Risk managers, architectes de la résilience

Le drame de Cassandre était de prévoir le pire… et de ne jamais être entendue ! Dans un contexte de plus en plus incertain, les risk managers sortent petit à petit de cette malédiction. Désormais écoutés et reconnus, ils ont ajouté des cordes à leur arc et démontré l’utilité d’un management des risques proactif.

Généralement, ils commencent par gérer les multiples assurances qui couvrent leur société, en travaillant avec des courtiers. Et développent des programmes de prévention de risques assurables pour maîtriser les primes. C’est ce que fait Florence Vallon (42 ans). Après avoir travaillé en protection juridique pour Themis Assurances et à la Maif, elle est recrutée en 2004 comme responsable du service assurances à la communauté urbaine de Lyon. « J’ai pris la casquette de l’assuré, avec la mission de renégocier tous les contrats : responsabilité civile, risque industriel, flotte automobile… Il m’a fallu découvrir les différents métiers de la collectivité », se souvient-elle. Avec la création de la Métropole de Lyon en 2015, elle doit tout remettre à plat pour éviter les doublons et profite de l’opération pour optimiser l’ensemble. « Aujourd’hui, nous sommes vraiment au service des différentes directions, en gérant le sinistre pour elles. C’est très riche, il y a toujours quelque chose de nouveau : je passe du traitement d’un désordre provoqué par les mineurs dont nous avons la charge à la gestion de l’assurance de l’usine d’incinération des déchets », illustre-t-elle.

Diffuser la culture du risque

Souvent, la gestion des assurances est une étape vers une approche intégrée de gestion des risques. Alain Ronot (50 ans) a effectué la première partie de sa carrière chez les grands courtiers de la place française : Willis France, Gras Savoye, Marsh, puis Aon et Siaci Saint Honoré. A ce titre, il a notamment accompagné Capgemini dans la gestion de ses risques et assurances, avant d’être embauché directement par l’ESN. « J’ai commencé par gérer les grands programmes d’assurance dont j’étais familier, puisque j’avais contribué à les développer entre 1999 et 2010. Et avec la confiance de la direction, j’ai rapidement étendu mon champ d’action. » Conjointement avec les ressources humaines, il met en place une stratégie globale et un pilotage mondial des assurances de personnes. Fort de ce premier succès, il réactive la cartographie des risques. « J’ai avancé par étape pour présenter à chaque fois des résultats tangibles avant d’approfondir la démarche », relate Alain Ronot, qui parvient de cette façon à convaincre. Il anime ainsi un comité des risques composé de membres du comité exécutif et dirigé par la directrice financière du groupe. « L’implication de la direction est essentielle », note-t-il avec sobriété. Mais la culture du risque doit ensuite se diffuser à tous les échelons. Le directeur des assurances groupe de Capgemini travaille également, avec son homologue de la sécurité, sur un programme d’assistance aux personnes en cas d’urgence sécuritaire et médicale. « J’apprécie le fait de pouvoir sans cesse élargir mon horizon dans un groupe international où j’ai une grande liberté d’action. » Il intervient en outre sur les thématiques de risques cyber et de protection des données personnelles en lien avec le règlement européen (RGPD). « Nous sommes dans un monde changeant où il est impossible de tout assurer. Nous devons donc bien comprendre le risque et apporter de nouvelles solutions, notamment en matière de prévention et de transfert de risque. »

Selon le baromètre 2017 de l’Association pour le management des risques et des assurances de l’entreprise (Amrae), les 270 risk managers interrogés interviennent sur une large palette de risques : opérationnels (91 %), de fraude (83 %), de cyber sécurité (79 %), et même environnementaux (79 %). Et ils sont désormais 76 % à voir leur rôle étendu au-delà des assurances, contre 69 % en 2015. A chaque fois, l’évolution s’opère par une « conversion » de la direction générale. Les professionnels interrogés par l’Amrae sont d’ailleurs de plus en plus rattachés à celle-ci (ils sont 44 % en 2017, contre 36 % en 2015). Et ont majoritairement un accès direct au directeur général (63 %).

