Si le risque est inhérent à la vie des organisations, le phénomène n’a cessé de s’amplifier ces dernières années avec la mondialisation, la prolifération réglementaire et le développement des nouvelles technologies. Dans ce contexte, le risk manager, déjà interlocuteur privilégié des assureurs et des courtiers, voit sa fonction évoluer pour devenir un élément clé dans la gouvernance des entreprises. Et après les grands comptes, ce sont aujourd’hui les ETI qui s’emparent du sujet.
Pendant longtemps, le risk manager (RM) est resté l’homme de l’ombre dans l’entreprise, celui dont on avait du mal à cerner la fonction. A contrario de profils mieux identifiés comme l’auditeur ou le contrôleur de gestion, le RM, à qui revenait principalement la gestion des assurances, figurait rarement sous ce poste dans les organigrammes internes ou les bases de données des recruteurs. Mais les temps changent. Ce professionnel dont le champ d’action ne cesse de s’étendre acquiert davantage de visibilité tant au sein de l’entreprise qu’à l’extérieur. Il suffit de voir le succès des rencontres de l’Amrae (Association pour le management des risques et des assurances de l’entreprise) qui fêtent cette année leur 22e édition à Deauville pour constater que le RM est devenu un maillon clé dans les entreprises.
Les problématiques traitées par le RM intéressent de plus en plus de prestataires ; non seulement du secteur de l’assurance (assureur, courtier et réassureur) mais aussi du conseil, du droit ou des ressources humaines. Car si la conception du risk management peut différer d’une entreprise à l’autre et évoluer dans le temps, les risques que rencontrent les organisations sont bien réels, à défaut d’être toujours bien perçus, et surtout continuent de croître. Aux risques «historiques» rencontrés de tout temps par les entreprises (faillite, incendie, matériel défectueux, etc.) sont venus s’ajouter une myriade d’aléas accentués ces dernières années par la mondialisation, la prolifération des normes et règlements et le développement des nouvelles technologies.
Gilbert Canaméras, le président de l’Amrae, dégage trois grands types de risques dont l’impact a des conséquences de plus en plus importantes dans les entreprises, quel que soit leur domaine d’activités. «En premier lieu, le risque politique. Il peut s’agir d’un coup d’Etat, d’une nationalisation brutale mais aussi d’une instabilité législative ou fiscale. Dans un contexte de mondialisation où l’on assiste à une déréglementation économique des états, cela concerne toutes les entreprises et nécessite de leur part une prise de risque différente. Le cyber-risque est un autre risque émergent. Mais il est difficile à évaluer car il est partout et nulle part. Les organisations ne savent pas comment se protéger ni comment le quantifier. Enfin, il y a le risque lié aux catastrophes naturelles. Nous assistons à une recrudescence des événements extraordinaires et ce risque ne va pas faiblir.»
Des profils mixtes
Pour aider les professionnels dans leur cartographie des risques, étape préalable à toute politique de risk management, l’Amrae a classé les risques en trois grandes familles qui ont chacune de nombreuses ramifications : les risques stratégiques et externes, les risques opérationnels et les risques transverses. De la mise en place d’un business model à la cybercriminalité en passant par les mouvements sociaux ou la défaillance d’un fournisseur, le spectre est très large. Dans ce contexte le rôle du risk manager est amené à évoluer, de même que la place qu’il occupe au sein de l’entreprise. C’est en tout cas ce que laisse percevoir le Baromètre du risk manager publié en 2013 par l’Amrae en partenariat avec le cabinet Deloitte.
En effet, parmi les professionnels interrogés, un nombre croissant d’entre eux (39 % contre 31 % lors de la précédente enquête en 2011) possèdent un profil mixte intervenant à la fois sur des problématiques d’assurance et de prévention (AP) et sur les missions d’ERM (gestion globale des risques). Les rédacteurs de l’étude estiment que l’augmentation de la proportion d’AP/ERM «pourrait s’expliquer par une certaine maturité du dispositif de gestion de risques [au sein des entreprises]. Ce qui permettrait aux risk managers d’accroître leur périmètre d’activité». Pour Gilbert Canaméras, ce résultat est le reflet d’une tendance, forte, de la montée en puissance du risk management : «Nous constatons que le management des risques s’implante de plus en plus sur le terrain. Notamment sous l’effet de la réglementation qui oblige les organisations à faire un état des lieux de leurs risques auprès des comités d’audit. La prise de conscience s’opère dans les entreprises car on constate que cela apporte de la valeur ajoutée.»
