Institut numerique

Section 2 : la gestion des risques dans l’entreprise

Au sein de l’entreprise, plus que pour les risques de particuliers, dont le transfert à l’assurance est plus aisé, la connaissance des risques de l’entité juridique est un impondérable. Elle passe par deux étapes clés, qui sont la cartographie des risques en amont (A), et en aval la mise en place d’une politique de gestion des risques, une fois ces derniers cartographiés(B).

A- Cartographie

Les risques de particuliers sont des risques assez basiques, ils se rapportent aux biens dont ils sont propriétaires ou gardiens et aux risques de responsabilité civile nés des régimes de droit commun ou encore des obligations d’assurance. L’arbitrage du transfert des risques vers l’assureur est d’autant simplifiée que le particulier connait bien ses risques. Il peut, il est vrai, hésiter entre les formules de garanties, plus ou moins protectrices, les plafonds et niveau de franchises, mais ce type d’agent économique, place l’intégralité de ses risques qu’il a identifié, souvent auprès du même intermédiaire de proximité. L’arbitrage intrinsèque au transfert des risques au sein d’une entreprise relève d’un autre niveau de réflexion, qui se situe très amont. Si l’entreprise reste soumise aux obligations légales d’assurance(92), du moins pour celles qui lui sont applicables, (93) elle se doit de délimiter le champ de ses risques, afin de se prémunir de manière efficiente contre les conséquences de leur survenance, avec comme objectifs principaux, la rentabilité de l’entreprise et la continuité de ses activités malgré un sinistre.

L’outil phare permettant d’effectuer l’analyser des risques intrinsèques à la sphère de l’entreprise est la cartographie des risques. Elle se définit comme étant une photographie matricielle des risques de l’entreprise avec une double dimension coût/fréquence pour chacun des risques. La cartographie n’est pas un document juridique, elle ne tient pas l’assuré, et ce dernier n’a aucune obligation d’information envers l’assureur, même si le résultat pourrait permettre à l’assureur de mieux cerner le risque. Au titre de l’article L.113-2 du code des assurances, il incombe à l’assureur de proposer un questionnaire suffisamment précis pour connaitre la portée des risques et donc de son engagement juridique. La cartographie est un outil interne à l’entreprise dont la finalité est d’identifier les menaces probables à l’activité économique de l’entreprise selon divers thèmes (business, juridique, IT, financier, concurrence…) et de construire des pistes d’amélioration en vue de diminuer l’impact financier et la probabilité d’occurrence de ces menaces.

La cartographie permet aussi, lorsqu’elle est accompagnée d’un plan de suivi, de transformer certaines menaces en opportunités pour l’entreprise. Elle permet de connaitre les risques dits résiduels, à savoir les risques qui sont inhérents à l’activité et dont l’impact ne peut être diminué par la mise en place d’un plan de suivi. La cartographie des risques est mise en place par le service de risk-management interne de l’entreprise, ou par le service des risques et du contrôle interne. Elle peut également être externalisée auprès d’acteurs du marché de l’assurance. Les grands courtiers de la place parisienne disposent de services spécialisés dans l’audit et le conseil en cartographie et modélisation des risques.(94)La méthodologie employée suppose que la zone d’intervention soit prédéfinie à une certaine échelle qui peut être un service au sein de l’entreprise, une filiale, une business unit, une zone géographique précise ou l’intégralité de l’entreprise. Il existe deux méthodes principales de cartographie des risques : bottom-up et top-down. Pour les deux, il s’agit de déterminer avec chacune des personnes clés définies, les opportunités et menaces qu’elles entrevoient et perçoivent à leur échelle d’intervention dans l’entreprise, au cours d’un entretien d’environ une à deux heures. Un directeur juridique se focalisera sur les risques juridiques, alors qu’un directeur commercial s’attardera sur les opportunités de développement et l’univers concurrentiel. Les résultats sont conglomérés et pondérés en fonction d’une grille d’analyse et présentés en CODIR(95) ou COMEX(96) selon le périmètre d’étude prédéfini.

