Très plébiscités par les entreprises dans le contexte de crise permanente, les risk managers tendent à élargir le périmètre de leurs missions. Véritables référents en matière de gestion des risques, ils affinent leurs compétences pour accompagner au mieux leurs entreprises face au développement constant de nouveaux risques.
Contrairement à la tendance générale sur le marché de l’emploi dans la finance, le métier de risk manager reste en tension. « La demande des entreprises sur ces profils augmente d’autant plus actuellement au regard du contexte économique ou géopolitique, mais aussi du développement des risques émergents liés au digital, à la data, à la cybersécurité ou encore à la conformité des systèmes d’information, ainsi bien sûr que d’une réglementation de plus en plus contraignante en matière de gestion des risques, explique Olivia Jacob, senior manager chez Robert Walters. L’évolution des risques auxquels les entreprises sont exposées impacte d’ailleurs le cœur de métier des risk managers qui voit le champ de ses actions s’élargir. »
Dans le cadre de ses missions, le risk manager a en premier lieu pour vocation de déployer une cartographie globale des risques de l’entreprise. « Il s’agit d’ailleurs du cœur de métier des risk managers », précise Thibault Bulabois, directeur risques, contrôle interne et intelligence économique de FDJ United, président de la commission ERM au sein de l’AMRAE, en charge du pilotage du baromètre des métiers du risk management.
«Les risk managers sont de plus en plus attendus sur la prévision des scénarios de crise et de mise en place de solutions de contournement ainsi que des plans de continuité.»
92 % des organisations disposent ainsi aujourd’hui d’une cartographie de leurs risques, et près de deux tiers réalisent aussi des cartographies spécifiques. Plusieurs familles de risques doivent en effet faire l’objet de cartographies spécifiques (corruption/Sapin II, double matérialité CSRD, climat, cyber…). « En fonction de l’organisation dans laquelle il évolue et de ses obligations réglementaires, le risk manager doit par exemple être impliqué dans la cartographie des risques de corruption et de trafic d’influence dans le cadre de la loi Sapin 2 et prendre part aux analyses d’impacts liés au RGPD ou encore aux analyses de double matérialité dans le cadre de la CSRD, précise Romain Maillard, associé en charge de l’activité maîtrise des risques et compliance au sein de BM&A. Pour les sociétés cotées, il a également pour vocation de faire une cartographie générale des risques devant être mentionnés dans leur document d’enregistrement universel. »
Parallèlement à ces missions qui entrent dans le cadre du respect des réglementations, le risk manager peut aussi être amené à travailler sur les risques stratégiques et opérationnels de son organisation. « En amont de la mise en place d’un projet tel que l’installation d’une nouvelle usine ou une acquisition, il lui revient d’en analyser les risques et opportunités au travers notamment des règles de contrôle interne, et de donner les méthodes et bonnes pratiques à déployer pour limiter l’exposition de l’entreprise à ces risques », indique Romain Maillard.
Les risk managers ont également en charge la prévention du risque de fraude, qui dans certaines entreprises peut s’avérer stratégique, du risque d’approvisionnement et de supply chain ou encore du risque géopolitique. Il leur revient également de prévenir les risques financiers auxquels l’entreprise est exposée. « Dans le cadre de cette mission, le risk manager peut définir et déployer une politique de gestion du risque crédit de l’entreprise et en assurer le suivi, poursuit Olivia Jacob. Le pilotage de ce risque nécessite notamment qu’il maîtrise les mécanismes de cession de créances et les rouages de l’assurance-crédit. »
Des chefs d’orchestre des politiques de prévention des risques
En effet, au-delà de l’identification et de l’audit des risques, le risk manager a aussi pour vocation de mettre en place des politiques de prévention. « Dans le cadre de cette démarche et en fonction de la stratégie de gestion des risques de l’entreprise, soit il les couvre en faisant appel à des assureurs, soit il travaille à leur réduction et leur maîtrise en renforçant le contrôle interne, soit il les élimine par exemple en proposant la cession des activités d’une filiale trop exposée à un risque géopolitique, de supply chain ou réputationnel », poursuit Romain Maillard. Quelle que soit la stratégie mise en place, les risk managers sont les garants de la méthode et il leur revient d’accompagner les opérationnels dans la mise en place de la politique de prévention des risques. « Les opérationnels leur demandent d’ailleurs de plus en plus de prévoir des scénarios de crise et de les accompagner dans la mise en place de solutions de contournement et de plan de continuité », ajoute Romain Maillard.
Un solide bagage financier et juridique
Pour remplir ces missions, les risk managers doivent être dotés d’un solide bagage financier et juridique. Leur capacité à réaliser des modélisations financières du risque est en effet un prérequis indispensable pour exercer cette fonction. « Les directeurs financiers, les directions générales mais aussi les courtiers nous demandent de plus en plus de mesurer l’impact financier des risques, d’y associer un coût, précise Thibault Bulabois. C’est notamment le cas dans les entreprises qui ont mis en place une captive d’assurance. Les compétences en finance de ces gestionnaires de captives et plus généralement les risk managers sont plus que jamais incontournables. L’assurance, volet essentiel du métier, est un contrat et appelle donc une culture juridique. »
«Les directeurs financiers, les directions générales mais aussi les courtiers nous demandent de plus en plus de mesurer l’impact financier des risques, et d’y associer un coût.»
