SlideShare une entreprise Scribd logo
La gestion des risques :
Maîtriser ses risques, un enjeu opérationnel,
financier et un levier d’efficacité
12 avril 2012
© 2012 Deloitte
Sommaire
2 La gestion des risques - Avril 2012
1. Introduction
2. Un regard sur les évènements récents
3. Les évolutions de la gestion des risques
4. L’exemple du risque de réputation
5. Next steps
6. L’évaluation de l’efficacité du dispositif de gestion des risques
7. Témoignages intervenants
8. Echanges autour de la gestion des risques
© 2012 Deloitte
Introduction
3 La gestion des risques - Avril 2012
© 2012 Deloitte4
Introduction
Prendre du recul sur la notion de gestion des risques, retour aux origines
La gestion des risques - Avril 2012
© 2012 Deloitte5
ISO 31000
Les organisations de tous
types et tailles font face à des
influences et facteurs
internes et externes qui
rendent incertain si et quand
ils atteindront leurs objectifs.
L'effet de cette incertitude a
des objectifs d'une
organisation est le «risque».
DIRECTIVE SEVESO II
Le risque est la probabilité qu´un
effet spécifique se produise dans
une période donnée ou dans des
circonstances déterminées. En
conséquence, un risque se
caractérise par deux composantes:
la probabilité d´occurrence d´un
événement donné; la gravité des
effets ou des conséquences de
l´événement supposé pouvoir se
produire.
FERMA
La norme ISO/IEC Guide 73 définit le risque comme la
combinaison de la probabilité d’un événement et des
conséquences de celui-ci. Le simple fait d'entreprendre
ouvre la possibilité d'évènements dont les
conséquences sont potentiellement bénéfiques (aléa
positif ) ou préjudiciables (aléa négatif ). On s'accorde
de plus en plus à reconnaître que la gestion du risque
s’intéresse à celui-ci sous les deux aspects de l'aléa
positif et de l'aléa négatif.
AMF
Le risque représente la
possibilité qu’un événement
survienne et dont les
conséquences seraient
susceptibles d’affecter les
personnes, les actifs,
l’environnement, les objectifs
de la société ou sa réputation.
COSO
Les événements peuvent
avoir un impact positif, négatif
ou les deux à la fois. Les
événements ayant un impact
négatif sont des risques
pouvant freiner la création de
valeur ou détruire la valeur
existante.
Introduction
Prendre du recul sur la notion de gestion des risques, retour aux origines
La gestion des risques - Avril 2012
© 2012 Deloitte6 La gestion des risques - Avril 2012
Introduction
Prendre du recul sur la notion de gestion des risques, retour aux origines
HENRI BERGSON
"Un imprévisible rien qui change
tout"
JEAN-JACQUES
ROUSSEAU,
Julie ou la Nouvelle Héloïse
« C´est un excellent moyen de bien
voir les conséquences des choses,
que de sentir vivement tous les
risques qu´elles nous font courir. »
• Une autre vision des risques…
© 2012 Deloitte7 La gestion des risques - Avril 2012
Introduction
Prendre du recul sur la notion de gestion des risques, retour aux origines
• «Un risque se définit comme tout événement, action ou inaction de
nature :
- à empêcher une organisation d’atteindre ses objectifs (de façon implicite
ou explicite) ou
- à altérer sa performance » ou
- à une perte d’opportunités
© 2012 Deloitte
Environnement interne
Environnement interne
COSO I
COSO II
Fixation des objectifs
Identification des évènements
Traitement des risques
Activités de contrôle
Information et ommunication
Pilotage
Activités de contrôle
Information et communication
Pilotage
Évaluation des risques
Évaluation des risques
Introduction
Considérer que le cadre de référence évolue et évoluera encore
© 2012 Deloitte9 La gestion des risques - Avril 2012
Introduction
Prendre du recul sur la notion de gestion des risques, retour aux origines
© 2012 Deloitte
Cinq composantes des deux côtés
Introduction
Prendre du recul sur la notion de référentiel souvent compatibles entre eux
© 2012 Deloitte
• Univers des risques :
COSO
Committe of Sponsoring
Organizations Of the
Treadway Commission -
Introduction
Un exemple de
référentiel de risque,
celui du COSO
© 2012 Deloitte
‒ « Le management des risques est un processus mis en œuvre par le Conseil
d’administration, la direction générale, le management et l’ensemble des collaborateurs
de l’organisation.
‒ Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les
activités de l’organisation. Il est conçu pour identifier les évènements potentiels
susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de
son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à
l’atteinte des objectifs de l’organisation. »
Source COSO II
Introduction
Management des risques: définition
© 2012 Deloitte
Introduction
Exemple d’un arbre d’analyse : Rupture des systèmes d’information
Facteurs de Risque ConséquencesRisque Majeur
Rupture des systèmes
d’information
Arrêt des systèmes /
perte de données
Hétérogénéité des
systèmes
Arrêt des systèmes /
perte de données
Mise en production
non fiabilisée
Problème technique
Arrêt des systèmes /
perte de données
Aléas climatiques
Gestion décentralisée
Interfaces non
compatibles
Limites des conditions
techniques
Arrêt des systèmes /
perte de données
Déficience de la
protection physique
Dépendance du
personnel
Altération / perte de
données
Destruction partielle
Intrusion externe
Départ de personnel
clé
Vol / altération de
données
Maintenance /
sécurité insuffisante Perte de contrats
Difficulté pour piloterAbsence de reporting
Difficulté pour produire
les comptes
Perte de confiance des
usagers
Perte de confiance des
investisseurs
Perte de confiance du
public
Coûts de campagnes
publicitaires
Chute du cours de
bourse
Perte de l’information
comptable
Perte de données
confidentielles
Perte de confiance du
management
Atteinte à l’image de
l’Etat
Changement d’équipe /
directionArrêt des systèmes /
perte de données
Dépendance
énergétique
Défaillance de
l’alimentation en
énergie
Vol / altération de
données
Accès conflictuels
Déficience de la
sécurité informatique
ElémentsdéclencheursConditions/Environnement
© 2012 Deloitte
StratégiquesPérilsOpérationnels
Gouvernance
Organisation généraleComité d’audit
Management des risques
Système de gestion
des risques
Cartographie des
risques
Evaluation
Audit interne
Auto-évaluation
Contrôle interne
Maîtrise des activités
et des processus
Plans de contrôle
/ plans d’actions
Base incidents
Rapport de contrôle
interne
Fraude
Lutte anti
blanchiment
CNIL
Qualité
Approche processus
Relation client
Dispositif
documentaire
Dispositif amélioration
continue
Sécurité des
personnes et des
biens
Sécurité des
systèmes
d’information
Accès logiques et
physiques
Environnement
Social et sociétale
Plan de continuité
d’activité
Plan de gestion de
crise
Gestion des parties
intéressées
Financiers
Certification des
comptes
Introduction
Les éléments constituant du management des risques
IsoCoso
© 2012 Deloitte
Un regard sur les évènements
récents
15 La gestion des risques - Avril 2012
© 2012 Deloitte16 La gestion des risques - Avril 2012
Dépêche AFP – Samedi 14 janvier 2012 – Naufrage du Costa Concordia
« Au moment du naufrage, vendredi 13 janvier, le navire transportait plus de
4 200 personnes, dont 3 200 touristes de 60 nationalités différentes et un
millier de membres d'équipage »
Un regard sur les évènements récents
Des évènements majeurs
© 2012 Deloitte17 La gestion des risques - Avril 2012
Falbert’s blog– février 2012– Causes et objectifs de la révolution
tunisienne
« Le 17 décembre 2010, Mohamed Bouazizi, désespéré, s'humilie
devant le gouvernorat en s’immolant.(…) Ce geste du à une simple gifle
a été le début d'une révolution dans la Tunisie et est à l’origine de l'effet
papillon dans le monde arabe. Après le 17 décembre 2010, les
protestations contre le chômage, le népotisme et le pouvoir administratif
se sont transformés en protestations politiques, contre le régime de Ben-
Ali. Le régime a essayé d’étouffer ces révoltes en mettant sur écoute les
téléphones, en lisant sur internet les blogs des protestants et en
essayant de bloquer les sites internet. Mais il n’a pas réussi. »
L’Express– Mars 2011– Libye, de la révolution à l’affrontement militaire
« Après la Tunisie et L’Egypte, la Libye, le plus gros pays producteur de pétrole et de gaz d'Afrique,
est entrée en ébullition. Depuis la ville de Benghazi, le13 février Les manifestations s'étendent
rapidement au reste du pays, la répression est d’une violence inouïe et fait plusieurs centaines de
victimes : 640 morts en huit jours contre les 219 en Tunisie en un mois et les 365 en Egypte en trois
mois. »
Le Monde Diplomatique- La révolution arabe, fille de l’Internet ? – Février 2011
La révolution égyptienne, comme celle qui l’a précédée en Tunisie, montre à la fois la
puissance des nouveaux médias, la difficulté à leur opposer des forces classiques de contrôle
et de répression, et leur articulation, trop souvent minorée, avec les médias traditionnels
comme la télévision ou la presse.»
Un regard sur les évènements récents
Des évènements majeurs
© 2012 Deloitte18 La gestion des risques - Avril 2012
Mars 2012 – Industrie Automobile
BMW rappelle 1,3millions de véhicules dans le monde. Le
groupe Allemand mentionne un éventuel risque de combustion
et d’incendie dans les cas extrêmes, dû à des
dysfonctionnements électriques.
Un regard sur les évènements récents
Des évènements majeurs
© 2012 Deloitte19 La gestion des risques - Avril 2012
Dynamique Mag’– Juin 2011– Vente privée.com à la conquête du
monde
Interview de Jacques-Antoine Granjon, le PDG fondateur du site
de ventes événementielles quotidiennes Vente Privée.com
« Nous avons ouvert notre site de ventes quotidiennes
évènementielles, Venteprivée.com, en Allemagne, Espagne, Italie,
Grande Bretagne, Belgique et Autriche. Et nous travaillons
actuellement sur l’ouverture prochaine de notre site sur le marché
des Etats-Unis. Je pense que l’entreprise a un potentiel énorme à
l’étranger »
Le Monde– Mars 2011– Vente privée, leader du déstockage
« Avec près d’un milliard d’euros de chiffre d’affaires en 2010, la
société vente-privée.com est rentrée dans les poids lourds de
l’e-économie européenne, moins de 10 ans après sa création.
Tout a commencé sur un pari fou : proposer sur internet les
invendus des collections passées… »
Un regard sur les évènements récents
Une prise de risque récompensée !
© 2012 Deloitte
Les évolutions de la
gestion des risques
20 La gestion des risques - Avril 2012
© 2012 Deloitte21 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
Les origines de la gestion des risques
Information
financière
Ethique
Transformation
Complexification
des opérations
Ouverture
des marchés
Internationalisation
Diversification
des activités
Ouverture
du capital
Un environnement de
risques
Réglementations
E-Reputation
Crises économiques et financières
(immobiliers - banques - dettes)
© 2012 Deloitte22 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
Gouvernance - un environnement en mutation et des enjeux nouveaux
Cadre
réglementaire strict
SOX LSF
8e directive
Complexité
du business
Ingénierie
contractuelle
Nouveaux schémas
organisationnels d’entreprise
Pression des actionnaires
Risques pénaux
Responsabilité accrue
des dirigeants
Publication de
résultats financières
Corporate Governance
Pression croissante
des marchés financiers
Ethique
Direction générale
Actionnaires
De nouvelles attentes pour
les acteurs de l’entreprise
Opérationnels
Entreprise
Evolution rapide des
structures et
naissance de
nouveaux risques
Fusions et
acquisitions
Valorisation
d’entreprises
Mise en place
de synergies
© 2012 Deloitte
Source: Strategic Risk 2011
La gestion des risques - Avril 201223
Les évolutions de la gestion des risques
L’univers des risques – les risques externes
© 2012 Deloitte
1985 – USA :
Création de la
Commission du
sénateur Treadway
1987 : Premier
rapport de la
commission sur
le contrôle interne
1992 : Publication
rapport intitulé
Internal Control -
Integrated
Framework. Ce
rapport devient le
référentiel COSO.
2003 : Le COSO est
recommandé
comme la norme
d’application de la
loi Sarbanes-Oxley
ou SOX (SEC)
2004 : Publication
du COSO II -
Introduction de la
notion Entreprise
Risk Management
(ERM)
24 La gestion des risques - Avril 2012
• Le COSO I, un référentiel pour aborder le contrôle interne
‒ Committee of Sponsoring Organizations of the Treadway Commission
‒ Référentiel de contrôle interne développé dans les années 90 lors de la faillite des caisses
d’épargne américaines
‒ Référentiel recommandé par l’IIA (Institut des Auditeurs Internes)
• Le COSO II, un référentiel pour aborder la gestion des risques
2010 : Evolution
du cadre AMF
(France) pour
intégrer la
démarche de
gestion des
risques dans le
rapport LSF
Les évolutions de la gestion des risques
La gestion des risques, indissociable du contrôle interne
2008:
Transposition
8ème Directive
et publication par
l’AMF du guide
relatif à la mise
en œuvre de la
gestion des
risques et du
contrôle interne
© 2012 Deloitte
Maîtrise du risque
placée au cœur
du processus
de décision
• Prise en compte des
interactions entre les
facteurs de risque
• Prise de risque
« intelligente »
• Pérennité
• La maîtrise du risque
est le souci de tous
dans l’organisation
• Risk intelligence
Dashboard
Réponse intégrée aux
situations de risques
• Suivi de l’exposition aux
risques
• Transformation
culturelle en cours
• Processus « bottom
up »
• Réponse pro-active
« Tone at the top »
• Les politiques,
procédures,
responsabilités sur les
risques sont définies et
communiquées
• Approche
principalement
qualitative
• Réponse réactive
Réaction aux
situations de risques
confiées à des
spécialistes
• Existence de
procédures basiques
pour certaines
catégories de risques
(finance, assurance,
conformité)
Réponse
chaotique
• Prépondérance d’un
suivi des risques
« intuitif »
1. Tribal et héroïque 2. Par silos spécialisés 3. Top Down 4. Systémique 5. Intelligent
Prise de risque « valorisée »
Prise de risque « non valorisée »
Réactionauxincidents
Gestionglobaledesrisques
25 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
La démarche globale de gestion des risques
… et les réponses aux risque doivent être « intelligentes »
© 2012 Deloitte26 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
L’importance d’une cartographie intelligente !
• Les réglementations SOX, LSF, 8ème directive sont les piliers d’une gestion des risques
respectueuse des lois.
• En 2012, la gestion des risques efficace s’appuie sur un processus de cartographie des
risques intelligent.
• Cette cartographie est intelligente lorsqu’elle est pleinement intégrée dans les processus
de l’entreprise, et que chaque collaborateur en est acteur via :
- La remontée d’information (reporting) sur les risques et les moyens de maîtrise
- La mise à jour régulière de la cartographie
- La vigilance face aux nouvelles menaces
- La pro-activité face aux opportunités
- Etc.
© 2012 Deloitte
Une démarche de gestion des risques dynamique, divisée en plusieurs étapes
structurantes
Les évolutions de la gestion des risques
Gouvernance pour une démarche de gestion des risques
27 La gestion des risques - Avril 2012
© 2012 Deloitte28
« Top Down »
• Identification par entretiens des
« risques majeurs »
• Hiérarchisation en atelier (vote)
• Identification des plans d’actions
Direction générale
• Implication dans les analyses de
