écoute et notre priorité, c’est la recherche de talents.»
L’indicateur du coût du risque : une nouvelle étape dans la montée en compétence de la profession
Pour les risk managers, si 2013 fut l’année du référentiel métier, 2014 a été marquée par l’indicateur du coût du risque. Un petit document de 16 pages réalisé par l’Amrae et qui permet aux entreprises d’évaluer le coût du traitement des risques assurables dans le cadre du périmètre géré par les risk managers. En effet, l’un des problèmes de la profession est que ses actions sont encore trop souvent perçues comme des lignes de dépenses (achat d’assurance, etc.) sans que le retour sur investissement soit apprécié. L’une des raisons est que les risk managers n’ont pas de tableau de bord d’analyse financière structurée sur l’analyse de risque. Cet indicateur a pour objectif de pallier cette absence en fournissant une méthodologie qui peut être facilement déployée.
Attention, précisent néanmoins les auteurs de l’ouvrage : «Cet indicateur n’a pas vocation à être comparé d’une entreprise à l’autre, étant donné les diversités de situations liées aux activités, à la structure et aux finances de chaque entreprise. Le but de l’indicateur est plutôt de fixer une référence interne pour chaque entreprise, éventuellement publiable dans le cadre de documents de référence ou autres publications officielles, selon les souhaits de l’entreprise. Ce seront les variations de l’indicateur, remarquées d’année en année, qui permettront d’expliquer les augmentations ou baisses du coût de traitement des risques ou de leur couverture, et d’apporter un éclairage utile sur les raisons de ces variations.» Les concepteurs voient aussi l’indicateur comme un outil d’information financière auprès des directions générales et des autorités de contrôle : «Pour les sociétés cotées, l’avantage serait de ne plus avoir à publier de budgets d’assurance, voire des niveaux de rétention, explications sur les captives, montants des franchises non assurées, etc. (selon les demandes de l’AMF qui varient largement d’une société à l’autre), mais de se référer à l’indicateur et à l’explication de ses variations d’année en année.» D’ici deux ou trois ans, il sera intéressant de faire un premier bilan de cet indicateur afin de voir si les risk managers ont pu se l’approprier, mais d’ores et déjà, les premiers retours s’annoncent très positifs.
Le cyber-risk : un périmètre encore mal identifié
La récente attaque dont a été victime Sony en décembre dernier est révélatrice des nouveaux risques qui menacent aujourd’hui les entreprises. Pourtant en septembre 2012, le groupe japonais avait déjà fait l’objet d’une cyber-attaque qui lui avait coûté plus de 170 millions de dollars. Et depuis, il avait renforcé ses processus de sécurité… et sa couverture assurantielle. Une démarche insuffisante au vu des conséquences dramatiques en termes d’activité et de réputation qu’a entraînées la dernière attaque. Pire, des partenaires de Sony comme le cabinet Deloitte ont vu certaines de leurs données confidentielles (les informations salariales de plus de 30 000 salariés) être volées et divulguées. Un incident qui met un peu plus en lumière l’importance de prendre en compte tous les paramètres de l’écosystème dans la gestion des risques. Car pour les professionnels, qu’ils soient risk managers ou assureurs, l’un des problèmes du cyber-risque est de pouvoir déterminer la couverture puisque cela peut inclure une intrusion dans le système d’information, une destruction de matériel, un vol de données, une atteinte à la réputation, etc. «Aujourd’hui tous les métiers sont touchés, les ressources humaines, la direction marketing, les relations clients et tous les secteurs d’activité, qu’ils soient industriels ou de service», explique Gérôme Billois, senior manager chez Solucom.
