Oliver Wild : “L’amour du risque, c’est recréer un lien déformé par le marché de l’assurance"

DÉCIDEURS JURIDIQUES. « Pour l’amour du risque… » En dehors du clin d’œil à la fameuse série sur les amours de Jennifer à Jonathan Hart, pourquoi avoir ainsi baptisé les rencontres de l’Amrae ? Peut-on apprécier le risque quand les entreprises le considèrent plutôt comme un oiseau de mauvais augure ?

Oliver Wild. C’est une petite référence, mais c’est surtout un joli titre. Parler d’amour du risque, c’est expliquer que le risque n’est pas un ennemi, qu’il peut être appréhendé et s’avérer une chance. L’Amrae a cette conviction. Elle veut recréer le lien entre les entreprises et les assureurs, déformé par le marché de l’assurance. Autrement dit : raviver la flamme entre eux. Les assureurs doivent reconnaître les efforts des entreprises en matière de prévention et d’évaluation de l’exposition aux risques afin de renforcer le dialogue. Le risk management est au fondement même de la souscription d’une police. À partir de 2019, le marché a évolué vers un manque d’amour du risque avec le rejet de certains risques, et parfois des clauses d’exclusions totales. Que je pense préférable d’éviter.

Vous comparez le risk manager au forgeron frappant l’enclume, aux prises avec les feux de la forge. Estimez-vous qu’il est sous les feux de la rampe ? Pourquoi ?

Avec la pandémie de Covid, les risk managers sont passés en première ligne. Pourtant, personne n’avait inclus sérieusement dans ses cartographies des risques une pandémie mondiale – malgré l’expérience du Sras. Personne ne pouvait imaginer ce scénario catastrophe sans passer pour fou. Tout le monde était convaincu d’être suffisamment armé pour anticiper un tel virus et empêcher sa prolifération. Le Covid a montré que rien n’est impossible. Raison pour laquelle, quatre ans après, nous intégrons désormais le risque politique à nos cartographies, le contexte politique et géopolitique s’étant durci. C’est un bouleversement dans notre travail. Avant, le risque politique se diluait dans les autres risques de la chaîne d’approvisionnement. Aujourd’hui, il se décline : cyberdélinquance, fraude, terrorisme… Autant de menaces qui montent en puissance durant les périodes électorales – nombreuses en 2024, et à l’approche des grandes échéances comme les élections européennes et les Jeux olympiques. En toile de fond également, la désinformation. Les fake news pullulent et le risk manager doit faire la part des choses. Il doit évaluer, caractériser et peser le risque pour le décorréler de ces informations fallacieuses et prendre du recul. Nous itérons cet exercice systématiquement :  réévaluation du risque rime avec précision. Le risk manager doit aussi étendre la sphère de sa cartographie à l’ensemble de l’écosystème de son entreprise, de ses clients à ses fournisseurs en passant par ses homologues du même secteur.

Vous exhortez les risk managers à prendre ensemble les “bons risques”. Les entreprises sont-elles toutes en mesure de le faire ?

Le risk manager n’est pas là pour empêcher la roue de tourner. Malgré tous les dispositifs de maîtrise existants, le risque zéro n’existe pas. Comme je vous le disais, le risque peut se transformer en occasion. La communauté du risk management grandit dans le monde de l’entreprise. Elle démontre son utilité au fil des crises. Les entreprises jouent à armes inégales face aux risques. Les entreprises de taille modeste (PME et ETI) n’investissent pas forcément assez dans le risk management. Il faut poursuivre la diffusion de cette culture, grâce à des leviers d’appui comme le Medef en région avec qui nous travaillons sur des dispositifs d’autodiagnostic comme Macartodesrisques.fr. Plus que jamais, il faut que l’ensemble de la communauté gagne en maturité sur ce sujet qui fait déjà partie de son quotidien. Chaque opérationnel que je croise fait du risk management du matin au soir, sans le nommer explicitement. L’Amrae propose de les aider à coucher les dispositifs sur le papier pour leur éviter de répéter les mêmes erreurs.

