Risk Manager

Référentiel Métier

80, Boulevard Haussmann 75008 PARIS

© AMRAE- 2013 Référentiel métier du Risk Manager
 Avant - Propos

Le métier de Risk Manager progresse, se transforme et se développe dans nos entreprises, en France et à
l’international.

Pour accroitre la connaissance, la technicité et la valeur ajoutée du métier de Risk Manager, il était
indispensable de créer un Référentiel métier - véritable cadre de compréhension des activités, des tâches
et compétences portées par le Risk Manager.

L’AMRAE a le plaisir de vous présenter le premier référentiel métier du Risk Manager, issu de nos 10
ans de formation, de nos enquêtes biannuelles sur la fonction Risk Manager et sur les échanges métiers de
nos membres.

A travers ce document, nous attestons des contours, des activités et de l’apport de la fonction et de
l’engagement du Risk Manager au côté de la Direction générale pour l’aider à choisir les bons risques et
leur financement.

Nous donnons à la formation les clés de réussite pour les générations futures. Nous partageons avec les
différents pays européens et internationaux notre vision du métier.

Nous tenons à remercier chaleureusement le groupe de travail qui, sous la conduite de François Malan,
Risk Manager de Nexity, a réalisé ce travail très accompli.

Nous croyons fermement à notre engagement et à notre valeur ajoutée dans nos organisations.

Gilbert Canaméras

Président AMRAE

© AMRAE- 2013 Référentiel métier du Risk Manager

3
 © AMRAE- 2013 Référentiel métier du Risk Manager
4
 Table des matières

Présentation Générale du référentiel AMRAE ....................................................................................... 6

Avertissement ................................................................................................................................................................. 6
Le Risk Management ....................................................................................................................................... 7
Risk Manager ..................................................................................................................................................... 7
Qualités & Compétences ................................................................................................................................ 8
Le Référentiel Métier ................................................................................................................................... 10
Activités / Tâches .............................................................................................................................................................
Exigences / Qualités & Compétences ..................................................................................................................
Annexe : Glossaire du référentiel Métier du Risk Manager AMRAE ................................................ 29
Remerciements .............................................................................................................................................. 39

© AMRAE- 2013 Référentiel métier du Risk Manager

5
Présentation générale du référentiel AMRAE

Depuis 2010, l’AMRAE réalise des travaux sur la définition d’un référentiel métier du Risk Manager.

Parallèlement, FERMA souhaite favoriser la reconnaissance de ce métier et de ses spécificités, par un

projet d’accréditation des compétences, qui se fonderait sur un référentiel portant sur la personne en
charge de ce métier (non sur le dispositif de Risk management).

En tant qu’association professionnelle des Risk Managers, l’AMRAE développe sa propre vision du métier,
en recensant les tâches essentielles à la réalisation des activités ainsi que les qualités et les compétences
permettant de réussir dans cette fonction.

L’AMRAE dispose d’atouts et d’outils indispensables à la réflexion :

 Depuis 10 ans, AMRAE Formation a construit de nombreux programmes de formations sur les
missions attachées au Risk Manager et sur l’enseignement des compétences nécessaires.

 Les trois éditions du Baromètre du Risk Manager (2009-2011-2013) permettent de fournir de

précieuses indications sur les missions, le profil, la rémunération et l’avenir de la profession.

 Les retours d’expérience, les sujets de réflexion des membres de l’AMRAE fournissent une
connaissance actualisée des expertises, des exigences et des compétences inhérentes à leur
métier.

Le référentiel métier de l’AMRAE a été approuvé par le Conseil d’administration de l’AMRAE le 22 Juillet
2013.

Avertissement
La vocation du référentiel construit par l’AMRAE est de présenter un panorama le plus exhaustif possible des
activités du Risk Manager. Pour autant, il ne s’agit pas d’un modèle systématiquement applicable dans son
intégralité.

Le Risk Manager est appelé à connaître toutes les activités du référentiel mais, selon l’organisation et la
mission qui lui est confiée, il peut être amené à intervenir sur tout ou partie de ces activités.

L’AMRAE pourra réviser son référentiel afin d’intégrer les évolutions et les enjeux du métier de Risk Manager,
à l’avenir

6 © AMRAE- 2013 Référentiel métier du Risk Manager

 Le Risk Management

Définition1
La gestion des risques est l’affaire de tous les acteurs de la société. Elle vise à être globale et doit couvrir
l’ensemble des activités, processus et actifs de la société.
La gestion des risques est un dispositif dynamique de la société, défini et mis en œuvre sous sa
responsabilité.
La gestion des risques comprend un ensemble de moyens, de comportements, de procédures et d’actions
adaptés aux caractéristiques de chaque société qui permet aux dirigeants de maintenir les risques à
niveau acceptable pour la société.
Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient
susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa
réputation.
Objectifs de la gestion des risques :
 Créer et préserver la valeur, les actifs et la réputation de la société
 Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs
 Favoriser la cohérence des actions avec les valeurs de la société
 Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques

Le Risk Manager

Le Risk Manager, selon l’organisation, assume tout ou partie du Risk management qui comprend les
activités suivantes :
 Définition des missions et de la structure du dispositif
 Appréciation du risque (identification, analyse, évaluation du risque)
 Maîtrise des risques (au niveau acceptable en fonction des critères de risques retenus)
 Diffusion de la culture du risque
 Financement des risques en accord avec la politique de management des risques
 Gestion des événements non assurés/non assurables
 Gestion des sinistres
 Gestion de crise
 Pilotage et Reporting
Il propose à la Direction Générale les risques de l’organisation, des solutions optimisées de financement,
lui permettant ainsi de poser des limites acceptables à sa prise de risques et de coordonner la maîtrise de
ces risques

