Même pour les PME, la prévention des risques est une meilleure stratégie que le transfert de risques à l’assurance
La maîtrise du risque ne passe-t-elle que par le transfert d’assurance ? Rien n’est moins sûr ! La prévention joue plus que jamais un rôle crucial dans la manière dont l’entreprise peut mettre en concurrence les différents assureurs du marché. Le secteur de l’assurance des entreprises est d’ailleurs aujourd’hui arrivé à maturité. Marché plus que jamais concurrentiel, il facilite la tâche des dirigeants. Une vraie méthodologie de risk-management leur donnera la possibilité de faire jouer la concurrence tout en sélectionnant les clauses les plus adaptées. Avec en tête, la diminution du niveau d’exposition aux risques et la continuité impérative des activités en cas de sinistre.
par Nicolas Monier
Hautement concurrentiel, le marché de l’assurance des entreprises est depuis longtemps arrivé à maturité. De plus en plus de dirigeants, armés d’une méthodologie efficace, parviennent désormais à “challenger” les assureurs et autres courtiers. Risques et préventions font de plus en plus partie du vocabulaire des chefs d’entreprise. Réfléchir à faire baisser son budget assurance est une bonne chose. Mais pas à tout prix. D’autant que, comme l’explique Claude Bierry, directeur des opérations IARD (incendie, accidents et risques divers) chez Groupama : “nous sommes désormais dans un contexte de marché orienté à la baisse. Le renouvellement des contrats en 2017 ne s’est pas fait à la hausse. La baisse des sinistres d’amplitude associée à une forte concurrence ne pouvait justifier une remontée des tarifs. La prévention fonctionne, et permet de faire diminuer le nombre de sinistres. Le renouvellement 2018 s’inscrit également dans un contexte baissier”. Voilà donc pour l’état du marché. “Sur les aléas naturels, la tendance des sinistres est à la hausse, notamment du fait d’une occurrence plus fréquente. Sur les incendies, la tendance est assez stable. Notons parmi les risques nouveaux, le cyber-risque”, note Stéphane Pénet, directeur du pôle dommages et responsabilité à la FFA (Fédération française de l’assurance).
Privilégier l’optimisation assurantielle
Dans le cadre de cette réflexion, il est des écueils à éviter, car très préjudiciables pour la société. “La majorité des dirigeants d’entreprises de taille intermédiaire (ETI) considèrent encore trop que la maîtrise de leur risque ne passe que par le transfert d’assurance. Ces derniers cherchent souvent à minimiser le budget assurance sans réfléchir par exemple aux contraintes associées à la continuité des activités en cas de sinistre”, explique Pascal Kerebel, consultant senior expert en gouvernance des risques chez Cegos, organisme de formation. Comme il existe de l’optimisation fiscale, il existe également une optimisation assurantielle. Les experts s’accordent à dire qu’il peut être, par exemple, intéressant de recourir à l’intégration de LCI (limites contractuelles d’indemnités). Ainsi, pour Pascal Kerebel, il s’agit de “baser la tarification de la prime sur la valeur expertisée la plus élevée au niveau du groupe. L’ensemble des sites industriels ne pouvant pas, en effet, être sinistrés au même moment”.
“La majorité des dirigeants d’entreprises de taille intermédiaire (ETI) cherchent souvent à minimiser le budget assurance sans réfléchir par exemple aux contraintes associées à la continuité des activités en cas de sinistre”
Il en va de même pour l’utilisation de la souscription “pour compte de” : la maison mère assure pour le compte des filiales, ce qui permet de réduire le budget assurance à un seul contrat. “De plus, il est possible de jouer sur la prime technique, c’est-à-dire la multiplication de l’impact financier du sinistre par la probabilité d’occurrence du risque. Ce qui amène logiquement à agir à titre préventif sur la diminution de l’impact et/ou à agir sur la minimisation de la probabilité d’occurrence du risque”, analyse Pascal Kerebel. Le consultant Cegos estime qu’il est des erreurs à ne surtout pas commettre, et notamment celle de déclarer ses capitaux basés uniquement sur la valeur comptable. “En cas de sinistre, l’assureur appliquera la règle proportionnelle de capitaux. Ce qui peut entraîner des problèmes majeurs de trésorerie, problèmes pouvant aboutir à la cessation de paiement.”
La prévention peut faire varier la prime
Quoi qu’il en soit, la relation avec son assureur doit être indissociable de la mise en œuvre d’une vraie réflexion en matière de gestion des risques. Assurance, auto-assurance, il ne faut pas envisager la chose à la légère. “Une franchise, ça ne s’improvise pas. Cela devient alors de l’auto-assurance pour l’entreprise. Elle doit être adaptée aux possibilités de financement de l’entreprise. Vous ne pouvez proposer une franchise d’un montant de 1 million d’euros à une entreprise : si cette dernière fait soudainement face à 500 000 euros de sinistres, elle n’aura pas les ressources pour financer ce montant…”, explique Claude Bierry. Même constat pour Éric Marsden, responsable de programmes chez Foncsi (Fondation pour une culture de sécurité industrielle) : “S’agissant par exemple du risque d’incendie sur les sites industriels, le risque est essentiellement financier.
