Archives pour la catégorie le métier: naissance et évolution

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES. UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE – LA MISE EN EXAMEN DU GROUPE LAFARGE pour « mise en danger de la vie d’autrui »

Mercredi 23 novembre, à la Toulouse School of Management, lors d’une table ronde sur le thème « Comptabilité, crise(s) et résilience », j’expliquais en quoi la Fonction Risk Manager (FRM) était un acteur contribuant à augmenter la capacité de résilience de l’organisation. Pour établir ce rôle qu’aujourd’hui personne ne conteste, même si beaucoup reste à faire, je suis revenue sur les étapes de l’ERM et les facteurs qui ont fait que le risque est devenu en trente ans une variable stratégique de la réflexion des entreprises.

Deux de ces facteurs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur et les médias. 

COMMENT LE RISQUE EST DEVENU UNE VARIABLE STRATEGIQUE

(1) Aux risques « traditionnels » (incendie, inondation…) se sont ajoutés :

  • De nouveaux risques comme par exemple le risque éthique ou le cyber-risque ou encore les risques psycho-sociaux…
  • Des qualificatifs qui viennent préciser la nature du risque : sanitaire, environnemental…
  • Cet élargissement oblige les entreprises à faire face à des risques potentiels qui sortent du champ de compétences des experts qui n’ont ni la connaissance, ni l’expérience pour répondre à un avenir qu’ils ne connaissent pas.

(2) Le législateur-régulateur et les médias ont contribué à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Ces évolutions ont conduit les organisations à créer depuis 2004 la FRM, fonction corporate dédiée aux risques.

Pour en savoir plus : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. .

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

UN PROGRAMME SUR 6 SEMAINES

Je vous propose un tour du côté de l’actualité pour :

  • (1) (2) illustrer deux nouveaux risques auxquels les organisations doivent faire face – le risque éthique dans sa dimension gouvernance et la fraude au président – ;
  • (3) mieux connaitre un risque souvent passé sous silence – le risque de propriété intellectuelle – ;
  • (4) et (5) faire le point sur le devoir de vigilance des multinationales et découvrir ce que l’on sait de la future loi Sapin 3.
  • (6) Je terminerai cette séquence par un « bouclage » sur le rôle de la FRM dans ce nouveau contexte.
UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE

Pour commencer : le risque éthique dans sa dimension gouvernance / la gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Pour d’autres exemples plus anciens voir : 

« La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Blog : https://gestiondesrisques.net/category/risques/ethique-gouvernance/

Je vous propose deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés.

Vous y retrouverez :

  • la présentation du risque
  • les causes de celui-ci (probabilité)
  • les conséquences de celui-ci (impact).

Le premier est un article rapide du Monde qui rappelle les faitss. Le deuxième écrit par Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM) propose une analyse approfondie du risque.

Lafarge en Syrie : la Cour de cassation invalide l’annulation des poursuites pour « complicité de crimes contre l’humanité »

La plus haute juridiction de l’ordre judiciaire a également cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui ».

C’est un nouveau rebondissement spectaculaire dans l’affaire hors norme sur les activités en Syrie du cimentier Lafarge : la Cour de cassation a renvoyé mardi 7 septembre devant la justice le débat sur la mise en examen du cimentier pour « complicité de crimes contre l’humanité » en Syrie, annulée en novembre 2019 par la cour d’appel de Paris.

Dans un arrêt très attendu, la plus haute juridiction de l’ordre judiciaire a invalidé la décision d’annuler ces poursuites, prononcées dans l’enquête relative aux activités du groupe en Syrie jusqu’en 2014.

Elle a aussi cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui », et renvoyé ces deux questions devant la chambre de l’instruction, dans une composition différente, afin qu’elle se prononce à nouveau.

Les magistrats de cette chambre pourront ainsi décider de maintenir ou d’annuler ces poursuites contre le groupe. La Cour a, en revanche, confirmé la mise en examen du cimentier pour « financement du terrorisme ».