« forage »
• Gestion des plans d’actions
Opérations / fonctions
Renforcement
«Forage» « Bottom Up »
• Elaboration et diffusion d’un guide
• « Consolidation » des résultats
• Présentation de la cartographie
Direction générale
• Identification des risques
« locaux » selon démarche et
catalogue
• Evaluation des risques et du
niveau de maîtrise
• Définition des plans d’actions
Opérations / fonctions
Instructions
Analyses
Les évolutions de la gestion des risques
Quelle démarche envisager ? Bottom-up vs. Top Down
La gestion des risques - Avril 2012
© 2012 Deloitte29
Les évolutions de la gestion des risques
Les parties prenantes dans une organisation dédiée à l’analyse des risques
La gestion des risques - Avril 2012
© 2012 Deloitte
La cartographie est la première phase d’une gestion des risques efficace
30
Elaboration de la
cartographie des
risques des organes
de la société
Définition de la stratégie
de maîtrise des risques
Phase 1
Définition du plan de
maîtrise des risques
Phase 2 Phase 3
L’élaboration de la cartographie des risques des organes de la société se
décompose en 3 jalons :
• Identification des risques
• Evaluation des risques
• Hiérarchisation des risques
Les évolutions de la gestion des risques
L’importance d’une cartographie intelligente !
La gestion des risques - Avril 2012
© 2012 Deloitte31 La gestion des risques - Avril 2012
• L’identification des risques
‒ Elaboration de la liste des objectifs et risques majeurs
‒ Couverture de l’ensemble de l’univers des risques
‒ Validation de la liste des objectifs et des risques inhérents
• L’analyse des risques
‒ Evaluation de la fréquence
‒ Evaluation de la gravité
‒ Evaluation du niveau de maîtrise
• La hiérarchisation des risques
‒ Mise en lumière des risques principaux au regard de ces 3 critères
Les évolutions de la gestion des risques
L’importance d’une cartographie intelligente !
Elaboration de la
cartographie des
risques des organes
de la société
Ces 3 jalons de la cartographie des risques s’organisent autour de la notion de
risque. Mais comment faire la différence entre un risque majeur, un risque individuel,
un risque brut, un risque inhérent, etc…
© 2012 Deloitte32
La notion de risque majeur doit être distinguée de la notion de risque individuel même
si ces deux concepts demeurent étroitement liés
• Un risque majeur répond à la définition communément utilisée d’un risque, à savoir : la
potentialité d’une perte – ou perte d’opportunité – causée par des évènements pouvant
affecter l’atteinte des objectifs d’une organisation.
• Les risques individuels représentent quant à eux les causes contribuant à la
réalisation d’un risque majeur (=> « évènements » mentionnés dans la définition du
risque majeur). L’existence (ou non existence) de risques individuels conditionne donc
la probabilité de réalisation d’un risque. A noter qu’un risque majeur peut-être lié à un ou
plusieurs risques individuels.
Risques individuels
Assurer
l’intégrité
des
données
Destruction de la
base de stockage
des données
Perte/altération des
données
Erreur humaine
Pollution virale
Altération du
système
Risque majeurCauses
Intrusion externe
Objectif
Les évolutions de la gestion des risques
Risque majeur, risque individuel
La gestion des risques - Avril 2012
© 2012 Deloitte33
• Qu’est-ce qu’un risque brut (autrement appelé risque inhérent) ?
‒ Un risque brut représente le poids potentiel d’un risque sans prise en compte du
dispositif de maîtrise (contrôle interne).
‒ Il correspond au risque maximal que pourrait supporter la structure en l’absence de
mesures préventives ou détectives.
• Pourquoi est-il nécessaire d’évaluer les risques bruts ?
‒ L’évaluation du risque brut aide à analyser de manière précise l’ensemble des causes /
facteurs pouvant engendrer la réalisation du risque.
‒ Une appréciation du risque « maximal » permet
• de prendre la pleine mesure de la criticité d’un risque
• et d’évaluer ainsi la nécessité de maintenir ou d’implémenter un dispositif de maîtrise fort (ou
limité si le risque brut n’est pas jugé significatif).
Les évolutions de la gestion des risques
Risque brut
La gestion des risques - Avril 2012
© 2012 Deloitte
• Qu’est-ce qu’un risque inhérent (brut) ?
‒ Un risque brut représente le poids potentiel d’un risque sans prise en compte du
dispositif de maîtrise (contrôle interne).
• Qu’est ce qu’un risque résiduel ?
‒ Un risque résiduel représente le poids potentiel d’un risque après prise en compte du
dispositif de maîtrise (contrôle interne).
risque
inhérent
risque
résiduel
Contrôle
externe
Contrôle
Inspection /
audit interne
Contrôle fonctionnel
Contrôle hiérarchique
(validation, pilotage, sondages,
etc.)
Mesures et contrôles opérationnels
(séparation des tâches, compétences,
autocontrôle, contrôle automatisé, etc.)
34
Les évolutions de la gestion des risques
Risque inhérent, risque résiduel
La gestion des risques - Avril 2012
© 2012 Deloitte35
• La première étape d’analyse porte sur les
risques inhérents / bruts.
• Les risques résiduels / nets sont alors
identifiés en tenant compte des dispositifs de
contrôle existants.
• L’évaluation d’un risque résiduel repose sur
l’appréciation (perception) du niveau de
maîtrise par les éventuels dispositifs de
contrôle en place (pertinence / efficacité).
• Cette perception nécessite d’être confirmée
par une évaluation.
• Le niveau de risque résiduel ainsi défini doit
enfin être comparé au niveau de risque
considéré comme acceptable par les organes
de gouvernance (définition du risque cible /
appétence aux risques).
Risque
inhérent
Risque
cible
Risque
résiduel
Processus en place
qui visent à limiter le
risque
Plans d’actions décidés
par la Direction afin
renforcer la maîtrise du
risque
Les évolutions de la gestion des risques
Risque inhérent, risque résiduel
La gestion des risques - Avril 2012
© 2012 Deloitte36
Les évolutions de la gestion des risques
Analyse qualitative et quantitative des risques
• Comment évaluer les risques bruts ?
‒ L’évaluation du risque brut tient compte de deux critères. Ces critères sont à définir
selon l’approche / la méthode retenue. Les termes les plus utilisés sont:
• Probabilité (P) et impact (I)
• Fréquence d’occurrence (F) et matérialité (M)
‒ Quelques notions:
• La fréquence d’occurrence est l’estimation de la période associée à la survenance du risque
• La matérialité représente l’impact d’un risque estimée de manière quantitative ou qualitative
• La fréquence ou la matérialité peuvent être définies selon une hypothèse moyenne en tenant
compte de l’historique (incidents avérés => Bases incidents ) ou d’estimations
La gestion des risques - Avril 2012
© 2012 Deloitte
Echelle
de
criticité
Degré Signification
5 Catastrophique Risque remettant en cause à lui
seul la continuité ou l’existence du
Groupe
4 Très forte Risque remettant en cause, en lien
avec d’autres risques, la continuité
ou l’existence du Groupe
3 Forte Risque impactant fortement le
fonctionnement / les résultats du
Groupe sans remise en cause
directe de son existence.
2 Modérée Risque impactant modérément le
fonctionnement / les résultats du
Groupe sans remise en cause
directe de son existence.
1 Faible Risque sans conséquence majeure
pour le Groupe
37
• Echelles d’évaluation :
→ Criticité : perception de l’importance du risque en terme d’impact et de
possibilité d’occurrence (plus critique = préoccupation majeure actuelle)
→ Fréquence : Appréciation qualitative ou quantitative de la probabilité
d’occurrence
Echelle de
fréquence
Degré Signification
4 Forte L’événement est très probable au
regard des statistiques ou des incidents
internes.
3 Moyenne L’événement est probable au regard
des statistiques ou des incidents
internes.
2 limitée L’événement est possible sous des
conditions qui ne sont pas réunies
aujourd'hui, mais qui sont susceptibles
de l ’être dans le futur.
1 Infime L’événement est très improbable et ne
devrait se produire
qu'exceptionnellement (sous réserve
d'une conjonction de conditions très
particulières).
Les évolutions de la gestion des risques
Les échelles d’évaluation
La gestion des risques - Avril 2012
© 2012 Deloitte38
• Le contrôle en place (mesure de traitement des risques) :
‒ Maîtrise : capacité actuelle de l’entreprise à réduire la criticité perçue de ce risque (forte
maîtrise = ne devrait pas arriver)
Echelle de
niveau de
maîtrise
Degré Signification
5 Excellent Dispositif pertinent, documenté et
évalué favorablement.
4 Fort Dispositif pertinent, documenté et
évalué de manière satisfaisante.
3 Moyen Dispositif pertinent, documenté, mais
non évalué.
2 Faible Dispositif pertinent, mais non
documenté, non évalué ou présentant
une déficience moyenne.
1 Très faible Dispositif inexistant ou présentant une
déficience forte.
Les évolutions de la gestion des risques
Les échelles d’évaluation
La gestion des risques - Avril 2012
© 2012 Deloitte
• Synthèse des entretiens individuels
• Agrégation des risques identifiés en 16 « enjeux »
1. A Stratégie et développement
2. B Innovation et stratégie marketing
3. C Gestion des franchisés
4. D Systèmes d’information – Gouvernance informatique
5. E Risque de fraude
6. F Capital humain
7. G Sécurité physique
8. H Sécurité alimentaire
9. I Achats / Logistique
10. J Maintenance / Capex
11. K Trésorerie / financements
12. L Pilotage de la performance
13. M Contrôle interne
14. N Comptabilité
15. O Juridique
16. P Gestion de crise
39
Les évolutions de la gestion des risques
Exemple de liste de risques majeurs et cartographie des risques
La gestion des risques - Avril 2012
© 2012 Deloitte40
Les évolutions de la gestion des risques
Décider face au risque
La gestion des risques - Avril 2012
• Chaque organisation accepte un niveau de risque
défini en fonction de son activité, de sa sensibilité aux
risques, de sa culture mais aussi de ce que peuvent
supporter les actionnaires et autres parties prenantes
: c’est la notion d’appétence au risque (risk
appetite).
Risque
cible
Risque
résiduel
• La responsabilité exclusive de définition d’appétence au risque incombe au Management.
Tout système de maîtrise des risques s’inscrit dans le cadre du niveau de risque
acceptable.
• Principes associés :
‒ Le risque "zéro" n'existe pas
‒ Les limites budgétaires impliquent de rechercher un équilibre entre coûts et bénéfices
‒ La prise de risques est nécessaire pour une organisation qui se veut dynamique et flexible
‒ Certains risques sont hors du champ de contrôle du management
© 2012 Deloitte41
Les évolutions de la gestion des risques
La Réponse au risque – appétence au risque
La gestion des risques - Avril 2012
© 2012 Deloitte42 La gestion des risques - Avril 2012
Comment lire une cartographie des risques
La Réponse au risque – l’approche MARCI :
© 2012 Deloitte43
Les évolutions de la gestion des risques
Mais une cartographie des risques peut aussi être…
La gestion des risques - Avril 2012
© 2012 Deloitte
Les évolutions de la gestion des risques
Gouvernance et administration des risques
• Les questions liées à la gouvernance et à l’administration des risques se posent
dans un système de gestion des risques:
 Qui dispose de l’information
 Que communiquer aux parties-prenantes (actionnaires, gouvernement, etc.)
 Qui s’assure que les plans d’actions définis sont mis en place
 Comment faire évoluer la cartographie des risques vers une gestion des risques intégrée à tous
les niveaux de l’entreprise ?
• L’implication des organes de gouvernance dans la gestion des risques est une
dimension essentielle pour valoriser la gestion des risques, au-delà d’une simple
démarche de conformité.
• Le schéma ci-après présente une organisation favorisant une gestion des risques
intégrée
44 La gestion des risques - Avril 2012
© 2012 Deloitte
Mesurer la
contribution à la
performance
globale de
l’entreprise
Indicateurs de
Performance de
l’activité
Indicateurs de
Maîtrise des risques
et contrôle interne
Indicateurs
d’efficacité de la
gestion du processus
Indicateurs de
Prévention de la
fraude
Pour chaque processus, le management doit pouvoir
S’assurer de
l’efficience des
processus mis en
place
Prévenir les risques
Détecter les zones à
risque de fraude
Performance
Maîtrise des risques –
contrôle interne
45
Les évolutions de la gestion des risques
Intégrer gestion de la performance et gestion des risques
© 2012 Deloitte
Conseil d’administration
Supervise la maîtrise des risques
Direction Générale
Responsable de la conception, de
la mise en œuvre et de la
surveillance continue
Risk Manager
Autres fonctions transverses
(directions juridique, RH,
financière, qualité, etc.)
Directeur du Contrôle Interne
Audit Interne
Evalue le fonctionnement du
dispositif
Partage les meilleures
pratiques
Auditeurs externes
Comité d’audit
Assiste le Conseil d’Administration
Supportent Evaluent
Collaborateurs
Management
Met en œuvre le dispositif
Rapporte à la Direction Générale
Responsables
46 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
Gouvernance et administration des risques
© 2012 Deloitte47 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
Le Risk Manager est-il lisible pour les dirigeants?
• La participation du Risk Manager aux comités
© 2012 Deloitte
• Le comité d’audit
− assure le suivi des questions relatives à
l’élaboration et au contrôle des informations
comptables et financières
• Le comité des risques
− assure le pilotage de la gestion des risques,
décide des actions visant à la maîtrise des
risques
• Le comité des rémunérations
− valide les rémunérations et avantages des
dirigeants de la société
• Le comité des nominations
− collège de décideurs pour les nominations
dans l’entreprise
• Le comité RSE développement durable
− valide la stratégie RSE et développement
durable de la société
Etc.
48 La gestion des risques - Avril 2012
Les évolutions de la gestion des risques
Gouvernance et administration des risques
© 2012 Deloitte
• Mise en place d’un processus adapté à l’entreprise et en phase avec les objectifs
de la Direction Générale
• Une définition préalable des objectifs du processus
• Une définition des acteurs et des modalités de construction
• Choix d’une méthode idoine en adéquation avec les objectifs de l’entreprise
• Un processus itératif, basé sur le principe de l’amélioration continue.
• Une communication efficace et maîtrisée, au sein de l’entreprise et à l’extérieur de
l’entreprise.
• Une intégration dans tous les processus
49
Les évolutions de la gestion des risques
Facteurs clés de succès
© 2012 Deloitte
50
• Un projet pas ou peu porté par la direction
• Des analyses de risques menées « en chambre »
• Une méthode d’analyse des risques peu ou mal définie
• Ne pas installer un système de management des risques
• Une confusion sur les univers de risques et la maitrise à mettre en place
• Une articulation peu définis entre dispositifs de gestion des risques opérationnels
et stratégiques
• Un dispositif qui appartient au risk manager
• Des administrateurs non intégrés et formés
• …
Les évolutions de la gestion des risques
Ecueils possibles à la mise en place de la démarche
© 2012 Deloitte
L’exemple du risque
de réputation
51 La gestion des risques - Avril 2012
© 2012 Deloitte
Risques:
Réputation (excuses)
Capitalisation boursière
Solution: plan com’ massif
Management de crise (3 niveaux):
