Livre blanc Crowe Howarth global risk

5 187 vues

Publié le

Publié dans : Business
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 187
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2 914
Actions
Partages
0
Téléchargements
129
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Livre blanc Crowe Howarth global risk

  1. 1. La maîtrise des risques, entre ambitions & réalités Livre-Blanc-V.Final.indd 1 27/11/13 19:42
  2. 2. Editorial Livre-Blanc-V.Final.indd 2 27/11/13 19:42
  3. 3. F aire des affaires, c’est prendre des risques. Pas toujours bien calculés ? La plupart des dirigeants et de leurs collaborateurs ont pu expérimenter, peu ou prou, la survenance de certains risques dans leur environnement proche. Mais survenance n’est pas un terme positif : c’est un euphémisme pour parler de dommages, voire de sinistres. Or, la plupart d’entre eux peuvent être anticipés au moyen d’un dispositif de maîtrise adapté. Ce dispositif de maîtrise des risques, pour être et rester pertinent, doit évoluer au même rythme que les enjeux stratégiques et opérationnels qu’il couvre. Dans un contexte économique toujours plus incertain, son ajustement continu assure l’efficience des processus de l’organisation et une meilleure protection de ses investissements et de sa réputation – c’est à dire, in fine, son utilité. Pourtant, la mise à jour de tels dispositifs est rarement la priorité des décideurs, qui attendent souvent d’être confrontés aux conséquences néfastes d’un sinistre pour remettre à plat les moyens de protection et débloquer les ressources nécessaires. C’est donc pour mieux comprendre la réalité de ces dispositifs au sein des organisations importantes en France, et identifier les initiatives les plus créatrices de valeur, que le cabinet Crowe Horwath Global Risk Consulting et l’Institut Français de l’Audit et du Contrôle Internes se sont associés pour organiser la troisième édition des Trophées de la Maîtrise des Risques. Au-delà du recensement des pratiques de marché, un jury d’experts indépendants et représentatifs a aussi eu l’occasion d’examiner les bénéfices apportés par ce dispositif afin d’établir un palmarès distinguant les meilleures contributions. Ce livre blanc a pour objectif d’afficher les convictions de décideurs et leaders d’opinion sur ce qu’est, ou ce que doit être à moyen terme, un dispositif efficace et efficient de maîtrise des risques. Il est en particulier l’occasion d’illustrer les bénéfices issus du modèle des trois lignes de maîtrise, c’est grâce à la clarification des rôles et responsabilités des acteurs concernés, leur meilleure collaboration, la synergie des moyens nécessaires, l’accompagnement des différents métiers de l’organisation, et leur adaptation adéquate aux éléments exogènes. Vous trouverez également un aperçu des attentes des Comités d’Audit, grâce aux échanges que nous avons eu avec les présidents et membres de certains comités de la place : vous connaîtrez leur éclairage sur le suivi de l’efficacité du dispositif par une des instances de gouvernance les plus importantes au sein des organisations. Nous remercions toutes les entreprises et administrations qui ont pris le temps de répondre à notre questionnaire en ligne et de nous accueillir pour de nombreux entretiens et échanges. Nous félicitons chaleureusement tous les lauréats qui ont, résolument, mis en place des dispositifs concrets leur permettant de construire un modèle de maîtrise des risques adapté aux enjeux actuels et de servir la performance durable de leur organisation. Jonathan Burnett Crowe Horwath Global Risk Consulting Président Directeur Général Farid Aractingi Institut Français de l’Audit et du Contrôle Internes Président 3 Livre-Blanc-V.Final.indd 3 27/11/13 19:42
  4. 4. Sommaire 3 EDITORIAL 6 1. L’INTÉGRATION : UN INCONTOURNABLE 1.1. UN RAPPROCHEMENT DES ACTEURS Le modèle des trois lignes de maîtrise, un socle commun Le regroupement des acteurs historiques La deuxième ligne de maîtrise resserre ses rangs L’Audit Interne : un périmètre élargi 1.2.VERS UNE ASSURANCE « INTÉGRÉE » Un besoin accru d’informations pertinentes Une priorité : les enjeux humains 16 2. LA PERFORMANCE AVANT TOUT 2.1. UN COMITÉ EXÉCUTIF DE PLUS EN PLUS SENSIBILISÉ Une implication renforcée Le risque : un levier de profitabilité 2.2. LES OPÉRATIONNELS PLUS INVESTIS Le Comité Managérial des Risques, un interlocuteur clé du middle management Des référentiels adaptés à la réalité des opérations Un dispositif aligné avec les attentes 25 3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS 3.1. UN PÉRIMÈTRE ÉTENDU La prise en compte progressive des risques tiers Face à la diversité, un pragmatisme nécessaire 3.2. DES CONTRAINTES À NE PAS SOUS-ESTIMER Une pression sur les ressources… … et une rationalisation de la démarche 30 32 34 UN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT MÉTHODOLOGIE LE JURY ET LES LAURÉATS DE LA 3ÈME ÉDITION Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 4 Livre-Blanc-V.Final.indd 4 27/11/13 19:42
  5. 5. 3 QUESTIONS À JEAN-MARTIN FOLZ Président du Jury de cette 3ème édition des Trophées de la Maîtrise des Risques 1 2 3 Par quels éléments, selon vous, se différencient les entreprises les plus matures ? Ce sont à mon avis celles qui parviennent à ce que tous leurs acteurs considèrent la maîtrise des risques non plus seulement comme un simple moyen de maîtrise contre les menaces actuelles mais comme un outil prospectif d’évaluation et de contrôle des menaces futures, au service de la stratégie de l’entreprise. Quelles évolutions majeures percevez-vous pour les années à venir ? Si la maîtrise des risques est maintenant clairement reconnue comme une nécessité et si les outils du contrôle interne sont aujourd’hui bien identifiés et largement employés, les années à venir devraient voir la progression de l’automatisation de ces outils au sein des systèmes d’information. Mais au-delà des procédures et des outils, le facteur clé de progrès est et demeurera l’éthique individuelle et collective des dirigeants et de l’ensemble du personnel. Faut-il évaluer un dispositif et comment le feriez-vous ? Le dispositif de maîtrise des risques ne saurait échapper aux règles de bonne gestion et doit donc faire l’objet d’une évaluation objective de son coût pour l’entreprise et des avantages qu’il apporte ; si les coûts sont relativement faciles à cerner, les avantages, qui sont des risques évités, sont certes identifiables mais par essence difficiles à estimer. Quoi qu’il en soit, la capacité de l’entreprise à prévoir et maîtriser ses risques apparaît bien comme un élément constitutif de son goodwill. Jean-Martin Folz, X- Mines, a occupé depuis 1978 des fonctions successives à la direction de plusieurs grands groupes, notamment à la présidence du directoire du groupe PSA Peugeot Citroën. Il est aujourd’hui administrateur au sein d’Alstom, Axa, Saint-Gobain, Société Générale et Solvay. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 5 Livre-Blanc-V.Final.indd 5 27/11/13 19:42
  6. 6. L’intégration : un incontournable Livre-Blanc-V.Final.indd 6 27/11/13 19:42
  7. 7. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE 1.1 UN RAPPROCHEMENT DES ACTEURS Le modèle des trois lignes de maîtrise, un socle commun +50% des entreprises interrogées ont opéré un rapprochement organisationnel* De nombreuses entreprises ont fait le choix d’un modèle de gouvernance organisé autour des 3 lignes de maîtrise*, chaque ligne ayant un périmètre, une mission et des activités formellement définis (cf. figure 1). Ce modèle détermine ainsi les rôles et responsabilités de l’ensemble des parties prenantes au dispositif global de maîtrise des risques. Constituée des opérationnels, la première ligne de maîtrise met en œuvre la stratégie de l’entreprise et les moyens nécessaires à la maîtrise de ses activités. En deuxième ligne, les experts animent, structurent et coordonnent le dispositif. Enfin, la fonction d’Audit Interne, représentant la troisième ligne se focalise sur l’évaluation indépendante de celui-ci. Le regroupement des acteurs historiques Une nouvelle tendance se confirme cette année : le rapprochement des fonctions sous la supervision d’un même département. Sans compromettre l’indépendance de l’Audit Interne, le regroupement des fonctions Gestion des Risques, Contrôle Interne et Audit Interne est effectif dans 37% des organisations interrogées (cf. figure 2). Il se traduit généralement par un partage élargi des référentiels et des plans correctifs. Les bénéfices recherchés d’un tel modèle : responsabiliser les acteurs à tous les niveaux de l’organisation, clarifier leurs rôles et responsabilités dans le fonctionnement du dispositif, garantir la prise en compte des spécificités de chacun et démontrer l’importance d’une approche globale. Le rôle des fonctions support devient prépondérant : souvent en première ligne (le choix adopté par le modèle américain de l’IIA), elles peuvent en fonction de l’organisation être positionnées en seconde ligne. Le rapprochement entre l’Audit Interne et la Gestion des Risques, comme dans 26% des entreprises, favorise principalement l’exploitation de la cartographie des risques par l’Audit Interne. * Source : étude Crowe Horwath Global Risk Consulting - IFACI Figure 1 Le modèle des 3 lignes de maîtrise * Conseil d’Administration / Comité d’Audit Direction Générale 1ère ligne de maîtrise 2ème ligne de maîtrise Finance HSE Contrôle de Gestion ... *tel que défini par l’IFACI et l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) Audit Interne Régulateurs Audit externe Contrôle Interne Juridique Gestion des Risques Management opérationnel Conformité R.H. Assurance S.I. 3ème ligne de maîtrise Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 7 Livre-Blanc-V.Final.indd 7 27/11/13 19:42