« La décision prise aujourd’hui par la Cour de cassation ne présume en aucun cas d’une éventuelle culpabilité de Lafarge SA », a réagi le groupe, dans une déclaration adressée à l’Agence France-Presse (AFP), assurant qu’il continuait « de coopérer pleinement avec la justice ».

 « Nous avons pris des mesures immédiates et fermes pour nous assurer que des événements similaires ne puissent plus se reproduire », a-t-il assuré, précisant que Lafarge n’exerçait « plus aucune activité en Syrie depuis plus de six ans ».

Dans cette information judiciaire, ouverte en juin 2017, Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, par le truchement de sa filiale Lafarge Cement Syria (LCS), près de 13 millions d’euros à des groupes terroristes, dont l’organisation Etat islamique (EI), et à des intermédiaires, afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre.

Le groupe avait investi 680 millions d’euros dans la construction de ce site, achevé en 2010.

« En connaissance de cause »

Lafarge est également suspecté d’avoir vendu du ciment de l’usine à l’EI et d’avoir payé des intermédiaires pour s’approvisionner en matières premières auprès de factions djihadistes.

Un rapport interne commandé par LafargeHolcim, né de la fusion en 2015 du français Lafarge et du suisse Holcim, avait mis en lumière des remises de fonds de LCS à des intermédiaires pour négocier avec des « groupes armés ». Mais Lafarge SA a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes.

 « L’on peut être complice de crimes contre l’humanité même si l’on n’a pas l’intention de s’associer à la commission de ces crimes », a expliqué la Cour de cassation dans un communiqué. « Dans cette affaire, le versement en connaissance de cause de plusieurs millions de dollars à une organisation dont l’objet est exclusivement criminel suffit à caractériser la complicité, peu importe que l’intéressé agisse en vue de la poursuite d’une activité commerciale », a-t-elle détaillé.

« La Cour de cassation donne raison au magistrat instructeur sur deux points essentiels : en confirmant les poursuites pour financement du terrorisme et en rouvrant le débat sur la complicité de crimes contre l’humanité, qui sera maintenue compte tenu des éléments accablants du dossier », a réagi Me William Bourdon, fondateur de l’ONG Sherpa.

 « A l’échelon mondial, ces poursuites, qui déboucheront sur un procès de Lafarge et de ses dirigeants pour les crimes les plus graves, sont une première et nous rappellent l’impératif absolu que constitue le devoir du législateur de responsabiliser de gré ou de force les plus grandes entreprises de la planète », a-t-il poursuivi.

Dans son arrêt, la Cour de cassation a, par ailleurs, estimé que seule l’ONG European Center for Constitutional and Human Rights (ECCHR) pouvait se constituer partie civile, et uniquement à l’égard de l’infraction de « complicité de crimes contre l’humanité » reprochée à la société.

Sherpa et l’association Life for Paris se sont vues, pour leur part, déboutées de leur demande de se constituer partie civile.

« Sherpa reste fière d’avoir initié cette procédure. Si le rejet de notre pourvoi est singulier, il ne l’est que pour des raisons techniques, qui pourront être corrigées rapidement », a estimé l’avocat.

Le Monde avec AFP

Publié le 07 septembre 2021


Syrie : pourquoi le groupe Lafarge est-il resté si longtemps malgré la guerre ?

 

Le 7 septembre, la Cour de cassation a invalidé les annulations des poursuites pour « complicité de crimes contre l’humanité » concernant les activités du groupe Lafarge en Syrie entre 2011 et 2014, et plus particulièrement les accords financiers passés avec des groupes armés, dont Daech.

Différentes parties civiles et des ONG de lutte contre les crimes économiques étaient à l’origine de ces pourvois. Elles contestaient l’annulation par la chambre de l’instruction, en novembre 2019, de la mise en examen du groupe en tant que personne morale pour « complicité de crime contre l’humanité », prononcée l’année précédente par les juges d’instruction. Avec cette décision, la Cour de cassation renvoie à présent le dossier vers une autre chambre de l’instruction afin qu’elle se prononce à nouveau.

