Urbanisation de la gestion des risques opérationnels :quelle coopération des acteurs clés ?                               ...
« Une implémentation,                                                                                             insuffis...
Ces trois phénomènes ne sont pas sans          approches en silo, ou du moins insuffi-       part, les obligations en mati...
« Développer une visionglobale supportée par unréférentiel socle partagé »la qualité, celles de la conformité… Si        L...
Un référentiel socle                          semble de leurs obligations : analyses        Un accompagnement renforcé des...
Prochain SlideShare
Chargement dans…5
×

Gestion des risques opérationnels : quelle coopération entre les acteurs ?

1 048 vues

Publié le

L’IFACI vient de publier une prise de position sur le concept des trois lignes de maîtrise des risques au sein des entreprises. Ce concept, que nous portons depuis plus de 10 ans, implique d’optimiser la coopération entre les différents dispositif de la « deuxième ligne » : contrôle interne, qualité, contrôle de gestion, continuité d’activité… Au travers d’une analyse documentée, publiée dans le numéro 89 de la revue Risques, Tuillet Risk & Management a identifié 5 pistes opérationnelles pour répondre à cette problématique et transformer la contrainte en opportunité.

Publié dans : Business
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 048
Sur SlideShare
0
Issues des intégrations
0
Intégrations
37
Actions
Partages
0
Téléchargements
44
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gestion des risques opérationnels : quelle coopération entre les acteurs ?

