COMMENT DEFINIR LA FONCTION DE

RISK-MANAGER ? PROPOSITION D’UN PROJET

D’ETUDE TERRAIN DES PRATIQUES
MANAGERIALES EN MATIERE DE RISQUES
OPERATIONNELS (A L’ENVIRONNEMENT, AUX
PERSONNES, AUX BIENS...)
Caroline Aubry, Marie-Annick Montalan

To cite this version:

Caroline Aubry, Marie-Annick Montalan. COMMENT DEFINIR LA FONCTION DE RISK-
MANAGER ? PROPOSITION D’UN PROJET D’ETUDE TERRAIN DES PRATIQUES MAN-
AGERIALES EN MATIERE DE RISQUES OPERATIONNELS (A L’ENVIRONNEMENT, AUX
PERSONNES, AUX BIENS...). “COMPTABILITE ET ENVIRONNEMENT ”, May 2007, France.
pp.CD-Rom. �halshs-00534802�

HAL Id: halshs-00534802

https://halshs.archives-ouvertes.fr/halshs-00534802
Submitted on 10 Nov 2010

HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est

archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents
entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non,
lished or not. The documents may come from émanant des établissements d’enseignement et de
teaching and research institutions in France or recherche français ou étrangers, des laboratoires
abroad, or from public or private research centers. publics ou privés.
 COMMENT DEFINIR LA FONCTION DE
RISK-MANAGER ?
PROPOSITION D’UN PROJET D’ETUDE
TERRAIN DES PRATIQUES MANAGERIALES
EN MATIERE DE RISQUES
OPERATIONNELS (A L’ENVIRONNEMENT,
AUX PERSONNES, AUX BIENS…)
Caroline AUBRY
Maître de conférences
Université Toulouse III - Laboratoire Gestion et Cognition (LGC) (EA 2043)
IUT A Paul Sabatier , Département Techniques de Commercialisation, 115 F route de
Narbonne, BP 67601, 31.077 Toulouse Cedex 04
Tél : 05.62.25.81.50 / Fax : 05.62.25.81.70
E-mail : [email protected]

Marie-Annick MONTALAN
Maître de conférences
Université Toulouse III - Laboratoire Gestion et Cognition (LGC) (EA 2043)
IUP Management de l’Entreprise en Réseau, Département inter-UFR d’Ingénierie, Bâtiment
Paul Riquet -U3-
Tél / Fax : 05.62.25.88.89
E-mail : [email protected]

Résumé : Abstract :
Dans un contexte d’intérêt fort des entreprises In a context of French firm’s interest to the risk and
françaises pour le risque et sa gestion, d’absence de its management, of a non clearly defined function of
définition de la fonction de risk-manager et de forte risk-manager and a strong heterogeneity of this
hétérogénéité de celle-ci selon les entreprises, l’étude- function from firm to firm, the empirical research we
terrain présentée propose de s’interroger sur ce qu’est present propose to ask about what’s a risk-manager,
un risk-manager, un bon risk-manager. La réponse à what’s a « good » risk-manager. The answers to these
ces questions permettra d’identifier les facteurs clés de questions will allow to identify the key-success-
la fonction et d’évaluer sa performance. factors of the function and to evaluate its
performance.

Mots-clés : cognition ; compétence ; gestion des Key-words : cognition ; competence ; risk-

risques ; risk-manager ; risque. management; risk-manager; risk..

1
Propulsée sur le devant de la scène dans un environnement marqué par le complexe et
l’incertain, remontée ces derniers années des préoccupations du spécialiste des questions
d’assurances à celles de la Direction Générale de l’entreprise, la thématique des risques et de
leur gestion mérite que l’on s’y intéresse.
L’état des lieux établi dans nos précédents travaux1 a permis de mieux appréhender la
situation dans les entreprises françaises et de faire émerger une approche cognitive et
organisationnelle de la gestion des risques. Il met en évidence un intérêt affiché des
entreprises pour le risque contrastant avec une démarche encore « frileuse » de leur gestion. Il
décrit, à partir de l’exemple de quelques entreprises pilotes (France-Télécom, Danone…), une
démarche de gestion des risques en cinq étapes : définition d’une stratégie de définition des
risques majeurs, identification des risques, mise en cartes, identification des dispositifs de
contrôle, analyse des résultats. A chaque étape, des outils accompagnent les gestionnaires :
business model de l’organisation, interviews, grilles (« best practices »), cartographie,
évaluation, définition de plans d’actions (responsabilisation des acteurs de l’entreprise et mise
en réseau), diffusion de plans d’action, indicateurs, communication des résultats, mise en
apprentissage, retours d’expérience. Ces dispositifs permettent d’aller au-delà d’une approche
purement quantitative du risque et donnent à la démarche une dimension à la fois technique et
opérationnelle. Les bénéfices attendus d’une telle démarche, que nous qualifierons de
« globale » dans la suite de notre travail, s’expriment alors en termes de création de valeur
ajoutée et de culture d’apprentissage. Des études menées sur le terrain et des témoignages de
professionnels mettent toutefois en évidence la difficulté de mettre en place une démarche
globale : le comportement des acteurs face au risque est difficile à prendre en compte ; les
obstacles organisationnels sont nombreux ; la fonction de risk-manager et les pratiques
managériales sont inexistantes ou encore à définir.
L’identification de ces points d’achoppement amène à faire évoluer l’analyse du risque et de
sa gestion en y intégrant une dimension cognitive, organisationnelle et managériale et
constitue, en cela, une étape importante et novatrice qui ouvre la porte à de nombreuses
perspectives de recherche « terrain ». Celle que nous présentons dans cette communication
consiste à s’intéresser aux modalités managériales de la mise en œuvre de la démarche
globale de gestion des risques. Le point de départ de cette recherche est le risk-manager.
Il s’agit d’abord de définir ce qu’est un risk-manager, puis de s’interroger sur ce qu’est un
« bon » risk-manager : quelles sont les « bonnes » compétences2 ?
Cette recherche est centrée sur les risques opérationnels : risques à l’environnement
(pollution…), risques aux personnes (accidents du travail…), aux biens (incendies…). Ce
choix relève tout d’abord de la nécessité méthodologique de sérier les différents types de
risques. Les risques opérationnels présentent par ailleurs l’intérêt d’être au centre de la
problématique de gestion quotidienne des entreprises. Ils recouvrent en effet des risques
susceptibles d’empêcher la réalisation des objectifs à court terme de l’entreprise et
représentent, du fait de leur forte probabilité d’occurrence, des enjeux humains et financiers
importants3.

1
Voir AUBRY, C, 2005, « La gestion des risques dans les entreprises françaises : état des lieux et émergence
d’une approche cognitive et organisationnelle », Communication Colloque Association Française de
Comptabilité, mai ; voir AUBRY, C, 2006, « Pour une approche cognitive et organisationnelle de la gestion des
risques opérationnels », article en cours d’évaluation Gestion 2000, avril.
2
Pour reprendre une expression reprise sur celle de « bonnes pratiques ».
3
Les enjeux humains et financiers de la gestion des risques professionnels sont évalués de la manière suivante à
la SNCF : cent trente-cinq vies perdues en dix ans ; neuf-cents dossiers d’invalidité totale ou partielle par an ; un

2
Nous présenterons notre projet de recherche en trois parties.
La première partie est consacrée à la présentation des raisons qui conduisent les entreprises à
vouloir mettre en place une démarche globale de gestion des risques susceptible de leur offrir
un avantage comparatif déterminant et à percevoir la nécessité d’une nouvelle fonction, celle
de risk-manager. Nous présentons, dans un deuxième temps, les éléments qui rendent
nécessaire une clarification de la fonction. La présentation appuyée de ces éléments de
contexte est imposée par le caractère encore exploratoire de notre recherche. Ce sont eux qui
justifient l’intérêt de notre recherche et en structurent les questions. Sur ces deux points, notre
démarche est délibérément pragmatique. Les éléments dont nous disposons aujourd’hui sont
soit des propos recueillis auprès de professionnels de la gestion des risques (risk-managers,
directeurs financiers et contrôleurs de gestion et de cabinets de recrutement), soit des enquêtes
de type quantitatif4 (discutables au niveau méthodologique mais ayant le mérite d’exister et
d’être les seules à s’intéresser au risk-manager), soit quelques études terrain5 consacrées aux
risques professionnels. Nos deux questions de recherche, proposition de fiche de poste et
modèle d’évaluation de la performance de la fonction de risk-manager, sont présentées, dans
un troisième temps, à partir d’un design de recherche inductif.

