Guides & Ressources pratiques
Créance publique : définition, recouvrement et voies de contestation
Gestionnaire des risques financiers : rôle, statut et cadre juridique en entreprise
Points clés de l'article
- Le gestionnaire des risques financiers (risk manager) identifie, évalue et traite les expositions financières de l'entreprise : risque de crédit, de marché, de liquidité et risque opérationnel.
- Son rattachement hiérarchique — direction générale, DAF ou direction juridique — détermine son indépendance et l'étendue réelle de son périmètre d'action.
- Son statut contractuel (cadre dirigeant ou cadre supérieur) conditionne sa rémunération, ses clauses de non-concurrence et son régime de responsabilité.
- Sa responsabilité civile et pénale peut être engagée en cas de défaut de cartographie, de manquement aux obligations Sapin II ou LCB-FT, ou de négligence dans l'alerte.
- Le choix entre internalisation et externalisation de la fonction repose sur la taille de l'entreprise, son secteur réglementé et le volume de ses expositions financières.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Définition et périmètre d'intervention du gestionnaire des risques financiers
Missions opérationnelles : identification, évaluation et traitement des risques
Place dans l'organisation : rattachement, articulation avec la DJ et la DAF
Statut contractuel : cadre dirigeant, clauses sensibles et confidentialité
Responsabilité civile et pénale du risk manager
Obligations légales et réglementaires applicables (Sapin II, LCB-FT, IFRS)
Cas pratiques de litiges et points de vigilance contractuels
Externaliser ou internaliser la fonction : critères de décision
Définition et périmètre d'intervention du gestionnaire des risques financiers
Le gestionnaire des risques financiers, souvent désigné sous le terme de risk manager, est le professionnel chargé de recenser, quantifier et réduire les expositions financières d'une entreprise. Son périmètre couvre 4 catégories principales de risques : le risque de crédit (défaillance d'un débiteur), le risque de marché (variation des taux, des devises ou des cours), le risque de liquidité (incapacité à honorer des échéances) et le risque opérationnel (pertes liées à des processus internes défaillants).
En France, la fonction s'est structurée sous l'impulsion de la réglementation bancaire et assurantielle (Bâle III, Solvabilité II), avant de se diffuser dans les ETI et les grands groupes industriels. Selon l'Association pour le Management des Risques et des Assurances de l'Entreprise (AMRAE), environ 65 % des entreprises du SBF 120 disposaient d'un risk manager dédié en 2023. Dans les ETI, la fonction reste souvent partagée entre le directeur financier et le directeur juridique, sans poste formellement identifié.
Le périmètre d'intervention varie selon la taille et le secteur de l'entreprise. Dans un groupe coté, le gestionnaire des risques financiers intervient sur la politique de couverture de change, la gestion du portefeuille de dettes, la conformité aux ratios prudentiels et la cartographie des risques présentée au comité d'audit. Dans une ETI industrielle, son rôle se concentre davantage sur le risque client, la couverture des matières premières et la prévention des fraudes internes.
Missions opérationnelles : identification, évaluation et traitement des risques
Les missions du risk manager s'articulent autour de 3 phases distinctes et séquentielles.
L'identification consiste à recenser l'ensemble des expositions financières de l'entreprise. Cette cartographie couvre les engagements contractuels, les positions de marché, les flux de trésorerie prévisionnels et les dépendances fournisseurs. Elle s'appuie sur des entretiens avec les directions opérationnelles, l'analyse des données comptables et la veille réglementaire.
L'évaluation quantifie chaque risque identifié selon sa probabilité d'occurrence et son impact financier potentiel. Les outils utilisés varient : matrices de risques, modèles de Value at Risk (VaR) pour les risques de marché, scoring de crédit pour les contreparties, ou encore tests de résistance (stress tests) simulant des scénarios défavorables. L'évaluation produit un classement hiérarchisé des risques, présenté sous forme de tableau de bord à la direction générale.
