Quand les risques sont gérés l’entreprise et le tissu économique sont durables
La gestion des risques (Risk Management) fait rimer prise de risque avec protection des équipes et des actifs matériels et immatériels. Elle organise la résilience des organisations. Les entreprises qui ont le mieux fait face à la pandémie sont celles qui ont su s’adapter, pivoter et travailler en mode dégradé.
À l’heure de la relance et quand l’innovation est indispensable, l’ensemble du tissu économique et du corps social doit comprendre la culture de la gestion des risques. Les peurs qui font confondre précaution et inhibition pourront enfin se lever, la résilience des organisations, privées et publiques, sera ainsi renforcée.
Lever les peurs de l’innovation et de la prise de risques
L’innovation, la relance post-crise, la construction des nouveaux modèles ne peuvent se faire sans prise de risques. En outre, certains anciens modèles n’ont pas résisté à la crise. D’autres crises se produiront, à n’en pas douter.
Or pour nos concitoyens, le risque est souvent un tabou et pour nombre d’entreprises, il est abordé avec une attitude fataliste.
Le tabou, c’est le déni du risque, par posture, peur ou manque de sens des responsabilités. Ignorer le risque, faire l’autruche est une faiblesse tant individuelle que collective, qu’il faut traiter également individuellement et collectivement. Le « monde d’après » qu’il nous incombe de construire, au sein duquel la confiance ou le sentiment de confiance sont au rendez-vous est un monde dans et pour lequel l’entreprise et la puissance publique ont développé une pédagogie sur le risque et sur sa gestion.
Le risque est alors appréhendé, analysé et partagé par le citoyen, l’entreprise et l’État.
Les trois fondamentaux de la gestion des risques
Pour les entreprises et les gestionnaires de risques (Risk Managers), la gestion du risque qui permet de saisir ensemble le présent et l’avenir, repose sur trois fondamentaux.
D’abord une éthique : celle de l’attention quotidienne et future à tous les publics et toutes les parties prenantes, ensuite, de la technique et enfin, du financement.
C’est ce triptyque de responsabilité, d’outils de gestion et de financement qui permet de rendre concrètes la souplesse et la robustesse, ou encore la résilience, dont tout le monde sait depuis la crise de la Covid ce qu’elle signifie.
D’abord l’éthique
Ce premier point s’apparente au principe premier de la médecine : ne pas nuire au patient. L’activité de l’entreprise, à court ou long terme, ne doit pas nuire à autrui. Elle doit même désormais contribuer, dans la mesure du possible, à la santé de son écosystème et de son environnement.
Techniquement, le Risk Manager se trouve donc à la croisée de l’ESG et des RH. Il anticipe les impacts de l’activité de son entreprise et incite les dirigeants à avoir cette même vision à long terme. Dans le même temps, par le même prisme de la gestion des risques, il participe au développement des opportunités de l’entreprise.
Ensuite, la technique et les méthodes de prévention
C’est le courage de l’introspection : il faut oser appréhender ses vulnérabilités ou celles que l’on peut créer, quand il faut déployer sa stratégie partout dans le monde, ou au pas de sa porte.
Ici on parle de cartographie des risques. Une photographie à un instant T, et une dynamique de suivi à cultiver.
Quels peuvent être ces risques ?
Une inondation, la décision administrative d’arrêter l’économie, une immobilisation longue, conséquence d’une attaque cyber etc. Les risques sont de faible ou grande intensité, de faible ou haute fréquence. À partir de là, tout dirigeant doit essayer d’en quantifier les impacts en fonction de la durée du choc et de ses conséquences. Et imaginer comment redémarrer.
Cet exercice d’introspection et de projection est indispensable.
Il faut alors mettre des chiffres en face de ces scénarios dans le temps : le Risk Manager rassemble autour de la table les opérationnels, les SI, l’expert-comptable, les actuaires, les consultants spécialisés dans la quantification pour fournir au directeur financier les chiffres.
À chacun d’adapter les vocables en fonction de la taille de l’entreprise.
Les vulnérabilités identifiées, agir pour ne pas subir, c’est alors organiser la prévention et la réduction de ces risques.