I DE LA NECESSITE D’UN RISK-MANAGER

Elément majeur de la vie économique, le risque prend une place de plus en plus importante
dans les organisations rendant nécessaire la définition d’une démarche globale de gestion des
risques et, partant, celle d’une nouvelle fonction, celle de risk-manager.

1.1 Le renouvellement de la vision du risque

1.1.1 Le risque, variable centrale de la réflexion stratégique et organisationnelle

Le risque est aujourd’hui une variable centrale de la réflexion stratégique et organisationnelle

des entreprises. La question des risques est devenue une préoccupation déterminante pour
l’entreprise (Beaurain, Frotié, Towhill, 2000), accrue ces trois dernières années6. Les raisons
en sont connues : élargissement du périmètre d’incertitude qui entoure l’organisation,
réticence des compagnies d’assurance à prendre en charge les risques nouveaux (risque
environnemental par exemple), actualité du risque avec les affaires (Enron-Andersen,
Vivendi…), obligations de communication (loi Nouvelles Régulations Economiques7, 2001 ;
loi Sécurité Financière8, 2003) et les nouvelles normes internationales (Coso Report9, 1992 ;

cheminot sur vingt-cinq victimes annuellement d’un accident du travail avec arrêt ; soit un coût direct annuel de
cent cinquante millions d’Euros (Chautru, 2003).
4
Sources : enquêtes, tables rondes et colloques, revues de presse. Les enquêtes reposent sur une méthodologie de
type quantitative mal adaptée à l’objet de la recherche et échantillon de très grandes entreprises.
5
Voir Chautru, 2003 : SNCF ; voir Delpy et Larrasquet, 2003, Pilnière, 2003 : secteur hospitalier ; voir
Demaizière, 2003 : AIRBUS.
6
Enquête réalisée par Eon management Consulting (février-mars 2003) auprès de 1.200 patrons des plus grandes
entreprises françaises ; 5% de réponses.
7
La Commission des Opérations Boursières souhaite que les entreprises exposent, dans leur document de
référence, les risques qu’elles encourent dans le cadre de leurs activités.
8
Création de nouvelles obligations d’information en matière de gouvernement d’entreprise et de contrôle
interne.

3
normes de l’International Institute of Internal Auditors 10; loi Sarbanes-Oxley, 2003 ; Coso
Report11, 2004) qui changent les habitudes de gestion des entreprises.

1.1.2 La complexité du risque et l’élargissement du champ d’investigation aux risques

potentiels et aux risques perçus

Le risque n’est pas un concept nouveau. Il fait partie de l’univers des entrepreneurs, est
inhérent à toute décision. En revanche, la nouveauté vient du nombre de qualificatifs qui
précisent la nature du risque (financier, éthique…) et de l’émergence de nouveaux risques
traités de manière spécifique (risque environnemental, risque d’image ou de réputation…). Le
caractère combinatoire de ces différentes acceptions rend la représentation du risque
complexe. Les entreprises ont par ailleurs élargi leur champ d’investigation aux risques
potentiels12 : prévoir et prévenir deviennent les éléments indispensables du management des
risques. Elles ont également pris conscience de la nécessité d’intégrer la question de la
subjectivité des risques13 au niveau de la relation entreprise / acteurs de la société civile
(Ramanantsoa, 2000) et au niveau de la perception par l’entreprise des risques encourus au
travers de ses décisions et de ses actions.

Ces évolutions de la vision du risque par les entreprises ont conduit, depuis une dizaine
d’années, à la mise en place de démarches de gestion des risques et à l’émergence d’une
nouvelle fonction, celle de risk-manager.

1.2 La démarche globale de gestion des risques : intérêt, obstacles, préconisations

1.2.1 Intérêt : valeur ajoutée et culture d’apprentissage

Les entreprises attendent de la démarche globale de gestion des risques, une valeur ajoutée
susceptible de leur apporter un avantage comparatif décisif. Plusieurs caractéristiques la
rendent intéressante : elle génère un flux d’informations déterminantes pour la bonne marche
de l’entreprise et le pilotage de la performance ; elle est orientée vers les acteurs de
l’entreprise (dirigeants, comité d’audit et opérationnels en interne ; actionnaires en externe) ;
elle repose sur une suite logique d’opérations ayant pour objectif non seulement la recherche
de la qualité de chaque opération mais aussi la bonne articulation des opérations entre elles ;
elle permet, via l’approche globale du processus, l’identification des doublons et blocages et
peut servir de point de départ à sa simplification voire à sa réingénérie ; elle est transversale,

9
Coso : Committee of Sponsoring Organizations of the Treadway Commission. Coso Report : « Internal Control
Integrated Framework » , paru en France en 1994, sous le titre “La Pratique du contrôle interne », Editions
d’Organisation.
10
Editées en 2000 et traduites par l’Institut Français des Auditeurs et Consultants Internes en 2002.
11
Au tout début des années 2000, le Coso a demandé à Pricewaterhouse Coopers, déjà co-auteur du Coso
Report, de développer un référentiel méthodologique pour la gestion globale des risques de l’entreprise. Ce
référentiel a été publié en septembre 2004 sous le titre « Enterprise Risk Management », site : www.coso.org
12
Ou hypothétiques, par opposition aux risques avérés traités par l’assurance, pour lesquels on dispose
d’informations concernant la probabilité de réalisation et les conséquences sur l’entité (individu, matériel). Les
nouveaux risques entrent dans la catégorie des risques potentiels (Schmitt, 2000).
13
Qui font l’objet d’une approche subjective (socio-cognitive) et font référence à la construction par les
individus de leur propre idée du risque par opposition aux risques objectifs qui font l’objet d’une approche
rationnelle de la part des experts (technique).

4
favorisant la conduite de projet, le partenariat, l’interdisciplinarité, et pro-active, son point de
départ étant situé très en amont, dès la désignation des objectifs stratégiques.
La démarche globale de gestion des risques permet par ailleurs l’introduction des trois boucles
d’apprentissage (Argyris et Schon, 1978) et notamment les boucles de type deux et trois14.
Elle favorise ainsi une culture d’apprentissage où l’articulation diagnostic-pilotage se fait plus
naturellement. La maîtrise des risques s’obtient alors non par des dispositifs de surveillance
mais par la mise en place d’une organisation de la responsabilité et d’un auto-contrôle des
responsables d’activités.

1.2.2 Obstacles et préconisations

Les obstacles souvent exprimés par les entreprises mais, selon nous, faciles à contourner sont
le coût et plus largement le retour sur investissement, le manque de sensibilisation des
dirigeants et leur faible perception des avantages immédiats liés à sa mise en place.
Nous préférons retenir des obstacles plus pertinents liés à la difficulté des entreprises à
aborder la démarche de gestion des risques de manière pro-active, c’est à dire dynamique et
opérationnelle. C’est le passage à cette approche qui pose problème aux entreprises. Plusieurs
études menées à la SNCF, dans le secteur hospitalier et au sein du groupe Airbus mettent en
évidence des obstacles non pas d’ordre technique mais d’ordre cognitif et organisationnel.
Elles montrent que l’approche du risque est technique, qu’elle insiste sur le risque et agit sur
le risque (fréquence / impact) via la réglementation mais que l’opérateur est passif, peu ou pas
pris en compte. La dimension socio-cognitive du risque liée au comportement des acteurs de
l’entreprise n’est suffisamment intégrée ni dans la réflexion sur le risque, ni dans les
politiques de risques. Ceci se traduit par un décalage entre la perception du risque des experts
et celle des opérateurs d’une part, entre les pratiques préconisées par les experts et les
pratiques effectives des opérateurs d’autre part. La démarche de gestion des risques reste
« descendante », sans responsabilisation des acteurs, sans communication, sans retour
d’expérience. Il n’y a par ailleurs aucun risk-manager pour fédérer les représentations.
La question posée est celle d’une évolution de la prévention des risques qui intégrerait
facteurs techniques et facteurs humains et prendrait en compte l’individu dans sa situation de
travail. Les solutions préconisées par les entreprises sont à chercher du côté d’une meilleure
communication entre les dirigeants, les experts et les opérateurs ; d’une meilleure information
sur les risques ; de davantage de participation des opérateurs à l’analyse des risques
(implication active des opérateurs, approche « ascendante » partant d’une équipe…) ; du
développement d’une dynamique de groupe dans l’organisation (culture de prévention du
risque…) ; de la mise en place d’outils de gestion des connaissances (intégration des
questions de la connaissance, des savoir-faire, des représentations, de l’apprentissage…) ; de
la recherche de pratiques managériales.