De fait, si les entreprises n’ont pas attendu de voir se créer un poste de risk manager pour faire de la gestion de risques, la formalisation de la fonction permet aux organisations d’appréhender différemment (et donc plus efficacement) leurs risques : «par rapport à l’audit interne, le risk manager est davantage centré sur la prévention. Or lorsque l’on veut mettre en place un programme d’assurance, il est indispensable de faire une analyse préventive des risques qui va permettre aux courtiers de proposer des polices en adéquation avec les besoins de l’entreprise», souligne Gilbert Canaméras. Courtiers et assureurs sont en effet les maillons essentiels du risk management car c’est vers eux que l’entreprise va transférer ses risques une fois que la cartographie aura été faite et qu’auront été identifiés les risques qui devront être assurés en fonction des priorités de l’entreprise.
Ces professionnels doivent donc aussi savoir s’adapter aux évolutions que rencontrent leurs clients : «nous sommes de plus en plus sollicités par rapport au risque immatériel qui est beaucoup plus difficile à appréhender que le risque matériel. Par ailleurs, nous constatons une croissance de la judiciarisation de la part de nos clients qui implique une plus grande exigence de notre part», constate Luc Vignancour, directeur adjoint risques financiers chez Marsh. Le courtier rappelle également à ceux qui estiment que les professionnels de l’assurance ne vont parfois pas assez loin dans l’accompagnement aux risques : «Les assureurs ne vont pas inventer les risques. C’est aussi à l’entreprise d’exprimer ses besoins.»
Le risk management s’étend à tous les secteurs d’activité
Au départ très présents dans l’industrie maritime, nucléaire ou chimique, dans l’aviation et dans le domaine de la santé, les risk managers travaillent aujourd’hui dans tous les secteurs d’activité. Car aucun secteur n’échappe au risque, qu’il soit financier, politique ou réglementaire. Si les entreprises industrielles ayant une forte activité à l’international restent les premières concernées, le monde des services est aussi de plus en plus exposé. Ainsi, la crise économique a montré que certains établissements bancaires avaient une forte exposition au risque mais sans avoir mis en place une véritable stratégie de risk management. Cependant, là aussi, les temps changent et la prise de conscience s’étend.
Lorsque l’on consulte les sites de recrutement, les annonces provenant des établissements bancaires et financiers recherchant des risk managers sont de plus en plus nombreuses. Peu à peu, les entreprises comprennent que gérer les risques, c’est aussi créer de la valeur et que risque et rentabilité sont indissociablement liés. A charge parallèlement pour les risk managers de savoir évoluer en même temps que leur métier. Occupant une fonction transverse dans l’entreprise, en relation avec toutes les directions (juridique, financière, informatique, production, qualité, etc.), il leur faut aussi être de véritables communicants capables de montrer à leurs interlocuteurs que la gestion des risques n’est pas qu’une contrainte mais aussi un facteur de productivité et d’efficacité de l’entreprise.
Les ETI viennent au risk management
Un autre changement majeur de ces dernières années est le fait que la montée de la perception des risques et leur prise en compte ne sont plus l’apanage des seuls grands comptes. Les ETI – ces entreprises de taille intermédiaire qui rassemblent les sociétés comptant entre 250 et 4 999 employés, et dont le chiffre d’affaires n’excède pas 1,5 milliard d’euros – commencent à devenir des acteurs du risk management. Certes la marge de progression reste importante mais la tendance est là. Dans une étude publiée en juillet 2013 et intitulée «Risques et assurances : vulnérabilité et bonnes pratiques des ETI industrielles», le cabinet Mactavish souligne que «les ETI industrielles ont dû, au cours des dernières années, conduire de nombreux changements pour faire face aux nouvelles contraintes de marché et à la crise économique, et évoluent désormais dans un environnement plus complexe, plus rapide et en constante mutation».