Cette décision était attendue au-delà de l’affaire Lafarge. En effet, elle pourrait influencer de prochaines instructions menées contre des multinationales, comme dans le cas de la récente affaire du groupe viticole Castel, dont une filiale est soupçonnée d’avoir financé des groupes armés en Centrafrique. Dans ces cas, les processus de mise en accusation restent néanmoins toujours délicats car la responsabilité de l’entreprise en tant que telle reste difficile à prouver par rapport aux responsabilités individuelles à cause, notamment, de la complexité organisationnelle.

Ainsi, notre recherche sur le cas Lafarge montre que semble s’être développé ce que nous appelons une « myopie organisationnelle ». Celle-ci aurait conduit le cimentier à poursuivre ses activités en Syrie jusqu’en 2014, alors que des entreprises comme Total ou Air Liquide quittaient le pays dès le début de la guerre civile en 2011.

Cette « myopie organisationnelle » repose sur plusieurs éléments centraux, dont une volonté sans faille de protéger les investissements sur place. Toutefois, les logiques économiques restent insuffisantes pour expliquer que la production n’ait pas été arrêtée. Une interprétation défaillante du danger entre le siège et la filiale ainsi que des décisions entraînant une dépendance forte à un nombre restreint d’acteurs locaux apparaissent aussi comme des facteurs de cette « myopie organisationnelle ».

Une lente montée en pression

La chronologie du cas est à ce sujet éclairante. Dans une première phase, entre mi-2011 et juillet 2012, l’entreprise ne va pas réellement voir l’intérêt de partir, malgré les tensions. Quelques mois plus tôt, en octobre 2010, Lafarge inaugurait la plus grande cimenterie de la région moyenne orientale dans le nord de la Syrie, à environ 60 kilomètres de la frontière turque. Le coût du projet est de 680 millions d’euros, ce qui représente pour l’époque un très gros investissement pour l’entreprise.

Localisation de la cimenterie de Lafarge en Syrie.

 Au départ, les salariés sont très satisfaits de cette implantation, notamment dans une région où les opportunités d’emploi sont très rares. Les premières contestations de début 2011 ne sont localisées que dans l’est de la Syrie, assez loin de l’usine et ce n’est que le 1er décembre 2011, le Haut-Commissariat des Nations unies aux droits de l’homme déclare la Syrie en état de guerre civile.

En mars 2012, la France décide de rappeler son ambassadeur en Syrie. L’entreprise décide alors de rapatrier ses expatriés, mais aucune décision n’est prise quant à un arrêt des activités sur place. L’entreprise mise alors sur un dialogue et des négociations avec les parties prenantes, notamment différents groupes armés présents dans la région.

Un premier intermédiaire, un Syrien possédant une participation dans l’usine, est choisi pour assurer les discussions et les transactions. L’entreprise décide, par ces mesures, d’assurer la continuité de ses activités et la sécurité de ses salariés, mais dans une zone qui commence à se tourner vers une économie de guerre basée sur le racket.

Certes, dans cette zone de gouvernance limitée (c’est-à-dire où l’autorité étatique n’était que partiellement reconnue), il était très difficile, à l’époque, de distinguer la création de groupes armés issus de la lutte anti-Damas (kurdes ou de l’Armée syrienne libre) d’autres groupes aux obédiences diverses et volatiles, attirés uniquement par l’appât du gain que représente la seule multinationale présente localement. Néanmoins, la décision de Lafarge n’était déjà pas en accord avec leur code de conduite de l’époque.

Une autre décision organisationnelle peut permettre de mieux comprendre le contexte de la prise de décision. À cette même période de l’été 2012, le directeur de la filiale est envoyé de Damas au Caire d’où il gérera les activités. Si cette mesure s’explique aisément pour sa sécurité personnelle dont doit légalement répondre l’entreprise, cette décision va entraîner une gestion à distance dont les travaux académiques en sciences de gestion ont déjà montré les grandes limites en temps de paix, à savoir la compréhension des problèmes locaux et la transmission de l’information qui se révèlent souvent partielles.

