ACE - Baromètre des risques 2015

2 808 vues

Publié le

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
2 808
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 850
Actions
Partages
0
Téléchargements
17
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ACE - Baromètre des risques 2015

  1. 1. ÉDITION 2015 DU BAROMÈTRE ACE DES RISQUES ÉMERGENTS
  2. 2. 02 Notre rapport met l’accent sur les préoccupations concernant les risques technologiques. Il s’agit du principal risque émergent et celui qui mobilise le plus le temps et les ressources des risk managers. Parmi tous les risques mentionnés dans notre Baromètre, on s’attend à ce que celui-ci ait le plus fort impact financier. Pourtant, répondre aux problèmes technologiques complexes, dont nombre d’entre eux sont étroitement liés à d’autres risques tels que la réputation, les ressources humaines ou le terrorisme, peut s’avérer extrêmement décourageant. Bien que de nombreuses entreprises aient investi des sommes colossales dans l’intégrité des technologies, elles rencontrent toujours des problèmes liés à la continuité des opérations et des brèches de sécurité. En effet, celles-ci deviennent de plus en plus fréquentes et leur niveau de gravité augmente. Le risque lié à la chaîne d’approvisionnement reste également préoccupant pour les risk managers, notamment en raison de la complexité liée au développement de réseaux d’approvisionnement, entraînant des interdépendances et une exposition accrue. Les interruptions provoquées par les catastrophes naturelles ne figurent toutefois plus en tête des préoccupations. Notre enquête met en lumière une nouvelle vague d’inquiétudes liées à la réputation principalement dues à la négligence de certains partenaires et fournisseurs de second rang. Ce domaine pourrait susciter une plus grande attention de la part des risk managers. Nous observons que le risque réglementaire et de conformité figure également parmi les priorités, surtout lorsque les entreprises s’implantent dans de nouvelles juridictions. La position adoptée par les régulateurs et décideurs occidentaux est claire : une supervision encore plus intrusive et une tendance à des mesures directes contre les entreprises et leurs dirigeants. Les marchés émergents poursuivent leurs propres réglementations à des rythmes différents et sans réelle approche commune. De nombreuses entreprises admettent rencontrer des difficultés pour s’adapter à un environnement en constante mutation et doivent peut-être adopter une approche à l’échelle de l’entreprise pour gérer les divers changements en matière de régulation et de conformité. PRÉFACE TROUVER UN ÉQUILIBRE ENTRE CROISSANCE ET NOUVELLES VAGUES DE RISQUES Deux ans après la publication de notre premier Baromètre des risques émergents, le monde a considérablement évolué. L’économie mondiale a poursuivi son timide redressement. Les entreprises d’Europe, du Moyen-Orient et d’Afrique sont axées sur la croissance et les opportunités offertes par les technologies émergentes. Nombre d’entre elles envisagent de se développer dans de nouvelles régions. Notre rapport met l’accent sur les préoccupations concernant les risques technologiques. Il s’agit du principal risque émergent et celui qui mobilise le plus le temps et les ressources des risk managers.
  3. 3. 03 Cette croissance mondialisée et basée sur les technologies entraîne une nouvelle vague de risques complexes, interdépendants et en mutation permanente. Dans cet environnement, les réactions au coup par coup sont vouées à l’échec. Pour être efficace, toute action nécessitera l’engagement du conseil d’administration, une démarche intégrée et le développement d’une culture de gestion des risques parfaitement comprise dans l’ensemble de l’entreprise. Ces impératifs ne sont pas nouveaux, mais leur urgence s’impose de façon croissante. Les risk managers doivent les reconsidérer et se poser les questions suivantes : leur entreprise a-t-elle réalisé les progrès nécessaires ? Quelles mesures doivent être prises pour relancer les activités ? Nombre d’entre eux cherchent des réponses auprès de partenaires externes. Fait encourageant pour le secteur de l’assurance, le rapport suggère que les risk managers considèrent l’assurance comme un élément clé de la solution. En revanche, nos risk managers précisent que cette situation pourrait changer si le secteur ne redouble pas d’efforts pour comprendre et élaborer des solutions contre les risques non traditionnels et non physiques. Nous remarquons également qu’un soutien autre que financier est une nécessité croissante. L’expertise, les conseils et les capacités permettant de répondre immédiatement à un incident doivent être mis à disposition des risk managers. En raison de la nature même des risques émergents, l’avenir s’avère incertain. Mais une chose est sûre : les risk managers joueront un rôle essentiel pour doter leur entreprise de la capacité de résilience et des plans d’urgence nécessaires pour se développer et prospérer dans cet environnement ultra-connecté, complexe et à haut risque. Andrew Kendrick President ACE European Group BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015
  4. 4. 1 Risque technologique Le risque technologique, qui inclut les cyber-attaques, les pertes de données et les interruptions d’activité dues à une défaillance du système, représente le plus gros risque émergent. En effet, le risque technologique arrive en tête de nos trois principales mesures des risques. Presque la moitié des entreprises (43%) déclarent qu’il constitue leur principale préoccupation. Elles affirment également que celui-ci mobilise davantage de temps et de ressources que les autres risques émergents et qu’il est susceptible d’avoir le plus grand impact financier sur leurs activités. Les technologies jouent un rôle essentiel dans la planification stratégique de l’immense majorité des entreprises, qu’il s’agisse du développement de nouveaux services ou produits ou que celles-ci permettent d’augmenter leur efficacité opérationnelle. Notre enquête indique toutefois que les entreprises n’axent pas nécessairement leurs efforts de façon pertinente, en raison d’une méconnaissance des menaces les plus probables. Graphique 1 : En tant qu’entreprise, lequel des risques suivants vous préoccupe le plus actuellement ? 2 Risque lié à la chaîne d’approvisionnement Tout comme dans l’édition 2013 de notre Baromètre, le risque lié à la chaîne d’approvisionnement suscite toujours autant de préoccupations. Dans la mesure où les entreprises s’implantent dans de nouveaux marchés, souvent émergents, en faisant appel à des réseaux de fournisseurs et de partenaires plus complexes et plus étendus, la chaîne d’approvisionnement est à la fois un outil de croissance et une source de risque majeure. Nous avons assisté ces dernières années à de grands bouleversements au sein des chaînes d’approvisionnement, causés par des événements tels que l’ouragan Sandy, lequel a entraîné la plus grande pénurie de carburant depuis les années 19701 , ou les immenses inondations qui ont touché l’Inde et le Pakistan en 2014 et qui ont causé des dégâts estimés à 12 milliards de dollars2 . Après avoir répondu de façon admirable à ces catastrophes et à tant d’autres, les risk managers admettent avoir une meilleure maîtrise des risques liés aux interruptions d’activités. Aujourd’hui, les entreprises sont moins préoccupées par les interruptions causées par des catastrophes naturelles et mettent l’accent sur les problèmes pouvant porter gravement atteinte à leur réputation. Les participants à l’enquête citent les pratiques de travail contraires à l’éthique comme étant leur plus grande préoccupation au sein de la chaîne d’approvisionnement. Toutefois, six personnes sur dix (61%) admettent ne pas toujours pouvoir se porter garantes des normes déontologiques et commerciales adoptées par les sociétés auxquelles elles font appel. 04 RÉSUMÉ LES TROIS GRANDS RISQUES À SURVEILLER Risque technologique (dont la cyber - sécurité) Risque lié à la chaîne d’approvisionnement, à la finance et à la logistique Risque réglementaire et de conformité Risque lié aux ressources humaines (risques concernant les personnes, tels que les accidents et maladies, risques causés par des personnes tels que les fraudes et conflits du travail, et risques liés au talent) Risque géopolitique (changements de régime, confiscation de biens, risque de crédit commercial, restrictions monétaires, protectionnisme) Risque de réputation Risque lié à la responsabilité des dirigeants (responsabilité des dirigeants et mandataires sociaux) Risque lié à la responsabilité environnementale (pollution ou non-respect/incompréhension des réglementations locales) 43 31 27 26 25 21 18 15 Risque lié aux catastrophes naturelles Risque lié au terrorisme et aux violences politiques 15 14 % répondants
