Fragilisées par le Covid-19 les start-ups n’ont généralement ni les ressources financières, ni les moyens humains à consacrer à une gestion préventive des risques.

Pour Bertrand Mohr, Chief Risk Officer (CRO) d’une compagnie d’assurance commerciale américaine, les jeunes entreprises devraient intégrer la gestion du risque dans leurs processus, même si la démarche a un coût.

Bertrand Mohr, quels conseils donneriez-vous aux start-ups, en termes de gestion du risque et de communication de crise ?

Le risk management, c’est avant tout 50% de bon sens. Je leur dirais donc « Faites simple ; demandez-vous ce que vous feriez vous à titre personnel en cas de crise ; et préparez-vous en conséquence comme s’il s’agissait de votre famille ! ».

Pour la communication de crise, je leur conseillerais d’adopter une approche transparente et honnête. Elles doivent en effet admettre leurs difficultés à leurs investisseurs, fournisseurs, staff et clients.

Elles doivent être aussi en mesure d’avoir des réponses aux questions de ces derniers. En cas de nécessité, elles doivent de même accepter d’avoir à solliciter une aide extérieure.

Faire preuve de transparence et d’humilité, admettre qu’on a atteint ses limites, car on est une petite structure vulnérable, est toujours payant en termes de communication.

Selon vous, l’épisode du Covid-19 poussera-t-il les start-ups à revoir leur approche sur ces sujets ?

Cet épisode sera un formidable coup d’accélérateur. Je pense en effet que cette crise changera les mentalités, et poussera certaines d’entre elles à intégrer la gestion des risques dans leurs processus et budgets.

Faire preuve de transparence et d’humilité, admettre ses limites est toujours payant en termes de communication.

Les services du risk manager sont chers. Mais il ne faut pas les voir comme un coût, mais bien comme un investissement. Il s’agit de faire appel à un expert qui envisage le pire pour vos activités et votre entreprise, mais qui est là pour vous aider en cas de problèmes.

Actuellement, une start-up non financière peut recourir à des consultants externes en gestion des risques. Contrairement aux entités régulées comme les Fintech et les Insuretech), qui ont l’obligation d’avoir un risk manager en interne. Bien souvent, elles repoussent ce recrutement au plus tard possible, du fait des coûts que la fonction engendre. Ce qui ralentit un peu leur approche prudentielle.

À moyen terme, la crise pourrait déboucher sur des changements dans ce domaine : avec une régulation autorisant les start-ups financières à recourir à des risk managers externalisés.

À quel type de risque les start-ups sont-elles le plus exposées ?

La communauté du risk management est formelle : la plus grande menace actuelle est informatique ; toutes les start-ups sont confrontées au risque de cyberattaques, notamment celles par déni de service (les DoS). À noter que depuis les débuts de la crise, les campagnes de phishings se sont d’ailleurs multipliées.

Contre ces aléas, elles doivent donc se doter d’outils et d’infrastructures de sécurité vraiment fiables. Et ceci a également un coût.

Autre conséquence très basique d’une disruption : si l’incubateur ferme ses portes durant la crise, les start-ups dans lesquelles elles sont hébergées doivent pouvoir continuer à accéder à l’intégralité de leurs données à distance et de manière sécurisée. C’est aussi une situation à prendre en compte dans leur propre architecture informatique.

De son côté, l’incubateur peut aussi apporter des solutions, que le risk manager apporterait normalement : tel qu’un site de secours et de repli.

Plus généralement, comment le CRO intervient-il dans la chaîne de communication de l’entreprise ?

Il fait tout d’abord son travail habituel de prévision et d’imagination de tous les risques qui pourraient menacer le bon fonctionnement de l’entreprise. Dans un objectif de poursuite des activités, il envisage donc toutes les hypothèses, puis travaille sur les types de scenario possibles.

Il a également pour mission de veiller à la santé, à la sécurité et aux conditions de travail des salariés de la société. On imagine ce qui pourrait se passer pour la société, si, en cas d’épidémie, le staff était dans l’impossibilité de travailler.

Une fois les risques identifiés, il évalue les réponses possibles et les ressources dont on dispose à la date d’aujourd’hui.

S’il réalise que la société n’est pas en mesure de maintenir l’activité à 100%, il faut alors pouvoir rassurer les clients, les partenaires, les fournisseurs, les banquiers, et communiquer en expliquant que l’exercice intellectuel avait été préalablement mené avant l’événement… Et qu’elle fait en ce moment tout pour maintenir la poursuite des activités, en travaillant notamment sur les petits couacs actuels.

C’est ce travail préparatoire du CRO, qui sera ensuite repris dans la communication de crise. Celui-ci fournit donc la matière aux responsables de la communication, qui utiliseront cette matière pour adapter la communication.

Bien souvent, les risk managers sont perçus par les directions comme des oiseaux de mauvais augure, que l’on paie pour envisager le pire, afin d’être préparé aux situations catastrophiques.

L’entreprise qui ne communique pas, s’expose à un énorme risque de réputation. Son silence est assourdissant.

La crise émerge, puis évolue alors rapidement : comment intervient le CRO, dans l’évaluation, puis dans la communication ?

La gestion du risque n’est pas un processus statique ; elle est dynamique et très réactive. Le risk manager sera donc impliqué au fur et à mesure de la communication de crise. Concrètement, il est obligé de revoir au jour le jour ses analyses et solutions.

En termes de communication, on doit au début rassurer les partenaires et toutes les tierces parties. Puis, au fur et à mesure du déroulement de la crise, on peut être amené à donner un nouveau message, complémentaire voire tout autre.

