Chief Risk Officer : ouvrir le regard

Des enjeux de conformité à la crise du Covid-19, le chief risk officer a dû faire face à des défis toujours plus complexes depuis dix ans. Comment peut-il évoluer dans son rapport au temps et appréhender de nouveaux enjeux ?

Il y a des prises de postes qui ne s’oublient pas. Après trente ans de carrière, Jean-Christophe Mérer a été nommé directeur des risques groupe chez CNP Assurances… aux prémices de la pandémie de Covid-19. « C’est une fonction que j’ai découverte sur le tard, résume cet économiste de formation, actuaire certifié IA. J’ai vite connu mon baptême du feu ! » Et il est loin d’être le seul à avoir été surpris. Qui aurait pu anticiper cette crise et ses bouleversements ? Vice-président de l’Association pour le management des risques et des assurances de l’entreprise (Amrae) et directeur des risques et assurances chez Sonepar, François Beaume rappelle que le danger avait pourtant été identifié. « Si vous regardez les rapports du Forum économique de Davos, le risque pandémique, un temps catégorisé comme majeur, a commencé à tomber dans le classement, notamment après les épidémies de SRAS et d’Ebola, probablement parce qu’elles n’avaient pas eu un impact aussi important qu’attendu », explique-t-il.

Se projeter dans le long terme

« Quand vous avez éliminé l’impossible, tout ce qu’il reste, y compris l’invraisemblable, peut être vrai. » Rarement la profession de foi de Sherlock Holmes aura sonné aussi juste au sein de la profession. « Les métiers du risque ont été pensés pour être très opérationnels, relève David Dubois, directeur des partenariats chez Prévoir-Vie, actuaire certifié IA et conseiller scientifique de L’Actuariel. Il faut remplir les tableaux de bord et les rapports attendus par les directions générales. Nous nous contentons de tâches qui, même bien faites, demeurent très court termistes. Or, en termes de risque, la projection à moyen ou long terme est essentielle. Je ne suis pas sûr que les assureurs intègrent encore suffisamment les effets du réchauffement climatique à vingt ou trente ans, par exemple. Nous raisonnons plutôt en parts de marché et en objectifs de satisfaction des clients. »

Et s’il fallait repenser les métiers du risque et la fonction de chief risk officer (CRO) ? Cet observateur voit en cette période de crise sanitaire un moment propice pour insuffler une nouvelle dynamique au secteur. En cela, il fait écho à une préoccupation croissante de la profession : selon le dernier baromètre (1) de la Fédération européenne du risk management (Ferma), 40 % des CRO sondés déclaraient avoir déjà ou vouloir intégrer les critères environnementaux, sociaux et de gouvernance (ESG) à leur fonction, sans être forcément suffisamment équipés pour.

En juillet 2020, l’Observatoire actuariel de la crise du coronavirus – commandé par l’Institut des actuaires – ne disait guère autre chose (2) : « Les modèles de calculs, qu’il s’agisse des scénarios pandémie, de l’Orsa ou des tables de mortalité tels qu’ils sont proposés dans Solvabilité II, sont loin de la  réalité d’une crise extrême comme celle du Covid-19. Notamment parce qu’ils ne tiennent pas du tout compte de l’interconnexion actuelle entre crise sanitaire et crise économique et sociale. »

Imaginer les grandes transformations

Virginie Le Mée appuie ce questionnement. Récemment nommée directrice générale de l’Union mutualiste Retraite (UMR), cette actuaire certifiée IA a passé l’es-sentiel de sa carrière comme CRO à la Macif, à la MACSF ou chez Axa où elle a vu le métier évoluer. « Solvabilité II nous cantonne à des événements techniques et financiers à court terme, pointe-t-elle. Même dans les exercices Orsa que l’on nous demande de faire, il faudrait voir plus loin, plus large et davantage imaginer l’inimaginable. »

Imaginer l’inimaginable… Certes, mais à quel horizon ? Pour Jean-Christophe Mérer, envisager le plus long terme devient indispensable. « Lorsque nous regardons les grandes transformations qui sont devant nous, comme les conséquences des taux d’intérêt bas ou négatifs, ce sont souvent des horizons à plus de cinq ans. Cela vaut aussi pour le risque climatique, sans parler d’autres problématiques à long terme, comme les questions de dépendance ou de retraite », souligne-t-il. Il encourage à regarder plus loin : « Notre métier doit adopter une approche plus prospective et non limitée à des perspectives à court ou moyen terme. »

Pour François Beaume, la question se discute. Hors du secteur de l’assurance, l’horizon à cinq ans lui semble suffisamment adapté aux business plans et à l’activité de son entreprise, spécialisée dans la distribution de matériel électrique. Il rejoint toutefois les préoccupations de l’assurance quand il plaide pour une meilleure identification des signaux faibles et l’anticipation de risques inattendus potentiels à très court terme.