Si certains risk managers peuvent être issus de formations généralistes en école de commerce ou d’ingénieur, la plupart d’entre eux sont donc plutôt généralement diplômés d’un master 2 en finance ou en fiscalité. Face à l’évolution des risques auxquels les entreprises sont exposées, ces techniciens spécialistes de l’audit et du contrôle interne tendent par ailleurs aujourd’hui à devenir de véritables experts sur différents sujets. « Selon le baromètre des métiers de l’AMRAE, ils expriment ainsi leur volonté de se former davantage sur les enjeux RSE/ESG ou encore sur la CSRD et, dans les années à venir, sur les risques cyber et les risques liés à l’IA, souligne Thibault Bulabois. Au-delà de ces expertises spécifiques, ils doivent aussi être capables de compiler les différentes cartographies des risques de l’entreprise de manière à les appréhender de manière globale, tout en tenant compte de leurs spécificités. »
Une maîtrise nécessaire des référentiels de gestion des risques
Faire preuve de curiosité réglementaire et juridique est également requis. « Ils sont en effet attendus sur leur maîtrise des référentiels de gestion des risques comme EBIOS qui donne un cadre pour identifier et comprendre les risques numériques qui leur sont propres ou encore le COSO (Committee of Sponsoring Organizations of the Treadway Commission) pour la structuration du dispositif de contrôle interne, mais aussi sur les normes ISO en lien avec la gestion des risques (31001, 9001, etc.) », précise Romain Maillard. Par ailleurs, leur appétence pour le digital, les outils de GRC (gouvernance, risques et compliance) ou de screening des tiers ne saurait être une option. Ils doivent également avoir la capacité d’échanger avec l’IT pour développer les indicateurs de risques adaptés à leur organisation, mettre en place des systèmes d’alerte en cas de dépassement de seuil, etc.
D’autre part, alors que leurs missions les conduisent à travailler avec une communauté élargie de personnes aussi bien en externe (banques, assureurs, actionnaires) qu’en interne, les risk managers doivent être à l’écoute et savoir travailler en équipe. « Dans le cadre de leurs missions, les risk managers sont en effet amenés à se déplacer dans différents services, filiales et entités de leur entreprise pour rencontrer les référents risques par équipe, pays ou région, précise Olivia Jacob. Ils travaillent à leurs côtés sur l’évaluation des risques et la mise en place des plans de prévention. Ils ont également pour vocation d’expliquer aux équipes opérationnelles les plans de prévention des risques mis en place. Les entreprises recherchent donc souvent des profils de pédagogues avec un fort leadership et une capacité d’influence auprès des différentes directions de l’entreprise. »
Une expertise écoutée jusque dans les comex
Grâce à leurs compétences techniques très pointues et à leur maîtrise des risques, les risk managers peuvent assez aisément évoluer vers des postes de responsable du contrôle interne, de responsable de la compliance, ou encore de secrétaire général. Au-delà de ces perspectives d’évolution, ils sont également de plus en plus amenés à siéger dans les comex ou les comités des risques et du contrôle interne. Selon l’AMRAE, 23 % des risk manager sont des N-1 directs des directions générales et 58 % siègent plusieurs fois par an en comex, un chiffre en progression régulière. Cette reconnaissance justifie par ailleurs leur niveau de rémunération qui, selon la taille de l’entreprise et la séniorité du profil, varie entre 80 k€ pour un risk manager jusqu’à huit ans d’expérience à plus de 130 k€ pour les plus expérimentés (Robert Walters).
Risk manager en banque, un profil différent
Certains risk managers font le choix d’évoluer dans le secteur banque et assurance. « En banque, ce sont surtout les profils d’analystes crédit corporate qui sont actuellement les plus recherchés, explique Anthony Negre, manager executive chez Hays France. Le risk manager a pour vocation d’analyser les actifs de l’entreprise qui souhaite réaliser un crédit, ses bilans, comptes de résultat et ratios financiers ainsi que le contexte économique du secteur d’activité de l’entreprise. Il lui revient également d’analyser dans quelle mesure les investissements de l’entreprise vont lui permettre de générer de la valeur. Il suit par ailleurs l’évolution financière de l’entreprise pour détecter les éventuels signaux de fragilité et le risque de non-remboursement. Sur la base de ses analyses, il rédige des notes de synthèse qui permettent le déclenchement ou non du crédit. » Le risk manager en banque est généralement diplômé d’un master 2 en finance, en gestion des risques ou en économie. Ses compétences en finance et en analyse des risques sont indispensables, de même que son expertise en matière de régulation bancaire. Son expérience en banque lui permet entre autres d’évoluer vers des postes de credit manager en entreprise.