  8. 8. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE Enfin, dans le cas d’un regroupement du Contrôle Interne avec la Gestion des Risques (13% des entreprises), la Gestion des Risques bénéficie souvent d’une meilleure lisibilité sur le niveau de maîtrise des risques, tandis que le Contrôle Interne améliore la mise sous contrôle des risques identifiés par la cartographie. Gestion mise en avant par une récente étude de l’IFACI (voir prise de position IFACI / DFCG « Pour une contribution conjointe et renouvelée à la performance des organisations »). Celles-ci mentionnent par exemple l’intérêt mutuel d’une fiabilisation des données par le Contrôle Interne et la mise en lumière de zones de vulnérabilités par le Contrôle de Gestion. Toutefois, d’autres opportunités restent à concrétiser notamment en matière de tableau de bord commun capable d’associer les Key Performance Indicators aux Key Risk Indicators. La deuxième ligne de maîtrise resserre ses rangs Ce rapprochement observé sur les fonctions historiques tend à s’élargir aux autres acteurs de la seconde ligne de maîtrise. Ethique, Conformité, Qualité, Contrôle de Gestion, Sécurité… les points de convergence sont nombreux. Ils appuient leurs démarches sur une analyse transversale de l’entreprise, participent à la production de référentiels, et fournissent des éléments de comparaison entre les entités opérationnelles. L’élaboration d’un référentiel de risques Projets chez GDF SUEZ en est la parfaite illustration (cf. Belle Histoire). Mais cette volonté d’identifier de nouvelles synergies au sein de la seconde ligne de maîtrise est surtout perceptible pour les fonctions dont les objectifs s’inscrivent dans le long terme : Ethique, Conformité, Développement Durable. Plusieurs répondants mentionnent ainsi les attentes de leur organisation en matière d’approche environnementale (émissions de gaz, consommation de matières premières, consommation d’énergie, gestion des déchets, dépenses de protection de l’environnement…) et sociétale (égalité professionnelle, organisation du temps de travail, conditions d’hygiène et de sécurité, emploi et insertion de travailleurs en situation de handicap…). Les dispositifs globaux de maîtrise des risques sont alors confrontés à deux enjeux majeurs : mettre en œuvre des actions concrètes pour être conformes aux engagements pris par leur direction et communiquer efficacement sur l’effort entrepris. Notre étude révèle ainsi que 16% des répondants développent une approche commune avec la Qualité (cf. figure 3). Orientée « client », l’approche Qualité permet par exemple au Contrôle Interne de mieux intégrer les activités opérationnelles de l’entreprise et d’optimiser le périmètre de couverture de chacune des deux fonctions au profit d’une meilleure couverture d’ensemble. Certaines des organisations interrogées confirment l’interaction entre le Contrôle Interne et le Contrôle de Figure 2 Regroupements des fonctions de la maîtrise des risques 13% 24% 37%  Audit Interne, Gestion des Risques et Contrôle Interne Audit Interne et Gestion des Risques Audit Interne et Contrôle Interne Contrôle Interne et Gestion des Risques 26% Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 8 Livre-Blanc-V.Final.indd 8 27/11/13 19:42
  9. 9. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE 15% des entreprisesréférentiel avec soit interrogées déclarent partager leur de nos échanges avec un panel de membres de Comités d’Audit (cf. Regard sur les attentes des Comités d’Audit). Et au-delà d’un positionnement encore hétérogène des acteurs sur ce sujet épineux de l’indépendance, 75% des départements d’Audit Interne assistent déjà d’autres départements dans leur démarche d’optimisation des processus et 34% dans les projets stratégiques de l’entreprise (cf. figure 4). la Conformité, l’Ethique, la Qualité ou l’Environnement, Santé et Sécurité* L’évolution de la composition du Comité Managérial des Risques est un autre révélateur du rapprochement au sein de la seconde ligne de maîtrise. En effet, l’intégration d’un plus grand nombre de représentants des fonctions de la seconde ligne de maîtrise contribue à ce rapprochement. La vision sur les risques significatifs à appréhender est élargie et favorise une allocation plus pertinente des ressources disponibles. Les Directions de l’Audit Interne sont donc en contact de plus en plus régulier avec les opérationnels et malgré les avis divergents sur les conditions de ce rapprochement, la visibilité sur le degré de maîtrise des opérations en est alors améliorée. L’évolution des profils des Auditeurs Internes illustre également cette tendance. Ainsi, si 85% des entreprises disposent de profils généralistes (cf. figure 5), une part significative est réservée à des profils plus opérationnels. C’est une volonté claire de disposer de spécialistes tout en conservant la rigueur et les fondamentaux méthodologiques de l’audit comptable et financier. L’Audit Interne : un périmètre élargi Par son rôle, l’Audit Interne dispose d’une large connaissance de l’organisation, de ses collaborateurs et fait souvent office de référent. Mais si la tendance générale au rapprochement des fonctions de Gestion des Risques, Contrôle Interne et Audit Interne est compréhensible, la nécessaire indépendance de la fonction continue de provoquer certaines appréhensions. Autre tendance forte : l’intégration de spécialistes de la fraude dans 26% des cas (cf. figure 5). Thème d’actualité depuis quelques années, la spécificité des travaux à mettre en œuvre nécessite le recrutement de profils relativement rares ou la mise à disposition de certaines ressources pour les programmes de certification internationaux (Certified Fraud Examiner). ■ Au-delà des conditions à mettre en œuvre pour la préserver, certaines qualités restent immuables : objectivité d’esprit, force de caractère et capacité à dire « non ». Des critères qui semblent largement respectés au vue * Source : étude Crowe Horwath Global Risk Consulting - IFACI Figure 3 Partage des référentiels de maîtrise des risques entre départements 47% 27% 14% 13% avec la Conformité avec l’Ethique 16% 17% 13% avec avec entre la Gestion entre l’Audit entre l’Audit Interne, la Qualité l’Environnement des Risques et le Interne et la Gestion des la Santé Contrôle Interne le Contrôle Risques et et Sécurité Interne le Contrôle Interne Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 9 2 Livre-Blanc-V.Final.indd 9 27/11/13 19:42
  10. 10. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE Figure 4 Périmètre d’intervention de l’Audit Interne Audit de projets transverses 81% 75% Assistance aux projets stratégiques Assistance à l’optimisation des processus 34% PERIMETRE DE L’INTERVENTION DE L’AUDIT INTERNE 63% Audit pre-et post-acquisition Evaluation de la maturité du dispositif de gestion des risques 43% 62% Audit de gouvernance IT Source : étude Crowe Horwath Global Risk Consulting - IFACI Figure 5 Part des entreprises disposant de profils : 62% 15% Gouvernance 15% Santé, Sécurité et Gestion Environnementale 26% 75% Comptabilité et Finance 85% Lutte contre la fraude et la corruption 37% Provenant des Opérations Généralistes Systèmes d’information Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 10 Livre-Blanc-V.Final.indd 10 27/11/13 19:42
  11. 11. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE Plus d’une vingtaine de référentiels de contrôle interne, prenant appui sur l’identification des risques et sur les enseignements de l’Audit Interne et cosignés avec les Directions des filières concernées Belle Histoire UNE COORDINATION RENFORCÉE AVEC LES OPÉRATIONNELS GDF SUEZ R éunies sous la supervision d’un membre du Comité Exécutif, les fonctions de Management des Risques, de Contrôle Interne et d’Audit Interne disposent d’une direction propre, et travaillent de concert avec les opérationnels pour élaborer des référentiels communs à la fois pragmatiques et adaptés aux enjeux et aux évolutions du Groupe. Ainsi, depuis 2008, le Groupe a élaboré plus d’une vingtaine de référentiels de contrôle interne, prenant appui sur l’identification des risques et sur les enseignements de l’Audit Interne. Ces référentiels sont cosignés avec les Directions des filières concernées (Finance, RH, Santé – Sécurité, Ethique, SI, Achats…). L’élaboration d’un référentiel pour la gestion des projets de construction en est l’illustration. Par ailleurs, le management des risques Projets ayant été identifié comme une action prioritaire dans la cartographie des risques du Groupe, un guide spécifique a été réalisé, en étroite collaboration avec la Direction des Grands Projets, des managers de projet et les Directions des filières concernées. Ce guide a été conçu pour aider les managers à identifier les risques dès le démarrage d’un projet et à mettre en place le pilotage adéquat. Il permet ainsi d’établir des principes, un cadre méthodologique et un vocabulaire communs au sein du Groupe. Ce guide sera enrichi régulièrement en intégrant les retours d’expériences, les enseignements tirés des audits internes et externes ainsi que les points de vigilance remontés par le programme Income du Contrôle Interne. Le dispositif de maîtrise des risques de GDF SUEZ bénéficie d’un soutien fort : un sponsorship de la Direction Générale qui endosse l’ensemble des politiques et référentiels Groupe, et une forte attention du Comité d’Audit en matière de Management des Risques, de Contrôle Interne et d’Audit Interne. Ce dispositif est fondé sur une gouvernance structurée entre le Corporate, les Branches et les entités du Groupe, qui organise la surveillance à tous les niveaux (Comex, Revues de Branche, Revues d’entité). Grâce à une démarche pragmatique de déploiement et d’adaptation des référentiels, le dispositif de maîtrise des risques favorise l’atteinte des objectifs du Groupe. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 11 Livre-Blanc-V.Final.indd 11 27/11/13 19:42
