Réglementation, environnement, cyber et réputation : le risque vu par un risk manager français Place

Selon François Malan, le Responsable en chef du risque chez Nexity, la corruption (active et passive) et les questions éthiques sont les sujets les plus délicats en matière de conformité.

« L’UE dispose d’une législation portant sur la corruption active et passive ainsi que de règles en matière d’éthique, déclare-t-il à StrategicRISK. Les risk managers doivent créer une cartographie de ces risques pour pouvoir rester en conformité avec la loi.

« Rien de neuf à cela, mais il est maintenant obligatoire de disposer d’un système d’évaluation et d’atténuation du risque – et d’être en mesure de le montrer. »

Les risques environnementaux

« Le Rapport du Forum économique mondial (FEM) met en avant les risques environnementaux, le changement climatique et les règles à suivre pour diminuer notre empreinte carbone, poursuit-il. Pour moi, c’est la préoccupation numéro un.

« Il faut adapter ses produits et surveiller sa chaîne logistique. C’est une tâche délicate, car le risque est difficile à évaluer. »

Les cyber-risques

De la même façon, François indique que le risque cyber devrait aussi faire partie des préoccupations principales du risk manager. Il évoque le télétravail, le « tout connecté » ainsi que l’évolution vers des véhicules sans conducteur : des facteurs qui rendent le risque difficile à gérer.

La notion d’interconnectivité est particulièrement complexe, car il est difficile de déterminer la profondeur des vulnérabilités. « C’est un vaste sujet, car il faut cerner l’ensemble des liens que l’on a établis avec les clients et les fournisseurs, dit-il. Il faut connaître ces liens, savoir quelles données sont échangées. Il faut ensuite faire un audit du risque au niveau des fournisseurs et voir quelles protections ils ont mises en place. »

Atteintes à la marque

Le risque de réputation est lié aux sujets ayant trait à la réglementation, à l’environnement et aux attaques informatiques. « C’est une question cruciale, en particulier pour les entreprises ayant une clientèle internationale. Lorsqu’un problème survient, il est difficile de l’atténuer après coup.

« Nous devons alors montrer aux clients et aux actionnaires que nous faisons tout pour atténuer les conséquences. »

La complexité croissante du paysage du risque, renforcée par des risques émergents, oblige les risk managers à étendre leurs connaissances et à travailler avec davantage de parties prenantes. Ils doivent ainsi s’intéresser à des domaines allant du blockchain au cloud computing. Cela réclame souvent un changement d’optique et de la formation.

« Il faut se rapprocher des spécialistes, comme l’équipe informatique, la sécurité ou encore le service juridique, reprend François Malan. Le risk management tient davantage d’un effort de groupe que du travail d’un seul. On peut imprimer le mouvement et soutenir les équipes, mais c’est un travail collectif. »

François pense également que les risk managers doivent développer leur expertise en matière financière : « Pour aider l’entreprise à atteindre ses objectifs, encore faut-il comprendre ceux-ci, affirme-t-il. Il faut se rapprocher de la direction et comprendre la finance. Les risk managers avec une formation initiale en ingénierie ou en droit devront se former à la finance. »

Il ajoute que les risk managers devraient avoir voix au chapitre en matière stratégique, au niveau de la direction générale. Cette approche se démocratise. Il fut un temps, le risk manager intervenait en aval, après que les décisions ont été prises. Il n’est désormais pas inhabituel de voir les risk managers participer aux conseils d’administration.

« Les risk managers doivent être crédibles, conclut-il. Ils doivent être capables de prendre la parole durant un conseil d’administration. Les compétences relationnelles comptent. »