Archives pour la catégorie GESTION DES RISQUES

GESTION DE CRISES (1). Contextualisation : gestion de crises et démarche de gestion des risques ; un exemple récent de communication de crise « brouillonne »

Un thème pour les quatre semaines à venir : LA GESTION DE CRISES

Un contenu par semaine.

  • Contextualisation : la gestion de crises et la démarche de gestion des risques ; un exemple récent de communication de crise « brouillonne »
  • Des solutions en trois opus : anticipation et gestion de crises. Retour sur l’anticipation et proposition de plans d’actions (1) ; anticipation et gestion de crises. Retour sur l’anticipation et proposition de plan d’actions (2) ; présentation d’un outil, le RETEX.

Contextualisation : la gestion de crises et la démarche de gestion des risques

Pour moi, la gestion de crises est ce qui arrive une fois que le risque s’est réalisé – une fois qu’il est trop tard pour le RM. Un RM me disait : « pour moi il faut faire très attention, la plupart du temps, la gestion de crise, la communication de crise ne fait pas partie des descriptions de postes, c’est un tout autre métier. La gestion de risques est vraiment la préparation de tout avant, mais lors des événements se sont des spécialistes opérationnels qui prennent le relais, et surtout en communication de crise…»

Pour autant, revenir sur la gestion de crises a sa place dans un ouvrage consacré à la Fonction Risk Manager https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html et dans un blog consacré aux risques, à la gestion des risques et à la Fonction Risk Manager tant les sujets sont proches voire reliés : le risque de réputation est devenu le « cauchemar » des organisations ; les médias sont identifiés comme un des amplificateurs de risques – rôle encore amplifié par les réseaux sociaux -.

Risque de Réputation. Définition

Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. »/ouvrage p.35.

Dans le blog, je reviens en :

  • septembre 2020 sur l’identification du risque de réputation à travers les affaires Nike : « Risque de réputation. Définition, illustration à travers les affaires Nike 1990-2000, 2020. » ;
  • janvier 2020 sur son impact : « What Price Reputation ? Impact d’une dégradation de l’image sur la valorisation boursière. »

Risque de Réputation. Les médias comme amplificateur de risque.

Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. »/ouvrage p.58.

Risque de Réputation. Evolutions : e-réputation ; éthique

Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris). Elles doivent soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation/éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN dont je vous propose un résumé dans le blog en décembre 2020.

Des exemples de gestion de crises et communications de crise « ratées ». Dans notre ouvrage, je vous propose les exemples de Total Raffinerie de la Mède, AF-KLM, Lidl, Dove, Lactalis ou encore Nike qui comptent parmi les plus médiatiques.

Je vous propose un article de Valéry Rieß-Marchive qui analyse la communication de crises externe confuse après une cyberattaque du groupe Hopps. Bien qu’en interne, l’information ait été honnête et rapide auprès des employés, la communication externe manquait de clarté et surtout de transparence, ce qui a été souligné par les médias et les réseaux sociaux. Un alignement de la communication entre toutes les parties prenantes est important afin de maintenir la confiance de ces dernières.

Un exemple récent de communication de crise « brouillonne »

Cyberattaque : Colis Privé donne l’exemple d’une communication de crise externe brouillonne

La maison-mère de Colis Privé, le groupe Hopps, a été victime d’une cyberattaque fin avril. Mais il s’est montré incapable d’assurer une communication externe juste. Alors qu’en interne, elle semble l’avoir été.

La communication de crise du groupe Hobbs, dont font partie Dispeo, Colis Privé, ou encore Adrexo, pourrait bien rester dans les annales comme illustration de ce qu’il ne faut pas faire vis-à-vis du public et de ses clients finaux, lorsque l’on est confronté à une cyberattaque.

L’information a commencé à filtrer le 25 avril, par le biais du syndicat C.A.T. d’Adrexo. À cette date, celui-ci évoquait sur son blog un « incident informatique » : « le réseau informatique de l’entreprise connaît des difficultés » ; « une partie des services informatiques sont actuellement à l’arrêt suite à un incident ». Le lendemain, les choses gagnent un peu en clarté : « informatique à l’arrêt ; cyberattaque confirmée », apprend-on… toujours du syndicat C.A.T. d’Adrexo. Ce dernier « félicit[e] la transparence dont l’entreprise a fait preuve dès ce matin, car nous pensons qu’il est prudent d’anticiper toutes les conséquences pratiques dès aujourd’hui ».

En interne, la communication trouve donc un écho positif. Mais à l’extérieur, la situation est toute autre. Sur Twitter, le message officiel est bien différent. Là, le 26 avril au matin, Colis Privé ne parle que d’un « incident technique » à la suite duquel « vous ne pouvez pas vous connecter sur le suivi de votre colis. Veuillez nous excuser de la gêne occasionnée ». Il faudra attendre le 29 avril, vers midi et demi, pour que le message change : « Colis Privé a été victime d’une cyberattaque ».

https://cdn.ttgtmedia.com/rms/LeMagIT/colis-prive-0426_half_column_mobile.png

La communication extérieure officielle est à ce stade formalisée et répétée à l’envie : la cyberattaque « a été très rapidement contenue » ; « nos équipes et des experts externes travaillent ardemment à la résolution de cet incident ». Le lendemain, nos confrères de L’Usine Digitale n’ont rien de plus à se mettre sous la dent. Sur ses pages Facebook et LinkedIn, ou sur l’espace presse du groupe Hopps : rien ; silence complet sur l’incident.

Entre-temps, les critiques fusent depuis le 26 avril contre un Colis Privé muré dans le mutisme. L’annonce de la cyberattaque est même accueillie par certains consommateurs avec un doute non dissimulé. Et ce n’est guère une surprise. Car le groupe Hopps a commencé par chercher à minimiser la gravité de la situation, auprès du public, probablement en s’imaginant rassurer. Mais sans y parvenir. Ce faisant, il a semé le discrédit sur sa communication publique. D’où la défiance à son égard lorsqu’il a enfin reconnu la cyberattaque.

Mais là encore, le groupe s’évertue à minimiser la gravité de la situation, assurant que l’attaque « a été rapidement contenue » et parlant d’un incident « qui a pu occasionner quelques dysfonctionnements ». Pourquoi est-ce que cela ne passe pas ?

Notamment parce que côté syndicat, le message véhiculé le 26 avril ne laissait pas entrevoir un incident « rapidement contenu » : « pour Adrexo, les badgeuses ne fonctionnent pas, mais il en est de même pour l’ensemble des services informatiques sauf les messageries ». Qui plus est, « les routeurs ayant été débranchés dans les agences à la demande des services centraux, le réseau téléphonique filaire est également souvent à l’arrêt. Ceci veut aussi dire que l’entreprise ne peut plus facturer, gérer sa comptabilité ou éditer sa paie à ce jour ». Le 28 avril, le syndicat C.A.T. d’Adrexo expliquait que l’informatique du groupe était encore à l’arrêt et que la paie… serait assurée manuellement.

https://cdn.ttgtmedia.com/rms/LeMagIT/colis-prive-0430_half_column_mobile.png

Ironie de la situation, en interne, selon un e-mail partagé par la CGT, la direction affirmait, le 27 avril, souhaiter « donner un maximum de visibilité quant aux actions en cours ». Le message est d’ailleurs détaillé et plutôt transparent, donnant aux équipes une vraie visibilité sur la feuille de route des équipes impliquées dans la réponse à incident.

Ce courriel est intéressant à un autre titre. Là, pas question de minimiser la gravité de la situation. Même si l’on retrouve la tentation classique de jouer la surenchère quant à la sophistication de l’agresseur : « nous avions jusqu’ici réussi à contrer les attaques dont nous avions pu faire l’objet ; il s’avère que celle que nous venons de subir est l’une des plus virulentes au niveau mondial ».

Le vendredi 30 avril au matin, si les consommateurs affectés n’ont toujours qu’une information en peau de chagrin, en interne, la transparence est encore de mise, avec la perspective d’une « reprise progressive des fonctions principales, essentielles à notre activité, à partir de mardi prochain [4 mai, donc, N.D.L.R.], et ce pour toutes les filiales du groupe ».

