Quand les risques sont gérés l’entreprise et le tissu économique sont durables

La ges­tion des risques (Risk Mana­ge­ment) fait rimer prise de risque avec pro­tec­tion des équipes et des actifs maté­riels et imma­té­riels. Elle orga­nise la rési­lience des orga­ni­sa­tions. Les entre­prises qui ont le mieux fait face à la pan­dé­mie sont celles qui ont su s’adapter, pivo­ter et tra­vailler en mode dégradé.

À l’heure de la relance et quand l’innovation est indis­pen­sable, l’ensemble du tis­su éco­no­mique et du corps social doit com­prendre la culture de la ges­tion des risques. Les peurs qui font confondre pré­cau­tion et inhi­bi­tion pour­ront enfin se lever, la rési­lience des orga­ni­sa­tions, pri­vées et publiques, sera ain­si renforcée.

Lever les peurs de l’innovation et de la prise de risques

L’innovation, la relance post-crise, la construc­tion des nou­veaux modèles ne peuvent se faire sans prise de risques. En outre, cer­tains anciens modèles n’ont pas résis­té à la crise. D’autres crises se pro­dui­ront, à n’en pas douter.

Or pour nos conci­toyens, le risque est sou­vent un tabou et pour nombre d’entreprises, il est abor­dé avec une atti­tude fataliste.

Le tabou, c’est le déni du risque, par pos­ture, peur ou manque de sens des res­pon­sa­bi­li­tés. Igno­rer le risque, faire l’autruche est une fai­blesse tant indi­vi­duelle que col­lec­tive, qu’il faut trai­ter éga­le­ment indi­vi­duel­le­ment et col­lec­ti­ve­ment. Le « monde d’après » qu’il nous incombe de construire, au sein duquel la confiance ou le sen­ti­ment de confiance sont au ren­dez-vous est un monde dans et pour lequel l’entreprise et la puis­sance publique ont déve­lop­pé une péda­go­gie sur le risque et sur sa gestion.

Le risque est alors appré­hen­dé, ana­ly­sé et par­ta­gé par le citoyen, l’entreprise et l’État.

Les trois fondamentaux de la gestion des risques

Pour les entre­prises et les ges­tion­naires de risques (Risk Mana­gers), la ges­tion du risque qui per­met de sai­sir ensemble le pré­sent et l’avenir, repose sur trois fondamentaux.

D’abord une éthique : celle de l’attention quo­ti­dienne et future à tous les publics et toutes les par­ties pre­nantes, ensuite, de la tech­nique et enfin, du financement.

C’est ce trip­tyque de res­pon­sa­bi­li­té, d’outils de ges­tion et de finan­ce­ment qui per­met de rendre concrètes la sou­plesse et la robus­tesse, ou encore la rési­lience, dont tout le monde sait depuis la crise de la Covid ce qu’elle signifie.

D’abord l’éthique

Ce pre­mier point s’apparente au prin­cipe pre­mier de la méde­cine : ne pas nuire au patient. L’activité de l’entreprise, à court ou long terme, ne doit pas nuire à autrui. Elle doit même désor­mais contri­buer, dans la mesure du pos­sible, à la san­té de son éco­sys­tème et de son environnement. 

Tech­ni­que­ment, le Risk Mana­ger se trouve donc à la croi­sée de l’ESG et des RH. Il anti­cipe les impacts de l’activité de son entre­prise et incite les diri­geants à avoir cette même vision à long terme. Dans le même temps, par le même prisme de la ges­tion des risques, il par­ti­cipe au déve­lop­pe­ment des oppor­tu­ni­tés de l’entreprise.

Ensuite, la technique et les méthodes de prévention

C’est le cou­rage de l’introspection : il faut oser appré­hen­der ses vul­né­ra­bi­li­tés ou celles que l’on peut créer, quand il faut déployer sa stra­té­gie par­tout dans le monde, ou au pas de sa porte.

Ici on parle de car­to­gra­phie des risques. Une pho­to­gra­phie à un ins­tant T, et une dyna­mique de sui­vi à cultiver.

Quels peuvent être ces risques ?

Une inon­da­tion, la déci­sion admi­nis­tra­tive d’arrêter l’économie, une immo­bi­li­sa­tion longue, consé­quence d’une attaque cyber etc. Les risques sont de faible ou grande inten­si­té, de faible ou haute fré­quence. À par­tir de là, tout diri­geant doit essayer d’en quan­ti­fier les impacts en fonc­tion de la durée du choc et de ses consé­quences. Et ima­gi­ner com­ment redémarrer.

Cet exer­cice d’introspection et de pro­jec­tion est indispensable.

Il faut alors mettre des chiffres en face de ces scé­na­rios dans le temps : le Risk Mana­ger ras­semble autour de la table les opé­ra­tion­nels, les SI, l’expert-comptable, les actuaires, les consul­tants spé­cia­li­sés dans la quan­ti­fi­ca­tion pour four­nir au direc­teur finan­cier les chiffres. 

À cha­cun d’adapter les vocables en fonc­tion de la taille de l’entreprise.

Les vul­né­ra­bi­li­tés iden­ti­fiées, agir pour ne pas subir, c’est alors orga­ni­ser la pré­ven­tion et la réduc­tion de ces risques.

Un mur anti-inon­da­tion, de la cyber sécu­ri­té à haute dose, des dis­po­si­tifs anti-cor­rup­tion à tous les étages, une sélec­tion fine des inter­ve­nants de la sup­ply chain, des bre­vets bien pro­té­gés… Les risques opé­ra­tion­nels, maté­riels et imma­té­riels peuvent être atté­nués, dans des condi­tions bud­gé­taires, tech­niques et humaines réa­listes. À titre d’exemple, un dol­lar inves­ti en pré­ven­tion pour des évé­ne­ments natu­rels (inon­da­tions, trem­ble­ments de terre, tem­pé­ra­tures dura­ble­ment éle­vées) per­met d’éviter 5 dol­lars de pertes finan­cières (Source : rap­port 2020 Risk Insights de Zurich Insurance).