  5. 5. Graphique 2 : Au sein de votre entreprise, lequel de ces risques mobilise le plus de temps et de ressources ? 05 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 Risque technologique Risque lié à la chaîne d’approvisionnement, à la finance et à la logistique Risque réglementaire et de conformité Risque lié aux ressources humaines Risque géopolitique Risque de réputation Risque lié à la responsabilité des dirigeants (responsabilité des dirigeants et mandataires sociaux) Risque lié à la responsabilité environnementale 47 32 29 28 25 23 14 12 Risque lié au terrorisme et aux violences politiques Risque lié aux catastrophes naturelles 12 11 (Ne sait pas / Non applicable : 2%) % répondants 3 Risque réglementaire et de conformité Plus d’un quart des sondés (27%) citent les risques réglementaires et de conformité comme figurant parmi leurs plus grandes préoccupations. Cette catégorie arrive à la troisième place de la liste des risques pouvant avoir un impact financier au cours des deux prochaines années. Graphique 3 : Selon vous, lequel de ces risques aura l’impact financier le plus important sur votre entreprise au cours des deux prochaines années ? Même si les secteurs hautement réglementés, comme les services financiers ou l’énergie, font face à des enjeux extrêmes en matière de réglementation, aucune entreprise n’est à l’abri. À mesure que les entreprises poursuivent leur développement à l’international, la réglementation devient une source de préoccupation croissante. Les multinationales sont confrontées à une mosaïque de régimes réglementaires sur l’ensemble de leurs marchés et juridictions. % répondants (Ne sait pas/ Non applicable : 2%) Risque technologique Risque lié à la chaîne d’approvisionnement, à la finance et à la logistique Risque réglementaire et de conformité Risque géopolitique Risque lié aux ressources humaines Risque de réputation Risque lié à la responsabilité des dirigeants Risque lié aux catastrophes naturelles 47 31 27 26 25 22 17 11 Risque lié au terrorisme et aux violences politiques Risque lié à la responsabilité environnementale 11 10
  6. 6. AUTRES RISQUES A SURVEILLER La hausse du risque lié aux ressources humaines Le risque humain a manqué de peu de figurer à la troisième place des trois plus gros risques. Plus d’un quart des sondés (26%) déclarent que ce risque (comprenant les risques causés aux personnes, les risques causés par des personnes, et les risques liés aux talents) fait partie de leurs principales préoccupations. Un tiers (34%) déclarent que leur principale préoccupation concernant le risque lié aux ressources humaines est le temps perdu en contentieux. Ces dernières années, nous avons assisté à d’importants conflits au Royaume-Uni et en Allemagne, ainsi que dans des pays fournisseurs comme la Chine. Dans le même temps, trois quarts des sondés (75%) affirment que les événements mondiaux survenus récemment, comme l’instabilité politique en Ukraine et au Moyen-Orient, les poussent à revoir leurs politiques de sécurité en matière de déplacements professionnels. L’importance du risque géopolitique va-t-elle s’accroître ? Le changement de régime, la confiscation de biens, le protectionnisme et les risques géopolitiques sont autant de menaces sérieuses. La plupart des sondés sont confiants dans leur capacité à gérer les risques géopolitiques, même si 30% affirment être très confiants. Étant donné qu’un quart des sondés pensent que ce risque aura un impact financier significatif au cours des deux prochaines années (le quatrième dans notre liste des risques), nous pouvons nous attendre à ce que le risque géopolitique devienne plus urgent dans un futur proche, surtout si les entreprises s’implantent à l’étranger. S’agissant des risques géopolitiques, les sondés sont davantage préoccupés par la résiliation de licences d’exploitation, de concessions ou de contrats par des gouvernements étrangers. La très grande majorité (68%) pense que les gouvernements étrangers leur posent déjà de nombreuses difficultés pour planifier leur avenir. 06
  7. 7. Différences régionales Globalement, la perception des risques par les risk managers et le degré de préoccupation au sein de l’entreprise sont très homogènes : Le risque technologique est la principale préoccupation hormis au Royaume-Uni et en Afrique du Sud (le risque réglementaire et de conformité y est majoritaire), tandis que le risque lié aux ressources humaines est la plus grande préoccupation en Allemagne et en Espagne. Les risk managers d’Afrique du Sud et de France sont les moins confiants dans leur capacité à gérer les risques liés au terrorisme et aux violences politiques ; ceux des pays nordiques sont les moins confiants dans leur capacité à gérer les risques réglementaires. Les risk managers allemands sont les moins confiants dans leur capacité à gérer les risques liés à la chaîne d’approvisionnement ; ce point est également plus préoccupant pour les entreprises allemandes que pour les autres pays étudiés. 07 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 L’IMPORTANCE CROISSANTE DES ASSURANCES Malgré un vaste débat entre les risk managers et le secteur des assurances concernant la capacité de cette dernière à gérer les risques émergents actuels, notre enquête dresse le portrait d’un secteur qui s’avère primordial dans ce domaine. Nos résultats suggèrent que cette relation continuera à se renforcer au cours des trois prochaines années. Graphique 4 : D’après vous, quelle sera dans trois ans l’importance des assurances dans votre stratégie de gestion des risques suivants ? Plus de quatre sondés sur cinq (82%) déclarent que les assurances ont un rôle important dans la gestion des risques technologiques. Presque le même nombre de personnes affirment qu’elles ont un rôle important dans la gestion des risques liés aux réglementations et à la conformité (81%) et à la chaîne d’approvisionnement (80%). Le secteur des assurances ne doit toutefois pas se reposer sur ses lauriers. Les risk managers déclarent vouloir de meilleures solutions pour gérer les risques non physiques, soit une assistance en plus des traditionnelles gestions de sinistres pour des dégâts causés à des biens physiques. Presque la moitié d’entre eux (45%) pensent que ce secteur pourrait améliorer son offre concernant les risques technologiques. Les risk managers souhaitent également voir le secteur réaliser des progrès en matière de risques liés aux ressources humaines (28%) et à la chaîne d’approvisionnement (28%). Risque lié à la responsabilité environnementale Risque géopolitique Risque lié à la responsabilité des dirigeants Risque lié aux catastrophes naturelles Risque lié aux ressources humaines Risque réglementaire et de conformité Risque de réputation Risque lié à la chaîne d’approvisionnement, à la finance et à la logistique Risque technologique Risque lié au terrorisme et aux violences politiques 24 48 21 35 38 19 5 27 46 23 12 2 22 48 5 4 3 4 3 3 36 44 15 1 32 49 15 2 33 44 17 4 2 36 44 15 3 47 35 13 4 2 19 52 18 7 3 Très important Assez important Relativement sans importance Pas du tout important Ne sait pas / Pas applicable 23 3 % répondants
  8. 8. 08 Le risque technologique est à la une du baromètre des risques de cette année. • Il s’agit de la plus grande préoccupation des personnes interrogées • Elles s’attendent à ce que celui-ci ait le plus fort impact financier sur leur entreprise • Il mobilise le plus de temps et de ressources • Il s’agit de la catégorie dans laquelle les assurances ont la plus grande importance • Et où celles-ci doivent le plus s’améliorer L’importance stratégique croissante des technologies, combinée à la difficulté d’identifier des risques complexes émergents, fait du risque technologique une menace d’envergure pour tous les secteurs. John Hurrell, CEO de Airmic, avertit que les opportunités offertes ces dernières années par les technologies sont accompagnées de nouveaux dangers. « Ce que la technologie peut apporter comme avantage concurrentiel est un élément essentiel des réflexions stratégiques des entreprises, affirme-t-il. Elle a entraîné toutes sortes de dépendances qui n’auraient pas pu exister cinq ans auparavant. » « Étant donné que le changement est de plus en plus rapide, les entreprises doivent redoubler d’efforts pour comprendre les répercussions des technologies émergentes », confirme Julia Graham, Directrice de la Gestion des Risques et Assurances du cabinet d’avocats DLA Piper, et Présidente du FERMA. « Les gens craignent le risque technologique en partie parce qu’ils ne le comprennent pas autant qu’ils le souhaiteraient. Ils ont également peur de ne pas paraître confiants devant leurs confrères » déclare-t-elle. RISQUE TECHNOLOGIQUE Graphique 5 : Lequel des aspects suivants du risque technologique vous inquiète-t-il le plus ? 18% Vol de propriété intellectuelle 19% Interruption des activités 23% Violation de la vie privée des clients/de la sécurité des données 33% Piratage/Attaque par déni de service 30% Défaillance du système 29% Avancées dans les technologies numériques menaçant des modèles d’affaires existants 27% Introduction délibérée de malware/virus 24% Données volées par des tiers 23% Données volées par du personnel (Ne sait pas, Autres : 6%)