Du côté des grandes entreprises, la gestion des risques a été pendant trop longtemps considérée comme un simple exercice réglementaire. Une case à cocher pour répondre aux exigences de la 8^e directive européenne sur le contrôle interne. Tout a changé depuis une dizaine d’années. Les Comex sont plus impliqués. Et valident au cours de leurs réunions des cartographies qui identifient les risques et leur permet d’éviter les obstacles qui se dressent devant leurs objectifs stratégiques. Même chose pour les comités des comptes et les conseils d’administration.

Comment faire pour que l’IA ne devienne pas le principal vecteur d’une érosion du capital humain ?

Aujourd’hui, peu de risk managers utilisent l’IA pour faire leur cartographie. On ne peut se passer du capital humain. Le risque serait plutôt de considérer l’IA comme une solution clé en main. Sans être nourrie par des données exploitables, l’intelligence artificielle ne fera que ressasser le même paquet d’informations. L’intuition, le recul, la corrélation des idées sont propres au risk manager. L’IA pourra apporter une valeur ajoutée sur les tâches à moindre valeur ajoutée, d’ores et déjà standardisées. Mais je vois très mal une dirigeante ou un dirigeant confier l’élaboration de sa stratégie à une IA pour les quatre prochaines années. Par ailleurs, l’empreinte écologique et le caractère énergivore d’une telle technologie interrogent.

DPEF, CS3D, NFRD hier, CSRD demain… Est-ce la brique réglementaire manquante pour inciter les entreprises à la transition et esquisser les contours d’un capitalisme responsable ? Quel nouveau rôle pour le risk manager ?

Nous avions des signaux importants de l’arrivée de la directive CSRD. Il y a quatre ans, j’incitais déjà mes homologues à prendre l’initiative de ce rapportage extra-financier, de crainte que la réglementation nous rattrape. On limite ce texte à sa simple dimension reporting. Ce n’est pas que ça ! Le principe même de double matérialité porté par la CSRD impose une méthodologie spécifique. Certaines de ses notions clés se rapprochent de la gestion des enjeux par les risk managers. Le principe de dichotomie a infusé nos cartographies ces dernières années. On ne s’intéresse plus aux seules répercussions financières, mais aussi à celles qui touchent l’ensemble de la chaîne de valeurs.

“Depuis le changement de législation et la loi de Finances 2023, le territoire français se montre tout aussi attractif que d’autres domiciliations de captives comme le Luxembourg ou les Bermudes“

Régime cat-nat à bout de souffle, omniprésence du risque cyber… Comment faire face à l’inassurabilité de certains risques de plus en plus protéiformes ? Quelle place pour les captives en cette année 2024 ?

L’inassurabilité de certains risques devient plus tangible à mesure que le temps passe. La considération du risque doit rester la raison d’être pour les assureurs. Je crois cependant à la nécessité d’un partage du risque. La captive permet à l’assuré de prendre sa part et d’engager un dialogue serein avec le marché. Depuis le changement de législation et la loi de finances 2023, le territoire français se montre tout aussi attractif que d’autres domiciliations de captives comme le Luxembourg ou les Bermudes. La France pourrait compter 25 à 30 captives d’ici la fin de l’année. En prévision, l’Amrae a créé la Fédération française des captives d’entreprise (FFCE) pour accompagner ce développement. Les collectivités sont elles aussi confrontées à des problématiques d’inassurabilité énormes, raison pour laquelle l’Amrae s’engage à leurs côtés avec des formations sur la culture du risque. Un prérequis pour envisager l’utilisation de la captive.

Gérer les risques demande du courage. Et les dirigeants d’entreprise savent qu’il s’agit dorénavant de reconnaître leurs vulnérabilités pour manager leurs équipes de façon responsable et pour protéger leurs actifs.

Propos recueillis par Jonathan Banuelos