Risk management

Table ronde

Le risk manager face à la digitalisation

Option Finance - Février 2016 - Propos recueillis par Chloé Consigny

La digitalisation touche aujourd’hui l’ensemble des entreprises, quelle que soit leur taille et leur secteur d’activité. Qu’il s’agisse de grands comptes, d’ETI ou de PME, toutes les sociétés sont à présent confrontées à de nombreuses problématiques liées à la rupture numérique, induisant l’émergence de risques nouveaux. Dans ce contexte, la fonction risk management se doit d’être au cœur des prises de décision, en contact direct avec le conseil d’administration, mais également en lien étroit avec les opérationnels. Quels sont les changements liés à la digitalisation ? Quels nouveaux risques induisent-ils ? Quelles conséquences sur la fonction risk management? Autant de questions que nous avons posées à nos quatre experts.

Quel est en 2016 le rôle du risk manager ?

Brigitte Bouquot, directeur des assurances et de la gestion des risques, Thales et présidente, Amrae
Amrae

La quatrième édition du Baromètre risk manager réalisé par l’Amrae met en lumière les évolutions de la fonction au sein de l’entreprise. Quel est en 2016 le rôle du risk manager ?

Brigitte Bouquot, directeur des assurances et de la gestion des risques, Thales et présidente, Amrae :
Avec la transposition de la huitième directive, la fonction risk management a pris un essor caractéristique au sein des grands groupes. Ainsi, nous assistons depuis plusieurs années à une véritable prise de conscience de la part des comités d’audit et des dirigeants. Cette prise de conscience a pour conséquence la réalisation de reportings sur les risques de plus en plus sophistiqués et exhaustifs. Au sein des grands groupes, nous sommes ainsi passés d’une fonction risk management incarnée par une personne à une véritable gouvernance des risques, avec la volonté affichée de mettre en place une vision globale permettant de traiter en priorité les risques susceptibles de mettre à mal les guidances financières de l’entreprise. Il s’agit là d’une tendance de fond que nous observons depuis plusieurs années au sein de l’Amrae, notamment via le Baromètre du risk manager. Face à ces changements, nous avons décidé de créer cette année un vice-président métier au sein de l’Amrae, dédié à l’évolution du métier en tant que tel. Nous constatons par ailleurs que cette évolution affecte les grandes entreprises mais qu’elle se propage également au sein des autres entreprises, quels que soient leur taille et leur secteur d’activité. Ceci est la résultante de la crise financière et des nouvelles réglementations mises en place mais aussi d’une prise de conscience plus générale du fait que l’entreprise est exposée au risque, prise de conscience à laquelle les risk managers doivent répondre. De plus, je dirais que nous sommes aujourd’hui face à l’apparition de risques systémiques. Tout fait système. Dans un monde de risques systémiques, il y a une forme d’urgence à ce que les fonctions de risk management fassent partie intégrante des fonctions vitales de l’entreprise. Les dirigeants doivent pouvoir s’appuyer sur les risk managers pour prendre les bonnes décisions.


Quelles sont les incidences de la rupture numérique au sein des entreprises ?

François Malan, directeur de la gestion des risques, Nexity, Vice Président de l'Amrae
Nexity

La digitalisation touche actuellement l’ensemble des entreprises quels que soient leur secteur d’activité et leur taille. Quelles sont les incidences de la rupture numérique au sein des entreprises ?

François Malan, directeur de la gestion des risques, Nexity, Vice Président de l'Amrae : La digitalisation est un thème stratégique et un véritable sujet d’entreprise. La révolution numérique touche les assureurs, mais également les entreprises industrielles et de services. Au-delà de l’outil informatique, cette révolution numérique est l’occasion de revoir les process et de repenser le fonctionnement de l’entreprise. C’est l’occasion de se demander s’il n’est pas possible de mieux faire ou de faire différemment. En effet, la digitalisation modifie le fonctionnement de l’entreprise et transforme l’ensemble de ses systèmes, à l’instar des systèmes comptables par exemple. Par ailleurs, la digitalisation a un impact sur l’ensemble des collaborateurs, via notamment la mise en place de nouveaux outils. Elle modifie également les échanges avec les clients. C’est donc l’occasion pour une entreprise de redéfinir ses relations avec ses clients, ses prestataires et ses partenaires. Elle engendre un changement de fond qui amène à repenser les échanges par le prisme de la dématérialisation. Autant de projets long terme qui demandent beaucoup d’investissements et qui mobilisent toutes les strates de l’entreprise. Si les directions générales donnent l’impulsion, ce sont ensuite les DSI qui sont au cœur de l’aspect technique. Mais cela va bien au-delà de la technique. Il s’agit d’un changement culturel de l’entreprise, qui affecte l’ensemble des collaborateurs et doit donc également mobiliser les directions des ressources humaines.