1
Cadre de référence de l’AMF : Dispositifs de Gestion des Risques et de Contrôle Interne
© AMRAE- 2013 Référentiel métier du Risk Manager
7
 QUALITES & COMPETENCES

Organisation
Capacité à :

 Structurer sa fonction, avec rigueur, pour réaliser ses activités de manière efficace :
o Définir des objectifs et un plan d’action clairs et précis
o Prioriser les actions et les planifier
 Contrôler la réalisation des tâches déléguées

Management
Capacité à :
 Mobiliser et accompagner les équipes
 Donner des indications précises, une vision claire
 Susciter l’adhésion des différentes parties : Direction Générale, directions de l’organisation,
équipes, correspondants
 Favoriser des relations de confiance, et fédérer sur des objectifs communément acceptés

Réceptivité
Capacité à :
 Etre attentif et à l’écoute des propos de ses interlocuteurs
 Déceler les signaux faibles
 Rester objectif, maintenir un esprit ouvert sans préjugés

Communication
Capacité à :
 Maintenir un comportement et des propos appropriés, favorisant dialogue et relations de
confiance
 S’exprimer avec aisance, clarté et conviction, à l’écrit et à l’oral
 Faire preuve de leadership
 Comprendre son interlocuteur, argumenter en faisant preuve de diplomatie
 Partager l’information de manière transparente, en respectant la nécessaire confidentialité
 Négocier dans l’intérêt de l’organisation

8
© AMRAE- 2013 Référentiel métier du Risk Manager
Création et Adaptation
Capacité à :
 Transformer les actions en fonction de l’évolution du contexte
 Ajuster son discours en fonction de l’interlocuteur
 Faire évoluer son organisation pour l’améliorer et la placer en adéquation avec les objectifs
globaux ainsi que les contraintes notamment réglementaires
 Imaginer l’inimaginable
 Proposer des approches et perspectives nouvelles
 Créer des organisations et des outils innovants

Culture et prise en compte des enjeux

Capacité à :
 Comprendre les enjeux macros (économiques, financiers,...), l’environnement (concurrence…),
d’un point de vue global
 Comprendre les enjeux, les différents métiers et marchés de l’organisation
 Appréhender la culture, l’environnement des pays d’implantation et d’avenir pour l’organisation
 Intégrer les valeurs de l’organisation

Résistance au stress
Capacité à :
 Analyser de manière objective, décider des actions efficaces, dans des situations de forte pression
 Accepter des critiques et se remettre en question

© AMRAE- 2013 Référentiel métier du Risk Manager 9

 TACHES
 Définition des missions du dispositif de management des
risques dans le cadre de la mise en œuvre de la stratégie

 Intégration des menaces et opportunités inhérentes à la

stratégie

 Identification des activités, process (métier, support)

 Elaboration du cadre organisationnel du management des

risques

ACTIVITE
Définition des missions et de la
structure du dispositif

 Construction de la méthodologie & du référentiel de

management des risques

 Elaboration de la politique de management des risques

prenant en compte l'appétence et la tolérance aux risques des
dirigeants et/ou des organes de Gouvernance de
l'organisation

 Obtention d'une validation par les dirigeants et/ou les

organes de Gouvernance des missions et de la structure du
dispositif, et de l'attribution des moyens nécessaires à leur
réalisation

© AMRAE- 2013 Référentiel métier du Risk Manager

10
EXIGENCES QUALITE/COMPETENCES

Intégrer la culture, l'histoire, les spécificités de l'organisation et le  Organisation

contexte (concurrentiel...)
Assigner des objectifs au dispositif de management des risques et en  Réceptivité
valoriser les bénéfices
Faire valider les objectifs par les organes de Gouvernance de
l'organisation et les communiquer (en priorité auprès des parties
prenantes du dispositif du management des risques)
Intervenir le cas échéant aux instances de définition de la stratégie  Culture et enjeux
Apporter son soutien méthodologique à l'identification et l'évaluation  Création et Adaptation
des risques liés à de nouvelles orientations stratégiques
Intégrer les enjeux et les contraintes des métiers, leurs objectifs  Organisation
Connaître les fonctions et organigrammes des métiers
Identifier les rôles et responsabilités des collaborateurs de
l'entreprise
Définir une organisation cible permettant d'atteindre les objectifs  Organisation
définis
Définir les profils de l'organisation cible et les rôles et responsabilités,  Création et Adaptation
dans une charte de fonctionnement - support du dispositif cible - et
diffuser aux acteurs concernés (Dirigeants & managers,
correspondants…)
Définir les moyens : ressources humaines, systèmes d'information,  Culture et enjeux
moyens financiers utiles
Organiser (un ou) de(s) comités des risques
Définir et organiser les relations avec le dispositif de contrôle interne
Définir les relations avec l'audit interne
Construire les éléments de contenu du reporting adaptés aux besoins
des parties prenantes
Choisir un référentiel et l'adapter si nécessaire en fonction des  Organisation
spécificités de l'organisation
Définir la méthode de mise en œuvre
Recueillir les objectifs stratégiques, déclinés en objectifs  Réceptivité
opérationnels, de l'organisation
Définir l'objet, les objectifs et le champ d'application (activités prise  Culture et enjeux
en compte) de la politique de management des risques
Définir les grands principes de maîtrise des risques pour  Communication
l'organisation (acceptation, évitement, réduction, financement...)
Définir et décliner la stratégie de financement des risques (auto-
assurance, transfert…)
Définir les limites de risques acceptables pour l'organisation
Faire valider les quatre précédentes exigences par la Direction
Générale
Formaliser les quatre précédentes exigences (dans une politique de
management du risque et les communiquer aux acteurs concernés
(Administrateurs, DG)
Synthétiser et présenter les missions, structures et moyens définis  Management
Convaincre de la valeur ajoutée de ces missions, structures et moyens
définis  Communication

© AMRAE- 2013 Référentiel métier du Risk Manager

11
 TACHES
 Définition des outils utiles à l’appréciation du risque (échelles,
guide d’entretiens, registre et univers des risques, langage
commun...)

