Sollicité pour éclairer les dirigeants sur les risques de l’exécution de la stratégie générale de l’entreprise ainsi que sur son futur développement tactique, le risk manager est en 2017 confronté aux nouvelles prises de risques. Brigitte Bouquot, présidente de l’association pour le management des risques et des assurances (Amrae), nous en livre un tour d’horizon.

Décideurs. En 2017, le monde a été particulièrement meurtri par une succession de catastrophes naturelles (ouragans Harvey, Irma, Maria et tremblements de terre au Mexique) qui a révélé un manque de pénétration de l’assurance dans ce domaine. Quel bilan faut-il en tirer ?

Brigitte Bouquot. L’entreprise doit faire face à un monde différent, où réchauffement climatique, urbanisation et augmentation de la démographie rendent les catastrophes naturelles plus fréquentes. Le premier combat à mener est celui contre le réchauffement climatique. Il s’agit ensuite, en collaboration avec le marché de l’assurance, de développer de nouveaux produits performants, comme l’assurance paramétrique, tout en améliorant le taux de pénétration dans ce domaine afin de protéger les populations. Le risk manager connaît déjà son exposition à ces risques grâce aux démarches des « risk engineering ». Il sait où placer ses usines, son centre de décision et définit les meilleurs standards de protection contre les risques. Les entreprises matures réalisent déjà ce travail de prévention. Ce qu’il faudrait, c’est l’étendre aux villes et plus particulièrement aux mégalopoles. C’est une question sociétale. 

L’industrie de l’assurance a donc des produits de type paramétrique qui pourraient permettre de protéger les entreprises plus efficacement mais ces nouveaux produits n’auraient pas encore bien pénétré le tissu économique ?

Les entreprises matures font déjà le nécessaire pour se couvrir correctement contre les risques. En revanche, le tissu économique dans sa globalité n’est pas complètement mûr sur cette question des risques et assurances. Certaines entreprises considèrent les nouveaux produits assurantiels comme trop chers. L’Amrae tente de les éduquer, d’envoyer des signaux. Mais la question des risques dépasse le cadre strict de l’entreprise. Chaque individu doit prendre conscience qu’il évolue dans un environnement à risques, tels que le réchauffement climatique, le terrorisme, les cyberattaques… L’ensemble des acteurs de notre société doit être progressivement éduqué sur ces sujets.

« Le risk manager est parfois le dernier recours dans des rapports de force exacerbés par la recherche de profit »

Lors des dernières rencontres de l’Amrae, vous avez insisté sur la dimension éthique du métier de risk manager qui pour reprendre vos propos, doit « porter l’écologie de l’entreprise ». Pouvez-vous nous en dire plus ?

Chaque entreprise est soumise à des réglementations de conformité sur des sujets comme la santé ou la sécurité numérique. La loi permet d’aligner tous les acteurs d’une économie sur des objectifs et des principes clairs. Mais pour être efficace, ce contrôle doit avoir lieu a posteriori. C’est le rôle du risk manager, en amont, de comprendre les risques, de les cartographier et de s’en prévenir, en s’affranchissant lorsque nécessaire des logiques court-termistes de réduction des coûts. Il est parfois le dernier recours dans des rapports de force exacerbés par la recherche de profit. Le risk management nécessite des investissements et des arbitrages qui peuvent être perçus comme un renchérissement des coûts. Alors qu’in fine, c’est souvent le coût de la résilience, de l’excellence…

Le risk cyber est devenu une préoccupation de premier ordre pour les entreprises. Quel rôle le risk manager a-t-il à jouer dans la mise en place d’une bonne cybergouvernance ?

Il est aujourd’hui nécessaire de mener une politique de sécurité numérique efficace. Le risk manager a un rôle clé car les dirigeants d’entreprises n’ont pas toujours conscience de leur exposition au risque cyber. Sa mission est de faire remonter ce sujet au niveau de la direction de l’entreprise, quelle que soit sa taille. Le risque cyber doit être traité comme tous les autres risques : avec une politique de risk management et un comité exécutif transversal dédiés à la sécurité numérique, des investissements pour renforcer la capacité du groupe à y faire face, un plan de prévention et de protection… Aujourd’hui, ces arbitrages ne sont pas correctement mis en œuvre. Il est nécessaire de se doter d’une bonne cybergouvernance pour être en mesure, au sommet de l’entreprise, de fédérer les bonnes compétences derrière le risk manager.

« Autrefois homme-orchestre, le risk manager est devenu un véritable chef d’orchestre »

Le facteur humain, souvent décrit comme la porte d’entrée des risques technologiques, peut-il être tout à fait maîtrisé ?

Si le risque cyber est souvent déclenché par un comportement humain, et que la formation à ce risque est essentielle, la défense doit être technologique. L’entreprise doit renforcer ses systèmes d’information et y allouer des budgets conséquents. Cinquante pour cent des entreprises ont déjà été touchées par des cyberattaques. Toutes les entreprises seront un jour ou l’autre attaquées. Il y a une véritable urgence à se saisir du sujet, devenu hautement stratégique à l’heure où l’entreprise se digitalise. Se numériser implique pour l’entreprise un changement de business model qui doit être construit sur des principes de sécurité solides, malheureusement encore trop souvent inexplorés par les dirigeants. 

N’est-il pas déjà trop tard ?

C’est une vraie question. Certaines entreprises ont déjà mis toutes leurs données stratégiques dans le cloud, ce qui les rend particulièrement vulnérables. Il faut agir avant qu’il ne soit trop tard. Les entreprises sont aujourd’hui embarquées dans une véritable course contre la montre et doivent se saisir de cet enjeu dès aujourd’hui avant d’être inévitablement trop exposées.

Quel est le profil attendu du bon professionnel du risk management face à ces problématiques revisitées et en pleine évolution ?

L’accélération des interdépendances entre l’économie, la politique, l’environnement, le cyber, et bien d’autres domaines fait remonter les problématiques d’entreprise au niveau de la direction générale.  Le risque étant devenu un élément de décision stratégique, le risk manager d’aujourd’hui doit s’inscrire dans la gouvernance de son entreprise et être en capacité de communiquer de manière transversale sur des sujets complexes. On assiste à une élévation de son niveau de compétences : beaucoup d’activités étant aujourd’hui réalisées par des experts techniques ou des machines, le risk manager se doit d’être un excellent manager et doit faire preuve de prospection. Aux avant-postes, il faut qu’il soit en mesure d’appréhender au mieux les évolutions du monde, de les comprendre et les décoder pour les retranscrire le plus justement possible aux dirigeants de l’entreprise. À chaque étape de la vie de l’entreprise, à chaque activité, le risque doit être intégré grâce au risk manager qui fait l’interface entre les différents experts. Autrefois homme-orchestre, le risk manager est devenu un véritable chef d’orchestre, dont la mission première est de développer au sein de l’entreprise une intelligence du risque.

Propos recueillis par Marion Robert (@Marion_Rbrt)

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2024