« Le risque est partout, du changement climatique à la technologie en passant par le risque économique et social » a rappelé Brigitte Bouquot, AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), en ouvrant la présentation du sixième Baromètre du Risk Manager, le 15 octobre 2019. Mais le risque change, tout comme sa prise en compte. Il en résulte que les gestionnaires de risques voient leur métier évoluer. L'IT est toujours un objet de risques mais c'est aussi un outil pour un métier qui se base de plus en plus sur des données et leur exploitation. Et les gestionnaires de risque ont un besoin croissant d'outils pour partager les documents confidentiels et diffuser des alertes.
La sixième édition du Baromètre est publié dix ans après la première, en 2009, à raison d'une publication tous les deux ans. Réalisé par l'AMRAE avec le soutien du cabinet PwC, les éditions successives permettent de constater les évolutions. Au départ, le gestionnaire de risques était surtout en charge des assurances et de la prévention (2/3 des effectifs en 2009). Aujourd'hui, ce profil basique représente encore un tiers de l'effectif, le solde étant constitué par deux autres profils : les réels gestionnaires de risques (un tiers également) et les professionnels mixtes risk managers / assurances et préventions (le dernier tiers). Le métier peut aujourd'hui intégrer des préoccupations sur la continuité d'activité, la conformité réglementaire ou normative, la gestion de crise ou même l'audit et le contrôle internes.
Un métier qui se féminise et se « seniorise »
Ce baromètre est basé sur une enquête réalisée auprès de 350 répondants issus essentiellement de grands comptes et d'ETI. Les PME sont rarement dotées d'un gestionnaire des risques. Depuis 2009, le métier s'est largement féminisé : de 22 %, la population est ainsi constituée aujourd'hui de 43 % de femmes. Si 54 % des gestionnaires de risques ont plus de 46 ans, proportion qui continue de croître, les cadres seniors sont accompagnés de jeunes entrants dans le métier (15 % ont moins de 35 ans). La seniorité des gestionnaires de risques s'explique notamment par le fait qu'ils proviennent souvent d'un autre métier, qu'il s'agit d'une seconde carrière. 73 % sont ainsi devenus gestionnaires de risques suite à une mobilité interne et étaient, selon les cas, ingénieurs, médecins, juristes, commerciaux... Selon l'AMRAE, un tel profil s'explique par un besoin de crédibilité, de réseau interne au sein de l'organisation et d'une bonne connaissance du métier de l'entreprise. Mais cela implique un besoin de formation à la gestion des risques.
Cadres seniors, les gestionnaires de risques bénéficient d'un salaire élevé mais avec une forte discrimination selon le sexe. Ainsi, les cadres dirigeants en charge de la gestion du risque ont un salaire médian de 105 000 euros/an lorsqu'ils sont de sexe masculin et de 89 000 lorsqu'ils sont de sexe féminin (-15%). Les autres gestionnaires de risques ont un salaire médian qui varie, selon le sexe, de 63 000 à 79 000 euros/an (les femmes sont donc payées 20 % de moins que les hommes). Malgré ce salaire élevé, beaucoup des gestionnaires de risques sont solitaires ou avec une équipe de 4 personnes au plus (respectivement 19 % et 55%). Cela s'explique par le fait qu'il a une fonction transverse et est donc un coordinateur sans lien hiérarchique avec de nombreux acteurs dans l'organisation.
Le risque IT pas au cœur de leur travail
Le budget confié au gestionnaire de risque est généralement stable, avec une tendance à la hausse. Il satisfait 58 % des répondants (contre 77 % en 2015). La première mission du risk manager reste de cartographier les risques. Mais, de plus en plus, il doit réaliser des cartographies spécifiques à certains types de risques, au fil d'évolutions des réglementations et des normes : corruption, RSE... Le risque majeur est d'ailleurs le risque de conformité réglementaire (80 % des répondants), devant le cyber-risque (77%) et le risque ressources humaines (55%). L'AMRAE estime que le cyber-risque est indispensable à gérer aujourd'hui. Mais, si 81 % des gestionnaires de risque interviennent sur le sujet, seulement 7 % en sont effectivement responsables. Les DSI et les RSSI restent donc à la fois en charge de la sécurité opérationnelle et de la gestion stratégique des risques.
L'IT est, au-delà d'un objet de risques, un outil quotidien du gestionnaire de risques, même si Excel remplace souvent un véritable SIGR (Système d'Information de Gestion du Risque). La maîtrise de l'information sur le risque et sa diffusion sont en effet au coeur de la fonction du gestionnaire de risques. Cela passe d'une part par les données, d'autre part par les outils décisionnels de visualisation. L'enjeu n'est pas technologique mais de rendre compréhensible l'information. La donnée à traiter peut être d'origine interne (valeurs d'actifs...) mais aussi externe (géolocalisation de risques naturels ou politiques...).
La robotisation aussi en question
L'AMRAE a voulu faire un focus sur l'innovation pour cette édition de son baromètre. Les robots physiques sont des facteurs de risques comme les autres et certains, comme les drones d'inspection, peuvent être des outils. Mais le risk manager, lui, utilise peu de robotisation logicielle (RPA) pour l'aider dans ses tâches, au-delà de tâches accessoires à la production de rapports (même si l'AMRAE estime qu'il s'agit d'une tendance avec une forte croissance).