Un excellent réseau d’informateurs

L’entreprise, et notamment son comité de sûreté composé de cadres dirigeants et du directeur général adjoint, entérine ainsi sa décision de rester sur place malgré les premières alertes et le conflit civil.

Mais à partir de l’été 2012, une nouvelle période plus tendue se profile. Plusieurs salariés sont kidnappés. Lafarge paye une rançon mais pas à chaque fois. À partir de ce moment, le comité de sûreté analyse, en novembre 2012, la situation de la façon suivante : « Nous ne pouvons en aucun cas garantir que nous soyons capables de nous opposer avec succès à une action d’enlèvement ». Il existe une « menace directe et nominative contre Lafarge » et « la présence des extrémistes du Front al-Nosra constitue une menace supplémentaire ».

Cette dernière référence montre que les dirigeants du siège semblent informés de la dangerosité de certains groupes par rapport à d’autres, mais aussi avoir conscience des dangers encourus par leurs salariés sur place.

Une grande partie de la compréhension de ce cas (avec les données actuelles) porte alors sur cette décision de rester dans un pays en guerre, avec des groupes armés qui ne répondent plus forcément qu’à une logique économique et de racket mais à des logiques politiques et idéologiques fortes. La présence dans la zone du Front al-Nosra constituait une première alerte par sa proximité notoirement connue avec Al-Qaida.

En outre, plusieurs e-mails montrent que Lafarge avait mis en place depuis le début des événements un excellent réseau d’informateurs. À tel point que des rencontres entre le directeur de la sécurité du groupe et la direction générale de la Sécurité extérieure (DGSE) auraient amené à des échanges d’informations, Lafarge restant un point d’observation absolument stratégique (par la localisation de l’usine dans une zone frontalière et étant une des très rares grandes multinationales restant dans le pays).

Pour légitimer le fait de rester sur place, certains responsables de Lafarge mettent en avant le fait que le Quai d’Orsay aurait demandé à l’entreprise de rester, étant donné les informations qui pouvaient être prodiguées par l’entreprise. Une version contestée par le ministère des Affaires étrangères. L’enquête est toujours en cours.

Daech entre en jeu

Entre fin 2012, début 2013, un nouveau groupe apparaît dans la région en provenance d’Irak. Il s’agit de Daech. En mars 2013, Raqqa (à 87 kilomètres au sud de la cimenterie) est prise par différents groupes islamistes, dont le Front Al-Nosra, qui prête allégeance à Al-Qaida et tombe donc sous le coup des sanctions du Conseil de Sécurité́ de l’ONU.

En octobre 2013, le Conseil européen confirme les sanctions à l’encontre de certaines entités terroristes, dont le Front Al-Nosra, Al-Qaida et Daech. À ce moment-là, Lafarge sait donc que tout contact avec ces groupes les expose à des sanctions internationales (et plus à un simple délit de corruption).

Au même moment, le directeur de la sécurité de l’usine demande son retour au siège se disant recherché par le régime, les groupes rebelles et Daech. Devant cette situation, Lafarge recrute un autre directeur de la sécurité, un Syrien non qualifié dans ce domaine, qui va interagir avec ces nouveaux acteurs locaux.

Les premiers paiements à Daech semblent intervenir à partir de novembre 2013, toujours par le même intermédiaire et avec l’intervention d’un second. Au-delà des paiements, c’est également des achats de pétrole et la vente de ciment au groupe terroriste qui seraient en cause.

La dernière période qui s’ouvre en 2014 va marquer un point de non-retour. En mars 2014, Daech envahit la ville de Manbji où résident la plupart des salariés de Lafarge et leurs familles (sur demande de Lafarge depuis 2012). Ces derniers poussent leurs familles à partir, sans l’aide réelle de l’entreprise.