  9. 9. 09 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 Les risk managers doivent à présent se demander s’ils se focalisent sur les bons défis technologiques. Notre enquête indique deux secteurs dans lesquels le degré de risque est particulièrement élevé. 1. Identifier les véritables sources de danger La principale préoccupation des risk managers sont les attaques informatiques : 33% des sondés déclarent que le piratage et les attaques par déni de service sont ce qui les inquiète le plus. Ce n’est pas surprenant. Les pirates informatiques sont de plus en plus ambitieux, agressifs et internationaux. En 2015, l’entreprise de télécommunications britannique TalkTalk a subi une brèche majeure où des pirates ont volé les données personnelles des clients pour dérober plusieurs milliers de pounds3 . En 2014, des pirates se sont introduits dans le portail client de Orange France pour voler plus d’un millions de données clients4 . Les risk managers doivent cependant se montrer prudents quant à la perception des dangers externes. Dans notre étude par exemple, presque 2 répondants sur 5 (37%) réfutent l’idée que leurs employés représentent plus de risques que des pirates externes Selon le rapport Verizon’s 2015 Data Breach Investigations5 , les employés causeraient jusqu’à 90% des incidents de brèches dus à des erreurs basiques, des négligences en termes de protection des logiciels, des comportements irresponsables sur internet ou des pertes de matériels. 2. Les menaces liées au digital Autre changement important, les risk managers commencent à percevoir la menace posée par les technologies émergentes. Environ trois sur dix (29%) affirment que leur modèle de développement actuel est menacé par les nouvelles technologies dites digitales. C’est une de leur principale préoccupation. En raison des nombreux secteurs confrontés à ce risque, les exemples les plus frappants étant les taxis (perturbés par l’arrivée d’Uber) et l’hôtellerie (par Airbnb), l’attention que portent les risk managers sur le digital est compréhensible. Il s’agit d’un nouveau genre de menace contre laquelle il n’existe pas de simple solution. L’émergence du digital comme priorité pour les risk managers souligne la nature changeante de leur rôle. Leur direction attend notamment qu’ils jouent un prééminent dans les décisions stratégiques de leurs entreprises. 3. Adopter une approche cohérente Notre étude indique que les risk managers sont en priorité concernés par les attaques par déni de service et les perturbations numériques mais également par les pannes de système. Plus d’un quart d’entre eux (27%) expriment des inquiétudes concernant l’introduction délibérée de logiciels malveillants (malware). Un plus petite proportion (23%) affirment que leur plus grande inquiétude est la violation des données des clients. Alors que la crainte des cyber-attaques englobe peu à peu la crainte de brèches causées par des pirates, il est surprenant que cette menace liée aux données personnelles ne soit pas plus haute dans le classement. Surtout lorsqu’on constate que les personnes interrogées citent la perte de clients et de données sensibles comme le plus grand risque pour leur réputation (cité par 43%). Lorsque les informations personnelles de 70 millions d’utilisateurs de PlayStation Network, y compris les identifiants de connexion, les noms et adresses, ont été compromises, Sony a estimé que le coût de nettoyage, ainsi que les frais de défense face aux 65 poursuites en recours collectif, s’élevaient à 171 millions de dollars6 . L’émergence du digital comme priorité pour les risk managers souligne la nature changeante de leur rôle.
  10. 10. 10 Les technologies émergentes génèrent de nouveaux dangers Les entreprises doivent s’efforcer d’améliorer la sensibilisation au risque technologique au sein de leur conseil d’administration, mais deux risques émergents se démarquent : Cloud computing De nombreuses entreprises ont recours au cloud pour stocker des données à moindres frais, tandis que les start-ups s’en servent afin de se développer à un coût relativement bas. Kyle Bryant, Cyber Manager de ACE pour l’Europe continentale, affirme que le cloud présente aussi bien des avantages que des risques. « Les équipes Juridique et Gestion des risques doivent participer aux phases de sélection et de négociation des contrats afin d’en évaluer l’impact sur la continuité des activités et sur les assurances » déclare-t-il. L’Internet des objets collecte les données de réseaux d’appareils connectés, comme les montres intelligentes ou les réfrigérateurs, et permet aux entreprises de créer de nouveaux services axés sur le client. Mais cette interconnexion entraîne également de nouveaux risques informatiques. D’après une étude menée par HP7 , 70% des appareils connectés à l’IdO sont vulnérables aux cyber-attaques. Lorsque les données des consommateurs collectées par ces appareils sont en péril, les entreprises sont confrontées aux problèmes de confidentialité et à la menace d’une interruption des activités. La réponse des entreprises De quelle manière les entreprises devraient- elles répondre au risque technologique ? Certaines sont toujours dans le déni, arguant que la nature de leurs activités les empêche d’être vulnérables. « Je connais certaines entreprises espagnoles, des sociétés agroalimentaires et des banques, qui affirment ne pas avoir besoin d’assurance informatique, déclare Ramon de la Vega, Directeur Financement des Risques et Assurances pour Entreprises, Telefonica. De nombreuses entreprises, petites et grandes, sont bien trop complaisantes face à ce problème. » Des progrès ont toutefois été réalisés au sein de la fonction Risques. 76% des sondés affirment que l’influence des risk managers dans les technologies numériques et les médias sociaux a augmenté ces trois dernières années. Les sociétés qui sensibilisent au risque technologique au sein de l’entreprise seront moins vulnérables. Il est important d’inciter les employés à s’exprimer, suggère Julie Graham. « Vous devez instaurer une culture vous permettant d’exprimer ce que vous pensez et ce que vous voyez. Quelques consignes claires, des moyens de communications et un ton donné par le management sont les clés pour y parvenir » dit-elle. Les risk managers ont besoin de nouvelles structures et approches organisationnelles pour lutter efficacement contre le risque technologique, en adaptant leurs façons de travailler traditionnelles à ces nouveaux dangers : 1. Supprimer les cloisonnements De nombreuses entreprises considèrent leur département IT comme étant une fonction support fonctionnant séparément du reste de l’entreprise. Le risque technologique est pourtant loin de n’être qu’un problème cantonné à l’IT. Julia Graham exhorte les entreprises à remettre en question ces idées fausses. « Très souvent, le responsable de l’information et celui de la technologie travaillent indépendamment, dit-elle. Les entreprises doivent abattre ces barrières afin de développer une gestion globale des risques de l’entreprise. »
  11. 11. 11 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 Cette coordination transversale doit impliquer le département IT, la fonction de gestion des risques et l’entreprise dans son ensemble. Cela signifie une nouvelle structure de gouvernance dans laquelle les différentes fonctions partagent la responsabilité de la gestion des risques, plutôt que de voir cette dernière comme un problème de l’IT. 2. Évaluer l’appétit au risque de l’entreprise Développer une culture du risque signifie s’attaquer à l’appétit au risque de l’entreprise. Certaines activités nécessitent des structures plus rigides que d’autres, même si les cadres dirigeants préfèrent accorder la priorité aux secteurs de croissance. Les risk managers qui ne développent pas de relations transversales ne peuvent percevoir ces priorités, et encore moins faire accepter des exigences pratiques comme la durée maximale d’interruption admissible des applications ou bien les pertes de données acceptables. Ils risquent d’être perçus comme des obstacles aux impératifs commerciaux de l’entreprise. 3. Investir dans la formation et les compétences Le caractère évolutif du risque technologique exige un investissement constant dans les personnes qui luttent contre de telles menaces. Ceci dépasse le cadre de l’IT ou des fonctions de gestion des risques. « Parfois, de bonnes vieilles techniques de gestion des risques peuvent servir, déclare Julie Graham. Réalisez une analyse de risques, communiquer avec vos employés et formez vos dirigeants. Vérifiez la conformité de vos actions, créez et maintenez des relations étroites sur ces sujets avec vos auditeurs externes. » Munir les employés de toutes les compétences nécessaires pour protéger l’entreprise du risque technologique portera ses fruits. Les entreprises conscientes du risque évaluent leurs lacunes, encouragent le développement des compétences et sensibilisent l’ensemble de leur personnel. Les risk managers doivent aussi s’entourer d’équipes capables de comprendre le caractère changeant du risque technologique et d’y répondre de façon adéquate. 4. Tester la résistance de l’entreprise Les tests de résistances et les mises en situation permettent aux risk managers de déterminer le niveau de préparation de leur entreprise face aux menaces posées par le risque technologique. Ces exercices doivent être réalisés dans toute l’entreprise afin d’évaluer la réponse de chaque fonction face à une violation de données ou une défaillance généralisée des systèmes. Le rôle des assurances Plus de quatre risk managers sur cinq considèrent les assurances essentielles à la gestion du risque technologique. Les gouvernements sont tout autant convaincus. Les gouvernements américain et britannique ont réalisé des études afin de déterminer quel rôle les assurances pourraient jouer pour atténuer le risque informatique8,9 . Aux Pays-Bas, la deuxième Stratégie nationale de cyber-sécurité du gouvernement reconnaît que les assurances peuvent jouer un rôle prépondérant dans la protection contre les risques résiduels. Cependant, 45% des sondés déclarent que le risque technologique est le domaine dans lequel les assurances doivent le plus développer leurs capacités. Certains affirment même que ce secteur ne connaît pas suffisamment cette catégorie de risque. « Les assurances sont handicapées par leur manque de compréhension, d’informations et d’expérience », déclare Arie Wouters, Responsable Risque et Assurance de NXP10 . Notre enquête pointe du doigt plusieurs domaines où le secteur des assurances peut améliorer son offre. Cette coordination transversale doit impliquer le département IT, la fonction de gestion des risques et l’entreprise dans son ensemble.