Détecter des vulnérabilités

C’est le cas d’Eric Contégal (40 ans), responsable audit interne et risques des Autoroutes et Tunnel du Mont-Blanc (ATMB). « Je suis arrivé en 2015 dans un contexte où l’image du risque management était très dégradée en interne, se souvient-il. Même si le directeur général n’a pas hésité à maintenir le poste de risk manager, il m’a tout de même clairement dit : ‘je n’ai toujours pas compris en quoi cela est utile mais allez-y, prouvez-moi que ça l’est ! Apportez-moi des résultats et je vous donnerai des moyens.’ »

Pendant quatre ans, Eric Contégal va s’y employer. « L’un de mes premiers chantiers a été de mettre en place un plan de continuité pour préparer notre réponse en cas de problème majeur. Cela permet de savoir comment réagir, mais aussi de détecter des vulnérabilités sous-estimées. » Que faire, par exemple, si un animal grignote la fibre optique qui court le long de l’autoroute, alors que les péages mais aussi la sécurité du tunnel et la connexion Internet des entreprises et des particuliers de la vallée de l’Arve en dépendent ? « Cela paraît anecdotique, mais peut avoir de graves conséquences si ce n’est pas réfléchi en amont, explique-t-il. Quand on interroge les opérationnels pour identifier ce genre d’enjeu, il faut savoir leur expliquer notre démarche pour qu’ils en comprennent l’intérêt. » Ainsi, la première compétence désormais demandée à un risk manager n’est plus la connaissance financière, les statistiques ou même la sécurité… mais bel et bien la communication ! Ce n’est pas pour rien que la « diffusion de la culture du risque » est le premier objectif du métier.

Pour ne pas prêcher dans le désert ou se faire taxer de Cassandre, il doit susciter l’adhésion. A commencer par celle de la direction. Ce qui n’est pas toujours simple, car il doit être à même de questionner les décisions de cette dernière à l’aune de la gestion des risques. « Il faut être solide pour aller devant le Comex et dire : ‘Je vais mettre le doigt sur certains points auxquels vous devez être attentifs’ », souligne François Malan, vice-président de l’Amrae (voir encadré). Mais ce n’est pas tout, car la résilience d’une entreprise ne vaut que par celle de ses salariés. Isabelle Gout, directrice audit, risques, compliance de Labeyrie (voir encadré) peut en témoigner : « Pour déjouer les tentatives de ‘fraude au président’, nous nous sommes entraînés avec différents scénarios », souligne-t-elle.

C’est encore plus vrai avec un risque passé au premier plan aujourd’hui : la cyberattaque ou la simple défaillance du système d’information. Le plus souvent, la différence entre une attaque dévastatrice et une attaque contrée est la réaction humaine. Doté d’une expertise en informatique, Leopold Larios de Piña en a fait son cheval de bataille. Après avoir été souscripteur institution financière chez l’assureur Chubb, notamment au moment de la crise des crédits subprime et du développement de la première police cyber en interne, il a été débauché par Edenred en 2010. Sa mission ? Sécuriser le ticket restaurant, un moyen de paiement de plus en plus digital. « J’avais enfin le poste de risk manager que je cherchais à avoir depuis huit ans, raconte-t-il. C’est un métier qui correspond bien à ma personnalité, car je cherche beaucoup à anticiper, je suis curieux et j’aime travailler avec des professionnels différents. »

En 2017, il a rejoint Mazars en tant que head of group risk management. « Je compte y rester car il y a beaucoup de choses à mener et, surtout, la fonction de risk manager n’a de valeur que sur la durée : c’est une démarche itérative qui demande de la patience et de la persévérance. » Bien que la transversalité et la proximité avec le comex ouvrent des portes, beaucoup comptent faire carrière dans cette profession, à l’instar de Leopold Larios de Piña : « Je trouve ce métier formidable. Ce n’est pas le plus attractif financièrement parlant, mais il l’est sur le plan intellectuel. » Selon l’Amrae, la rémunération fixe brute annuelle d’un risk manager est tout de même en moyenne de 107.000 euros pour les « top managers », avec une part variable significative, souvent de plus de 10 %. Un salaire à mettre en regard avec l’enjeu : le risk manager doit préparer le pire. Et y faire face, quand il advient.