En parallèle, d’un point de vue organisationnel, en mai 2014, le directeur de la filiale syrienne en poste en Égypte, est remplacé par un nouveau directeur. Ces changements nécessitent un temps d’ajustement, comme le montrent des travaux académiques, et sont souvent source de déperdition d’informations lors du transfert de connaissances entre les deux expatriés.

Dans une période normale, ces problèmes ne sont pas insurmontables, mais dans un contexte aussi conflictuel, la compréhension des enjeux géopolitiques locaux et internationaux était cruciale. Or, il semble à la lecture des témoignages du second dirigeant de la filiale et des comptes rendus d’une rencontre de celui-ci avec l’ambassade de France en Jordanie que cette compréhension ait été limitée.

Pendant l’été 2014, plusieurs attaques de Daech sont perpétrées contre des camions de l’usine. Le 15 août 2014, une résolution des Nations unies interdit toute relation financière avec les groupes terroristes présents en Syrie. Au même moment, de nouvelles sommes auraient été versées à Daech. Sur le site, la production est suspendue quelques jours puis reprend jusqu’à mi-septembre 2014. À cette date, Daech envahit l’usine sans que Lafarge ait mis en place un plan d’évacuation d’après les ex-salariés. Les locaux resteront occupés jusqu’à fin 2015, puis repris par la coalition.

Transfert de connaissance altéré

Il ressort de cette brève chronologie séquentielle qu’il serait beaucoup trop simpliste de réduire cette succession de décisions à une logique strictement économique (même si elle est bien entendu présente). Des logiques organisationnelles semblent avoir également joué. Tout d’abord, le groupe a pu tirer de la confiance d’une certaine « culture du risque » puisqu’il a déjà été présent dans d’autres zones sensibles, notamment en Afrique. Certaines pratiques, comme recours rapide à des intermédiaires pour réaliser les transactions financières, semblent en témoigner.

Par ailleurs, le choix des expatriés aux postes clés (direction de la filiale et de la sécurité notamment) et leur capacité à comprendre le contexte, surtout à distance, ainsi que leur sensibilité à l’éthique, ont pu aussi peser sur la décision de rester. En outre, le transfert de connaissance a pu être altéré dans la relation siège/filiale par les changements de personnel à ces mêmes postes clés, dans un lieu de conflit et où la situation politique, les groupes armés et les allégeances pouvaient changer de mois en mois.

Enfin, le respect de ses propres règles de responsabilité sociétale des entreprises (RSE) et de ses engagements internationaux (l’entreprise avait signé les principes du Global Compact des Nations unies) apparaît comme un dernier élément important : est-ce que des garde-fous internes avaient été mis en place à différents niveaux pour évaluer la dangerosité ou la légalité des actions, comme annoncé ? Si oui, alors ceux-ci ne semblent pas avoir correctement fonctionné.

Il faut donc retenir que, dans cette affaire, les logiques internes de l’entreprise doivent être aussi observées à la lumière de la culture organisationnelle et pas uniquement au travers de la rationalité économique. Elles doivent surtout être repensées quand l’entreprise se retrouve en zone de conflit.

2 septembre 2021,

Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM)

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager.

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager. Des Risk Managers plus influents sont en effet le meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises. 

Pour en savoir plus, je vous renvoie à l’ouvrage  » La Fonction Risk Manager. Organisation, Méthodes et Positionnement » que j’ai co-écrit avec N.Dufour ; paru en avril 2019 aux Editions Gereso. 