Gilles Proust, président, Arengi
Arengi

Gilles Proust, président, Arengi : Nous constatons que depuis deux ans, le sujet de la digitalisation est au cœur des cartographies des risques de nos clients. A mon sens, l’une des clés de la réussite est le timing. En effet, ce sujet étant nouveau, il y a parfois un enthousiasme fort de la part des entreprises qui peuvent se précipiter sur le sujet. Ainsi, sur la base de revues stratégiques, certaines entreprises ont estimé que l’ensemble de leurs activités serait modifié par la rupture numérique, réalisant alors de lourds investissements. D’autres en revanche sont encore très en retard sur le sujet. Dans ce contexte, la cartographie des risques est un bon outil. Elle va en effet permettre de mettre le sujet sur la table et de le scénariser afin de se demander de quelle manière la digitalisation va impacter l’entreprise. Il est, je pense, essentiel que ce sujet soit débattu au sein de l’entreprise et qu’il soit mis en perspective par rapport aux autres enjeux afin de prioriser les problématiques.


De quelle façon le risk manager peut-il mettre en place une stratégie de gestion long terme alors que, dans le même temps, la rupture est en marche ?

La digitalisation a amené de nouvelles problématiques et de nouveaux risques au sein des entreprises. Ces sujets évoluent très rapidement. De quelle façon le risk manager peut-il mettre en place une stratégie de gestion long terme alors que, dans le même temps, la rupture est en marche ? Quel est le rôle du risk manager sur ce sujet ?

Brigitte Bouquot : Il est vrai que ces sujets s’accélèrent et que les effets de la révolution Internet ne sont pas encore totalement accomplis. La rupture numérique transforme en profondeur la relation entre les acteurs, tout au long de la chaîne de valeur ; elle transforme donc les business models autour des données. L’histoire est aujourd’hui en train de s’écrire. C’est fascinant, et dans le même temps nous devons faire face à de nouveaux challenges à l’instar de la cyber-sécurité. A mon sens, il faut évoquer la doctrine en termes de sécurité : des systèmes sont créés pour répondre aux attentes fonctionnelles de notre vie humaine. Il n’y a pas de limite intellectuelle à pouvoir penser la sécurité en même temps que l’on pense la technologie. Il est ainsi possible de concevoir la sécurité nativement, le risk manager doit aller à la source de ces évolutions pour établir les scénarios et leurs impacts (pertes de données ou arrêt de fonctionnement), veiller au partage des responsabilités et à l’assurance des risques résiduels.

François Malan : Le rôle du risk manager est d’anticiper et dans certains cas, de jouer les garde-fous en faisant preuve de prudence. Ainsi, lorsqu’il s’agit de digitalisation, l’investissement financier est colossal et se chiffre en millions d’euros. Il est donc essentiel d’avoir un retour sur investissement, via une amélioration de la productivité ou une marge augmentée. Pour entrer dans la digitalisation, il faut avoir les moyens financiers. Dans le même temps, il ne faut pas aller trop vite, car si le ROI n’est pas au rendez-vous, les investissements réalisés vont fragiliser l’entreprise. Le rôle du risk manager est aussi de diffuser la prudence. En effet, il y a un véritable enthousiasme face aux sujets de digitalisation. Certains projets se montent très rapidement, dans un esprit start-up. Notre rôle en tant que risk managers est de faire entrer la notion de «prise de risque juste» dans chacun des projets qui sont souvent morcelés. Par exemple, les opérationnels considèrent souvent les données clients comme une véritable mine d’or. La tentation est de les utiliser dans tous les sens et parfois de manière abusive ! Or, en France, la réglementation sur ce sujet est assez contraignante. Notre rôle est donc d’alerter et d’inciter à la prudence. Enfin, je dirai que la digitalisation présente le risque de laisser de côté certains collaborateurs qui ne sont pas «digital native». D’où l’importance de la formation. A nouveau, les directions des ressources humaines ont un rôle clé à jouer.


