Notre société post-industrielle et mondialisée fait naître de nouveaux risques – image, finances, environnement, approvisionnement, etc. – qui échappent à la quantification et donc à l’assurance traditionnelle. Pour le spécialiste de l’assurance Jean-Laurent Santoni (*), loin de paralyser les DAF, cette situation doit les inciter à accepter de prendre des risques, en travaillant à limiter les conséquences éventuelles de sinistres.
New-CFO : Selon vous, notre entrée dans la société post-industrielle engendre une évolution considérable dans notre manière de gérer les risques. Expliquez-nous !
Jean-Laurent Santoni : C’est une longue histoire, qui épouse celle de l’assurance. Les premières véritables protections contre le risque sont nées à Venise au XIVème siécle, où les marchands voulaient se prémunir des risques de naufrages. Vous noterez d’ailleurs que le mot risque, si cher à nos actuaires, vient de l’italien « risco » qui signifie écueil. Ensuite sont apparues d’autres assurances, par exemple contre la mortalité du bétail. Avec toujours une église catholique qui n’appréciait pas que les marchands essaient de se protéger contre les conséquences de la volonté de Dieu…
Quelques siècles plus tard, avec la révolution industrielle, nous assistons à un mouvement de socialisation du risque. Cela n’a rien à voir avec un dogme politique mais plutôt avec la nécessité de partager des risques comme la perte de travail, les accidents, la pauvreté, la vieillesse. Comme personne ne peut se dire à l’abri, qu’il y a une probabilité d’occurrence des évènements, on peut quantifier le coût de la protection. Et un Etat protecteur peut prendre l’initiative de l’organiser, notamment au profit des plus démunis.
Aujourd’hui, dans la société post-industrielle, nous voyons apparaître de nouveaux risques, pour l’essentiel technologiques, qui ne sont ni visibles, ni quantifiables. Personne n’a vu le trou de la couche d’ozone, et encore moins n’est capable d’en calculer les conséquences. Le risque de dégradation d’une image d’entreprise est également très fort lors de certaines crises, mais impossible à cerner (exemple du Playstation Network de Sony). De fait, nous quittons un modèle probabiliste de gestion des risques pour passer à un modèle déterministe. Je ne sais plus exactement ce qui va arriver, mais je dois me préparer à réagir.
New-CFO : Dans les entreprises, les directions financières vont se retrouver en première ligne ?
Jean-Laurent Santoni : Oui et pour plusieurs raisons. D’abord, au sein de la direction elle-même, parce que le DAF est directement responsable de la protection du patrimoine financier. Il doit donc, désormais, à la fois prendre toutes les mesures pour éviter de lui faire courir des risques, mais aussi prévoir des plans de secours en cas de catastrophe. Nous retrouvons ici la logique qui prévaut dans la directive Bâle 2, qui impose aux établissements financiers d’intégrer dans la gestion des risques « traditionnels » (risques de crédit, risques de contrepartie, …) l’ensemble de leurs risques opérationnels, définis comme les « risques de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes ». Et doivent tenir prêts les fonds propres permettant de faire face.
Ces dernières années, les régulateurs ont produit beaucoup de textes. Leurs exigences portent surtout sur l’existence d’une cartographie des risques et de leurs impacts sur le business, ou sur l’environnement par exemple. Il faut pouvoir prouver ou expliquer (comply or explain) que toutes les mesures avaient été prises pour éviter le sinistre. Et s’il survient quand même, que des plans existent pour en minimiser les effets. Dans une certaine mesure, cela nous ramène à la célèbre formule « responsable, mais pas coupable ».
Les DAF sont également concernés par des évènements métiers. Prenons le cas d’un constructeur automobile qui a pris la décision de s’approvisionner chez un seul fournisseur, au Japon, pour des raisons de performances économiques. La récente catastrophe écologique retarde ses livraisons de pièces détachées, donc celle de ses voitures. Au final, il sera peut-être obligé d’indemniser les clients qui attendent leur véhicule. Nous voyons là qu’il y a eu un risque pris, celui de regrouper les commandes. Les conséquences de cette décision « métier » vont impacter les comptes de l’entreprise. Et l’éventuelle existence d’un plan de secours – diversification des fournisseurs par exemple -, peut en atténuer les effets négatifs.
New-CFO : Cependant la prise de risques est souvent utile. Et le DAF le sait bien. Comment peut-il concilier sa prudence naturelle et sa conscience que des risques calculés peuvent être bénéfiques ?
Jean-Laurent Santoni : Ce qui est certain, c’est que le directeur financier qui n’aime pas prendre de risques va être malheureux désormais ! Parce qu’il ne pourra plus se réfugier dans la seule analyse du passé pour essayer de prévoir ce qui peut arriver. Et que les assurances qu’il pourra prendre face aux 80% de risques non maîtrisables – parce que non mutualisables – qui existent aujourd’hui, ne lui permettrontque de financer partiellement sa survie en cas de sinistre – dans le meilleur des cas.
Il peut en revanche travailler à ce que les sinistres n’arrivent pas, ou moins. Et que leurs conséquences soient maîtrisées et minimisées. Il aura ainsi tout intérêt à s’inspirer du référentiel COSO 2 (**) pour les audits internes qui contient des éléments intéressants pour mesurer l’appétence au risque d’une entreprise, à partir de critères objectifs. Finalement, dans cet univers peuplé de risques, la question essentielle est bien de savoir la part que j’accepte de prendre et celle que je refuse.
(*) Jean-Laurent Santoni est Directeur du développement chez Gras Savoye. Professionnel de l’assurance depuis 35 ans, il s’est intéressé très tôt aux risques associés aux systèmes d’information. Il est co-fondateur du Clusif (club de la sécurité informatique française) et a particulièrement suivi le dossier du passage à l’an 2000 avec le Cigref (Club informatique des grandes entreprises françaises). Il concentre aujourd’hui ses travaux sur le risque dans la société post-industrielle et accompagne les entreprises qui veulent traiter des risques non-maîtrisables.
(**) Une nouvelle notion, le « Risk Appetite » est apparue dans le COSO 2 (COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du contrôle interne et crée un cadre pour évaluer son efficacité). Le « Risk Appetite » est le niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur. Différentes stratégies exposeront l’organisation à différents risques. En conséquence, le « Risk Appetite » doit être pris en compte dans la définition de la stratégie de l’organisation afin de s’assurer que les résultats de cette stratégie sont cohérents avec le « Risk Appetite » défini pour l’organisation.
