Brigitte Bouquot (Amrae ): « Le risk manager ne manque pas de challenges ! »
Décideurs. Changement climatique, terrorisme, risques cyber… Quel est le rôle du risk manager face à ces nouveaux risques systémiques et quelles compétences doit-il mobiliser ?
Brigitte Bouquot. Le risk manager est responsable de la vue d’ensemble de la gestion des risques dans l’entreprise, qu’ils soient stratégiques ou opérationnels. Il donne une dynamique et veille au bon financement de leurs impacts. Cela implique une analyse des enjeux macro-économiques, concurrentiels et sociétaux de son entreprise. Répétons-le si nécessaire : « C’est en prenant des risques que l’entreprise crée de la valeur, mais cela ne doit pas être au détriment de qui ou de quoi ce soit. » Le risk manager protège les équipes et le patrimoine de l'entreprise et aide le dirigeant à choisir les risques acceptables pour un bon développement. Face aux risques systémiques, l’écoute et les réponses du risk manager sont par essence transversales et globales. Imprégné des valeurs de son organisation, il saura diffuser une culture du risque.
Peut-on aujourd’hui évoquer une « responsabilité sociétale » du risk manager ?
C’est avant tout l’entreprise qui, par ses actions, est en responsabilité. Le risk manager, lui, connaît ou sait modéliser les conséquences et les interactions des activités et des décisions de l’entreprise. Manager généraliste mais de haute technicité, le risk manager d’aujourd’hui est un acteur conscient et éthique. Sa « responsabilité sociétale » et son devoir impliquent d’exposer l’ensemble de ces enjeux et conséquences aux dirigeants et aux instances de gouvernance des « risques » l’ensemble de ces enjeux et conséquences.
« Manager généraliste mais de haute technicité, le risk manager d’aujourd’hui est un acteur conscient et éthique »
Quelle attitude l’entreprise et le risk manager vont devoir adopter face au risque cyber qui semble « insaisissable » ?
Les risk managers sont à la pointe dans le management de ce risque et engagés avec les responsables de la sécurité des systèmes d’information (RSSI). Le duo harmonieux risk manager/RSSI permet d’installer une logique de gouvernance du risque cyber et une culture d’entreprise qui mettent en œuvre toutes les dimensions de la cyber-sécurité. De plus, le nouvel écosystème qui rassemble sûreté des SI, risk manager, juristes, communicants, assurance, audit et services de l’État ne cesse de progresser. Les entreprises et leurs dirigeants ne sont donc pas totalement démunis. Nous construisons des solutions de résilience pour faire face à ce risque insaisissable.
Existe-t-il selon vous des risques inassurables dans le monde de l’entreprise et comment le risk manager peut-il y faire face ?
Certains risques sont exclus des champs de l’assurance de marché pour des raisons structurelles : techniques (nucléaire), légales (conséquences « directes » du droit de grève) ou financières (cumul). D’autres (terrorisme, catastrophes naturelles) peuvent bénéficier de la garantie de l’État. Mais quelles que soient les mesures de prévention prises, ou les dispositifs de financement des risques mis en place (assurance, rétention, captive), les conséquences résiduelles d’un sinistre peuvent être très lourdes financièrement et pour la réputation de l’entreprise. D’où l’importance de la mission du risk manager : aider les dirigeants à rechercher de la valeur pour l’entreprise selon des risques choisis et maîtrisés.
Vous avez confié lors des 24e rencontres de l’Amrae que 2015 a été en quelque sorte une « bande annonce » des futurs chocs et crises systémiques. Quel bilan tirer de l’année 2016 ?
L’actualité de l’année 2016 a bien confirmé cette tendance : Brexit, attentats, crise migratoire… Tendance à laquelle vient s’ajouter une formidable accélération des effets de la digitalisation sur les business modèles, et des enjeux de la protection des données. Le risk manager ne manque pas de challenges !
Propos recueillis par Marion Robert