L’émergence de la fonction de risk-manager, d’un risk-manager qui appréhende la gestion

des risques opérationnels sous l’angle technique, organisationnel et cognitif a donc deux
origines : l’intérêt d’avoir un cadre intégrateur où peuvent se développer des logiques de

14
Apprentissage par reconstruction (en double boucle) : l’organisation apprend en remettant en cause ses
objectifs et leurs fondements. Apprentissage par l’apprentissage (en triple boucle) : l’organisation apprend à
modifier ou développer sa façon d’apprendre, à tirer les leçons de l’expérience. Cela a un impact sur
l’amélioration des boucles de type 1 et 2.

5
réactivité et de proactivité, avec des impacts positifs, qui vont au delà de la conformité aux
normes (procédures, référentiels, réglementations…) et les difficultés à la mettre en place.
Mais comment ce risk-manager est-il défini ?

II DE LA NECESSITE D’UNE CLARIFICATION DE LA FONCTION

Les enquêtes existantes15 nous permettent d’explorer les réalités diverses de la fonction et de
mettre en évidence son absence de définition et la forte hétérogénéité des positionnements des
risk-managers ou des managers responsables de la gestion des risques dans les grandes
entreprises, tous secteurs confondus. Cette exploration constitue, en cela, le deuxième point
de départ de notre recherche.

2.1 Une fonction sans définition

Le terme même de risk-manager16 soulève plusieurs problèmes.

2.1.1 Un problème de traduction

Le terme anglo-saxon de risk-manager est sans équivalent en français. Le gestionnaire des

risques est celui qui conduit les actions de gestion des risques. Or le risk-manager tel que
l’entendent les Anglo-Saxons n’est pas un simple « gestionnaire » mais un « visionnaire » de
risques capable d’avoir une approche globale des risques encourus par son entreprise. La
traduction en français « gestionnaire de risques » lui fait donc partiellement perdre de sa
substance. De plus, dans l’esprit de nombreux praticiens, le terme de « gestionnaire des
risques » est trop marqué par ses origines dans le monde de l’assurance. Ces éléments nous
conduisent à préférer parler de risk-manager.

2.1.2 Un problème d’intitulé

Risk-manager est le terme retenu par l’Association pour le Management des Risques et des
Assurances de l’Entreprise, ses membres se reconnaissant sous cette appellation. Il devrait
être celui qui s’affirmera progressivement dans les entreprises. Pourtant, sur les cartes de
visite, les intitulés restent variés : directeur des assurances, directeur des risques, directeur de
l’audit et du contrôle des risques, risk-manager, Chief Risk Officer (CRO)…

2.1.3 Un problème de définition

15
Les plus intéressantes sont celles d’Eurogroup sur « l’état de l’art du management et de la communication de
crise » (2005) et d’Ernst&Young sur « le profil du risk-manager de demain » (2003).
16
Le terme qui vient du monde anglo-saxon était peu connu il y a quelque temps. La notion de gestion des
risques apparaît pour la première fois sur les diplômes aux Etats-Unis en 1973 (diplôme international « Associate
in Risk Management ». En France, il faut attendre 1990 pour que soit créée l’Association pour le Management
des Risques et des Assurances de l’Entreprise (AMRAE), qui compte aujourd’hui 420 membres représentant 230
entreprises.

6
Contrairement aux fonctions arrivées à maturité comme le contrôle de gestion ou plus
récemment les achats17 qui se définissent, sous la forme d’une fiche de poste, par les tâches et
les missions qu’elles réalisent, le périmètre qui leur est confié, la structure qui les porte…, il
n’existe pas de référentiel de la fonction de risk-manager. Il existe seulement une fiche
emploi/métier du Répertoire National des Métiers et des Emplois (ROME), très sommaire, et
une liste de tâches assumées par le risk-manager, déposées sur le site de l’AMRAE
(www.amrae.fr) ou décrites par Veret et Mekouar (2005). La fonction de risk-manager
recouvre donc des acceptions différentes qui concernent souvent un seul aspect ou un
domaine d’action de la gestion des risques. Elle est par ailleurs très hétérogène selon les
entreprises.

2.2 Une fonction hétérogène aux contours incertains

Toutes les entreprises sont loin d’avoir vécu au même rythme la montée en puissance de la
gestion des risques. Nous avons choisi d’établir ce constat autour des points suivants :
l’organisation de la fonction, son périmètre, l’engagement de la Direction Générale, ses
missions, outils et mode de gestion, le profil du risk-manager. Ces items sont ceux autour
desquels nous avons construit le guide d’entretien qui servira au recueil des données lors des
entretiens semi-directifs. Ils ont le mérite d’une part de « faire le tour » de la fonction et
surtout de l’appréhender sous les trois angles d’analyse qui nous intéressent : technique,
organisationnel et cognitif.

2.2.1 L’organisation de la fonction

L’organisation de la fonction soulève deux questions : qui est en charge de la gestion des
risques ? comment s’insère la fonction dans l’entreprise ?

La première question met en évidence un large panel de possibilités selon les entreprises.
Dans les entreprises ayant un risk-manager, ce qui est le cas plutôt dans les grandes
entreprises où l’on observe une professionnalisation de la fonction18 et plutôt dans l’industrie
où elle est plus mature19, le risk-manager est souvent un homme ou une femme isolé(e),
quelquefois entouré(e) d’une petite équipe dédiée ou externe et plus rarement d’un service ou
un département de gestion des risques (dans seulement deux-cents cinquante entreprises
environ20). Quelques entreprises très avancées en matière de gestion des risques ont créé des
fonctions supplémentaires : un « manager des crises21», électron libre, dont il est difficile de
définir clairement le rôle, quelque part entre homme de l’ombre et spécialiste de la
communication ; un responsable global des risques pour l’entreprise, chief risk officer, placé à
la tête de leur système de gestion des risques. La fonction de chief risk officer provient du
17
Le contrôle de gestion, il y a trente ans, et les achats, il y a vingt ans, étaient des fonctions en émergence.
18
En 2002, 13 % des entreprises interrogées avaient créé une fonction de risk-manager (DFCG-KPMG, 2002 -
échantillon de 108 grandes entreprises dont 70 cotées - ) ; en 2003, une entreprise sur deux fait état de l’existence
d’un risk-manager (Ernst&Young, 2003) ; la proportion est de 70% dans les entreprises cotées (Eurogroup,
2005).
19
Elle commence seulement à s’installer dans les grandes sociétés de distribution et de services et se développe
désormais dans la finance (Eurogroup, 2005). Elle a encore du terrain à gagner dans les PME-PMI (Véret et
Mekouar, 2005).
20
Estimation de Véret et Mekouar, 2005.
21
30% des entreprises, notamment dans la distribution, la pharmacie ou l’agroalimentaire ; Eurogroup 2005.