La différence entre les deux méthodes est le scope. Une cartographie bottom-up part des risques définis par les opérationnels vers la direction, à contrario, une cartographie top–down se déroulera en sens inverse. Cet outil est utilisé dans la plupart des grandes entreprises au niveau international, il est très utile pour connaitre les risques mais cependant, il correspond à une vision du risque qui peut s’avérer biaisée. La photographie est statique alors que l’entreprise évolue sans cesse, entre le moment où la cartographie a été lancée et la présentation des résultats ou la mise en place de plans d’action de suivi, il peut s’écouler des semaines, voire des mois. Par conséquent pour être un outil efficace, surtout dans un environnement évolutif, elle doit être actualisée à périodicités précises et renouvelées.

De surcroît, il n’est pas possible de tout modéliser, et les paramètres évoluent très rapidement. La réassurance est à l’avant-garde quand il s’agit de modélisation et de cartographie des risques. Elle a mis en place des outils informatiques performants afin de modéliser, géographiquement et financièrement, les risques qu’elle couvre à travers les traités et son exposition. La cartographie reste un outil important de modélisation des risques. Pour les événements extrêmes naturels ou technologiques, elle permet d’identifier les éventuelles failles. Par exemple, pour un site de production, le fait qu’il soit situé en zone côtière peut augmenter le risque de corrosion, en cas de tempête avec infiltration d’eau de mer. Le plan d’action pourra alors prévoir de renforcer les digues et l’étanchéité du site. En matière industrielle, la cartographie rend possible la modélisation des risques et des chaînes de responsabilités vis-à-vis des tiers et de l’environnement directe (voisinage de particuliers ou d’entreprises) et de l’environnement au sens premier du terme (biodiversité et écosystèmes). La cartographie offre une vision claire de la vulnérabilité d’un site ou d’une entreprise à la survenance d’un sinistre majeur. En matière industrielle, le vecteur de réduction de l’impact de ces risques sera défini par la mise en place d’une politique de gestion des risques.

B- La gestion des risques : vecteurs de réduction des risques

La politique de gestion des risques est indispensable dans le contexte de l’entreprise, elle témoigne de la volonté du souscripteur et des assurés(97) de participer à la réduction de ses risques les plus probables. Cette volonté est une démarche propre à l’assuré qui peut être complétée par un support de l’assureur. Elle contribue, si elle est appliquée avec suivi et efficacité, à agir sur les engagements contractuels de l’assureur en les diminuant. La prévention des risques peut alors induire des modulations de primes ayant un effet vertueux sur la politique globale de gestion des risques. La gestion des risques est multi-facettes, elle se focalise aussi bien sur la prévention des risques, et influant sur leur probabilité de survenance, que sur la protection des biens assurés en limitant l’impact d’un sinistre survenu. Il s’agit d’une approche matérielle, qui tend à maîtriser la survenance des risques en amont afin de prévenir ses effets sur la continuité de l’activité de l’entreprise. Le particulier ne va pas avoir la même démarche, l’assurance est pour lui un indemnisateur passif, sauf éventuellement en assurance automobile où il existe l’application du système de bonus-malus, un effet vertueux car il récompense par une diminution de prime l’assuré qui n’a pas d’accident responsable.