Mais attention : « le rétablissement intégral de nos solutions informatiques et la mise en place de nouveaux process organisationnels prendront du temps, et nous savons que les conséquences de cette cyberattaque pourront être longues à être entièrement absorbées ». Ce qui ne va pas sans contraster quelque peu avec le triomphalisme affiché au paragraphe précédent : « à l’échelle de l’attaque que nous avons subie, le délai de résolution de cet incident est un exploit ».

Quiconque a suivi, même de loin, les cyberattaques récentes mesure à quel point l’expérience peut être traumatisante… et qu’il est illusoire d’espérer retrouver des conditions opérationnelles normales en l’espace de seulement quelques jours. Mais à défaut de rassurer, les efforts de minimisation de la sévérité de la situation donnent donc l’image d’une communication externe brouillonne et d’un manque de préparation.

Bien loin, donc, d’une communication de crise comme celle d’un OVHcloud, par exemple, dont le PDG a su se montrer pleinement mobilisé, dans la durée, après l’incendie de l’un de ses centres de calcul. Ce qui apparaît d’autant plus regrettable, pour le groupe Hopps, qu’en interne, la communication apparaît bien plus réussie.

Valéry Rieß-Marchive. Mai 2021

Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

LE RISQUE CLIMATIQUE : IMPACT SUR LES INSTITUTIONS FINANCIERES ET LA GESTION DES RISQUES

Rôle du régulateur : guide relatif aux risques liés au climat et à l’environnement. Gestion des risques : exercice pilote, scénarios, méthodologies.

Dans « La Fonction Risk Manager. Organisation. Méthodes et positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html faire le point sur le rôle du régulateur comme amplificateur du risque (un des facteurs de l’élargissement du domaine du risque devenue variable stratégique dans la réflexion des organisations) et les étapes de la démarche de gestion des risques, les outils et méthodes.

Illustration sur le risque climatique.

LE RISQUE CLIMATIQUE : IMPACT SUR LES INSTITUTIONS FINANCIERES ET LA GESTION DES RISQUES

LES REGULATEURS

La transition énergétique, un sujet concernant l’ensemble des acteurs économiques, est placée au cœur des études de la Banque Centrale Européenne (BCE) en 2020.

L’année 2020 a marqué le début d’un dialogue entre les banques et les régulateurs sur l’intégration des risques climatiques et environnementaux dans les dispositifs de gestion des risques actuels. Etant un sujet majeur pour la BCE, ce nouveau défi a également suscité l’attention des autres autorités de contrôle.

BCE – “Guide relatif aux risques liés au climat et à l’environnement”

Paru en Novembre 2020, ce document vise à établir la vision de la BCE pour la mise en place d’un cadre sain de la gestion des risques liés au climat et à l’environnement. Avec ce texte, la BCE veut engager la conversation banques-régulateurs sur l’incorporation de ces nouveaux risques dans leur cadre de la gestion des risques existants.

Le guide BCE n’est pas juridiquement contraignant pour les établissements mais il permet de se préparer aux évolutions futures de la réglementation. Néanmoins, il est attendu des établissements qu’ils réalisent un premier exercice d’autoévaluation en 2021 par rapport aux attentes de la BCE.

Dans le cadre de ses tests de résistance prudentiels, la BCE prévoit l’intégration d’un volet climatique pour l’exercice 2022.

La BCE distingue 3 catégories de risques climatiques : les risques physiques, les risques de transition issus d’un mouvement vers une économie bas-carbone, et les risques de responsabilité et de réputation.

Treize attentes prudentielles sont détaillées pour la mise en place d’un cadre sain de gestion des risques liés au climat et à l’environnement. Elles vont de l’élaboration de la stratégie de l’établissement à la diffusion des informations relatives à ces nouveaux risques.

Les treize attentes prudentielles de la BCE

  • Les établissements doivent comprendre l’incidence à court, à moyen et à long terme des risques liés au climat et à l’environnement.
  • La définition et la mise en oeuvre de la stratégie opérationnelle doivent intégrer les risques climatiques et environnementaux jugés matériels.
  • Ces risques doivent être pris en compte dans les processus de gouvernance de l’établissement.
  • Le Risk Appetite Framework doit prendre en compte explicitement cette nouvelle catégorie de risque.
  • Les risques liés au climat doivent être intégrés dans la structure organisationnelle de l’établissement selon le modèle trois lignes de défense.
  • La communication interne doit permettre aux instances de direction de l’établissement de prendre les décisions adéquates en matière de risques.
  • Le cadre de gestion des risques doit être actualisé pour intégrer ces risques dans les processus de détection, de quantification et dans l’ICAAP.
  • Prendre en compte ces risques dans les processus d’octroi de crédit.
  • Analyser l’impact des risques climatiques sur la continuité des activités et l’impact de l’activité actuelle de l’établissement sur le risque de réputation et/ou de responsabilité.
  • Suivre les impacts de ces risques sur l’exposition actuelle au risque de marché et mettre en place des tests de résistance.
  • Intégrer ces risques dans l’élaboration de test de résistance, scenarios de référence et scenarios adverses.
  • Suivre les impacts de ces risques sur les flux de trésorerie et le coussin de liquidité et actualiser le cadre de la gestion de la liquidité.
  • Publier les informations utiles et les indicateurs clés (KPI) sur les risques liés au climat et à l’environnement.
20212022
Auto évaluation des établissements sur leur dispositif de gestion des risques climatiques
Communication BCE-Etablissements sur les plans d’actions établis
Mise en place du test de résistance courant 2022 incluant les risques liés au climat et à l’environnement
Mise en place, par la BCE, de mesures de suivi concrètes sur ces nouveaux risques

ACPR (Autorité Prudentielle de Contrôle et de Restitution) – EXERCICE PILOTE CLIMATIQUE 2020

Mené en 2020 par l’APCR, cet exercice a mobilisé 9 banques françaises ainsi que 15 groupes d’assurances sur un exercice de stress test climatique.

L’objectif premier de cet exercice était d’initier une réflexion et sensibiliser l’ensemble des acteurs sur ce nouveau sujet et d’obtenir une plus grande transparence des institutions financières  à ce type de risque.

Cet exercice était l’opportunité pour les participants de renforcer leur dispositif de gouvernance interne en mettant en place de nouvelles stratégies de gestion des risques et de prise de décisions prenant en compte l’impact de ce nouveau type de risque.

Avec ce premier stress test, l’ACPR a voulu mesurer l’impact et le coût induit par le non-respect des accords de Paris et définir les méthodologies de gestion des risques climatiques. Pour cela, elle a fourni aux participants 3 scénarios d’un horizon temporel 2050.

Les résultats de cet exercice ont été remis par les établissements fin 2020. L’ACPR a publié la synthèse et l’analyse de ces résultats en avril 2021. L’ACPR souhaite initier le dialogue entre les régulateurs nationaux et les institutions financières sur le sujet des risques liés au climat et à l’environnement.

En 2022, l’ACPR prévoit la mise en place de nouveaux groupes de travail sur ce sujet. Elle participe aussi à la préparation de l’exercice de test de résistance de la BCE. Le prochain exercice climatique ACPR devrait se tenir en 2023/2024 avec l’intention de le reconduire fréquemment.

SCENARIOS UTILISES PAR L’ACPR

Référence : un scenario de référence basé sur la stratégie nationale française SNBC (Stratégie Nationale Bas Carbone) qui constitue la feuille de route pour atteindre le zéro émission nette en 2050. Le scenario prend en compte les orientations de la LTECV (Loi de Transition Energétique pour la Croissance Verte) telles que la réduction des émissions de gaz à effet de serre (GES) et les budgets carbones.

Transition retardée : Le scénario de réaction tardive suppose que les objectifs de réduction des gaz à effet de serre ne soient pas atteints en 2030. Ceci entraine la prise de mesures plus volontaristes en reproduisant les trajectoires d’émissions de GES, de PIB, et de prix carbone du scenario de transition désordonnée du NGFS (Network for Greening the Financial System).