Par conséquent, si ces changements ont été, pour certaines, des opportunités et leur ont permis d’attaquer de nouveaux marchés, Mactavish note qu’ils ont surtout «suscité une aggravation des risques». Une situation d’autant plus préoccupante qu’il y a «un manque fréquent de ressources et d’expertise au sein de ces entreprises, ne permettant pas une compréhension et un traitement adéquats des évolutions des risques opérationnels et des assurances». Le cabinet d’analyse répertorie quatre grandes familles de risques rencontrées par cette catégorie d’entreprise : les risques d’interruption des chaînes d’approvisionnement et de distribution ; le durcissement contractuel et réglementaire ; les risques de défaillance de produits, et enfin la tertiarisation des activités (installation, pose, maintenance, formation, conseil, design, programmation) aux dépens des activités historiques de production.
Une liste que l’on peut attribuer sans problèmes aux grands comptes mais avec une différence de taille concernant les ETI : «à l’exception des entreprises ayant vécu un grand sinistre, les directions générales des ETI industrielles françaises ne disposent généralement pas de méthodes de gouvernance des risques et des assurances appropriées au regard de l’évolution de leurs expositions», souligne l’étude.
Un référentiel qui marque un tournant pour la profession
La profession l’attendait depuis longtemps et c’est en octobre dernier que l’Amrae a publié le premier référentiel métier du risk manager. S’il y avait une telle demande de la part des RM, c’est que leur fonction ne cesse d’évoluer «et qu’il est nécessaire d’accroître la connaissance, la technicité et la valeur ajoutée du métier», explique l’association. Ce référentiel, qui a demandé plus d’un an de travail et qui est disponible en français et en anglais, se veut un «véritable cadre de compréhension des activités, des tâches et compétences portées par le risk manager».
Il se présente également comme un outil de repère à destination des DRH, des organismes de formation et des futurs risk managers. Le référentiel rappelle les compétences requises pour exercer le métier de RM et surtout les neuf activités qui constituent la palette de la chaîne complète du processus sachant, rappelle l’Amrae, que le «risk manager» est appelé à en connaître l’intégralité mais que selon l’organisation et les missions qui lui sont confiées, il peut être amené à intervenir sur tout ou partie de ces activités.
1. Définition des missions et de la structure du dispositif
2. Appréciation du risque (identification, analyse, évaluation)
3. Maîtrise des risques (à un niveau acceptable en fonction des critères retenus)
4. Diffusion de la culture de risque
5. Financement des risques en accord avec la politique
6. Gestion des événements non assurés/non assurables
7. Gestion des sinistres8. Gestion de crise9. Pilotage et reporting
Une stratégie portée par la direction
Et de fait, si la prise de conscience est bien réelle, rares sont encore les ETI à disposer en interne d’un spécialiste du risque voire d’un risk manager. Parfois, c’est le directeur général qui endosse ce rôle et plus souvent le directeur financier ou le directeur juridique. Quant aux négociations avec les assureurs, elles relèvent également du directeur général ou de la direction des achats. Pour autant, les ETI doivent-elles avoir un risk manager en interne alors que leurs ressources humaines sont limitées ? Pour Luc Vignancour, «la complexification des risques nécessite d’avoir des personnes spécialistes du risk management». Néanmoins, la plupart des experts, à l’instar d’Antoine Guerin, directeur de recherche chez Mactavish France, apportent une nuance : «Les ETI n’ont pas forcément besoin d’avoir des risk managers. L’important est d’être capable de mettre en place une stratégie des risques et des assurances. Une stratégie qui doit être acceptée et même portée par la direction générale.»
Pour l’expert, c’est loin d’être le cas car les ETI n’ont pas encore intégré le transfert du risque vers les assureurs, notamment car les assurances sont vues comme un coût et non comme un capital stratégique : «Trop souvent encore, pour ces entreprises, l’assurance reste le parent pauvre du financement du risque au profit de la dette ou de leurs capitaux propres.» Or, insiste-t-il, «l’assurance peut être plus importante pour une ETI que pour un grand groupe qui va avoir les moyens d’amortir un sinistre». De fait, si une grande organisation voit une de ses usines cesser sa production, cela aura un impact sur son activité mais celui-ci pourra être compensé par ses autres lieux de fabrication. En revanche, si l’unique usine d’une ETI s’arrête, c’est la vie de l’entreprise qui est menacée.