 Anticipation des risques et de leur évolution (en relation avec

l’intelligence économique)
ACTIVITE
Appréciation du risque (Identification,
analyse, évaluation du risque)
 Conduite d'entretiens individuels avec les dirigeants et
managers

 Animation des ateliers d’identification, d'analyse et

d'évaluation (hiérarchisation) des risques

 Elaboration des cartographies des risques par entité/métier,

ou par grand projet

 Synthèse et consolidation des risques majeurs de

l'organisation

© AMRAE- 2013 Référentiel métier du Risk Manager

12
EXIGENCES QUALITES / COMPETENCES
Construire un univers des risques de l'organisation  Organisation
Construire une échelle des conséquences possibles de la réalisation
d'un risque et une échelle d'occurrence des risques  Création et Adaptation
Définir et utiliser un langage commun (glossaire...), le diffuser dans
l'organisation  Réceptivité Ecoute
Expliquer, le cas échéant, la différence entre risques bruts et risques
résiduels
Choisir le support et élaborer un registre des risques
Elaborer un guide d'entretien et le communiquer aux acteurs
concernés
Définir les formats et fréquences de reporting propres au dispositif de
management du risque
Valider des outils utiles à l'appréciation des risques par les parties
prenantes
Diffuser les outils du dispositif à l'audit interne
Recenser les process de veille stratégique, économique et  Réceptivité Ecoute
réglementaire des activités de l'organisation
Alimenter la veille stratégique avec les informations utiles recueillies  Organisation
dans ses missions
Analyser les signaux faibles
Intégrer les signaux faibles pertinents dans l'appréciation des risques
Identifier les risques, leurs causes et leurs impacts  Résistance au stress
Favoriser leur révélation et recenser les opportunités comme les
menaces  Réceptivité
Construire et étayer l'estimation des risques en brut et/ou en résiduel
A l'issue des échanges, expliciter, synthétiser et restituer les échanges  Communication
Mettre à jour et utiliser les outils du dispositif
Animer, modérer un groupe de dirigeants, de managers et  Communication
éventuellement d'experts
Favoriser le recensement des opportunités comme celui des menaces  Réceptivité
Identifier les risques, leurs causes et leurs impacts
Estimer les risques en brut et/ou en résiduel  Résistance au stress
Expliciter, synthétiser et restituer les échanges
Construire une matrice adaptée à l'organisation et aux besoins de  Organisation
chaque entité/métier, ou du projet concerné
Mettre à jour & historiser les cartographies des risques  Management
Organiser les remontées des risques des entités concernées
Challenger les risques identifiés dans les différentes entités - Analyser  Organisation
les corrélations possibles
Consolider les risques retenus  Management
Restituer la cartographie consolidée des risques aux parties prenantes

© AMRAE- 2013 Référentiel métier du Risk Manager

13
 TACHES
 Présentation / Validation des risques majeurs

 Identification de la panoplie de traitements de risques

 Participation à la construction des plans d’action

ACTIVITE
Maîtrise des risques (à niveau
acceptable en fonction des critères de
risques retenus)

 Analyse et déploiement des plans d’action de traitement des

risques

 Assistance dans les audits d’acquisition et de cession

 Visite des zones à risques

 Consolidation et suivi des plans d’actions

© AMRAE- 2013 Référentiel métier du Risk Manager

14
EXIGENCES QUALITES / COMPETENCES
Synthétiser les risques considérés majeurs et les présenter à la Direction  Organisation
Générale
Obtenir la validation des priorités de traitement des risques majeurs  Réceptivité
Obtenir la désignation d'un propriétaire pour chaque risque majeur
Recenser les traitements opérationnels pour un risque donné  Organisation
(construction, formation…)
Recenser les programmes de financement des risques (assurances,  Management
"captives"…)
Recenser les activités de contrôle interne
Recenser les Plans de Continuité d'Activités, vérifier qu'ils sont testés
Recenser les plans de gestion de crises, vérifier qu'ils sont testés
Définir les critères d'efficacité des outils de traitement précités
Proposer des solutions de traitement des risques complémentaires à  Culture et enjeux
celles des propriétaires de risques
Participer à l'élaboration des plans de continuité d'activités  Création et Adaptation
Participer à l'élaboration des plans de prévention des risques
Réaliser des diagnostics de risques, accompagné des spécialistes  Organisation
adéquats (experts internes et éventuellement externes) et assurer un
suivi des recommandations des assureurs
 Management
Réaliser des formations et des actions de sensibilisation (risque routier,
expatriation, …)
Faire valider le traitement par les autres fonctions "support" concernées
Co-définir, avec chaque propriétaire de risques, un calendrier de mise en
œuvre pour le plan d'action
Identifier les zones de risques  Réceptivité
Construire des plans de traitement en fonction de la criticité des zones de  Créativité
risques et de l'appétence de l'organisation
Présenter les risques éventuels de nature à compromettre la réalisation  Réceptivité
de l'acquisition ou de la cession
Identifier et évaluer les risques post acquisition ou cession  Création
Proposer des mesures de traitement des risques adaptées
Adapter les couvertures d'assurances ou d'auto-assurance à  Management
l'intervention de la future opération
Se faire accompagner de spécialistes adéquats (experts internes et  Communication
éventuellement externes)
Conseiller les premières actions opérationnelles évidentes
Rencontrer les correspondants risques ou les responsables des zones de
risques
Rédiger, par risque, les actions et les budgets  Organisation
Assister la mise en œuvre des traitements des risques décidés par le
propriétaire des risques
Présenter la consolidation des plans d'actions aux parties prenantes  Communication