  12. 12. Point de vue Par les experts de Korn Ferry L’Agilité d’Apprentissage : catalyseur du succès du Directeur de l’Audit Interne Dans ces contextes changeants, les DAI, acteurs clef de ces mutations fonctionnelles sont donc régulièrement chahutés, au point que la légitimité de certains pour relever ces défis est remise en question. Depuis quelques années, nombreux sont les groupes internationaux qui prennent le parti de considérer des profils aux parcours diversifiés, souvent issus du sérail financier, au risque bien sûr d’avoir à reconsidérer cette option en cas de nouvelle rupture. D’autres groupes en revanche font le choix de la continuité et de la confiance dans les experts de la filière, pourvu que ces derniers soient en capacité de gérer efficacement ces situations nouvelles + [ Matière première The « Right Stuff » L’AGILITÉ PERSONNELLE ET INTERPERSONNELLE Les DAI qui répondent efficacement à ces nouvelles attentes attachent de l’importance à leur développement personnel et sont réceptifs aux feedback pour prendre conscience de leurs forces et faiblesses. Dans leurs rapports aux autres, ils ont la capacité d’adapter leurs comportements aux personnes et situations, de communiquer avec efficacité, de gérer les conflits de manière constructive et font preuve d’empathie pour susciter la confiance des parties prenantes du dispositif global de gestion des risques. L’AGILITÉ MENTALE Les DAI agiles mentalement savent sortir de leur zone de confort en démontrant de la sérénité dans leur appréhension des problèmes nouveaux, complexes et ambigus. Ils aiment creuser les sujets en profondeur et cherchent l’origine des problèmes avant de se préoccuper de leurs conséquences. L’AGILITÉ AU CHANGEMENT Afin de proposer un service à forte valeur ajoutée et d’assumer leurs responsabilités dans l’accompagnement de la stratégie et la transformation de l’entreprise, les DAI en réussite refusent le status quo et se positionnent en rupture du sens commun dans l’apport de solutions. Ils font preuve Compétences acquises par l’expérience ] x À chacune de ces étapes charnières, les entreprises et les professionnels des Ressources Humaines ont coutume de s’interroger sur les nouvelles compétences requises pour que ces collaborateurs soient en succès. Lors de la dernière rupture en date, à savoir la crise économique actuelle, nos homologues de Korn/Ferry aux Etats-Unis en collaboration avec Richard Chambers, Président de l’Institute of Internal Auditors (IIA), se sont d’ailleurs prêtés deux fois à l’exercice et ont livré leurs enseignements dans deux études référencées ci-après (1). et ces changements de circonstances. Cette capacité, nous l’appelons l’Agilité d’Apprentissage que nous définissons au travers quatre attributs. de sens critique et de courage pour traiter les sujets et ont la capacité de rassurer et fédérer des collaborateurs potentiellement déstabilisés, autour d’une approche de leur métier nouvelle et différenciante. L’AGILITÉ RÉSULTATS Les DAI qui dépassent les attentes, alors que leurs champs d’application ont radicalement évolué, disposent de ressources qui leur permettent de se dépasser. Ils font preuve d’endurance pour ne pas perdre leur objectif de vue et d’affirmation personnelle pour susciter l’adhésion des décideurs et de leurs collaborateurs à leur projet de transformation. CONCLUSION L’Agilité d’Apprentissage est une capacité relativement rare, majoritairement innée. Il n’est donc pas étonnant que cette dernière soit aussi considérée comme le catalyseur fondamental du potentiel (cf. schéma ci-après). Elle peut cependant se développer, puisqu’elle se nourrit des expériences. L’Agilité d’Apprentissage constitue un facteur clef de succès indéniable pour réussir dans la durée face aux changements. La confrontation aux changements demeure une opportunité de la développer. Julien Badiola & Victoria Lorenz Korn Ferry Paris AGILITÉ D’APPRENTISSAGE = En 15 ans, les Directeurs de l’Audit Interne (DAI) ont traversé plusieurs ruptures conjoncturelles, qui les ont contraints, à plusieurs reprises, à changer radicalement le champ de leurs applications, pour répondre efficacement aux nouvelles attentes des Directions Générales. POTENTIEL • Matière Première : Intelligence expérimentale (« bon sens ») + stabilité émotionnelle • Expérience : Changement de poste, responsabilité, épreuves, rencontres, feedback, formations, lectures, ... • Agilité d’apprentissage : Capacité et volonté d’apprendre à partir des expériences (1) The relationship advantage: Maximizing CAE success (mars 2011) (1) License to Lead: Seven personal attributes that maximize the impact of the most successful CAE (juin 2010) (1) Ces études consultables et téléchargeables via le site : www.kornferryinstitute.com Copyright ©2013.Korn/Ferry International, Inc. Tous droits réservés. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 12 2 Livre-Blanc-V.Final.indd 12 27/11/13 19:42
  13. 13. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE 1.2. VERS UNE ASSURANCE « INTÉGRÉE » Un besoin accru d’informations pertinentes Développer une approche d’Assurance Intégrée, c’est d’abord identifier l’ensemble des acteurs contribuant au processus d’assurance interne. Et cela ne concerne pas uniquement les acteurs de la deuxième et troisième ligne. Les Commissaires aux Comptes deviennent par exemple eux aussi des contributeurs. Une fois les contributeurs identifiés, les organisations se concentreront avant tout sur le reporting intégré. Un seul objectif : la pertinence des informations transmises aux organes de gouvernance. En effet, le temps consacré au dispositif de maîtrise des risques évoluant peu au sein de ces instances, la recrudescence observée des initiatives ne doit pas justifier une multiplication non coordonnée des éléments portés à leur attention. Mais il ne faut pas pour autant négliger les attentes de la première ligne de maîtrise : les opérationnels. Nombreux sont ceux à exprimer leurs frustrations devant la juxtaposition d’initiatives au détriment de leurs activités quotidiennes. Combien de Directeurs d’usine, ou de Directeurs comptables pointant du doigt une présence simultanée des équipes Qualité, de l’organisme de certification, des Auditeurs Internes et des Commissaires aux Comptes à certaines périodes ? Chacun à l’origine de leurs propres constats, rapports et futurs plans correctifs à suivre.Au-delà d’une supposée allergie des opérationnels aux dispositifs de maîtrise, il devient primordial de démontrer la cohérence globale de ces initiatives et surtout l’utilité des informations collectées. Dans ces circonstances, mettre en exergue le lien entre la maîtrise des risques et les objectifs de l’entreprise par des indicateurs synthétiques, pertinents, et partagés par tous devient plus que jamais indispensable. Mais cet exercice est exigeant. Maintenir cette cohérence d’ensemble dans la durée, entre différents acteurs et malgré l’évolution constante des activités, est un objectif ambitieux. Contribuer à fournir une Assurance Intégrée est une démarche audacieuse, exposant plus largement les individus et leurs dispositifs aux yeux de tous. Mais ceux qui y parviennent franchissent un pas : la mise à disposition d’informations clés à la prise de décision stratégique ou opérationnelle. Et si la volonté et la culture de l’organisation le permettent, l’approche d’Assurance Intégrée pourra ensuite s’étendre au volet organisationnel, à la mise en commun des référentiels, des méthodologies et du système d’information. Cependant, ce niveau de maturité reste encore très rare en France. Les politiques d’Assurance Intégrée font encore figure d’exception alors que près de 2/3 des entreprises déclarent pourtant l’avoir mise en œuvre (cf. figure 6). Une incompréhension certainement liée à la difficulté de distinguer une intégration des fonctions relativement mature sur le marché français et à un modèle d’Assurance Intégrée visant à communiquer périodiquement et de façon concertée sur des indicateurs attestant de l’efficacité du dispositif global. Figure 6 69% des organisations fournissent une Assurance Intégrée Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 13 Livre-Blanc-V.Final.indd 13 27/11/13 19:42
  14. 14. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE Une priorité : les enjeux humains On peut facilement imaginer les freins comportementaux issus d’une mise à disposition collégiale d’indicateurs, tant sur le niveau de transparence que sur l’interprétation hétérogène des données. L’enjeu de mise en œuvre d’une approche d’Assurance Intégrée ne se limite donc pas au seul protocole de collecte et de mise à disposition d’indicateurs. Il doit s’appuyer sur deux préalables essentiels. D’abord, il doit être le fruit d’une volonté exprimée du Comité Exécutif ou du Comité d’Audit. Sans elle, il semble peu probable que des fonctions qui cherchent à asseoir leur légitimité par leurs propres expertises se tournent naturellement vers une intégration avec les pratiques d’autres acteurs. C’est sans doute le facteur clé de réussite du projet « Combined Assurance Dashboard » chez ArcelorMittal (cf. Belle Histoire). Ensuite, la mise en œuvre doit être confiée à un acteur reconnu et crédible au sein de l’organisation. Car porter ce type d’initiative, c’est aussi se confronter à des levées de boucliers de la part de spécialistes très prolifiques quand il s’agit de justifier de la complexité de leurs expertises. C’est sans doute une des raisons pour lesquelles cette tâche revient souvent à l’Audit Interne. Son indépendance, sa vision transversale, et son accès direct au Comité d’Audit favorisent la prise de hauteur nécessaire face à ce type de réactions. L’Assurance Intégrée est surtout le meilleur rempart contre l’existence de « trou dans la raquette » du dispositif global de maîtrise des risques. Certains dirigeants l’ont compris au regard d’évènements survenus récemment au sein de leur organisation. On pense notamment à la fraude dont les indicateurs se trouvent à différents niveaux de l’organisation selon que l’on parle de prévention, de détection ou d’investigation. Chacun présuppose des travaux des autres sans nécessairement avoir une vision des véritables « drapeaux rouges » à l’échelle du groupe. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 14 Livre-Blanc-V.Final.indd 14 27/11/13 19:42