A la décharge des ETI, il faut dire que le marché des assureurs et courtiers a semblé longtemps les ignorer (de même que les ETI ont longtemps ignoré l’étendue de leurs risques). Heureusement, on assiste depuis quelques années à un rattrapage de la part des prestataires tandis que l’organisation professionnelle multiplie les interventions sur le sujet. Ainsi, en 2013, les rencontres de l’Amrae avaient choisi de se tenir à Lyon, terreau entrepreneurial de la France, avec pour objectif (réussi) d’attirer des ETI et des grosses PME. L’association a également créé deux antennes régionales qui, si elles s’adressent à toutes les catégories d’entreprises, ont particulièrement vocation à faire venir les organisations de taille moyenne. Quant aux courtiers et aux cabinets de conseil, ils sont de plus en plus nombreux à monter des offres adaptées à cette clientèle qui sont autant de relais de croissance.
Une clientèle dont la typologie de risques est similaire à celle des grands comptes mais dont le comportement vis-à-vis du risque est principalement axé sur la prévention : «la prévention est un élément important pour les directions générales, principalement au sein des ETI patrimoniales pour qui la protection de l’actif familial est un élément stratégique», rappelle l’étude de Mactavish. Soucieuses de prévenir les aléas et rapides à réagir, ces ETI sont également très demandeuses de conseil et d’accompagnement. Mactavish fait ressortir que les demandes formulées auprès des intermédiaires s’articulent autour de trois thèmes : «la proactivité et l’expertise nécessaires dans l’analyse des risques de l’entreprise ; un accompagnement plus poussé dans la prévention portant sur un panel plus large que les risques de dommages aux biens classiques, tels que les carences dans l’approvisionnement ou la distribution ; un transfert des risques qui doit se fonder sur la mise en place de couvertures adaptées et compréhensibles pour l’entreprise».
Après avoir travaillé dans des grands groupes, Rachel Balmadier est aujourd’hui directeur du contrôle interne, des risques et assurances à la Compagnie des Alpes. Si elle exige de la réactivité de la part de ses partenaires, c’est qu’il en va de l’efficacité de son action : «Quand on est une ETI, il faut savoir optimiser les processus. Nous avons moins de moyens et d’appuis que les grandes organisations. C’est pourquoi il nous faut être très réactifs.» Pour cette experte aguerrie du risque, l’une des difficultés vient peut-être d’un certain manque de reconnaissance de la part des prestataires quand ils s’adressent aux moyennes entreprises : «Il faut se battre pour montrer que nous faisons de la prévention comme les grands groupes.»
Néanmoins, si le dialogue est parfois délicat, elle constate que les relations avec les professionnels de l’assurance sont très positives pour les deux parties : «Les ETI ont besoin d’expertise de la part des assureurs car ils ne l’ont pas forcément en interne. Mais par ailleurs, nous leur offrons une relation plus durable, moins volatile que celles qu’ils peuvent avoir avec les grands groupes.» De fait, qu’il s’agisse de grands comptes ou d’entreprises plus moyennes, la gestion des risques est désormais bien en marche, avec à sa tête des professionnels qui s’affirment dans la gouvernance des entreprises.
Le cyber-risque défie les risk managers
Le cyber-risque est un risque qui interpelle sans vraiment encore inquiéter les entreprises à l’exception de celles qui ont connu un très gros incident. Si les risk managers ont encore du mal à se l’approprier, c’est qu’il est difficile aussi à définir. Vol de données, faille du système d’information, destruction de matériel par des virus informatiques, atteinte à la réputation via les réseaux sociaux… tout cela relève du cyber-risque et concerne aussi bien le patrimoine informationnel de l’entreprise que son image. Le sujet prend de l’ampleur et les courtiers et assureurs commencent à s’en emparer d’autant qu’un règlement européen va bientôt obliger les entreprises qui se sont fait dérober les données personnelles de leurs clients à le signaler à ces mêmes clients.
Une opération qui peut s’avérer très onéreuse (entre 100 et 200 euros par client à notifier suivant la gravité de l’événement, la complexité des méthodes de contact et le niveau d’assistance aux clients requis). D’où l’apparition de nombreuses cyber-assurances que le cabinet Solucom présente ainsi : «Les cyber-assurances se positionnent en complément des contrats classiques de l’entreprise pour traiter en particulier ce qui touche aux dommages immatériels, souvent absents des couvertures. Sont couverts, au-delà des simples pertes d’exploitation, les frais associés aux cyber-attaques tels que les frais de justice et de communication.»