7
monde anglo-saxon. Ce responsable global peut diriger plusieurs services en charge d’une des
facettes de la gestion des risques (comme par exemple un service de gestion de la sécurité,
et/ou de la conformité, et/ou un service financier). Il peut présider un comité de gestion des
risques en charge de coordonner les différentes politiques de gestion des risques dans toute
l’entreprise et rapporter ainsi directement au comité de direction. L’existence d’un chief risk
officer est censée apporter un poids supplémentaire en faveur de la gestion des risques dans
l’entreprise ainsi qu’une vision plus globale du système de gestion des risques. Aucune étude
n’établit le nombre d’entreprises françaises disposant d’un chief risk officer. L’étude
d’Ernst&Young (2003) établit seulement qu’une entreprise sur deux éprouve le besoin de
distinguer un chief risk officer dans l’entreprise. La fonction est encore l’exception en France.
Autre cas de figure, le plus fréquent, celui des entreprises n’ayant pas de risk-manager :
l’organisation y est encore plus hétérogène. Il existe le plus souvent une personne en charge
des contrats d’assurance, mais il ne s’agit pas dans ce cas de démarche globale de gestion des
risques, au sens où nous l’avons définie. La gestion des risques est accomplie par des
personnes de services différents, avec des reports hiérarchiques différents. Il peut alors s’agir
d’une mission transversale de gestion des risques mais la fonction se trouve diluée et sans
véritable « chef d’orchestre ».

L’insertion de la fonction dans l’organisation varie elle aussi selon les entreprises.
Au niveau fonctionnel, le risk-manager est rattaché soit au niveau de décision, soit à celui des
opérations. Au niveau hiérarchique, contrairement à d’autres fonctions que l’on retrouve
toujours à la même place, le risk-manager se « promène » dans les organigrammes d’une
société à l’autre. Il est au mieux un des collaborateurs directs du Directeur Général (21% des
risk-managers rattachés au Président / Directeur Général, Ernst&Young, 2003), signal d’une
mise en orbite de la fonction, ou au pire un responsable des assurances, oublié au fond de la
direction juridique. Entre ces deux extrêmes, le champ des possibles est large : on observe des
rattachements à la direction financière (44% des risk-managers rattachés aux fonctions
financières et administratives, Ernst&Young, 2003), la direction juridique, les directions
opérationnelles, l’audit interne voire même à la direction de l’organisation et/ou de la
logistique et la direction des achats (Véret et Mekouar, 2005).
Cette question du rattachement de la fonction est en fait une question d’histoire : le
qualificatif assurances lui « colle-t-il encore à la peau » ? C’est aussi une question de
périmètre : la gestion des risques est-elle au carrefour de plusieurs compétences ? Ou encore
une question de stratégie : est-ce une fonction stratégique ou seulement un processus
support ? Mais aussi une question de profil : quelle fonction a-t-il occupé dans l’entreprise ou
hors de l’entreprise avant d’être risk-manager ? Elle devient en fait assez secondaire lorsque
la gestion des risques est organisée de manière transversale dans l’entreprise.

2.2.2 Le périmètre de la fonction

La question du périmètre de la fonction est également délicate. Elle peut être abordée sous
l’angle des activités, des actifs, des risques confiés au risk-manager et sous l’angle des
relations du risk-manager avec les autres fonctions.
Sur le premier point, aucune étude ne permet d’avoir une idée globale du périmètre. De la
réponse à ces questions dépend pourtant la vision consolidée de l’entreprise et de ses risques.
Le deuxième point fait, quant à lui, l’objet de nombreux débats. De la réponse à cette question
dépend, entre autres, la vision transversale du risk-manager. Alors que le risk-manager se
trouve au centre d’une démarche qui nécessite de nombreuses collaborations22, ses relations
22
Avec les directions financière et juridique, bien sûr. Mais aussi avec les entités opérationnelles pour un
échange permanent. Avec la direction RH, par exemple pour instaurer des bonus corrélés au respect des

8
avec les autres directions relèvent davantage de la concurrence23. Il y a en effet beaucoup de
prétendants aux différentes tâches relevant de la gestion des risques : d’anciens prétendants
récurrents comme la direction financière et la direction juridique qui rechignent à ce qu’on
foule leur pré-carré et s’efforcent de cantonner le risk-manager au rôle de gestionnaires des
assurances et de nouveaux prétendants, plus récents, comme l’audit interne qui appréhende
son rôle dans une acception plus large. La question des frontières entre l’audit interne et le
management des risques se pose aujourd’hui avec beaucoup d’acuité : les frontières entre
l’audit et le management des risques deviennent-elles perméables ? La fonction de risk-
manager pourrait-elle se voir cannibalisée par l’audit interne ?
Cette question est posée par les nouvelles règles sur la gouvernance d’entreprises, la loi sur
les Nouvelles Régulations Economiques (2001) en France, la loi Sarbanes-Oxley (2003) aux
Etats-Unis. Des sujets qui étaient jusque-là cantonnés à des fonctions spécialisées remontent
sur le bureau des présidents. Ce nouvel environnement pousse les deux fonctions à aller au-
delà du rôle qu’elles remplissaient jusqu’alors et obligent chacune à regarder ce que fait
l’autre.
Cette question est aussi posée par les nouvelles normes internationales qui changent les
habitudes de gestion des entreprises. Au cours de ces dernières années, les entreprises ont
lancé des projets d’amélioration du contrôle interne en s’appuyant le plus souvent sur la
définition du Coso Report de 199224. Les enseignements tirés de ces expériences démontrent
la nécessité de pouvoir placer le dispositif de contrôle interne dans un cadre plus large de
gestion globale des risques intégrée dans l’ensemble des composantes de l’entreprise.
Quelques années plus tard (septembre 2004), le référentiel méthodologique pour la gestion
globale des risques de l’entreprise, Coso II, s’appuyant sur les concepts et la structure du Coso
Report qu’il complète et enrichit, fournit un véritable cadre de réflexion pour le management
de l’entreprise par les risques. Parmi les apports du Coso II, on trouve la prise en compte
systématique des risques dans l’étude des options et des scénarios stratégiques en s’appuyant
sur des concepts tels que l’appétence aux risques et la tolérance aux risques. Celle-ci facilite
l’intégration de la gestion des risques dans le fonctionnement courant des entreprises. Cette
démarche propose une orientation claire aux gestionnaires du risque. Mais auxquels ? Au risk-
manager ? A l’auditeur interne ? Car, si les objectifs et les normes de l’audit interne sont
aujourd’hui clairement définis - « il revient à l’audit interne de détecter les principaux risques
de l’entreprise, de les analyser, voire d’apporter des solutions en relation avec le Directeur
Général et le comité d’audit » (Institut Français des Auditeurs et Contrôleurs Internes, 2003) -
ceux du risk-management restent incertains.
Avoir un positionnement clair pour être celui qui met en musique la gestion globale des
risques, en jouant sur la complémentarité entre les deux fonctions tout en misant sur
l’indépendance nécessaire de l’audit interne est l’un des défis du risk-manager.

2.2.3 L’engagement de la direction générale

Dans la plupart des entreprises, la gestion des risques est souvent considérée comme relevant
du bon sens : elle ne fait l’objet d’aucune communication interne particulière dans 65% des
entreprises ayant un risk-manager ; DFCG / KPMG, 2002) et encore moins d’un écrit global

consignes de sécurité. Avec l’informatique, pour développer des systèmes de mesure adaptés à chaque activité,
intégrables aux process existants et paramétrables entre eux en vue d’une large cartographie.
23
Quatre types de relations proposés par Korn/Ferry International : séparation, complémentarité cohabitation et
concurrence (voir Rencontres de l’AMRAE, 2005).
24
Qui définit le contrôle interne comme étant le processus mis en œuvre par l’entreprise pour fournir une
assurance raisonnable quant à l’atteinte des trois objectifs que sont la réalisation des opérations, la fiabilité de
l’information financière et la conformité aux lois et règlements.

9
formalisé, suivi, contrôlé (indicateurs de maîtrise des risques) et remis en question
régulièrement. Ces caractéristiques sont celles d’un processus-support, loin de l’axe
stratégique contribuant au développement d’une véritable culture de management de
l’entreprise par les risques.