  15. 15. La maîtrise des risques, entre ambitions et réalités 1. L’INTÉGRATION : UN INCONTOURNABLE Un tableau de bord élaboré pour fournir une vision synthétique, par business line et par processus d’assurance, des indicateurs de performance Belle Histoire « COMBINED ASSURANCE DASHBOARD » ARCELORMITTAL F ort de plus de 170 auditeurs, le département d’Internal Assurance, qui regroupe la Gestion des Risques et l’Audit Interne, se distingue à la fois par l’expertise des profils, la diversité des parcours et la séniorité des collaborateurs qui le composent. Parmi les spécificités, nous pouvons citer un sponsorhip fort du CEO, l’existence d’une équipe « forensics » répartie sur l’ensemble des régions du Groupe, une Internal Audit Academy, le Continuous Auditing (contrôles automatiques sur les nombreux systèmes d’informations) grâce à des auditeurs IT certifiés, ou encore des benchmarks réguliers et formalisés avec les meilleures pratiques de la place. Mais l’initiative qui se démarque largement concerne le reporting unifié et synthétique des processus d’assurance entre l’ensemble des lignes de maîtrise. Les équipes d’Internal Assurance ont ainsi été à l’origine d’un tableau de bord élaboré pour fournir une vision synthétique, par business line et par processus d’assurance, des indicateurs de performance. Mis à jour mensuellement, ce tableau de bord permet de fournir au Top Management les indicateurs opérationnels à suivre lors de ses nombreux déplacements dans les entités du Groupe. Au-delà d’une fiabilisation accrue au travers la réconciliation des différentes sources de données, cette initiative a permis de contribuer à rationaliser de l’information fournie au Comité Exécutif et au Comité d’Audit. Au-delà des enjeux techniques, le retour d’expérience met bien sûr en valeur la nécessité d’un sponsorship capable de fédérer des acteurs aux enjeux distincts autour d’une ambition commune. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 15 Livre-Blanc-V.Final.indd 15 27/11/13 19:42
  16. 16. La performance avant tout Livre-Blanc-V.Final.indd 16 27/11/13 19:42
  17. 17. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT 2.1. UN COMITÉ EXÉCUTIF DE PLUS EN PLUS SENSIBILISÉ Client, sponsor, pilote…, si le terme alloué au rôle joué par le Comité Exécutif dans la maîtrise des risques est encore assez variable d’une organisation à l’autre, son implication dans le dispositif est reconnue comme essentielle au développement d’une culture Risque. de responsabiliser les directions sur les risques portés par leurs activités mais aussi d’assurer le lien entre des risques identifiés à un niveau stratégique et la réalité des activités de l’entreprise. 50% En 2011, des experts considéraient la non adhésion du top management comme principal frein à la mise en place du dispositif de maîtrise des risques, alors qu’ils ne sont plus que Près de des répondants déclarent que « l’affectation du suivi des risques aux membres du Comité Exécutif » est un facteur différenciant pour garantir l’exploitation opérationnelle du dispositif * Parallèlement, les attentes du Comité Exécutif envers le dispositif de gestion de risques ont évolué pour ne plus se cantonner à la conformité aux lois et règlements mais tendre vers une recherche de fiabilisation de la stratégie. Prendre des risques maîtrisés et saisir des opportunités : un défi élevé pour le dispositif global de maîtrise des risques. Une autre tendance consiste à élargir cette approche vers les équipes dirigeantes des autres niveaux de l’entreprise (branche, produits, pays, site…), qui sont de la même manière appelées à se prononcer sur leurs risques majeurs. C’est notamment le cas pour les groupes aux modèles d’organisation décentralisés, évoluant sur des marchés peu matures et où les contextes locaux diffèrent des standards internationaux. 41% 31% en 2013 * Une implication renforcée Le périmètre d’intervention du Comité Exécutif s’est ainsi longtemps limité à l’exercice annuel de cartographie des risques majeurs. Un exercice souvent perçu comme administratif et restreint à l’identification des risques. Et rarement suivi d’orientations concrètes. L’évolution constante du périmètre des organisations a depuis amené ces dernières à faire du traitement des risques une de leurs nouvelles priorités. L’exercice d’identification s’inscrit ainsi de plus en plus dans un processus dynamique. Il intègre notamment une mise à jour périodique de l’univers des risques pour le faire évoluer au rythme de l’environnement et des nouveaux enjeux de l’entreprise. L’allocation des risques majeurs aux membres du Comité Exécutif, tendance confirmée par notre étude, confirme cette volonté de renforcer l’exploitation opérationnelle de l’exercice d’identification et de hiérarchisation des risques. C’est ainsi que les opérationnels deviennent propriétaires des risques, responsables de la mise en œuvre des plans correctifs, et de leur suivi auprès des différents niveaux opérationnels. L’intérêt est également Pour être parfaitement efficace, l’engagement de la Direction Générale doit être évident aux yeux de tous. Bien sûr, il doit prendre la forme d’un engagement formel sur les politiques, les référentiels ou certains vecteurs de communication interne. Pourtant, la répétition et le rappel des fondamentaux, ainsi que l’exemplarité de ceux qui incarnent l’organisation restent sans doute les leviers les plus efficaces pour mobiliser la première ligne de maîtrise. 2/3 principal le Président ou avoir comme des entreprises déclarent sponsor la Direction Générale * * Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 17 Livre-Blanc-V.Final.indd 17 27/11/13 19:42
  18. 18. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT Le risque : un levier de profitabilité Si les répondants à l’enquête reconnaissent une évolution constante de la fréquence de participation des experts du dispositif aux instances de prise de décision (cf. figure 7), il existe néanmoins une frustration persistante sur ce sujet. L’évolution est-elle trop lente ? Certaines organisations, à l’image d’ATOS (cf. Belle Histoire), intègrent un représentant du dispositif de maîtrise au Comité Exécutif pour garantir la prise en compte de ce volet dans les prises de décisions stratégiques. Autre tendance observée : sécuriser les projets. De la décision d’investissement à la mise en œuvre du projet, l’éclairage des experts de la maîtrise des risques est fréquemment utilisé. Ils bénéficient à la fois d’une vision transversale et terrain leur permettant d’apporter des éléments objectifs nécessaires à la prise de décision opérationnelle cette fois-ci. D’autres passerelles avec les opérations existent à l’image du programme 8TIC’s lancé par Technicolor ou du Anti-Piracy et Compliance Program de Dassault Systèmes (cf. Belle Histoire). On pense notamment à l’éclairage fourni par un partage élargi des risques identifiés par le Comité Exécutif avec les Comités d’investissement ou les équipes commerciales. Mais la notion d’appétence au risque reste déterminante et participe à structurer les débats sur les opportunités à saisir : quel niveau de risque le groupe est-il prêt à accepter pour soutenir sa stratégie ? Ce niveau est-il partagé et approuvé par l’ensemble des directions du groupe ? ■ Figure 7 Participation des fonctions de la Maîtrise des Risques et de Contrôle Interne à la prise de décision stratégique 2011 2013 44% 27% 32% 31% 15% 26% 9% 16% Jamais Parfois Régulièrement Toujours Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 18 Livre-Blanc-V.Final.indd 18 27/11/13 19:42
  19. 19. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT Combiner le respect des règles de gouvernance, la gestion proactive des risques et la maîtrise des enjeux de conformité Belle Histoire LA FÉDÉRATION DES ACTEURS AU SERVICE DE LA GESTION DU RISQUE GLOBAL ATOS D epuis l’arrivée de son Président Directeur Général et l’acquisition des activités de Systèmes d’Informations de Siemens il y a 2 ans, Atos a considérablement renforcé son dispositif de maîtrise des risques à travers la fédération des fonctions Qualité, Sécurité, Risques, Conformité, Développement Durable et Contrôle Interne, toutes placées sous la coordination du Secrétaire Général qui préside le comité de conformité deux fois par mois. L’organisation en 3 lignes de maîtrise est maintenant un processus solide qui, à partir de la cartographie des risques majeurs intègre la gestion des différents risques et plus particulièrement les risques projets. En effet, le groupe possède une approche spécifique pour gérer les risques dès la réception de l’appel d’offres (processus « Rainbow » piloté par la Direction Financière). Revu en 2013 afin de mieux intégrer les risques de conformité et le contrôle interne en amont de la contractualisation, celui-ci comprend des questionnaires clés, (réputation des clients et fournisseurs, partenaires commerciaux, clauses contractuelles…) des niveaux d’autorisation et d’engagement, mais aussi une évaluation dynamique du risque métier depuis l’offre jusqu’à la livraison du projet. Rainbow est donc un dispositif qui combine le respect des règles de gouvernance, la gestion proactive des risques et la maîtrise des enjeux de conformité. ■ Aller au-delà de la seule protection vers la valorisation, pour transformer un risque en véritable opportunité Belle Histoire PLUS QU’UN DISPOSITIF DE MAÎTRISE DES RISQUES, UNE SOURCE DE REVENU ! DASSAULT SYSTÈMES L e monde du logiciel dans lequel évolue Dassault Systèmes reposant sur la valorisation d’un capital immatériel, la mise en place d’un dispositif de gestion des risques doit comporter un volet important de protection de sa propriété intellectuelle. L’approche doit même pouvoir aller au-delà de la seule protection vers la valorisation, pour transformer un risque en véritable opportunité. En conséquence, l’Anti-Piracy and Compliance Program a été developpé afin de protéger la propriété intellectuelle et de générer des revenus supplémentaires. En effet, ce programme permet de traiter les risques de fraude liés à l’exploitation des licences de ses logiciels. Ainsi, une équipe dédiée a pour objectif de convertir des utilisateurs illégitimes en clients légitimes et de collecter ainsi les revenus logiciel perdus. Cette équipe fait partie du département juridique, au sein du groupe propriété intellectuelle. Elle est dotée de 20 personnes, et intervient dans 75 pays. Elle est aujourd’hui considérée comme un réel centre de profit pour l’entreprise. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 19 Livre-Blanc-V.Final.indd 19 27/11/13 19:42
