Léopold Larios (Mazars): « Accepter les incidents et apprendre de ses erreurs, telle doit être l’approche du risk manager »
Décideurs. Vous étiez risk manager chez Edenred et vous venez d’intégrer Mazars sous la même casquette. Existe-t-il une feuille de route précise pour être un bon risk manager ou la fonction est-elle spécifique à chaque entreprise ?
Léopold Larios. Le risk manager doit être à l’écoute de l’environnement dans lequel il évolue afin d’être en mesure de s’adapter et d’être au plus proche du process de gestion des risques. Toute la difficulté du métier est d’identifier les indicateurs de risques mineurs. Le risk manager doit endosser le costume de chef d’orchestre et a besoin pour cela de différents musiciens. Ces joueurs sont les relais présents dans tous les pays. L’enjeu est d’identifier le bon relais en fonction de la nature du risque et d’industrialiser la remontée des incidents. L’exercice est d’autant plus compliqué lorsque le groupe est d’envergure internationale.
Quelles sont vos principales fonctions et comment s’intègrent-elles dans la stratégie générale du groupe ?
Un risk manager doit d’abord être en mesure d’identifier les risques auxquels est exposée l’entreprise, notamment les risques émergents, moins évidents à saisir car résultant de certaines situations particulières. Il est ensuite nécessaire de pouvoir les quantifier, c’est-à-dire de définir leur niveau de gravité et leur possible fréquence de survenance. Ces deux exercices sont indispensables à l’instauration d’une bonne politique de prévention des risques qui peut notamment passer par la mise en œuvre de clauses de transfert.
« Un risque peut s’avérer être une véritable source d’amélioration pour l’entreprise »
À partir de quel moment une entreprise doit-elle se poser la question de la création d’un poste de risk manager en son sein ?
Deux cas existent. D’une part, les entreprises qui réagissent une fois un incident significatif survenu. Elles prennent alors seulement conscience du besoin de structurer leur gestion des risques. D’autre part, celles dotées d’une maturité suffisante pour entamer en amont les démarches nécessaires pour se structurer et anticiper les risques. Cette volonté résulte parfois de l’observation de la concurrence. Par exemple, la pratique du risk management est beaucoup plus développée chez nos amis anglo-saxons, plus exposés aux aléas climatiques. Ils deviennent alors des sources d’inspiration pour les acteurs désireux d’améliorer leurs procédés. La décision finale revient au dirigeant de chaque entreprise car c’est lui le détenteur du risque. Le risk manager, lui, a un rôle de coordinateur et de mise en place des rouages et des process, pendant que les opérationnels gèrent eux-mêmes le risque. C’est un métier d’équipe.
Quelle importance revêt une bonne appréhension de la culture du risque pour une entreprise ?
L’obsession du risk manager est de soutenir l’activité de l’entreprise pour assurer sa continuité et éviter qu’elle ne mette la clé sous la porte. Aujourd’hui, toutes les organisations sont vulnérables. Le plus important est d’être capable d’apprendre des incidents passés pour être en mesure de se relever correctement si l’entreprise traverse de nouvelles turbulences. Accepter les incidents et apprendre de ses erreurs, telle doit être l’approche du risk manager. L’une de ses missions est de diffuser au sein de la structure une véritable culture d’acceptation de l’échec. Un risque peut en effet s’avérer être une véritable source d’amélioration pour l’entreprise.
Comment utilisez-vous le digital pour diffuser cette culture du risque en interne ?
Je n’ai pas encore identifié de solution miracle même si je suis convaincu qu’il est préférable d’aller à la rencontre des équipes pour saisir au mieux la réalité du terrain. Y compris dans les pays de plus petite envergure dont les préoccupations peuvent être très différentes. Lorsque l’on pilote les opérations depuis le siège, il y a toujours un risque d’être enfermé dans sa tour d’ivoire. Je m’efforce de passer au moins 30 % de mon temps à l’étranger pour rencontrer les différents collaborateurs.
La décision finale revient au dirigeant de chaque entreprise car c’est lui le détenteur du risque.
Vous avez développé tout au long de votre carrière une certaine expérience dans la gestion du digital. Comment faites-vous face aux nouveaux risques qui en découlent ?
Le digital n’est pas une option. C’est une partition obligatoire pour toutes les entreprises. S’il est vrai qu’il génère de nouveaux risques, qu’il est important de quantifier, il est également une source d’améliorations substantielles. Prenons l’exemple d’un sujet très à la mode, le cloud. Si la société qui souhaite s’en doter a réalisé une bonne identification des risques en amont, elle fera alors le choix de sécuriser ses données clés en optant pour une solution de cloud privé, plus sécurisé. Cet outil sera ensuite industrialisé et optimisé, avec l’aide des meilleurs spécialistes, afin d’être utilisé à chaque fois que se posera la question de la gestion des données.
Vous venez de rejoindre le groupe Mazars et êtes le premier à endosser cette fonction dans le groupe. Quel sera votre premier chantier ?
La première mission sur laquelle je dois me pencher en tant que risk manager est tout à fait classique dans la gestion des risques : il s’agit d’établir une cartographie détaillée des risques auxquels est exposé le groupe. C’est un merveilleux outil, utile également pour la stratégie de communication en interne. Il permet de fédérer les équipes autour des enjeux identifiés. L’exercice est très structurant.
Propos recueillis par Marion Robert (@Marion_Rbrt)