2.2.4 Les missions, les outils, le mode de gestion

Comme le libellé des cartes de visite et le périmètre confié, les missions des risk-managers
restent très hétérogènes. De l’avis de Franck Baron, directeur risk-management Afrique,
Europe, Moyen-Orient de Danone, « le terme de risk-manager est encore largement
galvaudé ». Ce titre englobe surtout les responsables des assurances au sein des grandes
entreprises. Si quelques entreprises pilotes, comme Danone ou France Télécom par exemple,
confient à leur risk-manager une véritable fonction de gestion globale des risques, la plupart
préfèrent limiter la mission de leur risk-manager à l’achat d’assurances et à la prévention des
risques matériels et à l’approche technique de la démarche. Seule à s’intéresser aux missions
du risk-manager, l’étude d’Ernst&Young (2003) propose aux entreprises de citer leurs deux
missions prioritaires parmi les missions suivantes : identifier les risques, proposer des
solutions de traitement en amont, mettre en place un système d’information et de reporting
sur les risques, mettre en place un système de gestion intégré, mettre en place des
financements des risques. Sans surprise, l’identification des risques arrive en tête avec 46%
des réponses puis le traitement en amont (33%). Le besoin d’un système d’information sur les
risques semble s’affirmer comme une priorité pour 13% des entreprises. Ce besoin va de pair
avec le rôle de risk-manager devant animer le processus d’identification des risques et suivre
le plan d’action de traitement pour l’ensemble des activités de son entreprise. Il semble
toutefois difficile de donner un sens à ces résultats eu égard au caractère très large, voire
« fourre-tout » des missions proposées.
Plus précisément, les outils de gestion des risques utilisés par les entreprises restent quant à
eux le reflet d’une approche « sécuritaire » basée sur des procédures, des référentiels ou
encore des réglementations davantage assimilables à un ensemble de normes coercitives ou
incitatives générateur d’une démarche qualité centrée sur le produit et ses clients externes,
qu’à une démarche transversale de gestion des risques transposée à toute l’entreprise. Les
entreprises utilisent peu de moyens opérationnels de la gestion des risques : moins de 40 %
ont mis en place un processus d’identification des risques ; seulement 25 % utilisent une
cartographie.
La question des missions et les outils confiés au risk-manager rejoint finalement celle du
mode de gestion des risques choisi par les entreprises. Dans leurs travaux sur la gestion des
risques professionnels, Pilnière et Larrasquet25 (2005) présentent les deux grands modes de
gestion mis en œuvre par les entreprises. Le premier est défini comme uniquement descendant
(modalité « top-down ») : le risk-manager élabore, seul ou avec quelques acteurs dits
« experts » dans le domaine des risques professionnels, une méthode peu coûteuse en temps,
se traduisant par la réalisation d’un questionnaire ou d’une grille sur les risques estimés des
salariés et par l’implication d’une seule personne qui va élaborer des actions de prévention.
Celles-ci, essentiellement techniques, devront être appliquées aux salariés et se traduiront en
termes de procédures, de moyens de protection (port de gants, port du masque…). Le second
mode de gestion défini comme étant descendant-ascendant (modalité « top-down / bottom-

25
Dans « la gestion des risques : une question de représentation ».

10
up ») s’appuie sur le précédent avec un « affichage » de la participation des salariés. Celle-ci,
souvent parcellaire, va de la simple information de la mise en œuvre d’une méthode de
gestion des risques et de ses résultats à la réalisation et/ou la recherche de pistes d’action :
questionnaire sur les risques pris par les salariés, recueil des risques en situation de travail
réalisé par un expert, prise de parole de deux ou trois salariés sollicités pour s’exprimer sur les
risques qu’ils prennent. On est loin d’un mode de gestion ascendant (modalité bottom-up).

2.2.5 Le profil du risk-manager

« Poste complexe pour profil complet », tel est le titre d’un article paru dans les Echos en
février 2004, dans lequel deux associés du cabinet de conseil en recrutement Egon Zehnder
interrogés sur le profil du bon risk-manager parlent d’un « risk-manager aux airs de mouton à
cinq pattes ». Gestionnaire de projet, il fait remonter et formalise l’information sur les risques.
En habile manager, il est invité à les réduire. Il doit être technicien, modélisant le risque et
bon ingénieur, définissant des procédures. C’est aussi un négociateur qui travaille avec les
assurances pour transférer le risque. Il doit également être capable d’analyser la totalité des
risques de l’entreprise. Le point de vue des formateurs de l’enseignement supérieur va dans le
même sens : « le risk-manager idéal est à la fois un juriste, un ingénieur, un financier, un
négociateur et un manager26. » Où trouver cet homme à tout faire ? Quelles sont ses qualités
premières ?
Les profils sont très divers. Côté recrutement externe, un parcours dans le conseil ou l’audit
apparaît comme un atout. Les entreprises chassent aussi des éléments spécialisés sur le risque
industriel dans les compagnies d’assurances internationales. Côté promotion interne, les
directions audit, finance ou juridique sont les principales voies d’entrée. Dans ces cas, un
passage intermédiaire par un poste opérationnel peut s’avérer précieux, sinon indispensable.
La facette technicien du risque de la fonction conduit à recommander un profil ingénieur de
haut vol, type Mines, X et/ou Ensae. L’étude Ernst&Young (2003) confirme ces multiples
profils : majoritairement (56%), le risk-manager est un financier ou un juriste. Cela
correspond au profil historique du risk-manager, gestionnaire des assurances et des sinistres.
Cette génération de risk-manager est largement présente aujourd’hui dans les entreprises. Le
profil monodisciplinaire de l’ingénieur est aujourd’hui peu fréquent (8%). En revanche, la
double compétence ingénieur et financier ou ingénieur et juridique s’affirme peu à peu (21%).
Au-delà du parcours, la fonction requiert de nombreuses qualités : rigueur, méthodologie et
sens des procédures pour l’analyse des risques, esprit ouvert, capable de penser de façon
transversale. C’est aussi un poste de veille, où il faut « s’interroger, anticiper, prévoir » ; « il
doit aussi savoir aller sur le terrain ». Une même richesse (ou éclectisme ?) ressort de l’étude
Ernst&Young : connaissance intime des activités de l’entreprise, indispensable pour 62% des
entreprises, pour pouvoir efficacement identifier les risques, proposer des solutions
opérationnelles et appréhender les aspects « business » et non plus uniquement techniques ;
qualité de communication reconnue comme indispensable pour 55% des entreprises pour
affirmer sa vision des risques, convaincre de la nécessité des actions à engager et animer son
réseau dans l’entreprise. Les compétences comme la qualité d’organisation ou la connaissance
des techniques de risk-management arrivent au deuxième plan.

Notre réflexion sur la fonction de risk-manager et la place qui lui est accordée dans
l’entreprise a plusieurs origines : l’absence de définition de la fonction, son positionnement

26
J.H Lorenzi, professeur au Master « Techniques d’assurance et gestion des risques » de l’Université Paris-
Dauphine.

11
très hétérogène selon les entreprises et ses contours incertains, caractéristiques d’une fonction
en émergence.

III A LA RECHERCHE DE PRATIQUES MANAGERIALES

Les éléments de contexte explicités, nous présentons notre projet d’étude terrain, dont
l’objectif est de nous permettre de définir la fonction de risk-manager via l’étude des
pratiques managériales de gestion des risques opérationnels. Nous le présenterons en
détaillant les questions de recherche et les choix méthodologiques.

3.1 Question de recherche n° 1 : qu’est-ce qu’un risk-manager ?

L’hétérogénéité constatée entre le risk-manager jouant tantôt un rôle stratégique tantôt une
fonction d’exécution, la quasi absence de travaux de recherche consacrés à cet acteur, les
interrogations « d’actualité » quant à son positionnement par rapport aux autres fonctions de
l’entreprise, le constat de flou autour des paramètres d’exercice de la fonction de risk-manager
justifient de s’interroger sur ce qu’est un risk-manager.
Répondre à cette question présente plusieurs intérêts. Le premier est de clarifier le champ
d’action de la fonction en établissant comment les responsables d’une entreprise la définissent.
Le deuxième est de finaliser une proposition de fiche de poste, référentiel manquant
aujourd’hui à la profession (AMRAE, formations…) ; celle-ci guidera la formation et
participera à la professionnalisation de la fonction ; elle lui permettra également d’avoir un
positionnement clair, élément indispensable pour arriver à maturité au même titre que d’autres
fonctions et relever le défi de la complémentarité avec l’audit interne.
Nous structurerons notre réponse à cette problématique autour de six points principaux :
- qui est en charge de la gestion des risques ;
- comment la fonction s’insère dans l’organisation de l’entreprise ;
- quelles activités, actifs, risques relèvent du risk-manager et quelles relations le risk-
manager entretient avec les autres fonctions de l’entreprise et notamment avec l’audit
interne ;
- comment la gestion des risques est envisagée par la Direction Générale, axe
stratégique ou processus support ;
- quelles sont les missions confiées au risk-manager, les outils utilisés, le mode de
gestion choisi ;
- quels sont les parcours, formations, qualités du risk-manager.

