Manager des risques (MS)

Présentation

• Diagnostic des risques et opportunités de l’organisation liés à son environnement, à la règlementation qui encadre son activité et à ses objectifs stratégiques
• Conception de l’architecture organisationnelle du management global des risques, dans le cadre normatif adapté
• Cadrage des processus de prise de décisions, selon l’appétence au risque de l’organisation
• Traitement des risques industriels, professionnels et environnementaux de l’organisation
• Gestion des retours d’expérience (REX) liés aux risques industriels, professionnels et environnementaux visant une amélioration des pratiques opérationnelles
• Evaluation de l’exposition financière de l’organisation aux risques
• Pilotage de l’évaluation des couvertures financières et/ou assurantielles des risques
• Pilotage du reporting externe sur les risques financiers et extra-financiers auprès des investisseurs, des autorités de régulation et autres parties prenantes concernées
• Pilotage de la préparation aux situations de crise par l’identification et la formation des acteurs de la cellule de crise, la gestion de l’organisation matérielle et la mise en place de simulations de ces situations
• Gestion de la situation de crise durant tout son cycle de vie
• Planification de la Continuité d’Activités (PCA)
• Management de l’organisation du dispositif de gestion globale des risques
• Pilotage des processus de management global des risques de l’organisation

Compétences attestées

• Identifier les risques (présents et futurs) auxquels fait ou fera face l’organisation en prenant en compte ses objectifs financiers et extra-financiers (dont ESG -Environnemental, Sociétal et de Gouvernance), les interactions entre ces risques, la situation et les évolutions de son environnement (politique et géopolitique, économique et concurrentiel, socio-culturel, technologique, écologique et légal) de façon à évaluer leurs impacts (vraisemblance d’occurrence et conséquence) pour l’organisation et ainsi aligner la politique de management des risques à la stratégie de l’organisation
• Collecter et analyser les données nécessaires à l’élaboration de la politique de management des risques en pilotant les interactions (audit, interview) avec chaque propriétaire de risques de l’organisation et les services de contrôle interne et de conformité le cas échéant, de façon à déterminer l’exposition aux risques et leur niveau
• Réaliser une cartographie des risques et opportunités en identifiant les parties prenantes internes (gouvernance, propriétaires de risques) et externes (partenaires, média, clients, autorités publiques, …) et en analysant leurs attentes en termes de facteurs et d’indicateurs de risques y compris ESG de façon à restituer les informations pertinentes à la prise de décision aux organes de gouvernance de l’organisation
• Concevoir la structure du dispositif de management global des risques de l’organisation en déterminant les périmètres d’action des acteurs internes et les différentes interactions organisationnelles de manière à identifier les responsabilités des propriétaires risques
• Concevoir les processus de management des risques conformément à un référentiel normatif ISO 31000 ou COSO (Committee Of Sponsoring Organizations of the Treadway Commission) de façon à formaliser le fonctionnement de l’architecture organisationnelle du management global des risques
• Formaliser le dispositif de suivi des KRI en déterminant les indicateurs pertinents, en les suivant dans un tableau de bord pour identifier les écarts et piloter la démarche d’amélioration continue ou les actions correctives à mettre en place
• Mesurer l’appétence au risque de l’organisation selon les orientations des organes de gouvernance en mobilisant des outils et techniques issus de l’analyse de la décision, en modélisant les préférences de la gouvernance et en définissant une métrique de façon à établir la prise de risque acceptable
• Formaliser la prise de décision dans l’incertain de l’organisation à l’aide d’un outil logiciel, en prenant en compte son appétence au risque ainsi que les biais cognitifs associés et en encodant les probabilités d’occurrence des évènements incertains dans le but de s’assurer de l’adéquation des décisions aux objectifs de l’organisation
• Identifier les risques industriels (dont les risques liés à l’Intelligence Artificielle, à la Supply chain et les cyber risques), les risques professionnels (santé et sécurité au travail) et les risques environnementaux de l’organisation en collectant conformément au RGPD, les données nécessaires (conditions de travail, accidentologie, processus de production, données géographiques, …) auprès des acteurs internes et externes concernés pour déterminer leurs mécanismes d’apparition et leurs conséquences
• Analyser la probabilité de survenance des risques opérationnels préalablement identifiés et leurs conséquences en mobilisant des outils qualitatifs et quantitatifs appropriés issues de la normes ISO 31010 (analyse de scénario, AMDEC -Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité-, arbre de défaillance, HACCP - Hazard Analysis and Critical Control Points, HAZOP- HAZOP- Hazard and Operability Studies, Méthode du nœud papillon, arbre d’évènements…) de façon à évaluer l’opportunité de traitement de chacun des risques au regard des objectifs de l’organisation