  12. 12. 12 (Ne sait pas / Non applicable : 3%) 1 Risque technologique 45% 2 Risque lié aux ressources humaines 28% 3 Risque lié à la chaîne d’approvisionnement, à la finance et à la logistique 28% 4 Risque géopolitique 27% 5 Risque réglementaire et de conformité 22% 6 Risque de réputation 19% 7 Risque lié aux catastrophes naturelles 14% 8 Risque lié à la responsabilité environnementale 14% 9 Risque lié à la responsabilité des dirigeants 14% 10 Risque lié au terrorisme et aux violences politiques 14% Graphique 6 : Dans quelles catégories de risque le secteur des assurances doit-il le plus développer ses capacités ? 1. Fournir des solutions plus globales D’après Ed Smerdon, associé-directeur du bureau londonien de Sedgwick, pour que l’assurance des technologies soit plus efficace, sa couverture doit être plus large. « Les assureurs doivent couvrir plus que la responsabilité, dit-il. Ils doivent couvrir les coûts qu’entraînent la réparation de la faille (engager une équipe d’informaticiens pour régler le problème, gérer les relations avec les clients touchés par la violation des données, gérer la communication ainsi que les pertes financières directes. » Parmi les autres lacunes, il faut citer le manque de protection en matière de violation des informations conservées sur papier, le rejet des réclamations déposé par les gouvernements ou régulateurs, l’absence de protection concernant la responsabilité indirecte et les données non cryptées. Ce sont des défis de taille. Les assureurs fixent généralement le prix de la couverture en se basant sur l’historique des réclamations, bien que ce type d’informations risque de ne pas exister pour les problèmes liés aux technologies émergentes comme le cloud computing ou l’Internet des objets. La question de la couverture contre les atteintes à la réputation demeure également un problème. « Le problème est que personne n’a réfléchi à la façon d’indemniser une entreprise en cas de mauvaise réputation, affirme Ed Smerdon. Ceci ne peut pas être quantifié en termes monétaires. » 2. Développer des produits plus adaptés Parmi les problèmes cités dans notre étude figure la tendance manifeste des assureurs à combiner des solutions d’assurance en des produits standards relativement rigides. Il est évident que les risk managers sont à la recherche de produits plus spécifiques à leur secteur et qui offrent une plus grande flexibilité concernant ce qui doit être couvert ou pas. « Le secteur des assurances doit être disposé à être éduqué par ses clients afin de développer des produits qui répondent à leurs besoins, déclare Kyle Bryant de ACE. Les assureurs qui n’offrent pas de services sur mesure perdront de leur intérêt. » Il est évident que les risk managers sont à la recherche de produits plus spécifiques à leur secteur et qui offrent une plus grande flexibilité concernant ce qui doit être couvert ou pas. « Le secteur des assurances doit être disposé à être éduqué par ses clients afin de développer des produits qui répondent à leurs besoins. »
  13. 13. 13 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 3. Améliorer la communication Le secteur des assurances reconnaît qu’il doit faire davantage d’efforts pour communiquer sur son offre afin que les assurés comprennent parfaitement le niveau de couverture auquel ils souscrivent et ce qu’ils doivent faire pour s’assurer que celle-ci reste valable. « Les assureurs ont pris de nombreuses mesures pour couvrir le risque technologique, reconnaît Kyle Bryant de ACE. Mais je ne crois pas que le secteur ait eu une communication efficace. » 4. Comprendre la nature du risque technologique Nick Beecroft, Directeur de Recherche et Risques Émergents chez Lloyd’s, admet qu’un des enjeux du risque technologique est son potentiel impact sur l’ensemble de l’entreprise. « Le risque technologique ne connaît pas de limites, explique-t-il. Mais nous observons une rapide évolution de la nature des couvertures d’assurances afin de répondre à ces enjeux. » Si cela continue, les assureurs devront investir dans de nouveaux talents dotés d’une vision plus large du risque technologique et de ses conséquences, bien qu’il y ait actuellement une pénurie de talents dans ce secteur. Une récente étude d’EY alerte sur la difficulté des assureurs pour recruter des experts en nouvelles technologies11 . 5. De nouvelles approches de modélisation De nouvelles façons de penser s’avèrent peut- être nécessaires. John Hurrell pense que les compagnies d’assurances devraient reconsidérer certaines de leurs approches éprouvées en matière de détermination des prix et d’analyse des risques. « Le secteur ne peut plus compter sur ses vieilles capacités et techniques de modélisation, lesquelles se servent des risques précédents pour ce projet dans le futur, dit-il. Les assureurs doivent investir dans une modélisation des risques futurs basée sur des approches autres que l’extrapolation de données historiques. »
  14. 14. 14 Le risque lié à la chaîne d’approvisionnement se classe en deuxième position cette année, à une certaine distance derrière le risque technologique. • Il représentait le risque n° 1 du Baromètre de 2013, et a été détrôné, comme tous les autres risques, par celui lié aux technologies • Il s’agit de la 2e plus grande préoccupation des entreprises • Il représente le 2e impact financier sur l’entreprise dans deux ans • Il arrive deuxième en termes de mobilisation du temps et des ressources, loin derrière le risque technologique La chaîne d’approvisionnement est la colonne vertébrale d’une entreprise : une fracture peut paralyser la majorité de l’entreprise. C’est pour cette raison que les entreprises prennent très au sérieux le risque lié à la chaîne d’approvisionnement : il fait partie des principales préoccupations de 31% des sondés, plus que toute autre catégorie de risque hormis technologique. Les risk managers jouent un plus grand rôle dans la gestion du risque lié à la chaîne d’approvisionnement: 71% déclarent avoir accru leur influence dans ce secteur au cours des trois dernières années, et 73% affirment avoir accru leur influence sur le choix des partenaires et fournisseurs. La hiérarchisation de la chaîne de commande reflète en partie les complexités croissantes auxquelles font face les entreprises lorsqu’elles envisagent de se développer sur de nouveaux marchés. Plus la complexité augmente, plus les défis posés par la chaîne d’approvisionnement sont nombreux. Risque lié à la responsabilité environnementale (tel que la pollution ou le non-respect/mauvaise compréhension des réglementations locales) Risque géopolitique (comme la dislocation de la zone euro, restrictions monétaires, protectionnisme) Risque lié à la responsabilité des dirigeants (responsabilité des dirigeants mandataires sociaux) Risque lié aux catastrophes naturelles Risque lié aux ressources humaines (risques concernant les personnes, tels que les accidents personnels et maladies, risques causés par des personnes tels que les fraudes et conflits du travail, et risques liés au talent comme la pénurie de talents) Risque réglementaire et de conformité (exigences réglementaires accrues) Risque de réputation Risque lié à la chaîne d’approvisionnement, à la finance et à la logistique Risque technologique (dont la cyber-sécurité) Risque lié au terrorisme et aux violences politiques 25 59 13 2 1 30 42 24 3 1 25 50 19 4 2 16 46 30 6 2 32 44 20 2 2 26 51 18 4 1 24 55 16 4 1 32 46 18 3 1 36 40 19 5 2 16 55 21 5 3 Très important Assez important Relativement sans importance Pas du tout important Ne sait pas / Pas applicable Graphique 7 : À quel point avez-vous confiance dans la capacité de votre entreprise à gérer les risques suivants ? % répondants RISQUE LIÉ À LA CHAÎNE D’APPROVISIONNEMENT