La pré­ven­tion intègre sys­té­ma­ti­que­ment la mise en place d’un dis­po­si­tif de ges­tion de crise et les pré­pa­ra­tions aux redé­mar­rages rapides après un stress ou un choc (Plans de Conti­nua­tion d’Activité et Plans de Redé­mar­rage d’Activité.)

Enfin la décision financière et les techniques de financement du risque.

L’entreprise doit alors ana­ly­ser ce qu’elle peut absor­ber sur ses fonds propres, sa tré­so­re­rie, son résul­tat sans trop de dégâts et ce qu’elle peut ache­ter comme cou­ver­ture finan­cière pour ce qu’elle ne peut ni ne veut auto­fi­nan­cer. Car, il faut le répé­ter, le pre­mier dis­po­si­tif finan­cier d’absorption des chocs, ce sont les fonds propres et la trésorerie.

Fonds propres, assurance et auto-assurance : utiliser tous les leviers possibles de résilience financière

Clas­si­que­ment, l’assurance était là pour finan­cer ce que les entre­prises estiment ne pas pou­voir finan­cer seules, si les garan­ties adap­tées existent.

Depuis deux ans, le mar­ché de l’assurance d’entreprise s’est dur­ci au-delà du rai­son­nable pour les entre­prises assu­rées. Le mar­ché est deve­nu irréaliste.

Les taux néga­tifs qui ont réduit les pro­fits finan­ciers des assu­reurs, les sinistres liés aux catas­trophes natu­relles à indem­ni­ser (la Covid-19 n’a rien à voir là-dedans), des assu­reurs – loin­tains – de plus en plus fri­leux sur le risque, ont tiré les tarifs à la hausse en rédui­sant le champ des pos­sibles, sans dis­cer­ne­ment sur la qua­li­té des dis­po­si­tifs de ges­tion des risques des entre­prises. En outre, la conjonc­ture rime avec risques sys­té­miques que ne sait pas for­cé­ment cou­vrir l’assurance : la mise à l’arrêt de l’économie pour rai­son sani­taire, par exemple, a géné­ré de la perte d’exploitation sans dom­mage. En assu­rance, cette garan­tie n’existe pas à grande échelle. Autre exemple, le risque cyber : le mar­ché n’est pas en mesure d’indemniser une attaque sys­té­mique, c’est-à-dire de grande ampleur soit en fré­quence, soit en intensité

Consé­quence directe : les entre­prises s’assurent ou cherchent des solu­tions com­plé­men­taires comme les cap­tives, un dis­po­si­tif qui existe depuis une qua­ran­taine d’années.

Pour mémoire, la cap­tive est une filiale d’assurance ou de réas­su­rance de l’entreprise, stric­te­ment régle­men­tée (Sol­va­bi­li­té 2, l’ACPR en France) et un puis­sant outil de pilo­tage de ses risques.

En der­nier recours inter­vient l’État en finan­çant les pertes d’exploitation dont il a été l’initiateur ou dont l’ampleur est telle que seul lui peut agir. D’une cer­taine façon, il porte le risque en der­nier recours dans des situa­tions excep­tion­nelles, telles que l’indemnisation des catas­trophes natu­relles ou bien celle des vic­times du terrorisme. 

La pré­ven­tion et l’indemnisation sont bien un enjeu col­lec­tif : plus les entre­prises seront res­pon­sables en déve­lop­pant leur capa­ci­té à maî­tri­ser le finan­ce­ment de leurs risques, moins elles appel­le­ront la puis­sance publique à l’aide. Prendre un risque peut être beau en soi, s’il est, par exemple, une oppor­tu­ni­té d’infléchir le risque climatique. 

À la condi­tion qu’il soit nour­ri des effets et consé­quences qu’il peut pro­vo­quer, tenant compte que toute action est inter­dé­pen­dante des autres.

En bref

L’AMRAE (Asso­cia­tion pour le Mana­ge­ment des Risques et des Assu­rances de l’Entreprise) est l’association pro­fes­sion­nelle de réfé­rence des métiers du risque et des assu­rances en entre­prise. Elle ras­semble plus de 1 500 membres appar­te­nant à 800 orga­ni­sa­tions pri­vées ou publiques.

L’AMRAE a quatre mis­sions fondamentales :

• Pro­mou­voir le concept de Risk Management ;
• Por­ter et main­te­nir l’expertise des Risk Mana­gers au meilleur niveau ;
• Anti­ci­per et influen­cer le mar­ché de l’assurance des entreprises ;
• Rayon­ner vers les Pou­voirs Publics et les ins­ti­tu­tions civiles.

Avec AMRAE For­ma­tion, elle répond aux besoins de for­ma­tion pro­fes­sion­nelle en dis­pen­sant des for­ma­tions cer­ti­fiantes de haut niveau.

AMRAE Les Ren­contres orga­nise le congrès annuel de réfé­rence des métiers du risque et des assu­rances (plus de 3 000 par­ti­ci­pants en 2020). Ces trois jours consti­tuent le ren­dez-vous métier incon­tour­nable des acteurs de la maî­trise des risques et de leur financement.

---

Articles similaires :

La data, c’est l’essence du métier d’assurance La ges­tion des risques, un levier de crois­sance et de performance La pro­tec­tion para­mé­trique contre les risques climatiques Ges­tion des risques : un besoin ren­for­cé d’innovation et d’agilité La ges­tion des risques est clé pour les entreprises !