“S’agissant par exemple du risque d’incendie sur les sites industriels”
Les montants en jeu peuvent être importants, d’où le recours à l’assurance plutôt qu’à l’auto-assurance. Les assureurs peuvent faire varier le niveau de la prime en fonction du niveau de prévention consenti par le client”. Et ce dernier de poursuivre : “S’agissant du risque d’accident majeur (explosion, fuite toxique, importante pollution, etc.), les choses sont bien plus complexes, compte tenu de l’absence d’un lien linéaire et évident entre des dépenses en prévention et l’occurrence d’accidents. Compte tenu également du fait que les couvertures d’assurance sont généralement plafonnées. Les négociations commerciales sur le montant des primes sont alors très complexes”.
La pérennité de l’activité avant tout
On le voit donc, prévention et pérennité de l’entreprise vont de pair. Si les assureurs ne font pas gagner de l’argent à leurs clients, ils sont aussi là pour aider les sociétés à minimiser les pertes et à la mise en place de mesures permettant la reprise d’une activité la plus rapide. “La vocation première d’un accompagnement prévention par un assureur est d’aider les entreprises à identifier et prioriser leurs risques, minimiser les pertes, et réduire l’impact d’un potentiel sinistre sur la pérennité de leur activité. En améliorant sa statistique sinistre, l’entreprise sera en meilleure position pour négocier sa prime d’assurance”, explique Nicolas Destouesse, ingénieur prévention chez Chubb France. Et ce dernier d’ajouter : “la prime est là pour couvrir un risque sur la base de capitaux à assurer ou d’un chiffre d’affaires. Un sinistre aura toujours des conséquences difficilement indemnisables, comme l’atteinte à l’image de marque, la perte clients ou perte de confiance des actionnaires. Et donc, de fait, l’accompagnement prévention est devenu un des piliers indissociables d’un contrat d’assurance, car les risques sont de plus en plus complexes et de plus connectés les uns aux autres”. Les préconisations de l’assureur en matière de prévention et de protection des sites sont comprises des clients si elles s’inscrivent dans le droit fil de l’activité de l’entreprise et de la pérennité de l’outil de production. “Pour les chefs d’entreprise, les risques collatéraux n’entrent pas toujours dans leurs préoccupations majeures. Mais ces risques sont néanmoins de plus en plus présents dans leur esprit car in fine, ils peuvent peser lourd dans l’activité de leur entreprise”, explique Stéphane Pénet.
“L’accompagnement prévention est devenu un des piliers indissociables d’un contrat d’assurance, car les risques sont de plus en plus complexes et de plus connectés les uns aux autres”
On l’aura compris, il faut dépasser l’idée que le sinistre n’a lieu que chez les concurrents. Ne pas attendre d’être passé près du couperet pour adopter une politique de gestion des risques. D’emblée, il existe plusieurs pistes de réflexion : “envisager par exemple la location d’un compte captif de réassurance pour financer des franchises par sinistre, qui peuvent toutefois être élevées en termes de risques industriels”, précise Pascal Kerebel. Ou bien encore réfléchir par anticipation aux solutions de “back-up” et de continuité d’activité en cas de sinistre majeur. “En somme, l’ensemble de certains éléments permettent de prouver que le dirigeant a anticipé, à titre préventif, une réflexion de risk-management. Ce qui aura un impact majeur en termes de capacité à négocier le budget assurance avec l’assureur apériteur”, note Pascal Kerebel. De même, procéder à une cotation brute des risques, à une estimation de l’impact financier d’un sinistre ou encore à la probabilité d’occurrence, etc. “Tout cela permettra de définir les priorités en termes de traitement des risques”, poursuit le consultant Cegos.
Il est certain que les PME, contrairement aux grands groupes ou aux entreprises nécessitant des certifications, vont adopter le niveau minimum légal en termes de sécurité. Et pour se justifier, elles évoquent, à juste titre, des contraintes de coûts et de temps. Pas nécessairement pro-actives en matière de risk-management, ces petites entreprises auront alors tendance à transférer une grande partie de leurs risques à l’assurance.