• Formuler les préconisations de gestion des risques en identifiant les options de traitement organisationnelles et techniques dont le cas échéant des outils digitaux tels que la blockchain, visant à éliminer, réduire ou partager les risques et en évaluant leurs impacts sur le niveau de risque résiduel afin que les propriétaires des risques jugent de leur acceptabilité et décident de leur mise en œuvre
• Concevoir un système de retour d’expérience (REX) en décrivant des procédures adaptées aux activités opérationnelles pour organiser la collecte des données sur les presque-accidents, incidents, accidents et les bonnes pratiques conformément au RGPD
• Analyser les données du REX en mobilisant des méthodes d’analyse d’accidents (par exemple en suivant la méthode du BEA - Bureau d’Enquêtes et d’Analyses - dans les transports aériens, la méthode de l’arbre des causes …), en décrivant le déroulé des évènements et en distinguant les causes profondes des accidents de leurs causes immédiates afin de préconiser les mesures d’amélioration des pratiques opérationnelles
• Identifier les risques financiers de l’organisation en distinguant les risques financiers de contrepartie, de marché, et les risques financiers opérationnels, afin de structurer la catégorisation des différents risques applicables à l’organisation
• Estimer la situation financière de l’organisation en procédant à l’analyse critique des données techniques internes via des outils de data science et d’intelligence artificielle le cas échéant afin de présenter un rapport aux organes de direction intégrant la dimension du risque financier à la stratégie d’organisation
• Évaluer la dimension financière des risques de l’organisation en harmonisant leurs échelles d’impacts financiers afin de mesurer l’exposition financière de l’organisation
• Évaluer les différents instruments de couverture financiers et assurantiels de l’organisation en mobilisant les expertises internes et externes (DAF, juristes, assureurs, …), en synthétisant les principales données collectées afin de déterminer la pertinence de chaque instrument au regard des différentes catégories de risques financiers identifiées
• Évaluer l’impact de la couverture des risques financiers sur les grands équilibres de l’organisation au regard de sa stratégie en mobilisant les différents instruments financiers et assurantiels identifiés afin de proposer aux organes de gouvernance une politique de couvertures en adéquation avec les besoins de l’organisation
• Consolider l’évaluation financière des risques en synthétisant les données de l’exposition financière et de la politique de couverture financière et assurantielle de manière à préparer la rédaction du document d’enregistrement universel conformément à la réglementation Prospectus 3
• Mesurer l’impact de l’organisation sur l’environnement économique, social et naturel et de cet environnement sur l’organisation en analysant une matrice de double matérialité de façon à répondre aux exigences de reporting dans le cadre de la CSRD (Corporate Sustainability Reporting Directive)
• Formaliser un dispositif de gestion de crise en décrivant les structures matérielles et organisationnelles ainsi que les procédures opérationnelles afin d’identifier les acteurs de la cellule de crise et de définir les moyens nécessaires à la conduite de la gestion de crise
• Former les acteurs préalablement identifiés, à la gestion de crise en organisant des simulations adaptées au scénario de crise afin de les préparer aux bonnes pratiques à adopter en cas de situation de crise
• Évaluer l’alerte par son potentiel de déstabilisation de l’organisation en analysant l’évènement déclencheur pour prendre la décision d’armer la cellule de crise
• Animer une cellule de crise en interagissant avec les équipiers et en organisant des points de situation réguliers pour répondre aux évènements déstabilisateurs et juger du retour à une situation stabilisée
• Communiquer en situation de crise avec les parties prenantes externes en maîtrisant son stress et en adaptant son discours à ses interlocuteurs y compris en situation de handicap afin de garantir la qualité des messages transmis
• Concevoir un Plan de Continuité d’Activité en tenant compte des activités et processus critiques de l’organisation, en élaborant des scénarii de perturbation d’activité et en formalisant des procédures pour minimiser les conséquences de ces perturbations
• Piloter l'amélioration continue du PCA en exploitant le retour d'expérience de façon à faire évoluer le PCA
• Coordonner les acteurs du management global des risques en identifiant les freins au changement et les leviers d’action pour proposer une démarche visant à faire adhérer au déploiement de la stratégie globale des risques
• Diffuser la culture du management des risques de l’organisation auprès des collaborateurs en coordonnant les équipes, en animant des ateliers thématiques de sensibilisation et en diffusant la remontée d’informations de façon à inscrire la culture du management du risque dans le fonctionnement de l’organisation
• Structurer un SIGR conformément au RGPD en déterminant les indicateurs et les outils de pilotage adaptés à l’organisation, en intégrant les données issues des propriétaires de risques pour doter l’organisation d’un outil de supervision et de suivi de la réalisation de ses objectifs
• Piloter et contrôler la mise en œuvre d’une stratégie de management global des risques en identifiant et en analysant les écarts entre les objectifs et les résultats obtenus de manière à concrétiser son alignement avec la gouvernance de l’organisation et son appétence au risque dans le cadre de la démarche d’amélioration continue

