A quelques jours de l’ouverture des 25^e Rencontres Amrae à Deauville, Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l'entreprise, fait le point sur l’exercice 2016 et les enjeux futurs de la profession.

Etes-vous satisfaite des travaux de l’association en 2016 ?

L'année passée a été pour moi l’occasion de formuler clairement la stratégie de l’Amrae. Nous avons développé notre « filière d’excellence » et tissé un lien fort vers le marché de l’assurance pour réduire le gap entre risques et couvertures.

Nous avons également structuré notre gouvernance de groupe avec l’ensemble des pôles (Amrae l'association, Amrae formation, Les Rencontres Amrae) et mis en place le pôle francophonie. Il a fallu un certain temps pour que chacun trouve sa place afin de matérialiser des actions concrètes au fil de l’année (Journée des commissions, présentations et séminaires, publications annuelles, colloques francophones etc.).

Nous avons beaucoup travaillé sur les problématiques cyber en essayant d’avoir une vision prospective. Tout ce qui a été engagé sur cet exercice se traduit finalement par les Rencontres Amrae 2017 pour lesquelles notre thème, « le RM au défi des nouvelles prises de risques », est, je trouve, dans l’ère du temps, compte tenu du fait que 2016 a été assez violente et disruptive.

Maintenant que nous sommes en marche, il s’agit d'être dans le bon tempo par rapport au foisonnement d’initiatives du secteur (risques, réglementation, concentration des assureurs, etc.). Il faut que l’on soit à l’affût, car tout s’accélère.

Dans un contexte où les entreprises tirent sur leurs budgets, y compris d'assurance, le risk manager arrive-t-il à valoriser son rôle ?

Les sujets se détachent l’un de l’autre. Le dirigeant d’entreprise a compris que l’on ne pouvait pas échanger un mauvais risk management simplement contre de l’assurance. Entre les risques non transférables, les enjeux de réputation ou de safety, les patrons des sociétés cotées savent désormais qu'ils sont confrontés à des exigences, des attentes et une réglementation forte. Les exemples de Volkswagen, Samsung ou Vinci l’ont rappelé récemment, ils mettent en lumière l’importance de la gestion de crise, dont il faut saluer la qualité pour Vinci.

Les dirigeants doivent être proactifs, mais avec les risk managers à leurs côtés. C’est toujours un très grand challenge et il y a encore du travail dans la définition des rôles de chacun, mais le risk management est devenu un enjeu collectif tellement vaste et complexe que le RM ultime reste le CEO. Il faut donc continuer à promouvoir, entreprise par entreprise, le rôle que peut jouer le RM dans une équipe de direction avec sa transversalité dans l’appréhension des risques de l’entreprise.

Nous croyons beaucoup à une gouvernance collective avec un comité des risques permettant d’arbitrer les plans d’action, dont l’assurance et son budget, qui permet de donner du poids au RM.

Pourquoi faut-il encore parfois attendre un sinistre pour que les entreprises prennent conscience des risques qui pèsent sur elles ?

C’est justement pour éviter cette situation que nous continuons « d’évangéliser » les dirigeants. Nous souhaiterions une prise de conscience a priori. Il y a, il est vrai, un côté Sisyphe chez les industriels et parfois nous sommes face à des habitudes où la transmission de la culture du risque n’est pas facile. Aujourd’hui, certains mécanismes de couvertures contre l’incendie sont culturellement ancrés dans les process de l’entreprise. Pour les risques émergents comme le cyber et/ou la fraude, ce n’est pas le cas.

Nous avons donc un devoir de sensibilisation pour faire entrer cette culture dans les repères des dirigeants, pour que la couverture de tous les risques devienne un réflexe avec des codes et une organisation. L’assurance est un capital collatéral. En défensif, la non-assurance peut fonctionner, mais dès la survenance d'un gros sinistre, l’entreprise perd tout, ses fonds propres y compris. Nous devons encore le démontrer et expliquer le travail d’optimisation à effectuer.

Les évolutions constantes du risque cyber en font-elles un risque inassurable ?

C’est maintenant que cela se joue. Nous avons une chance de réussir à couvrir ce risque si l’on regroupe deux conditions : d’abord, les entreprises doivent consacrer les budgets nécessaires à la cyber-sécurité avec une gouvernance forte sur ce risque. Le règlement européen sur le Data Privacy va notamment nous aider dans ce sens. L’industrie française est d’ailleurs en pointe sur ce sujet (Gemalto, Thales, Airbus, Capgemini, Orange, Atos etc.) et elle peut amener des solutions. Ensuite, et seulement ensuite, le risque résiduel sera alors plus « petit » et de fait, les assureurs pourront le porter plus facilement.

Le risque cyber est vertigineux, car toute l’industrie est touchée, mais il y a des solutions théoriques sur des modèles de partage de risques et je suis optimiste quant à notre capacité à y faire face.