DossierDocuments contractuels: donneur d'ordre, mesurez bien votre obligation de vigilance!
L'obligation de vigilance qui incombe à l'entreprise donneuse d'ordre vis-à-vis deses fournisseurs est vaste et assez délicate à mettre en oeuvre. Elle est encore mal comprise des entreprises, puisque seule la collecte fait l'objet d'une réelle vigilance. Focus sur ce que recouvre cette obligation.

Sommaire
- L'obligation de vigilance des donneurs d'ordre dépasse la seule collecte
- Le contenu de l'obligation de vigilance
- Un suivi des contrats très aléatoire
- Gestion de l'ensemble des risques fournisseurs
- Le marché des plateformes dédiées
- De la collecte à la gestion de la relation fournisseurs
- [ITW] "Le donneur d'ordre devient contrôleur du respect du Code du travail"
- Le risk manager , toujours plus indispensable
- Sa mission
- Ses qualités
- Sa formation
- Son salaire
1 L'obligation de vigilance des donneurs d'ordre dépasse la seule collecte
L'émission Cash Investigation du 24 janvier 2017, consacrée à l'industrie du bois, était de ce point de vue édifiante: le patron d'Ikea s'est fait épingler par Élise Lucet sur sa méconnaissance de la provenance du bois utilisé pour ses meubles. En effet, il ne savait pas avec quels sous-traitants son propre sous-traitant travaillait. Un véritable risque d'image pour la marque, l'émission de France 2 étant suivie par plus de 3 millions de personnes et bénéficiant généralement d'un bel écho médiatique.
Car ne pas contrôler ses fournisseurs, c'est finalement ne pas savoir ce qu'il y a dans ses propres produits. Tout le monde se souvient de la viande de cheval dissimulée dans de nombreux plats surgelés, sans que les marques elles-mêmes, Findus et Picard notamment, n'en soient au courant. Méconnaître ses fournisseurs c'est courir un risque d'image, donc, mais aussi un risque économique: en janvier 2016, Air France a été condamné à payer une amende de 150000 euros pour travail dissimulé car elle avait eu recours à un prestataire pour ses agents de sécurité qui sous-traitait auprès d'entreprises off-shore pour éviter de payer certaines heures de travail... Et quid du risque juridique? En effet, comme le rappelle Me Xavier Marchand (), les entreprises sont soumises notamment à un "devoir de vigilance" et doivent collecter différents documents attestant que l'entreprise sous-traitante ne recourt pas au travail dissimulé. Au risque d'être poursuivi pénalement...
2 Le contenu de l'obligation de vigilance
Aucun donneur d'ordre ne vérifie à chaque fois l'authenticité des documents transmis par ses fournisseurs.
Pourtant, les entreprises ne semblent pas toujours mesurer l'importance de cette obligation de vigilance et du contrôle qu'elles doivent effectuer auprès de l'ensemble de leurs fournisseurs. À l'occasion d'un mémoire de troisième cycle sur la sécurisation de la procédure achats, André Anglade a mené une étude auprès de 500 dirigeants (directeurs juridiques, directeurs achats, directeurs financiers, etc.) sur les risques liés aux documents contractuels. Et les résultats sont pour le moins étonnants. Si 91% des entreprises transmettent une liste des documents à collecter à leurs fournisseurs, seules 12% livrent une liste spécifique à chaque attributaire. 74% des donneurs d'ordre interrogés vérifient systématiquement les documents transmis (dates de validité, adéquation, etc.) mais aucun ne vérifie à chaque fois l'authenticité des documents reçus.
"Manque de temps, de moyens, de méthodes... Les entreprises ne savent pas comment collecter les documents contractuels ni comment vérifier leur authenticité, observe André Anglade, l'auteur de l'étude. Pourtant, il y a un véritable suivi de tous ces documents à faire." Il donne l'exemple d'une attestation fournie par une société roumaine: "Il faut se demander si cette entreprise est bien apte à délivrer une attestation", insiste-t-il. Il invite les entreprises à être paranoïaques et à vérifier point par point chaque document transmis. "Si une entreprise se dit habilitée à travailler en hauteur, que ce n'est pas vrai et que le donneur d'ordre ne l'a pas vérifié, il y a un risque de comparaître en correctionnel en cas d'accident grave", alerte André Anglade.