Transition rapide : Le scenario de transition rapide et brutale est l’issue d’une révision du prix carbone et d’une baisse de la productivité à partir de 2025. Les technologies de production d’énergies renouvelables sont supposées non matures, ce qui entraine une augmentation des prix de l’énergie et une redirection des investissements publics et privés vers la production d’énergie. Ceci se traduit par une baisse de la productivité de l’économie dans son ensemble.

LES RESULTATS DE L’EXERCICE

L’exercice pilote est une première en matière de test de résistance climatique. Une mobilisation importante des acteurs financiers a été observée avec 85% du total du bilan bancaire (BPCE, SG, BNP, CA, …)  et 75% du total du bilan des assurances (AXA, Allianz, CAA, MAAF, MACIF, …).

Du point de vue des expositions, les résultats révèlent une exposition modérée des institutions financières face aux risques climatiques et environnementaux.  L’impact de ces risques se concentre sur 7 secteurs tels que la culture et productions animales, l’industrie extractive, l’industrie chimique, … En 2020, les banques sont en meilleure position que les assurances sur le plan de l’exposition aux risques climatiques. Les banques ayant participé à l’exercice ACPR ont un portefeuille de crédit moyen exposé à 9,7% sur les secteurs ci-dessus, tandis que les assurances ont un portefeuille moyen exposé à 17%. Ces expositions, relativement faibles, restent néanmoins un point d’effort pour l’ensemble des institutions financières afin d’être en cohérence avec les ambitions françaises en ce qui concerne la transition énergétique.

Les scénarios et les méthodologies définis lors de cet exercice vont être utilisés, par les ACNs et par la BCE, comme socle pour leurs exercices de stress tests à venir. Il est cependant important de noter que les scenarios définis par l’ACPR ne prennent pas en compte l’éventualité d’une récession entre 2020 et 2050 ce qui est inhabituel dans le cadre d’un exercice de stress test. Il paraitrait plus prudent, pour les institutions financières, d’utiliser des scénarios internes pour mesurer leurs expositions aux risques climatiques en combinant les scenarios ACPR et les éventuelles crises économiques pouvant survenir.

L’exercice révèle certains retards, notamment sur la capacité des banques à simuler leurs impacts physiques sur les portefeuilles crédits. En effet, les données nécessaires pour parvenir à estimer les impacts des risques physiques sont encore trop peu accessibles au niveau consolidé. Ces nouveaux besoins de données devraient donc être pris en compte par les institutions financières dans leurs futurs chantiers SI.

Enfin les limites méthodologiques de l’exercice devraient s’améliorer par la mise en place de nouveaux travaux par les différents régulateurs, notamment sur les hypothèses et scénarios, la prise en compte du risque physique sur les expositions corporate et les sources de données.

BCBS – CLIMATE RELATED FINANCIAL RISKS

En Avril 2021, la BIS a publié deux rapports sur les méthodologies à appliquer pour les risques liés à l’environnement et au climat.

Un cadre de gestion des risques sain doit :

Identifier les facteurs de risques climatiques

Cartographier et quantifier les expositions aux risques climatiques et les concentrations

Traduire ces risques en indicateurs financiers

Les risques liés au climat et à l’environnement imposent un nouveau besoin pour les banques : un nouveau type de données uniques par rapport aux bases disponibles à l’heure actuelle.

En effet, pour les problématiques telles que « les expositions aux risques de transition par une contrepartie », la localisation du siège social ne sera plus la seule donnée nécessaire. Le risque de transition peut nécessiter la connaissance de la localisation de l’ensemble de la chaine de valeur du client mais aussi, la localisation de ses fournisseurs, du mode et des routes de transport utilisés afin d’avoir une vision claire sur l’exposition du client à ce type de risque.

Ce document a pour objectif de présenter les méthodologies à l’étude pour l’application future des quantifications de ce nouveau risque.

La réflexion de la BIS se poursuivra sur les prochaines années, notamment en ce qui concerne les méthodologies de modélisation et de mesures des risques climatiques.

Pour 2021-2022 la BIS annonce sa volonté de poursuivre l’étude des risques climatiques sur 3 axes : régulation, supervision et communication.

By Omote | Juin 15, 2021 

LA NECESSAIRE GESTION DU RISQUE CLIMATIQUE

Un article sur la nécessaire gestion du risque climatique et ses interactions avec la RSE. Retour sur le Forum pour l’Investissement Responsable (FIR).

L’engagement ESG du CAC 40 déçoit les investisseurs

Si la prise de conscience est réelle sur le climat et l’égalité femmes-hommes, les mesures concrètes restent insuffisantes, selon le FIR.

Déception. Le CAC 40 a encore bien des efforts à faire en matière d’ESG (environnement, social et gouvernance), selon le Forum pour l’investissement responsable (FIR). Il a lancé pour la première fois l’an dernier, une campagne de 12 questions écrites sur des sujets ESG à l’occasion des assemblées générales du CAC 40. A chaque réponse, le FIR a attribué une note allant de zéro à trois étoiles. Moins d’un tiers des réponses ont obtenu une note d’au moins deux étoiles. «Beaucoup de réponses sont décevantes, peu élaborées et n’ont pas été à la hauteur de nos attentes», regrette Alexis Masse, président du FIR, rappelant que le dialogue entreprises investisseurs est «fondamental».

Point positif, toutes les sociétés de l’indice ont répondu, mais celles de droit étranger ressortent en queue de classement (Airbus, ArcelorMittal) avec EssilorLuxottica, tandis que Schneider Electric arrive en tête, suivi par Orange, BNP Paribas, Crédit Agricole et Michelin.

Sur les sujets climatiques«une prise de conscience a eu lieu», reconnaît Alexis Masse. Toutefois, les sociétés peinent à expliquer l’alignement de leur plan d’affaires sur le scénario climatique, en proposant un plan de transformation et des jalons. Seules cinq sociétés communiquent un montant d’investissement.

En matière d’égalité femmes-hommes, les plans d’actions ne semblent pas très clairs pour la moitié du CAC 40. Seules cinq sociétés ont intégré ce critère dans la rémunération variable de leurs dirigeants.

Alors que l’offre de fonds responsables est particulièrement riche en France, le FIR ne comprend pas qu’ils ne soient pas proposés pour l’épargne salariale.

Trois sujets restent encore embryonnaires. En matière de biodiversité, «aucune entreprise n’a une prise en compte directe et indirecte, assez robuste, avec un plan et des actions concrètes», constate Caroline Le Meaux, présidente de la commission Dialogue & Engagement du FIR. Or, les investisseurs sont très demandeurs. Les sujets du salaire «décent» et de la responsabilité fiscale des entreprises, avec un mode de redistribution par l’impôt le plus efficient possible, sont encore peu étudiés.

Quant à la publication de l’avis des partenaires sociaux sur la déclaration de performance extra-financière, non obligatoire, personne ne le fait et l’immense majorité élude la question.

Le FIR vient de lancer la campagne 2021, avec les mêmes points – pour mesurer l’évolution – en ajoutant deux questions sur le lobbying responsable et sur l’économie circulaire.