1. Le fusible (directeur technique US)
2. Le crédible (patron filiale US)
3. Le légitime (patron maison mère)
© 2012 Deloitte53 La gestion des risques - Avril 2012
Business
Model
Facteurs de
différenciation /
Positionnement
Capacité à attirer
et conserver les
meilleurs profils
Meilleure maîtrise
du comportement
de la clientèle
Conditions de
pricing /
Gestion de la
marge
Confiance des
actionnaires et
des partenaires
Compétence, savoir-
faire
Identité, culture,
valeurs
Impression de solidité
Déterminants
Réaction de la
clientèle (volonté,
capacité)
Amplitude de
l’impact
Dépendance de la
compagnie à certains
acteurs
Réaction de la société
touchée
Maturité du marché et
niveau de concurrence
Nécessité d’optimiser la gestion de la réputation tant dans une
optique préventive que curative
L’exemple du risque de réputation
Une question centrale : quel est l’apport de la réputation?
© 2012 Deloitte54 La gestion des risques - Avril 2012
Long terme
Court terme
Pilotage sur le
long terme :
intégration de
valeurs dans
les processus
de l’entreprise
Pilotage sur le
court-moyen
terme :
communication,
ajustement
concurrentiel, …
Identité
Image
Valeurs,
Histoire, savoir-faire
Positionnement
conjoncturel,
confiance
Les deux dimensions sont étroitement liées au
secteur d’activité de l’entreprise et au
positionnement de celle-ci
L’exemple du risque de réputation
Les déterminants de la réputation
© 2012 Deloitte55
Impact sur les volumes et la profitabilité de l’activité
Exemples : réduction des ventes (mobilité de la clientèle), réduction des marges
Niveau
d’activité
Impact sur la durabilité des partenariats avec les fournisseurs et la profitabilité générée
Exemples: Baisse de confiance des fournisseurs, non renouvellement de contrats existants, changement de
conditions courantes
Fournisseurs
Impact sur les gestion et le coût des ressources
Exemples : Augmentation du turn-over, difficultés à l’embauche de nouveaux potentiels et à garder les ressources
minimum
Ressources
Humaines
Impact sur la stratégie financière
Structure
Financière
Actionnaires
InvestisseursBanques
Chute du spread
de crédit
•Chute du cours de bourse
•Augmentation du coût des
fonds propres
• Dégradation des conditions de crédit
• Augmentation des collatéraux
• Augmentation du coût de la dette
Stratégie de
financement
L’exemple du risque de réputation
Des impacts à différents niveaux
La gestion des risques - Avril 2012
© 2012 Deloitte56
Définition
Image et Identité
Cartographie
Stratégie
Travailler sur
l’occurrence
Prévention
Contrôle interne
Allocation de ressources
Travailler sur l’impact
Gestion de crise
Communication
Assurance
Surveillance
Alertes
Evaluation
Veille
Benchmark
Reporting
La mise en place
d’une approche
Risque adaptée et
transverse
L’exemple du risque de réputation
Quelques éléments de réponse
La gestion des risques - Avril 2012
© 2012 Deloitte57
Décomposition
de l’activité en
secteurs
homogènes en
termes de
nature d’impact
au risque de
réputation
Identification des
événements de
risque potentiels
Qualification des
impacts sur les
différents
domaines
Construction
d’une matrice
de risque de
réputation
Identification
des principaux
vecteurs de
sensibilité
• Analyser
l’impact des
événements
au niveau du
Groupe
• Analyser la
propagation
entre entités
afin d’évaluer
touts les
impacts
Identifier les
incidents qui ont
un impact
- A un niveau
élevé du
management
- Sur un
périmètre
d’entités
différentes
Une approche transversale en deux volets…
Contribution du
Groupe à
l’image des
marques /
produits
Approche « Bottom-up » Approche « Top-down »
Impact de la différenciation des
marques
(potentiel de contagion/propagation, spécificités de
marchés et de clients, structure de communication…)
Importance de l’image du Groupe
(niveau de détachement des marques, identité
propre du Groupe…)
L’exemple du risque de réputation
Quelques éléments de réponse
La gestion des risques - Avril 2012
© 2012 Deloitte58
Un comportement de risque qui requiert une approche à plusieurs niveaux
Spécificité sectorielle,
géographique, produit
Variables
Source de survenance
Concurrence et
ouverture du marché
Attachement de la
clientèle
Sensibilité de la
clientèle
Proximité avec les
valeurs « fortes »
….
Activité Marché Positionnement
Risques clés
Attitude de la clientèle
Pratique tarifaire
Indicateurs clés
Concurrence
Maturité
Barrières de marché
Facteurs de
différentiation
Comparables de
l’entreprise
Identification des
avantages compétitifs
Identification des
seuils de résistance
Catégories homogènes de sensibilité au risque de réputation
Qualification des impacts et du profil de perte
Comportement attendu de la clientèle, du marché et de l’entreprise
Détermination d’impacts sur l’activité
Identification des chaînes de déclenchement
L’exemple du risque de réputation
Quelques éléments de réponse
La gestion des risques - Avril 2012
© 2012 Deloitte
Next Steps
59 La gestion des risques - Avril 2012
© 2012 Deloitte
Next Steps
Quelles sont les étapes suivantes?
60
• Quand le système de gestion des risques est en place dans l’entreprise,
quel est l’étape suivante?
• Plusieurs questions se posent :
- Qui est le propriétaire de la cartographie des risques (Direction de l’audit interne, du contrôle
interne, des risques ?)
- Quelle place pour le Risk Manager dans l’entreprise ?
- Comment rendre cohérent et consensuel la hiérarchisation des risques ? Comment être
d’accord sur des points de divergence ?
- Comment traiter les risques émergents?
La gestion des risques - Avril 2012
© 2012 Deloitte
Mettre en place une organisation opérationnelle de gestion des risques, implique de:
• Définir des rôles, les missions,
• Sensibiliser les équipes,
• Capitaliser sur le retour d’expérience,
• Nommer un risk manager en charge de l’animation (garant du dispositif),
• Désigner les managers opérationnels comme pilote de leurs risques opérationnels,
• A eux de maîtriser avec leurs équipes leurs risques opérationnels
Next Steps
Gérer les risques
© 2012 Deloitte62 La gestion des risques - Avril 2012
• Étude réalisée sur un panel de 106 risk managers
‒ Trois catégories principales :
‒ Grandes activités : Gestion des assurances, prévention des risques (visites de sites
etc), Gestion des risques (ERM), Pilotage, Contrôle interne
Next Steps
La place du Risk Manager dans l’entreprise
© 2012 Deloitte63 La gestion des risques - Avril 2012
Les Risk Managers interrogés couvrent un univers des risques global bien que
dans une moindre mesure pour les Risk Managers AP
Next Steps
La place du Risk Manager dans l’entreprise
© 2012 Deloitte64
Le périmètre d’intervention du Risk Manager
Next Steps
La place du Risk Manager dans l’entreprise
La gestion des risques - Avril 2012
© 2012 Deloitte
Next Steps
La place du Risk Manager dans l’entreprise
65
Rattachements hiérarchiques et fonctionnels des Risk Manager
- xxx
Répartition entre
direction des risques,
audit interne et contrôle
interne
Une fonction transverse, indépendante, et
par conséquent « en ligne directe » avec la
Direction générale et/ou financière
(Source: Le baromètre du Risk Manager 2011, AMRAE & Deloitte)
La gestion des risques - Avril 2012
© 2012 Deloitte
Next Steps
Coordination entre la gestion des risques, le contrôle interne et l’audit interne
66
• Lien avec le plan d’audit interne :
‒ Atelier de travail avec le Directeur de l’Audit Interne sur la stratégie et la planification
d’audits devant être associés au processus de cartographie et de gestion des risques.
‒ Cet atelier est structuré autour de 2 axes :
• Bâtir le plan d’audit à partir de la cartographie des risques
• Elaborer le plan d’audit (formalisation)
Contrôle
Interne
Audit Interne
Gestion des
Risques
La gestion des risques - Avril 2012
© 2012 Deloitte
1 – Risques majeurs Corporate Risque 1 Risque n
P
L
A
N
D
'
A
U
D
I
T
3 – Grand projets Projet 1 Projet n
Filiales (F)
F1 … Fn F1 … Fn F1 … Fn F1 … Fn F1 … Fn
Métier 1
Process 1 - 25
Importance
Expositions
Evaluation globale
Structures
Processus
Métier 2 Métier 3 Métier 4 Corporate
2- Processus et entités
Next Steps
Un plan d’audit alimenté par les risques majeurs corporate, les processus, les filiales et les
grands projets
© 2012 Deloitte68 La gestion des risques - Avril 2012
Next Steps
Matérialiser les interdépendances entre la gestion des risques, le contrôle interne et l’audit
interne
© 2012 Deloitte69
• De nouveaux risques émergent aujourd’hui:
• Energie,
• Supply chain,
• Financements,…
Dépendances
• Métiers,
• Environnement,
• Impôts et Taxes,…
Réglementations
• Réseaux sociaux,
• Cloud computing,
• Nanotechnologies,…
Technologies
• Insécurité,
• Crises,
• Flux migratoires,…
Sociétés
Risque de
réputation
Risque climatique
Risque de
cybercriminalité
Next Steps
La gestion des risques émergents
La gestion des risques - Avril 2012
© 2012 Deloitte
Next Steps
Vers une gestion globale des risques
70
• Une cartographie des risques est une « photo »
‒ Statique
‒ « Jaunie », elle peut prendre plusieurs mois pour être
réalisées
‒ Déconnectée (il faut attendre le prochain passage du
photographe)
• L’organisation évolue
‒ Nouveaux systèmes IT, transformation des processus
‒ Renforcement des dispositifs de maîtrise
‒ Changement de personnes
Suivi et analyse des « incidents »
La gestion des risques - Avril 2012
© 2012 Deloitte
L’évaluation de l’efficacité
du dispositif de gestion des
risques
71 La gestion des risques - Avril 2012
© 2012 Deloitte
Risk
Intelligent
L’évaluation de l’efficacité du dispositif de gestion des risques
La gestion des risques comme action structurante d’une démarche de contrôle et d’audit
interne déjà solide
72
• Principe d’une « Risk Intelligent Enterprise »
Dans une entreprise "Risk Intelligent", certaines fonctions (audit
interne, gestion des risques, "compliance", etc.) fournissent une
assurance objective au même titre qu'elles assurent le suivi et le
reporting de l'efficacité du programme de gestion des risques auprès
des organes de direction et de la direction générale
• Les éléments de contrôle de l’efficacité du dispositif
Comme pour tout autre processus, il faut mesurer l’efficacité et la
pertinence des contrôles et de la maîtrise des risques.
Cette mesure se fait par des indicateurs clés et des outils de reporting
La gestion des risques - Avril 2012
© 2012 Deloitte
L’évaluation de l’efficacité du dispositif de gestion des risques
La gestion des risques comme action structurante d’une démarche de contrôle et d’audit
interne déjà solide
73
• Principe des Indicateurs de Risques Clés (IRC)
Les indicateurs de risque clés (IRC) se fondent sur un profil d’exposition à un risque déterminé. Ils
peuvent se baser par exemple sur le délai de traitement de certaines opérations, sur le volume des
factures fournisseurs en suspens, sur le nombre de fraude déjouées ou avérées, etc.
Exemples d’indicateurs de risques clés :
− Risque : « Non respect des procédures d’acquisitions et d’appels d’offres »
• Facteurs de risques : Lourdeur et complexité des processus d’acquisitions et d’appels d’offres
• Non respect de la procédure d’appels d’offres
• Consultation insuffisante des fournisseurs potentiels
− Indicateurs de risques possibles :
• Délai de réalisation des appels d'offres (entre chaque étape du processus : de l'expression de besoin à la
contractualisation) et délai moyen
• Nombre d'appels d'offres en cours aux différents stades du processus et antériorité depuis leur lancement
• Taux d'appels d'offres infructueux
• Taux de contractualisation par entente directe
• Nombre moyen de fournisseurs consultés par appel d'offres en fonction du type de prestation…
La gestion des risques - Avril 2012
© 2012 Deloitte74
• Principe des Indicateurs de Risques Clés (IRC) (suite)
− Ces indicateurs peuvent également être complétés du suivi des contrôles en place selon
deux modalités sur l’efficacité des contrôles :
i. mesure de la réalisation du contrôle (taux de réalisation) ;
ii. évaluation de la conformité des contrôles réalisés (taux de conformité). Cette démarche permet ainsi
d’affiner la mesure du niveau d’exposition au risque.
• Objectifs :
− il s’agit de données spécifiques tirées de la gestion et inhérente au profil du risque
− il s’agit dans la mesure du possible d’indicateurs à caractère quantitatifs
− ils visent à caractériser l’exposition aux risques, en particulier le degré de sévérité
− si ils sont bien choisis, ils peuvent revêtir un caractère prédictif, en permettant de faire
apparaitre, dans la mesure du possible ex-ante, des évolutions significatives du risque
concerné
L’évaluation de l’efficacité du dispositif de gestion des risques
La gestion des risques comme action structurante d’une démarche de contrôle et d’audit
interne déjà solide
La gestion des risques - Avril 2012
© 2012 Deloitte75
L’implémentation d’indicateurs de suivi des risques et de plans et procédures de contrôle
n’est pas toujours suffisante et certaines améliorations sur la démarche de gestion des
risques sont à prévoir afin d’obtenir un dispositif plus dynamique :
Instaurer une communication au plus haut niveau des indicateurs de risques, de contrôle selon
une fréquence adaptée, notamment au travers de tableau de bord.
Exemples de tableau de bord :
L’évaluation de l’efficacité du dispositif de gestion des risques
Reporting
La gestion des risques - Avril 2012
© 2012 Deloitte76
• La pertinence des contrôles
- Savoir quel contrôle ou quelle combinaison de contrôles est approprié
dépend entièrement de l’objectif et de l’environnement d’entreprise.
- Un degré élevé de jugement professionnel est nécessaire pour évaluer la
conception des contrôles.
• Contrôle manuel (actif) vs. contrôle automatique (passif)
• Contrôle préventif vs. contrôle défectif
• Contrôle compensatoire
• L’efficacité des contrôles
- Besoin de garantie pour la Direction Générale que les contrôles
fonctionnent conformément à leur conception (c.-à-d. qu’ils sont
efficaces).
- Limites des contrôles:
• Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration.
• Faire trop de confiance aux contrôles peut coûter plus cher que l’exposition dont
ils sont censés protéger.
• Les changements et le temps peuvent rendre les contrôles obsolètes.
• Si le personnel n’adhère pas aux contrôles ou s’il ne comprend pas les objectifs à
atteindre, il peut y résister et l’esprit d’initiative peuvent s’en ressentir.
L’évaluation de l’efficacité du dispositif de gestion des risques
S’assurer de la pertinence et de l’efficacité des contrôles
La gestion des risques - Avril 2012
© 2012 Deloitte
Témoignage des
intervenants
77 La gestion des risques - Avril 2012
© 2012 Deloitte
Echanges autour de la
gestion des risques
78 La gestion des risques - Avril 2012
© 2012 Deloitte
Echanges autour de la gestion des risques
79 La gestion des risques - Avril 2012
« L’avenir de la gestion des risques passe par sa pleine intégration
dans l’entreprise, et par la collaboration entre ses différents acteurs »
Des questions ?
© 2012 Deloitte
Vos contacts
Marie Paulus, senior manager, Risk Advisory
12 années d’expériences
Marie intervient depuis plus de 9 ans sur des problématiques d’audit interne, de contrôle interne
et de maîtrise des processus. Elle co-anime également l’offre Gouvernance du cabinet et
intervient à ce titre dans la revue des modalités de fonctionnement des organes de