  20. 20. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT Le Top 12 des risques majeurs placés sous la surveillance régulière des membres du Comité Exécutif responsables du suivi des plans de mise sous contrôle Belle Histoire UN DISPOSITIF DE CONTRÔLE PRAGMATIQUE ET INTÉGRÉ TECHNICOLOR A u-delà de ses missions régaliennes, la Direction de l’Audit Interne du groupe Technicolor anime le processus TRM (Technicolor Risk Management) pour le compte du Comité Exécutif. Celui-ci est en effet chargé d’identifier annuellement une vingtaine de risques majeurs parmi un univers des risques. Ces derniers sont ensuite classifiés en 2 catégories : les « Top 12 » et ceux de la « Watch List ». Le Top 12 est ainsi sous la surveillance régulière des membres du Comité Exécutif qui porte la responsabilité du suivi des plans de mise sous contrôle. Parallèlement, la Direction du Contrôle Interne anime le programme 8TIC’S lancé il y a 3 ans (« 8 » pour 8ème directive européenne, « TIC » pour Technicolor Internal Controls, et « S » pour Strategy). Elle est chargée de maintenir et mettre à jour le référentiel de risques et contrôles 8TIC’S, et coordonne le processus d’auto-évaluation annuel. L’ensemble des 400 risques du référentiel 8TIC’S peuvent être rattachés à la vingtaine de risques majeurs identifiés dans le cadre du processus TRM. De la même manière, ces derniers sont rattachés à un des 14 processus (et 45 sous-processus) du référentiel 8TIC’S. Le sponsorship du Comité Exécutif est donc concrètement illustré au quotidien au travers du rôle central de ses membres dans les plans de mises sous contrôle des risques du « Top 12 ». Le partage de référentiels de risques et de processus permet de garantir une vision commune et concertée. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 20 Livre-Blanc-V.Final.indd 20 27/11/13 19:42
  21. 21. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT 2.2. LES OPÉRATIONNELS PLUS INVESTIS Le Comité Managérial des Risques, un interlocuteur clé du middle management Le Comité Managérial des Risques est un organe essentiel. Il relie le Comité Exécutif aux enjeux métiers du quotidien et assure ainsi la cohérence des actions. Sa composition est un indicateur probant de l’appropriation par les opérationnels du dispositif de maîtrise des risques. Aujourd’hui, 67% des Comités Managériaux des Risques sont présidés par des Directions autres que les experts de la maîtrise des risques (cf. figure 8). Un signe fort de l’implication du top management sur ce sujet. Cette évolution marque une double volonté : élargir le spectre du pilotage des risques à l’ensemble des fonctions de l’entreprise et renforcer le dialogue avec le middle management. Le Comité Managérial des Risques reste une instance privilégiée pour homogénéiser les pratiques, rationaliser les efforts et travailler sur les points d’intégration possibles entre les experts. Mais il devient surtout l’instance destinée à recueillir les failles identifiées par les opérationnels, et évaluer avec eux la pertinence des actions à mettre en place. Figure 8 Qui préside le Comité Managérial des Risques (ou l’instance exécutive équivalente) ? 40% Direction Générale / COMEX 33% Responsable du dispositif de maîtrise des risques 10% Responsable des Opérations 10% Responsable Financier 7% Secrétariat Général Source : étude Crowe Horwath Global Risk Consulting - IFACI Des référentiels adaptés à la réalité des opérations Si la volonté d’intégrer et de sensibiliser les opérationnels est forte, les référentiels sont encore rarement adaptés à leur réalité. Certains leviers peuvent pourtant être actionnés facilement : construire le référentiel de contrôles sur la base des processus métiers ou de la chaîne de valeur de l’organisation, associer le lien avec les risques majeurs ou encore substituer les contrôles manuels par des contrôles automatiques grâce à quelques échanges avec la Direction des Systèmes d’Information. D’autres organisations comme Gemalto (cf. Belle Histoire) ont fait le choix de charger les opérationnels de la phase de déploiement. Le mode projet favorise alors l’échange et chaque acteur de la première ligne de maîtrise se sent propriétaire du futur référentiel. Grâce à des contrôles adaptés à la réalité des activités et aux procédures quotidiennes, la mise à jour de celui-ci s’en trouve nettement facilitée. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 21 2 Livre-Blanc-V.Final.indd 21 27/11/13 19:42
  22. 22. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT Pourtant, notre étude démontre que l’implication de certains acteurs métiers doit aussi être renforcée. Le département Ressources Humaines semble ainsi peu impliqué pour 66% des entreprises interrogées (cf. figure 9). Il est pourtant un acteur clé du dispositif anti-fraude ou du dispositif d’Ethique (rappel des règles, éléments pouvant être récoltés au cours des entretiens de départ, gestion des objectifs, facteurs personnels favorisant certaines pratiques…). Figure 9 Implication des acteurs dans l’activité de la maîtrise des risques Peu impliqué Impliqué 18% 82% Direction Financière 26% 74% Direction Générale 34% 66% Directions Opérationnelles 35% 65% Direction des Systèmes d’Information 36% 64% Secrétariat Général 36% 64% Direction Juridique 66% 34% Direction des Ressources Humaines Source : étude Crowe Horwath Global Risk Consulting - IFACI Un dispositif aligné avec les attentes Malgré les initiatives associant les métiers et les experts du dispositif de maîtrise, ce dernier ne semble pas encore offrir aux opérationnels les outils nécessaires à la prise de décision. Rapprocher le dispositif de la réalité des opérations et des projets reste donc un défi permanent. 56% des entreprises souhaitent ainsi améliorer cette intégration (cf. figure 10). Concrétiser cette intégration, c’est être capable d’établir un lien avec le dispositif de pilotage de la performance, notamment au travers d’indicateurs. Sur un site de production, un indicateur de suivi des variations des délais de livraison d’un fournisseur alertera le Directeur de production sur une potentielle rupture d’approvisionnement, pouvant occasionner la dégradation de la performance de la chaîne de production. Dans un autre cas, la rotation forte du personnel d’un service, un changement dans l’organisation de la séparation des fonctions, une augmentation non expliquée des créances âgées ou les retours de marchandises importants peuvent conjointement être synonymes de fraude. L’ambition est là : des indicateurs de risques au service des opérations. Mais au-delà de la construction d’indicateurs favorisant la prise de décision opérationnelle, certains dispositifs, comme celui de La Française des Jeux (cf. Belle Histoire) ont fait le choix de répondre plus directement encore au quotidien des activités. Au-delà du pilotage de la performance, le dispositif de maîtrise des risques doit permettre de gérer efficacement les crises de toute nature affectant l’organisation. On assiste ainsi à la multiplication des exercices de gestion de crise et surtout, à leur mise à l’épreuve. Ils ne font plus figure d’exception aussi bien à l’échelle du groupe pour 36% des entreprises qu’au niveau local (47%) (cf. figure 11). ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 22 Livre-Blanc-V.Final.indd 22 27/11/13 19:42
  23. 23. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT Plus de 100 « Crisis Management leaders » et de 600 managers formés au travers de simulations de crise Belle Histoire UN PROGRAMME DE GESTION DES RISQUES ET DE GESTION DE CRISE BASÉ SUR LA FORCE D’UN RÉSEAU GEMALTO L a Directrice du Risque et du Contrôle Interne anime le dispositif de cartographie des risques, de gestion de crise et le plan de continuité d’activité. Elle s’appuie sur des « Sponsors » (membres du senior management), des « Risk Management champions » (désignés par chaque Sponsor pour animer le dispositif au niveau de leur segment, département…), des « Risk owners » et des « Action owners ». Les « Risk owners » sont sélectionnés pour leur capacité à proposer et coordonner un plan d’actions de façon transversale en faisant intervenir différents « Action owners ». Le dispositif de gestion de crise, formalisé et mis à l’épreuve à l’échelle du Groupe et des entités opérationnelles, repose sur plus de 100 « Crisis Management leaders » et sur plus de 600 managers de toute l’entreprise formés au travers de simulations de Crise. Ce programme global de formation initié dès 2009, s’est achevé en 2012. Les formations continuent, à la demande, dans une démarche d’amélioration continue et ce volet est depuis intégré au catalogue des formations du groupe. La préparation à la gestion de crise est l’objet d’une évaluation systématique de l’Audit Interne lors des revues de conformité. A noter, le lancement d’un programme similaire sur le Plan de Continuité (échéance en 2014). ■ Figure 10 Améliorations souhaitées pour l’organisation de la maîtrise des risques 2011 2013 Responsabilisation des principaux acteurs de l’organisation 54% 63% 57% 56% Intégration dans les dispositifs de pilotage de la performance 61% 51% Suivi des plans d’action et retours d’expérience 10% Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 23 Livre-Blanc-V.Final.indd 23 27/11/13 19:42
  24. 24. La maîtrise des risques, entre ambitions et réalités 2. LA PERFORMANCE AVANT TOUT Figure 11 Présence du dispositif de gestion de crise 100% 100% 36% 47% Formalisé et mis à l’épreuve (simulation ou réalité) 29% 36% 29% A l’échelle du groupe Formalisé uniquement 25% A l’échelle locale Inexistant Source : étude Crowe Horwath Global Risk Consulting - IFACI Une action étendue à la prise en compte des risques dans le pilotage des projets majeurs et à la mise en œuvre d’un plan de continuité d’entreprise Belle Histoire LA GESTION DES RISQUES ET LA SÉCURITÉ AU CENTRE DES ACTIVITÉS DE LA FRANCAISE DES JEUX L a Direction de la Gestion des Risques et de la Sécurité de FDJ est notamment en charge d’assurer le pilotage centralisé des risques du Groupe La Française des Jeux et d’en garantir la prise en charge dans les activités et les projets de l’entreprise. Elle porte également la responsabilité de l’intégrité et la sécurité des opérations de jeux dans les réseaux de distribution dans le cadre de la lutte contre la fraude et le blanchiment d’argent. La première mission est confiée au département Management Central des Risques. Le système de gestion des risques de FDJ a la particularité d’avoir été bâti dans une démarche d’amélioration permanente. Ce dernier capitalise d’une part sur le standard de sécurité de la World Lottery Association, qui intègre une certification ISO 27001 relative à la sécurité de l’information, et d’autre part, sur un dispositif d’escalade et de gestion des incidents et crises. Appuyé sur un réseau fonctionnel de correspondants dans les différentes entités de l’entreprise, il a ensuite étendu son action à des sujets comme la prise en compte des risques dans le pilotage des projets majeurs ou la mise en œuvre, en cours, d’un plan de continuité d’entreprise. Cette dualité entre des aspects très concrets et d’autres plus abstraits se retrouve aussi dans les activités du département Sécurité des Jeux, qui fait par exemple appel à des algorithmes sophistiqués pour détecter des comportements atypiques notamment sur les paris sportifs. Ce département a diligenté en 2012 près de 23 000 inspections dans son réseau de points de vente. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 24 Livre-Blanc-V.Final.indd 24 27/11/13 19:42