  1. 1. Urbanisation de la gestion des risques opérationnels :quelle coopération des acteurs clés ? La gestion des risques opérationnels recouvre un ensemble de dispositifs de natures et de formes extrêmement variées. Le spectre des systèmes mis en œuvre par les organismes d’assurances est contraint, d’une part, par des exigences réglementaires croissantes (Solva- bilité II, contrôle interne, continuité d’activité, conformité, fraudes, RSE, etc.) et, d’autre part, par la stratégie de l’organisme (qualité, en- vironnement, etc.). Si la mise en œuvre de ces dispositifs ren- voie nécessairement à des référentiels et normes intégrant une dimension technique forte, elle implique également, comme le terme « opérationnel » le laisse pressentir, une dimension à la fois organisationnelle et managériale essentielle à l’efficacité du système. Or, l’expérience met en évidence que les entreprises, pour répondre à ces exigences réglementaires et aux objectifs, sont confron- tées à un ensemble de problématiques et d’enjeux pouvant rapidement dégrader les conditions de fonctionnement de ces dispo- sitifs, voire remettre en cause leur efficacité. Face à ce constat, le concept d’urbanisation, historiquement développé dans l’entreprise par les directions des systèmes d’information (DSI), constitue une voie permettant une approche globale de la gestion des risques opérationnels, contribuant ainsi à son opti- misation et à un renforcement de son effi- cience. « La gestion des risques opérationnels recouvre un ensemble de dispositifs de natures et de formes extrêmement variées. »
  2. 2. « Une implémentation, insuffisamment articulée, ressemble in fine à un mille-feuille »Contexte la diversité, de cette problématique qui Une approche réglementaire et s’étend bien au-delà des seuls sujets du normativeLa réflexion sur l’articulation et les contrôle interne et de la qualité.complémentarités entre les différents Dans le prolongement du point pré-dispositifs de gestion des risques opé- Enjeux et problématiques cédent, la mise en place étant déclen-rationnels, ou dispositifs de maîtrise chée par la survenance d’une nouvellede l’activité, selon que l’on préférera Notre expérience nous a conduits, au fil exigence réglementaire, la méthodologieconsidérer l’envers ou l’endroit de la de nos interventions tant dans le sec- d’implémentation se résume souventproblématique, est relativement récente teur de l’assurance que dans les autres à une approche réglementaire et/ouet connaît des évolutions fortes. secteurs d’activité, à identifier trois pro- normative du sujet, c’est-à-dire à la mise blématiques à l’origine des principaux en place d’une réponse point par point,Alors qu’un travail d’intégration a depuis dysfonctionnements dans l’articulation au détriment souvent d’une approche pluslongtemps été engagé, surtout dans le des dispositifs de gestion des risques globale et systémique.secteur industriel, sur l’intégration des opérationnels.dispositifs qualité, hygiène, sécurité, en-vironnement (QHSE), d’autres systèmesétaient volontiers mis en opposition L’émergence de nouvelles fonctions L’effet mille-feuillepar leurs experts respectifs, notamment La mise en place de ces différents dis-entre le contrôle interne et la qualité. Beaucoup d’organismes adoptent une positifs s’accompagne généralement deSur ces sujets, qui intéressent directe- attitude plus réactive que proactive en l’émergence de fonctions ad hoc incluantment le secteur de l’assurance, les prises matière de gestion des risques opéra- la responsabilité de la construction, dude position ont considérablement évolué tionnels. De ce fait, ils s’engagent dans déploiement et du pilotage du dispo-au cours des dernières années. la mise en place de ces derniers au gré sitif considéré. Ces nouvelles fonctions de la publication de nouvelles exigences ont bien souvent tendance, et cela peutAinsi, l’Institut français de l’audit et du réglementaires.contrôle internes (Ifaci) en 2008 (1), puis se comprendre, à vouloir disposer de Ainsi, cette implémentation, insuffi- « leur » système et ne sont pas spon-l’Afnor en 2009 (2) ont engagé une ré- samment coordonnée, ressemble inflexion sur les synergies existant entre le tanément volontaires pour le partager fine à un mille-feuille, chaque dispositif avec d’autres fonctions, non seulementcontrôle interne et la qualité. correspondant à une « couche » supplé- dans un souci d’autonomie dans laLa transposition de ce concept d’urba- mentaire de procédures et de contrôles conception et le fonctionnement, maisnisation à la gestion des risques opé- dans l’entreprise. Cette approche est également pour exister et être recon-rationnels a été initiée notamment régulièrement expliquée, à défaut d’être nues dans l’entreprise. Ce phénomènepar l’Ifaci dans une « prise de position » justifiée, par les finalités différentes des peut se trouver renforcé par des lignesdu mois de septembre 2008 (3), et com- dispositifs. de rattachement hiérarchiques diffé-plétée en avril 2010 (4) pour le secteur rentes, les acteurs du contrôle internebancaire plus particulièrement.Plus récemment, une étude réalisée par « Chacun son système, étant souvent affiliés aux fonctions financières, les fonctions qualité ounotre cabinet (5), auprès d’une ving- chacun chez soi ?» sécurité relevant d’autres domaines de responsabilité.taine d’entreprises d’assurances, nous aconfortés dans la réalité, mais aussi dans