Le traitement regroupe 4 stratégies possibles :
| Stratégie | Description | Exemple concret |
|---|---|---|
| Évitement | Suppression de l'activité génératrice du risque | Abandon d'un marché à risque de change excessif |
| Réduction | Mise en place de contrôles ou de couvertures | Contrat de swap de taux d'intérêt |
| Transfert | Report du risque sur un tiers | Assurance-crédit, affacturage |
| Acceptation | Conservation du risque avec provisionnement | Provision pour créances douteuses |
Le risk manager ne décide pas seul du traitement. Il formule des recommandations que la direction générale valide, en arbitrant entre le coût de la couverture et le niveau de risque résiduel accepté.
Structurer le périmètre d'action et les responsabilités d'un risk manager nécessite un cadre contractuel précis, adapté à la gouvernance de l'entreprise.
Consultez un avocat spécialisé en relations individuelles
Place dans l'organisation : rattachement, articulation avec la DJ et la DAF
Le rattachement hiérarchique du gestionnaire des risques financiers détermine directement son indépendance et sa capacité d'alerte. 3 configurations prédominent en France :
| Rattachement | Avantage principal | Limite principale |
|---|---|---|
| Direction générale | Indépendance vis-à-vis des fonctions opérationnelles | Charge de reporting direct pour le DG |
| Direction financière (DAF) | Proximité avec les données financières et la trésorerie | Risque de conflit d'intérêts sur les arbitrages financiers |
| Direction juridique (DJ) | Cohérence avec la conformité et le contentieux | Éloignement des décisions financières opérationnelles |
Dans les sociétés cotées soumises au Code de gouvernance Afep-Medef, le comité d'audit exerce une supervision directe sur la fonction risques. Le risk manager présente sa cartographie au comité au moins 2 fois par an. Cette obligation de reporting crée une ligne de communication indépendante de la hiérarchie opérationnelle.
L'articulation avec la direction juridique porte sur 3 sujets récurrents : la rédaction des clauses de limitation de responsabilité dans les contrats commerciaux, la conformité aux obligations réglementaires (Sapin II, LCB-FT) et la gestion des sinistres impliquant des tiers. Avec la DAF, la coordination concerne la politique de couverture, la gestion du cash pooling et le suivi des covenants bancaires.
Statut contractuel : cadre dirigeant, clauses sensibles et confidentialité
Le statut du risk manager dépend de l'étendue de son autonomie décisionnelle. En droit du travail français, la qualification de cadre dirigeant (article L. 3111-2 du Code du travail) suppose 3 conditions cumulatives : une responsabilité dont l'importance implique une grande indépendance dans l'organisation du temps de travail, un pouvoir de décision largement autonome et une rémunération parmi les plus élevées de l'entreprise.
En pratique, seuls les risk managers rattachés directement au DG ou membres du comité exécutif remplissent ces critères. Les autres relèvent du statut de cadre soumis au forfait jours, encadré par un accord collectif.
Plusieurs clauses contractuelles méritent une attention particulière :
- Clause de confidentialité renforcée : le risk manager accède à des données stratégiques (positions de couverture, expositions clients, résultats de stress tests). La clause doit préciser la durée de l'obligation post-contractuelle, les informations couvertes et les sanctions applicables.
- Clause de non-concurrence : sa validité suppose une contrepartie financière, une limitation géographique et temporelle, et un lien avec les fonctions exercées. La Cour de cassation annule systématiquement les clauses dépourvues de contrepartie (Cass. soc., 10 juillet 2002).
- Clause de délégation de pouvoirs : lorsque le DG délègue au risk manager la responsabilité de la conformité réglementaire, la délégation doit être écrite, précise dans son objet et assortie des moyens nécessaires (budget, équipe, accès aux systèmes d'information).
Le contrat de travail du risk manager engage la responsabilité du dirigeant s'il est mal rédigé. Les clauses de délégation, de confidentialité et de non-concurrence doivent être sécurisées juridiquement.
Faites vérifier vos contrats par un avocat en droit du travail
Responsabilité civile et pénale du risk manager
La responsabilité civile du gestionnaire des risques financiers peut être engagée sur le fondement de la faute dans l'exécution de son contrat de travail. Toutefois, la jurisprudence française limite cette responsabilité aux cas de faute lourde, c'est-à-dire une faute d'une gravité exceptionnelle révélant l'intention de nuire à l'employeur (Cass. soc., 25 janvier 2017). Une erreur d'évaluation dans un modèle de risque ne suffit pas, en principe, à caractériser une faute lourde.
