L’histoire du risque est aussi ancienne que l’apparition de l’homme sur terre. Depuis son existence, l’homme est exposé au risque mais en retour, il est devenu un risque pour son environnement. En ces temps, le risque pouvait être assimilé à un danger. L’homme était victime des prédateurs, des maladies, de la famine, des catastrophes naturelles… Pour se protéger, il s’est adapté à son milieu en fabriquant des armes, en s’adonnant à l’agriculture et à l’élevage des animaux, en croyant à des divinités…
Au début de l’ère industrielle, le risque prend une autre dimension. Il se multiplie, change de nature et prend de l’ampleur. Il est lié à la mécanisation, aux sources d’énergie et aux nouveaux modes de déplacement. Dans l’industrie, se présente une acception technique du risque qui définit celui-ci comme « l’existence d’une probabilité de voir un danger se concrétiser dans un ou plusieurs scénarios, associée à des conséquences dommageables sur des biens ou des personnes ». Cette définition annonce une conception rationnelle du risque basée sur des calculs probabilistes. A cette époque, les conséquences dommageables étaient acceptées comme si la société était beaucoup plus préoccupée par les progrès scientifiques qui en étaient les causes. Les dommages étaient certainement réparés mais ils constituaient un moyen pour faire avancer la science.
De nos jours, apparaissent de nouveaux risques tels que le risque de développement et le risque d’image accentués par la mondialisation. Les nouvelles techniques de l’information et de la communication (NTIC) favorisent une médiatisation intensive occasionnant en même temps une sensibilisation plus grande de beaucoup de citoyens qui, paradoxalement, sont adhérents au progrès de la science avec un risque zéro mais aussi adeptes d’une réparation intégrale en cas de dommage. Le concept de risque va ainsi évoluer. Du point de vue managérial, le risque est « la coexistence d’un aléa et d’un enjeu ». Selon cette définition, lorsqu’une personne entreprend une action avec un espoir de gain ou une possibilité de perte, elle prend un risque dans le sens où l’issue de son action est aléatoire. L’aléa nous renvoie à une incertitude quant au résultat de l’action. Cette notion d’incertitude constitue le point commun entre les définitions du risque dans l’acception technique et celle managériale.
Les pouvoirs publics, dans leur rôle de protecteur des citoyens, s’intéressent aussi à la notion du risque et multiplient les observatoires chargés de collecter des données et d’établir des modèles statistiques pour mieux connaître les risques et permettre l’anticipation des éventuelles menaces. Un arsenal législatif et réglementaire est mis en place dans un objectif de protection des victimes contre les auteurs des faits dommageables. Il a tendance à exiger une obligation de résultat plutôt qu’une simple obligation de moyen.
Dans ce contexte, les organisations en général, les entreprises en particulier, ont pris conscience de l’importance de la mise sous contrôle des risques inhérents à leurs activités. D’où l’intérêt pour celles-ci d’intégrer un système de gestion des risques dans leur structure. Ce système, ayant pour but de donner aux dirigeants une assurance raisonnable à l’atteinte de leur objectif tout en maîtrisant les risques, est composé du contrôle interne, du management des risques et de l’audit interne qu’il est important de distinguer.
Le contrôle interne est exigé aux Etats-Unis d’Amérique et en France suite aux nombreux scandales financiers et faillites de sociétés multinationales. Ainsi de nouvelles lois et réglementations ont été instaurées imposant aux entreprises de renforcer leur gouvernance d’entreprise et d’avoir une meilleure communication en matière de gestion des risques. Le 30 juillet 2002, les Etats Unis d’Amérique ont adopté le Sarbanes Oxley Act (SOX). L’article 404 de cette loi stipule que la Direction générale engage sa responsabilité sur l’établissement d’une structure de contrôle interne comptable et financier et qu’elle évalue, annuellement, son efficacité au regard d’un modèle de contrôle interne reconnu. Quant à la France, la Loi de Sécurité Financière (LSF), promulguée le 1er août 2003, exige en son article 117 au Président du Conseil d’administration ou de surveillance des sociétés faisant appel public à l’épargne, de « rendre compte, dans un rapport, des procédures de contrôle interne mises en place pour la société ». Ces lois ne donnent aucune définition du contrôle interne mais elles laissent entendre que l’objectif principal de celui-ci est la mise en place de procédures pour sécuriser l’élaboration et le traitement de l’information comptable et financière de la société. Si le contrôle interne vise à maîtriser des risques spécifiques, en revanche le management des risques apprécie les risques globaux donc, au-delà des risques comptables et financiers, tous les risques de la société.
