[Gestion des risques] Le risk manager, un allié précieux de la direction achats

Apparue en France il y a une vingtaine d'années, la fonction de risk manager a aujourd'hui largement pris ses quartiers chez les grands comptes et tend même à se démocratiser dans les ETI voire les PME. Une tendance de fond qu'explique Marc Bartel, associé au sein du cabinet de conseil en recrutement Heidrick & Struggles : "Le risque est monté dans la liste des priorités des entreprises. Certaines commencent même à le considérer comme un outil offensif et un avantage concurrentiel." Le gestionnaire de risques travaille en étroite collaboration avec la direction générale, la direction financière et la DSI. Mais il a également son rôle à jouer auprès de la direction des achats. Et pour cause, le contexte économique difficile a renforcé significativement le risque de défaillance des fournisseurs. Celui-ci se classe même en cinquième position des risques pris en charge par le risk manager, dans le dernier baromètre en date de l'Association pour le management des risques et des assurances de l'entreprise (AMRAE). En effet, 67% des gestionnaires de risques interrogés citent le risque fournisseurs comme faisant partie de l'univers des risques qu'ils sont amenés à gérer au quotidien, derrière les risques opérationnels, de fraude, environnementaux et de sécurité. Pour autant, la bonne entente entre le risk manager et la direction achats ne va pas toujours de soi. "Cette relation dépend beaucoup de la culture de l'entreprise, observe François Malan, vice-président de l'AMRAE. On se rend compte que parfois ces deux fonctions éprouvent des difficultés à travailler ensemble et qu'il peut y avoir des tensions. La raison, c'est que la direction achats est très orientée sur les prix et le moins disant. Or, le risk manager a besoin de définir un cahier des charges qui ne soit pas seulement basé sur le coût mais qui prenne aussi bien en compte l'ensemble des risques liés à la transaction."

Main dans la main

Grâce à sa méthodologie et sa capacité à cartographier précisément les risques encourus, le risk manager apporte une plus-value certaine à l'acheteur. Son rôle est précisément celui d'un garde-fou face aux multiples risques fournisseurs (choix de prestataires pérennes, compétence, qualité des produits, non-défaillance, etc.) ainsi que l'émergence de risques nouveaux (risque de réputation, cybercriminalité...). "Dans un contexte économique peu florissant, la tendance est de vouloir réduire les coûts à tous les niveaux, mais cela ne doit pas se faire au détriment de la prise en compte du risque", estime Stéphane Romano, codirigeant du cabinet de recrutement Cala Partners. L'équipe en charge de la gestion des risques et la direction achats doivent travailler main dans la main." "Le rôle du risk manager est de s'assurer que les fournisseurs respectent bien les règles d'éthique, renchérit Marc Bartel. Il doit alerter la direction achats sur ces sujets et veiller à ce qu'il y ait bien, dans les contrats, des clauses qui empêchent par exemple les fournisseurs à recourir au travail des enfants. Il doit s'assurer de qui est le vrai producteur, d'où viennent les produits et que la réglementation est bien respectée." Autant de préoccupations qui ont un prix, mais "mieux vaut payer un peu plus cher et que le risque soit proche de zéro"

Les missions du risk manager

Le gestionnaire de risques assure tout ou partie du risk management. Selon le référentiel métier de l'AMRAE, cette fonction recouvre l'appréciation, la maîtrise et le financement du risque. Mais aussi la gestion des événements non assurés ou non assurables, des sinistres et des situations de crise. En amont, c'est le risk manager qui définit les missions et la structure du dispositif de gestion de risques dont il assure le pilotage. Il travaille également à la diffusion de la culture du risque dans l'entreprise. Cette fonction très transversale est généralement rattachée en N-2 à la direction générale de l'entreprise. Elle dépend très souvent directement de la direction financière. Dans certains cas, le risk manager peut être rattaché au secrétariat général ou à la direction juridique.

À l'origine, la fonction s'est construite autour de professionnels de l'assurance et la prévention (AP) en charge de transférer le risque aux assureurs. Puis, au fil des années est apparu un profil orienté entreprise risk management (ERM) qui intervient en amont dans l'identification et la qualification des risques. "La porosité entre les deux fonctions continue et nous constatons qu'un nombre croissant de risk managers possède les deux profils, analyse François Malan. Cela a du sens car pour bien assurer, il faut d'abord bien connaître les risques. Par ailleurs, certaines entreprises ne peuvent pas, pour des raisons financières, avoir une personne qui fait de l'AP et une autre qui fait de l'ERM." Selon le dernier baromètre publié par l'association, 39% des risk managers ont la double facette AP et ERM, contre 31% il y a deux ans.

Au quotidien, le risk manager surveille une vaste palette de menaces. Les principales sont les risques opérationnels, de fraude, environnementaux et de sécurité. Mais ce terrain de jeux a beaucoup évolué depuis deux ans avec l'essor de nouveaux risques liés au digital. "La principale actualité du métier, c'est la cybersécurité, affirme Stéphane Romano. Tous les secteurs d'activité et toutes les entreprises sont concernés." Malwares, ­ransomwares, fraudes au ­président... "Les attaques sont toujours plus nombreuses et coordonnées, confirme François Malan. On a affaire à une criminalité organisée." La menace est d'autant plus élevée que le risque de cybercriminalité peut se doubler d'un risque de réputation, par exemple dans le cas d'un piratage des données clients.

Généralement issu d'un cursus en gestion, droit ou ingénierie, le risk manager a très souvent un profil senior. "C'est un métier que l'on apprend avec le temps", estime François Malan. "C'est une personne qui doit maîtriser ses sujets et être crédible auprès de la direction générale. Cela raréfie les profils", confirme Stéphane Romano. Toutefois, le développement des départements gestion des risques au sein des grands comptes pousse au recrutement de profils juniors issus de formations dédiées (Sorbonne, Enass...).