Le fait d’être réactif et d’adapter sa communication de crise est important pour la réputation de l’entreprise. Celle qui ne communique pas, s’expose à un énorme risque de réputation, car son silence est assourdissant. Le fait de ne pas communiquer en temps de crise, lui sera très dommageable.

Face au virus, les sociétés mettent en place des solutions : confinement, télétravail, visio-conférence… Ces solutions engendrent elles aussi de nouveaux risques. Comment intervient alors le risk manager ?

Des réunions sont organisées plusieurs fois par semaine avec le département RH, car des situations de confinement ou d’isolement sont parfois très mal vécues par le staff ; et peuvent avoir un impact sur le moral, et donc sur le travail des collaborateurs.

En charge de la sécurité et de la santé des collaborateurs sur le lieu de travail, le risk manager intervient là aussi pour évaluer les risques et participer à la communication de crise. Il établit des indicateurs de risques, par exemple de démotivation et de dépression, ou de non-productivité…

Il effectue aussi un suivi de l’évolution.

La communication de crise n’est pas uniquement tournée vers l’extérieur. Elle doit en outre s’adresser au staff.

Sur ce point, le risk manager travaille là aussi avec les ressources humaines. Il participe à l’élaboration des contenus de communication à destination des collaborateurs – newsletters, Intranet… – qui seront publiés régulièrement. Dans le cas de cette situation de confinement, chacun raconte des anecdotes sur sa situation, envoie des photos, cela permet de souder le groupe…

Le risk manager est là pour soutenir le moral des troupes et les rassurer. Il y a aussi une volonté de communiquer sur tous les impacts que la crise peut amener dans tous les domaines, y compris financiers, opérationnels. On doit faire preuve de transparence, afin de rassurer les gens. Certaines sociétés mettent aussi une hotline en place, qui apporte une assistance psychologique.

Quels enseignements et leçons tirez-vous de la crise actuelle, en termes de gestion des risques ?

Les employés confinés n’ont pas toujours pu travailler durant les heures normales de bureau. Dans ce cas, on pourrait à l’avenir envisager des heures décalées pour certaines fonctions, ce qui permettrait de maintenir l’activité, tout en facilitant la vie des gens.

Il s’agira aussi d’identifier tout ce qui n’a pas fonctionné au niveau des processus par exemple, ou des systèmes IT. Ce qui a fait couac. On devra alors corriger le tir, dans les mois à venir.

Y-a-t-il un avant et un après, dans l’image du métier de risk manager ?

Pour exercer cette fonction, il faut avoir un côté prêcheur et savoir encaisser les réactions de défense, ainsi que les tirs de barrage, de la part de la direction et/ou des autres départements. Bien souvent, le risk manager voit le mal partout, tandis que la direction voit ce mal nulle part. Et finalement, les gens ne vous prennent pas au sérieux, jusqu’au moment où le pire arrive.

Désormais, on découvrira que les risk managers, qu’on considérait comme des Cassandre, se triturent en fait l’esprit, pour envisager le pire, afin d’apprécier le meilleur.

Quand les scénarii catastrophes imaginés ne se réalisent pas, on se dit « tant mieux », car on n’a pas à vivre dans la crainte.

On réalisera alors que le rôle du risk manager, naguère peu connu, est plus important qu’on ne le croie. Il est là pour conseiller les directions, afin de prévenir et de réagir aux éventuels problèmes.

Notre compétence c’est notre nez, notre expérience et notre sensibilité.

Voyez-vous aussi des changements, notamment dans les processus et dans les procédures mêmes ?

Je pense qu’il y aura un changement dans la fréquence de travail du risk manager. Si on prend le cas d’une petite structure de dix personnes, le risk manager continuera à émettre un rapport par trimestre, et ce sera suffisant.

Dans le cas de grands groupes, le reporting deviendra par contre mensuel. Et on passera certainement même à un reporting à la demande : il suffira d’appuyer sur un bouton, et tous les indicateurs seront mis à jour en temps réel. Cela rendra le métier de risk manager beaucoup plus visible ; et son travail beaucoup plus récurrent. On lui demandera aussi d’être beaucoup plus réactif.

Des technologies comme l’intelligence artificielle peuvent-elles l’aider dans ses prévisions et dans l’élaboration de ses scénarii ?

La communauté des risk managers est très prudente sur ce point : elle défend en effet son métier. Notre compétence c’est notre nez, c’est notre expérience et notre sensibilité.

Quand je travaille sur une thématique risque, j’ouvre tous mes sens, je fais appel à tout ce que j’ai lu, entendu, vu, et aux échanges que j’ai pu avoir…

Je mobilise mon jugement personnel et mon libre arbitre : actuellement les robots ne disposent pas encore de cette libre appréciation, ni du jugement personnel nécessaires à ce métier. Il faut sans cesse avoir tous les sens en éveil.

Même avec formules mathématiques, on n’aurait jamais pu prédire ce qui est arrivé.

Quel sera donc le futur du métier de risk manager ?

Tout le monde a été pris de vitesse par la soudaineté de la crise et par la puissance de la situation. Dans le risk management, on a souvent recours à des modélisations, qui sont très pratiques, car elles permettent d’envisager le pire sur le papier.

Même avec formules mathématiques, on n’aurait jamais pu prédire ce qui est arrivé. Nous pouvions mettre nos formules à la poubelle, car la réalité avait dépassé tout ce qu’on avait prévu.

Cette situation bouleversera donc le métier, car il faudra dorénavant envisager des scénarii encore plus catastrophiques.

Silicon Luxembourg, avril 2020