Par exemple, l’assurance prend une part active dans la politique de gestion des risques qui améliore les résultats techniques de l’assureur, à l’échelle d’un contrat, puisqu’elle tend à réduire le nombre de sinistre et leur coût moyen. Contractuellement, l’assureur peut prévoir de conditionner l’acquisition d’une garantie au respect de mesures préventives. Les contrats portants sur les risques spéciaux d’oeuvres d’art impliquent très fréquemment des stipulations obligeant l’assuré à protéger les biens, objets de la police par la mise en place de mesures antivol. Les contrats dommages aux biens et risques divers conditionnent l’application de la garantie « incendie, foudre, explosions » à la mise en place de moyens de lutte contre l’incendie. Ces conditions s’interprètent différemment en droit des assurances, selon leur degré d’influence sur l’assurabilité du risque en question. Si les mesures représentent une condition certaine et permanente sine qua non d’assurabilité, alors elles sont des conditions de garantie, ou une exclusion de garantie qui doit alors être formelle et limitée(98) et prouvée par l’assureur. Cependant, si les mesures de prévention contractuelles n’ont pas d’incidence sur l’assurabilité du risque, elles n’ont qu’un effet tarifaire et leur non-respect entraine l’application de l’article L.113-4 du code des assurances. Si la prévention peut être imposée aux termes de la police, elle est également un outil de pilotage. En outre, au sein de l’entreprise, la politique de gestion des risques passe par une étude des sites et de leur maîtrise des normes en matière de lutte contre l’incendie(99), d’accessibilité du site pour les pompiers et autres brigades d’intervention, expositions aux risques majeurs climatiques et technologiques, sécurité et propreté du site, accessibilité des points d’eaux…

Le risk-manager épaulé du service de QHSE(100) dispose d’un panel assez large de critères à évaluer. Il va, par la suite, noter le site visité par ce que l’on appelle le risk-grading. Cette échelle peut aller de 1 à 10 ou de 1 à 6 selon les entreprises. L’ingénieur préventeur, employé par l’assureur, va procéder à la même analyse, simultanément avec le risk-manager, voire avec le service de QHSE ou de manière déconnectée. Il enverra alors son rapport de prévention au risk-manager, et il sera analysé par l’assureur. Ces visites mettent en exergue des recommandations visant à l’amélioration du risk-grading et donc de la prévention des risques sur les sites. Chaque site est visité avec une périodicité préétablie qui est, en général, de deux ou trois ans. Cela permet de suivre l’évolution des recommandations émises par l’ingénieur préventeur, ainsi que leur prise en considération, aussi bien au niveau local qu’au niveau global dans la politique générale de gestion du risque par l’entreprise. Les visites ou audit de risques sont donc un outil de la politique de gestion des risques en amont, il peut également être envisagé des actions en aval. Une fois le sinistre réalisé et d’autant s’il est total, le risk-manager et l’assureur peuvent conjointement décider d’intégrer l’entremise d’un ingénieur préventeur en vue de la reconstruction d’un site. L’ingénieur va analyser les causes de la survenance, en lien avec l’expert, et va émettre des recommandations afin de modifier la structure de l’édifice à réparer ou é reconstruire, si cette dernière était en cause dans l’ampleur des dégâts du sinistre.

La politique de gestion des risques ne peut être efficace que si le risk-management est associé aux décisions stratégiques de son entreprise. L’étude FERMA de 2008101 démontre que dans 82% des entreprises interrogées, la stratégie et la politique générale de gestion des risques sont formellement définies. De plus dans 52% d’entre-elles, une évaluation régulière du niveau de risques par catégorie est mise en oeuvre. La politique de gestion des risques est vertueuse, vu qu’elle implique l’assureur dans la connaissance des risques de son assuré, ce qui l’incite à être plus actif dans la démarche. Par extension, le support de l’assureur dans ce domaine entraîne plusieurs effets positifs. L’assureur qui assiste son assuré pour ce type de risques bénéficie également des avantages de la politique de gestion des risques. Plus les risques sont maitrisés, plus l’aléa intrinsèque à la survenance de ces risques s’accroit. Par effet mécanique, les engagements techniques de l’assureur et leur réalisation s’en voient diminués. Par conséquent, les assureurs n’hésitent pas à proposer aux entreprises diligentes des réductions de primes pouvant aller jusqu’à 10% du montant de la prime annuelle appelée(102) si le système de prévention des risques est efficient.