Constatez-vous une augmentation de la demande client sur les sujets liés à la digitalisation ?

Renaud de Pressigny, directeur général de la branche française, QBE
QBE

Quid des assureurs et conseils ? Constatez-vous une augmentation de la demande client sur les sujets liés à la digitalisation ?

Renaud de Pressigny, directeur général de la branche française, QBE : On constate aujourd’hui une demande croissante de la part des clients, quelle que soit leur taille, sur la couverture des cyber-risques. Et les offres des assureurs en la matière se développent largement. Les cyber-risques sont un phénomène récent, donc difficile à appréhender. Pour cette typologie de risques, nous disposons de peu de données exploitables, et il est difficile d’estimer la rentabilité à terme de cette nouvelle branche d’assurance. Cela étant, le marché se développe avec des offres originales qui combinent transferts de risques et offres de services. A mon sens, cela répond clairement à une attente des clients d’être accompagnés dans la gestion de leurs risques : en amont, c’est-à-dire avant la souscription via une analyse du risque et en aval, c’est-à-dire au moment de la crise par un bouquet de services comprenant assurance, communication de crise et intervention d’équipes spécialisées. QBE s’inscrit complètement dans cette tendance, avec une offre que nous allons lancer au cours de l’année 2016. Ce nouveau produit sera spécialement conçu pour les PME et ETI, qui sont le cœur de notre marché en France.

François Malan : La fonction risk management doit être à même de convaincre les directions générales de souscrire à ces nouvelles polices. Certes, les polices cyber-risques ne sont pas très onéreuses, mais elles viennent s’ajouter à d’autres dépenses qui, cumulées, peuvent constituer des sommes importantes, dans une période de maîtrise budgétaire. A mon sens, l’avantage des polices de cyber-risques est de protéger le bilan de l’entreprise ainsi que sa réputation. Par ailleurs, l’offre de service vient compléter l’offre interne. L’extérieur va permettre d’apporter une expertise complémentaire que les équipes en interne n’ont pas. En termes de gestion de crise, il est possible de trouver auprès des assureurs une expertise qui n’existe pas toujours en interne, notamment au sein des ETI.
La digitalisation va-t-elle modifier en profondeur le rôle de la fonction risk management ?

Gilles Proust : Je pense que la rupture numérique a pour conséquence d’élargir encore le champ d’action de la fonction risk management. Nous observons que certaines entreprises ont modifié leur profil de risque en entrant dans la transformation digitale. C’est le cas par exemple d’entreprises industrielles qui, en digitalisant leurs produits, se mettent à déployer des prestations de services et à exploiter les données liées à des tiers. Dans ce contexte, l’ensemble de la chaîne risk management (risk managers, assureurs, courtiers, conseils, etc.) a pour rôle d’alerter et conseiller les opérationnels et les collaborateurs qui pilotent cette transformation. Il ne s’agit pas de remettre en cause le développement, mais de mettre en garde les dirigeants et les opérationnels en cas de changement de profil de risque, en leur donnant à voir les conséquences de ce changement, telles que les modifications des dispositifs de maîtrise des risques ou la nécessité d’apporter de nouvelles réponses assurantielles. Le rôle de la fonction risk management, qu’elle soit ou non incarnée au sein de l’entreprise, est d’accompagner cette transformation pour qu’elle se passe de la façon la plus souple possible. Par ailleurs, la fonction risk management doit accompagner les DSI sur ces sujets. Car, dans les faits, les DSI sont au cœur de cette transformation. Ils ont besoin d’outils pour piloter les risques, que ce soit pour les cyber-risques mais aussi pour les risques liés à l’adéquation et à l’évolution des systèmes d’information.