Assurances et cybersécurité, un marché encore balbutiant
Tous les acteurs du secteur s’accordent pour dire que les assurances liées aux différents risques en matière de cybersécurité doivent encore convaincre les chefs d’entreprise. Si dans les grands comptes, selon le baromètre 2017 de l’Amrae (Association pour le management des risques et des assurances de l’entreprise), les risk-managers constatent que la cybersécurité arrive en troisième place (79 %) des risques pris en compte, force est de constater que la contraction d’une police d’assurance reste encore souvent à l’état de projet. “Ce n’est pas une lame de fond. La demande est pour l’instant limitée, alors que les entreprises sont très exposées aux risques cyber sans s’en rendre compte. Il faut savoir qu’avec le RGPD (Règlement général sur la protection des données) applicable en mai 2018, la responsabilité de la société peut être potentiellement engagée. L’évaluation de ce risque est encore trop faible. On fait face au fameux syndrome du ‘ça n’arrive qu’aux autres’. À l’heure actuelle, notre volume de clients ne nous permet pas d’être compétitifs au niveau prix”, explique François Nédey, responsable de l’unité technique et produits (assurances de biens et de responsabilité) chez Allianz France. Et ce dernier d’ajouter : “si la mutualisation est assez faible aujourd’hui, j’ai le sentiment qu’à terme, cette assurance deviendra sans doute obligatoire, du moins pour la partie responsabilité civile”. Même constat chez l’assureur Groupama. “Il est clair qu’il est encore trop tôt pour évaluer la rentabilité de ce type d’assurance”, note Claude Bierry, directeur des opérations IARD (incendie, accidents et risques divers). Pourtant, prévention oblige, les risques de cyberattaques se multiplient. Les opérations malveillantes de type “ransomware” ne doivent pas être prises à la légère. D’autant qu’avec l’entrée en vigueur du RGPD, la responsabilité des entreprises sera directement engagée. “En matière d’e-réputation ou e-chantage, il n’y a pas de petites économies à faire dans ce domaine”, explique Pascal Kerebel, consultant senior expert en gouvernance des risques chez Cegos. On le voit, la sensibilité à cette problématique est en pleine croissance même si à ce jour, encore peu d’entreprises sont assurées.
Risk-managers, un métier et des formations qui s’imposent
De plus en plus d’organismes de formation permettent aux salariés d’entreprise de se former pour faire face aux nouvelles contraintes réglementaires. C’est le cas avec l’adoption de la loi Sapin 2 votée en 2016, et le RGPD (Règlement général sur la protection des données) qui entrera en vigueur en mai prochain. Pour Pascal Kerebel, consultant senior, expert en gouvernance des risques chez Cegos, “l’adoption de la loi Sapin 2 et l’application du RGPD amèneront nécessairement les entreprises à structurer leur dispositif de contrôle interne, de cartographie des risques et à mettre en œuvre un dispositif d’alerting”. Si les grands comptes disposent déjà de risk-managers en interne, il existe en inter-entreprises des formations généralistes à l’audit et au contrôle interne ainsi qu’au risk-management. Elles peuvent également être complétées par des formations plus pointues sur la “compliance” Sapin 2 et RGPD.
Avec, chez Cegos par exemple, “des missions d’accompagnement et de déploiement de risk-management avec un focus tout particulier sur l’offre gouvernance. La formation des administrateurs, acteurs clés de la mise en œuvre de cette démarche, est fondamentale dans les groupes familiaux”, ajoute Pascal Kerebel.
Dans le dernier baromètre du risk-manager, publié par l’Amrae (Association pour le management des risques et des assurances de l’entreprise), on voit que la profession a le sentiment d’une vraie reconnaissance en interne de ce problème (pour près de 63 % des risk-managers interrogés, contre seulement 53 % en 2015). Pour François Nédey, responsable de l’unité technique et produits (assurances de biens et de responsabilité) chez Allianz France, “ces nouveaux métiers sont un critère très positif de souscription. Dans les PME, le risk-manager est multi-casquettes, mais au moins, il y a quelqu’un d’identifié qui a des responsabilités et dont les recommandations sont mises en œuvre”. Les responsables hygiène et sécurité sont généralement aussi amenés à opérer dans les domaines qualité et environnement. Ainsi, on prend en compte l’ensemble des risques face à la pression réglementaire et les enjeux de sécurité.
En 2017, les risques opérationnels représentaient 91 % des interventions des risk-managers. Les risques de fraude, 83 %, contre 79 % pour les risques environnementaux et liés à la cybersécurité.
Le secteur de l’industrie emploie 33 % des risk-managers, contre 17 % pour celui de l’assurance/réassurance/mutuelle et 11 % pour celui des services.
86 % des risk-managers sondés travaillent dans des grands comptes ou de type ETI. Et 9 % d’entre eux déclarent travailler dans des PME contre 5 % en 2015.
Source : Baromètre du risk-manager 2017 – Amrae (Association pour le management des risques et des assurances de l’entreprise)