Bruno de Roulhac  30/04/2021 

L’AGEFI Quotidien

RIsque et opportunité. Une autre approche

Risque et Danger

« La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Quand Beck (2001) affirme que notre monde est le premier à être confronté au risque suprême de la destruction de la vie sur la terre, de la fin de l’Humanité, Méric et al. (2009) rappellent que les Aztèques redoutaient le retour du Néant provoqué par l’arrêt de la course du soleil et ainsi l’ancrage du risque dans l’histoire de l’Humanité. Dans cet ouvrage, les auteurs rappellent que le mot français daterait du XVIe siècle et que son étymologie serait liée à l’activité commerciale maritime (le risque que court une marchandise), avec comme postulat implicite, les conséquences néfastes de l’occurrence du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire…Au début des années quatre-vingt-dix, la notion de risque reste floue : risque et danger. » p.18. La Fonction Risk Manager. Organisation, Méthodes et Positionnement. Aubry C., Dufour N.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Risque et Opportunité

« La notion de risque n’est pas nouvelle dans les entreprises (Knight, 1921). Il est présent dans toute action, fait partie de l’univers des entrepreneurs (Schumpeter, 1926) ; il est inhérent à toute décision : « Décider, c’est choisir, en univers incertain notamment, c’est prendre un risque en espérant que le choix s’avérera a posteriori judicieux. » (Persais, 2003). Le risque est ainsi à rapprocher de l’action. La prise de risque est en soi la conséquence de la prise de décision dans un but précis : « L’évènement non encore survenu qui motive l’action. » (Beck, 1986). Ce but précis, c’est dans le contexte de l’entreprise la recherche de relais de croissance, de rentabilité supérieure, de développement de l’organisation. p.18. La Fonction Risk Manager. Organisation, Méthodes et Positionnement. Aubry C., Dufour N.

Le risque peut (doit) être appréhendé comme une opportunité et la gestion des risques comme une  démarche positive : reconnaître la valeur de la prise de risque et des coûts d’opportunité. C’est bien de prendre des risques. Il faut prendre des risques. A condition « seulement » de savoir « où l’on met les pieds ». Apprendre de ses échecs mais aussi ses succès : apprentissage, REX, diffusion des Bonnes Pratiques…Il s’agit des dispositifs de l’approche socio-cognitive de la gestion des risques qui m’est chère. Vous pouvez la retrouver via des articles publiés sur le blog (Catégorie Gestion des Risques. Rubrique Démarche socio-cognitive.) ou dans l’ouvrage ci-dessus comme fil conducteur de la présentation de la Fonction Risk Manager (sortir de l’approche contrôle / « riskmanagement intelligent » prôné par Power pour gagner en légitimité).  

Je vous propose deux articles qui associent risque et opportunité.

Pour passer du risque à l’opportunité :
« Les achats responsables au cœur des nouveaux enjeux de RSE »
« Kenya : une startup transforme le fléau des criquets pèlerins en bénédiction pour les agriculteurs »


Les achats responsables au cœur des nouveaux enjeux de RSE 

En ces temps troublés, plus que jamais, les entreprises vont être scrutées. A elles de se montrer irréprochables.

Jusqu’à récemment encore, l’attente des citoyens en matière de changement, qu’il soit social, sociétal, ou environnemental, était essentiellement tournée vers l’Etat. Comme différents indicateurs ont pu le souligner, a fortiori depuis la crise financière de 2009 et devant la résurgence des catastrophes climatiques ces dernières années, un changement de paradigme est néanmoins à l’œuvre, et il s’est renforcé avec la crise sanitaire : les citoyens éclairés ont pris conscience que le changement ne pourrait se faire qu’à travers eux et comptent sur les entreprises pour en être les relais collectifs visibles. En jeu, la possibilité de consommer mieux, en respectant le monde qui les entoure. En conséquence, les entreprises doivent opérer un changement de cap aussi nécessaire qu’attendu, entraînant dans leur sillage tout un écosystème économique.

L’émergence du « nouveau consommateur »

Ce qu’il est intéressant de voir pour bien comprendre la mécanique à l’œuvre, c’est que ces citoyens sont à la fois des salariés (ou futurs salariés d’organisation) et les clients finaux qui feront l’acquisition d’un bien ou d’un service auprès d’une entreprise. Cette position de consommateurs-acteurs leur confère un rôle de moteur du changement, à l’heure où l’on se dit que la demande peut conditionner l’offre. Une grande enseigne de distribution en a d’ailleurs récemment fait son slogan (« Place au nouveau consommateur »), ancrant ainsi une nouvelle réalité : les citoyens se placent désormais en acheteurs responsables, et imposent aux entreprises d’être alignées sur ces valeurs et d’être dans une nouvelle dynamique de responsabilité.

Car si les questions de RSE sont déjà largement intégrées dans les plus grandes entreprises françaises, il apparaît clairement qu’en plus d’être sociale, cette responsabilité doit être sociétale et environnementale, et s’étendre à toutes les organisations. Les salariés expriment d’ailleurs des attentes fortes, en ce sens, envers leur employeur et attendent de la part des entreprises, notamment les plus grandes, des efforts honnêtes et plus conséquents encore.

Alors que les figures d’autorité sont largement remises en cause et que la confiance déjà restreinte dans les pouvoirs publics continue de s’étioler, le niveau de confiance des salariés dans leur employeur résiste. Selon l’édition 2021 du Trust Barometer d’Elan Edelman, l’employeur serait même « le dernier bastion de la confiance » : 70% des répondants déclarent, en effet, avoir confiance en leur employeur contre 50% seulement lorsque l’on évoque le gouvernement ; 67% pensent, par ailleurs, que les P-DG devraient intervenir lorsque le gouvernement ne résout pas des problèmes de société et 66% souhaitent que les dirigeants jouent un rôle de premier plan dans les changements à opérer, plutôt que ce soit le gouvernement qui les leur impose. Voilà qui en dit long sur la vision qu’ont ces « nouveaux consommateurs » de leur rôle de contre-pouvoir par le biais de l’entreprise, à une époque où les initiatives citoyennes se multiplient, sans trouver d’écho réellement favorable auprès des pouvoirs publics.

De la poussée citoyenne au changement des modes de production

Toujours selon le Trust Barometer 2021, 73% des sondés se disent inquiets (ou très inquiets) en ce qui concerne le changement climatique. La prise de conscience d’une Terre aux ressources précieuses et limitées est globale, et les attentes en matière de changement doivent se traduire au sein des entreprises, dont la survie, à terme, dépendra de leur engagement en matière de développement durable notamment. Le changement de modes de consommation, pour ceux qui le peuvent, est en marche. L’heure est à la limitation de l’impact environnemental au niveau individuel et collectif (consommation locale/de saison, circuits courts, agriculture bio, traçabilité des matières et matériaux, énergie verte, possibilité de réparer plutôt que de jeter…). En miroir, l’offre s’ajuste progressivement. Les exemples dans l’agroalimentaire (origine France, zéro pesticides, issu de coopératives…), l’énergie (énergies vertes et/ou renouvelables, recyclage…), l’immobilier (rénovation énergétique, constructions écoresponsables) ou l’automobile (véhicule hybrides et électriques) ne manquent pas, tandis que la crise a fait émerger, pour d’autres raisons, l’importance de relocaliser certaines productions. Chacun s’accorde pour un retour progressif à une logistique de proximité, moins polluante, moins invasive et bénéfique à chacun. De la même manière, le nouveau consommateur inclut dans sa réflexion la mesure de l’impact social de ses achats, en portant une attention croissante au respect des conditions de travail et aux droits individuels des salariés participant à la conception des biens et des services dont il fait l’acquisition. Le récent plan de relance du gouvernement qui est une feuille de route pour la refondation économique, sociale et écologique du pays va également dans ce sens. A travers le label France Relance, le gouvernement soutient les entreprises optant pour des investissements plus « verts » et globalement plus responsables socialement avec un objectif annoncé : bâtir la France de 2030.