Pour certains secteurs d’activité tels que les assurances, l’ordonnance n°2008-1278 du 8 décembre 2008 transposant la directive 2006/43/CE rend obligatoire la fonction « Risk management », que nous traduisons par « Management des risques », dans les sociétés anonymes d’assurance, les sociétés d’assurance mutuelles, les institutions de prévoyance et les mutuelles régies par le Livre II du Code de la mutualité. La maîtrise du risque est vitale pour une société d’assurance mais il n’en demeure pas moins que toute entreprise soucieuse d’une bonne gestion des risques pour l’atteinte de ses objectifs trouvera un intérêt à la mise en place d’une fonction de management des risques. Le terme « entreprise » doit être pris dans son acception large c’est-à-dire toute organisation au sein de laquelle des individus s’associent pour répondre à une finalité, sans tenir compte de la forme juridique de l’entité et du secteur d’activité.
Le contrôle interne et le management des risques sont chapeautés par l’audit interne dont le rôle principal est d’évaluer leur efficacité au sein de l’entreprise.
Notre étude porte principalement sur le management des risques de l’entreprise qui, naturellement, a des relations étroites avec l’assurance pour gérer les risques. Du point de vue assurantiel, le risque est une notion polysémique. Il désigne l’événement aléatoire contre lequel le preneur d’assurance veut se prémunir mais aussi l’objet ou la personne sur lequel ou sur qui porte la garantie d’assurance. Vu de cette manière, l’entreprise et l’ensemble de ses ressources humaines, financières et matérielles constituent des risques. L’objectif qu’ils souhaitent atteindre étant aléatoire, devient aussi un risque. Ainsi, pourrons-nous dire que l’entreprise baigne dans un environnement où tout est « à risque ». L’assurance lui apporte sa couverture, non pas pour empêcher l’événement aléatoire de survenir mais plutôt pour prendre en charge des conséquences dommageables de celui-ci, s’il se réalise. Elle devient ainsi un outil de maîtrise des risques.
Dans un passé récent, le 21 septembre 2001, l’usine AZF de Toulouse a connu une violente explosion qui a éveillé la conscience des politiques et citoyens sur les risques dits « technologiques ». Et plus récemment encore, le 11 mars 2011 à Fukushima au Japon, la conjonction d’un risque naturel (un séisme) et d’un risque technologique (risque nucléaire) appelée « NaTech » dans le jargon des gestionnaires de risques, a favorisé la survenance d’un accident nucléaire désigné comme la « catastrophe de Fukushima ». D’ailleurs, les pouvoirs publics français attendent un retour d’expérience de cet accident pour renforcer davantage la sécurité des sites nucléaires et autres installations dangereuses français. Le thème de notre mémoire est donc d’actualité d’autant plus que la cybercriminalité menace beaucoup de sociétés qui sont aujourd’hui obligées de gérer les risques liés à leur système d’information.
Notre intérêt à travailler sur le sujet « Le management des risques de l’entreprise : l’impact de l’assurance dans le transfert des risques » est guidé par la volonté de confronter les connaissances en assurance acquises durant notre formation de master 2 « Droit des assurances » aux techniques de management des risques. Cette étude nous permettra de distinguer les similitudes voire la complémentarité entre le métier d’assureur et celui de risk manager. D’ailleurs des voies s’élèvent pour dire que le conseiller en assurance ou le courtier devrait jouer le rôle de risk manager de ses clients PME-PMI dans la mesure où ceux-ci n’ont pas les moyens de mettre en place la fonction de management des risques dans leurs structures. Cette idée nous conforte sur l’intérêt de travailler sur ce sujet d’autant plus qu’un étudiant sortant de l’Institut des assurances de Lyon pourrait valablement exercer la fonction d’« Assureur-risk manager » au sein d’un cabinet de courtage d’assurance.
Nul doute que l’assurance participe activement au management des risques de l’entreprise, elle est même l’un des principaux leviers pour gérer les risques. Cependant, suite à un entretien que nous avons eu avec un expert en management des risques, nous mettons un bémol à notre appréhension quant à la place de l’assurance dans le dispositif de management des risques. Ceci nous conduit à réfléchir sur la problématique suivante : dans l’approche du management des risques dont l’objectif principal est de permettre à l’entreprise de mieux maîtriser ses risques, est-ce que l’assurance est en mesure de couvrir tous les risques inhérents à l’entreprise ?
Pour tenter de répondre à cette question, notre étude s’articulera en deux parties. La première intitulée « le management des risques de l’entreprise » nous présentera l’univers de cette discipline (Titre I) et ses approches pour gérer les risques de l’entreprise (Titre II). Dans la deuxième partie nommée « l’assurance, un levier de transfert des risques de l’entreprise », seront exposées tout d’abord l’assurance dans la gestion des risques de l’entreprise (Titre I) et ensuite ses limites (Titre II).