« Un risque de tempête solaire, par exemple, peut être intégré à notre cartographie des risques. Nous intégrons des risques systémiques, même faibles, qui, s’ils se produisaient, auraient des impacts très significatifs », expose-t-il. Cela est en effet rare, mais possible. À ce jour, la tempête solaire de 1859 (également connue sous le nom d’événement de Carrington) demeure la plus violente tempête solaire enregistrée ayant frappé la Terre. À l’époque, elle avait fortement perturbé les télécommunications par télégraphe. Un siècle et demi plus tard, nous pouvons déjà imaginer les conséquences d’une éruption solaire similaire sur nos réseaux…

L’exemple rappelle quelques souvenirs à Virginie Le Mée : alors directrice des risques à la Macif, elle avait justement monté avec l’École de guerre économique un exercice de simulation grandeur réelle avec tous les membres du Codir. « Nous les avions mis en situation de black-out total. Dans notre scénario, un directeur, à Niort, était soudain dans l’incapacité de discuter avec ses opérationnels et la direction générale. Il était coupé du monde et de tous les circuits de décision classiques », se souvient-elle. L’exercice montre à la fois la nécessité de préparer des moyens de communication alternatifs, mais aussi d’anticiper d’autres risques méconnus, comme la gestion du stress dans de telles circonstances. « L’exercice a duré plus d’une demi-journée et chacun en est ressorti grandi. Après, l’écoute de la direction n’est plus la même ! »

Accroître l’intérêt des directions générales

Car si transformation il y a, ne doit-elle pas être générale ? « Je pense que les autorités de tutelle, comme l’ACPR, peuvent aussi encourager ce changement », abonde David Dubois. Selon lui, ces organes de supervision pourraient doper cet élan, voire, à terme, l’imposer en révisant la réglementation en cours (lire interview). Mais, en attendant, rien ne pourra changer sans une posture volontariste des CRO eux-mêmes, sous certaines conditions. « Ils peuvent déjà insuffler dans l’entreprise l’idée que l’on doit sortir de cette vision à trois ou cinq ans, poursuit-il. Cela demande de l’imagination, le courage de dire les choses, et une capacité à s’ouvrir à d’autres univers. Mais pour changer, il faut aussi des directions générales à l’écoute et en capacité de mettre en place certaines recommandations qui ne paraissent pas forcément nécessaires à court terme. C’est aussi cela qui conditionnera la capacité à faire bouger l’entreprise. »

Au moment de l’entrée en vigueur de Solvabilité II, Virginie Le Mée se souvient avoir travaillé avec l’Institut des actuaires sur la place du CRO. « Je disais déjà que la fonction gestion des risques devait être occupée par un profil qui soit assez mature pour comprendre tous les risques techniques, et qui ait en même temps assez de force de conviction pour pouvoir affronter un directeur général et le convaincre de sortir de sa logique et de son environnement. Il faut pouvoir faire entrer une direction dans une sorte de zone d’inconfort où elle pourrait imaginer le pire. » En gardant à l’esprit un enjeu essentiel : « Nous mettre en situation, quel que soit l’événement générateur, et en limiter les impacts, voire la faillite pour un organisme. »

Chez CNP Assurances, Jean-Christophe Mérer assume devoir parfois jouer les Cassandre. « La fonction risque doit être là pour éclairer et faire quelques “provocations” avec l’aval d’une direction. » Mais ce directeur des risques rappelle qu’il n’est pas seul. « C’est aussi un travail porté par le secteur. Un responsable des risques doit pouvoir échanger au niveau du secteur avec des risk managers d’autres compagnies, dans des instances officielles. » Lui-même anime un groupe de travail au niveau de la Fédération française de l’assurance (FFA) sur les risques émergents. « Une participante évoquait récemment le tremblement de terre de Messine de 1908, entre le nord-est de la Sicile et la pointe sud-ouest de la Calabre, qui avait fait entre 75 000 et 200 000 morts. Dans nos travaux, nous nous sommes demandé ce qui se passerait aujourd’hui si un tremblement de terre de cette magnitude se reproduisait en Italie. » Au-delà des biens assurés, comment mesurer l’impact macroéconomique ? Est-ce que le port de Naples continuerait de fonctionner ? En combien de temps l’Italie du Sud se remettrait-elle de la catastrophe avec toutes les conséquences induites sur la supply chain ? Libre à chacun de réfléchir et de partager. La FFA produit aussi chaque année sa cartographie des risques du secteur. CNP Assurances a également lancé un cahier de prospective à horizon 2030 (3) avec des sujets de réflexion à partager. Et l’Amrae, de son côté, renvoie à son observatoire Risk2030 (4). Autant de pistes à suivre.