La responsabilité pénale est plus exposée. Elle peut être engagée dans plusieurs hypothèses :
- Complicité de présentation de comptes inexacts (article L. 242-6 du Code de commerce) : si le risk manager a sciemment dissimulé une exposition dans les documents transmis aux commissaires aux comptes.
- Manquement aux obligations de déclaration de soupçon dans le cadre de la lutte contre le blanchiment (article L. 561-15 du Code monétaire et financier) : amende pouvant atteindre 5 millions d'euros pour les personnes morales.
- Non-respect des obligations Sapin II : l'Agence Française Anticorruption (AFA) peut prononcer des sanctions allant jusqu'à 1 million d'euros pour les personnes physiques et 5 millions d'euros pour les personnes morales.
La délégation de pouvoirs constitue un mécanisme de transfert de la responsabilité pénale du dirigeant vers le délégataire. Le risk manager qui accepte une telle délégation doit s'assurer qu'il dispose effectivement de l'autorité, de la compétence et des moyens nécessaires. À défaut, la délégation est inopposable et la responsabilité remonte au dirigeant.
Obligations légales et réglementaires applicables (Sapin II, LCB-FT, IFRS)
Le cadre réglementaire applicable au gestionnaire des risques financiers repose sur 3 piliers en droit français.
La loi Sapin II (loi n° 2016-1691 du 9 décembre 2016) impose aux entreprises de plus de 500 salariés et réalisant un chiffre d'affaires supérieur à 100 millions d'euros de mettre en place un dispositif anticorruption comprenant une cartographie des risques, un code de conduite, un dispositif d'alerte interne et des procédures de contrôle comptable. Le risk manager est fréquemment désigné comme pilote opérationnel de ce dispositif.
Le dispositif LCB-FT (lutte contre le blanchiment de capitaux et le financement du terrorisme) concerne les entreprises assujetties au titre du Code monétaire et financier : établissements de crédit, sociétés de gestion, mais aussi certaines entreprises non financières réalisant des opérations en espèces supérieures à 10 000 euros. Les obligations incluent la vigilance sur les clients, la déclaration de soupçon à Tracfin et la conservation des pièces justificatives pendant 5 ans.
Les normes IFRS (notamment IFRS 7 et IFRS 9) imposent aux sociétés cotées une information détaillée sur leurs expositions aux risques financiers dans leurs états financiers. Le risk manager fournit les données nécessaires à cette information : nature des instruments de couverture, sensibilité aux variations de taux et de change, pertes de crédit attendues (expected credit losses).
La conformité à ces 3 cadres réglementaires nécessite une coordination étroite entre le risk manager, la direction juridique et les commissaires aux comptes. Un défaut de cartographie ou de documentation expose l'entreprise à des sanctions administratives et pénales.
Sécurisez votre conformité avec un avocat spécialisé
Cas pratiques de litiges et points de vigilance contractuels
Plusieurs contentieux récents illustrent les zones de risque pour le dirigeant et le risk manager.
Cas 1 — Défaut de couverture de change. Une ETI exportatrice n'avait pas mis en place de couverture sur le dollar alors que 40 % de son chiffre d'affaires était libellé en USD. La dépréciation du dollar a généré une perte de 3,2 millions d'euros. Le DG a mis en cause le risk manager pour faute professionnelle. Le conseil de prud'hommes a rejeté la demande, estimant que le risk manager avait formulé des recommandations de couverture restées sans suite faute de validation par la direction.
Cas 2 — Délégation de pouvoirs insuffisante. Dans une affaire jugée par la Cour d'appel de Paris (2019), un risk manager avait reçu une délégation de pouvoirs en matière de conformité LCB-FT, mais ne disposait ni du budget ni de l'accès aux systèmes de surveillance des transactions. La cour a jugé la délégation inopposable et a retenu la responsabilité pénale du dirigeant.