gouvernance de clients de l’industrie et des services.
Fortement attirée par le capital humain, elle est impliquée sur la conception et l’animation de
formations en interne et externe et exerce la fonction de Manager RH au sein de sa ligne de
service depuis 6 ans.
oheurzeau@deloitte.fr
Tel/Direct: +33 1 55 61 62 99
Email: mpaulus@deloitte.fr
Edouard Lhomme
Associé …..
sallaire@deloitte.fr
Tel/Direct: …..
Email: …
12/04/2012
Mise en place de la
cartographie des
risques chez
Atos Worldline
Alain Barlian
Confidential 2
12/04/2012
Alain BARLIANTable of contents
▶ ATOS
▶ Le management du risque chez Atos Worldline.
▶ La cartographie
– Identification des risques
– Evaluation
– Plan d’action
– Reporting
▶ Eléments de réflexion personnelle
en guise de conclusion
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
Confidential 3
12/04/2012
Alain BARLIANATOS
▶ Acteur international des services informatiques.
– Un Chiffre d’Affaires annuel de 8,5 milliards d’euros
– 74 000 collaborateurs dans 42 pays,
▶ Fournit à ses clients des services transactionnels, des solutions de conseil et de
services technologiques, d’intégration de systèmes et d’infogérance.
▶ Intervient dans les secteurs de Industrie, Distribution & Services, Services
Financiers, Energie & Services Publics, Télécoms, Médias & Technologie, Secteur
Public, Santé & Transports.
▶ Partenaire informatique mondial des Jeux Olympiques et Paralympiques.
▶ Le Groupe est coté sur le marché Eurolist de Paris et exerce ses activités sous
les noms d’Atos, Atos Consulting & Technology Services, Atos Worldline et Atos
Worldgrid.
Confidential 4
12/04/2012
Alain BARLIANATOS Worldline
▶ Centre d’expertise d’Atos pour les services transactionnels de haute technologie
(HTTS)
▶ Leader des services end to end pour les transactions électroniques critiques,
▶ Spécialisé dans les paiements électroniques (comme l’émission, acquisition,
terminaux, solutions de paiement et traitement des transactions), les services en
ligne pour les clients, les citoyens et les communautés (eCS), ainsi que les
services pour les marchés financiers.
▶ Quelques chiffres :
– Chiffre d’affaire de € 913 millions
– 5 400 personnes dans le monde.
– Paiement :470 millions de paiements à distance, 2.2 milliards d’acquisitions, 36 millions de
cartes de crédit et de débit, 850 000 terminaux.
– Services en ligne : 2.1 milliards d’appels (SVI & Centre de Contacts), 1.6 milliard de SMS,
61 millions de boîtes email, 166 milliards de pages vues sur Internet, + de 1 milliard de e-
documents, 70 millions d’archives à vocation probatoire
– Marchés financiers : 340 millions d’ordres de bourse traités, 450 milliards d’euros d’actifs
gérés.
Confidential 5
12/04/2012
Alain BARLIAN
5
Industry
Telco–Media–Utilities
Transport
Bank–Finance
PublicSector
Retail
Health
ATOS Worldline
Quelques références.
Confidential 6
12/04/2012
Alain BARLIANIntroduction
Le management du risque chez Atos Worldline
▶ Il s’agit d’un processus permettant de :
– Garantir la continuité de service de nos clients pour leurs client finaux,
– Répondre aux exigences réglementaires de nos clients (domaine bancaire-
Bale – SAS70, de la santé, …)
▶ Nos objectifs :
– Abaisser le coût global du risque en le maitrisant .
– Conforter les objectifs de la société en contribuant à l’optimisation de la
performance technique et opérationnelle
– Renforcer la confiance faite à l’entreprise par ses clients, ses actionnaires, ses
salariés et les marchés financiers.
Tout le monde doit prendre des risques, personne ne peut les cacher
“le risque zéro”
n‘est pas l’objectif
Confidential 7
12/04/2012
Alain BARLIAN
Business
sponsor
Process
sponsor
Business
sponsor
Process
owner risk
management
Processorganization
Coordination
Risk
Management
Risk
Management
responsible
Risk
Management
responsible
Risk
management
responsible
Business
sponsor
Coordination
Risk
Management
Coordination
risk
management
Organizational Unit
Le process sponsor est en
charge de la bonne
application du processus
Coordonne le management
homogène du process
Des Directions Générales
par zones géographique
Des Coordinateurs
rattachés aux Directions
Générales
Managers d’Unités
d’Affaire.
Une organisation déclinée par DG
Confidential 8
12/04/2012
Alain BARLIAN
Intern
al
factors
Extern
al
factors
Internal Environment
Objective Setting
Process Supervision
Risk Identification
Risk Assessment
Maintenance
& Monitoring
Risk Response
Social
Infrastruct
ure
Technolog
y
Environme
ntal
Personnel
Technolog
y
Process
Laws &
regulation
s
Use of:
- Required documents for Risk
Assessment preparation
-Risk Categories
-Loss Register
-Control Assessments/Maturity
- Likelihood scale
- Impact scale
- Risk appetite Matrix
- Voting card Impact &
probability
- Average impact score and
standard deviation
- Risk appetite
Matrix
- Control
Register
- Average score
and standard
deviation
- Risk reports for process sponsor
-Reports for process owner
- Meetings/call conf. with process owner
La cartographie
Confidential 9
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
▶ Fonctionnement par ateliers :
– A partir des activités et objectifs des départements, unités,
services.
– Analyse des incidents
– Revue des “best practices” et des standards
– Utiliser les rapports d’audit
– Identifier les contrôles et mesures déjà en place
– Questionnaires préétablis
– Les expériences de chacun
– …
La cartographie
Step 1: Identification
Confidential 10
12/04/2012
Alain BARLIANLa cartographie
Step 1: Identification
Competition
Clients
Business Partners
Economy &
Industry
Politics
Disasters
Criminal Actions
Laws,
Regulations &
Payment Schemes
People
External
Financial
Legal
Strategy & Management Process
System
Compliance
External Reporting
Contract’s
Management
Strategy & Objectives
Alignment of structures and
objectives
Budgeting
Measuring Instruments
Information & Communication
Process of decision
Management & Leadership
Change Management
Culture & Ethics
Product Development
Master data
Transactions
Process Design
Process Availability & Capacity
Internal Control
Process Efficiency
Process Effectiveness
(Out-)sourcing
Product/ Service Defects
Knowledge Management
Capital Availability & Liquidity
Financial Cost
Credit Risk
Financial Instruments
Availability & Capacity
Knowledge
Motivation
Errors
Fraud
Health & Safety
IT Effectiveness
IT Efficiency
Confidentiality
IT Integrity
IT Availability
IT Reliability
Confidential 11
12/04/2012
Alain BARLIAN
▶ Fonctionnement par atelier :
– Vote sur impact et probabilité.
– Recherche de consensus. S’il y a des différences, les
comprendre et les analyser (pb d’intérprétation).
– Prioriser les risques
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
AS IS Residual Risk
2
5
16
#REF!
910
7
0
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Impact
Likelihood
Individual
Vote results Graphical
representation
La cartographie
Step 2: Evaluation des probabilités et des impacts
Confidential 12
12/04/2012
Alain BARLIAN
La cartographie
Step 2: Evaluation des probabilités et des impacts
Likelihood
Probability of
Occurrence
1 Exceptional
2 Rarely
3 Not Often
4 Potential
5 Often
6 Frequent
7 Continuous
Remark: when having impact on different areas, only the highest impact estimate will be taken into account
Quantification / Qualification
Im
pac
t
Description Financial Availability Reputation Clients Legal
1 Insignificant
2 Minor
3 Moderate
4 Large
5 Major
6 Unacceptable
7 Catastrophic
Confidential 13
12/04/2012
Alain BARLIAN
La cartographie
Step 2: Evaluation des probabilités et des impacts
1
2
3
4
5
6
7
89
1011121314160
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Likelihood
Impact
AS IS Residual Risk
(red) Doit être rapporté par le risk
responsible au Business sponsor
et au process coordinator.
(yellow) Doit être rapporté à un risk
responsible, de niveau BU
manager et au process
coordinator
Confidential 14
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
La cartographie
Step 3: Appétance et réponse aux risques
▶ Sur la base des connaissances acquises
lors des étapes précédentes
– Décider si le risque est acceptable
– Sinon:
• Déterminer une ou plusieurs
réponses
• Evaluer le rapport coût/bénéfice
• Définir un plan d’ action
• Pour chaque action:
–Désigner un responsable de
l’implémentation
–Fixer une date convenable
–Mettre des ressources
à disposition
▶ Evaluer le risque résiduel
• Quelle part de risque reste t-il une
fois la réponse implémentée
• Est-ce acceptable?
Confidential 15
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
La cartographie
Step 4: Maintenir, gérer et communiquer
 Reporting et communication sont peut-être l'une des étapes les plus
importantes.
 L'information doit circuler dans les deux directions:
 Top-down: développer la culture et de définir les priorités
 Bottom-up: Monter en hiérarchie jusqu'à un niveau adéquat
▶ Chaque liste des risques doit :
– Être suivie d’une analyse d'impact de la réalisation du plan
d'action
– Ré-évaluée : impact et probabilité - tendances de l'évolution
– Priorisée
– Être effectuée sur une base régulière (idéalement 2 fois par
an)
▶ Le Plan d'action de réalisation doit également être suivi de
près.
Confidential 16
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
En conclusion
 Maintenir un planning itératif :
– Fin juin et fin décembre : Mise à jour des Risk Register =
nouveaux risques, nouvelles évaluation, suivi des plans d’actions.
– Fin mars et fin septembre = suivi des plans d’actions
 Entretenir son réseau
– Il n’est pas facile de révéler les risques de son entité. S’adresser
au risque manager n’est pas toujours une démarche naturelle.
– Confiance, dialogue
 Ne pas être intrusif
– Le business reste maitre de ses risques
– Plutôt du coaching
LA GESTION DES RISQUES
CHEZ
PAS-DE-CALAIS HABITAT
Présentation de Miguel BEDET, Directeur des risques pour Club d’échange IFACI nord
12 Avril 2012 « La gestion des risques : du coût à l’opportunité »
Partie : Témoignages et retours d’expériences
La gestion des risques chez Pas-de Calais Habitat
Plan de la présentation :
1. Identité et missions de l’organisme
2. Projet GGR : Gestion globale des risques
• Naissance de la démarche ; Utilité et plus value attendue ;
Objectifs ; Modes d’actions
3. Le cadre d’organisation
4. Pratiques
• Les éléments de la revue du comité des risques, les méthodes
de cartographies
5. Points critiques
• Limites, évolutions
6. Risques. Quelques enseignements à connaître
• La pensée du Danger : Tout va bien ! ; Débats internes sur les
risques : l’identification ; L’étude du Danger : Le traitement du
savoir
PDCH : 1. Identité et missions
Identité
• Premier bailleur social et opérateur urbain :
30 % du parc social du Pas de Calais
• Statut OPH : 3ème Office Public de l’habitat au
service des communes et des habitants
• Plus de 200 Communes partenaires
Son patrimoine :
• 39 500 logements dont 28300 en collectifs et
11200 individuels
• 700 logements par an produits
• Notre tutelle de rattachement le département :
CG62
La gouvernance :
• Conseil d’administration de 23 Membres :
Dont 6 conseillers Généraux +
7 Personnes qualifiées +
6 membres désignés par les institutions : Caf,
Udaf, Uro, Syndicats, CIL + 4 Membres élus par
les locataires
Michel
VANCAILLE
Président
1er Vice-
président du
Conseil Général
de Pas de Calais
Jean Michel
Stecowiat
Directeur
Général
Conduire des opérations urbaines :
Etre et faire avec nos partenaires : promouvoir l’équilibre
urbain, acteur de la politique de la ville :
200 à 240 M€ d’investissement annuel
Réhabilitation : 1 800 logements par an
Engagé sur 11 Projets de renouvellement Urbain
Des valeurs : Altérité – Respect – Egalité – Equité - Engagement
Assurer des services aux habitants et aux collectivités :
Anticiper , Innover, Etre réactif
Faciliter l’échange (élus, habitants), Améliorer
l’habitat (mieux vivre ensemble), contribuer à
l’évolution de l’espace urbain
Effectifs : 815 ETP dont 60 % de personnel de
proximité (Gardiens _ ATP – RPS)
Produits des activités : 188 M€
Accord AFNOR ACX 50-850 Contractualisé en
2003 signé avec CG62 / AVIJ / CAHC
Un positionnement métier
celui d’opérateur urbain
Deux grandes missions
1. Identité et missions
2. Projet GGR
L’investissement dans la Gestion Globale des risques
• Naissance de la démarche
– Séminaire de direction en 2009 : diagnostic sur nos domaines prioritaires
fait ressortir par nos directeurs l’insuffisance de la gestion du risque , son
développement s’inscrit dans le projet d’entreprise
– Exigences fortes en matière de contrôles externes
– Dans le prolongement du SMQ
• Utilité et plus value attendue de l’investissement
– Une visée management passant par la sécurisation des décisions et la
cohérence d’actions
– Une réactivité à l’environnement : client / réglementaire / crise fin 2008
– Une volonté d’une mise sous surveillance des grands risques : pénal /
crise et pca / pérennité financière.... dans la logique de mieux connaître,
mieux détecter, être en phase avec les responsabilités de l’organisation.
2. Projet GGR
L’investissement dans la Gestion Globale des risques
• Objectifs du projet : « s’inscrire dans les pratiques de management »
– Introduire la culture risque par l’exemple, de faire accepter l’idée dans faire une activité
de management à part entière. Par la pratique, avant même de déployer de la
méthodologie
– Apprendre à analyser et à prioriser la gestion des ressources auprès des managers. La
GGR comme support de méthode d’analyse pour le management comme préalable aux
actions de couvertures.
– Augmenter la connaissance, cerner et comprendre les principales zones de risques
demandent formalismes, débats, arbitrages et prises de position
• Modes d’actions
– Surveiller et instruire les risques en intégrant les gestionnaires de risques sans pour
autant les dessaisir de leurs responsabilités. Etre en appui, aide à l’expression, éliminer
les dissonnances.
– Alerter, recommander les actions soit en processus (SMQ), soit en comités spécialisés
ou simplement vers les directions.
– Aligner en permanence les risques sur les actions prioritaires.
– « Conscientiser », atteindre les esprits par le jeu collectif est le meilleur moteur de
l’action. Travailler la perception
NB : Quid du CI, de la relation à l’audit interne
3. Le cadre d’organisation
4. Pratiques : les éléments de la revue du comité
des risques
1. Les cartographies des risques majeurs
Des risques majeurs placés sous surveillance : non communiqués
2. Les cartographies des risques opérationnels
Attribution de logements, Développement, Maintenance et sécurité patrimoniale, Rh
3. Les remontées d’incidents
Des incidents notoires placés sous surveillance : non communiqués
4. Les revues de conformité réglementaire
Loi molle, Warsman, tva immobilière, Pénibilité retraites
5. Les rapports de contrôles et audits I/E
CRC, Miilos, Cac, Audit interne Qualité, urssaf…
6. Auto saisine de risques spécifiques
Risques Psychosociaux, délégations, encaissements, cnil…
4. Pratiques : les méthodes de cartographies
Une approche classique des risques
– Le PMR : identifier, analyser, évaluer, traiter, surveiller.
– La pesée : gravité / fréquence
– Les mesures risques bruts , risques résiduels
– Appétence
