Le risk management échappe au juridique
Paru dans La Lettre des Juristes d’Affaires, N° 1318 du 25/09/2017
Pour cette cinquième édition du baromètre du risk manager, plus de 270 personnes exerçant les métiers de la gestion des risques ont répondu au questionnaire en ligne. Plusieurs enseignements sont à tirer de leurs réponses. Tout d’abord quant au profil du risk manager qui est principalement un salarié expérimenté. 53 % des sondés sont âgés de plus de 45 ans, avec une proportion qui atteint 64 % chez les top managers. Si plus d’un manager sur deux est un homme, l’étude note que les femmes représentent désormais 45 % des répondants (contre 41 % en 2015 et 28 % en 2013).
L’un des répondants à l’étude précise : « au-delà d’exiger un profil qui correspondait aux attentes, le management de mon entreprise affichait une volonté claire de féminiser l’équipe de direction finance et donc de privilégier le recrutement d’une femme pour ce poste ». François Malan, vice président de l’AMRAE, par ailleurs directeur de la gestion et du contrôle des risques de Nexity, ajoute : « La fonction présuppose des qualités qui s’accordent souvent avec celles des femmes : l’écoute, la réceptivité, le management collectif, l’organisation ». Et les chasseurs de têtes le confirment : les entreprises cherchent plus souvent des femmes pour ces postes de top managers.
Les missions
Le risk manager est en charge de la diffusion d’une culture du risque dans l’entreprise (82 %), il prend part aux activités d’appréciation du risque (79 %) c’est-à-dire qu’il assure la mise en place de cartographies et d’outils pour analyser le risque. Il prend également part aux activités de maîtrise des risques (70 %) c’est-à-dire prépare et met en oeuvre les plans d’actions. 32 % des répondants ont également indiqué être en charge du contrôle interne et 18 %, de la conformité.
La palette de risques les plus ciblés s’est cette année enrichie du domaine de la cybersécurité (elle arrive en troisième position des risques traités, contre une sixième place en 2015). On constate également une augmentation de l’intervention des risk managers sur des sujets de conformité (77 %, contre 59 % en 2015) et sur les risques sûreté/sécurité. Des données qui s’expliquent par une pression réglementaire de plus en plus forte tant au niveau européen qu’interne.
C’est sans doute ce même contexte qui explique pourquoi le risk manager considère sa fonction comme étant de plus en plus reconnue au sein de l’entreprise. « Je constate que la tendance actuelle est à une meilleure prise en compte du risk management au sein du processus d’élaboration stratégique » se félicite un sondé. Ce statut ne leur permettrait cependant pas d’obtenir un budget de fonctionnement suffisant. 58 % d’entre eux déclarent disposer d’une enveloppe adéquate, contre 77 % en 2015. Quant à leur salaire, il se stabilise à une moyenne de 107 000 euros brut annuel pour les top managers, auquel s’ajoute un variable.
Le rattachement hiérarchique
Une surprise néanmoins à la lecture de cette étude : la fonction de risk manager est principalement rattachée à la direction générale (44 % cette année, contre 36 % il y a deux ans). Et seulement 11 % des sondés déclarent être rattachés à la direction juridique (ils étaient 17 % en 2015). On note même une diminution drastique du rattachement juridique des risk managers gérant exclusivement les assurances et la prévention (27 % aujourd’hui, contre 40 % en 2015).
Mais comment penser les risques sans « input » du département juridique ? Dès 2010, les directeurs juridiques étaient les premiers à considérer que les questions de conformité et de gestion des risques étaient de leur ressort. Faut-il en conclure que la matière leur a échappé ? « Auparavant la fonction était cantonnée au traitement des questions assurantielles et relevait donc naturellement du juridique, retrace François Malan qui est lui-même un ancien juriste. Elle est désormais devenue transverse car de nombreux risques ne sont pas juridiques : les risques climatiques, opérationnels, d’image, etc. Le rattachement à la direction juridique n’est plus la norme parce que le risque est systémique, transverse et global. L’AMRAE milite d’ailleurs pour un rattachement à la direction générale pour une efficience de vue et de décision, et pour renforcer la légitimité nécessaire à la fonction ». Bien sûr certains secteurs d’activités très réglementées justifient que la mission relève du juridique, comme en matière pharmaceutique par exemple. « Tout dépend de l’histoire et de la nature des risques critiques de l’entreprise », conclut-il.
Élément rassurant : l’étude note tout de même l’augmentation du droit comme formation d’origine des risk managers alors qu’en 2015, le commerce et la gestion étaient les voies privilégiées pour accéder au poste.