3.2 Question de recherche n° 2 : qu’est-ce qu’un « bon » risk-manager ?

Qu’est-ce qu’un bon risk-manager ? Nous essayerons de répondre à cette question posée de
manière récurrente lors des congrès de l’AMRAE et à ce jour toujours sans réponse formelle.
Répondre à cette question présente l’intérêt de comprendre comment les responsables d’une
entreprise gèrent et contrôlent les processus décisionnels en matière de gestion des risques,
tant de façon directe à travers la structure et le contenu organisationnel, que de façon indirecte,
à travers leurs rôles d’acteurs de ce processus. Cette compréhension devrait permettre de
mettre en avant les compétences et facteurs clés de succès de la fonction de risk-manager et
d’identifier les paramètres à partir desquels elle s’exerce.

12
Nous mobilisons donc le concept de compétence en prenant en compte ses différentes
composantes (Montalan, 1998). Application effective des connaissances à une situation
donnée, la compétence est la partie opérationnelle de la connaissance. Elle s’appuie sur quatre
dimensions : le savoir ou episteme, le savoir-faire ou techne, le savoir-être ou phronesis et le
savoir quoi faire ou metis (Feron, 2001). La compétence met en interaction deux niveaux :
- un niveau individuel, celui du sujet actant : la compétence est un attribut du sujet
(Stroobants, 1993) ;
- un niveau organisationnel, celui de l’action ou du « faire », la compétence, pour être activée,
ayant besoin d’un contexte d’action : « il n’y a de compétence que de compétence en acte »
(Le Boterf, 1994).
Le contexte d’action s’inscrit, quant à lui, dans un cadre institutionnel, celui de la
représentation de l'homme au travail : c'est à ce niveau que se situe la reconnaissance sociale
et le référencement du jugement de valeur de la compétence27.
L’analyse de la compétence repose, en conséquence, sur la prise en compte conjointe de
l'individu (intention, motivation, attitudes) et de sa fonction (organisation, contexte, moyens).
Cette dernière peut être appréhendée sous l’angle de la prescription (spécification des
conditions pratiques objectives des « tâches » associées à la fonction) ou sous l’angle de
l’« activité » réalisée (conception que le risk-manager se fait de son poste, de sa mission :
objectifs, modèles, méthodes et outils utilisés).
Ainsi modélisée, la compétence peut être appréhendée de deux manières différentes, selon
l’angle d’analyse : l’acteur agissant ou l’organisation de la fonction (cf. figure 1).

ORGANISATION DE Contexte
LA FONCTION Moyens

TRAVAIL TRAVAIL
PRESCRIT REEL
COMPETENCE
Tâches (représentation Activité (représentation
normative) cognitive)

Connaissances
Personnalité
RISK-MANAGER
Capacité

Figure 1 : les composantes de la compétence

Notre projet de recherche a pour objectif d’appréhender les activités du risk-manager dans
différents contextes et de confronter les pratiques constatées et les représentations que se font
les acteurs de leur fonction à la représentation qui en est faite au niveau institutionnel
(représentation normative sous forme de référentiels, règlementations, etc.). Une approche des
compétences du risk-manager qui ne dissocie pas individu et organisation présente, en effet,
l’intérêt d’un positionnement des pratiques managériales des entreprises dans le cadre d’une
démarche globale telle que nous l’avons fixée en référence (approche opérationnelle – niveau

27
Et sans reconnaissance sociale, il ne peut y avoir de compétence. Pour MERCHIERS et PHARO, c'est le
jugement d'autrui qui fonde la compétence. Ces auteurs distinguent, par ailleurs, la dimension cognitivo-pratique
et la dimension normative de la compétence.

13
de l’individu ou du risk-manager - et approche technique– niveau de l’organisation) et, au-
delà, des institutions professionnelles.

3.3 Choix méthodologiques

La méthodologie retenue s’inspire directement de celle proposée par Hubermann et Miles

(1991).

3.3.1 Une approche qualitative

Thiétart (1999) distingue cinq types d’objectifs de recherche dont dépend la méthode de
recherche : explorer, construire, tester, améliorer ce qui a été fait, découvrir ce qui n’a pas été
fait. Notre programme de recherche s’inscrit clairement sur les deux premiers axes, explorer
les pratiques des entreprises en matière de gestion des risques, construire un référentiel de la
fonction de risk-manager, construire un modèle explicatif de la fonction et des représentations
de risque sur lesquelles elle repose. Le terrain d’étude est constitué par les grandes entreprises
nationales et internationales. Les données analysées seront la représentation d’une réalité à la
fois observable (une organisation, des comportements…) et non observables (des attitudes,
des croyances…). Notre approche fondamentalement liée à l’exploration de réalités diverses
sera donc exclusivement qualitative dans un premier temps.
Plusieurs éléments étayent ce choix. L’approche qualitative s’inscrit bien dans la démarche
d’étude d’un contexte particulier, celui de l’observation d’une entreprise et des réponses
organisationnelles qu’elle apporte à la problématique de gestion des risques. Elle offre ainsi
plus de garantie qu’une démarche quantitative quant à la validité interne de la recherche.
L’analyse de plusieurs contextes permettra par ailleurs d’accroître sa validité externe selon
une logique de réplication. Or, l’approche qualitative offre l’opportunité d’une confrontation
avec des réalités multiples. L’étude qualitative donne une place privilégiée aux acteurs de
l’entreprise et à leurs représentations (Coulon, 1987). Elle met en exergue l’interprétation que
font les individus étudiés de la situation objet de l’analyse (Erickson, 1997). Cette approche
qualitative admet tout à la fois la subjectivité du chercheur, interprète du terrain et celle du
sujet (Thiétart, 1999).
Si on postule que les phénomènes sociaux existent non seulement dans l’esprit des acteurs
mais aussi dans le monde réel, on peut penser, à l’instar de Miles et Huberman (1991)
« découvrir entre eux quelques relations légitimes et raisonnablement stables ». L’approche
qualitative offre aussi à la recherche plus de flexibilité. Si comme l’écrit Girin (1989), « la
vraie question n’est pas celle du respect du programme de recherche mais celle de la manière
de saisir intelligemment les possibilités d’observations qu’offrent les circonstances », alors on
peut relever que la question de recherche peut être modifiée en cas d’approche qualitative, ce
qui est impossible en cas d’approche quantitative. Un dernier aspect peut être évoqué : celui
du coût de la recherche. Le temps d’obtention des résultats ne doit pas être trop long afin de
conserver une pertinence aux résultats obtenus.