Certains risques ne rencontrent pas systématiquement de réponses.
Les niveaux de réponses sont proportionnés aux moyens,
comportements, procédures...à mobiliser.
Les tolérances sont à mettre en relation avec les capacités, taux
d’efforts par rapport au gains attendus.
5. Points critiques
LIMITES
• La responsabilité déléguée à l’instance Comité des risques et
l’engagement entrepreneurial des participants directeurs fonctionnels
(postures entre moi et pdch).
• La connaissance « raisonnable » des risques :
– plus je suis en connaissance plus je suis en responsabilité pour agir
(distanciation)
– Plus je mets en connaissance, ou communique plus grande est la crainte est
d’amplifier, de faire peur. « Autocensure »
• La perception des risques : réglages des interférences entre individus et
les jeux de pouvoir.
EVOLUTIONS
• Certains sujets d’instructions de risques nécessitent plus que de simples
perceptions.
– Vers des vérifications avec preuves et engagements
– Vers des questionnaires d’autocontrôles
6. Risques. Quelques enseignements à connaître
La pensée du Danger : Tout va bien !
« les situations dangereuses sont complexes »
En règle générale, on se plait à reconnaître qu’un danger est prévisible pour ses
semblables (les autres) mais en même temps on n’est pas prêt à envisager qu’il puisse
nous concerner
• Les 3 grands comportements observés face aux risques
– La négation du danger : Affirmation fondamentale d’invincibilité ou
d’inconscience
• Ex type : Titanic / insubmersibilité et le comportement de son capitaine.
Nous renvoie à la gouvernance et sa cécité.
– La distanciation : Refoulement du danger et son ignorance volontaire
• Le réflexe collectif primaire qui tend à exporter le danger parce qu’il est
désagréable d’en être conscient ou de le reconnaître.
On sait mais on préfère ne pas voir ou ne pas en parler.
Peut conduire au sacrifice de soi (accident du travail)
– L’officialisation : Rationaliser le danger que lorsqu’il prend corps
• Pas de manifestation, de phénomène, pas de danger.
Il existe une prise de position d’une autorité ou scientifique , elle est crédible et on
s’en tient à elle
Nous renvoie aux communiqués officiels rassurants
(On pense au nuage de Tchernobyl). (A l’opposé en jouer).
6. Risques. Quelques enseignements à connaître
Débats internes sur les risques : l’identification
la résidence des risques : Exemple le 11 mars 2011 au japon :
Nature / Culture ? Quelle frontière entre le naturel et le sociétal ? est-il dans la nature du
risque d’être naturel ?, ou au contraire , doit-on considérer que des facteurs humains
viennent expliquer la gravité des inondations ou tremblements de terre ?
Rechercher , identifier le risque.
• la source : Qui est donc menacé ? (moi / l’autre ) (la nature / la culture)
– Formes pour légitimer : l’imputation, l’accusation, la disculpation, la consolation
– Exprimer la propension du danger de passer du potentiel à Réel . (peser la
vulnérabilité / notre résilience)
• la cible: Quel collectif est victime ?
– Il supplante la priorité faite à celle de l’individu qui en fait partie.
Explique aussi les conduites extrêmes comme le fanatisme (Mohamed Merah)
– L’atteinte à ses valeurs, normes, objectifs, implique la bonne connaissance de soi
pour une bonne immunologie
• la nature du risque :
– le projet de décrire le danger : notre capacité à décrire et supérieure à notre
capacité de perception
Rechercher la distinction : Parce qu’une « cause ou une hypothèse ou une
circonstance identifiée », peut être la source de la survenance d’un «
événement incertain », et qu’il aura un « effet sur un ou plusieurs
objectifs ».
6. Risques. Quelques enseignements à connaître
L’étude du Danger : Le traitement du savoir
Ambiguïtés
• Aucun modèle scientifique ne dissipe l’incertitude, de savoir ce qu’il en
est exactement du danger.
• Notamment le cas des applications du principe de précaution. (pandémie
grippale)
Déficits
• Entre le perçu et le voulu
• L’écart entre ce que le regard voit dans les réseaux et ce qu’on pourrait
voir chez nous
Dissonances
• Penser une situation dangereuse est rendu très difficile par les
divergences entre les acteurs.
• S’ajoutent les confrontations entre « sachants » et experts
• La dissonance est elle-même source de danger. Elle est à reconsidérer
de façon positive « dissonance cognitive » Système apprenant
Mettez du confort
dans votre zone de risque
Neuf principes
pour devenir une Risk
Intelligent EnterpriseTM
Consulting & Risk Services
3	 Introduction
4	 L’inconfort du risque
5	 Un référentiel comme point d’ancrage
6	 Une gestion symphonique des risques
7	 Lire la même carte
8	 Un traitement réservé aux champignons
9	 « Nous gérons les risques tous les vendredis »
10	 Qui est le propriétaire du risque ?
11	 Les fonctions support et le risque
12	 Les garants du dispositif
13	 Restez vigilant en matière de risques
14	 Les neuf principes fondamentaux de la « Risk Intelligence »
15	 Contacts
Sommaire
Avertissement légal
Ce support et les informations qu’il contient sont fournis par Deloitte Touche Tohmatsu. Ils sont destinés à la diffusion d’informations d’ordre général sur un ou plusieurs sujets
particuliers et ne prétendent pas en faire un traitement exhaustif.
Par conséquent, l’information contenue dans ce document n’est pas destinée à constituer un conseil ni un service de comptabilité, de fiscalité, de droit, d’investissement, de
consultation ou d’un autre domaine professionnel. Elle ne doit pas constituer le seul fondement de décisions appelées à avoir un impact sur vous-même ou sur votre entreprise.
Nous vous conseillons, avant de prendre quelque décision ou de poser quelqu’acte qu’il soit qui puisse avoir des répercussions sur vos finances personnelles ou sur votre entreprise,
de consulter un conseiller professionnel compétent.
Ce document et l’information qu’il contient sont présentés « tels quels » et Deloitte Touche Tohmatsu ne fait aucune déclaration ni n’accorde aucune garantie, expressément ou
implicitement, à leur égard. Sans limiter la portée de ce qui précède, Deloitte Touche Tohmatsu ne garantit pas que ce document ou que l’information qu’il contient soient sans
erreur ni qu’ils respectent quelque critère de rendement ou de qualité que ce soit. Deloitte Touche Tohmatsu ne se reconnaît responsable d’aucune garantie implicite, y compris,
sans s’y restreindre, les garanties sur la qualité marchande, le titre, l’aptitude à une fonction particulière, l’absence de contrefaçon, la compatibilité, la sécurité et l’exactitude.
Vous utilisez ce document et l’information qu’il contient à vos propres risques. Vous assumez l’entière responsabilité et tous les risques de dommage résultant de leur utilisation.
Deloitte Touche Tohmatsu n’est responsable d’aucun dommage spécial, indirect, accessoire, consécutif ou punitif, ni d’aucun autre dommage quel qu’il soit, que ce soit dans une
action recherchant sa responsabilité contractuelle, juridique ou délictuelle (y compris, sans s’y restreindre, la négligence) ou autrement, relativement à l’utilisation de ce document
ou de l’information qu’il contient.
Si l’une des dispositions précitées ne peut être appliquée intégralement pour quelque raison que ce soit, les autres dispositions continuent de s’appliquer.
Introduction
Cette publication fait partie d’un ensemble de
communications que Deloitte consacre aux principes
fondamentaux de l’intelligence du risque. Notre
ambition est de présenter, dans un langage simple, les
composantes indispensables à tout dispositif de « Risk
Intelligence », et de proposer des pistes de réflexion et
des éléments pratiques utiles à la mise en place d’un tel
dispositif.
Au bas de chacune des pages suivantes est énoncé
un des neuf principes du dispositif d’intelligence du
risque, précédé d’un éclairage sur le thème concerné.
L’application de l’ensemble des ces principes permet la
mise en place d’un dispositif dynamique et pérenne de
gestion des risques, désigné sous l’appellation
The Risk Intelligent Enterprise.
La mise en œuvre de ces principes peut, bien entendu,
varier selon vos pratiques professionnelles, le cadre
réglementaire et le degré de maturité de votre
entreprise.
Dans certains secteurs économiques, ces principes
sont, pour la plupart, débattus depuis plus de dix ans
et peuvent donc sembler élémentaires mais, dans bien
d’autres, ils commencent seulement à être adoptés.
Quel que soit votre secteur d’activité, les principes
fondamentaux restent valables.
Si cette publication est la première de notre série
« Principes fondamentaux », ce n’est pas la première fois
que nous prenons la parole sur la « Risk Intelligence ».
Nous avons en effet publié plus d’une douzaine de titres
sur le sujet et réalisé de nombreux podcasts et webcasts.
Vous pouvez consulter gratuitement tous ces supports
sur www.deloitte.com/RiskIntelligence.
Une Risk Intelligent Enterprise se distingue avant tout
par une communication sans entrave. Nous vous
recommandons donc de partager le contenu du
présent document avec les autres dirigeants de votre
entreprise, les membres de son conseil d’administration
et ses principaux cadres. Les questions soulevées et les
concepts présentés dans cette publication constitueront
un excellent point de départ au dialogue qui doit
impérativement s’instaurer en matière d’amélioration de
la « Risk Intelligence » au sein de votre organisation.
3
L’inconfort du risque
Tout comme la politique ou la religion, le risque est
souvent un sujet polémique qui met les interlocuteurs
dans une situation d’inconfort. Rien d’étonnant à cela
dans la mesure où bon nombre de personnes mettent
plus ou moins consciemment des limites à ce type de
sujet.
Le risque peut être pour vous synonyme de menace ou
signe de mauvais augure pour vos affaires. Ce qui en fait
un sujet de conversation délicat.
La discussion peut cependant prendre une tournure plus
libre si vous envisagez l’autre facette du risque, celle qui
favorise la création de valeur. Autrement dit, une prise
de risques calculée, génératrice de valeur.
Le lancement de nouveaux produits, la conquête de
marchés étrangers, le rachat de concurrents, tous ces
projets constituent de véritables défis. Si vous ne gérez
pas correctement les risques qui y sont associés, vous ne
pourrez pas en retirer les bénéfices potentiels.
Envisagez donc une définition plus large du risque, une
définition qui donnerait la même importance à la gestion
des risques, qu’ils soient liés à la croissance ou à la
rentabilité.
Principe n°1 : dans une entreprise « Risk
Intelligent », une définition globale de
l’« appétit » pour le risque, qui couvre à la
fois la création et la conservation de valeur, est
utilisée de façon uniforme dans l’ensemble de
l’organisation.
4
Un référentiel comme
point d’ancrage
A quoi suspendez-vous votre imperméable en rentrant
chez vous si ce n’est au crochet d’un porte-manteau ?
Sa résistance varie selon la charge qu’il est supposé
supporter (vêtements lourds d’hiver ou légers comme un
imperméable d’été).
Envisagez votre référentiel de gestion des risques selon
le même principe : un point d’ancrage qui soutient
votre programme de gestion des risques, adapté à votre
« appétit » pour le risque.
Les référentiels de gestion des risques – tels que
COSO ERM, Turnbull et ISO – sont autant d’outils qui
permettent d’identifier les opportunités à exploiter et les
dangers à éviter.
Mais votre référentiel doit se montrer suffisamment
solide pour soutenir les objectifs de votre gestion
des risques. Il doit considérer vos propres stratégies,
vos initiatives et votre structure organisationnelle, et
pouvoir s’adapter à votre secteur d’activité comme à vos
obligations réglementaires.
Inutile de pousser trop loin l’analyse. N’accordez pas plus
de temps que nécessaire au choix de votre référentiel.
Assurez-vous seulement qu’il supportera le poids de
votre « chapeau ».
Principe n° 2 : dans une entreprise « Risk
Intelligent », un référentiel de gestion des
risques commun, soutenu par un corpus de
normes adapté, est utilisé par l’ensemble de
l’organisation pour gérer les risques.
Mettez du confort dans votre zone de risque 5
Une gestion symphonique
des risques
Lorsqu’elle est bien menée, la gestion des risques est
un effort coordonné, aussi précisément accordé qu’un
orchestre symphonique. Qu’il s’agisse de risque ou de
musique, les intervenants agissent de concert au fil de
compositions souvent complexes.
Dans votre entreprise, certaines personnes peuvent
même ignorer qu’elles font partie de l’orchestre. Le chef
de produit, le superviseur informatique ou l’adjoint du
directeur des fusions/acquisitions, par exemple, estiment
peut-être que la gestion des risques n’est pas de leur
ressort.
Changer cette mentalité est un préalable au déploiement
de l’intelligence du risque. Vous devez adresser des
messages clairs à chaque niveau de l’organisation
pour expliquer ce qu’est l’intelligence du risque, quelle
est son importance pour l’entreprise en général et les
collaborateurs en particulier, et ce qui est réellement
attendu au quotidien de la part de chacun d’eux.
Ceci suppose une communication lisible, une culture
du risque solide, des plans incitatifs comportant
des objectifs liés aux risques, et des programmes de
formation pour une gestion clairvoyante des risques.
En résumé, la collaboration doit être harmonieuse et
l’ensemble s’organiser comme suit :
• Le conseil d’administration donne le ton (page 8).
• La direction tient la baguette (page 9).
• Les unités opérationnelles jouent de leur instrument
(page 10).
• Certaines fonctions (RH, services financiers,
informatiques, juridiques, fiscaux) jouent leur rôle
d’assistance en coulisses (page 11).
• D’autres fonctions (audit interne, gestion des risques et
compliance) sont les régisseurs du spectacle (page 12).
6
Principe n°3 : dans une entreprise « Risk
Intelligent », les rôles clés, responsabilités et
autorités de tutelle en matière de gestion des
risques sont clairement définis et délimités.
Lire la même carte
Mettez du confort dans votre zone de risque 7
Les spécialistes du risque tendent à se comporter comme
les membres d’une même communauté : ils restent
ensemble, partagent les mêmes croyances, rituels et
habitudes et développent leur propre dialecte.
Mais les pratiques dont se nourrissent ces populations
« indigènes » ne sont pas idéalement adaptées à
tous les gestionnaires du risque que l’on trouve dans
l’organisation d’une multinationale.
Cela ne veut pas dire que toute spécialisation est inutile,
bien au contraire. Sans cela, une gestion efficace des
risques serait impossible. Les spécialistes du risque ont
juste besoin de sortir de temps en temps de l’espace
dans lequel ils sont confinés. Le risque n’existant pas de
façon isolée, il en va de même pour ses gestionnaires.
Pour gérer efficacement les risques et en tirer avantage,
la distance entre les différents silos organisationnels doit
être comblée. Pour ce faire, une infrastructure commune
doit être créée, de sorte que toutes les fonctions et
unités opérationnelles aient recours, autant que possible,
aux mêmes processus et supports technologiques.
Ceci implique une synchronisation (assurer une
coordination par-delà les frontières institutionnelles),