  15. 15. 15 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 1. Interruption des activités et catastrophes naturelles D’abord, les bonnes nouvelles. Depuis notre Baromètre 2013, alors que le tsunami de 2011 au Japon et l’éruption volcanique de 2010 en Islande étaient encore très présents dans nos mémoires, de nombreuses entreprises ont amélioré leur réponse face aux interruptions d’activité causées par une catastrophe naturelle. Presque quatre sondés sur cinq (78%) déclarent être confiants dans leur capacité à gérer le risque lié à la chaîne d’approvisionnement (même si seulement 32% se déclarent très confiants). Arie Wouters de NXP déclare : « Le risque lié à la chaîne d’approvisionnement a retenu toute notre attention ces dernières années et nous nous sommes sérieusement penchés sur la continuité des opérations. » Nous devons nous féliciter de cette avancée. Néanmoins, les catastrophes naturelles sont un sujet qui nécessite une attention constante en raison de leur capacité à causer de sérieuses perturbations dans la chaîne d’approvisionnement. Les cinq plus graves incidents survenus en 2014 ont eu un impact sur le chiffre d’affaires total estimé à plus de 17 milliards de dollars. Quatre entreprises sur cinq ont déclaré dans une étude avoir connu au moins une interruption dans leur chaîne d’approvisionnement au cours des 12 mois précédents12 . 2. Les questions déontologiques prennent de l’importance Notre étude suggère que les catastrophes naturelles ne représentent plus le principal danger pour la chaîne d’approvisionnement de nombreuses entreprises. Pour 36% des sondés, leur plus grande préoccupation est d’avoir constitué sans le savoir une chaîne d’approvisionnement ayant des pratiques de travail immorales. Graphique 8 : Lequel des aspects suivants du risque lié à la chaîne d’approvisionnement, à la finance et à la logistique vous inquiète-t-il le plus ? Cette angoisse fait écho à de récentes controverses concernant de grandes marques qui ont été critiquées pour avoir travaillé avec des fournisseurs qui maltraitaient leurs employés. Daniel Holloway de ACE Group affirme que les investisseurs et les consommateurs tiennent de plus en plus les entreprises responsables des pratiques exercées dans leur chaîne d’approvisionnement. Un important fabricant de produits alimentaires a été sous le feu des critiques l’année dernière lorsque l’on a découvert qu’il faisait signer son code de déontologie uniquement à ses fournisseurs primaires, alors qu’un de ses fournisseurs secondaires faisait travailler des enfants. Lorsque de tels scandales éclatent, la réputation des entreprises est ternie pour longtemps et il s’avère difficile de regagner la confiance des gens et de récupérer les parts de marché perdues13 . Les investisseurs et les consommateurs tiennent de plus en plus les entreprises responsables des pratiques exercées dans leur chaîne d’approvisionnement. (Ne sait pas / Non applicable / Autre : 8%) 1 Pratiques de travail immorales au sein de la chaîne d’approvisionnement 36% 2 Non-livraison ou non-paiement de biens 32% 3 Défaillance du processus de fabrication/ échec de l’assurance qualité 23% 4 Perturbation des transports 23% 5 Rappel de produit 20% 6 Manquement au paiement des crédits de l’acheteur ou du fournisseur 18% 7 Utilisation abusive des garanties 18% contractuelles 8 Piratage 17% 9 Défaillance de la gouvernance 17% (fraude, corruption) 10 Non-respect des lettres de crédit et des cautions bancaires 12%
  16. 16. 16 Les assureurs exigent également une plus grande transparence au sein de la chaîne d’approvisionnement. « Quand on regarde les grandes multinationales, on se demande : où se trouvent leurs usines ? Comment peuvent-elles s’assurer que leurs fournisseurs agissent de façon déontologique ? » Les risk managers ont du pain sur la planche. Plus de trois sur cinq (61%) admettent qu’ils ne peuvent pas toujours se porter garants des normes déontologiques de toutes les entreprises faisant partie de leur chaîne d’approvisionnement. Différences régionales Les inquiétudes concernant la chaîne d’appro- visionnement varient d’un marché à l’autre : • Les pratiques de travail immorales sont la principale préoccupation au Royaume-Uni, en France, au Benelux, en Espagne et en Suisse • En Allemagne, l’accent est mis sur la qualité du produit (défaillance du processus de fabrication/assurance qualité et rappel de produits) • En Italie, il s’agit des obligations contractuelles (non-livraison ou non-paiement de biens, utilisation abusive des garanties contractuelles) • En Afrique du Sud, la principale préoccupation est le rappel de produits 3. Complexité accrue Les questions déontologiques deviennent un plus grand défi lorsque la chaîne d’approvisionnement se complexifie. Lors du scandale de la viande de cheval qui a éclaté en 2013, où de nombreux supermarchés britanniques ont vendu sans le savoir de la nourriture contenant de la viande de cheval, l’entreprise responsable de l’approvisionnement des supermarchés recevait des ingrédients de 40 fournisseurs différents. Dans ces conditions, chaque entreprise doit avoir une vision globale de sa chaîne d’approvisionnement, y compris l’identité et les pratiques de chaque fournisseur. Étant donné que les entreprises tentent également d’agir rapidement et de manière efficace auprès de leurs réseaux de fournisseurs sur différents marchés, ceci peut entraîner un conflit entre le besoin de plus de souplesse et une approche minutieuse basée sur le risque. La réponse des entreprises La gestion du risque lié à la chaîne d’approvisionnement nécessite beaucoup de temps et de ressources. 32% des risk managers déclarent que cet aspect mobilise la plus grande partie de leur temps, deuxième derrière le risque technologique. Certaines mesures peuvent être prises pour atténuer ces difficultés. 1. Des contrôles plus stricts de la sous-traitance Les entreprises doivent s’assurer qu’elles possèdent les outils nécessaires pour contrôler quels services sont sous-traités et par qui. Ceci peut représenter un très grand défi. D’après une étude récente menée par UPS, la très grande majorité des sociétés ont déclaré ne pas avoir quantifié les risques au moment d’externaliser la production14 . La fonction Risques doit tisser des relations plus étroites avec les activités, comme l’approvisionnement, qui ont une responsabilité dans l’externalisation et la gestion des fournisseurs. Convenir d’une stratégie d’externalisation qui respecte les valeurs déontologiques de l’entreprise est un bon début, tandis que des bases de données comme Supplier Ethical Data Exchange peuvent aider les entreprises à identifier leurs partenaires.
  17. 17. 17 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 En matière de bonnes pratiques, citons également la mise en place d’audits réguliers et rigoureux, de contrôles inopinés et la création de contrats pouvant être résiliés pour cause de non-respect de la déontologie. Athina Pehrman, Risk Manager chez Nynas AB, souligne que les risk managers doivent être en mesure de « maîtriser les instincts » de leurs collègues, animés par des priorités différentes. « Le département des ventes et le personnel opérationnel sont, de façon générale, plus centrés sur l’aspect commercial des choses, explique-t-elle. Sans directives claires et sans le soutien de la gestion des risques et du service juridique, ils risquent d’autoriser des modifications, malgré l’exposition accrue aux risques que cela implique. » 2. Simplification et normalisation Les contrats de fournisseurs normalisés peuvent permettre aux équipes opérationnelles et commerciales de mieux réagir face à de potentiels problèmes avec leurs fournisseurs. Si les risk managers travaillent avec le département d’approvisionnement afin de simplifier les contrats exigeant le même niveau de conformité en matière de déontologie, il sera beaucoup plus simple d’identifier un fournisseur, nouveau ou actuel, qui s’écarte de la norme. Les entreprises peuvent mettre en place des procédures pour traiter ce genre de situations en y intégrant les risk managers. La vigilance reste toutefois de mise. « De nombreuses entreprises pensent que leur risque contractuel est faible, car elles ont fixé des conditions générales, explique Athina Pehrman. Mais vous devez constamment surveiller l’utilisation des conditions générales, les modèles et le respect des contrats, car vous vous exposez sinon à des risques non désirés. » 3. Contrôler la résilience de la chaîne d’approvisionnement Un contrôle périodique des secteurs clés du réseau logistique permet d’identifier les zones où la résilience peut être améliorée. Ces améliorations comprennent la restructuration des procédés de la chaîne d’approvisionnement, l’identification de fournisseurs alternatifs, l’amélioration de la logistique et la mise en place de meilleurs plans d’urgence et de continuité des activités. Le coût et le temps qu’impliquent de tels exercices peuvent rebuter certaines entreprises. Mais d’après l’étude menée par PwC, les entreprises qui se concentrent sur la résilience de la chaîne d’approvisionnement et qui réagissent plus rapidement que leurs concurrents face à des événements indésirables gagnent des parts de marché. D’après PwC, la performance de l’action de ces entreprises était 7% plus élevée15 . La fonction Risques doit tisser des relations plus étroites avec les activités, comme l’approvisionnement, qui ont une responsabilité dans l’externalisation et la gestion des fournisseurs.