Kbis, attestations Urssaf, liste des travailleurs détachés mais aussi certifications ou encore attestations d'assurance. Les documents à recueillir sont nombreux pour s'assurer que le fournisseur est bien habilité à faire telle ou telle tâche, qu'il n'a pas recours à des travailleurs détachés ou encore qu'il est bien assuré. "Lorsque j'organise un feu d'artifice, avant même de regarder le montant de la prestation, j'étudie la police d'assurance, notamment pour m'assurer que le montant de l'indemnisation en cas d'incident est suffisant", indique Stéphane Roussin, chef du service maîtrise d'oeuvre et événementiel de la tour Eiffel.
3 Un suivi des contrats très aléatoire
Jean-Charles Savornin, fondateur de Projectence, société de conseil en organisation, pointe le fait qu'aujourd'hui, n'importe quel opérationnel peut contracter avec un fournisseur sans forcément passer par le service en charge des contrats (achats, juridique, financier, selon les entreprises). Dans ces conditions, qui est au courant que ce contrat existe et qu'il peut faire courir des risques? Et même quand le processus de signature du contrat est respecté, avec appel d'offres et supervision juridique, le suivi du contrat n'est pas toujours assuré. Et des risques liés non plus. Qui se charge de vérifier de la validité des documents contractuels? Bien souvent, personne...
"Manque de temps, de moyens, de méthodes... Les entreprises ne savent pas comment collecter les documents contractuels ni comment vérifier leur authenticité." André Anglade
Autre problématique: selon Jacky Dubuisson, dirigeant de la société d'assistance à la maîtrise d'ouvrage et d'oeuvre Asfalys, beaucoup de dirigeants décident de fermer les yeux quand le fournisseur sélectionné tarde à remettre les documents ou transmet des documents non valides. "Recommencer tout un processus de sélection d'un fournisseur fait perdre du temps à un projet. Et le service risque, de plus, de perdre le budget qui lui était alloué", avance-t-il.
C'est donc avant tout d'une question d'organisation dont il s'agit. Collecter les documents contractuels, ça ne s'improvise pas. Première chose à mettre en place: une bonne gestion des contrats. "Il est impératif d'avoir une rédaction attentive des contrats de prestation de services, notamment quant au régime de responsabilité et à la vérification de l'intégration, souvent en annexes, des exigences techniques qui s'imposent au prestataire", insiste Flore Maunier, responsable juridique chez In Extenso. Dès le contrat, doit apparaître la liste des documents que le prestataire est dans l'obligation de fournir ainsi que la fréquence avec laquelle il doit les transmettre. "Des pénalités financières en cas de non-transmission régulière de ces documents doivent être prévues, estime Bruno Frel, expert achats responsables Groupe Afnor. Et aucun projet ne doit débuter si l'ensemble des documents demandés n'a pas été récupéré." David Museur, fondateur de la société de gestion des risques RiskAttitude, conseille d'appeler les assureurs avant même de signer les contrats, pour être sûr que le prestataire est bien assuré.
À lire aussi: "Sécuriser sa chaîne fournisseurs"
4 Gestion de l'ensemble des risques fournisseurs
Cette bonne gestion des contrats passe également par de la pédagogie en interne pour faire prendre conscience des risques à nouer des contrats sans supervision juridique. Ensuite, l'ensemble de ces contrats doit être centralisé afin d'avoir une vision exhaustive des prestataires avec lesquels l'entreprise est liée et quelles sont les obligations des deux parties.