une harmonisation (veiller à ce que les gestionnaires du
risque parlent tous le même langage et définissent le
risque de la même façon) et une rationalisation (éliminer
les tâches dupliquées inutilement).
Utilisez des outils tel que The Risk Intelligence Map ™ 1
(cartographie de la « Risk Intelligence ») pour faciliter vos
discussions. Vos réflexions et échanges sur les risques
pourraient alors prendre des directions que vous n’auriez
jamais envisagées. Reportez-vous à votre référentiel
de risques pour formaliser votre approche. Dressez
l’inventaire de vos risques majeurs.
Une terminologie, des technologies, des indicateurs
et des processus communs vous permettront de
transcender votre organisation en silos. Un tableau de
bord « Risk Intelligent » vous permettra de piloter vos
risques de façon dynamique.
Principe n°4 : une entreprise « Risk
Intelligent » est dotée d’un dispositif de
gestion des risques partagé, qui permet aux
fonctions et unités opérationnelles d’assumer
avec professionnalisme leurs responsabilités
dans le domaine des risques.
1	
Pour de plus amples informations sur The Risk Intelligence Map ™,
	 contactez votre interlocuteur chez Deloitte (voir page 15).
Un traitement réservé
aux champignons
8
Les conseils d’administration sont parfois soumis à un
traitement que l’on réserve habituellement à certains
champignons, et qui pourrait se résumer comme suit :
« Gardons-les dans le noir… »
Il va sans dire que ce genre de traitement devrait être
proscrit. Le conseil d’administration ou de surveillance
a la responsabilité de veiller à ce que la direction de
l’entreprise dispose de processus appropriés pour gérer
les risques. Et cette responsabilité ne peut s’exercer en
l’absence d’éclairage.
Pour satisfaire à leurs obligations et créer de la valeur, les
administrateurs doivent :
• Mettre le risque à l’ordre du jour de leurs réunions. Lui
consacrer du temps avant qu’il n’en exige. Discuter du
risque à chaque réunion ne saurait épuiser le sujet.
• Evaluer la structure de gestion des risques en
place. Comment les risques sont-ils gérés ? Les silos
organisationnels sont-ils comblés ?
• Mobiliser l’équipe dirigeante. Entretenir un dialogue
permanent sur les risques. Identifier les risques
susceptibles d’empêcher l’entreprise de mettre en
œuvre ses principales stratégies.
• Discuter les différents scénarios de risques. Où les
meilleures opportunités se trouvent-elles ? Qu’est-ce
qui pourrait contrarier les objectifs stratégiques de
l’entreprise ?
• Vérifier l’appétence (ou l’aversion) de la structure
organisationnelle pour le risque. Déterminer dans
quelle mesure l’entreprise a la capacité d’assumer
le niveau de risque choisi. Et dans quelle mesure elle
peut réellement l’assumer. Le niveau de risque choisi
est-il en cohérence avec l’organisation de gestion des
risques mise en œuvre ?
• Disposer d’un tableau de bord de suivi dynamique
des risques de l’entreprise.
• Obtenir une assurance raisonnable. Quel est le niveau
de confiance de la direction ? Pour quelles raisons ?
• Obtenir une revue indépendante. Faire évaluer par
la direction de l’audit interne ou par un consultant
extérieur l’efficacité de l’ensemble du dispositif
de gestion des risques. L’assurance donnée par la
direction est-elle fiable ?
Principe n°5 : dans une entreprise « Risk
Intelligent », les organes de gouvernance
(conseil d’administration, comité d’audit, etc.)
bénéficient, pour remplir leurs obligations,
d’une transparence et d’une visibilité
suffisantes sur les pratiques de gestion des
risques.
Manage
Risk
« Nous gérons les risques
tous les vendredis »
Mettez du confort dans votre zone de risque 9
Ne riez pas, ce sont là les propos fidèlement reproduits
d’un chef d’entreprise bien réel. Et voici une autre vérité
qui donne à réfléchir : si vous considérez la gestion des
risques comme un travail à temps partiel, vous risquez
fort de devoir rapidement en trouver un vous-même.
Nous avons vu précédemment que le risque était
l’affaire de tous dans l’entreprise. Si vous êtes membre
de la direction, cette obligation s’impose d’autant plus
fortement à vous : vous êtes chargé de donner le ton,
de diriger, de concevoir et de mesurer.
Votre rôle de dirigeant implique un leadership et une
autorité que vous devez exercer : sensibiliser vos équipes
à la prise de risques comme source d’avantages, imposer
la gestion des risques à tous les échelons de la hiérarchie,
faire connaître vos attentes, responsabiliser, impliquer
votre conseil d’administration ou de surveillance, initier
le changement et établir une culture de l’intelligence du
risque.
Programme ambitieux, certes. Alors comment parvenir
à tout faire ? Pour commencer, constituez une cellule
d’intelligence du risque (un comité de gestion des risques
composé de membres de la direction générale) dont
le rôle sera de faire des commentaires pertinents sur le
risque à la direction de votre entreprise et de contribuer
à l’élaboration d’un programme d’intelligence du risque.
Le plus souvent, la cellule d’intelligence du risque au
niveau de la direction générale est incarnée par le Chief
Risk Officer – CRO (directeur des risques). Aux côtés
des autres dirigeants, le CRO coordonne les travaux
d’élaboration d’une politique et d’une approche
communes qui sont ensuite déployées dans les unités
opérationnelles. Il communique sur l’appétence de
l’entreprise pour le risque et en assure le suivi. Il soumet
des rapports sur les risques à la direction et aux organes
de surveillance du conseil. Certaines entreprises peuvent
opter pour un rôle plus étendu. Le style du CRO varie
considérablement d’une organisation à l’autre et
doit être en phase avec la philosophie du risque que
l’entreprise cultive. Certaines entreprises peuvent faire
le choix d’un collaborateur orienté « business », d’autres
d’un animateur de groupe, d’autres enfin d’un simple
« agent de police ».
Quels que soient les contours du rôle assigné, une chose
est sûre : aucun ne travaille que le vendredi.
Principe n°6 : dans une entreprise « Risk
Intelligent », la direction générale détient la
responsabilité principale de la conception,
de la mise en œuvre et du maintien d’un
programme efficace de gestion des risques.
Qui est le propriétaire
du risque ?
10
S’il est entendu que le risque est l’affaire de tous dans
l’entreprise, qui est le propriétaire du risque (le « risk
owner ») ? Pour nous, ce sont les unités opérationnelles
qui sont les propriétaires des risques, aussi bien en titre
que dans les actes.
Cette question de l’hébergement peut être source
de grande confusion dans les organisations. On peut
résumer la situation simplement :
Le responsable de l’entité opérationnelle est le
propriétaire du risque.
En d’autres termes, si vous répondez de la réussite
de cette unité, vous êtes le principal responsable de
la gestion quotidienne des risques. Ce qui n’exonère
en rien les autres membres de l’unité de leurs propres
responsabilités en matière de risques.
Quelles sont les conséquences de cette « propriété » ?
Les propriétaires de risques détiennent notamment la
responsabilité d’identifier, de mesurer, de surveiller,
de contrôler et de faire des rapports sur les risques à
la direction générale, d’encourager la sensibilisation
au risque et de réorganiser les priorités en fonction
d’analyses de risques efficaces.
Comme tout propriétaire d’immeuble soumis au respect
d’un plan d’urbanisation, les responsables d’unités
opérationnelles opèrent sous certaines contraintes et ne
peuvent, par exemple, choisir leur référentiel – ils doivent
s’y conformer.
Ils ne déterminent pas l’« appétit » de l’entreprise pour le
risque – ils s’en tiennent au « menu » qui leur est servi.
Et s’ils ont la possibilité de miser sur des objectifs comme
au casino, sans surveillance ni limite, c’est que le dispositif
de gestion des risques de l’entreprise doit être revu.
Principe n°7 : dans une entreprise « Risk
Intelligent », les unités opérationnelles sont
responsables des performances de leur activité
et de la gestion des risques qu’elle génère dans
le cadre du référentiel des risques établi par la
direction générale.
Les fonctions support
et le risque
Mettez du confort dans votre zone de risque 11
Certaines fonctions (notamment finance, juridique, RH,
fiscale, informatique, etc.) se distinguent des unités
opérationnelles en ce qu’elles ne sont pas seulement
les propriétaires de leurs propres risques : elles peuvent
aussi être le révélateur des risques d’autres unités
opérationnelles. Leur rôle est intrinsèquement différent
de celui des « garants du dispositif » (voir page suivante)
ou des unités opérationnelles (voir page précédente).
Tout comme les unités opérationnelles, ces fonctions
sont les principales responsables des risques générés
par leurs activités. La direction financière, par exemple,
assume directement les risques qui découlent de la
justification des comptes, le service informatique, ceux
liés aux technologies, le service juridique, ceux liés aux
litiges, et les RH, ceux liés aux ressources humaines.
En parallèle, elles sont également responsables de
risques qui transcendent leurs fonctions. Par sa
connaissance des comptes, la direction financière peut
identifier des risques d’autres unités opérationnelles.
La DSI, quant à elle, est omniprésente dans l’entreprise
et peut aider les autres services à contrôler et à réduire
leurs risques. Les RH peuvent exploiter les enquêtes
auprès des nouveaux entrants, les entretiens préalables
aux licenciements ou toute autre information susceptible
d’aider à identifier les zones de risques imminents.
Ces fonctions transverses sont responsables de
l’élaboration et de l’application des politiques,
procédures et contrôles qui réduisent le risque dans
l’ensemble de l’organisation. Elles servent de support
aux unités opérationnelles et les assistent dans la
compréhension de leurs obligations de prise de risque
raisonnée, avec l’objectif de les aider à en retirer des
bénéfices. Elles collectent des informations importantes
pour la direction générale et réalisent des analyses de
réduction des risques.
Il est important que ces fonctions clés soient associées
à l’équipe de gestion des risques et que leur rôle soit
articulé en phase avec le référentiel des risques. De
même, elles doivent participer au comité de gestion des
risques et à toutes les discussions majeures sur le sujet.
Principe n°8 : dans une entreprise « Risk
Intelligent », certaines fonctions (notamment
financière, juridique, informatique, HR, etc.),
de par leur caractère transverse, servent de
support aux unités opérationnelles dans la
mise en œuvre du programme de gestion des
risques.
Les garants du dispositif
12
En matière de gestion des risques, nombre de groupes
ont coutume de confier un rôle important à la direction
de l’audit interne, ou aux fonctions dites de contrôle
interne, de « compliance » ou de gestion des risques. Et
l’on pourrait dire que le « confort » est la responsabilité
première de ces fonctions : elles doivent en effet garantir
que la structure de contrôle interne et des risques
fonctionne de manière efficace (permettant ainsi aux
dirigeants et aux administrateurs de dormir sur leurs
deux oreilles).
Un tel rôle les distingue des autres fonctions de
l’entreprise. Les acteurs du confort ne sont pas
opérationnels par nature : ils n’ont aucune responsabilité
dans les décisions et orientations influant sur la bonne
marche des affaires. Leur raison d’être est plutôt de
contrôler et de favoriser l’amélioration de l’efficacité des
activités de gestion des risques dans l’entreprise.
Bien évidemment, les rôles et responsabilités spécifiques
de ces fonctions varient d’une organisation à l’autre.
Dans les descriptions de poste de ces fonctions, on
pourrait ajouter les qualités suivantes :
• Visionnaire : pour évaluer non seulement l’état actuel
de la gestion des risques, mais également pour scruter
l’horizon et aider la direction à prévoir les risques et
opportunités à venir.
• Diététicien : pour déterminer si les risques au menu de
l’entreprise correspondent à son « appétit ».
• Analyste : pour vérifier si l’entreprise prend
suffisamment en compte les phénomènes d’interaction
et d’effet en cascade des risques.
• Orienté efficacité : pour rechercher les moyens
d’éliminer les inefficacités dans la gestion des risques.
• Orienté solutions : pour préconiser l’allocation des
ressources nécessaires à une prise de risques dont
on tire avantage et pour gérer les risques liés à
l’augmentation de la rentabilité et de la valeur pour les
actionnaires.
• Vigilant : pour signaler les zones de risques jugées
insuffisamment couvertes et pour demander les
ressources nécessaires afin d’y remédier.
• Pédagogue : pour partager sa connaissance
approfondie et son expertise dans les principaux
domaines de risque, notamment en matière de fraude.
• Conciliateur : pour être partie prenante dans la
conception et la mise à jour des procédures de
contrôle, et pour aider à conduire l’évaluation des
risques.
Principe n°9 : dans une entreprise « Risk
Intelligent », certaines fonctions (audit
interne, gestion des risques, « compliance »,
etc.) fournissent une assurance objective au
même titre qu’elles assurent le suivi et le
reporting de l’efficacité du programme de
gestion des risques auprès des organes de
direction et de la direction générale.
Restez vigilant en matière
de risques
Mettez du confort dans votre zone de risque 13
Encore récemment, les secteurs de la finance et de
l’énergie étaient perçus comme des modèles de gestion
sophistiquée des risques. Mais la crise est passée par
là, effaçant au passage des milliards des bilans des
entreprises.
Des livres entiers ont été écrits sur ce qui a mal tourné.
Mais voici un rapide condensé :
1) L’éventualité d’interactions entre les risques a été
sous-estimée ou ignorée.
2) Trop d’importance a été donnée à la modélisation
par probabilité ; des raccourcis ont été pris ;
l’analyse de scénarios de risques ne s’est pas
suffisamment développée ; la visibilité a manqué sur
nombre de problèmes potentiels.
3) Les gestionnaires du risque se sont retrouvés isolés,
chacun dans son silo.
4) Les avertissements ont été ignorés ; ceux qui
prophétisaient le pire ont été mis à l’index, taxés
d’opposants systématiques ou critiqués pour absence
d’esprit d’équipe.
5) Une perspective à court terme a prédominé, ayant
pour unique but d’atteindre les objectifs trimestriels.
6) Les entreprises ont manqué d’une approche globale
de la gestion des risques étendue à l’ensemble de
l’organisation. Les habilitations et responsabilités se
sont avérées mal contrôlées et mal définies.
7) La gestion des risques s’est trop souvent basée
sur la conformité plutôt que sur les performances,
entraînant ainsi des erreurs d’appréciation et des
réponses inadaptées.
S’il s’agit bien là de défaillances majeures, il eût été pire
encore que les entreprises se soient montrées réfractaires
au risque. Prendre des risques pour en tirer des bénéfices
est un principe fondamental du capitalisme. Mais la
poursuite d’un tel objectif ne peut se faire sans maîtrise.
En d’autres termes : il est temps de devenir clairvoyant
en matière de risques, ou « Risk Intelligent ».
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