  18. 18. 18 Le rôle des assurances Les risques liés à la chaîne d’approvisionn- ement sont, de par leur nature, complexes et interdépendants. Sans informations détaillées, le risque lié à la chaîne d’approvisionnement est difficilement applicable dans le marché des assurances et les assureurs ont beaucoup de mal à en estimer le coût. Dans certains secteurs, une partie de la chaîne d’approvisionnement peut être assurée contre les risques causés par des tiers. En résumé, l’interruption des activités et l’interruption accidentelle des activités, en tant qu’extensions de l’assurance des biens, sont utilisées afin de réduire les risques et se prémunir contre les pertes financières causées par une perturbation de la chaîne d’approvisionnement. Malgré ces difficultés, notre étude suggère plusieurs domaines où le secteur des assurances peut améliorer son offre. 1. Des solutions complètes améliorées Le manque de solutions d’assurance complètes de la chaîne d’approvisionnement signifie que les entreprises doivent acheter des protections au coup par coup. Non seulement c’est inefficace, mais cela entraîne des trous de garantie. Par exemple, l’interruption accidentelle des activités en tant que clause d’une police d’assurance dommages risque de ne pas être applicable dans le cas où surviendrait une interruption d’activité n’entraînant pas de dégâts matériels. Les assureurs doivent développer, en collaboration avec des courtiers, des polices plus globales afin de couvrir des secteurs traditionnellement séparés comme les dommages, la responsabilité civile et la responsabilité l’environnementale. Les dirigeants du secteur ont à gagner une position dominante sur le marché du risque lié à la chaîne d’approvisionnement. 2. Un support complémentaire pour les contrats Les assureurs peuvent aider les entreprises à vérifier que leurs contrats avec leurs fournisseurs, logisticiens et transporteurs les couvrent non seulement des dommages aux marchandises mais également des sinistres dus aux retards de livraisons. D’autres exemples à prendre en compte : l’insolvabilité des compagnies maritimes, les blocages de ports ou de canaux, des décisions politiques entraînant la fermeture de voies maritimes, ou la confiscation de marchandises. Les assureurs pourraient également aider à déterminer l’exposition au risque des clients ayant des stocks de marchandises à l’étranger, dans les entrepôts ou des installations portuaires, en cas d’inondation, de tremblement de terre, de violence politique violence ou même de risque de crédit. 3. Des capacités améliorées en matière de risque de réputation La question de l’atteinte à la réputation en tant qu’élément majeur de risque lié à la chaîne d’approvisionnement doit encore être traitée par les assureurs, même si les précédentes études menées par ACE suggèrent que les entreprises se sentent insuffisamment protégées16 . Cette protection prend plusieurs formes, notamment l’octroi d’une aide financière en cas d’atteinte à la réputation de l’entreprise ainsi qu’une réparation des dommages causés. Les assureurs peuvent venir en aide en fournissant des conseils pratiques de gestion de crise. Ils sont également bien placés pour aider les entreprises à contourner ce risque en fournissant aux assurés une assistance pour identifier et résoudre les problèmes liés à la réputation. 4. Assistance via la collecte et la communication de données Les données détenues par les assureurs leur confèrent un éclairage unique sur ce qui menace le plus les entreprises, que cela soit les mauvaises pratiques d’un fournisseur ou les catastrophes naturelles. En partageant ces informations avec leurs assurés, les assureurs peuvent aider les entreprises à contourner les difficultés posées par la chaîne d’approvisionnement et à prévoir plus efficacement les risques les plus menaçants. Dans le même temps, les assureurs doivent investir dans la collecte, le stockage et l’analyse de données pour leurs propres fins, surtout pour améliorer l’efficacité de leurs pratiques tarifaires.
  19. 19. BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 Le risque réglementaire et de conformité se hisse à la troisième place, derrière les technologies et la chaîne d’approvisionnement. • 27% affirment qu’il s’agit de la première préoccupation des entreprises • 27% disent qu’il aura le plus grand impact dans des deux ans • 56% déclarent que les dirigeants d’entreprise ne comprennent pas pleinement les exigences gouvernementales et de conformité de tous les pays dans lesquels ils ont des responsabilités • 68% affirment qu’il est de plus en plus difficile de planifier leur avenir en raison des mesures prises par les gouvernements étrangers Les entreprises sont aux prises avec les obstacles réglementaires. Ceci est surtout vrai pour les secteurs traditionnellement très réglementés comme les télécoms, l’énergie ou les services d’utilité publique, ainsi que pour d’autres secteurs. L’importance croissance de l’évasion fiscale a entraîné une collaboration plus étroite entre les différents régulateurs. Les entreprises sont confrontées mondialement à de nouvelles réglementations environnementales. La concurrence et le protectionnisme apportent également leur lot de nouveaux enjeux. Pour les multinationales en particulier, il est difficile de faire face à cette situation aussi complexe. Les entreprises ont beaucoup de difficultés à faire face aux risques réglementaires et de conformité, et ce à tous les niveaux. 27% des participants à notre enquête citent ce problème comme étant le troisième risque le plus important auquel ils font face. 1. Réglementation et conformité à l’heure de la mondialisation Les risk managers sont préoccupés par l’effet perturbateur de la conformité : plus de 70% déclarent que les exigences réglementaires mobilisent des ressources destinées à d’autres secteurs de l’entreprise. Ce problème peut leur faire perdre de nombreuses opportunités. Cela peut également les pousser à ne pas prêter suffisamment attention au risque. 37% des sondés se plaignent de l’impact des coûts opérationnels accrus pour leurs entreprises. Le même nombre affirme avoir beaucoup de mal à s’adapter aux changements de réglementation sur tous leurs marchés. Graphique 9 : Lequel des aspects suivants du risque réglementaire et de conformité vous inquiète-t-il le plus ? RISQUE RÉGLEMENTAIRE ET DE CONFORMITÉ (Ne sait pas / Non applicable / Autre : 5%) 37% Coûts opérationnels accrus à la suite d’une modification de la réglementation 37% S’adapter aux modifications de réglementation dans tous les marchés où nous sommes présents 34% Trouver un équilibre entre les exigences de conformité et le besoin de croissance 34% Appliquer des modifications à temps afin de respecter les délais réglementaires 31% Changements au sein de l’environnement concurrentiel du secteur à la suite de modifica- tions réglementaires 28% S’assurer d’une conformité constante au sein de toutes nos activités 21% Nouvelles exigences en matière d’érosion de la base d’imposition et du transfert des bénéfices 19
  20. 20. 20 John Hurrell de Airmic reconnaît que la mondialisation est un sujet critique pour les entreprises qui tentent d’être en conformité. « La plupart de nos membres sont plus mondialisés que jamais, dit-il. Ils s’implantent dans de nouveaux territoires pouvant présenter des risques uniques ou inhabituels. » 2. Le risque réglementaire, obstacle à de nouveaux investissements L’inquiétude concernant le risque réglementaire décourage les nouveaux investissements. 68% des risk managers reconnaissent que les mesures prises par les gouvernements étrangers, qui incluent l’adoption de nouvelles lois, représentent pour eux un problème à l’heure de planifier leur futur. Les risk managers sont pourtant contraints d’aider leur entreprise à gérer le risque posé par de nouvelles opportunités de croissance, car ignorer ces opportunités n’est pas une solution envisageable. Notre étude fait état de ce conflit. Conjuguer les exigences de conformité à la nécessité de croissance est une préoccupation partagée par plus d’un tiers de sondés (34%). La réponse des entreprises Les entreprises doivent répondre aux enjeux de la réglementation de manière plus judicieuse. 1. Procédés et outils communs Plutôt que d’avoir recours à des solutions « ponctuelles » pour chaque réglementation, les entreprises ont intérêt à s’inspirer des bonnes pratiques utilisées lors de précédents efforts réglementaires, en convenant d’un socle commun d’outils et de procédés et en adoptant une approche proactive afin d’anticiper les réglementations. Cette approche globale permettra à l’entreprise de ménager ses efforts et rendra le processus de conformité plus efficace et moins coûteux. Dans certains secteurs, les entreprises ont constitué des postes de Réglementation ayant pour mission de travailler dans l’ensemble de la société, afin d’anticiper et de répondre aux réglementations et à la conformité de façon simplifiée. 2. Des relations plus étroites avec les régulateurs De nombreux régulateurs se sont publiquement engagés à travailler étroitement avec les entreprises. Des réglementations plus souples pourraient être une récompense à la clé pour les entreprises respectant leurs engagements et étant en conformité. Par exemple, Microsoft a travaillé avec des régulateurs européens pour parvenir à des accords concernant la confidentialité et la protection des données de ses solutions de cloud computing17 .