Des enjeux écologiques qui sont des enjeux économiques pour les entreprises

La performance d’une entreprise repose sur sa capacité à générer du chiffre d’affaires et des bénéfices (c’est-à-dire, à vendre ce qu’elle produit) pour investir, en vue de rester compétitive et de poursuivre son développement. Lorsque les attentes des consommateurs évoluent de manière aussi fondamentale que ce que l’on observe actuellement et que la notion d’entreprise engagée (et par extension de fournisseurs engagés, de supply chain responsable…) devient un facteur de décision dans le processus d’achat, l’entreprise se doit d’adapter rapidement son modèle ou sa production pour rester attractive et performante. Les enjeux écologiques et sociaux pour le citoyen sont des enjeux économiques pour l’entreprise. Il s’agit par conséquent pour les organisations de répondre aux nouvelles exigences des consommateurs responsables, en se positionnant à leur tour comme des acteurs du changement. Comment ? En développant des politiques RSE fortes et cohérentes. En s’appliquant aussi à entraîner dans leur sillage celles et ceux qui composent leur écosystème direct : clients, fournisseurs et partenaires, collaborateurs et futurs collaborateurs, pouvoirs publics dans certains cas. Tout cela doit participer à établir un cercle vertueux, dont la circonférence ne cesse de croître à mesure qu’il se nourrit de l’engagement des différents acteurs aux rangs 1, 2, 3…

A titre d’exemple, l’une de mes collaboratrices me relatait récemment une expérience d’achat qui résume bien cette tendance : ce que sont les achats responsables et comment ceux-ci peuvent se décliner. Elle venait de faire l’acquisition d’un vêtement technique de montagne, et la lecture des « 10 engagements » de la marque illustrait tout à fait les différentes dimensions de ce qu’est et doit être la responsabilité d’une entreprise de l’industrie textile aujourd’hui. On pouvait lire notamment : développer des produits durables, aller vers de l’éco-conception, privilégier le recours à des matières certifiées et garantir le sourcing des achats. Garantir le sourcing des achats, c’est travailler avec des fournisseurs et des prestataires engagés sur le plan social (pas de travail forcé, dissimulé ou travail des enfants, lutte contre les discriminations) comme environnemental (provenance, mode d’extraction des matières premières ou de transformation, audit d’impacts, valorisation de la production et des achats en circuits courts et continentaux versus internationaux, valorisation des produits usagés…), dans le respect des intérêts de tous et non d’intérêts propres (lutte contre la corruption). Tous ces engagements suivent précisément la charte Global Compact des Nations-Unies, qui peut servir de cadre aux entreprises pour consolider leurs engagements, notamment en matière de politique d’achats responsables.

Le mouvement est initié, la route reste à parcourir

Aujourd’hui, les politiques d’achats responsables ne sont pourtant une réalité que dans 60% des entreprises en France, selon l’Observatoire de la fonction achats 2030 de Michael Page/CNA (dont les résultats seront publiés début mai). L’une des raisons à cela est que l’on associe encore trop souvent « politique d’achats responsables » et entreprises industrielles ou multinationales. Or, ces politiques doivent aussi se diffuser largement auprès et au sein des entreprises de taille moyenne et des entreprises de services, qui sont au cœur des écosystèmes économiques. Des labels comme Ecovadis, auquel les entreprises se montrent de plus en plus attentives, viennent récompenser les organisations qui s’impliquent sur ce plan et peuvent, là encore venir, accompagner la mise en place des actions.

La crise actuelle est l’opportunité d’opérer un changement à la fois profond et durable, répondant aux nouvelles attentes des citoyens en matière de responsabilité sociale et environnementaleLa mise en place d’une politique d’achats responsables, quelle qu’en soit la dimension initiale, doit devenir pour tous une conviction. Parce qu’il s’agit déjà d’un facteur de décision d’achat pour de nombreux consommateurs, et parce qu’il s’agira de plus en plus d’un facteur d’attractivité et de décision bilatérale pour l’ensemble des partenaires engagés dans une relation commerciale (entreprises, fournisseurs, prestataires, …) et pour les ressources humaines d’une entreprise (salariés et futurs collaborateurs). Les entreprises peuvent, si ce n’est changer le monde, apporter une pierre significative à l’édifice.

Kenya: une startup transforme le fléau des criquets pèlerins en bénédiction pour les agriculteurs

The Bug Project propose aux paysans kenyans de ramasser les criquets dans les champs contre paiement, et transforme les insectes soit en engrais, soit en aliment pour bétail. © The Bug Project

Transformer un fléau en bénédiction, c’est l’objectif que s’est fixé une petite société kényane. The Bug Project ramasse dans les champs les criquets pèlerins qui ont envahi tous l’est de l’Afrique, et notamment le Kenya, pour en faire soit du compost, soit de l’alimentation pour bétail. Une solution qui permet aux villageois kenyans de surmonter les pertes engendrées par les invasions de criquets.

Depuis près d’un an et demi, le Kenya affronte les pires invasions de criquets pèlerins de son histoire. Les insectes réduisent à néant les cultures et dévastent les campagnes. Face à la détresse des paysans kényans, Laura Stanford, une Sud-Africaine de 33 ans, installée à Nairobi a décidé d’agir. « En réalité, s’il n’y avait pas eu le Covid-19, l’invasion de criquets pèlerins dans la Corne de l’Afrique aurait été la plus grande crise humanitaire de l’année dernière », dit-elle.

À la tête d’une petite entreprise d’élevage d’insectes destinés à l’alimentation animale, The Bug Project, elle entame donc dans plusieurs comtés ruraux des campagnes de ramassage de criquets. En collaboration avec la FAO, l’agence des Nations unies pour l’agriculture qui a entrepris depuis un an des opérations de pulvérisation d’insecticide.  

Mobiliser les habitants

« Tôt le matin, nous appelons la FAO, pour savoir où sont les essaims d’insectes et s’ils seront pulvérisés ou non. Si ce n’est pas le cas, nos équipes mobiles vont dans les villages, pour mobiliser les habitants et leur expliquer comment ramasser les criquets et les mettre dans des sacs que nous distribuons. Et nous payons les communautés par kilos de criquets ramassés. Nous payons immédiatement par MPESA, une application de mobile money », explique Laura Stanford.

Les villageois récupèrent 15 shillings, soit environ dix centimes d’euro par kilo d’insectes. Quant aux criquets, ils seront transformés en engrais s’ils proviennent d’essaims traités à l’insecticide, ou en nourriture pour animaux dans le cas contraire. 

Étendre le projet à l’ensemble du Kenya et au-delà

Antoine Hubert, ancien ingénieur d’Agro Paris Tech, une école d’agronomie, dirige aujourd’hui Ynsect, autrement dit la plus grande entreprise d’aliments pour bétail fabriqués à base d’insectes, en Europe. Pour lui, l’initiative de Laura Stanford fait sens dans un monde où les ressources ont tendance à s’épuiser.

« Cela fait partie de la solution, en effet. Et quand on voit ces invasions de criquets pèlerins, autant effectivement essayer de les collecter et de les transformer en aliments, d’autant que ce sont de très bonnes sources de protéines, très équilibrées. Il y a ces initiatives-là, et il y en a beaucoup d’autres. Il y a des projets au Cameroun ou au Burkina Faso où des vers de palme qui en passant d’un stade de collecte à un stade d’élevage, permettent de produire plus et de manière moins saisonnière. Ce qui crée de nouvelles filières, des revenus et des emplois », soutient Antoine Hubert.

Laura Stanford permet aux paysans collecteurs de criquets de gagner un peu d’argent en attendant des jours meilleurs. Elle leur redistribue aussi une partie du compost fabriqué avec les insectes afin de fertiliser leurs champs. Dépendante pour l’heure des fonds de la coopération danoise, elle aimerait étendre son projet à l’ensemble du Kenya ainsi qu’aux pays voisins, eux aussi touchés par les invasions de criquets pèlerins.  

Olivier Rogez

ASSURANCES&RISQUES. Quelles solutions pour faire face aux tensions du marché ? La gestion des risques transversale et le Risk Manager sont au premier plan.

Nous proposons depuis mardi dernier (16 mars) des pistes de solutions. Pour compléter la lecture des deux articles, je vous propose d’écouter en suivant le lien ci-dessous la table ronde de l’AMRAE intitulée  « Quels financements des risques par le marché de l’assurance, intégrant le risk management ? » Avec Cécile DESJARDINS, Frédéric DHERS (SCOR), Stéphane YVON (EDF), Etienne CHARPENTIER (SIACI), François BEAUME (AMRAE, Sonepar)

Cette table ronde, à vocation pédagogique, rappelle les différentes techniques de financement des risques par le marché.

