Le risk manager, l'atout stratégique du Comex

Dans un monde interconnecté, les crises s'enchaînent de plus en plus rapidement, et les risques sont interdépendants : risques géopolitiques, inflationnistes, cyber, climatiques, terroristes, sociaux, sanitaires, etc. Les entreprises sont touchées de manière frontale, souvent même dans leur coeur de métier. Elles doivent désormais avoir une vue complète des risques afin d'en gérer les effets de bord et d'anticiper de possibles conséquences " en cascade ".

Face à des risques interdépendants, une stratégie cohérente de résilience opérationnelle

Cette interdépendance des risques est désormais acquise et les entreprises s'engagent dans des stratégies de résilience opérationnelle pour faire face à ces crises successives. Celles-ci ont donné " une chance aux professionnels du Risk management de démontrer leur capacité à se saisir des enjeux et des opportunités ", selon Oliver Wild, Président de l'AMRAE.

L'illustration parfaite étant la récente crise sanitaire qui a fait office d'électrochoc, voire de test grandeur nature pour les entreprises, permettant à certaines de capter avec agilité de nouvelles parts de marché, ou même d'investir de nouveaux marchés, quand d'autres n'ont tout simplement pas résisté.

Dans ce contexte, la fonction de Risk manager évolue naturellement vers un rôle plus stratégique. Alla Valente, analyste senior chez Forrester, estime ainsi qu'en 2023, plus de la moitié des Chief Risk Officers (CRO) rapporteront désormais directement au CEO ⁽¹⁾. En parallèle, une nouvelle manière d'appréhender la gestion des risques se dessine. Il s'agit désormais de passer d'un mode " défensif " (savoir gérer les risques, les crises et y survivre) à une véritable stratégie de résilience opérationnelle permettant d'anticiper une myriade de risques, de détecter de nouvelles menaces ou de savoir " profiter " de ces dernières pour gagner en compétitivité de manière agile.

La cartographie des risques, boîte à outils du Risk manager

Cette omniprésence des risques impose de ne plus gérer chaque risque de manière isolée, mais d'adopter au contraire une approche globale : risques sur les processus, risques opérationnels, risques cyber, risques de réputation, etc. Le Risk manager porte cette capacité à considérer l'entreprise comme un écosystème entier. Il peut identifier les activités clés de l'entreprise et leurs ramifications pour se concentrer sur les fonctionnalités critiques de l'entreprise. Il comprend la manière dont les processus sont architecturés et bâtit une cartographie très fine des connexions entre les différents risques et parties prenantes.

Cet état des lieux en temps réel est indispensable pour pouvoir réagir vite et de manière appropriée. Et les entreprises semblent l'avoir intégré : en 2021 déjà, selon EY, " 69 % d'entre elles envisageaient d'augmenter leurs investissements dans des solutions digitales de gestion des risques dans les douze prochains mois " ^[2].

Transformer l'appétence au risque en opportunité business

En apportant sa vision de la gestion des risques, le Risk manager est désormais partie prenante à la stratégie de l'entreprise. Il apporte au Comex une vue d'ensemble des risques et devient le garant de la résilience opérationnelle de l'entreprise, qui, grâce à lui, n'envisage plus uniquement le risque comme une contrainte, mais aussi comme un levier.

Dans ce contexte, la continuité d'activité " classique " (absorber un choc et revenir à son état initial) n'est plus suffisante. Il s'agit désormais de transformer le risque en opportunité business, voire en avantage compétitif.

Autant de données clés qui peuvent être transmises au comité de direction pour lui permettre de prendre des décisions business en toute conscience. Ainsi, le Risk manager peut conseiller l'entreprise selon son appétence au risque, sur le niveau de risque acceptable en fonction du coeur de métier de l'entreprise et de son organisation. En d'autres termes, une approche de la gestion des risques orientée business, qui conduit de plus en plus le Risk manager au comité de direction des entreprises. Selon Martin Landais de la DG Trésor à la conférence annuelle de l'AMRAE, "Le métier de Risk manager a encore de beaux jours devant lui".

L'auteur :

Cyril Amblard-Ladurantie est responsable marketing des produits GRC (Gouvernance, Risque & Conformité) chez MEGA International avec plus de 15 ans d'expérience dans le domaine.

^{(1) https://www.forrester.com/report/predictions-2023-cybersecurity-risk-and-privacy/RES178192}

^{(2) https://www.ey.com/en_us/risk/how-can-data-and-tech-turn-risk-into-confidence}