Les chefs d’orchestre de la gestion des risques sont de plus en plus appelés à se pencher sur la cybersécurité et la stratégie de leurs entreprises.

Mieux reconnu, plus stratégique, moins masculin, aussi. Le portrait du « risk manager » dressé par le cinquième baromètre établi par l’Amrae confirme les grandes tendances des dernières éditions mais laisse aussi poindre quelques nouveautés intéressantes pour cette profession encore récente au sein des entreprises.

 Ainsi, la proportion des risk managers gérant exclusivement les assurances et la prévention a continué de diminuer (42 % en 2013, 31 % en 2015 et 24 % en 2017) au profit des « exclusivement ERM », c’est-à-dire des responsables de la gestion de globale des risques de l’entreprise (40 % en 2017 contre 31 % en 2015). Les profils mixtes – gérant à la fois les risques et les assurances – sont restés stables : 38 % en 2015 et 36 % en 2017. « L’importance des risques émergents, ainsi que la structuration croissante des entreprises, explique ce développement des profils ERM purs. Parallèlement, un nombre croissant d’entreprises choisissent aujourd’hui d’externaliser la gestion de leurs sinistres à des partenaires extérieurs », estime François Malan, vice-président de l’Amrae.

Culture du risque

Au-delà de la technique, c’est, toujours, le caractère « chef d’orchestre » de la profession qui ressort. « Il est l’animateur de la gestion des risques dans l’entreprise », souligne François Malan. La « diffusion de la culture du risque » s’affiche aujourd’hui au premier rang des missions citées par les professionnels, à 82 %, devant les tâches de cartographie et d’appréciation des risques (79 %) ou de maîtrise des risques (70 %). « On aurait pu penser qu’avec la maturité du métier et sa meilleure implantation dans les entreprises, la diffusion de la culture du risque allait devenir moins importante mais, en réalité, c’est un sujet au long cours, un socle majeur dans la fonction du risk manager », explique Françoise Bergé, associée chez PwC.

Fait nouveau, un nombre croissant de risk managers sont aujourd’hui en charge de missions complémentaires, en particulier dans les ETI : 32 % des répondants ont ainsi indiqué être chargés du contrôle interne et 18 % de la conformité dans leur entreprise. « Par sa vision transverse et ses capacités à coordonner des projets, le risk manager est bien placé pour piloter un projet Sapin 2 ou RGDP, en partenariat avec les autres fonctions opérationnelles de l’entreprise », souligne François Malan.

Qui est le « risk manager » aujourd’hui ?
C’est toujours un homme (à 55 %), même si la proportion de femmes a fortement augmenté depuis les dernières éditions (28 % en 2013 et 41 % en 2015), âgé d’au moins 46 ans (53 % et même 6’% chez les « top managers »). Il a été formé soit à l’école du droit (33 %), soit au commerce/gestion/économie (33 %) ou encore est doté d’un parcours d’ingénieur/scientifique (27 %). Près des deux tiers (62 %) ont ajouté à leur parcours d’origine une formation complémentaire au risk management, pour se perfectionner (56 %) ou dans le cadre d’une prise de poste (2 %).Le « risk manager » exerce principalement dans des entreprises de grande taille (62 %), et souvent dans les secteurs de l’industrie (33 %) et des services (11 %) ou de l’assurance (17 % des répondants). Sa rémunération a peu évolué depuis 2015, passant de 108.000 euros à 107.000 euros pour les « top managers » et restée stable à 84.000 euros pour les « non top managers ».Ces professionnels sont arrivés à leur poste par mobilité interne (32 %), via un chasseur de têtes ou un cabinet de recrutement (31 %) ou encore grâce à leur réseau (25 %). C’est à Paris ou en Ile de France que vous croiserez le plus facilement leur route : ils ont 72 % à y exercer leur profession.

Risques cyber et stratégiques

Si leurs premiers sujets sont toujours opérationnels (91 %), les risk managers citent massivement le risque de fraude (83 %), ainsi que l’environnement (79 %), et surtout la cybersécurité, qui est une préoccupation pour 79 % des professionnels interrogés, alors même que l’étude a été réalisée avant les attaques massives du printemps, Wanacry et NotPetya . Très consciente de la montée en puissance de ce nouveau risque, l’Amrae travaille actuellement avec les professionnels de l’audit interne à la mise en place d’une véritable « gouvernance du cyber risque » .

Enfin, l’étude révèle aussi la montée en puissance des risques stratégiques : 41 % des répondants déclarent identifier et analyser les risques des différentes stratégies envisagées par l’organisation. « 73 % des top managers ont des relations ponctuelles avec la fonction stratégie : ils sont de plus en plus appelés à réaliser des cartographies des développements stratégiques envisagés, en particulier dans les entreprises de taille plus modeste », indique François Malan. Le risk manager se rêve depuis longtemps en « conseil » du directeur général. De baromètre en baromètre, on voit qu’il a de plus en plus son oreille : 66 % ont désormais un accès directeur au directeur général, et 26 % sont aujourd’hui membres du comité de direction. Il faut dire aussi que, d’ouragan en cyberattaque, l’actualité sert la profession.

Source : business.lesechos.fr

RiskAttitude vous accompage pour mettre en place une démarche de management des risques au sein de votre entreprise , contactez-nous.