Pourquoi et comment associer les conseils d'administration aux enjeux assurantiels?

Les entreprises et leurs dirigeants peuvent se sentir submergées par de nouveaux sujets (changement climatique, conformité) ou par la montée en puissance d'autres thèmes (trajectoires budgétaires post Covid), qui pourraient les éloigner de leurs responsabilités premières. En termes de gouvernance, une attention particulière doit être donnée à des sujets structurels, mais évincés par les « urgences » du quotidien et les habitudes de ne pas rentrer dans le détails de certains dossiers : à ce titre, évoquons la couverture assurantielle des entreprises.

La première réaction est classiquement de rejeter le sujet : pourquoi créer un problème en l'absence d'alerte et quand « tout va bien » ? Il est vrai que la cartographie des risques est maintenant bien intégrée dans les organes de direction (mais encore pas suffisamment par les managers eux-mêmes, autre point d'attention...) ; les comités d'audit sont impliqués dans les litiges et les recours majeurs concernant l'entreprise ; le management est en charge de l'opérationnel, donc des sujets assurantiels. Tous ces arguments sont exacts et illustrent l'importance croissante de l'attention portée à la gestion des risques, notamment en termes d'image, de réputation et d'attractivité pour les nouveaux collaborateurs. Exact, mais sans doute insuffisant dans un environnement de moins en moins prévisible et face à des menaces (internes, externes) nouvelles et significatives.

Pour approfondir ce sujet assurantiel (sans en être un spécialiste), il est utile de rappeler la nature des polices proposées sur le marché. Elles englobent la responsabilité dommage, les biens, la prévoyance, la responsabilité civile des personnes (y compris des dirigeants et administrateurs), le risque cyber, le crédit client et l'assurance vie collective - cette liste n'est bien entendu pas exhaustive. Une liste qui affiche une grande diversité de sujets et qui est bien souvent traitée par différents intervenants à l'intérieur d'un groupe (juridique, finance, RH, ...) sans nécessairement faire l'objet d'une synthèse et d'une discussion globale (analyse des risques, orientations des sujets, nature des couvertures, ...). Le risk-manager est traditionnellement la personne (juriste le plus souvent) qui négocie crânement avec le courtier et les assureurs, pestant contre les inefficacités de son groupe et les problèmes opérationnels mal gérés par ses collègues, en ayant une connaissance fine du marché mais sans nécessairement faire l'objet d'une supervision éclairée de ses choix. Il y a souvent des avantages à déléguer ce type de tâche à des spécialistes, mais la question de la vision globale et de la coordination se pose. Et par ailleurs, comment garantit-on la cohérence entre une cartographie des risques et la politique assurantielle ?

Une fois ce point établi (vision globale, cohérence avec la cartographie), le top management - mais aussi le conseil d'administration - peut vouloir analyser plus en détail certains chiffres : nombre d'occurrences (dégâts, accidents du travail, recours) et méthode de prévention. Les polices d'assurance (définition des risques couverts, valeurs agréées, niveaux de franchise, qualité des contreparties, ...) ne sont pas revues par les commissaires aux comptes ; à cet égard on peut invoquer l'intérêt de faire tous les trois ans par exemple une revue du sujet qui permette au conseil d'avoir un degré suffisant de confort sur le sujet.

Au-delà de cette approche de contrôle, il faut revenir à la matière première que représentent les informations collectées à l'occasion de travaux assurantiels ; une large partie de ces données apporte des éclairages sur la marche des affaires : taux de perte, dégâts, indice de fréquence... En ce sens peut-on dire qu'on est davantage accidentogène qu'il y a trois ans ? Les actions correctrices sont-elles efficaces ? Comment se compare-t-on avec la concurrence ? Les managers sont-ils informés du sujet, des enjeux financiers et des contraintes assurantielles ? Le dialogue direct entre les assureurs et le management peut parfois servir de catalyseur et de corde de rappel lors de circonstances ou d'évènements graves. N'oublions pas non plus qu'une grande partie des informations traitées affiche un caractère très confidentiel (plans, fréquences d'évènement, valeurs, ...) qu'il s'agit aussi de contrôler et de garantir dans le processus de couverture de risques.

Selon la nature d'activité du groupe concerné, l'attention sera portée aux enjeux les plus sensibles (si l'activité est très dépendante de la distribution physique et de la logistique, mes couvertures reflètent-elles cette situation ?). De nouvelles technologies peuvent modifier significativement les risques pour les salariés et peuvent nécessiter de nouvelles orientations assurantielles.

Mais soyons clairs : un conseil d'administration n'a pas pour objet de rentrer dans le détail, de passer en revue des tableaux d'occurrence et de subsister au management. C'est donc d'une autre manière que cette supervision doit être conduite ; à chaque contexte et sensibilité au risque, une approche plus ou moins détaillée peut être proposée, ou avec le soutien d'un œil extérieur. Un comité de direction pourrait par exemple assurer au conseil qu'il a pris soin de passer ces sujets en revue et lui transmettre une synthèse.

Il n'en demeure pas moins que l'entreprise se doit de vérifier le degré de couverture et les risques résiduels. Il n'est pas question ici de "sur-assurer" ou d'adopter un comportement pusillanime en "ouvrant des parapluies" pour se protéger juridiquement. On peut arguer du contraire : comment améliorer les actions préventives, diminuer les coûts et alerter les équipes managériales sur ces sujets (et donc aligner les revues et les reportings en ce sens).  Au fond, et en simplifiant, comment un board peut-il évaluer la performance d'un groupe s'il ne s'attache qu'à la revue des risques et non aux actions de « mitigation » et aux couvertures assurantielles correspondantes ? Il en sera réduit à constater après coup les conséquences d'un incendie de data center, la défaillance d'un gros client ou les effets d'un rançongiciel.

C'est une conclusion ouverte que nous proposons, en laissant libre court à la discussion. Certains acteurs pourront juger qu'il n'est pas nécessaire d'alourdir les procédures et les contrôles ; d'autres pourront se saisir du sujet, organiser un débat et vouloir lancer une revue plus systémique de l'assurance en entreprise. Évaluer le mode d'organisation et la répartition des responsabilités est sans doute un minimum à entreprendre. Au-delà, toute contribution et proposition sur ce sujet, issues des pratiques d'entreprises de différentes natures, seront bienvenues pour nourrir cette discussion et améliorer la gouvernance et la gestion des risques.