Il s'agit ensuite non pas de simplement les stocker dans une contrathèque mais bien de gérer chacun de ces contrats tout au long de leur vie. "Un contrat se gère dans le temps: il faut des indicateurs, une équipe dédiée. Cela permet de minimiser le risque dans la gestion de la relation avec le prestataire externe", pointe Stéphane Jullien, directeur de la stratégie informatique chez In Extenso. Notamment en s'assurant de la bonne collecte des documents contractuels. Mais aussi en analysant chacun des documents reçus. "Ces documents sont une photo à un instant t. Ce qui est important, c'est de les analyser afin d'identifier les risques, de prévoir des plans de sauvegarde", pense Hicham Abbad Andaloussi, directeur commercial et associé de KLB Group. Par exemple, stocker une attestation d'assurance dont le montant d'indemnisation n'a pas été analysé ne sert à rien.
De nombreux outils existent pour aider les entreprises dans cette tâche (voir dédiées à la gestion des documents contractuels). Et le sujet des documents contractuels peut être une porte d'entrée pour une gestion plus large des contrats et des risques fournisseurs. "Les entreprises en profitent généralement pour aller plus loin et mettre en place une politique plus globale de gestion du risque", observe André Brabant. En effet, une fois la collecte de documents réglementaires organisée, on peut l'étendre à d'autres types de documents sur la santé financière du fournisseur, sa dépendance, ses engagements RSE, etc. Et gérer ainsi l'ensemble des risques fournisseurs.
Quelle fonction pour assumer la collecte des documents contractuels?
Juriste, acheteur, financier: quelle fonction va être le plus à même de collecter ces documents, d'en vérifier l'authenticité et d'en contrôler la validité? Et comment cette personne doit-elle s'organiser? L'opération semble si complexe à mettre en oeuvre et si coûteuse que certaines entreprises ont tout bonnement abandonné. "Les entreprises ne sont pas conscientes des risques encourus, sauf celles qui ont déjà été confrontées à des problèmes", constate Olivier Audino, directeur de Buy Made Easy. Il souligne le coût que représente une bonne gestion de ce risque: "Relancer les fournisseurs, vérifier les documents, les mettre sur un serveur sécurisé, vérifier la validité... Cela exige d'y consacrer une personne à temps plein." D'autant plus parce que les documents doivent être réactualisés régulièrement, leur validité étant souvent de seulement quelques mois: "Cette réactualisation est très chronophage. Ce qui fait que beaucoup d'entreprises sont hors-la-loi", estime Hicham Abbad Andaloussi, directeur commercial et associé de KLB Group, société spécialisée dans l'implémentation de projets.
Une fonction est en train de monter en puissance: celle de contract manager, dont le rôle est de s'occuper de la gestion des contrats. Pour plus d'informations sur ce sujet, découvrez l'article "Non le contract manager n'est pas un juriste contrats déguisé!"
Kbis, attestation Urssaf, polices d'assurance... Les donneurs d'ordre sont dans l'obligation de collecter un grand nombre de documents auprès de leurs prestataires. Une obligation mal maîtrisée, d'où un risque pas toujours bien mesuré par les entreprises.
5 Le marché des plateformes dédiées
Ils sont pour l'instant au nombre de six.
Six prestataires sur le marché qui proposent aux donneurs d'ordre et aux fournisseurs des plateformes pour collecter l'ensemble des documents contractuels. "Ces nouveaux acteurs collectent les documents à la place des entreprises et se chargent de leur validité", précise Hicham Abbad Andaloussi, directeur commercial et associé de KLB Group, société spécialisée dans l'implémentation de projets.
Lire aussi : [Naming] e-Attestations devient Aprovall
Les différences entre ces six prestataires ont trait à leur business model. Certains font payer le service aux fournisseurs, comme Attestation Légale, d'autres aux donneurs d'ordre, comme e-Attestations, ou aux différents services proposés. e-Attestations, par exemple, propose une traçabilité des moyens de paiement pour lutter contre la fraude ou encore le calcul de la dépendance d'un fournisseur. Tandis qu'Attestation Légale fait partie du GIE Opéra avec Actradis.fr, ce qui offre l'avantage de regrouper les documents collectés auprès des fournisseurs par les deux sociétés.