 Résistance au stress

© AMRAE 2013 Référentiel métier du Risk Manager

15
 TACHES
 Développement, animation, formation d’un réseau de
correspondants risques

ACTIVITE
Diffusion de la culture de risque  Participation aux évènements importants (séminaires,
comités…)

 Rédaction de la communication interne sur la culture des

risques

© AMRAE 2013 Référentiel métier du Risk Manager

16 16
EXIGENCES QUALITES / COMPETENCES
Déployer la culture du risque en fonction de la politique définie  Communication
Former les correspondants à la méthodologie, à leur rôle et au mode de
fonctionnement du management des risques
Organiser le partage de bonnes pratiques et les retours d'expériences entre  Management
correspondants
Participer et intervenir le cas échéant, lors de ces événements, et communiquer sur  Communication
la culture du risque, sur le traitement des risques majeurs…
Favoriser les retours d'expériences du terrain
Expliciter synthétiquement et simplement des éléments de la culture du risque  Communication
(actions réalisées, retour d'expériences, planning de déploiement…)
Diffuser cette communication via plusieurs canaux de diffusion interne  Management
Déployer la culture du risque en fonction de la politique définie
Former les correspondants à la méthodologie, à leur rôle et au mode de
fonctionnement du management des risques

© AMRAE 2013 Référentiel métier du Risk Manager 17

17
 TACHES
 Recensement des solutions de financement des risques

 Organisation des relations avec les prestataires (courtiers,

assureurs)
ACTIVITE
Financement des risques en accord avec
la politique  Négociation des contrats d’assurances

 Gestion et déploiement des couvertures d’assurances

 Création et administration d’une captive

© AMRAE 2013 Référentiel métier du Risk Manager 18

18
EXIGENCES QUALITES / COMPETENCES
Rechercher les solutions disponibles et adaptées à l'organisation (Assurance,  Culture et enjeux
Financement interne "auto-assurance" ou systèmes alternatifs dont toutes
les formes de "captives" à disposition sur le marché)
Assurer la veille et le benchmark des solutions du marché de financement  Création Adaptation
des risques (assurances, banques, marchés financiers)

Définir les ressources associées à ces solutions, établir un comparatif  Organisation

avantages/inconvénients
Définir les critères de sélection des prestataires
Faire valider les différents éléments proposés : modèle, ressources, critères
de sélection…
Identifier les prestataires potentiels  Organisation
Définir les conditions contractuelles avec chaque prestataire selon les règles
et usages professionnels et avec une attention particulière sur les rôles de  Communication
chacun et les rémunérations - Définir les critères de suivi de performance
Négocier et formaliser le contrat de prestation de service avec le courtier
Analyser l'offre d'assurance (limite, franchises…) en lien avec les besoins  Résistance au stress
identifiés de l'organisation (capitaux et garanties) / définir les formes des
contrats
Définir les conditions contractuelles principales et les critères de suivi de  Réceptivité Ecoute
performance
Faire rédiger/valider les contrats d'assurances par le courtier
Diffuser dans l'organisation les informations relatives aux couvertures  Organisation
(contenu, exclusions…)
Suivre le paiement des primes, le renouvellement des contrats, les  Management
renégociations éventuelles
Organiser le suivi des critères de performance  Communication
Consolider annuellement les résultats (sinistralité, coûts des polices,
défaillances, couvertures…) et rendre compte aux décideurs internes et aux
différents acteurs concernés (internes et externes)
Adapter les couvertures à l'évolution des risques et des capitaux à assurer
Analyser l'intérêt, les objectifs et la faisabilité d'une "captive"  Culture et enjeux
Choisir les partenaires (actuaire, gestionnaire…) et organiser la mise en
place de la "captive"  Organisation
Participer à la gestion de la "captive"
Respecter la réglementation et la communication adossées à la "captive"

19
© AMRAE 2013 Référentiel métier du Risk Manager
19
 TACHES

ACTIVITE  Qualification de l’évènement

Gestion des évènements non assurés /  Identification et prise en compte des moyens et plans
non assurables d’actions
 Organisation des retours d’expériences

20
© AMRAE 2013 Référentiel métier du Risk Manager
20
EXIGENCES QUALITES / COMPETENCES
Définir le périmètre, les enjeux, les impacts…  Organisation
Collecter les informations auprès des parties prenantes  Réceptivité Ecoute
Le cas échéant, mettre en œuvre les moyens et plans d'actions  Organisation
Vérifier l'adéquation des moyens et plans d'actions avec ceux prévus  Résistance au stress
Recenser la survenance d'événements similaires dans l'organisation  Réceptivité et écoute
Identifier les facteurs de déclenchement  Communication
Informer, le cas échéant, les organes de Gouvernance
Mettre à jour, le cas échéant, la cartographie et/ou le plan d'actions

21
© AMRAE 2013 Référentiel métier du Risk Manager
21
 TACHES
 Qualification des événements pour déterminer les assurances
susceptibles de les couvrir et les éventuelles responsabilités