  25. 25. S’adapter aux nouveaux environnements Livre-Blanc-V.Final.indd 25 27/11/13 19:42
  26. 26. La maîtrise des risques, entre ambitions et réalités 3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS 3.1. UN PÉRIMÈTRE ÉTENDU La prise en compte progressive des risques tiers Depuis la fin des années 90, les entreprises font de plus en plus appel à des parties tierces dans le cadre de leurs activités. Phénomène qualifié d’ « Extented Enterprise » par les anglo-saxons, cette formulation apporte un éclairage nouveau sur l’évolution des frontières de l’organisation. Le risque n’est plus un évènement que l’on peut maîtriser en activant des dispositifs internes. Il nécessite une réflexion plus large sur le degré d’exposition : supply chains intégrées, contrats de sous-traitance, partenariats, ou encore joint-ventures. La réputation de l’entreprise est désormais entre les mains d’un tiers. Le développement de cette pratique est inévitable. Les réglementations et la jurisprudence insistent sur le fait qu’une entreprise peut sous-traiter ses activités, mais pas ses responsabilités. Et le risque tiers peut prendre de nombreuses formes : perte de données informatiques, atteinte à la propriété intellectuelle, conditions de travail et de sécurité chez certains sous-traitants, pratiques commerciales de certains partenaires… Le défi des entreprises est donc de maîtriser ces risques alors qu’elles n’ont pas la main sur le dispositif au quotidien. Pour y faire face, elles doivent développer des techniques en amont et des outils de suivi adaptés. Certaines organisations ont par exemple mis à jour les programmes de due diligence, ou les processus de recours à un prestataire. Celles-ci partent du principe que les termes contractuels standards sont peu efficaces si le partenaire n’est pas fiable. Les processus opérationnels apparaissent également parfois comme complexes, spécifiques ou nécessitant une adaptation lourde et coûteuse. Là encore, c’est la relation de confiance qui doit prendre le pas. Le contenu des référentiels présentés nécessite aussi une expertise qui est par définition peu présente au sein de l’entreprise puisqu’elle est externalisée. Si les compétences ne sont pas ou plus présentes, alors le recours à une assistance technique se révèle être un contrôle préventif de premier ordre. Bien sûr, ces coûts de mise sous contrôle sont à intégrer dans l’évaluation d’une opportunité. Face à la diversité, un pragmatisme nécessaire Réorganisation, opérations de croissance externe ou implantations sur de nouveaux marchés : les mutations organisationnelles permanentes impactent les risques auxquels les entreprises s’exposent. Certaines font le choix de laisser une marge de manœuvre importante vis-à-vis de leurs standards, compte tenu de l’ADN de leur groupe. C’est par exemple le cas de CFAO qui a su adapter son Programme d’Amélioration du Contrôle Interne (cf. Belle Histoire) à son environnement. Question de culture, de tolérance et de diversité. La culture, car certaines d’entre elles ne souhaitent pas entraver l’esprit entrepreneurial local. Elles intègrent certaines latitudes dans le référentiel de contrôles et de procédures. La tolérance, car pour certains risques (éthiques, comportementaux), les mêmes procédures doivent s’appliquer partout. Enfin, la diversité, car une entreprise évoluant dans plusieurs pays et plusieurs métiers ne peut disposer d’un même référentiel partout. ■ À plus long terme, d’autres barrières peuvent rapidement se dresser. D’abord, une légitimité opérationnelle que les représentants de la tierce partie peuvent facilement mettre en cause, même si les règles sont portées au contrat. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 26 Livre-Blanc-V.Final.indd 26 27/11/13 19:42
  27. 27. La maîtrise des risques, entre ambitions et réalités 3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS L’Audit Interne propose, anime et développe des outils contribuant à améliorer la maîtrise quotidienne des opérations sur le terrain Belle Histoire UN DISPOSITIF DE CONTRÔLE INTERNE AU SERVICE DES OPÉRATIONS CFAO C FAO bénéficie d’une expérience de plus de 125 ans. Le Groupe intervient dans 32 pays d’Afrique, sept Collectivités Territoriales françaises d’Outre-mer et au Vietnam. Il opère dans la distribution automobile, pharmaceutique et de matériels d’équipement ainsi que dans la production et la distribution de biens de consommation courante et de certains services technologiques. Son histoire et son ancrage territorial confèrent au Groupe et ses 120 filiales une forte culture entrepreneuriale alliant développement et maîtrise des risques. C’est dans cet environnement complexe, marqué par une diversité géographique, culturelle et d’activités, que la Direction de l’Audit Interne et son équipe de cinq auditeurs expérimentés agissent. En charge de l’exécution du plan d’audit (environ 60 missions par an), le rôle de l’Audit Interne ne se limite pas à la conduite de ces missions. Avec le soutien permanent de la Direction Générale, l’Audit Interne propose, anime et développe des outils contribuant à améliorer la maîtrise quotidienne des opérations sur le terrain. Le contrôle interne chez CFAO étant l’affaire de tous, l’Audit Interne s’appuie résolument sur une approche concrète et pragmatique des contrôles : le Programme d’Amélioration du Contrôle Interne (PACI). Il s’appuie sur trois piliers complémentaires : diffuser les bonnes pratiques, sensibiliser et former, évaluer et corriger. L’Audit Interne a tout d’abord développé le guide du contrôle interne. Référence de contrôle pour les filiales, ce guide propose des outils clés en main dans la maîtrise des process opérationnels et financiers en filiale (300 contrôles). Disponible en ligne, son auto-évaluation annuelle par les opérationnels permet de faire vivre les contrôles. La sensibilisation du management en filiale (Directeurs Généraux, Responsables d’activité et Directeurs Financiers) repose ensuite sur un programme de formation spécifique, créé et animé par l’Audit Interne, « Business Under Control ». Cette formation permet d’analyser les situations concrètes et réelles de dysfonctionnement rencontrées par le Groupe ces dernières années. Ce programme a permis à ce jour de former plus de 450 dirigeants. Enfin, CFAO s’appuie sur une évaluation de ses « 50 standards prioritaires » de contrôle interne, réalisée chaque année par les Commissaires aux Comptes et coordonnée par l’Audit Interne dans plus de 100 filiales. D’autres actions mises en œuvre par l’Audit Interne contribuent à faciliter le contrôle des opérations au quotidien. Un « kit passation » présente ainsi la checklist des points de contrôles indispensables à vérifier lors de la transmission de pouvoirs à l’occasion d’un changement de direction. Par ailleurs, un « kit start up » permet d’adapter la mise en place des contrôles dans des entités de taille modeste ou en démarrage d’activité. La remise des trophées PACI Awards lors des conventions du Groupe vient récompenser les filiales les plus performantes en matière de contrôle interne. S’appuyant sur un savoir-faire, le contrôle interne chez CFAO est aussi une affaire de faire-savoir, preuve d’un engagement partagé entre les filiales et la Direction Générale du Groupe. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 27 Livre-Blanc-V.Final.indd 27 27/11/13 19:42
  28. 28. La maîtrise des risques, entre ambitions et réalités 3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS 3.2. DES CONTRAINTES À NE PAS SOUS-ESTIMER Une pression sur les ressources… activités de suivi. On constate dans de nombreuses entreprises que les incertitudes liées à l’environnement économique conduisent certaines d’entre elles à revoir les ressources allouées au dispositif de maîtrise des risques, tant au niveau financier (déplacements, nombre de missions…) qu’au niveau des équipes dédiées au pilotage et à l’animation. Cette tendance induit un double défi pour les responsables de la maîtrise des risques : assurer à la fois l’efficacité du dispositif et adapter les moyens mis en œuvre aux nouvelles contraintes fixées par la Direction Générale. Pour répondre à ces enjeux, certains favorisent la dynamique d’intégration entre fonctions. Pour faire autant voire plus avec moins de moyens, certaines organisations ont, notamment, fait le choix de passer par des systèmes d’informations plus performants. Si deux tiers des entreprises utilisent un système d’information dédié à la GRC, c’est souvent pour alléger les activités les plus chronophages (cf. figure12) : collecte de données et Autre moyen de diminuer les ressources allouées : renforcer l’implication des opérationnels pour en faire des acteurs majeurs du dispositif et limiter de fait les ressources dédiées exclusivement à l’animation de celui-ci en central. Une pratique très répandue depuis plusieurs années illustre cette démarche : le processus d’auto-évaluation par les managers opérationnels. Il représente à la fois un moyen de suivi et de gouvernance à distance entre le Groupe et les entités, tout en renforçant l’implication de la première ligne de maîtrise. Mais il a un intérêt souvent moins affiché : limiter l’étendue des travaux de la deuxième ligne de maîtrise. Cette pratique de contrôle interne s’est étendue à d’autres activités, dispositifs ou projets. Ainsi de nombreuses entreprises utilisent un processus d’autoévaluation pour identifier et d’évaluer les risques. Figure 12 Fonctionnalités couvertes par les outils de maîtrise des risques 61% Organiser le suivi des plans d’actions 54% Évaluer (ou auto évaluer) le dispositif de contrôle interne 50% Gérer les processus d’identification des risques 48% Gérer la démarche et le suivi de l’Audit Interne 39% Organiser l’archivage documentaire des guides Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 28 Livre-Blanc-V.Final.indd 28 27/11/13 19:42