"Un outil d'aide à la décision qui permet d'analyser le niveau de risque de travailler avec tel ou tel fournisseur." André Brabant
Quelles que soient les différences de ces plateformes, toutes offrent l'avantage d'externaliser cette gestion des documents contractuels. Les fournisseurs sont invités par e-mail à déposer leurs documents que les donneurs d'ordre n'ont plus qu'à aller récupérer. Les prestataires sont relancés par téléphone, alertés lorsque les documents arrivent à expiration, etc. "Nous proposons aux entreprises prestataires de nous signer un mandat de collecte qui nous permet d'appeler nous-mêmes les organismes pour les mises à jour", ajoute Saena Guillon, directrice grands comptes chez Attestation Légale. Une vérification de la validité et de l'authenticité des documents est également généralement faite. Le Kbis est souvent acheté directement auprès du tribunal de commerce. Quant à l'attestation Urssaf, un code sur le document permet de s'assurer de son authenticité sur le site de l'Urssaf, vérification que réalisent généralement les prestataires.
Cette validation de l'authenticité des documents est plus difficile à réaliser du côté des polices d'assurance ou des organismes certificateurs. "En plus de l'attestation, nous faisons remplir au fournisseur un document précis pour s'assurer de la bonne conformité entre les deux", indique Emmanuel Poidevin, fondateur et dirigeant d'e-Attestations. Ce qui fait regretter à Sébastien Baron, Daf/DRH de KLB Group, que les assureurs ne soient pas intégrés à ces plateformes: "Il faudrait permettre aux assureurs ou au tribunal de commerce de poster directement les documents d'assurance ou les extraits de Kbis sur la plateforme", imagine-t-il.
6 De la collecte à la gestion de la relation fournisseurs
Mais externaliser ne veut pas dire pour autant se désintéresser. L'entreprise donneuse d'ordre doit continuer à suivre scrupuleusement les documents légaux reçus, pour s'assurer que son obligation de vigilance est bel et bien remplie, mais aussi parce que ces documents légaux sont une mine d'or en termes d'informations. "Ces plateformes doivent être ouvertes au plus grand nombre au sein de l'entreprise afin que les opérationnels puissent vérifier ce qu'il en est au niveau de tel ou tel fournisseur, avant même de signer un contrat", conseille Alain Alleaume, associé chez Altaris.
Et ce d'autant plus si l'entreprise a décidé d'aller plus loin que la simple collecte des documents contractuels. Car il existe également des plateformes de gestion des risques, comme RiskAttitude, VigiLegal ou Acesia®, qui font des vérifications plus poussées (contrôles auprès des assureurs et des organismes certificateurs pour RiskAttitude) et/ou plus larges. VigiLegal collecte, par exemple, des documents liés aux substances chimiques ou encore spécifiques au secteur du transport ; Acesia® évalue le risque fournisseurs à partir d'un questionnaire et d'attestations. Car si les plateformes spécialistes des documents contractuels vont petit à petit vers la gestion du risque financier (vérification de la santé financière du fournisseur ou encore de sa dépendance), il faut souvent aller vers d'autres outils ou prestataires pour gérer l'ensemble des risques.
Restent les solutions de gestion de la relation fournisseurs comme BravoSolution ou Orgasoftware. "Ce qui est intéressant avec des solutions comme celle que propose BravoSolution, c'est la possibilité de suivre le contrat et ce qui a été effectivement négocié: il retrace tous les échanges autour du contrat, des documents légaux aux problèmes rencontrés avec les fournisseurs en passant par les avenants", pense Marielle Terrier, avocate au sein du cabinet Mateia. Il est essentiel d'avoir cet historique en cas de contentieux. Et le pilotage des risques liés au contrat se fait, grâce à ce genre d'outil, de A à Z, depuis les négociations jusqu'aux prestations effectivement réalisées en passant par les éventuelles modifications. Tout est tracé, rien n'est laissé de côté.