Blocs de compétences (5)

Voies d'accès

• En contrat de professionnalisation
• Après un parcours de formation sous statut d’élève ou d’étudiant
• Après un parcours de formation continue
• En contrat d’apprentissage
• Par expérience

Emplois accessibles

• Risk Manager
• Responsable ERM (Enterprise Risk Management)
• Consultant en gestion des risques.
• Responsable risques opérationnels (industriels, professionnels, environnementaux)
• Consultant sécurité, Cybersécurité, Protection des données
• Responsable Santé Sécurité Environnement
• Compliance Officer /Consultant risque et conformité
• Responsable risque et contrôle interne
• Responsable des assurances de l’entreprise
• Gestionnaire de crise/ Responsable de Plan de Continuité d’Activité

Secteurs d'activité

Ce professionnel peut exercer dans des organisations de toutes tailles et de tous secteurs : Les entreprises industrielles (énergie, transport, génie civil, industrie manufacturière, ...), les entreprises du secteur assurantiel, bancaire, de gestion de fortune ou de patrimoine, et les services financiers des grands groupes, les cabinets conseils ou encore les ministères

Réglementations

• Le management des risques ne fait pas l’objet d’une réglementation générale et reste singulier pour chaque entreprise. Deux principaux référentiels normatifs guident toutefois les pratiques : la famille de normes ISO 31000 (norme ISO 31000, 31010 et 31004), et le référentiel du COSO (Committee of Sponsoring Organizations of the Treadway Commission), qui publie régulièrement des rapports qui présentent un cadre général pour le management des risques.
• Au-delà de ce cadrage au niveau de l’ERM, le management des risques s’inscrit dans plusieurs cadres réglementaires dans les différents champs qu’il couvre :
• En matière de risques professionnels, la réglementation que le manager des risques doit maîtriser figure dans le Code du Travail (Quatrième partie : Santé et sécurité au travail (Articles L4111-1 à L4831-1).
• Pour les risques industriels, de nombreuses réglementations sectorielles encadrent les activités : réglementation ICPE (Installations classées protection de l'environnement) et Seveso, réglementation REACH (Registration and Authorization of Chemical Substances), réglementation ATEX (ATmosphères EXplosives).
• En matière bancaire, les accords de Bâle opèrent une classification des risques et déterminent la manière dont les institutions financières doivent les gérer. La directive Solvabilité II a quant à elle, fortement fait évoluer la gestion du capital économique des sociétés d’assurance.
• Enfin, la question des risques est présente de manière périphérique dans deux autres registres réglementaires plus transversaux :
• Depuis la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite loi Sapin II) et la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre, les entreprises doivent s’efforcer de gérer les risques associés à la corruption et à l’activité de leur sous-traitants (dans le cadre du devoir de vigilance). Ces missions sont du ressort du service “compliance” ou juridique des entreprises et ont un impact directement sur la gestion des risques puisqu’elles contribuent à l’exposition de l’entreprise à des menaces.
• En matière de reporting, c’est depuis la fin des années 2000 que des directives européennes (Directive prospectus, Directive transparence, 4e et 7e directives comptables) ont imposé pour les sociétés cotées un reporting des facteurs de risques dans leurs documents de référence. Cette exigence a été renforcée par la récente directive européenne CSRD (Corporate Sustainability Reporting Directive) qui impose une analyse dite de “double matérialité” : il s’agit selon l’AMF de “publier des informations nécessaires pour comprendre d’une part les effets des enjeux de durabilité sur leur situation et performance financières, et d’autre part leurs impacts sur l’environnement et la société. L’analyse de double matérialité menée par les sociétés doit permettre d’identifier les thématiques de durabilité reflétant les principaux risques, opportunités et impacts ESG de l’entreprise liés à ses activités et à sa chaîne de valeur.” De ce fait, le manager des risques voit son rôle prendre une dimension supplémentaire dans le fonctionnement de l’entreprise.A l’échelle de l’individu, aucune réglementation n’est obligatoire pour exercer le métier de manager des risques.
• Des certifications sectorielles (par exemple la certification professionnelle AMF dans le domaine financier, ou la certification Nebosh - National Examination Board in Occupational Safety and Health- dans le champ des risques professionnels) en lien avec certains aspects du métier de manager des risques existent toutefois mais ne sont pas intégrées au référentiel de la certification Manager des risques (MS). Elles sont proposées par l’employeur du manager des risques en activité en fonction du secteur d’activité de l’organisation.

Composition des jurys

Offres d'emploi en cours via France Travail

Métiers visés (codes ROME)

Informations générales

Code

RNCP38925

Type d'enregistrement

Enregistrement sur demande

Date de décision

26/04/2024

Date d'effet

—

Fin d'enregistrement

26/04/2029