Brigitte Bouquot :
Le management par les risques permet de décloisonner les services et d’amorcer des relations entre les équipes. Ainsi, sur la question des cyber-risques, nous menons des discussions avec les équipes DSI par approche de scénario. Il s’agit d’un enjeu collectif. Ce sont souvent des équipes projets décloisonnées qui viennent présenter la problématique de cyber-risque à la direction. Auparavant, le risque cyber était enfoui et géré de façon quasiment confidentielle. C’est aujourd’hui un enjeu collectif. La façon dont le risk management peut aligner des équipes qui ne se seraient jamais rencontrées pour le bien commun de l’entreprise, de façon à la fois efficace et pragmatique, est à mon sens exemplaire.


De quelle façon est accueillie la fonction risk management en interne ?

De quelle façon est accueillie la fonction risk management en interne ? Est-il facile de créer des synergies avec les équipes opérationnelles ?

Brigitte Bouquot : Il faut bien avoir à l’esprit que plus les sujets sont connus et plus ils sont installés dans les process de l’entreprise. La prévention incendie, par exemple, est maintenant souvent déléguée à des opérationnels qui vont prendre la responsabilité du sujet, sous réserve de contrôles internes ultérieurs. Sur les sujets nouveaux, en revanche, il est nécessaire d’aller à la rencontre des opérationnels de façon progressive et pédagogique. Une discussion qui était un peu difficile au début peut ainsi se transformer en discussion vertueuse pour tous. Pour que cela fonctionne, il est néanmoins essentiel d’avoir une gouvernance claire en provenance du comité exécutif qui va sponsoriser le risk manager pour qu’il travaille de concert avec les opérationnels.

François Malan : Le risk manager doit faire preuve de curiosité pour s’intéresser aux différents services de l’entreprise. Par ailleurs, il faut qu’il y ait – a minima – une terminologie commune. Il existe un langage DSI. Sans pour autant devenir expert, le risk manager doit faire l’effort de comprendre le fonctionnement des systèmes.


Est-ce à dire que le risk manager doit être un grand généraliste ?

La fonction évolue donc en profondeur. Est-ce à dire que le risk manager doit être un grand généraliste ?

Brigitte Bouquot :
En effet, la fonction évolue. Le risk manager doit avoir une dimension juridique, financière et opérationnelle très forte. Pour gagner du terrain par rapport à l’incertitude, il faut aller chercher des gens aux profils pluridisciplinaires, à même d’arbitrer sur des sujets variés.


Quid de la fonction risk management au sein des ETI?

Gilles Proust : Au sein des ETI et des PME, les profils sont variés. Souvent, la fonction n’est pas incarnée par un expert à plein temps : cela peut être un spécialiste assurance qui va monter en puissance sur le sujet, ou encore un directeur administratif et financier qui va assurer cette fonction en plus de ses missions classiques. La vision sera donc plus généraliste. Dans tous les cas, le rôle de la fonction risk management reste la même : être en capacité de communiquer avec le comité de direction afin de mettre le sujet risque sur la table. Il est donc essentiel que la fonction soit portée par une personne à même d’avoir une vision transverse, tout en ayant la capacité à interagir avec les directions de l’entreprise.


Au sein des PME et ETI, qui sont les interlocuteurs privilégiés des courtiers en assurance ?

Renaud de Pressigny : Dans ces entreprises, les interlocuteurs de nos courtiers ont des profils divers. Il s’agit parfois du directeur financier, du directeur juridique ou encore du secrétaire ou du directeur général. Cela dépend également notamment des thématiques traitées. Nous avons développé avec Arengi une offre de cartographie des risques à destination des ETI et PME. Nous constatons que ce sujet est généralement porté par la direction générale, c’est d’ailleurs une des conditions de succès de la démarche ! La problématique d’identification et de hiérarchisation des risques doit être portée au plus haut niveau. Cela permet de donner ensuite des directions fortes aux opérationnels, pour la mise en place des plans de traitement.


Les ETI et PME sont-elles aujourd’hui au fait de la nécessité de réaliser une cartographie des risques ?

Les ETI et PME sont-elles aujourd’hui au fait de la nécessité de réaliser une cartographie des risques ? Dans quelles conditions les ETI et PME sont-elles amenées à mener une réflexion formalisée sur les risques ?