Face à ces phénomènes qui se multiplient et dont la gravité s’accroît, les professionnels de l’assurance ont peaufiné leurs offres et mettent à disposition de leurs clients des solutions plus structurées et des capacités de plus en plus importantes. Deux raisons à cette évolution : une demande en hausse de la part des entreprises et une meilleure connaissance des attaques, ce qui permet aux assureurs de travailler sur un plus grand nombre de scénarios. Malgré tout, sur ce sujet, les deux parties avancent prudemment. Si les souscriptions augmentent, beaucoup d’entreprises n’ont pas encore franchi le pas : «Par rapport à la gestion de ces risques, les entreprises ne sont pas prêtes. Elles doivent revoir leurs évaluations à la lumière des événements récents mais surtout par rapport à ce qui fait l’attractivité de l’entreprise aux yeux des hackers. Certains périmètres peuvent être estimés faiblement à risque alors qu’ils seront très attractifs pour les hackers», rappelle Gérôme Billois qui prend l’exemple assez fréquent d’une direction marketing souhaitant lancer un site web promotionnel dans lequel sont associées des données clients. «L’analyse de risque montre que l’impact sera faible si le système n’est pas disponible. Mais le site, qui en général a été construit très vite avec des personnes peu compétentes en termes de sécurité, peut s’avérer très attractif pour les cybercriminels.» Et de distiller quelques conseils pour les risk managers : «Il leur faut bien comprendre les cybermenaces par rapport aux métiers de l’entreprise et les motivations des hackers qui peuvent être très variées (idéologiques, tentative de déstabilisation, etc.). Cela veut dire que le risk manager doit demander à tous les métiers leur positionnement par rapport aux risques et déterminer s’ils ont bien compris les menaces.» Malgré tout, la volonté n’est pas toujours suffisante car le DSI ne va pas donner au risk manager la visibilité sur le mapping du risque. D’où l’importance qu’une stratégie soit initiée au plus haut niveau. Selon les experts en effet, les risques cyber devraient connaître une forte croissance dans les prochaines années.
Une relation étroite mais exigeante avec les professionnels de l’assurance
De fait, risk managers et professionnels de l’assurance (courtier, assureurs, réassureurs, etc.) entretiennent depuis longtemps des relations étroites. Dans les entreprises, la fonction de risk manager et de directeur des assurances est d’ailleurs souvent associée et il n’est pas rare de voir d’anciens risk managers devenir courtiers ou inversement. Néanmoins, cette proximité n’empêche pas de part et d’autre une grande exigence : «Les risk managers sont nos clients. Ils attendent de nous du conseil, des prix attractifs et de plus en plus souvent du service. Car dans la plupart des entreprises, la gestion des risques n’est pas au cœur de l’activité», explique Laurent Belhout. Bénédicte de Luze voit aussi des professionnels devenir plus exigeants vis-à-vis de leurs interlocuteurs : «Les risk managers montent en compétence et travaillent beaucoup plus en amont. Ils recherchent davantage la valeur ajoutée du courtier et la qualité des programmes.»
Elle regrette par exemple que certains sujets comme la perte d’exploitation sans dommage restent encore insuffisamment traités par les assureurs alors que cette problématique est au cœur des réflexions des risk managers. «La réponse viendra du courtage, assure Laurent Belhout. Mais si nous ne pouvons calculer un risque, si nous ne pouvons en évaluer l’impact, nous ne pouvons l’assurer.»
Trois questions à … Garance Mathias, avocat au barreau de Paris
Dans les grandes entreprises, c’est un métier qui prend une place grandissante. C’est une fonction transversale dont l’importance commence à être reconnue. Le risk manager devient un rôle clé au même titre que le secrétaire général ou le déontologue. Bien sûr, cela implique pour ces professionnels de nouvelles responsabilités dans la cartographie des risques et dans la connaissance des nouveaux risques dont les risques légaux. Aujourd’hui, on demande beaucoup de chose au risk manager. C’est une profession qui se construit, qui se rapproche de plus en plus des instances dirigeantes et tant mieux.
La cartographie des risques légaux va se faire en collaboration avec le service juridique mais aussi avec la DAF, avec la DRH pour l’organisation du travail, pour les questions de sécurité. Le risk manager peut intervenir auprès des instances représentatives du personnel… Les risk managers ne travaillent pas directement avec les avocats, mais dans l’avenir ce seront sans doute des acteurs avec qui nous pourrons travailler. De toute façon, le risk manager doit avoir un socle de compétences juridiques et surtout bien connaître les métiers de l’entreprise.