Contenu connexe

Tendances

Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
ibtissam el hassani
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
GBO
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
ibtissam el hassani
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
ibtissam el hassani
 
Management des risques
Management des risquesManagement des risques
Management des risques
younes elhaiba
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB
 
Le tableau de bord
Le tableau de bord Le tableau de bord
Le tableau de bord
Béatrice BRINET
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
PECB
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
Rémi Bachelet
 
Introduction gestion des risques
Introduction gestion des risquesIntroduction gestion des risques
Introduction gestion des risques
Jérémy Morvan
 
Tableau de bord prospectif
Tableau de bord prospectifTableau de bord prospectif
Tableau de bord prospectif
ABDELDJALIL DERRASCHOUK
 
Projet coso
Projet cosoProjet coso
Projet coso
Fadhel El Fahem
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
Olivier Pinette
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
Es-sahli bilal
 
Cours tableau de bord CG
Cours tableau de bord CGCours tableau de bord CG
Cours tableau de bord CG
Tidiane BÂ
 
Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...
Institute of Information Systems (HES-SO)
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques

Tendances (20)

Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Le tableau de bord
Le tableau de bord Le tableau de bord
Le tableau de bord
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 
Introduction gestion des risques
Introduction gestion des risquesIntroduction gestion des risques
Introduction gestion des risques
 
Tableau de bord prospectif
Tableau de bord prospectifTableau de bord prospectif
Tableau de bord prospectif
 
Projet coso
Projet cosoProjet coso
Projet coso
 
Doc audit
Doc auditDoc audit
Doc audit
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
Cours tableau de bord CG
Cours tableau de bord CGCours tableau de bord CG
Cours tableau de bord CG
 
Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...Risques opérationnels et le système de contrôle interne : les limites d’un te...
Risques opérationnels et le système de contrôle interne : les limites d’un te...
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 

Similaire à Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

Citizen act fiche_risques_fr
Citizen act fiche_risques_frCitizen act fiche_risques_fr
Citizen act fiche_risques_frCITIZEN ACT
 
Conférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureurs
Conférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureursConférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureurs
Conférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureurs
Alban Jarry
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
Wissem CHEROUANA
 
Concours oraltotal seminaire du 230213 - presentation gotic - v3[1]
Concours oraltotal   seminaire du 230213 - presentation gotic - v3[1]Concours oraltotal   seminaire du 230213 - presentation gotic - v3[1]
Concours oraltotal seminaire du 230213 - presentation gotic - v3[1]uatlantiqe
 
BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...
BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...
BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...Gret
 
Responsabilité sociétale : Comment répondre aux attentes de vos clients
Responsabilité sociétale : Comment répondre aux attentes de vos clientsResponsabilité sociétale : Comment répondre aux attentes de vos clients
Responsabilité sociétale : Comment répondre aux attentes de vos clientsCabinetRostaing
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
Alban Jarry
 
Histoire de la com de crise
Histoire de la com de criseHistoire de la com de crise
Histoire de la com de crise
Eric Maillard
 
Santé, sécurité et prévention
Santé, sécurité et préventionSanté, sécurité et prévention
Santé, sécurité et prévention
Leonard
 
Développement durable et responsabilité sociale
Développement durable et responsabilité socialeDéveloppement durable et responsabilité sociale
Développement durable et responsabilité sociale
Prof. Jacques Folon (Ph.D)
 
Citizen act fr_formation_rse
Citizen act fr_formation_rseCitizen act fr_formation_rse
Citizen act fr_formation_rseCITIZEN ACT
 
Observatoire du Développement Durable 2015 - Ifop
Observatoire du Développement Durable 2015 - IfopObservatoire du Développement Durable 2015 - Ifop
Observatoire du Développement Durable 2015 - Ifop
IfopCommunication
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
armelleguillermet
 
Evolution des risques opérationnels, plongée dans un nouvel environnement!
Evolution des risques opérationnels, plongée dans un nouvel environnement!Evolution des risques opérationnels, plongée dans un nouvel environnement!
Evolution des risques opérationnels, plongée dans un nouvel environnement!
Arrow Institute
 