  21. 21. 21 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 Le rôle des assurances Les assurances peuvent-elles protéger les entreprises de l’environnement réglementaire en constante évolution ? C’est bien le cas pour la responsabilité des dirigeants qui inclut la RCMS, pour laquelle le secteur a déjà une offre bien établie. Plus des trois quarts des personnes interrogées (77%) affirment que l’assurance aura un rôle important pour gérer ce type de responsabilité d’ici trois ans. Seuls, 14% d’entre elles pensent que les assureurs devraient accroître leurs capacités pour faire face à ce risque. Tout du moins, les entreprises pensent que le secteur peut fournir des solutions multinationales compatibles avec les réglementations de tous les territoires couverts. Au delà de l’indemnisation de sinistre, les assureurs peuvent contribuer activement à la gestion de crise et aider les risk managers à respecter les exigences réglementaires et de conformité. « Le secteur des assurances est mondial, il apporte une aide précieuse aux organisations qui tentent de s’internationaliser, déclare John Hurrell. Mais ceci est compliqué par le fait que les réglementations locales sont fragmentées. » Ce sujet est un point central du rapport ACE 2014 sur les avantages offerts par un programme d’assurance multinational, dont les deux principaux sont une conformité et une cohérence accrue18 . Dans ce rapport, 83 % des sondés pensaient qu’ils allaient davantage avoir recours à une assurance multinationale au cours des trois prochaines années, tandis que 93% ont exprimé des inquiétudes concernant les conséquences d’une modification réglementaire sur la gestion des risques et les assurances multinationales. Les deux résultats sont souvent liés : 38% des sondés affirment que la responsabilité environnementale est un domaine dans lequel une assurance multinationale serait appropriée ; 25% ont cité les risques politiques et les risques de crédits. Les entreprises pensent que le secteur peut fournir des solutions multinationales compatibles avec les réglementations de tous les territoires couverts.
  22. 22. 22 1. Les risques humains font les gros titres Les récents événements internationaux ont fait des risques humains une sérieuse préoccupation. Trois quarts des sondés (75%) reconnaissent que les attaques terroristes, l’instabilité politique et les pandémies les ont poussés à revoir leur politique en matière de voyage et de sécurité. 2. Conflits du travail Un peu plus d’un tiers des sondés (34%) admettent que les conflits du travail sont leur plus grande préoccupation en matière de risque lié aux ressources humaines. Depuis notre Baromètre 2013, les conflits du travail sont devenus plus courants dans de nombreux pays. En 2014, l’Office for National Statistics (Bureau des Statistiques Nationales) a signalé que le nombre de jours perdus au Royaume-Uni en conflits du travail était supérieur en 2013 de 79% par rapport à l’année précédente. En Allemagne en 2015, les travailleurs ont été deux fois plus de jours en grève qu’en 201419 . 3. Risques causés aux employés, sur et à l’extérieur de leur lieu de travail Un quart (24%) des sondés sont préoccupés par l’impact du stress au travail sur les employés. 25% se soucient que les employés aient des accidents personnels. « On observe moins d’accidents survenus sur le lieu de travail mais plus à l’extérieur, affirme Janene Blizzard de ACE Group. Le trajet domicile- travail est responsable de nombreux accidents. Les transports écologiques comme le vélo ont de nombreux aspects positifs, mais ils causent également une hausse du nombre d’accidents. » LE RISQUE LIÉ AUX RESSOURCES HUMAINES PREND DE L’AMPLEUR Le risque lié aux ressources humaines est la quatrième plus grande préoccupation sur le Baromètre 2015 des Risques Émergents. Un quart (26%) des sondés placent le risque humain parmi les risques émergents les plus critiques, juste un point de pourcentage derrière le risque réglementaire et de conformité. Il s’agit d’une large catégorie qui englobe de nombreux éléments, depuis les risques liés au bien-être du personnel, tels que les maladies et les déplacements professionnels, jusqu’aux risques liés aux actions intentées par le personnel tels que les conflits du travail et les fraudes d’employés. Cette catégorie comprend également la pénurie de talents. Graphique 10 : Lequel des aspects suivants du risque lié aux ressources humaines vous inquiète-t-il le plus ? 34% Conflits du travail 24% Impact du stress au travail (Ne sait pas / Non applicable / Autre : 12%) 32% Fraude/vol commis par un employé 22% Santé de l’employé (p. ex. obésité, diabète) 28% Absentéisme 22% Pénuries de talents 26% Perte d’employés talentueux 15% Risque lié aux voyages d’affaires 25% Accident personnel 13% Impact de maladies/pandémies
  23. 23. 23 BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015 La réponse des entreprises Derrière les technologies, la chaîne d’approvisionnement et les réglementations et conformité, le risque humain mobilise le plus de temps et de ressources au sein des organisations (28%). Les entreprises peuvent gérer ce risque de façon plus efficace. 1. Clarté autour de la propriété Pour qu’elle soit efficace, il est primordial d’avoir une vision claire des rôles et des responsabilités au sein de la gestion des risques humains. « Le risque humain se situe généralement entre les RH et la gestion des risques, déclare Chris Conyard de ACE Group. L’entreprise a besoin d’être plus claire concernant la responsabilité. » 2. Un intérêt renouvelé pour les relations professionnelles En raison de l’augmentation des conflits du travail, les entreprises doivent améliorer leurs relations avec la main d’œuvre et ses représentants, y compris les syndicats et les comités d’entreprise. Les sondages auprès des employés sont un moyen de comprendre les frustrations du personnel et de répondre de façon proactive aux problèmes. 3. Programmes de santé et de bien-être Les employeurs mettent en place de plus en plus de programmes de bien-être destinés à améliorer la santé et la forme du personnel, ainsi qu’à réduire le stress. De telles initiatives peuvent être payantes si elles entraînent une baisse de l’absentéisme et une hausse de la productivité. On s’attend également à ce que les entreprises, dans le cadre de leur obligation de sécurité à l’égard de leurs employés, intègrent de nouveaux risques liés à la santé tels que le diabète ou l’obésité. Le rôle des assurances Même si 88% des participants à notre étude attendent des assureurs qu’ils jouent un rôle important dans les trois prochaines années dans leurs stratégies de gestion des risques humains, nombre d’entre eux pensent que le secteur doit intensifier ses efforts. Plus d’un quart (28%) pensent que ce secteur nécessite de meilleures capacités dans ce domaine ; la nécessité est encore plus importante en ce qui concerne le risque technologique. Les assurances doivent offrir une aide plus large qui dépasse l’indemnisation financière, notamment via des conseils pratiques et une assistance. « S’agissant des assurances de voyages d’affaires, les entreprises désirent plus qu’une somme d’argent en cas de problème, selon Janene Blizzard. Elles sont de plus en plus à la recherche d’un numéro disponible 24 heures sur 24, 7 jours sur 7 pour solliciter un transport d’urgence ou des lettres de crédit pour les hôpitaux. Les risk managers sont également à la recherche d’applications qui leur permettent de suivre leurs employés partout dans le monde. » Mais les assureurs ont également l’opportunité de développer de nouveaux types de couverture, par exemple en aidant les entreprises à offrir des offres attractives à leurs employés. « Les avantages sociaux sont un domaine de grand intérêt, explique Attilio Impronta de MAG JLT. Les avantages flexibles et les nouveaux risques offrent de nouvelles possibilités en matière de croissance et de nouveaux produits. »