 Organisation de la gestion avec les partenaires (courtiers,

assureurs, experts, voire réassureurs..)
ACTIVITE
Gestion des sinistres

 Suivi du sinistre

 Validation du retour à la normale des activités

22
© AMRAE 2013 Référentiel métier du Risk Manager
22
EXIGENCES QUALITES / COMPETENCES
Obtenir des informations sur les événements  Communication
Transmettre les informations recueillies aux organes de Gouvernance en vue
de la communication interne et/ou externe  Organisation
Vérifier que la police d'assurances peut être actionnée  Management
Déclencher (ou s'assurer du déclenchement de) la procédure de crise, les
procédures de continuité et de reprise d'activité  Résistance au stress
Valider la nature et la portée des événements avec le propriétaire du risque
réalisé
Analyser les causes du sinistre et ses conséquences en termes financiers et
d'image, vérifier la qualité des informations transmises
Analyser la possibilité de recours contre des tiers responsables
Effectuer les déclarations ou vérifier que les règles de déclaration sont  Organisation
respectées (conditions et forme de la déclaration)
Echanger avec les partenaires pour valider la qualification de l'événement, la  Résistance au stress
quantification du sinistre, les conditions de mise en œuvre de l'indemnisation,
les modalités de gestion du plan
Définir les actions de gestion et les actions correctrices  Management
Identifier les missions des experts, négocier les conditions de suivi (délais,
coûts), et suivre les actions par un reporting régulier
Contrôler le suivi du plan de gestion du sinistre en particulier par un reporting  Organisation
régulier des acteurs internes et externes (partenaires)
Vérifier le règlement effectif du sinistre  Management
Assurer une information régulière de la DG et s'assurer que les
communications internes et externes sont pertinentes (selon la stratégie  Communication
définie par l'organisation) et mises à jour
Vérifier avec les partenaires et acteurs clés internes la réalité du retour à  Organisation
l'activité normale
Analyser la performance des partenaires par rapport aux critères de  Communication
performance et résultats attendus
Définir les actions correctrices pour éviter la survenance d'un sinistre
similaire (tirer les conséquences en termes de natures de garanties et de
capitaux souscrits)
Réaliser et diffuser un retour d'expérience dans l'organisation

© AMRAE 2013 Référentiel métier du Risk Manager 23

23
 TACHES
 Contribution à la définition, la mise en place et la
communication relatives à l'organisation et aux outils de
prévention et de gestion de crise

ACTIVITE
Gestion de crise  Assistance au pilotage des crises

 Maintenance et amélioration continue du dispositif de gestion

de crise

© AMRAE 2013 Référentiel métier du Risk Manager 24

24
EXIGENCES QUALITES / COMPETENCES
Contribuer à définir la crise et ses critères d'évaluation  Réceptivité Ecoute
Contribuer à définir les schémas d'alerte
Participer à l'identification des acteurs de la cellule de crise, de leurs rôles et  Culture et enjeux
responsabilités, et contribuer à la définition des modalités pratiques de la tenue
de la cellule de crise
 Résistance au stress
Contribuer à la communication sur le dispositif de gestion de crise
Contribuer à mobiliser les acteurs et à coordonner les travaux de la cellule de  Organisation
crise
Soumettre à la cellule le crise la décision d'activer ou non le Plan de Continuité  Résistance au stress
d'Activités
Tenir, le cas échéant, les dossiers/archives de la crise  Management
Vérifier que le pilote assume ses rôles et responsabilités
Participer à la coordination des formations/exercices de simulation nécessaires  Management
S'assurer de la mise à jour des procédures
Capitaliser grâce au retour d'expérience  Communication

Référentiel métier du Risk Manager © - AMRAE- 2013

25
 TACHES
 Maintenance et amélioration continues du dispositif de
management des risques

ACTIVITE  Animation du (ou des) comité(s) des risques

Pilotage et Reporting
 Reporting aux parties prenantes du dispositif

 Communication externe

 Organisation des relations avec l'audit interne

Référentiel métier du Risk Manager © - AMRAE- 2013

26
EXIGENCES QUALITES / COMPETENCES
Animer le dispositif  Culture et enjeux
Construire et diffuser des tableaux de bord de suivi des risques et un bilan des
activités de gestion des risques et de leur efficacité  Création et adaptation
Définir et appliquer des indicateurs de suivi des risques et de la mise en place du  Organisation
dispositif de management des risques
Identifier les participants au(x) comité(s) des risques ; définir le rôle et les  Communication
modalités de fonctionnement du (ou des) comité(s)
Animer le (ou les) comité(s), préparer les sujets et anticiper les arbitrages  Réceptivité et écoute
Définir les formats et les modalités de fonctionnement du dispositif avec les  Communication
parties prenantes
Présenter aux parties prenantes les livrables du dispositif (cartographie, suivi des  Résistance au stress
plans d'actions, analyses, indicateurs…)
Présenter aux personnes en charge de la communication financière les  Communication
informations sur les risques de l'organisation
Réaliser les travaux destinés aux autorités de tutelle, rédiger la partie « facteurs  Organisation
de risques » dans le document de référence
Participer à l'élaboration du plan d'audit  Réceptivité et écoute
Recueillir les informations utiles au management des risques (nouveaux risques,
évaluation…)

© AMRAE 2013 Référentiel métier du Risk Manager

27
27
 © AMRAE 2013 Référentiel métier du Risk Manager
28 28
 ANNEXE

Glossaire : Référentiel métier du Risk Manager

© AMRAE 2013 Référentiel métier du Risk Manager 29

 Référentiel AMRAE – Métier Risk Manager

Analyse du risque2
Processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque

Note 1 L'analyse du risque fournit la base de l'évaluation du risque et les décisions relatives au traitement du
risque.
Note 2 L'analyse du risque inclut l'estimation du risque.

Appétence pour le risque3

Niveau de risque auquel l’organisation est prête à s’exposer dans le cadre de sa mission ou de sa vision.

Appréciation du risque4
Ensemble du processus d'identification des risques, d'analyse du risque et d'évaluation du risque

Approche Top-Down5
Approche menée au plus haut niveau de l’organisation sur les événements craints ou une absence
d’opportunités menaçant l’atteinte des objectifs de l’organisation. Cette démarche qui peut reposer sur
des interviews (ou ateliers) a l’avantage d’offrir une vision globale, rapide et synthétique des risques
majeurs et de constituer un outil de partage et d’alignement au plus haut niveau facilitant l’adhésion des
dirigeants Cette approche peut être complétée par une approche Bottom-Up.