TRIBUNE

Opinion | Propositions pour une fonction «risk manager» plus influente

Meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises, les risk managers semblent pourtant bien discrets et dotés d’une autorité relative les cantonnant au mieux à une logique de conseil interne sur des risques importants. (Par Caroline Aubry, maître de conférences en gestion à l’université Toulouse-III)

Par Caroline Aubry (maître de conférences en gestion à l’université Toulouse-III)

Publié le 18 déc. 2019 à 9h39

Mis à jour le 18 déc. 2019 à 9h40

Multiples cyberattaques subies par Airbus, plainte contre la BNP Paribas et ses anciens dirigeants pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan ou encore incendie de l’usine Lubrizol, Volkswagen et le Dieselgate avec l’ouverture du procès, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé pour ne citer que les affaires les plus médiatiques, cette actualité voit réunis les cinq facteurs qui ont fait du risque une variable stratégique de la réflexion des entreprises françaises : élargissement du domaine du risque, prise en compte de la subjectivité du risque, transfert de certains risques des assureurs vers les entreprises, affaires, rôle des acteurs-amplificateurs que sont le régulateur-législateur et les médias.

Depuis trente ans, ces facteurs ont conduit les entreprises françaises à mettre en place une démarche globale de gestion des risques, nommée Enterprise-Risk-Management (ERM) par les Anglo-saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques, que nous appelons Fonction Risk Manager.

Une Fonction Risk Manager détentrice d’une faible influence sur la décision

Les Risk Managers corporate à la tête des directions de gestion des risques rencontrent de nombreux obstacles pour se faire entendre de leurs directions générales. Une première série entrave l’exercice même d’un rôle « d’architecte » de la gestion des risques : ce que les Risk Managers corporate appellent l’illusion de transversalité de leur périmètre d’activité (« Une identification des risques à 360° » soit tous les risques, sur l’ensemble des activités, actifs et entités de leurs groupes) les amène à reconnaître qu’il y a des « zones grises » liées à la taille de leur groupe et que tous les risques ne sont pas remontés ; ce d’autant plus qu’ils font face à un manque de moyens humains et budgétaires ; le poids de la sanction venant de la direction pèse également sur leur prise de décision ; leur challenge est en effet de « prendre le maximum de risque avec le maximum de sécurité, car sinon on ne vous le pardonnera pas. »

D’autres obstacles rendent leurs relations avec la direction générale complexes voire difficiles : ils se sentent dessaisis du processus de remontée des informations et peu écoutés ; la remontée des informations est indirecte et se fait via un rattachement hiérarchique souvent situé à plusieurs intermédiaires de la direction générale et rarement membre du comité exécutif ; elle est « faiblarde » en termes de contenu, d’outils et de fréquence ; ils craignent particulièrement lorsqu’ils sont rattachés au directeur financier, au contrôle interne ou à l’audit interne, de ne pas avoir de liberté de pensée.

Une troisième série vient du manque d’implication de la direction générale : non-reconnaissance de la nature stratégique de la gestion de risques dont il est difficile d’évaluer le coût, ses objectifs étant difficilement mesurables et sans référentiel ; communication externe vécue comme un exercice de conformité via le document de référence, communication interne autour de la fonction peu pratiquée ; faible fréquence de réunion des comités de risques, ce qui les réduit à un outil sans autorité. Pour exercer leur autorité, les Risk Managers corporate doivent conquérir une légitimité.

Des Risk Managers corporate en quête de légitimité

Trois pistes peuvent être proposées. Un rattachement hiérarchique, sur le modèle du Chief Risk Officer américain, le plus proche de la direction générale et autre qu’à la direction financière ou au contrôle interne leur donnerait la liberté de remonter directement des informations non censurées. Une mesure de leur activité via des objectifs (de gouvernance, de contrôle stratégique, opérationnels) quantifiés et des indicateurs adéquats déclencherait la reconnaissance de la valeur ajoutée de la fonction et l’implication de la direction générale.

Gageons que des moyens humains et budgétaires suivraient. Une montée en puissance de leurs compétences grâce à leur expertise permise aujourd’hui par l’existence de formations supérieures (Master 3ème cycle, formations de l’Association pour le Management des Risques et des Assurances dans les Entreprises par exemple), l’expérience accumulée en une quinzaine d’années d’existence de la fonction, leur sens du relationnel et la connaissance de l’activité, du groupe et des opérations leur feront gagner en légitimité personnelle et faciliteront leur accès à la direction générale.