  3. 3. Ces trois phénomènes ne sont pas sans approches en silo, ou du moins insuffi- part, les obligations en matière de ges-conséquences sur l’efficacité de la ges- samment coordonnées et articulées, tion des risques liés à la sous-traitancetion des risques opérationnels au sein peuvent limiter la capacité de l’orga- et, d’autre part, les exigences qualitéde l’entreprise. nisme à mettre en œuvre les synergies, en matière de relation avec les fournis- pourtant réelles, existant entre les diffé- seurs…Première conséquence, impactant rents dispositifs. À nouveau, l’exemple ledirectement la qualité de la gestion des Concernant la gestion des risques opé- plus frappant réside dans l’analyse com-risques opérationnels : il devient très rationnels en particulier, il est vrai que parée des exigences sous-tendant lesdifficile, dans un environnement où les la norme ISO 9001 n’impose pas la réa- systèmes de management par la qua-différents dispositifs sont parallélisés lisation d’une analyse des risques liés à lité, telles que structurées par la normeet pilotés chacun par un responsable l’insatisfaction des clients. Pour autant, ISO 9001 v. 2008, et des dispositifs dejaloux de ses prérogatives, d’avoir une deux éléments devraient inciter forte- contrôle interne, tels que préconisés parvisibilité globale de l’exposition de l’or- ment les entreprises à intégrer cette di- le Coso. La revue détaillée de ces deuxganisme aux risques opérationnels et de mension dans leur système de manage- référentiels, pour peu que l’on s’intéressela qualité des réponses apportées par ment qualité : le fait que les réflexions en au fond et ne se restreigne pas à la formel’entreprise. L’autonomie des dispositifs cours sur les évolutions de la norme vont – et notamment aux différences de vo-conduit les différents acteurs à déve- dans ce sens et que, le risque se définis- cabulaire –, fait apparaître une conver-lopper des référentiels et méthodolo- sant comme tout événement suscep- gence très forte que l’on peut estimergies qui, sans entrer nécessairement en tible d’empêcher l’atteinte des objectifs entre 60 % et 80 %. Cette convergenceopposition, ne sont pour autant pas ali- de l’organisme, cette étude constituerait porte ainsi à la fois sur les approches pargnés : cette situation renforce la difficul- peut-être le meilleur moyen d’appro- les processus, la gestion des incidents –té d’agrégation et de consolidation des cher les actions préventives recherchées également appelés « non-conformitésdonnées et diminue donc la visibilité qui par la norme ISO. L’expérience montre » –, la nécessité de gérer les ressources,en résulte. Ceci est d’autant plus préjudi- que les organismes certificateurs recon- le besoin d’une politique, les principesciable dans la perspective de Solvabilité naissent la valeur ajoutée de cette ap- d’une amélioration continue, etc. La listeII, qui requiert cette vision consolidée proche pour les systèmes qualité. est trop longue pour pouvoir être citéeafin d’établir notamment le profil de exhaustivement ici. Ces synergies sont autant d’opportuni-risques. De ce fait, quelle garantie pour tés pour l’entreprise qui, si elles ne sontl’organisme d’avoir adressé l’ensembledes risques opérationnels ? « Une convergence des pas saisies, constituent au mieux des surcoûts, au pire des manques à gagner.Second point, directement lié au pre- référentiels Qualité et Troisième effet, peut-être le plus pro-mier : l’approche en silo des dispositifsde gestion des risques opérationnels Contrôle Interne com- blématique pour l’entreprise : la diffi- culté pour les équipes opérationnellesconduit inévitablement les organismesd’assurances à un manque d’optimi- prise entre 60 et 80% » à s’approprier les dispositifs. Un constat simple : un opérationnel ne fait son tra-sation dans l’utilisation des ressources vail qu’une fois, et il n’est pas possibleconsacrées au dispositif, ce qui est d’au- Ces synergies existent également parmi de lui demander d’arbitrer les différentstant plus préjudiciable que le niveau de d’autres aspects relevant des risques référentiels à son niveau. Il n’est pas ences ressources s’est fortement accru au opérationnels, par exemple entre, d’une position de faire la synthèse entre lescours des dernières années. En effet, ces demandes du contrôle interne, celles de
  4. 4. « Développer une visionglobale supportée par unréférentiel socle partagé »la qualité, celles de la conformité… Si Les réponses possibles rel, tous les systèmes de managementles fonctions centrales en charge de la répondent à une architecture communeconception et du déploiement des diffé- Face à ces constats et à leurs consé- résumée en quatre points :rents dispositifs ne font pas cet effort, le quences sur l’efficacité des dispositifs, quelles réponses peuvent être appor- • un premier domaine d’exigencesplus probable sera que chacun choisira tées par l’urbanisation de la gestion des correspondant à la stratégie et à lale référentiel dans lequel il se reconnaît risques opérationnels ? Quels sont les politique de l’entreprise (les objec-ou celui auquel il a été formé en premier facteurs clés de succès de cette urbani- tifs poursuivis, le rôle des différentsou, pis, rejettera l’ensemble des disposi- sation ? acteurs, leurs interactions) ;tifs, ne sachant pas comment les mettreen œuvre de manière satisfaisante. En Notre expérience nous a conduits à • un second domaine relatif à l’inté-témoigne cette intervention, menée à identifier cinq éléments de réponse gration du dispositif dans la réalisa-la demande d’une direction métier d’un principaux. tion des activités, dans l’exécutiongroupe international pour l’aider à faire des processus ;ce travail de synthèse et rendre opéra- • un troisième portant sur le contrôle,tionnelle l’accumulation de directives Une approche globale des systèmes la supervision et la surveillance duémises par non moins de cinq fonctions Cette approche globale ne réside pas dispositif ;centrales (direction des risques, direc-tion du contrôle interne, direction quali- nécessairement dans une approche • un dernier touchant au pilotage etté, direction environnement et direction unique des dispositifs, par une fusion à l’amélioration continue du dispo-sécurité), qui oscillaient entre l’indiffé- des systèmes et des équipes en charge sitif.rence polie et les mesures contradic- de leur développement et de leur dé- Rien d’autre finalement que la fameusetoires ! ploiement. Elle implique