Gilles Proust : En ce qui concerne Arengi, je constate qu’il y a deux ans, les deux tiers de notre activité étaient dédiés aux grands comptes. Cette tendance est aujourd’hui en passe de s’inverser au profit des petites et moyennes structures. Le process de gestion des risques devient une bonne pratique de management et se diffuse de plus en plus au sein des ETI. A l’heure actuelle, je pense que toutes les ETI sont convaincues de la pertinence de la mise en place d’un dispositif de pilotage par les risques. Du côté des PME, c’est encore un domaine en chantier. Bon nombre d’entre elles ne sont pas du tout équipées. Si, dans les faits, toutes les entreprises s’occupent de gérer leurs risques, toutes ne l’ont pas encore formalisé dans le cadre d’un processus dédié. Cependant, la demande progresse, comme en atteste l’accueil réservé à l’offre QBE Risk Profile.

Renaud de Pressigny : Nous avons effectivement lancé une offre dédiée à la cartographie des risques à destination des ETI et des PME, dans le cadre des Rencontres Amrae 2015. Depuis ce lancement, nous avons réalisé un tour de France afin de présenter cette offre à 300 courtiers partenaires. QBE Risk Profile a suscité beaucoup d’intérêt chez ces professionnels qui, au quotidien, sont les interlocuteurs des PME et ETI pour les risques et assurances. Notre ambition est aujourd’hui de convaincre les courtiers de proposer à leurs clients des démarches autour du risque global, au-delà des questions d’assurance et de prévoyance. La plupart des courtiers régionaux n’ont pas en interne les ressources leur permettant de réaliser une cartographie des risques. C’est la raison pour laquelle nous mettons à leur disposition l’expertise et la plateforme développées par Arengi. Cette offre a suscité beaucoup d’intérêt, signe qu’il existe actuellement une réelle demande sur ces sujets.


Dans quelles conditions les ETI et PME sont-elles amenées à mener une réflexion formalisée sur les risques ?

Renaud de Pressigny : Nous observons que, de plus en plus, la réalisation d’une cartographie des risques fait suite à une demande émanant de l’extérieur de l’entreprise. C’est par exemple à la suite d’une demande d’un client ou d’un partenaire financier, tel qu’un fonds d’investissement, que les PME vont se lancer dans l’analyse formalisée de leurs risques majeurs. A titre d’exemple, nous avons réalisé avec Arengi la cartographie des risques de la société Alsapan, une ETI spécialisée dans la fabrication de meubles en kit et de parquets, à la suite d’une demande en provenance de l’un de ses clients.

Brigitte Bouquot : Cela apporte la preuve qu’il n’y a aujourd’hui plus de clivages entre les grands groupes et les plus petites structures. En fait, l’ensemble des acteurs de la supply chain sont interdépendants. Chez Thales, par exemple, nous recevons des injonctions de cette nature de la part de nos très grands donneurs d’ordre à l’instar d’Airbus ou de Boeing. Dans le même temps, nous en donnons maintenant à nos fournisseurs de premier rang.


Quels sont les autres facteurs déclencheurs de la mise en place d’un suivi des risques au sein des ETI et PME ?

Renaud de Pressigny : Malheureusement, c’est parfois à la suite d’un accident que les PME et ETI vont formaliser leur gestion des risques. Une grande différence entre les grands groupes et les ETI ou PME réside dans leur capacité inégale à faire face à une crise majeure. Les ETI et PME ont un problème évident de résilience, car elles n’ont pas toujours les capitaux, la taille, ou le degré de préparation suffisants pour faire face à un incident dramatique. Il y a parfois une leçon très vertueuse à l’expérience, mais aussi beaucoup de petites et moyennes structures qui disparaissent après un accident majeur.

Gilles Proust :
Il y a également des ETI qui, suite à une croissance rapide, vont mettre en place une approche plus formalisée et plus structurée d’identification et de maîtrise des risques. La gestion des risques est alors perçue comme un nouvel échelon de maturité permettant de contribuer à leur développement. J’ai le souvenir d’une ETI que nous avons accompagnée, la demande émanant du président du directoire était de l’aider à mettre en place des garde-fous permettant de sécuriser et de piloter la croissance rapide de son entreprise. Par ailleurs, les changements de gouvernance peuvent également être un élément déclencheur. C’est le cas notamment au sein des entreprises familiales, lorsqu’une nouvelle génération se met en place ou lorsque le capital s’ouvre.»