Le risk manager va venir en conseil et aussi en alerte. Il va travailler avec les commissaires aux comptes et si l’entreprise est cotée il peut être un acteur de la compliance et intervenir sur les risques d’image de l’entreprise. Par exemple, les autorités américaines exigent la diffusion de certaines informations perçues comme confidentielles. Le risk manager peut être un des acteurs qui va participer à cette communication et aider à déterminer où mettre la frontière entre ce qui est diffusé sur le groupe et l’interprétation de certaines obligations réglementaires.
Un marché volatil qui pousse les risk managers à faire des arbitrages
Les transformations du marché comme par exemple la hausse des capacités financières amènent les risk managers à faire de nouveaux arbitrages : «Les clients remettent en cause les contrats. Depuis deux ou trois ans, les courtiers doivent être plus proactifs et faire preuve d’innovation», reconnaît Laurent Belhout. Cette hausse de capacité peut permettre de couvrir de nouveaux risques. En tout cas, elle amène les risk managers à s’interroger : quels risques l’entreprise doit-elle continuer à garder ? Doit-elle en transférer davantage ? Les schémas d’auto-assurance sont-ils toujours aussi pertinents ou faut-il les remettre en question ? Sachant par exemple que les captives mobilisent des capitaux propres qui peuvent être utilisés à d’autres investissements. Et que ces mêmes captives vont être soumises à Solvabilité 2, ce qui va de fait augmenter leurs coûts. Pour Bénédicte de Luze, cette situation est aussi l’occasion de faire jouer la concurrence dans un contexte économique difficile. «Il y a une forte pression des dirigeants d’entreprise auprès des risk managers pour diminuer les dépenses assurantielles. Ces derniers sont donc amenés à réfléchir à une stratégie dans le but de réduire les financements.» Quoi qu’il en soit, l’heure est à l’optimisation des portefeuilles et dans un contexte de financiarisation accrue de leur activité, les risk managers ont plus que jamais un rôle clé à jouer pour accompagner leur entreprise dans ses choix stratégiques.
Les captives : un instrument financier au service des risk managers
S’il y a bien un élément qui permet de constater le financiarisation du métier de risk manager, ce sont les captives d’assurance (et de réassurance) qui n’ont cessé de se développer ces dernières années. En France, quasiment toutes les grandes entreprises possèdent ce genre de véhicule financier qui, selon Marsh, «s’inscrit dans le cadre d’une stratégie volontaire de gestion des risques». Le courtier distingue trois niveaux d’intérêt pour la captive : d’abord éviter les coûts de frottement et les taxes sur les primes d’assurance ; ensuite, rehausser le seuil d’intervention des marchés d’assurance traditionnels afin de négocier des conditions plus favorables, et enfin protéger le bilan de l’entreprise au-delà de la zone de rétention. La captive va donc permettre à l’entreprise d’assurer certains risques que le marché ne souhaite pas couvrir ou par exemple des risques sur des filiales qui sont difficilement assurables. Le risk manager est directement associé à la gestion des captives : «Afin de répondre à cet enjeu stratégique du financement du risque, l’entreprise a besoin d’un outil financier qui lui permette de mieux gérer sa rétention, d’optimiser la performance de l’échange avec le marché de l’assurance et de mieux maîtriser l’indemnisation des sinistres», rappelle l’Amrae dans son «Guide pratique des captives d’assurance et de réassurance».
La captive d’assurance est une compagnie à part entière et se retrouve donc soumise aux mêmes contraintes réglementaires, aux mêmes règles prudentielles. Or ces dernières années, la législation s’est largement complexifiée. Les captives se trouvent ainsi concernées par la mise en place de la directive européenne Solvabilité 2 qui sera mise en application à partir du 1er janvier 2016. Certains experts estiment que Solvabilité 2 devrait avoir un impact sur les captives car le besoin en fonds propres qu’impose la réglementation risque de rendre ces véhicules moins attractifs et plus complexes à gérer. Quoi qu’il en soit, même si les risk managers sont accompagnés par leurs assureurs ou par les cabinets de conseil dans la gestion des captives, ces évolutions réglementaires les obligent à monter encore plus en compétences pour comprendre, gérer et justifier auprès des directions générales ces choix de financement des risques.