en revanche boucle d’amélioration PDCA (plan, do, une réflexion approfondie sur les com-Or, comme nous l’avons vu plus haut, check, act) chère aux qualiticiens, égale- posantes de ces systèmes qui, si ellesune des clés du succès des dispositifs ment connue sous le nom de « roue de ne répondent effectivement pas à desde gestion des risques opérationnels Deming ». objectifs identiques, nécessitent la miseréside justement dans la capacité du en place d’organisations, de procédures Le fait de repositionner les exigences etmanagement intermédiaire à s’appro- ou de systèmes d’information similaires. pratiques des divers dispositifs dans cesprier ces mesures et à les porter auprès Cette réflexion est grandement facilitée différents domaines facilite largement lade ses équipes. Il est d’ailleurs frappant dès lors que l’on prend conscience que, mise en commun d’un grand nombre dede constater à quel point, au cours des d’une part, ces différents dispositifs sont modules.dernières années, la gestion des risques tous conçus pour permettre à l’orga-opérationnels est passée, dans les for- Bien entendu, certains aspects reste- nisme de mieux maîtriser ses activités enmations supérieures proposées tant ront spécifiques (l’écoute du client, par prenant en compte les attentes de par-par les écoles que par les universités, du exemple, pour la qualité), sans pour au- ties prenantes différentes (le contrôlestatut de spécialité réservée à quelques tant entrer en opposition avec les autres. interne adresse plus particulièrementexperts à celui d’une composante à part les propriétaires de l’organisme, la qua-entière du rôle de manager ! lité ses clients, la sécurité son personnel, la conformité le régulateur…) et que, d’autre part, d’un point de vue structu-
  5. 5. Un référentiel socle semble de leurs obligations : analyses Un accompagnement renforcé des de risques, reporting, réalisation et suivi managersMême pilotées par des équipes diffé- des plans de contrôle, déclaration d’inci-rentes, l’élaboration et la mise à dispo- Comme nous avons déjà eu l’occasion de dents…sition d’un référentiel socle et partagé le dire à plusieurs occasions, la ligne deconstituent le second point clé d’une Des fonctions articulées management opérationnel est au cœurapproche intégrée. Il s’agit ainsi d’ap- des différents dispositifs de gestion du La mise en œuvre d’une approche glo-porter une réponse globale et unifiée risque opérationnel. Or, les résultats de bale de la gestion des risques nécessiteaux attentes des opérationnels en leur notre baromètre Solvabilité II pour 2011 la réalisation d’une cartographie à la foisdélivrant non plus un référentiel de (6) montrent clairement, dans la lignée des acteurs et des instances intervenantcontrôle interne ou un référentiel qua- de l’édition 2010, un net décrochage des dans les différents dispositifs. Il s’agitlité, mais bien un référentiel d’entreprise équipes opérationnelles dans la com- ainsi de déterminer les missions de cha-explicitant les processus et procédures préhension et donc dans l’appropriation cun mais également ses interfaces avecretenus par l’entreprise pour la réalisa- de cette problématique par rapport aux les autres.tion des missions et activités. équipes fonctionnelles en charge de Ce travail doit porter tant sur les ins- leur pilotage.Ainsi, lorsque les équipes opération- tances (comité d’audit, comité desnelles mettent en œuvre ce référentiel, Il est donc essentiel de proposer un risques, revue de direction, comitéelles répondent de fait aux exigences dispositif d’accompagnement à desti- sécurité, revue de processus, etc.) quedes différents règlements ou normes nation de cette population, au travers sur les fonctions centrales (directionmais surtout elles contribuent au dé- notamment d’un programme de forma- des risques, contrôle interne, qualité,ploiement de la stratégie et des objectifs tion et de sensibilisation, lui permettant sécurité, conformité, RSSI, etc.), maisopérationnels de l’entreprise. à la fois de comprendre les fondements également sur les fonctions déconcen- trées (correspondant qualité, référents théoriques des différents dispositifs contrôle interne, contrôleurs, etc.). mais surtout d‘implémenter ces derniersUn système d’information partagé de manière efficace. Outre les missions et interactions, unCorollaire direct du point précédent, la travail sur le séquencement des travauxrecherche d’un système d’information s’avérera nécessaire afin de garantir « Mettre le dispositifpartagé par les différents dispositifs per-mettra aux acteurs d’avoir accès à la fois notamment le respect des échéances réglementaires en matière de reporting cible au service desà une source d’information unique (pro-cédures, formulaires, fiches de fonction, et aussi la tenue des obligations nor- matives en termes de cycle de manage- managers »etc.) mais aussi à une « boîte à outils » ment.globale leur permettant de remplir l’en- Nicolas Guillaume Associé Tuillet Risk & ManagementNote s1. « Contrôle interne et qualité. Pour un management intégré de la performance », unité de recherche Ifaci, mai 2008.2. Qualité et management. Lignes directrices pour le développement de synergies entre systèmes de management ausein des organismes. Cas particulier du système de management de la qualité et du contrôle interne, FD X50-198, Afnor,mai 2009.3. « L’urbanisme du contrôle interne : comment en améliorer l’efficacité ? quelle place pour l’audit interne ? », prise deposition, Ifaci, septembre 2008.4. « Pour un urbanisme du contrôle interne efficient. Sept prises de position du groupe professionnel banque », prises deposition, Ifaci, avril 2010.5. « Le point sur… qualité et contrôle interne en assurance. Quelle intégration des systèmes ? », Sinequa Risk & Manage-ment (désormais Tuillet Risk & Management), juin 2011.6. Baromètre national Solvabilité II, réalisé par le groupe Tuillet auprès de 40 organismes et publié en juillet 2011.

×