Approche Bottom-Up6
Démarche d’identification et d’évaluation des risques auprès d’entités, de Business Unit, de zones… et
consolidée au niveau Corporate. Cette démarche peut s’appuyer sur les processus de gestion des risques
déjà existants, comme l’analyse des risques d’ordre réglementaire, et sera opportunément enrichie par
une analyse des risques opérationnels. Permettant d’impliquer les différents niveaux opérationnels et les
risques correspondants souvent méconnus de la hiérarchie, elle favorise la mise en œuvre de plans
d’action concrets pour consolider les résultats. Cette démarche peut être menée en complément de la
démarche Top down.

Audit Interne7
Activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise
de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.

2
Référence : Iso 31000
3
Référence : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk Management
4
Référence : Iso 31000
5
Définition inspirée de l’ouvrage : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk
Management
6
Définition inspirée de l’ouvrage : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk
Management
7
Définition de l’Institut Français de l’Audit et du Contrôle Internes

30 © AMRAE 2013 Référentiel métier du Risk Manager

L’audit interne aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernance
d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Du fait de la variété des domaines à couvrir et des missions à conduire, l’audit interne doit disposer d’une
gamme de compétences toujours plus étendue. La formation permanente constitue un facteur clé de
performance au plan individuel et collectif.

Cadre organisationnel de management du risque8

Ensemble d'éléments établissant les fondements et dispositions organisationnelles présidant à la
conception, la mise en œuvre, la surveillance, la revue et l'amélioration continue du management du
risque dans toute l’organisation.

Note 1 Les fondements incluent la politique, les objectifs, le mandat et l'engagement envers le management
du risque.
Note 2 Les dispositions organisationnelles incluent les plans, les relations, les responsabilités, les ressources, les
processus et les activités.
Note 3 Le cadre organisationnel du management du risque fait partie intégrante des politiques stratégiques et
opérationnelles ainsi que des pratiques de l'ensemble de l'organisation.

Captive9
 Entreprise captive d'assurance: une entreprise d'assurance qui est détenue soit par une
entreprise financière, autre qu'une entreprise d'assurance ou de réassurance ou qu'un groupe
d'entreprises d'assurance ou de réassurance (au sens de l’article 212, paragraphe 1, point c de la
directive 2009/138 visée en référence), soit par une entreprise non financière, et qui a pour objet
la fourniture d'une couverture d'assurance portant exclusivement sur les risques de l'entreprise
ou des entreprises auxquelles elle appartient, ou bien les risques d'une ou plusieurs autres
entreprises du groupe dont elle fait partie

 Entreprise captive de réassurance: une entreprise de réassurance qui est détenue soit par une
entreprise financière, autre qu'une entreprise d'assurance ou de réassurance ou qu'un groupe
d'entreprises d'assurance ou de réassurance (au sens l'article 212, paragraphe 1, point c de la
directive 2009/138 visée en référence, soit par une entreprise non financière, et qui a pour objet
la fourniture d'une couverture de réassurance portant exclusivement sur les risques de
l'entreprise ou des entreprises auxquelles elle appartient, ou bien les risques d'une ou plusieurs
autres entreprises du groupe dont elle fait partie

Cartographie des risques 10

Représentation synthétique et globale des risques hiérarchisés selon les critères de l’organisation. Elle
permet d’établir un état des lieux à un instant T des différents risques que pourrait supporter ou
supporte l’entreprise ou le groupe.

8
Référence : Iso 31000 – le terme organisation remplace celui d’organisme dans la définition initiale
9
Définitions de la directive 2009/138/CE du Parlement Européen et du Conseil du 25 novembre 2009 sur
l’accès aux activités de l’assurance et de la réassurance et leur exercice
10
Définition inspirée de l’ouvrage publié dans la Collection Maîtrise des risques AMRAE – Trajectoire vers un
Enterprise Risk Management

© AMRAE 2013 Référentiel métier du Risk Manager 31

Comité des Risques
Comité composé, selon l’organisation, par des représentants du management opérationnel, du
management décisionnel et/ou d’experts dont la mission (susceptible de varier d’une organisation à
l’autre) peut être d’identifier les risques, de suivre les plans d’actions de maîtrise des risques, de présenter
un état des risques à la gouvernance.

Comité des Risques

Comité composé, selon l’organisation, par des représentants du management opérationnel, du
management décisionnel et/ou d’experts dont la mission (susceptible de varier d’une organisation à
l’autre) peut être d’identifier les risques, de suivre les plans d’actions de maîtrise des risques, de présenter
un état des risques à la gouvernance.

Conséquence11
Effet d'un événement affectant les objectifs

Note 1 Un événement peut engendrer une série de conséquences.

Note 2 Une conséquence peut être certaine ou incertaine et peut avoir des effets positifs ou négatifs sur
l'atteinte des objectifs.
Note 3 Les conséquences peuvent être exprimées de façon qualitative ou quantitative.
Note 4 Des conséquences initiales peuvent déclencher des réactions en chaîne.

Contexte externe12
Environnement externe dans lequel l'organisme cherche à atteindre ses objectifs

Note Le contexte externe peut inclure :

 l'environnement culturel, historique, social, politique, légal, réglementaire, financier, technologique,
économique, naturel et concurrentiel, au niveau international, national, régional ou local,
 les facteurs et tendances ayant un impact déterminant sur les objectifs de l’organisation, et
 les relations avec les parties prenantes externes, leurs perceptions et leurs valeurs.