  24. 24. CONCLUSIONS ET PERSPECTIVES Nous pouvons tirer de notre Baromètre 2015 les leçons suivantes. 1 Les risques émergents sont un aspect inévitable de la croissance. L’économie mondiale poursuit son rétablissement et les entreprises cherchent à se développer. Cependant, nos trois grands risques sont indissociables des activités menées par les entreprises afin de se développer. Les technologies présentent à la fois des opportunités et des risques. Le développement international entraîne des chaînes d’approvisionnement plus conséquentes et des risques réglementaires accrus. À mesure que les entreprises se développent, les risk managers ont à jouer un rôle vital pour trouver un équilibre entre opportunités et risques. 2 Les risk managers doivent anticiper et alerter sur les nouveaux risques. Les technologies émergentes et le paysage géopolitique en constante évolution entraînent des risques plus complexes et interdépendants. Les risk managers doivent développer une base de données « radar » de surveillance des risques émergents, reposant sur une recherche active et des informations détaillées sur chaque menace. « Chaque fois que vous regardez votre registre des risques, explique Julia Graham, vous devez aussi jeter un œil à votre radar et vous demander si ces risques méritent d’être élevés. Les risk managers devraient être les suricates de leur entreprise.» 3 Les avis de spécialistes sont nécessaires pour obtenir le soutien des dirigeants. Pour communiquer sur les nuances des risques émergents non physiques, les risk managers doivent se munir de compétences en technologies émergentes et connaître tout ce qui a trait à l’entreprise en général. Afin d’obtenir le soutien et la confiance des dirigeants, ils doivent être en mesure d’apporter l’intelligence, l’expertise et les connaissances approfondies permettant de déterminer quels risques sont les plus susceptibles de porter préjudice à l’entreprise. 4 Les risk managers doivent tisser des relations transversales. Pour avoir la culture globale d’entreprise nécessaire à une communication efficace, les risk managers doivent tisser et entretenir des relations transversales. S’agissant du risque technologique, ils doivent combler le fossé existant entre l’IT et le reste de l’entreprise. En ce qui concerne le risque lié à la chaîne d’approvisionnement, ils doivent collaborer avec le département d’approvisionnement. Et pour les réglementations et la conformité, ils doivent s’efforcer d’établir des approches standardisées pouvant être appliquées partout au sein de l’entreprise. 5 Le secteur des assurances joue un rôle croissant dans la gestion des risques émergents. Nos résultats montrent que le secteur des assurances joue un rôle croissant dans la gestion des risques de l’entreprise. Elles sont déjà de plus en plus sollicitées. Cela continuera que si les assureurs et les courtiers développent des solutions qui « comblent les lacunes » entre les risques interdépendants, notamment les entre le risque de technologie et les autres risques émergents de notre baromètre, et fournissent un soutien additionnel au-delà d’une indemnisation financière. Le secteur doit en particulier se pencher et investir sur les risques non physiques. En tant que représentants et intermédiaires des clients, les courtiers peuvent également particulièrement valoriser leur contribution tout en aidant le marché à mieux communiquer sur ses forces. « Un des rôles du courtier est d’éveiller l’intérêt du client, affirme Attilio Impronta, membre de direction de MAG JLT, afin de fournir des informations et des arguments qui permettent de sceller le contrat. » 24
  25. 25. 25 Premièrement, nous avons mené une enquête auprès de 500 cadres ayant une responsabilité dans la gestion des risques, issus de 27 secteurs et de 25 pays d’Europe, du Moyen- Orient et d’Afrique du Nord. Les participants étaient issus de grandes entreprises (chiffre d’affaires supérieur à 1 milliard de dollars) et d’entreprises de tailles moyennes (chiffre d’affaires situé entre 250 millions et 1 milliard de dollars). Longitude Research a mené cette enquête pour le compte de ACE au début de l’été 2015. Les participants ont été sélectionnés aléatoirement dans une base de données pré-choisie et ont été filtrés selon leur éligibilité. Ils n’ont pas reçu de rémunération pour leur participation et ACE ne figurait pas comme commanditaire de la recherche. Deuxièmement, nous avons mené des entretiens qualitatifs auprès de plusieurs risk managers senior et des personnes possédant une expertise dans la gestion des risques. Nous tenons à remercier les personnes suivantes qui ont accordé des entretiens approfondis à notre équipe de recherche : • Nick Beecroft, Emerging Risks and Research Manager, Lloyd’s • Julia Graham, Director of Risk Management and Insurance, DLA Piper; President of FERMA • Edward Smerdon, Managing Partner, Sedgwick London • Athina Pehrman, Risk Manager, Nynas AB • Carlo Casimi, Vice President, Insurance, SAIPEM • Professor Gordon Clarke, Director of the Smith School of Enterprise and the Environment, Oxford University • Anthony Fitzsimmons, Chairman, Reputability LLP • Professor Lawrence A Hamermesh, Ruby R Vale Professor of Corporate and Business Law, Widener University Delaware Law School • Nicolas Deparday, Director of Corporate Insurance, Michelin • John Hurrell, CEO, Airmic • Ramon De La Vega, Head of Corporate Risk and Insurance, Telefonica • Arie Wouters, Risk Insurance Manager, NXP • Attilio Impronta, Board Member, MAG JLT À PROPOS DE L’ÉTUDE Ce rapport a été élaboré par ACE European Group en collaboration avec Longitude Research. Il s’agit du deuxième Baromètre ACE sur les risques émergents, le premier datant de 2013, et il repose sur deux éléments. BAROMÈTRE ACE DES RISQUES ÉMERGENTS 2015
  26. 26. Notes 1 http://www3.weforum.org/docs/WEF_RRN_MO_BuildingResilienceSupplyChains_Report_2013.pdf 2 http://www.theactuary.com/news/2015/04/four-costliest-natural-disasters-cause-nearly-33bn-of-business-losses-and-supply-chain- disruptions/#sthash.FbwCg2Rn.dpuf 3 http://www.theguardian.com/money/2015/feb/27/threat-to-millions-of-talktalk-customers 4 http://www.techradar.com/news/internet/web/more-than-1m-customer-details-stolen-in-orange-data-breach-1247639 5 http://www.verizonenterprise.com/DBIR/2015/ 6 http://www.tomsguide.com/us/biggest-data-breaches,news-19083.html 7 http://h20195.www2.hp.com/V2/GetDocument.aspx?docname=4AA5-4759ENWcc=uslc=en 8 https://www.gov.uk/government/publications/uk-cyber-security-the-role-of-insurance 9 http://www.commerce.senate.gov/public/index.cfm?p=HearingsContentRecord_id=df4b3616-0a25-41d1-90dc- ff3734e5d928ContentType_id=14f995b9-dfa5-407a-9d35-56cc7152a7edGroup_id=b06c39af-e033-4cba-9221-de668ca1978a). 10 https://www.ncsc.nl/english/current-topics/news/new-cyber-security-strategy-strengthens-cooperation-between-government-and- businesses.html 11 http://www.ey.com/Publication/vwLUAssets/EY-insurance-claims-talent-survey/$FILE/EY-Insurance-claims-talent-survey.pdf 12 The Financial Risk Lurking in Your Supply Chain http://ww2.cfo.com/supply-chain/2015/02/financial-risk-lurking-supply-chain/ 13 www.airmic.com/sites/default/files/supply_chain_failures_2013_FINAL_web.pdf 14 http://globalsupplychaininstitute.utk.edu/publications/documents/Risk.pdf 15 http://www.pwc.com/us/en/risk-management/supply-chain-resilience.jhtml 16 http://www.acegroup.com/global-assets/documents/Europe-Corporate/Thought-Leadership/ace_reputation_at_risk_july_2013.pdf 17 http://www.out-law.com/en/articles/2014/april/eu-data-protection-regulator-says-microsoft-enterprise-cloud-contracts-are-in-line-with-eu- privacy-requirements/ 18 http://www.acegroup.com/uk-en/assets/multinational-research-report-201409.pdf 19 http://www.dw.de/germany-to-mark-record-year-for-strikes/a-18450024 26
  27. 27. Les opinions et positions présentées dans ce rapport n’ont pas pourobjet la délivrance d’un quelconque conseil professionnel de nature juridique ou de quelque autre nature. Les informations qu’il contient sont délivrées à titre purement indicatif et ne sauraient engager ACE d’une quelconque manière. Le lecteur est invité à consulter ses conseils, juridiques ou autres, pour toute question. En particulier, toute référence à un contrat d’assurance ou à ses stipulations n’a pas pour objet et n’aura pas pour effet de modifier ou d’altérer le contenu et les conditions des produits d’assurance proposés par ACE Seul un contrat définitif conclu avec ACE régira les droits et obligations respectives des parties. A propos de ACE ACE Group est l’un des plus grands assureurs mondiaux. Implanté dans 54 pays, ACE offre à des clients très divers - entreprises et particuliers - des solutions d’assurance pour leurs biens, des garanties individuelle contre les accidents, des garanties de prévoyance de la réassurance et de l’assurance vie. ACE Limited, la société mère de ACE Group, est cotée à la Bourse de New York (NYSE : ACE) et figure dans l’index 500 de SP. Pour plus d’informations, rendez-vous sur www.acegroup.com/fr ACE European Group The ACE Building 100 Leadenhall Street London United Kingdom EC3A 3BP Tel: +44 (0)20 71737000 Fax:+44(0)20 7173 7800 www.acegroup.com/eu © Copyright 2015 ACE Group. All rights reserved. Succursale en France de la compagnie d’assurance de droit anglais ACE European Group Limited au capital de 544.741.144£ sise 100 Leadenhall Street, London, EC3A 3BP, immatriculée sous le numéro 01112892. La succursale pour la France est sise Le Colisée 8 avenue de l’Arche à Courbevoie (92400), numéro d’identification 450 327 374 R.C.S. Nanterre. ACE European Group Limited est soumise au contrôle de la Prudential Regulation Authority PRA (20 Moorgate, London EC2R 6DA, UK) et de la Financial Conduct Authority FCA (25 The North Colonnade Canary Wharf, Londres E14 5HS Royaume Uni). Published 07/2015.

×