Un mur anti-inondation, de la cyber sécurité à haute dose, des dispositifs anti-corruption à tous les étages, une sélection fine des intervenants de la supply chain, des brevets bien protégés… Les risques opérationnels, matériels et immatériels peuvent être atténués, dans des conditions budgétaires, techniques et humaines réalistes. À titre d’exemple, un dollar investi en prévention pour des événements naturels (inondations, tremblements de terre, températures durablement élevées) permet d’éviter 5 dollars de pertes financières (Source : rapport 2020 Risk Insights de Zurich Insurance).
La prévention intègre systématiquement la mise en place d’un dispositif de gestion de crise et les préparations aux redémarrages rapides après un stress ou un choc (Plans de Continuation d’Activité et Plans de Redémarrage d’Activité.)
Enfin la décision financière et les techniques de financement du risque.
L’entreprise doit alors analyser ce qu’elle peut absorber sur ses fonds propres, sa trésorerie, son résultat sans trop de dégâts et ce qu’elle peut acheter comme couverture financière pour ce qu’elle ne peut ni ne veut autofinancer. Car, il faut le répéter, le premier dispositif financier d’absorption des chocs, ce sont les fonds propres et la trésorerie.
Fonds propres, assurance et auto-assurance : utiliser tous les leviers possibles de résilience financière
Classiquement, l’assurance était là pour financer ce que les entreprises estiment ne pas pouvoir financer seules, si les garanties adaptées existent.
Depuis deux ans, le marché de l’assurance d’entreprise s’est durci au-delà du raisonnable pour les entreprises assurées. Le marché est devenu irréaliste.
Les taux négatifs qui ont réduit les profits financiers des assureurs, les sinistres liés aux catastrophes naturelles à indemniser (la Covid-19 n’a rien à voir là-dedans), des assureurs – lointains – de plus en plus frileux sur le risque, ont tiré les tarifs à la hausse en réduisant le champ des possibles, sans discernement sur la qualité des dispositifs de gestion des risques des entreprises. En outre, la conjoncture rime avec risques systémiques que ne sait pas forcément couvrir l’assurance : la mise à l’arrêt de l’économie pour raison sanitaire, par exemple, a généré de la perte d’exploitation sans dommage. En assurance, cette garantie n’existe pas à grande échelle. Autre exemple, le risque cyber : le marché n’est pas en mesure d’indemniser une attaque systémique, c’est-à-dire de grande ampleur soit en fréquence, soit en intensité
Conséquence directe : les entreprises s’assurent ou cherchent des solutions complémentaires comme les captives, un dispositif qui existe depuis une quarantaine d’années.
Pour mémoire, la captive est une filiale d’assurance ou de réassurance de l’entreprise, strictement réglementée (Solvabilité 2, l’ACPR en France) et un puissant outil de pilotage de ses risques.
En dernier recours intervient l’État en finançant les pertes d’exploitation dont il a été l’initiateur ou dont l’ampleur est telle que seul lui peut agir. D’une certaine façon, il porte le risque en dernier recours dans des situations exceptionnelles, telles que l’indemnisation des catastrophes naturelles ou bien celle des victimes du terrorisme.
La prévention et l’indemnisation sont bien un enjeu collectif : plus les entreprises seront responsables en développant leur capacité à maîtriser le financement de leurs risques, moins elles appelleront la puissance publique à l’aide. Prendre un risque peut être beau en soi, s’il est, par exemple, une opportunité d’infléchir le risque climatique.
À la condition qu’il soit nourri des effets et conséquences qu’il peut provoquer, tenant compte que toute action est interdépendante des autres.
En bref
L’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) est l’association professionnelle de référence des métiers du risque et des assurances en entreprise. Elle rassemble plus de 1 500 membres appartenant à 800 organisations privées ou publiques.
L’AMRAE a quatre missions fondamentales :
- Promouvoir le concept de Risk Management ;
- Porter et maintenir l’expertise des Risk Managers au meilleur niveau ;
- Anticiper et influencer le marché de l’assurance des entreprises ;
- Rayonner vers les Pouvoirs Publics et les institutions civiles.
Avec AMRAE Formation, elle répond aux besoins de formation professionnelle en dispensant des formations certifiantes de haut niveau.
AMRAE Les Rencontres organise le congrès annuel de référence des métiers du risque et des assurances (plus de 3 000 participants en 2020). Ces trois jours constituent le rendez-vous métier incontournable des acteurs de la maîtrise des risques et de leur financement.