"Le contexte pousse les entreprises à mettre en place un processus sécurisé autour du contrat. Il y a une exigence de pilotage du risque lié au contrat. Les entreprises ont donc besoin de sécurité, de traçabilité, d'auditabilité", note Maurice Hamoir, business developer chez BravoSolution. Avec ce genre d'outil, aucun risque ne devrait donc être, en théorie, oublié. "Ce n'est pas juste un outil pour déposer des documents légaux: c'est un outil d'aide à la décision qui permet d'analyser le niveau de risque de travailler avec tel ou tel fournisseur. L'objectif est aussi de construire une véritable relation et stratégie avec les fournisseurs", souligne André Brabant, CEO d'Orgasoftware. Bruno Frel propose quant à lui de réaliser une cartographie des risques pour chaque segment d'achat. Mais c'est un autre projet...
Quel coût ?
Les prestataires spécialisés dans la collecte des documents contractuels offrent l'avantage de mutualiser ce travail avec d'autres entreprises et donc de gérer cette problématique à moindre coût. En effet, chez Attestation Légale, les fournisseurs payent un abonnement de 24,50 euros HT par mois tandis que les donneurs d'ordre qui ont recours à la plateforme e-Attestations s'en sortent pour environ 4 000 euros par mois (pour la partie réglementaire pure). Quant aux solutions de gestion de la relation fournisseurs comme BravoSolution ou Orgasoftware, le coût est d'environ 100 000 euros.
Si la gestion des documents contractuels est un casse-tête pour les entreprises, des outils offrent une véritable assistance. L'occasion d'être en conformité à moindre coût. Qui sont ces prestataires? Quel est leur business model? Explications.
7 [ITW] "Le donneur d'ordre devient contrôleur du respect du Code du travail"
> Dans un cadre contractuel, quels sont les documents que les entreprises ont l'obligation de recueillir?
Le Code du travail indique que, lorsqu'une entreprise confie à un prestataire une mission dont le montant annuel dépasse 5000 euros, elle doit se faire remettre les documents qui prouvent que le prestataire est en situation légale. C'est ce qu'on appelle le devoir de vigilance. Ce devoir de vigilance aura en principe été rempli si ont été collectées la fiche d'identité du prestataire (Kbis) et l'attestation de vigilance selon laquelle l'entreprise est à jour dans ses cotisations Urssaf. Ces documents doivent être recueillis au plus tard à la signature et tous les six mois.
> La loi engage également les entreprises à lutter contre le travail dissimulé...
Le donneur d'ordre doit en effet vérifier que le prestataire n'a pas recours au travail dissimulé. Il doit encore s'assurer que le personnel est bien déclaré et que les travailleurs étrangers détachés de manière temporaire sont correctement logés et traités selon le Code du travail français en matière d'horaires de travail et de paiement des heures supplémentaires. Le donneur d'ordre doit également faire attention au délit de marchandage: des sous-traitants réguliers, dépendants et qui n'apportent pas de spécificités en termes de savoir-faire peuvent être considérés comme liés par un contrat de travail au prestataire. Il s'agit là encore de travail dissimulé. Il faut donc s'assurer de la cohérence économique et technique de l'opération à tous les niveaux, entreprise principale comme sous-traitants. Le donneur d'ordre devient en quelque sorte contrôleur du respect par le prestataire et ses sous-traitants du Code du travail.
> Quels sont les risques encourus par le donneur d'ordre s'il ne collecte pas ces informations?