Les avantages de la mise en place d’une politique globale de prévention des risques de nature environnementale sont nombreux. Cela contribue indirectement au respect des normes légales et réglementaires. En effet, l’assureur dispose d’une faculté annuelle de résiliation ou de la résiliation unilatérale pour sinistre(103). De plus, l’intervention de l’assureur par le biais des visites de risques ou audit de prévention génère un double contrôle du respect des normes en sus, du service du QHSE, s’il existe ou bien de l’inspection des installations classées, le cas échéant. Ensuite, l’intervention de l’assureur permet une surveillance active mesures préventives mises en place ou non. Dans cette dernière hypothèse, l’assureur peut alors modifier sa prime pour aggravation du risque(104). Cette intervention a vocation à infléchir l’attitude des exploitants et entrepreneurs face à ces risques, du fait de l’impact budgétaire d’une modulation de primes. Les assureurs ont par conséquent, un rôle prépondérant dans la prévention et plus particulièrement dans la prévention spécifique des risques d’atteintes à l’environnement, ils ont une légitimité à l’ingérence relative dans la politique de maîtrise de ce risque afin que la démarche soit vertueuse. FM Global, assureur nord-américain n’a pas hésité à investir 30 millions d’euros en vue de l’agrandissement de son centre de recherches qui lui permet notamment de reproduire en grandeur réelle des incendies d’entrepôts ou des explosions de poussières. Ce centre est très utile pour ce qui concerne les risques majeurs naturels : des simulations de catastrophes naturelles sont effectuées, à savoir des inondations, ouragans, et tremblement de terre, … Ce centre, comme celui du CNPP, situé à Vernon en France, permet d’appuyer les assurés dans leur politique de gestion du risques et plus vise à réduire au maximum l’intensité des conséquences de ce type de sinistres avec une espérance de préservation de la continuité de l’activité.(105) Ce qui diminue d’autant l’exposition de l’assureur à ses engagements contractuels.

Le droit privé ne peut seul suffire à endiguer les conséquences des risques majeurs et leurs effets dévastateurs sur les biens et les personnes. A ce titre, la solidarité nationale reste un rempart contre l’imprévisibilité, en termes de survenance comme de conséquence des risques majeurs, qu’ils soient naturels ou technologiques. Le risque étant géographique, les Etats s’organisent en fonction des risques auxquels ils sont exposés. Certains délèguent la question à l’assurance privée(106) et d’autres interviennent intégralement dans l’indemnisation de ces sinistres.(107) Le cas français est assez intéressant car il est souvent qualifié d’hybride. A mi-chemin entre solidarité nationale et le marché de l’assurance privée (Chapitre 2).

92 Livre deuxième du code des assurances : « assurances obligatoires »
93 Article L243-1-1 du code des assurances s’applique par exemple à des ouvrages qui concernent plutôt les risques d’entreprises comme les ouvrages aéroportuaires ou ceux de stockage et de distribution d’énergie.
94 Gras Savoye possède une équipe dédiée, MARSH a une filiale spécialisée en la matière tout comme AON.
95 Comité de Direction
96 Comtité Exécutif
97 Dans les grands risques, la maison-mère est souscriptrice et les filiales sont assurées additionnelles ou alors la police peut intervenir en DIC/DIL en complément de polices locales.
98 Article L.113-1 du code des assurances
99 Robinets d’incendie armés, permis de feu, extincteurs adéquats en place, ..
100 Qualité, Hygiène, Sécurité et Environnement
101 La Tribune de l’Assurance N°133 Février 2009. Etude sur 16 pays et 555 entreprises réalisée par FERMA, AXA Corporate Solutions et Ernst & Young.
102 Précis Dalloz Droit de l’Environnement M.Prieur.
103 Article R.113-10 du code des assurances.
104 Au sens des articles L.113-2-3° et L.113-4 du code des assurances.
105 Et donc la baisse du recours à la garantie PE.
106 Comme au Royaume-Uni.
107 Comme le Royaume d’Espagne.

Retour au menu : LES RISQUES ENVIRONNEMENTAUX : COMMENT LES COMPAGNIES D’ASSURANCES APPREHENDENT-ELLES LES ENJEUX DU RECHAUFFEMENT CLIMATIQUE ? COMMENT ANTICIPER LES FUTURS RISQUES LIES A LA MUTATION DE L’ENVIRONNEMENT ?