Contexte interne13
Environnement interne dans lequel l'organisation cherche à atteindre ses objectifs

Note Le contexte interne peut inclure

 la gouvernance, l'organisation, les rôles et responsabilités,
 les politiques, les objectifs et les stratégies mises en place pour atteindre ces derniers,
 les capacités, en termes de ressources et de connaissances (par exemple capital, temps, personnels,
processus, systèmes et technologies…),
 les systèmes d'information, les flux d'information et les processus de prise de décision (à la fois
formels et informels),
 les relations avec les parties prenantes internes, ainsi que leurs perceptions et leurs valeurs,
 la culture de l’organisation,
 les normes, lignes directrices et modèles adoptés par l'organisation, et
 la forme et l'étendue des relations contractuelles.

11
Référence : Iso 31000
12
Définition issue de l’Iso 31000 et comportant des modifications
13
Définition issue de l’Iso 31000 et comportant des modifications

32 © AMRAE 2013 Référentiel métier du Risk Manager

Contrôle interne14
Dispositif de l’organisation, défini et mis en oeuvre sous sa responsabilité. Il comprend un ensemble de
moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque
organisation qui :

 contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de

ses ressources, et
 doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils
soient opérationnels, financiers ou de conformité.

Le dispositif vise plus particulièrement à assurer :

 la conformité aux lois et règlements ;

 l’application des instructions et des orientations fixées par la direction générale ou le directoire ;
 le bon fonctionnement des processus internes de l’organisation, notamment ceux concourant à la
sauvegarde de ses actifs ;
 la fiabilité des informations financières.

Correspondants risques15
Membres de la filière risques chargés d’animer, localement au sein de chaque entité et sous la houlette du
Risk Manager, le processus de management des risques.

Ils participent aux travaux d’élaboration de la cartographie des risques, informent le Risk Manager de la
survenance de risques nouveaux et importants et accompagnent les propriétaires des risques dans
l’élaboration des plans d’action.

Critères de risque16
Termes de référence permettant d’apprécier l’importance des risques. Les critères de risque peuvent
comprendre les risques et les avantages, les exigences d’ordre légal et réglementaire, les aspects sociaux,
économiques et environnementaux, les préoccupations des parties prenantes, les priorités et d’autres
éléments d’appréciation.

Dispositif de management des risques17

Ensemble des moyens, des comportements, des procédures et des actions adaptées aux caractéristiques
de chaque organisation qui permettent aux dirigeants de maintenir les risques à un niveau acceptable
pour l’organisation.

Entité
Département ou filiale de l’Organisation

14
Définition issue du cadre de référence de l’AMF (mis en ligne le 22 juillet 2010) : Les dispositifs de gestion
des risques et de contrôle interne
15
Définition inspirée de l’ouvrage : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk
Management
16
Référence : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk Management
17
Définition issue du Livre Blanc « Mise en œuvre du cadre de référence actualisé de l’AMF » et comportant
des modifications

© AMRAE 2013 Référentiel métier du Risk Manager 33

Evaluation du risque18
Mise en place d’une méthode d’évaluation adaptée à la culture de l’organisation et permettant la
priorisation, la comparaison des résultats de l'analyse du risque avec les critères de risque afin de
déterminer si le risque et/ou son importance sont acceptables ou tolérables

L'évaluation du risque aide à la prise de décision relative au traitement du risque.

Financement des risques19

Dispositif visant à faire supporter tout ou partie du risque à un tiers externe (assurance, captive…). Le
terme désigne encore les provisions destinées à couvrir les coûts de mise en œuvre du traitement du
risque et les coûts associés.

Gouvernance de l’organisation
Direction Générale, Conseil d’Administration ou Conseil de Surveillance, Assemblées d’élus,

Identification des risques20

Processus de recherche, de reconnaissance et de description des risques

Note 1 L'identification des risques comprend l'identification des sources de risque, des événements, de leurs
causes et de leurs conséquences potentielles.
Note 2 L'identification des risques peut faire appel à des données historiques, des analyses théoriques, des avis
d'experts et autres personnes compétentes et tenir compte des besoins des parties prenantes.

Management des risques21

Le management des risques vise à être global et doit couvrir l’ensemble des activités, processus et actifs
de l’organisation. Il s’agit d’un dispositif dynamique de l’organisation, défini et mis en œuvre sous sa
responsabilité.

Le management des risques comprend un ensemble de moyens, de comportements, de procédures et

d’actions adaptés aux caractéristiques de chaque organisation qui permet aux dirigeants de maintenir les
risques à un niveau acceptable pour l’organisation.

Niveau de risque22
Résultat de l’évaluation d’un risque prenant en compte sa criticité et sa maîtrise. Ce résultat peut être
décliné par niveau de risque brut, niveau de risque résiduel, et niveau de risque résiduel cible.

Organisation
L’organisation est l’entreprise ou l’organisme public concerné

Outils du dispositif de management des risques

Tous les outils de pilotage, de suivi et généralement de management des risques : cartographies des
risques, tableaux, guides, présentations, échelles, généralement les livrables

18
Définition issue de Iso 31000 et comportant des modifications
19
Définition inspirée de l’ouvrage :Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk
Management
20
Référence : Iso 31000
21
Définition issue du cadre de référence de l’AMF (mis en ligne le 22 juillet 2010) : Les dispositifs de gestion des
risques et de contrôle interne et comportant des modifications
22
Référence : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk Management

34 © AMRAE 2013 Référentiel métier du Risk Manager

Partie prenante23
Personne ou organisme susceptible d'affecter, d'être affecté ou de se sentir lui-même affecté par une
décision ou une activité

Note : un décideur peut être une partie prenante.

Parties prenantes du dispositif

Les parties prenantes du dispositif sont les administrateurs, la Direction Générale et les managers
(interviewés ou non)

Politique de management du risque

Document reprenant la philosophie et l’engagement de l’organisation en matière de management, de
prise et de transfert de risques.