  • Comment intégrer le Risk Management au plan de financement des risques ?
  • Comment utiliser le marché de l’assurance pour couvrir une partie des risques ?
  • Comment effectuer ce partage des risques entre l’entreprise et l’assureur : entre sinistres de fréquence et sinistres CAT, quel est le bon niveau de financement du risque à transférer aux assureurs, dans une logique de résilience individuelle et de maitrise des primes ?
  • Quelle intervention de l’assurance pour les grands groupes ?
  • Le dispositif de la captive permet-il d’optimiser les négociations des programmes ?

Les intervenants terminent en mettant au premier plan :

  • La démarche de gestion des risques transversale qui est la meilleure solution ;
  • Le Risk Manager qui en est l’acteur principal : « un RM très bien connecté dans les entreprises » ; celui qui a la « meilleure connaissance des risques » ; « qui a un réseau maillé dans l’entreprise. »

Lien vers la conférence : https://youtu.be/2ai4FtbFgXk

C’est ce que nous développons également dans notre ouvrage.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

ASSURANCES & RISQUES. QUELLES SOLUTIONS ? CAPTIVES. MEILLEURE COMPREHENSION DES RISQUES. DIALOGUE DU RISK MANAGER ET AUTRES PARTIES PRENANTES AVEC LES ASSUREURS

Mardi dernier (9 mars) , nous avons analysé le marché de l’assurance et illustrer ses tensions à travers l’exemple du Cyberrisque. Je vous propose aujourd’hui des pistes de solutions : quelles solutions pour faire face à cette situation ? Retour sur ce qu’est une captive.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelle stratégie en termes d’assurance en cette période de crise ?

Le sujet de l’assurance est douloureux au sein de nombre d’entreprises qui ont vu leurs assureurs à la fois augmenter les prix et réduire les couvertures. Face à cette situation, faut-il revoir sa stratégie d’assurance ? Ce sujet fut débattu lors des Rencontres du risk management de l’AMRAE

La hausse des prix de l’assurance pour les entreprises a fait les grands titres des journaux fin 2020. A l’occasion de ses Rencontres du risk management qui ont eu lieu début février 2021, l’AMRAE s’est emparé de ce sujet en y consacrant une table-ronde : « Quels financements des risques par le marché de l’assurance, intégrant le risk management ? »

Le constat des participants à ce débat fut sans appel : « Cela dépend des lignes mais la hausse atteint parfois 30/50%, parfois même plus, pour des niveaux de garantie équivalents. Et nous n’avons pas tout vu à mon avis étant donné que tous les programmes n’ont pas encore été renouvelés », a rapporté Stéphane Yvon, directeur de la politique assurances du groupe EDF.

80% des risques non assurés

Frédéric Dhers, CEO de SCOR Europe, a justifié ces augmentations par un phénomène de crises multiples. « Nous vivons non pas une crise mais des crises. La crise sanitaire, inédite, qui se chiffre pour l’instant à 70 milliards de dollars de sinistre en termes d’assurance. Une crise économique, qui a conduit à une contraction de plus de 8% du PIB en France alors que la baisse était d’à peine 3% en 2009. Une crise climatique, aussi, avec des catastrophes naturelles qui impactent les assureurs », a-t-il énuméré.

Quelles qu’en soient les raisons, que doivent faire les entreprises face à une telle hausse des prix mais également à une réduction des couvertures ou encore à l’ajout de certaines exclusion ?

Pour François Beaume, vice-président risques et assurances de Sonepar et vice-président de l’AMRAE, il est évident qu’une bonne partie du financement des risques va rester en interne. « 80% des risques ne sont pas assurés ou pas assurables. Et sur les 20% restant, il y a un effet de contraction car les assureurs baissent les limites et, qu’en plus, ces limites-là vont coûter plus cher ».

De plus, comme l’a rappelé Stéphane Yvon, avec la crise, les entreprises sont en train de revoir leurs dépenses.

La solution de la captive d’assurance

La solution serait de ne plus assurer les risques ? Pour contourner le problème, la plupart des grandes entreprises du CAC 40 et du SBF 120 ont opté pour une captive d’assurance. Il s’agit d’une filiale créée par l’entreprise qui va jouer le rôle d’un assureur ou d’un réassureur mais uniquement pour les risques du groupe auquel elle appartient.

Si le dispositif peut être intéressant, il intéresse cependant surtout les grands groupes. « Les captives concernent plutôt les grandes entreprises, qui réalisent plus d’1,5 milliard d’euros de chiffre d’affaire. De manière générale, en-dessous d’un million d’euros de prime, il est difficile d’avoir un outil pérenne en mesure de payer les sinistres », a expliqué Étienne Charpentier, directeur solutions et transferts alternatifs chez Siaci Saint-Honoré.

Les entreprises de plus petite taille, les grosses ETI qui ont un bon niveau de primes à gérer, peuvent quant à elles se tourner vers la captive à compartiments, c’est-à-dire la location d’un compartiment captif dans une structure existante. Il faut pour cela trouver un bon courtier qui sait gérer ces dispositifs auprès de sociétés généralement situées à Malte.

Comprendre les risques

Pour les plus petites structures, le plus simple est peut-être, comme l’a proposé François Beaume, de se doter d' »un système de provisions qui permet de préparer le futur dans les comptes d’aujourd’hui ». L’objectif est de se doter d’un matelas qui permettra d’amortir l’impact financier d’un événement qui surviendra plus tard.

François Beaume a surtout insisté sur la nécessité d’investir dans des actions de prévention qui permettent de limiter la fréquence et l’impact des risques. « La première chose est de comprendre les risques de l’entreprise, de les identifier, d’évaluer les mécanismes de survenance. Cela permet ensuite d’agir par différents moyens de prévention« , a-t-il décrit, insistant sur le fait que c’est le socle fondamental avant de penser aux financements des risques.

Dialogues avec les assureurs

Il a également conseillé de formaliser clairement l’appétit au risque de l’entreprise, ce qui permettra de guider la stratégie en la matière. « En fonction de l’appétit au risque, la politique de souscription est très différente », a approuvé Étienne Charpentier.

Enfin, tous les intervenants de cette table-ronde ont insisté sur le nécessaire dialogue avec les assureurs, surtout en cette période. « Nous multiplions les réunions pour expliquer aux assureurs la réalité de l’entreprise, les risques auxquels nous sommes exposés, les choix que nous avons opérés pour améliorer la situation, les problématiques qui restent…« , a raconté François Beaume.

Stéphane Yvon a poussé à embarquer lors de ces discussions d’autres parties prenantes de l’entreprise, comme les personnes en charge de la cyber-sécurité ou celles du juridique. Le risk management est en effet un travail d’équipe, ne serait-ce que pour avoir une bonne connaissance du risque.

Eve Mennesson. 3 mars 2021 

L’assurance captive considérée comme un remède Covid et à la hausse des primes

Alors que les combats éclatent au sujet des paiements en cas de pandémie, de nombreuses entreprises regardent au-delà de la couverture traditionnelle

Partout dans le monde, les tribunaux se demandent si les polices d’assurance contre les pertes d’exploitation détenues par des millions d’entreprises couvrent une pandémie.

La hausse des primes d’assurance coûte aux entreprises des millions de dollars qu’elles peuvent difficilement se permettre alors qu’elles naviguent dans la pandémie de coronavirus. De nombreuses entreprises réagissent en essayant de gérer elles-mêmes les risques.

La montée en flèche de la demande d’assurance dite captive et le montant croissant des capitaux consacrés à l’atténuation des risques ont surpris de nombreux acteurs du secteur, y compris des courtiers qui vendent l’idée de créer un assureur captif.

Une captive est détenue et contrôlée par l’entreprise qui l’établit, qui peut être un restaurant, un fabricant de médicaments ou un détaillant. Il rédige une couverture pour ses propriétaires et paie les réclamations lorsque l’entreprise rencontre des problèmes inattendus. Avant même l’apparition du coronavirus, certaines entreprises américaines avaient veillé à ce que leurs captifs rédigent des polices couvrant une pandémie potentielle, leur permettant d’éviter les différends avec les assureurs traditionnels. Certains assureurs traditionnels ont en grande partie refusé de payer les demandes d’indemnisation pour interruption d’activité présentées par des entreprises touchées par des fermetures.