3.3.2 Le recueil des données

La méthode des entretiens semble particulièrement bien adaptée à l’approche retenue. Ils
constituent un procédé privilégié pour appréhender la complexité et la nouveauté du

14
phénomène étudié. Burgess (cité dans Usunier, Easterby-Smith et Thorpe, 1993) dit à ce
sujet : « (l’interview) est… l’occasion pour le chercheur d’explorer en profondeur afin de
découvrir de nouveaux indices, de mettre à jour de nouvelles dimensions d’un problème et
d’obtenir des récits et explications vivants, précis, complets, fondés sur l’expérience
personnelle. »
Les entretiens sont centrés autour des six thèmes présentés précédemment (section 3.1, page
12), lesquels sont introduits par l’intermédiaire des questions du guide d’entretien détaillé en
annexe 1.
Ces questions (thèmes) peuvent ne pas suivre l’ordre initialement prévu par l’enquêteur.
L’intérêt de centrer les entretiens autour de thèmes préétablis est d’éviter un trop grand
dispersement des réponses du répondant et la collecte de nombreuses informations superflues
(Hubermann et Miles, 1991), alors même que le temps accordé pour l’entretien est compté.
Ces thèmes serviront de base à l’analyse. Les trois premiers items abordent la dimension
organisationnelle de la fonction risk-manager .et ont pour objectif de donner une
représentation normative des tâches confiées au risk-manager. Le thème suivant qui met en
avant la place stratégique réservée ou non à la fonction risk-manager a pour but d’analyser
l’organisation réellement mise en place. Les deux derniers items adoptent la logique de
l’acteur en cherchant à mieux cerner son profil et sa façon de concevoir son métier. Si elles
privilégient chacun des angles de l’analyse (organisation, acteurs), les différentes questions
structurant chaque thème ont pour vocation de croiser les deux dimensions normative et
cognitive de la compétence.
Les entretiens sont semi-directifs. « L’acteur s’exprime librement, mais sur un
questionnement précis, sous le contrôle du chercheur. L’implication est partagée (Wacheux,
1996). En dehors des questions introduisant les thèmes généraux à aborder, l’enquêteur ne
doit pas interférer dans les réponses que peut aborder le répondant, en intervenant de façon à
induire les réponses, en interprétant ses réponses, en donnant son avis. Il doit conserver une
attitude neutre, une attitude de compréhension en empathie (Grawitz, 1996). Il ne peut
intervenir que pour faciliter le discours ou l’approfondissement des thèmes. Conformément à
la méthodologie des entretiens semi-directifs, il peut être posé aux personnes interrogées des
questions complémentaires visant à expliciter leurs réponses ou à obtenir des
approfondissements.
Les deux entretiens exploratoires menés sur deux grandes entreprises industrielles ont duré
une heure.
Les questions servant de guide d’entretien sont communiquées à l’interlocuteur une à deux
semaines avant l’entretien.
Tous les entretiens sont retranscrits mot pour mot dans leur intégralité, y compris les
hésitations ou les interventions de l’enquêteur.
Les entreprises sont sélectionnées sur un critère de taille, à partir d’informations obtenues sur
des bases de données. Nous retenons les maisons mères ou filiales de grands groupes, dans
lesquelles la fonction de risk-manager a le plus de chance d’être définie. Le critère sectoriel
apparaissant, a priori, comme une variable de contexte très significative, nous avons choisi
dans un premier temps de la neutraliser. Nous limiterons donc notre étude terrain au secteur
industriel.
Pour garantir la validité externe de l’étude, la taille de l’échantillon sera d’une trentaine de
responsables appartenant à différentes entreprises soit vraisemblablement trois à quatre
responsables dans une dizaine d’entreprises. La stratégie d’introduction au sein des
organisations est dite du « pied dans la porte » (Joule, 1987). Il s’agit d’interviewer les
dirigeants puis de demander à étendre le champ de l’enquête à des acteurs plus nombreux (un
ou deux membres de l’équipe du risk-manager).

15
3.3.3 Le traitement et l’analyse des données

Les données seront analysées en fonction de méthodes interprétatives purement qualitatives.

Le lien à établir entre concepts et données issues de l’observation se fera dans le cadre d’une
traduction sous la forme d’une abstraction à partir des éléments empiriques (Schatzman et
Strauss, 1973). Un procédé de codage sera utilisé (Strauss et Corbin, 1994). Cette étape est
indispensable pour analyser rigoureusement les données et atteindre des résultats fiables. En
effet, il est impossible de travailler à partir des entretiens bruts. Comme le précisent
Hubermann et Miles (1991), le texte narratif des notes de terrain est très difficile à utiliser
pendant l’analyse. Il couvre de nombreuses pages, est organisé chronologiquement plutôt que
par thèmes, et ne possède généralement qu’une faible structure inhérente. Il devient difficile
de retrouver les mots les plus significatifs, de réunir les segments qui vont ensemble et de
réduire cette masse en unités immédiatement analysables. Une solution consiste à coder les
notes de terrain, les observations et le matériel à archiver.
Le codage consiste à attribuer à un segment du texte, une phrase, un fragment de celle-ci ou
un paragraphe, un code en vue d’une classification. Les données seront ensuite regroupées par
catégories (Glaser et Strauss, 1967) sur le principe de similarités des phénomènes observés.
L’interprétation qui en sera faite sera discutée par les chercheurs participant au travail et
pourront conduire à un retour de données et à une nouvelle interprétation du processus
d’interprétation.

Conclusion

Définir la fonction et les compétences spécifiques de la fonction permettront au risk-manager

de quitter le statut de fonction en émergence, de relever les défis en devenant un « visionnaire
de risques » et de se positionner comme le chef d’orchestre de la démarche globale de gestion
des risques opérationnels par rapport aux autres fonctions. Si les approches d’expert et les
approches techniques de la gestion des risques sont bien connues de l’audit interne28, qu’en
est-il en revanche de la dimension opérationnelle ? Là est sûrement la valeur ajoutée du risk-
manager. Nous avons testé le guide d’entretien auprès de deux grandes entreprises
industrielles avant d’élargir la recherche à la totalité de notre échantillon. Nos premiers
résultats feront l’objet d’une communication.

Annexe 1 : guide d’entretien

Organisation de la fonction

Qui est en charge de la gestion des risques ? Un risk-manager ?

• seul ou avec une structure ?
• avec une structure en interne ?
->un service ou un département ? combien de
personnes ?
->une équipe dédiée ? combien de personnes ?

28
Et de la même façon de la gestion de la qualité et de la gestion des risques. L’ISO 9001, la NRE, les
IAS/IFRS, la LSF se réfèrent, en effet aux mêmes notions de base : processus, procédures, instructions, points de
contrôle, acteurs, risques, règles.

16
 centralisée/décentralisée ?
avec des correspondants dans les branches ? dans les
filiales ? dans les business units ? autres ?
->un comité de pilotage pour superviser ?
->autres fonctions/gestion des risques ? un responsable
global des risques (Chief Risk Officer) ? un manager de
crise ?
• avec une structure en externe ?
Qui est en charge de la gestion des risques ? Pas de risk-manager
• une personne en charge des contrats
d’assurance ?
• autre ? qui ? dans quel service ? avec quel
rattachement hiérarchique ?
Place de la fonction dans l’organisation

Comment la fonction s’insère-t-elle dans l’organisation Rattachement fonctionnel

• au niveau de décision ?
de l’entreprise ?
• au niveau des opérations ?
Comment la fonction s’insère-t-elle dans l’organisation Rattachement hiérarchique
• aux Président Directeur Général ? Directeur
de l’entreprise ?
Général ? Secrétaire général ?
• à la direction financière : DAF ? trésorier ?
• à la direction juridique : directeur juridique ?
responsable des assurances rattaché à la
direction juridique ?
• aux directions opérationnelles ?
• à l’audit interne ?
• autres ?

Périmètre de la fonction

Quel est le « Domaine d’action » du risk-manager ? • quelles activités concernées ?

• quels risques concernés
Î seulement les risques majeurs ?
Î tous les risques ? place des risques
opérationnels ?
• quels actifs concernés ?
• quelles entités concernées ?
Quelles sont les relations du risk-manager avec les • avec quelles directions ?
autres directions ? quels interlocuteurs ?
• forme d’échanges : réunions ? formations
conjointes ? autres ?
• type d’échanges : cohabitation ?
complémentarité ? concurrence ?
• décisionnaire final en cas de conflits ?

Engagement de la Direction Générale

Comment la gestion des risques est-elle appréhendée • axe stratégique ?

par la Direction Générale ? • processus support ?
La gestion des risques est-elle un axe stratégique Intérêt pour la démarche de gestion des risques
affiché ? • affiché en quels termes ?
Î coûts ?
Î avantage concurrentiel ?
Î création de valeur ajoutée ?
Î apprentissage ?

