Panorama 2021 des systèmes d'information de gestion des risques

Comme tous les ans, l'Amrae (Association pour le Management des Risques et des Assurances de l'Entreprise) diffuse son Panorama des SIGR (systèmes d'information de gestion des risques) (une version anglaise est prévue pour la fin septembre 2021). Ce document permet de faire le point sur les pratiques professionnelles des gestionnaires de risques mais aussi sur l'offre de solutions permettant d'aider ces professionnels, encore trop souvent contraints d'utiliser des tableurs. Le panorama est conçu par l'Amrae et ses partenaires, le cabinet EY (ex-Ernst & Young) et les associations homologues européenne (Ferma), américaine (Rims), asiatique (Parima) et francophone (club FrancoRisk) sous le pilotage de François Beaume, vice-président de l'Amrae et vice-president risks and insurance de Sonepar. « Depuis quatorze ans, nous conservons les trois mêmes grands principes : neutralité, objectivité et vision métier » a insisté François Beaume.

L'édition 2020 de ce panorama montrait un marché dynamique tiré par le SaaS. Celle de 2021 continue de montrer une progression certaine des SIGR dans les entreprises et, encore une fois, une tendance au SaaS non seulement dans les nouveaux projets (en remplacement des tableurs et des suivis artisanaux) mais aussi dans les renouvellements. Encore une fois en croissance en moyenne, le budget de déploiement d'un SIGR dépasse de plus en plus le « plafond de verre » de 100 000 euros selon l'enquête, signe que les systèmes gagnent en importance, du moins au sein des grandes entreprises. En particulier, les SIGR sont de plus en plus transverses voire globaux à l'ensemble d'un groupe : la gestion des risques n'est plus un périphérique de chaque fonction mais bien une fonction support globale. Le marché reste globalement avec de belles perspectives : les éditeurs constatent une augmentation des appels d'offres et environ la moitié des entreprises n'est pas encore équipé. Pour Bertrand Rubio, Associate Partner Enterprise Risk Digital Transformation chez EY Consulting a indiqué : « les SIGR sont de plus en plus vus comme globaux, collaboratifs et transverses à toute l'entreprise. » « La volonté des risks managers d'ouvrir les SIGR à leurs partenaires comme les commissaires aux comptes et les courtiers en assurances s'explique par la fluidité induite dans les process, notamment de renouvellement des contrats » a complété François Beaume.

Un recensement de l'offre

Dans le panorama, onze témoignages de Risk Managers et deux tribunes ajoutent des points de vue d'experts qui insistent sur les tendances observées sur le marché des SIGR et sur les évolutions des pratiques des gestionnaires de risques. Mais le panorama tient bien sûr son nom de la partie de l'étude présentant des fiches par produits disponibles sur le marché des SIGR. Les réponses aux questions de l'Amrae sont apportées par les éditeurs, sans contrôle exhaustif. Si l'association a recensé et interrogé 121 éditeurs de SIGR à travers le monde, issus de sa base incluant les éditeurs qui se signalent ou sont signalés par des risks managers, 49 ont répondu de telle sorte à pouvoir être inclus dans le panorama avec leur propre fiche. Chacune indique un contact, un court descriptif des différenciants de l'offre, les zones de disponibilité (France, pays, continents...), des chiffres-clés sur l'éditeur, une description de sa clientèle et deux graphiques sur la couverture fonctionnelle et la couverture des axes techniques. En volume, ces fiches d'éditeurs représentent la moitié de l'étude. L'association précise comme à chaque fois : « le Panorama ne porte ni de jugement de valeur sur les éditeurs et leurs solutions, ni de recommandation d'achat. Il vise simplement à donner un éclairage en présentant les outils et les principales fonctionnalités disponibles sur le marché. » Un tableau synoptique détaille toutes les fonctionnalités présentes, partiellement présentes ou absentes sur chaque offre SIGR. Il est suivi de cartes de positionnement [mapings] des SIGR selon les axes couverture fonctionnelle / couverture technique de chaque grande fonctionnalité. Deux nouveaux mapings apparaissent dans cette édition : la gestion des tiers et l'IA.

Les 49 éditeurs apparaissant dans le Panorama 2021 des SIGR, les dix nouveaux entrants étant encadrés. (crédit : Amrae)

Une étude a également été menée auprès de 230 gestionnaires de risques en entreprises (62% en grand compte, 38 % en ETI, issus de 23 pays). Celle-ci permet de faire le point sur les pratiques réelles en matière de gestion des risques en entreprises. Un point intéressant est notamment l'évolution des fonctions impliquées dans le choix d'un SIGR. Entre 2019 et 2021, à peu près toutes les fonctions baissent dans leur implication : le directeur des risques est ainsi impliqué dans 88 % des projets de déploiement de SIGR au lieu de 89 %, le DSI passe de 68 % à 63 %, l'audit interne de 68 % à 53 %, etc. Mais il y a deux exceptions notables (non-marginales) : la direction générale passe de 46 à 47 % et la direction juridique de 35 à 37 %.

Une offre parfois en décalage par rapport aux attentes du marché

Pour l'heure, l'intelligence artificielle est peu présente et peu utilisée dans les SIGR mais semble bien placée dans les développements prévus. La gestion des contrats d'assurances est dans la même position. Enfin, le module qui semble le plus attendu est celui relatif à la responsabilité sociétale et environnementale (RSE). Le module de Gestion du Risque de Tiers est mentionné pour la première fois dans l'étude mais est d'ores et déjà présent dans une majorité de solutions. « La gestion du risque de tiers prend de plus en plus d'importance à cause des évolutions réglementaires dans le monde, du risque cyber chez les partenaires et de la crise sanitaire » a indiqué François Beaume

L'offre est parfois un peu en retard sur les exigences des clients. L'Amrae observe ainsi : « Les modules ayant été les plus développés ces deux dernières années couvrent la Cybersécurité (+18 points), la Modélisation des processus (+17 points), la continuité d'activité et gestion de crise (+16 points), et la Gestion des données personnelles (+10 points). À noter que 13 % des éditeurs de SIGR n'offrent pas de fonctionnalités avancées de reporting (ou via des interfaces), bien que ce soit le deuxième critère de sélection d'un outil pour les Risk managers ». « Le constat que les éditeurs ne se renforcent pas sur ce point se reproduit cette année » a regretté Bertrand Rubio. Le contrôle de conformité et le traitement du risque RGPD reste parmi les modules les plus présents (plus de 80%) dans les SIGR déployés. RSE, IA, intelligence économique, gestion de crise (alors que la pandémie n'est pas achevée)... sont autant de modules majoritairement très en deçà des attentes des gestionnaires de risques. Bertrand Rubio relève : « le module d'IA est à maturité encore faible mais fait partie des souhaits de développements chez les éditeurs et, côté risk managers, les cas d'usage concernent surtout la détection des signaux faibles notamment de fraude. »