Créer sa propre compagnie d’assurance peut être une stratégie risquée. Un assureur captif dépourvu de capital suffisant – particulièrement au début de son existence – peut devenir insolvable s’il est confronté à des sinistres importants, laissant la société mère exposée en cas de besoin. Les captives doivent également prendre des décisions en matière de souscription et de réclamation sans lien de dépendance avec leurs propriétaires. Ne pas le faire risque de tomber à l’encontre des régulateurs dans certains pays.

Mais si une entreprise ne trouve pas de couverture adaptée sur le marché libre, la création d’une captive peut être une alternative. Se passer d’une assurance n’est peut-être pas une option – pour des raisons réglementaires, une entreprise peut avoir besoin de prouver qu’elle dispose d’une police d’assurance.

Le courtier d’assurance basé aux États-Unis, Marsh, a déclaré qu’au moins 25 des captifs qu’il gère dans le monde ont rédigé une couverture pour les risques de pandémie. De nombreuses autres entreprises ont mis en place des captives pour contrer les primes qui ont augmenté chaque trimestre depuis la fin de 2017. La pandémie pourrait alimenter des primes encore plus élevées, les assureurs cherchant à évaluer le risque de manière plus agressive.

Marsh a déclaré que le nombre de nouvelles captives qu’il avait aidé à former avait triplé entre janvier et juillet par rapport à un an plus tôt, coïncidant avec une période où les prix mondiaux de l’assurance ont enregistré des augmentations à deux chiffres au milieu de la crise des coronavirus. Aon, un autre courtier d’assurance, a déclaré avoir également constaté une demande plus élevée pour les unités.

Le groupe d’investissement Blackstone Group Inc. est une société qui compte davantage sur les captives pour augmenter ses primes d’assurance.

Fin juillet, sa Gryphon Mutual Insurance Co. est entrée en service, le point culminant de plusieurs mois de travail préparatoire qui ont commencé avant la pandémie. La captive se concentre sur la propriété en Amérique du Nord, mais pourrait être étendue à d’autres régions à l’avenir.

 «En fin de compte, cela nous donnera un meilleur contrôle sur notre programme d’assurance des biens et réduira les primes et les frais de courtage pour nos commanditaires», a déclaré un porte-parole de Blackstone.

Les captives ne sont pas une nouvelle tactique pour les entreprises pour atténuer les risques. La société de notation AM Best Co. affirme que la première captive du monde a été créée aux Bermudes dans les années 1960 en réponse au durcissement du marché de l’assurance, qui décrit le moment où les primes deviennent plus chères et la capacité de couverture des assureurs diminue. Le recours à des captifs coïncide souvent avec un marché de l’assurance qui se durcit, ou lors de crises telles que les attentats terroristes du 11 septembre ou les ouragans qui ont ravagé la côte du golfe du Mexique en 2004-05.

Bon nombre des plus grandes entreprises américaines ont utilisé des captives, notamment dans le secteur pétrolier et gazier. Ces dernières années, les sociétés de covoiturage Uber Technologies Inc. et Lyft Inc. ont formé des filiales d’assurance . L’assurance peut être un défi pour les entreprises qui s’engagent dans de nouveaux modèles commerciaux: les assureurs traditionnels n’ont souvent pas suffisamment d’informations pour tarifer la couverture d’une manière qui rendrait ces nouvelles entreprises économiquement viables.

Le recours accru aux captives ne pose pas de risque immédiat pour le secteur de l’assurance, selon les courtiers. Aon a déclaré que cela reflétait une réorganisation du secteur, les assureurs étant prêts à abandonner des secteurs d’activité devenus non rentables. Pourtant, les entreprises captives pourraient envisager d’élargir leur utilisation à l’avenir.

Selon AM Best, le nombre de captifs domestiques américains a plus que doublé pour atteindre 3133 entre 2007 et 2019.

La pandémie a mis en évidence l’intérêt de pouvoir adapter l’assurance en utilisant une captive, plutôt que de s’appuyer sur une couverture du marché libre via des assureurs traditionnels. De nombreuses entreprises pensaient être couvertes en cas de chocs inattendus, pour se faire dire par leurs assureurs traditionnels que les exclusions pandémiques dans les petits caractères des polices rendaient leurs réclamations invalides.

Partout dans le monde, les tribunaux se demandent si les polices d’assurance contre les pertes d’exploitation détenues par des millions d’entreprises couvrent une pandémie . Aux États-Unis, les assureurs de biens ont remporté une série de décisions judiciaires confirmant leurs refus de réclamations pour perte de revenus des entreprises lors de fermetures ordonnées par le gouvernement, atténuant les espoirs de paiement des assurés pour les aider à rebondir. Le 15 septembre, un tribunal britannique s’est prononcé principalement en faveur des assurés dans une affaire test qui a examiné différentes formulations de polices.

Alice Uribe. 27 septembre 2020

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

ASSURANCES & RISQUES. Marché des Assurances et point de vue des entreprises d’assurances.

En septembre 2019, j’écrivais sur ce blog (voir Archives du blog ou Moteur de recherche) : « La problématique Assurances et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003).  D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques.  Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui me disait : « Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. »  https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

N’en est-il pas de même en mars 2021 ?

Le sujet est toujours d’actualité, devenu conflictuel voire douloureux pendant la crise de la Covid-19. Les articles du mois de mars seront consacrés à ce sujet.

  • Nous commencerons aujourd’hui par présenter le point de vue des entreprises d’assurances. Retour sur les fondamentaux : risque assurable, appétit au risque.
  • Nous l’illustrerons la semaine prochaine via l’exemple du Cyberrisque et analyserons le marché des assurances.
  • Nous proposerons dans la deuxième quinzaine de mars des conseils et pistes de solutions : quelles solutions pour faire face à cette situation ? La gestion des risques transversale et le Risk Manager sont au premier plan. 

Opinion. Pourquoi le risque pandémique n’est pas assurable

Une pandémie entraîne par nature un cumul potentiel des sinistres tel qu’ils ne sont tout simplement plus absorbables par les compagnies d’assurances, écrit Denis Kessler. L’évaluation du risque est en outre rendue impossible par la diversité des réactions des pouvoirs publics dans les différents pays.

«Les décisions administratives ou politiques de fermeture de certains établissements sont non modélisables (…) ce qui rend l’évaluation du risque impossible». (Sébastien Bozon/AFP)

La crise sanitaire a mis le sujet de l’assurance des pertes d’exploitation des entreprises en situation de pandémie sous le feu des projecteurs. Selon certains, les assureurs, en ne proposant pas de protection contre ce risque, feraient preuve de « mauvaise volonté ». Cette affirmation est ubuesque. C’est en assurant que les assureurs créent de la valeur ! Si le marché de l’assurance ne propose pas de telle protection, c’est pour des raisons de fond qui tiennent à la nature même du risque. De fait, les conséquences économiques d’une pandémie sont non assurables.

Premièrement, alors que l’une des conditions de l’assurabilité, qui repose sur la mutualisation des risques, est que tous les sinistres ne se produisent pas en même temps, le risque de pertes d’exploitation en cas de pandémie est sériel : quasiment tous les agents économiques sont touchés simultanément. Cela découle de la portée régionale et même souvent nationale des mesures prises par les pouvoirs publics – confinements, couvre-feux, fermetures administratives… – qui affectent des pans entiers de l’économie. Les assureurs n’ont pas la capacité d’absorber un tel cumul de sinistres. Ce caractère sériel est d’autant plus marqué que, le risque pandémique étant global, il ne connaît pas les frontières. La diversification géographique des portefeuilles de risques est inopérante et aggrave le cumul de sinistralité pour les (ré)assureurs globaux. L’exposition peut atteindre plusieurs points du PIB mondial.