  29. 29. La maîtrise des risques, entre ambitions et réalités 3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS Certains éditeurs de la place ont bien compris l’intérêt d’une exploitation élargie des formulaires auto-déclaratifs pouvant facilement apparaître comme de nouvelles fonctionnalités pour la gestion des risques avec un investissement minimum. Le défi est alors de réussir à réduire le volume des contrôles en place sans augmenter la vulnérabilité aux risques. Le premier effort réside dans l’identification puis la suppression de contrôles redondants. Dans une deuxième phase, les animateurs du dispositif cherchent généralement à se rapprocher des objectifs fixés par l’entreprise pour en extraire une liste de contrôles incontournables à conserver. Enfin, de nombreux dispositifs cherchent aujourd’hui à automatiser une grande part des contrôles au sein des systèmes d’informations. Et une fois de plus, les éditeurs ont bien compris les opportunités issues de ces démarches. Ils s’engagent de plus en plus ouvertement lors des phases d’avant-vente sur des retours sur investissement éloquents. Mais sans même faire appel à un prestataire externe, un simple travail mené en collaboration avec les Directions Informatiques sur les systèmes existants permet d’équilibrer contrôles manuels et contrôles automatiques. ■ ... et une rationalisation de la démarche Les exigences réglementaires et les objectifs fixés par les Directions Générales en matière de maîtrise des risques ont souvent conduit les entreprises à investir sur la mise en place de nouveaux contrôles. Or, la difficulté à identifier leur retour sur investissement, la survenue de défaillances majeures malgré leur existence couplée à la pression économique sur leurs ressources conduit de plus en plus d’entreprises à revoir leur approche pour rationaliser la liste de ceux qu’ils souhaitent conserver. Un exercice réalisé avec succès par le Conseil général de la SeineSaint-Denis (cf. Belle Histoire). Améliorer la maîtrise des dépenses et la qualité du service offert Belle Histoire UN DISPOSITIF UNIQUE POUR UN DÉPARTEMENT CONSEIL GENERAL DE LA SEINE-SAINT-DENIS S eule collectivité territoriale de France à réunir les fonctions de Gestion de Risques, Contrôle Interne et Audit Interne au sein d’une direction commune et dédiée (DACIGR), le Conseil général de la Seine-SaintDenis se distingue par sa volonté de mettre en place un dispositif de maîtrise des risques pragmatique, adapté à ses enjeux et ses moyens. L’implication des managers opérationnels est la clé de voûte du dispositif, notamment pour l’identification des risques. Une cartographie par domaine d’intervention est réalisée et mise à jour annuellement sur la base d’une réconciliation des cartographies top-down et bottom-up. De plus, cette matrice de risques et des contrôles clés met l’accent sur les implications budgétaires. Sa présentation à l’exécutif est articulée avec la préparation des orientations budgétaires, ce qui concourt notamment à améliorer la maîtrise des dépenses et la qualité du service offert, par exemple pour ce qui concerne l’exécution des marchés de travaux ou les dépenses d’hébergement dans le cadre de l’aide sociale à l’enfance. C’est sur ces apports du contrôle interne à la maîtrise des activités que repose l’extension de la démarche à d’autres processus et prestations. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 29 Livre-Blanc-V.Final.indd 29 27/11/13 19:42
  30. 30. La maîtrise des risques, entre ambitions et réalités UN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT Extrait d’un rapport dédié spécifiquement aux attentes des Comités d’Audit et un regard croisé avec les experts du risque et du contrôle interne, publiés prochainement. « Notre rôle est de nous assurer que la stratégie de l’entreprise telle qu’elle est définie par le Conseil, est mise en œuvre par la Direction Générale en toute sécurité » LE VRAI COMITÉ STRATÉGIQUE ? Ainsi, le Comité d’Audit doit d’abord se soucier de la bonne compréhension de la stratégie de l’entreprise et du partage des responsabilités définies avec le Conseil. Tout en reconnaissant l’importance des éléments financiers, certains membres des Comités d’Audit expriment une volonté de s’éloigner parfois des chiffres afin de mieux comprendre leur pertinence compte tenu des enjeux stratégiques de l’entreprise. D’autres remettent en cause l’existence même d’un comité stratégique du Conseil et insistent sur la nécessité d’administrateurs communs aux deux comités. Ils attendent des experts du risque une capacité à synthétiser et évaluer les risques liés au déploiement opérationnel de la stratégie de l’entreprise, les actions prises ou à prendre pour les maîtriser et une opinion sur la maturité du dispositif. CONNAITRE LES MARCHÉS (ÉMERGENTS) Une stratégie de croissance nécessite aujourd’hui une présence de plus en plus forte dans les pays émergents notamment tels que la Chine, l’Inde, le Brésil, la Russie, certains pays africains, sud-américains ou de l’Est de l’Europe. Pour le Comité d’Audit, le suivi de l’efficacité du dispositif de gestion des risques et du contrôle interne sur un périmètre géographique aussi large devient complexe compte tenu de certaines lacunes sur les pratiques de ces marchés. Il attend dès lors des experts du risque qu’ils soient en mesure de leur fournir une lecture de la culture et des pratiques. Cela implique notamment une présence locale, ainsi qu’une diversité culturelle et linguistique des équipes qu’ils animent. Sur ces marchés émergents, le Comité d’Audit est particulièrement sensible à un autre sujet : la fraude. Les indices de corruption y sont généralement assez élevés et les experts du risque sont ainsi largement mis à contribution notamment au travers de la mise à disposition de compétences en matière de prévention, détection et parfois, investigation de la fraude. Il faut néanmoins noter qu’une minorité (essentiellement issue des secteurs non-règlementés) d’entre eux considère que la fraude est un risque comme un autre, et ne mérite pas plus d’attention compte tenu du caractère souvent limité des montants en jeu. ATTENTION À LA TRANSFORMATION La poursuite de la stratégie passe inévitablement par des transformations significatives. Une transformation majeure est souvent synonyme de modification de l’organisation, impactant parfois les hommes qui la composent. Figure 13 Les sujets traités par les Comités d’Audit 90% La prise de connaissance des travaux de l’Audit Interne 85% La prise de connaissance des travaux des Commissaires aux Comptes 65% L’existence et le déploiement des systèmes de contrôle interne et gestion des risques 63% L’examen des risques identifiés par les dispositifs mis en place par la Direction Générale 60% Le suivi des actions correctrices de faiblesses identifiées 31% L’évaluation de risques significatifs non identifiés qui viendraient à sa connaissance Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 30 Livre-Blanc-V.Final.indd 30 27/11/13 19:42
  31. 31. La maîtrise des risques, entre ambitions et réalités UN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT C’est là où les Comités d’Audit sont très vigilants : les experts du risque (la deuxième et la troisème ligne de maîtrise) sont souvent les premières cibles des managers en quête de réductions de coûts. Leur choix se justifie par la difficulté de démontrer la valeur concrète de ces dispositifs et le lien direct avec la performance de l’entreprise. Pourtant, et paradoxalement, c’est bien au cours de cette phase de transformation que le profil de risque d’une organisation évolue le plus. Le dispositif de gestion des risques, de contrôle et audit internes devient alors un élément clé de la pérennité d’un tel programme de transformation. Le Comité d’Audit est clair : chacun doit contribuer aux économies nécessaires au maintien de la compétitivité de l’entreprise, mais celles qui coupent trop profondément dans le dispositif de protection risquent, à terme, d’en payer le prix fort. QUELLE CRISE ? Un élément important dans le dispositif de gestion de risques et de contrôle interne est la capacité d’une organisation à prévoir et à gérer des crises de toute nature. Dans leur rôle de suivi du dispositif, les Comités d’Audit sont pour l’instant assez divisés. Pour certains, la gestion de crise est mature, mise à l’épreuve régulièrement (en simulation ou en situation réelle), les alertes systématiquement suivies et traitées. C’est un point constamment porté à l’ordre du jour et un maillon important de la protection de l’entreprise. Pour d’autres, le sujet n’est abordé qu’en cas de besoin. Le comité estime que la probabilité d’un évènement donnant lieu à une crise menaçant la survie d’une entreprise est très faible et ne peut donc justifier l’investissement nécessaire à se prémunir de l’ensemble d’éventualités improbables. Avec un certain pragmatisme, ils sont nombreux à considérer qu’il suffit de constituer un portefeuille diversifié de clients, marchés, produits et services. Peut-être suffira-t-il d’un évènement inattendu pour que ces entreprises changent d’approche? UN PEU MOINS VAUT PLUS La communication entre les Comités d’Audit et les experts du risque, contrôle et audit internes passe essentiellement par des réunions formelles (entre 4 et 6 par an en moyenne) avec relativement peu d’échanges en dehors de cette sphère. Le vecteur de communication principal sur le dispositif reste ainsi le rapport formel et périodique au comité. En général, les membres du comité apprécient le temps et l’effort consacré à la préparation de celui-ci (et leur présentation en séance). Seuls 17% des experts de la maîtrise des risques concèdent une qualité perfectible de l’information transmise au Comité d’Audit, alors qu’il s’agit du principal reproche formulé par les membres de notre panel à leur encontre. Cependant, l’attente d’une vision à la fois plus synthétique et plus précise reste plus que jamais d’actualité. Plusieurs comités reçoivent entre 100 et 120 pages de rapport quelques jours ou quelques heures seulement avant la réunion. Le sujet étant souvent complexe, ils sentent la volonté de la