Archives pour la catégorie le métier: naissance et évolution

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager.

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager. Des Risk Managers plus influents sont en effet le meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises. 

Pour en savoir plus, je vous renvoie à l’ouvrage  » La Fonction Risk Manager. Organisation, Méthodes et Positionnement » que j’ai co-écrit avec N.Dufour ; paru en avril 2019 aux Editions Gereso. 

TRIBUNE

Opinion | Propositions pour une fonction «risk manager» plus influente

Meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises, les risk managers semblent pourtant bien discrets et dotés d’une autorité relative les cantonnant au mieux à une logique de conseil interne sur des risques importants. (Par Caroline Aubry, maître de conférences en gestion à l’université Toulouse-III)

Par Caroline Aubry (maître de conférences en gestion à l’université Toulouse-III)

Publié le 18 déc. 2019 à 9h39

Mis à jour le 18 déc. 2019 à 9h40

Multiples cyberattaques subies par Airbus, plainte contre la BNP Paribas et ses anciens dirigeants pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan ou encore incendie de l’usine Lubrizol, Volkswagen et le Dieselgate avec l’ouverture du procès, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé pour ne citer que les affaires les plus médiatiques, cette actualité voit réunis les cinq facteurs qui ont fait du risque une variable stratégique de la réflexion des entreprises françaises : élargissement du domaine du risque, prise en compte de la subjectivité du risque, transfert de certains risques des assureurs vers les entreprises, affaires, rôle des acteurs-amplificateurs que sont le régulateur-législateur et les médias.

Depuis trente ans, ces facteurs ont conduit les entreprises françaises à mettre en place une démarche globale de gestion des risques, nommée Enterprise-Risk-Management (ERM) par les Anglo-saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques, que nous appelons Fonction Risk Manager.

Une Fonction Risk Manager détentrice d’une faible influence sur la décision

Les Risk Managers corporate à la tête des directions de gestion des risques rencontrent de nombreux obstacles pour se faire entendre de leurs directions générales. Une première série entrave l’exercice même d’un rôle « d’architecte » de la gestion des risques : ce que les Risk Managers corporate appellent l’illusion de transversalité de leur périmètre d’activité (« Une identification des risques à 360° » soit tous les risques, sur l’ensemble des activités, actifs et entités de leurs groupes) les amène à reconnaître qu’il y a des « zones grises » liées à la taille de leur groupe et que tous les risques ne sont pas remontés ; ce d’autant plus qu’ils font face à un manque de moyens humains et budgétaires ; le poids de la sanction venant de la direction pèse également sur leur prise de décision ; leur challenge est en effet de « prendre le maximum de risque avec le maximum de sécurité, car sinon on ne vous le pardonnera pas. »

D’autres obstacles rendent leurs relations avec la direction générale complexes voire difficiles : ils se sentent dessaisis du processus de remontée des informations et peu écoutés ; la remontée des informations est indirecte et se fait via un rattachement hiérarchique souvent situé à plusieurs intermédiaires de la direction générale et rarement membre du comité exécutif ; elle est « faiblarde » en termes de contenu, d’outils et de fréquence ; ils craignent particulièrement lorsqu’ils sont rattachés au directeur financier, au contrôle interne ou à l’audit interne, de ne pas avoir de liberté de pensée.

Une troisième série vient du manque d’implication de la direction générale : non-reconnaissance de la nature stratégique de la gestion de risques dont il est difficile d’évaluer le coût, ses objectifs étant difficilement mesurables et sans référentiel ; communication externe vécue comme un exercice de conformité via le document de référence, communication interne autour de la fonction peu pratiquée ; faible fréquence de réunion des comités de risques, ce qui les réduit à un outil sans autorité. Pour exercer leur autorité, les Risk Managers corporate doivent conquérir une légitimité.

Des Risk Managers corporate en quête de légitimité

Trois pistes peuvent être proposées. Un rattachement hiérarchique, sur le modèle du Chief Risk Officer américain, le plus proche de la direction générale et autre qu’à la direction financière ou au contrôle interne leur donnerait la liberté de remonter directement des informations non censurées. Une mesure de leur activité via des objectifs (de gouvernance, de contrôle stratégique, opérationnels) quantifiés et des indicateurs adéquats déclencherait la reconnaissance de la valeur ajoutée de la fonction et l’implication de la direction générale.

Gageons que des moyens humains et budgétaires suivraient. Une montée en puissance de leurs compétences grâce à leur expertise permise aujourd’hui par l’existence de formations supérieures (Master 3ème cycle, formations de l’Association pour le Management des Risques et des Assurances dans les Entreprises par exemple), l’expérience accumulée en une quinzaine d’années d’existence de la fonction, leur sens du relationnel et la connaissance de l’activité, du groupe et des opérations leur feront gagner en légitimité personnelle et faciliteront leur accès à la direction générale.