Deuxièmement, le risque de pertes d’exploitation liées à une pandémie, plutôt que d’obéir à des « lois de la nature », est largement non modélisable et endogène. Il dépend très largement des mesures spécifiques mises en oeuvre par les pouvoirs publics pour enrayer la diffusion du virus. Les pertes d’exploitation subies par les entreprises sont principalement consécutives à ces mesures qui in fine ont limité ou arrêté l’activité. Or ces décisions administratives ou politiques sont non modélisables. Le fait que les mesures prises face à la pandémie de Covid-19 sont très différentes d’un pays à l’autre – alors que ces derniers sont confrontés à des situations similaires ! – en atteste. Cette incertitude radicale et irréductible rend l’évaluation du risque et le calcul de la prime d’assurance impossibles.

Antisélection et aléa moral

Troisièmement, la dernière raison de non-assurabilité de ce risque tient à de possibles phénomènes d’antisélection et d’aléa moral. L’antisélection est l’effet par lequel seuls les agents économiques les plus exposés s’assurent, ce qui réduit l’effet de mutualisation. En l’espèce, seules les entreprises des secteurs les plus touchés – hôtellerie, restauration, tourisme… – achèteraient une protection (sauf à ce qu’elle soit obligatoire, ce qui poserait des questions d’acceptabilité). Celles appartenant à un secteur épargné – par exemple l’e-commerce – n’auraient aucun intérêt à s’assurer. L’aléa moral est l’effet par lequel le risque est augmenté par une modification du comportement des agents économiques dès lors qu’une assurance joue le rôle de filet de protection. En l’espèce, la couverture du coût du confinement par des tiers (les assureurs) créerait un problème d’aléa moral manifeste au niveau des pouvoirs publics, qui n’assumeraient plus le coût économique des décisions qu’ils prennent alors même qu’ils décident des voies et moyens pour faire face à la crise sanitaire et qu’ils sont in fine responsables de sa gestion ! Une telle situation pourrait inciter les pouvoirs publics à mettre en oeuvre des mesures plus coûteuses économiquement…

Les garanties pertes d’exploitation figurant dans les contrats d’assurance sont dans la quasi-totalité des cas liées à des dommages matériels, par exemple en cas d’incendie. Les conditions d’assurabilité sont alors réunies : les sinistres ne se produisent pas tous en même temps, le risque est largement exogène et modélisable, l’antisélection et l’aléa moral sont contenus. Dans de rares cas, des contrats ont pu prévoir clairement la couverture des pertes d’exploitation en cas de pandémie. Pour ces contrats, qu’il n’y ait pas d’ambiguïté : il faut les honorer. Si les contrats sont imprécis ou ambigus, il faut que le juge ou le médiateur tranche.

Le risque de pertes économiques en situation de pandémie présente des caractéristiques similaires au risque de dommages aux biens en situation de guerre : cumul des expositions, limites à la diversification, caractère non modélisable, rôle des décisions politiques et aléa moral. Le risque de guerre n’est pas assurable, et cela fait longtemps que la quasi-totalité des contrats d’assurance comportent une clause indiquant que les dommages du fait d’actes de guerre ne sont pas couverts. C’est la même raison pour laquelle la quasi-totalité des contrats d’assurance ne couvrent pas les pertes d’exploitation en cas de pandémie. Dans les deux cas – guerre comme pandémie -, seul l’Etat peut prendre en charge les conséquences économiques d’une crise d’une telle ampleur, via des mécanismes de redistribution qui en étalent la charge sur l’ensemble des agents économiques, et même sur plusieurs générations. Il n’est donc pas surprenant qu’à ce jour aucun pays ne soit arrivé à mettre au point un mécanisme de prise en charge par l’assurance. Il ne s’agit pas de mauvaise volonté de la part des assureurs, mais d’impossibilité technique et économique.

Denis Kessler est PDG de SCOR.

Publié le 15 janv. 2021.

Assurances & Risques : quelques réflexions sur cette crise

D’abord, prenons bien conscience de l’épreuve vécue par beaucoup : deuils, peur de la maladie, peur de la crise économique, des personnes âgées quittant ce monde sans être entourées de leurs proches et pour les croyants sans secours spirituel.

C’est important car il y aurait de l’indécence à ne voir dans cette crise qu’une « formidable opportunité » (d’unité, de solidarité, …). Et pourtant, nous devons bien nous demander en même temps comment traverser cette crise et donner le meilleur de nous-mêmes aux autres en gardant espérance et bonne humeur dans la mesure du possible : osons citer Baden Powell : la bonne humeur est aussi contagieuse que la rougeole…

Alors que faisons-nous de ce moment et quels enseignements pour nos métiers des risques et de l’assurance ?

Faire face au risque, l’assumer

Ce scénario de pandémie était connu et il n’est pas certain que nous y étions suffisamment préparés…. Dans les métiers du risque d’entreprise, on vit les mêmes problèmes : souvent les catastrophes déroulent des scénarios pré-identifiés que l’on n’a pas voulu voir, ou qui ont fait les frais d’arbitrages budgétaires « court termiste ».

Valoriser l’expertise sans en être prisonnier 

Sur des sujets techniques comme la santé ou les risques d’entreprise tels qu’incendie, collision durant le transport…, l’expertise est indispensable. Mais à la fin c’est le décideur qui doit se faire une opinion en responsabilité, avec ses intuitions, ses valeurs. Alors que les scientifiques en recherche nucléaire ont expliqué par a + b au Général de Gaulle toutes les difficultés techniques empêchant d’avancer sur le programme, ce dernier s’est fait sa propre opinion pour finalement, « en s’y prenant autrement », parvenir à suivre son planning et non celui des experts. Primauté donc à la décision du leader en considérant le bien commun. Sur la crise sanitaire, nous avons vu toutes les discussions, les positions contradictoires des experts sur ce qu’il fallait faire ou ne pas faire en termes de prévention et de soins en santé. A la fin, c’est le leader qui doit trancher, idéalement en ayant filtré les informations, exercé son jugement et considérer le bien commun. Pour revenir aux risques d’entreprises classiques, réalisons-nous des cartographies de risques en étant davantage mus par la nécessité d’être conforme aux règles, de « cocher la case » au risque de rester seulement collés à l’expertise ? Ou bien, ne devons-nous pas chercher à utiliser les informations collectées pour des prises de décisions avec les leaders afin de vraiment créer de la valeur en évitant ou réduisant les risques au bénéfice des salariés et de l’environnement en général ?

Donner du sens

Les conséquences financières de cette pandémie pour les entreprises ont conduit à des attentes et des challenges forts vis-à-vis de l’assurance sur la prise en charge de la perte d’exploitation. Des leaders de l’assurance ont répondu en fournissant des explications avec des propositions pour l’avenir. Mais sur le fonds cela ne souligne-t-il pas une incompréhension toujours forte de ce métier essentiel qu’est l’assurance pour l’économie ? Je me souviens que lorsque j’étais étudiant à Sciences Po, l’assurance n’était abordée qu’en tant qu’Investisseur Institutionnel, sans aborder son fonctionnement.

Parvenir à une meilleure compréhension de l’assurance, de ses mécanismes et de son modèle ne passe-t-elle pas par s’interroger sur ses fondamentaux : par exemple, comment comprendre l’assurance si son périmètre dédié à l’assurance des entreprises reste structurellement déficitaire depuis des années ?

Alors que la matière première de l’assurance sont les données, comment accepter que toutes les données disponibles ne soient pas utilisées et valorisées avec tous les outils innovants comme l’Intelligence Artificielle, afin de permettre une meilleure connaissance des risques et de leurs coûts ?

Cette meilleure connaissance du risque et de son coût bénéficiera bien sûr aux assureurs dans la gestion de leurs propres engagements mais aussi à leurs clients entreprises. Au-delà des challenges liés à la crise sanitaire, l’assurance, ancrée sur ses fondamentaux, valorisant son expertise et tout son potentiel d’innovation peut accroître la valeur qu’elle apporte au service du bien commun (société, entreprises, personnes), en clarifiant son rôle et en générant davantage de confiance.

Laurent Barbagli

Publié le 21 avril 2020