Si les documents ne sont pas collectés ou s'ils ne sont pas à jour, le donneur d'ordre peut être amené à payer en lieu et place du prestataire les salaires et cotisations non payées. Ces règles sont par ailleurs sévèrement sanctionnées pénalement. La collecte de ces documents légaux n'est cependant pas sans inconvénient car cette opération pose la question de la sécurité des données collectées. En effet, la loi sur la sécurité numérique prévoit que les personnes qui collectent des données engagent leur responsabilité pénale quant à la sécurité des données collectées. Le donneur d'ordre doit donc collecter mais encore protéger le fruit de cette collecte.
> Quels conseils donnez-vous à vos clients pour se prémunir contre ces risques?
Les meilleurs conseils sont ceux que l'on peut suivre aisément. La mise en place de procédures simples mais obligatoires en interne est vivement recommandée. Ainsi, nous conseillons à nos clients d'adopter le système des trois enveloppes: une pour les documents administratifs (K-bis, attestation de vigilance, attestation d'assurance) et les conditions administratives signées (charte éthique et conditions générales régularisées) ; une pour la prestation technique (avec un contrôle que l'ensemble des besoins exprimés ont reçu une réponse claire et sans ambiguïté); la dernière pour l'offre financière. Chacune de ces enveloppes n'est ouverte que si la précédente est complète, le tout étant vérifié par un tableau Excel à cocher pour s'assurer que tous les documents sont bien collectés. Un tel process permet de se protéger notamment en justifiant auprès de l'inspection du travail que les procédures sont sérieuses.
En cas de travail dissimulé de la part d'un de ses prestataires, le donneur d'ordre encourt un risque pénal. Xavier Marchand, avocat spécialiste de la gestion des contrats et des risques, revient sur la nécessité de recueillir différents documents et informations afin de se protéger.
8 Le risk manager , toujours plus indispensable
Apparu en France il y a une vingtaine d'années, le métier de risk manager n'est plus l'apanage de sociétés du CAC 40. Selon les chiffres de l'Association pour le management des risques et des assurances de l'entreprise (AMRAE), 63% des risk managers sont actuellement employés par des grands comptes contre 74% en 2013. Un gestionnaire de risques sur trois travaille aujourd'hui au sein d'une ETI ou d'une PME. "La tendance dans les ETI est au recrutement de risk managers", confirme François Malan, vice-président de l'AMRAE. Logique. "Le risque est monté dans la liste des priorités des entreprises, note Marc Bartel, associé au sein du cabinet de conseil en recrutement Heidrick & Struggles. Certaines commencent même à le considérer comme un outil offensif et un avantage concurrentiel."
9 Sa mission
Le gestionnaire de risques assure tout ou partie du risk management. Selon le référentiel métier de l'AMRAE, cette fonction recouvre l'appréciation, la maîtrise et le financement du risque. Mais aussi la gestion des événements non assurés ou non assurables, des sinistres et des situations de crise. En amont, c'est le risk manager qui définit les missions et la structure du dispositif de gestion de risques dont il assure le pilotage. Il travaille également à la diffusion de la culture du risque dans l'entreprise.
Au quotidien, le risk manager surveille une vaste palette de menaces. Les principales sont les fraudes, les risques opérationnels, environnementaux et de sécurité. Mais ce terrain de jeu a beaucoup évolué depuis deux ans avec l'essor de nouveaux risques liés au digital. "La principale actualité du métier, c'est la cybersécurité, affirme Stéphane Romano, codirigeant du cabinet de recrutement Cala Partners. Tous les secteurs d'activité et toutes les entreprises sont concernés." Malwares, ransomwares, fraudes au président... "Les attaques sont toujours plus nombreuses et coordonnées, confirme François Malan. On a affaire à une criminalité organisée." La menace est d'autant plus élevée que le risque de cybercriminalité peut se doubler d'un risque de réputation, par exemple dans le cas d'un piratage des données clients. Précisons également que le contexte économique difficile a fait remonter le risque de défaillance des fournisseurs. Celui-ci se classe en cinquième position du baromètre établi par l'AMRAE.