Accueillir la diversité des cursus

Pour appréhender ces sources à disposition, encore faudra-t-il que les CRO aient assez de moyens, de temps, mais aussi de diversité de profils dans leurs équipes. S’il n’est pas actuaire, François Beaume reconnaît avoir besoin de connaissances en mathématiques et en droit dans ses équipes chez Sonepar. « Pour la partie “captives”, il faut forcément des profils avec le niveau de compréhension nécessaire de Solvabilité II. » Mais sur la gestion pure des risques en entreprise, il encourage une grande diversité de profils qui font la richesse de la fonction. « Ma formation initiale, par exemple, est en biologie moléculaire et en virologie. Ce n’est pas directement lié à la gestion des risques en entreprise mais, quand on y réfléchit, ce n’est pas si éloigné. » Actuaire de formation, Jean-Christophe Mérer est aussi un des rares, parmi ses pairs, à avoir commencé par hypokhâgne. « Je suis naturellement porté vers les sciences humaines, et c’est essentiel dans mon métier aujourd’hui. » Ce directeur des risques se décrit volontiers en « formation continue » grâce à ses lectures, des rapports de l’Ifri au World Economic Forum’s Global Risks Report, en passant par le rapport de la CIA au président des États-Unis, souvent dans l’anticipation. « Il y a beaucoup de matériel disponible. Ensuite, il faut de la curiosité, du temps et de la disposition à lire. »

Le rapport de l’Observatoire actuariel de la crise du coronavirus consacré à la gestion opérationnelle (5) établit que, dans un premier temps du moins, les actuaires formulent de nombreuses réserves sur la façon d’anticiper le « monde d’après ». Face à la hiérarchie, la rigueur scientifique agit comme un « inhibiteur », et une crainte de basculer sur une discussion du type « café du commerce » est souvent formulée. Cela étant, incertitude ne rime ni avec fatalité ni avec inaction, et un travail de prospective est toujours réalisable.

Enrichir et actualiser la formation

Ancien président de l’Institut des actuaires, David Dubois s’interroge sur un enrichissement des cursus dans cette direction. « Si l’on regarde les formations d’actuaires ou de risk managers, aucun module n’est encore prévu pour savoir comment valider un scénario ou des prospectives. Or, cela s’établit avec des méthodes : il faut engager des discussions, aller chercher des experts, échanger avec des gens hors milieu, regarder ce qu’il se passe dans d’autres secteurs d’activité… C’est un premier sujet qui manque dans les formations, mais qui peut s’apprendre », soutient-il. À côté de cette prospective, il relève l’importance de l’interprétation des signaux faibles. « Savoir regarder dans l’actualité quels sujets peuvent se muer en vraie tendance de fond. Ça aussi, ça s’apprend », assure-t-il. François Beaume a ainsi vu son métier évoluer et des sujets « monter » : tout ce qui a trait au digital et aux systèmes d’information, aux nouveaux risques liés à la conformité, mais aussi à la question de la « perte d’exploitation sans dommages ». « Comme dans le cas des manifestations des Gilets jaunes, les magasins ne sont pas forcément physiquement impactés par un événement, mais ils sont dans l’incapacité de fonctionner, illustre-t-il. Ou alors, un problème survient dans la supply chain et la production d’une voiture est interrompue. Ce sujet monte en puissance depuis cinq ou six ans, et crée une complexité supplémentaire en termes de financement et de couverture assurantielle. » `

Développer la transversalité

Plus que jamais, la crise du Covid-19 invite à sortir de tout ce qui a pu être balisé jusqu’ici. « Nous allons renforcer nos compétences en incorporant des risk managers qui ne viennent pas forcément du secteur de l’assurance, capables d’imaginer d’autres scénarios, car ils auront une vision des services, de l’industrie, ainsi que la compréhension des implications opérationnelles », confie Jean-Christophe Mérer. En interne, la création d’une direction de la stratégie doit permettre d’intégrer des compétences en matière de prospective plus transversales, et en lien plus étroit avec l’ensemble de l’organisation. « Nous voulons décloisonner les risques techniques, financiers ou opérationnels, appuie-t-il. Il faudra aussi s’intéresser à tous les aspects de satisfaction clients qui ne sont pas non plus beaucoup regardés par la direction des risques. Or, nous touchons ici à un risque de réputation majeur que nous devons avoir dans notre radar. »

David Dubois l’assure aussi : « Nous ne pouvons plus nous contenter de fonctionner en silo », insistant sur des menaces sous-estimées, comme le risque RH dans l’entreprise. « Tous les risques opérationnels sont relégués au contrôle interne et pas toujours bien pris en compte. De même, la capacité à trouver les bons profils et à faire évoluer les compétences n’est pas dans le scope des CRO et est laissée aux ressources humaines. » Interconnexion des sujets comme des services : ne devrait-on pas attendre d’un CRO qu’il couvre tous les risques de l’entreprise ? « Si quelque chose n’est pas prévu dans Solvabilité II, cela ne veut pas dire qu’il ne faut pas le faire, tranche David Dubois. Mais cela demande de l’envie, de la volonté et du courage. Pour moi, Solvabilité II fixe un cadre a minima. Après, il faut de la ressource, mais cela signifie des ressources humaines, de l’argent, du temps… et des convictions. »