17
 Î culture de risque ?
Î autres ?
• soutenu par quels moyens ?
Î quel budget ?
Î quels outils : informatique ? système
d’information ?

Intérêt pour la fonction de risk-manager ?

• communication autour du choix ?
• communication autour la place de la
fonction dans l’entreprise ?

Quelle communication ?
• informelle ? en interne ? en externe ?
• formelle ? en interne ? en externe ?
La gestion des risques est-elle un axe stratégique Objectifs formulés
faisant l’objet d’une évaluation ? • de quel type ?
• à quel niveau ?
• individuel ? collectif ?

Objectifs contrôlés
• suivis ?
• réévalués ?

Missions du risk-manager et outils mis en œuvre

Quelles sont les missions du risk-manager ? Achats d’assurance

Quels sont les outils mis en place ? Démarche de gestion des risques
Qui les met en place ? Comment ? • « technique »
Quelle est la méthode utilisée : ascendante, Î définition d’une stratégie de maîtrise
ascendante/descendante, descendante ? des risques ? méthode ? outils ?
qui ? comment ?
Î identification des risques ? méthode ?
outil ? qui ?
Î hiérarchisation des risques ?
méthode ? outil ? comment ?
• « opérationnelle » (illustration à partir d’un
processus et d’un risque opérationnel)
Î analyse des systèmes de contrôle
interne ? méthode ? outils ? qui ?
comment ?
Î mise en œuvre de plans d’actions ?
méthode ? outils ? comment ?
Î analyse des plans d’actions ?
méthode ? outils ? comment ?

Profil du risk-manager

Quel type de recrutement ? • interne ? externe ?

• pourquoi ?
Quel est le parcours du risk-manager ? • postes précédents ?
• timing de l’évolution ?
Quelle est la formation du risk-manager ? • diplômes formation initiale ?
• autres ?
Quelles doivent être les compétences d’un risk- • quatre compétences ?
manager ? • à classer : indispensable / très importante /
importante / utile

18
Références bibliographiques

Argyris Ch., Schon D. (1978) “Organizational Learning: a Theory of Action Perspective”, Addison-Wesley,
New-York.
Aubry C. (2005) « La gestion des risques dans les entreprises françaises : état des lieux et émergence d’une
approche cognitive et organisationnelle », Communication Colloque Association Française de Comptabilité,
mai.
Aubry C. (2006) « Pour une approche cognitive et organisationnelle de la gestion des risques opérationnels »,
article en cours d’évaluation Gestion 2000, avril.
Barthelemy B. (2000) «Gestion des risques », Ed les Organisations.
Beaurain P., Frotié P., Towhill, B. (2000) « Dossier l’art de la gestion des risques : nouvelles perspectives pour
les entreprises » , supplément les Echos, 28 septembre.
Boudgehal N. (2003) « Les risk-managers relèveront-ils le défi ? », L’Argus de l’assurance, n°6818, janvier, p.
32-35.
Chautru L. (2003) « La gestion des risques : d’une vision technicienne à une approche socio-technique
(émergence d’une problématique de thèse à partir d’une expérience à la SNCF) », mémoire de DEA de Sciences
de Gestion, Université Toulouse I.
Coulon A. (1987) « L’ethno-méthodologie », PUF, Paris
Courtot H. (1998) « La gestion des risques dans les projets », Economica, Paris, p. 38.
Delon E. (2004) « Etablir une cartographie des risques », L’Usine Nouvelle, n°2899, p. 54-57.
Delpy P., Larrasquet J.M. (2003) « Prise de conscience du pouvoir des acteurs et gestion des risques à l’hôpital :
à propos du cas de l’encadrement supérieur », Communication Colloque sur le risque Oriane IUT de Bayonne,
novembre.
Demaiziere C. (2003) « Les outils du management qualité : le retour d’expérience », Qualité en mouvement,
n°61, p. 55-60.
Diard C., Maurain C. (2003) « La gestion des risques pour l’audit interne : apport du processus de management
des risques dans le secteur santé », Communication Colloque sur le risque Oriane IUT de Bayonne, novembre.
Erickson F. (1986) « Qualitative methods in research on teaching », Ed Wittrock M., Handbook of Research on
Teaching, New York, Macmillan, pp.119-161.
Feron M, (2001) « NTIC et apprentissage de la coopération », Actes du 12ème congrès de l’AGRH, vol. 1, la
GRH dans/et/ou la société de l’information, Liège, septembre 2001, pp. 542-557.
Girin J. (1989) « L’opportunisme méthodique dans les recherches sur la gestion des organisations »,
Communication à la journée d’étude « La recherche-action et en question », AFCET, Collège de systémique,
Ecole centrale de Paris, 10 mars.
GlaserB., Strauss A.L. (1967) «The discovery of grounded theory: strategies for qualitative research”, Ed
Adline de Gryter, New-York.
Godard O., Henry C., Lagadec P., Michel-Kerjean E. (2002) « Traité des nouveaux risques », Ed. Gallimard.
Grawitz M. (1996) « Méthodes des sciences sociales », Dalloz, 10ème édition.
Le Boterf G. (1994) « De la compétence. Essai sur un attracteur étrange », Ed. d’Organisation, p. 16.
Leroy E. (2003) « De nouvelles frontières se dessinent entre audit interne et gestion des risques », La Tribune, 16
janvier.
Maîtrier X. (2005) « Dossier l’art du management : le management par les risques : enjeux et perspectives », Les
Echos, jeudi 8 décembre.
Maujean G. (2006) « La profession aborde l’âge de la maturité : les multiples défis des risk-managers », Les
Echos, vendredi 20 et samedi 21 janvier.

19
Merchiers, J., Pharo, P. (1992) « Compétences et activités pratiques », in : Colloque Travail et pratiques
langagières. - Paris : Ministère de la recherche/PIRTTEM/ CNRS, pp. 46-64.
Miles A.M., Huberman A.M. (1991) “Analysing qualitative data : a source book for new methods”, Ed Sage,
Beverly Hills, CA. Trad. Franc. : « Analyse des données qualitatives : recueil de nouvelles méthodes »,
Bruxelles, De Boeck.
Montalan M.A. (1998) « Modélisation des compétences pour l’entreprise : conception et validation d’un système
d’évaluation formative des compétences en comptabilité financière. », Thèse de Sciences de Gestion, Université
Toulouse 3.
Moreau F. (2002) « Comprendre et gérer les risques », Ed les Organisations, p. 157-162.
Perotte D. (2004) « Les risk-managers prennent de la hauteur », Les Echos, jeudi 16 février.
Perotte D. (2005) « Gestion de crise : du mieux et des manques », Les Echos, lundi 10 janvier.
Pesqueux Y. (2003) « Le concept de risque au magasin des curiosités », Communication Congrès de
l’Association Française de Comptabilité, mai.
Petrovic A. (2005) « L’AMF précise ses orientations pour les rapports sur le contrôle interne », La Tribune,
vendredi 14 janvier 2004.
Pilnière V., Larrasquet J.M. (2005) « La gestion des risques : une question de représentations », Colloque
Projectique, novembre.
Ramanantsoa B. (2000) « Dossier l’art de la gestion des risques : le risque au cœur de la relation entreprise-
société » , supplément les Echos, 28 septembre.
Richard J.L., Thomas J.L. (2003) « Maîtrise des risques : témoignages concrets, Assystem et Merck », Qualité
en mouvement, n°61, p. 31-35.
Schatzman L., Strauss A.L. (1973) “Field research strategies for a natural sociology”, Ed Prentice-Hall Inc,
N.J. Englewood Cliffs.
Stauss A., Corbin J. (1994) “ Grounded theory methodology: an overview“, Ed Denzin N.K. Lincoln Y.S,
Handbook of qualitative research, Thousand Oaks, CA, Sage, pp 274-285.
Thiétart R.A. (1999) « Méthodes de recherche en management », Dunod.
Usunier J.C., Easterby-Smith M., Thorpe R. (2003) « Introduction à la recherche en gestion », Economica.
Veret C., Mekouar R. (2005) « Fonction : Risk Manager », Dunod.
Wacheux F. (1996) « Méthodes qualitatives et recherche en gestion », Economica.

20