part des experts de couvrir une large partie du périmètre et de démontrer leur expertise sur celui-ci. Pour y répondre, les experts doivent se doter d’une méthode permettant d’évaluer, de hiérarchiser et de mettre en lumière les points impactant le plus la direction stratégique de l’entreprise. Une chose est certaine, la réussite de la communication entre le Comité d’Audit, les experts du risque et le management repose énormément sur la stabilité des interlocuteurs et leurs expériences de collaboration. À ce jour, nos entretiens avec les présidents et les membres du Comité d’Audit ont soulevé l’importance stratégique des comités et la nécessité pour les experts de s’équiper afin d’accompagner les larges transformations de l’entreprise. Les nouveaux marchés, les nouvelles cultures, les partenariats de plus en plus étendus et la lutte contre la fraude sont les sujets de préoccupation en matière de risque. Et le Comité d’Audit compte sur les experts de l’entreprise pour s’informer efficacement sur la maturité du dispositif permettant d’y faire face. Ils sont plusieurs à nous indiquer que la capacité à adopter un dispositif de gestion des risques et de contrôle interne efficace est devenue un outil managérial incontournable. Avec un peu de recul, cette capacité différencie les bons managers des excellents managers capables de développer l’entreprise dans la durée, en toute sécurité. Mais les Comités d’Audit disposent d’un temps limité et attendent ainsi des experts une capacité de synthèse leur permettant d’identifier les sujets prioritaires. Et a contrario, sur ces sujets prioritaires, le comité a besoin de détails et d’illustrations concrètes afin de pouvoir remplir son obligation de suivi. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 31 Livre-Blanc-V.Final.indd 31 27/11/13 19:42
  32. 32. Méthodologie Livre-Blanc-V.Final.indd 32 27/11/13 19:42
  33. 33. La maîtrise des risques, entre ambitions et réalités MÉTHODOLOGIE Les Trophées de la Maîtrise des Risques ont pour objectif de recueillir, d’analyser et de récompenser les meilleures pratiques observées chez les directions de l’Audit Interne, du Contrôle Interne et de la Gestion des Risques. Pour cela, l’étude s’est déroulée en trois étapes : 1. La réponse à un questionnaire en ligne par les experts des différentes entreprises (d’avril à août 2013), 2. La rencontre en face-à-face avec les experts souhaitant concourir aux Trophées de la Maîtrise des Risques et jugés comme suffisamment matures, 3. La sélection des lauréats par un Jury d’experts indépendants. 79 entreprises/organisations ont complété le questionnaire en ligne, 36 se sont portées candidates aux Trophées de la Maîtrise des Risques, 22 ont été rencontrées en entretien et 13 dossiers de candidature ont été présentés au jury. ■ Description globale des entreprises / organisations ayant répondu au questionnaire en ligne : Secteurs d’activité Chiffre d’affaires (millions €) 11% 16% 24% 20% 45% Services Industries Banques / Assurances / Services Financiers Administrations 20% 50% Nombre d’employés 14% Moins de 500 Entre 500 2000 Entre 2000 5000 Supérieur à 5000 Cotation en bourse 19% 31% 19% 32% 18% Moins de 2500 Entre 2500 10000 Entre 10000 50000 Supérieur à 50000 Secteur public Non cotée Cotée 46% 35% Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 33 Livre-Blanc-V.Final.indd 33 27/11/13 19:42
  34. 34. Le jury et les lauréats ème de la 3 édition Livre-Blanc-V.Final.indd 34 27/11/13 19:42
  35. 35. LE JURY DE LA 3ÈME ÉDITION Jean-Martin Folz, Président du Jury, Administrateur d’Alstom, AXA, Saint-Gobain, Société Générale et Solvay Farid Aractingi, Directeur Audit, Maîtrise des Risques, et Organisation du groupe Renault ; Président de l’IFACI Didier Kling, Commissaire aux Comptes ; Président de Didier Kling et associés ;Vice-Président trésorier de la CCIP Sylvie Le Damany, Associée au cabinet Jeantet, Avocat à la cour Pierre-André Terisse, Directeur Général Finance de Danone LES LAURÉATS DE LA 3ÈME ÉDITION Grand Prix du Jury GDF SUEZ Gérard Mestrallet : Président Directeur Général Didier Retali : Membre du Comité Exécutif, Directeur de l’Audit et des Risques Xavier Bedoret : Directeur de l’Audit Interne Michel Dennery : Directeur du Management des Risques Jean-Christophe Kypriotis : Directeur du Contrôle Interne Meilleure contribution de l’Audit Interne 1er : ArcelorMittal Aditya Mittal : Chief Financial Officer Francis Lefevre : Head of Internal Assurance Andreas Trogsch : General Manager Internal Assurance 2ème : CFAO Emmanuel Rozier : Directeur de l’Audit Interne 3ème : Dassault Systèmes Etienne Grobon : Corporate Audit Director Meilleure contribution du Contrôle Interne 1 : Technicolor Stéphane Rougeot : Directeur Financier et Stratégie Vincent Lagadou : Secrétaire du Comité d’Investissement Guillaume Litvak : Directeur de l’Audit et du Contrôle Internes 2ème : CFAO Olivier Marzloff : Secrétaire Général er Meilleur pilotage des risques 1er : La Française des Jeux Christophe Blanchard-Dignac : Président Directeur Général Thierry Pujol : Directeur de la Gestion des Risques et de la Sécurité Alain Gravier : Responsable du Département Management Central des Risques 2ème : Atos Daniel Milard : Group Senior Vice-President Internal Audit ERM 2ème ex æquo : Gemalto Sophie Mauvieux : Corporate Risk Internal Control Director Prix spécial du Jury Conseil général de la Seine-Saint-Denis Stéphane Troussel : Président du Conseil général Yannis Wendling : Directeur de l’Audit et du Contrôle Internes et de la Gestion des Risques Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 35 Livre-Blanc-V.Final.indd 35 27/11/13 19:42
  36. 36. LES LAURÉATS DE LA 2ÈME ÉDITION Grand Prix du Jury Danone Emmanuel Faber : Directeur Général Délégué Pierre André Terisse : Directeur Général Finance Philippe Hellich : VP Ethique, Risques, Contrôle et Audit Meilleure contribution du Contrôle Interne 1er : Pôle Emploi Dominique-Jean Chertier : Président du Conseil d’Administration Thierry Lemerle : Directeur Général Adjoint 2ème : Allianz Benedict Aucoin: Directeur du Contrôle des Risques 3ème : Thalès Marc Darmon : SVP Audit et Contrôle Interne Meilleure cartographie des risques 1er : Thalès Luc Vigneron : Président Directeur Général Bruno Biguet : Directeur Risques et Contrôle Interne 2ème : ArcelorMittal Francis Lefevre : Head of Internal Assurance 3ème : Réseau Ferré de France Xavier Roche: Directeur de l’Audit et des Risques Meilleure contribution de l’Audit Interne 1er : Sodexo Pierre Bellon : Président Robert Baconnier : Président du Comité d’Audit Laurent Arnaudo : Directeur Audit Interne 2ème : ArcelorMittal Francis Lefevre : Head of Internal Assurance 3ème : Dassault Systèmes Etienne Grobon : Directeur de l’Audit Interne Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 36 2 Livre-Blanc-V.Final.indd 36 27/11/13 19:42
  37. 37. La maîtrise des risques, entre ambitions et réalités REMERCIEMENTS Nous tenons à remercier tout particulièrement les collaborateurs du cabinet Crowe Horwath Global Risk Consulting : • le comité de rédaction : Jonathan Burnett, Jérôme Soual, Muriel de Kerizouët, Gabriel Standley • les contributeurs : Bertrand Maccarini, Isabelle Hayat et Olivier Chaduteau Nous remercions également Farid Aractingi, Président de l’IFACI et Philippe Mocquard, Délégué Général de l’IFACI pour leur soutien apporté lors de cette étude. Merci aux experts externes Julien Badiola et Victoria Lorenz, de Korn Ferry. Nous remercions chaleureusement le Président du jury Jean-Martin Folz pour son implication avant et après le jury de sélection. Enfin, nous remercions les membres du jury ainsi que tous les candidats aux Trophées de la Maîtrise des Risques qui ont fait de cette 3ème édition un succès. ■ Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 37 Livre-Blanc-V.Final.indd 37 27/11/13 19:42
  38. 38. La maîtrise des risques, entre ambitions et réalités A PROPOS Crowe Horwath Global Risk Consulting, c’est un cabinet unique spécialisé en Gouvernance Risque et Conformité. Avec 700 experts du risque situés dans les capitales économiques internationales et intégrés à un réseau de près de 29 000 spécialistes du domaine financier, notre équipe dispose d’une expérience significative en maîtrise des risques dans de multiples secteurs. Nos leaders participent activement aux missions et notre modèle s’appuie sur des recherches, des connaissances et l’analyse des pratiques que nous mettons ensuite au service de nos clients. Notre mission : accompagner les groupes internationaux partageant nos valeurs dans la résolution de leurs enjeux stratégiques, en transformant leur gouvernance, en intégrant le risque dans la prise de décisions, et en définissant un dispositif de conformité efficient. L’IFACI rassemble les professionnels de l’audit et du contrôle internes en France. L’Institut favorise la diffusion des normes internationales et des meilleures pratiques. Lieu de partage et d’accompagnement, il est l’organisme de référence en matière de formation professionnelle. L’IFACI est également le partenaire privilégié des organisations publiques et privées de toutes tailles souhaitant améliorer l’efficacité de l’ensemble de leurs dispositifs de contrôle interne. L’IFACI est affilié à l’IIA (The Institute of Internal Auditors) qui bénéficie d’un réseau de 170 000 adhérents répartis dans plus de 160 pays. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 38 Livre-Blanc-V.Final.indd 38 27/11/13 19:42
  39. 39. La maîtrise des risques, entre ambitions et réalités CONTACTS CROWE HORWATH GLOBAL RISK CONSULTING Jonathan Burnett Président Directeur Général Tél : +33 1 53 53 03 92 jonathan.burnett@crowehorwathgrc.net Jean-Michel Mathieu IT Risk Tél : +33 1 53 53 03 92 jean-michel.mathieu@crowehorwathgrc.net Jérôme Soual Business Risk Tél : +33 1 53 53 03 92 jerome.soual@crowehorwathgrc.net IFACI Farid Aractingi Président Tél : +33 1 40 08 48 00 faractingi@ifaci.com Philippe Mocquard Délégué Général Tél : +33 1 40 08 47 92 pmocquard@ifaci.com Elisabeth Weiss Directrice de la communication et des évènements Tél : +33 1 40 08 48 14 eweiss@ifaci.com Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013 39 Livre-Blanc-V.Final.indd 39 27/11/13 19:42
  40. 40. La maîtrise des risques, entre ambitions et réalités Livre-Blanc-V.Final.indd 40 27/11/13 19:42

×