sAvec l’entrée en vigueur progressive de la CSRD, les systèmes d’information sur la gestion de risques (SIGR) vont devoir comporter davantage de contenu et une évaluation des risques plus sophistiquée. Une opportunité pour les éditeurs. Mais un gros chantier pour les risk-managers.
Dans sa 15e édition du panorama des SIGR réalisée avec EY, l’Amrae met en lumière les grands enjeux auxquels font face les éditeurs de ces systèmes d’information sur la gestion de risques.
D’abord, l’association pour le management des risques et des assurances de l’entreprise a dressé un état du marché des SIGR. Elle a interrogé près de 250 risk-managers. Et comparé les offres de plus de 50 éditeurs.
On apprend ainsi que 64% des RM ont déjà mis en place un SIGR pour un taux de satisfaction de 70%. Le panorama précise également que 54% de sociétés internationales sont équipées. Et que 41% des entreprises enregistrent entre 50 et 200 utilisateurs. « Il s’agit d’un outil qui regroupe plusieurs métiers au sein de l’entreprise, avec une forte tendance à ce que ne soit pas uniquement celui du directeur des risques et du contrôle interne, mais une communauté regroupée autour d’une solution globale au service des risques », explique Bertrand Rubio, associate partner entreprise risk chez EY Consulting. On apprend également qu’il faut en moyenne 4 mois pour mettre en œuvre un SIGR en entreprise
Les opportunités liées à la CSRD
Pour cette édition 2023, l’intelligence artificielle fait l’objet d’un premier focus. Il consiste à explorer ses conséquences sur la gestion des risques, les risk-managers et les éditeurs. « Cela pourrait être un véritable ”game changer” pour les métiers du risque, ajoute Bertrand Rubio. L’IA permettrait notamment de mieux comprendre ses risques et de mieux détecter les périls émergents. Cela permettrait également une automatisation des tâches effectuées par les gestionnaires de risques (collecte de données, surveillance des contrôles, etc) et d’améliorer la communication / et la sensibilisation à ces derniers ».
Surtout, le panorama s’attarde sur la directive européenne CSRD (Corporate Sustainability Reporting Directive). Ses impacts seront non négligeables pour la profession.
En effet, l’application progressive de ce reporting de durabilité qui a débuté cette année et dont les premiers rapports seront rendus en 2025, va obliger les entreprises à communiquer davantage d’informations sur leur impact extra-financier (environnement, droits de l’hommes, normes sociales, etc). « Cela va obliger les entreprises à partager plus d’informations et donc de délivrer plus de contenu au sein de leur SIGR. Il y a potentiellement plus de 1100 informations supplémentaires potentiellement applicables aux entreprises concernées », indique de son côté François Beaume, vice-président de l’Amrae et vice-président risks & insurance chez Sonepar. 50.000 entreprises françaises entreraient dans le cadre de la CSRD.
Revoir les SIGR
En conséquence, les SIGR vont devoir être « notoirement revus ». Notamment pour être capables de recevoir et structurer de nouvelles informations et normes ESRS dédiée au reporting. « Il va également y avoir un travail à faire sur les outils d’analyse de double matérialité. Ainsi que sur l’interfaçage du SIGR avec les ERP et les CRM, ajoute François Beaume. La volumétrie va fortement augmenter et certains pourront assez vite être débordés. D’autant que sur la cartographie des risques, il va falloir se benchmarker avec les pratiques de la place, comparer les taux de fréquence et de gravité avec un standard de marché. Il va surtout falloir être en capacité d’aller chercher ces informations. À brève échéance, tout cela ne sera pas soutenable via un schéma de cartographie des risques non structurée ».
Pour autant, la directive peut aussi être source de nouvelles perspectives pour les SIGR, notamment sur les risques climatiques. Elle va ainsi permettre une meilleure surveillance des menaces en temps réel. Mais aussi une aide à la décision, ou encore au calcul des pertes projetées en cas d’évènements météorologiques. Cela permettra surtout d’améliorer la résilience de l’entreprise et de permettre une gestion immédiate des crises.
