Le GDPR concerne désormais aussi le Risk Manager
L'AMRAE vient de publier la cinquième édition du Baromètre du Risk Manager dont le profil change et les attributions s'élargissent. Les cyber-risques s'accroissent évidemment et obligent le DSI, le RSSI et le Risk Manager à une étroite collaboration.
PublicitéAvec un risque financier important associé à une non-conformité, il était attendu que le Risk Manager se saisisse un jour ou l'autre du dossier GDPR. C'est l'une des évolutions constatées dans le métier de gestionnaire de risque dans la cinquième édition du Baromètre du Risk Manager. Réalisée tous les deux ans par l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), cette étude fait le point sur les tendances dans l'évolution de la gestion des risques et des profils des risks managers. La précédente édition datait donc de 2015.
Le Baromètre est issu d'une étude qui a duré quatre mois (avant la crise Wannycry) réalisée en collaboration avec le cabinet PWC. L'édition 2017 a bénéficié de 270 réponses, contre 188 en 2015. La tendance lourde est bien la structuration de la gestion des risques et une plus grande maturité générale. Le rôle de Risk Manager est de moins en moins de réaliser une simple prévention avec quelques assurances mais bien de mener des analyses de risques complètes dans un but de maîtrise. Jadis réservé aux grands comptes, le métier entre de plus en plus dans les entreprises moyennes. L'évolution des contraintes réglementaires (dont le fameux GDPR) oblige de plus en plus d'entreprises à une structuration croissante de la gestion des risques, chaque risque devant être chiffré.
Une nécessaire collaboration transverse
S'il peut exister des gestionnaires de risques dédiés à une fonction (typiquement, les cyber-risques), ceux-ci sont rattachés au métier concerné (en l'occurrence la DSI). Le rôle du Risk Manager de l'entreprise est bien transverse, le cas échéant en s'appuyant sur cette communauté de gestionnaires de risques métiers. Par nature, le Risk Manager doit en effet avoir une vision globale de l'entreprise pour en appréhender tous les risques. Cela implique une collaboration intense avec chaque direction afin d'apporter à chaque fonction une structuration dans son approche des risques. Sur les cyber-risques, la collaboration RSSI/DSI/RM est une nécessité évidente. La place des cyber-risques est d'ailleurs croissante dans les préoccupations du Risk Manager.
Peut-être en lien avec la généralisation de la fonction dans des structures plus petites, de plus en plus de risk managers ont d'autres fonctions. Le taux de RM concernés passe ainsi, entre 2015 et 2017, de 56 % à 62 %. Bien entendu, la première fonction complémentaire est le contrôle interne (32%), suivi par le contrôle de conformité (18%) et l'audit interne (12%) ou le juridique (12%). « Le cumul des fonctions gestion des risques avec le contrôle interne, le contrôle de conformité ou l'audit est logique puisque la cartographie des risques aboutit au plan d'audit » a remarqué Hélène Dubillot, directrice de la coordination scientifique de l'AMRAE en présentant le Baromètre. Le cumul SI/risque est marginal (5%). Par contre, pour des raisons notamment réglementaires (obligation pour les assurances et mutuelles soumises à Solvency II), le RSSI est de plus en plus détaché de la DSI pour être rattaché au RM. Le contrôleur ne peut pas, dans cette idée, être rattaché hiérarchiquement au contrôlé.
PublicitéUne implication dans la stratégie
L'AMRAE constate également que le Risk Manager est de plus en plus impliqué en amont dans la définition de la stratégie d'entreprise, notamment dans les entreprises de tailles intermédiaires. Hélène Dubillot a observé : « l'idée est bien de prendre en compte les risques dans les arbitrages et choix faits comme l'implantation d'une usine, un choix technique, etc. » Bien entendu, dans la ligne du nouveau slogan de l'association « osez les risques avec assurance », il ne s'agit pas d'interdire de prendre des risques, alors que la prise de risques est consubstantielle au concept d'entreprise. Mais il faut assumer ces risques et les maîtriser.
Bien entendu, le Baromètre s'intéresse largement à l'évolution du profil et de la rémunération du Risk Manager. Par exemple, l'AMRAE constate une féminisation croissante du métier (45 % des RM sont aujourd'hui des femmes), en lien avec un grand nombre de départs à la retraite d'hommes. La rémunération est globalement stable (84 k€/an pour les non-Top Managers, 107 k€/an pour les Top Managers) mais 77 % ont une partie de leur rémunération qui est variable. Alors que la proportion de femmes est plus importantes dans les profils non-Top Managers, la différence de rémunération entre les deux sexes n'est plus que de 8 % aujourd'hui contre 15 % en 2015.
Le Baromètre du Risk Manager édition 2017 est téléchargeable librement en PDF sur le site de l'AMRAE.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire