L'Amrae (Association pour le management des risques et des assurances de l'entreprise) publie son 15e panorama des SIGR (systèmes d'information de gestion des risques) réalisé avec EY consulting en 2023, doublé d'une enquête auprès des directeurs des risques. Bertrand Rubio, associate partner entreprise risk pour le cabinet de conseil, observe un marché toujours très dynamique. 64% des risk managers interrogés ont déjà mis en place une solution et 70% d'entre eux s'en déclarent satisfaits.
Les éditeurs confirment la tendance puisque selon eux, le nombre d'appels d'offres aurait augmenté de 70% en moyenne. La durée d'implémentation moyenne d'un SIGR serait de 4 mois, pour un coût moyen annuel en SaaS (hors intégration) de 95 k€, selon les éditeurs. Investissement qui correspond peu ou prou au budget d'acquisition et d'implémentation estimé par les risk managers. 42% des répondants évaluent en effet ce dernier à moins de 100 k€ et 44% le situent dans une fourchette allant de 100 à 300 k€.
La cartographie, première attente fonctionnelle
EY constate par ailleurs une propension des entreprises à se tourner vers des outils adaptés à plusieurs services ou métiers dans l'entreprise, et à sortir le SIGR des seules directions des risques. « Ils se tournent vers des sortes d'ERP de la gestion de risque », résume Bertrand Rubio. L'attente fonctionnelle prioritaire reste la cartographie, pilier incontesté de toute stratégie de gestion des risques, devant les plans d'action et l'audit (voir image). L'avantage perçu le plus courant est le partage d'information, devant l'économie de temps passé à consolider les données, et la transversalité entre services, autrement dit la suppression des silos. Les répondants évoquent aussi une plus grande efficacité et de meilleures capacités d'analyse.
Quant aux trois premiers critères de choix d'un outil, il s'agit la couverture fonctionnelle, de la flexibilité de configuration et de la facilité d'utilisation. Les entreprises restent encore prudentes en ce qui concerne l'ouverture de leurs données et analyses à des acteurs extérieurs pour faciliter la gestion du risque. Mais plus d'un tiers se disent prêtes à partager les données avec les courtiers (36%) et les commissaires aux comptes (35%). En revanche, seuls 16% feraient confiance aux assureurs en la matière. Pourtant, l'enquête révèle que le SIGR agit comme un outil important de transformation de la relation entre assureur, courtier et assuré, par le biais de la digitalisation.
De multiples cas d'usage pour l'IA
L'Amrae et EY se sont également attardés sur plusieurs sujets d'actualité. À commencer par l'inévitable rôle joué par la digitalisation, et surtout par l'IA, au sein des métiers du risque. « Les éditeurs et les directions des risques réfléchissent tous aux cas d'usage de l'intelligence artificielle dans leur métier », confirme Bertrand Rubio. Bien sûr, l'automatisation de la collecte de data, l'analyse de risque, le contrôle ou encore la communication en bénéficient directement. Mais le consultant évoque aussi une aide précieuse dans la mesure proprement dite, et surtout dans la détection de risques émergents. « Les méthodes traditionnelles nécessitent des investissements lourds avec des coûts élevés, poursuit Bertrand Rubio. L'IA générative permet d'automatiser rapidement des analyses structurées. »
L'enquête Amrae/EY identifie l'importance de la cartographie dans les SIGR, leur rôle dans le partage d'informations. Les directeurs des risques les choisissent en fonction de leur couverture fonctionnelle et de leur flexibilité. (source : Panorama SIGR 2023 - Amrae/EY)
Certaines organisations ont déjà identifié des cas d'usage, même s'ils restent la plupart du temps encore à l'état de prototype. « Les entreprises qualifient les solutions et testent la pertinence des systèmes », précise Bertrand Rubio. La détection des schémas de fraude se prête ainsi particulièrement à l'utilisation de l'IA, tout comme les analyses de conformité (mise en place d'une surveillance continue d'un certain nombre de règles avec déclenchement d'alerte éventuelle quand la valeur s'écarte trop du seuil requis) ou la veille réglementaire. « Chez EY, par exemple, raconte Bertrand Rubio, nous analysons avec l'IA les textes réglementaires et le différentiel avec l'ancienne réglementation. Et en fonction, nous envoyons des alertes aux risks managers. Manuellement, c'était un travail colossal ! »
Détection de schémas suspicieux et traitement automatisé de commentaires
Parmi les autres cas d'usage courants, l'Amrae et EY ont identifié le monitoring continu (suivi des facteurs de risque en temps réel dans les ERP, par exemple), les analyses qualitatives (synthèse de commentaires, identification de causes profondes récurrentes, etc.) et la prescription de mesures de détection et de correction. « Des bots alimentés par des data financières vont chercher les informations spécifiquement nécessaires et le système établit des corrélations complexes entre elles, ce que les outils classiques ne savent pas faire. La solution détecte ainsi des schémas suspicieux, de blanchiment par exemple, et les signale au superviseur qui peut ainsi s'adapter. »
Autre exemple intéressant, le traitement des dizaines de milliers de lignes de commentaires rédigés en permanence par les risk managers à propos de pièces justificatives, d'analyses de certains risques spécifiques, etc. « Les IA génératives sont particulièrement aptes à les traiter, ce qui fait gagner beaucoup de temps, indique Bertrand Rubio. C'est aussi un moyen de challenger les mesures descriptives et correctives. L'IA peut par exemple proposer de revoir une recommandation d'audit en cohérence avec des pratiques réelles du marché ou une expérience antérieure. Elle joue les copilotes, en quelque sorte. »
Le module ESG attendu avec impatience
Mais il est un sujet sur lequel les SIGR sont particulièrement attendus, et c'est celui des critères ESG (environnementaux, sociaux, de gouvernance). En particulier, avec l'application progressive dès cette année de la directive européenne CSRD, transposée en France en décembre 2023. Comme le rappelle François Beaume, vice-président de l'Amrae et vice-président risques et assurance du distributeur de matériel électrique Sonepar, 50 000 entreprises de plus de 250 salariés et 40 M€ de CA seront concernées. Elles vont devoir produire un reporting public, qui sera audité par un organisme tiers indépendant (OTI). Ce dernier donnera une opinion sur les informations partagées qui couvrent 12 normes génériques concernant l'ESG, avec une forte focalisation sur le climat. « L'impact sur les SIGR est significatif, estime François Beaume, car la CSRD exige beaucoup plus de contenu, avec ses 1100 indicateurs potentiellement applicables. Nous devons les structurer, récupérer les informations pertinentes, et alimenter les audits. »
Qui plus est, comme le précise l'Amrae, les cartographies sont construites la plupart du temps à partir des perceptions d'experts métier, risque, etc. Or, avec les réglementations ESG, à commencer par la CSRD, elles devront intégrer la data correspondant au principe de double matérialité. « Très grossièrement, il s'agit de mesurer non seulement l'impact de l'environnement extérieur sur l'entreprise, mais aussi celui de l'organisation sur l'environnement extérieur », résume François Beaume. Les cartographies devront donc s'interfacer avec les systèmes d'information de l'entreprise, l'ERP, le CRM, etc., afin de récupérer la data nécessaire et de faciliter les tests menés par les organismes certificateurs tiers.
Des outils incontournables pour la CSRD
La donnée ne sera plus statique, mais dynamique, fonction de scénarios conçus par l'entreprise, pour estimer les impacts futurs. Le SIGR va cartographier les risques et identifier, mesurer en temps réel les impacts du changement climatique sur l'organisation, par exemple. « Le SIGR garantit l'efficacité de la mesure du risque, l'intégrité des data, complète François Beaume. De plus en plus de modules suivent même en temps réel les conséquences d'une catastrophe climatique, comme un typhon ou une tornade par exemple. Pour ce faire, on peut injecter les data concernant un site industriel, par exemple, croisées avec des données publiques ou venant des assureurs. »
Si certaines entreprises hésitent encore à adopter un SIGR, l'Amrae estime qu'il leur sera difficile de s'en passer pour se conformer à la directive européenne. D'autant que ces outils démontrent aussi la maturité de l'entreprise en matière de gestion des risques et facilitent la communication entre les organisations, les assureurs et les courtiers.