10 Ses qualités
Au-delà des compétences techniques indispensables (réaliser une cartographie des risques, bien choisir une police d'assurance, maîtriser l'anglais...), le gestionnaire de risques doit également faire preuve de grandes qualités personnelles. "Il doit être un excellent communicant, souligne Marc Bartel. Il doit être courageux et avoir une capacité à convaincre le management et les opérationnels que ce qu'il raconte est important." Ces soft skills lui permettent de se mouvoir avec agilité dans une fonction transversale.
Pour François Malan, le gestionnaire de risques est aussi un homme de réseau. Réseaux physiques ou virtuels qu'il cultive pour faire remonter des informations et se tenir à jour en permanence. "Ces échanges de bonnes pratiques sont utiles parce qu'il faut parfois réagir vite." Face à l'essor du digital, "le risk manager doit également être capable d'appréhender, influencer et maîtriser les technologies", ajoute Stéphane Romano.
Organisé, curieux, patient, le risk manager sait résister au stress et gérer une situation de crise. La capacité à manager est également une donnée importante dans un contexte d'élargissement des équipes.
"La tendance dans les ETI est au recrutement de risk managers." François Malan
11 Sa formation
Selon les chiffres de l'AMRAE, les risk managers âgés de plus de 35 ans ont pour la plupart suivi une formation dans le commerce, la gestion et l'économie (31%), le droit (24%) ou les sciences et l'ingénierie (21%). "Auparavant, on trouvait surtout des spécialistes de l'assurance issus du droit, mais aujourd'hui, on recherche davantage des profils polyvalents qui viennent de formation en gestion, observe François Malan. Les entreprises ont besoin de profils qui connaissent bien ses mécanismes et ce qui est susceptible de les gripper."
Depuis quelques années, des formations initiales ou executive MBA dédiés à la gestion de risques se structurent (Sorbonne, Enass...). "La formation théorique se développe. C'est le signe d'une prise de conscience de l'importance du risk management", constate Marc Bartel. La formation continue se renforce également autour de cursus certifiants ou diplômants tels que le Cefar de l'AMRAE ou la certification européenne Rimap.
12 Son salaire
Ces dernières années, le niveau des salaires a peu évolué. Selon l'étude de l'AMRAE, le gestionnaire de risques "top manager" perçoit en moyenne une rémunération fixe brute de 108k€ par an. Les "non top managers" bénéficient pour leur part d'une rémunération annuelle de 84k€. À cela s'ajoute, pour la majorité des risk managers, une part variable inférieure à 15%. L'expérience du salarié, la taille de l'entreprise, le rattachement hiérarchique et même le mode de recrutement ont une influence directe sur le niveau de rémunération du gestionnaire de risques. "Certains profils seniors peuvent dépasser les 150k€ par an", précise François Malan.
Rattachement et profil
Cette fonction, très transversale, est généralement rattachée en n - 2 à la direction générale de l'entreprise et dépend très souvent directement de la direction financière. Dans certains cas, le risk manager peut être rattaché au secrétariat général voire à la direction juridique.
Le profil du gestionnaire de risques est plutôt celui d'un professionnel expérimenté. La plupart arrivent en poste après quarante ans et une quinzaine d'années d'expérience. "C'est une personne qui doit maîtriser ses sujets et être crédible auprès de la direction générale. Cela raréfie les profils", note Stéphane Romano.
Le risk manager a très souvent un profil senior. Selon l'AMRAE, 39% d'entre eux cumulent plus de dix ans d'expérience en gestion des risques. "C'est un métier que l'on apprend avec le temps", estime François Malan. Marc Bartel nuance toutefois: "Comme les départements gestion des risques dans les grandes entreprises ont tendance à se développer, ils ont aussi besoin d'intégrer des juniors."
Avec l'émergence des dangers notamment liés au digital, la gestion des risques fait désormais partie des priorités stratégiques des entreprises. Et la fonction de risk manager s'étend aux ETI, voire aux PME. Son rôle: identifier, prévenir et financer l'ensemble des risques.
Sur le même thème
Voir tous les articles Ecosystème