Propriétaire du risque24
Personne ou entité ayant la responsabilité du risque et les moyens pour le gérer.

Référentiel du Management des Risques25

Description d’un cadre de mise en œuvre d’un processus de déploiement comportant les étapes
essentielles à suivre. Les plus connus en la matière sont : les dispositifs de gestion des risques et de
contrôle interne de l’AMF, la norme Iso 31000 sur le management des risques et le COSO II.

Registre des Risques

Liste de risques qui recense toutes les informations sur chaque risque de l’organisation26

Risque
Perception préalable d’un événement dont les conséquences, si ce risque survenait, seraient susceptibles
d’empêcher l’atteinte d’un objectif ou constitueraient une opportunité pour l’organisation.

Risque brut27
Risque avant prise en compte des mesures de prévention et de protection. L’analyse des risques
opérationnels se fait généralement en risque brut, de façon à identifier, évaluer et tester quels modes de
traitement ont été mis en place pour maîtriser le risque.

Risque majeur
Risque dont les conséquences et la probabilité de réalisation sont très importantes pour l’organisation.

Risque résiduel28
Risque subsistant après le traitement du risque

Un risque résiduel peut inclure un risque non identifié.

Le risque résiduel peut être également appelé « risque net »

23
Référence : Iso 31000
24
Définition issue de l’Iso 31000 et comportant des modifications
25
Référence : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk Management
26
Voir p. 57 de l’ouvrage Collection Maîtrise des risques AMRAE – La cartographie : un outil de gestion des
risques. P 55, pour un exemple de Registre des risques
27
Référence : Collection Maîtrise des risques AMRAE – Trajectoire vers un Enterprise Risk Management
28
Définition issue de l’ Iso 31000 et comportant des modifications

© AMRAE 2013 Référentiel métier du Risk Manager 35

Signaux faibles
Indices de perception, des signes avant-coureurs qui peuvent augurer d’importants changements ou
événements. Ces signaux faibles peuvent être détectés par une veille prospective.

Source de risque29
Tout élément qui, seul ou combiné à d'autres, présente un potentiel intrinsèque d'engendrer un risque

Surveillance30
Vérification, supervision, observation critique ou détermination de l'état afin d'identifier continûment des
changements par rapport au niveau de performance exigé ou attendu

NOTE La surveillance peut s'appliquer à un cadre organisationnel de management du risque, un processus de

management du risque, un risque ou un moyen de maîtrise du risque.

Tolérance au risque
Capacité de l’organisation à accepter la perte consécutive à la réalisation du risque

Traitement du risque31
Processus destiné à modifier un risque

Note 1 Le traitement du risque peut inclure :

 un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité porteuse du risque,
 la prise ou l'augmentation d'un risque afin de saisir une opportunité,
 l'élimination de la source de risque,
 une modification de la vraisemblance,
 une modification des conséquences,
 un partage du risque avec une ou plusieurs autres parties (incluant des contrats et un financement du
risque), et
 un maintien du risque fondé sur une décision.
Note 2 Les traitements du risque portant sur les conséquences négatives sont parfois appelés «atténuation du
risque», «élimination du risque», «prévention du risque» et «réduction du risque».
Note 3 Le traitement du risque peut créer de nouveaux risques ou modifier des risques existants.

Univers des risques 32

Il s’agit de « bibliothèques d’événements » recensant les risques (externes et internes), inhérents à un
secteur d’activité, à un projet ou à un domaine spécifique. Peuvent être recensés des risques, des sources
de risques ainsi que les bonnes pratiques relevées pour y parer. S’ils sont obtenus à l’extérieur, ces
catalogues de risques doivent être adaptés aux spécificités de l’organisation ; ils peuvent être aussi
élaborés en interne. En tout état de cause, ils doivent être enrichis régulièrement et ne pas constituer la
seule approche d’analyse.

29
Définition issue de l’Iso 31000 et comportant des modifications
30
Référence : Iso 31000
31
Définition issue de l’Iso 31000
32
Référence : Collection Maîtrise des risques AMRAE – La cartographie : un outil de gestion des risques. P 55,
voir aussi p. 56, un tableau illustrant l’Univers des risques

36 © AMRAE 2013 Référentiel métier du Risk Manager

 REMERCIEMENTS

L’AMRAE tient à remercier particulièrement les membres et intervenants ci-dessous pour leurs réflexions,
échanges et perspectives du métier.

 Rachel Balmadier, Directeur du Contrôle Interne, des Risques et Assurances, Compagnie des Alpes
 Laurent Barbagli, Directeur des risques et des assurances, Lafarge – Administrateur AMRAE

 Brigitte Bouquot, Directeur des Assurances et de la Gestion des Risques

Thalès– Administrateur AMRAE

 Bruno Dunoyer de Segonzac, Consultant Coach en risk management et Contrôle interne

 Françoise Gaucher, Risk Manager Expert Groupe, Groupe La Poste

 Bénédicte Huot de Luze, Déléguée générale, AMRAE

 Gérard Lancner, Conseiller du Président AMRAE

 François Malan, Directeur de la Gestion des Risques,

Nexity – Pilote du groupe - Administrateur AMRAE

 Anne Piot d’Abzac, VP Chief Risk Officer, IPSEN PHARMA

 Sylvie Pugnet, avocate

 Philippe Viénot, Risk Manager BNP Paribas– Administrateur AMRAE

 www.amrae.fr

Copyright © AMRAE 2013

Le présent référentiel, propriété de l’AMRAE, est protégé par le copyright.
Toute reproduction, totale ou partielle est soumise à la mention obligatoire du
droit d’auteur Copyright © AMRAE 2013