Points de vigilance contractuels :
- Formaliser par écrit toute recommandation de couverture et la réponse de la direction
- Vérifier que la délégation de pouvoirs est assortie de moyens réels et documentés
- Prévoir une clause de reporting périodique au comité d'audit ou au conseil d'administration
- Inclure dans le contrat de travail une clause de protection du lanceur d'alerte conforme à la loi du 21 mars 2022
Externaliser ou internaliser la fonction : critères de décision
Le choix entre un risk manager salarié et un prestataire externe dépend de 4 critères principaux.
| Critère | Internalisation | Externalisation |
|---|---|---|
| Taille de l'entreprise | ETI > 250 salariés, grands groupes | PME, ETI < 250 salariés |
| Secteur réglementé (banque, assurance) | Obligatoire dans la plupart des cas | Possible en complément uniquement |
| Volume d'expositions financières | Élevé et récurrent | Ponctuel ou limité |
| Coût annuel estimé | 80 000 à 150 000 € (salaire + charges) | 30 000 à 80 000 € (mission annuelle) |
L'internalisation garantit une connaissance approfondie des processus internes, une réactivité immédiate et une intégration dans la gouvernance. L'externalisation offre un accès à des compétences spécialisées (modélisation quantitative, conformité sectorielle) sans engagement salarial permanent.
Dans les 2 cas, le dirigeant conserve la responsabilité finale des décisions de gestion des risques. L'externalisation ne transfère pas la responsabilité pénale : elle déplace uniquement l'exécution opérationnelle. Le contrat de prestation doit donc prévoir des clauses de responsabilité, de confidentialité et de restitution des livrables conformes aux exigences réglementaires.
Qu'il soit salarié ou prestataire, le risk manager intervient dans un cadre contractuel qui engage la responsabilité du dirigeant. La rédaction de ce cadre mérite un accompagnement juridique adapté.
Échangez avec un avocat spécialisé en droit du travail
FAQ
Quelle est la différence entre un gestionnaire des risques financiers et un contrôleur de gestion ?
Le gestionnaire des risques financiers identifie et traite les expositions de l'entreprise aux aléas financiers (crédit, marché, liquidité). Le contrôleur de gestion analyse la performance financière passée et prévisionnelle. Les 2 fonctions sont complémentaires : le risk manager se projette sur les scénarios défavorables, le contrôleur de gestion pilote les écarts par rapport au budget.
Le risk manager est-il obligatoire en entreprise ?
Aucune obligation légale générale n'impose la création d'un poste de risk manager dans les entreprises non financières. En revanche, les établissements de crédit et les sociétés d'assurance sont tenus de disposer d'une fonction de gestion des risques indépendante (directive CRD IV, Solvabilité II). Pour les entreprises soumises à Sapin II, la cartographie des risques est obligatoire, mais peut être pilotée par un autre responsable.
Peut-on cumuler la fonction de risk manager avec celle de DAF ?
Le cumul est fréquent dans les ETI de moins de 250 salariés. Il présente un risque de conflit d'intérêts : le DAF peut être amené à arbitrer entre la réduction d'un risque et l'optimisation d'un résultat financier. Les référentiels de gouvernance (Afep-Medef, ISO 31000) recommandent une séparation des fonctions dès que la taille de l'entreprise le permet.
Quels sont les risques pour le dirigeant en cas d'absence de cartographie des risques ?
L'absence de cartographie expose le dirigeant à une sanction de l'AFA (jusqu'à 200 000 euros pour les personnes physiques dans le cadre de Sapin II), à une mise en cause de sa responsabilité civile par les actionnaires en cas de perte non anticipée, et à une responsabilité pénale si le défaut de cartographie a facilité un délit (blanchiment, corruption).
Comment évaluer la compétence d'un risk manager lors du recrutement ?
3 critères permettent d'évaluer un candidat : sa maîtrise des outils quantitatifs (VaR, stress tests, scoring), sa connaissance du cadre réglementaire applicable au secteur de l'entreprise, et sa capacité à communiquer ses analyses à des non-spécialistes. Les certifications professionnelles (FRM délivrée par la GARP, PRM délivrée par la PRMIA) constituent des indicateurs de compétence reconnus sur le marché.
Pour aller plus loin
Index anglais-français terminologie économique et financière - Légifrance
Gestion du risque informatique (Articles 270-1 à 270-5) - Légifrance
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