Pme finance presentation 2013
Pme finance presentation 2013Pme finance presentation 2013
Pme finance presentation 2013jeanrognetta
 
Conference Développement Durable & RSE - 13 Décembre 2011
Conference Développement Durable & RSE - 13 Décembre 2011Conference Développement Durable & RSE - 13 Décembre 2011
Conference Développement Durable & RSE - 13 Décembre 2011
CJD ALGERIE
 
Le Reporting Intégré - Conférence World Forum Lille Institute et IIRC
Le Reporting Intégré - Conférence World Forum Lille Institute et IIRCLe Reporting Intégré - Conférence World Forum Lille Institute et IIRC
Le Reporting Intégré - Conférence World Forum Lille Institute et IIRC
World Forum Lille
 
Fondapol nouveaux modes de financement
Fondapol nouveaux modes de financementFondapol nouveaux modes de financement
Fondapol nouveaux modes de financement
Michel Vandenberghe
 
Economie verte numerique
Economie verte numeriqueEconomie verte numerique
Economie verte numeriquePhilippe Porta
 

Similaire à Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques (20)

Citizen act fiche_risques_fr
Citizen act fiche_risques_frCitizen act fiche_risques_fr
Citizen act fiche_risques_fr
 
RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6
 
Conférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureurs
Conférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureursConférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureurs
Conférence @Bloomberg sur #Solvency2 : enjeux et perspectives pour les assureurs
 
Plan de continuité d'activité - PCA
Plan de continuité d'activité - PCAPlan de continuité d'activité - PCA
Plan de continuité d'activité - PCA
 
Concours oraltotal seminaire du 230213 - presentation gotic - v3[1]
Concours oraltotal   seminaire du 230213 - presentation gotic - v3[1]Concours oraltotal   seminaire du 230213 - presentation gotic - v3[1]
Concours oraltotal seminaire du 230213 - presentation gotic - v3[1]
 
BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...
BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...
BistrO novembre 2012 - Une croissance inclusive et durable par Armand Rioust ...
 
Responsabilité sociétale : Comment répondre aux attentes de vos clients
Responsabilité sociétale : Comment répondre aux attentes de vos clientsResponsabilité sociétale : Comment répondre aux attentes de vos clients
Responsabilité sociétale : Comment répondre aux attentes de vos clients
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
 
Histoire de la com de crise
Histoire de la com de criseHistoire de la com de crise
Histoire de la com de crise
 
Santé, sécurité et prévention
Santé, sécurité et préventionSanté, sécurité et prévention
Santé, sécurité et prévention
 
Développement durable et responsabilité sociale
Développement durable et responsabilité socialeDéveloppement durable et responsabilité sociale
Développement durable et responsabilité sociale
 
Citizen act fr_formation_rse
Citizen act fr_formation_rseCitizen act fr_formation_rse
Citizen act fr_formation_rse
 
Observatoire du Développement Durable 2015 - Ifop
Observatoire du Développement Durable 2015 - IfopObservatoire du Développement Durable 2015 - Ifop
Observatoire du Développement Durable 2015 - Ifop
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
Evolution des risques opérationnels, plongée dans un nouvel environnement!
Evolution des risques opérationnels, plongée dans un nouvel environnement!Evolution des risques opérationnels, plongée dans un nouvel environnement!
Evolution des risques opérationnels, plongée dans un nouvel environnement!
 
Pme finance presentation 2013
Pme finance presentation 2013Pme finance presentation 2013
Pme finance presentation 2013
 
Conference Développement Durable & RSE - 13 Décembre 2011
Conference Développement Durable & RSE - 13 Décembre 2011Conference Développement Durable & RSE - 13 Décembre 2011
Conference Développement Durable & RSE - 13 Décembre 2011
 
Le Reporting Intégré - Conférence World Forum Lille Institute et IIRC
Le Reporting Intégré - Conférence World Forum Lille Institute et IIRCLe Reporting Intégré - Conférence World Forum Lille Institute et IIRC
Le Reporting Intégré - Conférence World Forum Lille Institute et IIRC
 
Fondapol nouveaux modes de financement
Fondapol nouveaux modes de financementFondapol nouveaux modes de financement
Fondapol nouveaux modes de financement
 
Economie verte numerique
Economie verte numeriqueEconomie verte numerique
Economie verte numerique
 

Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

  • 1. La gestion des risques : Maîtriser ses risques, un enjeu opérationnel, financier et un levier d’efficacité 12 avril 2012
  • 2. © 2012 Deloitte Sommaire 2 La gestion des risques - Avril 2012 1. Introduction 2. Un regard sur les évènements récents 3. Les évolutions de la gestion des risques 4. L’exemple du risque de réputation 5. Next steps 6. L’évaluation de l’efficacité du dispositif de gestion des risques 7. Témoignages intervenants 8. Echanges autour de la gestion des risques
  • 3. © 2012 Deloitte Introduction 3 La gestion des risques - Avril 2012
  • 4. © 2012 Deloitte4 Introduction Prendre du recul sur la notion de gestion des risques, retour aux origines La gestion des risques - Avril 2012
  • 5. © 2012 Deloitte5 ISO 31000 Les organisations de tous types et tailles font face à des influences et facteurs internes et externes qui rendent incertain si et quand ils atteindront leurs objectifs. L'effet de cette incertitude a des objectifs d'une organisation est le «risque». DIRECTIVE SEVESO II Le risque est la probabilité qu´un effet spécifique se produise dans une période donnée ou dans des circonstances déterminées. En conséquence, un risque se caractérise par deux composantes: la probabilité d´occurrence d´un événement donné; la gravité des effets ou des conséquences de l´événement supposé pouvoir se produire. FERMA La norme ISO/IEC Guide 73 définit le risque comme la combinaison de la probabilité d’un événement et des conséquences de celui-ci. Le simple fait d'entreprendre ouvre la possibilité d'évènements dont les conséquences sont potentiellement bénéfiques (aléa positif ) ou préjudiciables (aléa négatif ). On s'accorde de plus en plus à reconnaître que la gestion du risque s’intéresse à celui-ci sous les deux aspects de l'aléa positif et de l'aléa négatif. AMF Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa réputation. COSO Les événements peuvent avoir un impact positif, négatif ou les deux à la fois. Les événements ayant un impact négatif sont des risques pouvant freiner la création de valeur ou détruire la valeur existante. Introduction Prendre du recul sur la notion de gestion des risques, retour aux origines La gestion des risques - Avril 2012
  • 6. © 2012 Deloitte6 La gestion des risques - Avril 2012 Introduction Prendre du recul sur la notion de gestion des risques, retour aux origines HENRI BERGSON "Un imprévisible rien qui change tout" JEAN-JACQUES ROUSSEAU, Julie ou la Nouvelle Héloïse « C´est un excellent moyen de bien voir les conséquences des choses, que de sentir vivement tous les risques qu´elles nous font courir. » • Une autre vision des risques…
  • 7. © 2012 Deloitte7 La gestion des risques - Avril 2012 Introduction Prendre du recul sur la notion de gestion des risques, retour aux origines • «Un risque se définit comme tout événement, action ou inaction de nature : - à empêcher une organisation d’atteindre ses objectifs (de façon implicite ou explicite) ou - à altérer sa performance » ou - à une perte d’opportunités
  • 8. © 2012 Deloitte Environnement interne Environnement interne COSO I COSO II Fixation des objectifs Identification des évènements Traitement des risques Activités de contrôle Information et ommunication Pilotage Activités de contrôle Information et communication Pilotage Évaluation des risques Évaluation des risques Introduction Considérer que le cadre de référence évolue et évoluera encore
  • 9. © 2012 Deloitte9 La gestion des risques - Avril 2012 Introduction Prendre du recul sur la notion de gestion des risques, retour aux origines
  • 10. © 2012 Deloitte Cinq composantes des deux côtés Introduction Prendre du recul sur la notion de référentiel souvent compatibles entre eux
  • 11. © 2012 Deloitte • Univers des risques : COSO Committe of Sponsoring Organizations Of the Treadway Commission - Introduction Un exemple de référentiel de risque, celui du COSO
  • 12. © 2012 Deloitte ‒ « Le management des risques est un processus mis en œuvre par le Conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. ‒ Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les évènements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation. » Source COSO II Introduction Management des risques: définition
  • 13. © 2012 Deloitte Introduction Exemple d’un arbre d’analyse : Rupture des systèmes d’information Facteurs de Risque ConséquencesRisque Majeur Rupture des systèmes d’information Arrêt des systèmes / perte de données Hétérogénéité des systèmes Arrêt des systèmes / perte de données Mise en production non fiabilisée Problème technique Arrêt des systèmes / perte de données Aléas climatiques Gestion décentralisée Interfaces non compatibles Limites des conditions techniques Arrêt des systèmes / perte de données Déficience de la protection physique Dépendance du personnel Altération / perte de données Destruction partielle Intrusion externe Départ de personnel clé Vol / altération de données Maintenance / sécurité insuffisante Perte de contrats Difficulté pour piloterAbsence de reporting Difficulté pour produire les comptes Perte de confiance des usagers Perte de confiance des investisseurs Perte de confiance du public Coûts de campagnes publicitaires Chute du cours de bourse Perte de l’information comptable Perte de données confidentielles Perte de confiance du management Atteinte à l’image de l’Etat Changement d’équipe / directionArrêt des systèmes / perte de données Dépendance énergétique Défaillance de l’alimentation en énergie Vol / altération de données Accès conflictuels Déficience de la sécurité informatique ElémentsdéclencheursConditions/Environnement
  • 14. © 2012 Deloitte StratégiquesPérilsOpérationnels Gouvernance Organisation généraleComité d’audit Management des risques Système de gestion des risques Cartographie des risques Evaluation Audit interne Auto-évaluation Contrôle interne Maîtrise des activités et des processus Plans de contrôle / plans d’actions Base incidents Rapport de contrôle interne Fraude Lutte anti blanchiment CNIL Qualité Approche processus Relation client Dispositif documentaire Dispositif amélioration continue Sécurité des personnes et des biens Sécurité des systèmes d’information Accès logiques et physiques Environnement Social et sociétale Plan de continuité d’activité Plan de gestion de crise Gestion des parties intéressées Financiers Certification des comptes Introduction Les éléments constituant du management des risques IsoCoso
  • 15. © 2012 Deloitte Un regard sur les évènements récents 15 La gestion des risques - Avril 2012
  • 16. © 2012 Deloitte16 La gestion des risques - Avril 2012 Dépêche AFP – Samedi 14 janvier 2012 – Naufrage du Costa Concordia « Au moment du naufrage, vendredi 13 janvier, le navire transportait plus de 4 200 personnes, dont 3 200 touristes de 60 nationalités différentes et un millier de membres d'équipage » Un regard sur les évènements récents Des évènements majeurs
  • 17. © 2012 Deloitte17 La gestion des risques - Avril 2012 Falbert’s blog– février 2012– Causes et objectifs de la révolution tunisienne « Le 17 décembre 2010, Mohamed Bouazizi, désespéré, s'humilie devant le gouvernorat en s’immolant.(…) Ce geste du à une simple gifle a été le début d'une révolution dans la Tunisie et est à l’origine de l'effet papillon dans le monde arabe. Après le 17 décembre 2010, les protestations contre le chômage, le népotisme et le pouvoir administratif se sont transformés en protestations politiques, contre le régime de Ben- Ali. Le régime a essayé d’étouffer ces révoltes en mettant sur écoute les téléphones, en lisant sur internet les blogs des protestants et en essayant de bloquer les sites internet. Mais il n’a pas réussi. » L’Express– Mars 2011– Libye, de la révolution à l’affrontement militaire « Après la Tunisie et L’Egypte, la Libye, le plus gros pays producteur de pétrole et de gaz d'Afrique, est entrée en ébullition. Depuis la ville de Benghazi, le13 février Les manifestations s'étendent rapidement au reste du pays, la répression est d’une violence inouïe et fait plusieurs centaines de victimes : 640 morts en huit jours contre les 219 en Tunisie en un mois et les 365 en Egypte en trois mois. » Le Monde Diplomatique- La révolution arabe, fille de l’Internet ? – Février 2011 La révolution égyptienne, comme celle qui l’a précédée en Tunisie, montre à la fois la puissance des nouveaux médias, la difficulté à leur opposer des forces classiques de contrôle et de répression, et leur articulation, trop souvent minorée, avec les médias traditionnels comme la télévision ou la presse.» Un regard sur les évènements récents Des évènements majeurs
  • 18. © 2012 Deloitte18 La gestion des risques - Avril 2012 Mars 2012 – Industrie Automobile BMW rappelle 1,3millions de véhicules dans le monde. Le groupe Allemand mentionne un éventuel risque de combustion et d’incendie dans les cas extrêmes, dû à des dysfonctionnements électriques. Un regard sur les évènements récents Des évènements majeurs
  • 19. © 2012 Deloitte19 La gestion des risques - Avril 2012 Dynamique Mag’– Juin 2011– Vente privée.com à la conquête du monde Interview de Jacques-Antoine Granjon, le PDG fondateur du site de ventes événementielles quotidiennes Vente Privée.com « Nous avons ouvert notre site de ventes quotidiennes évènementielles, Venteprivée.com, en Allemagne, Espagne, Italie, Grande Bretagne, Belgique et Autriche. Et nous travaillons actuellement sur l’ouverture prochaine de notre site sur le marché des Etats-Unis. Je pense que l’entreprise a un potentiel énorme à l’étranger » Le Monde– Mars 2011– Vente privée, leader du déstockage « Avec près d’un milliard d’euros de chiffre d’affaires en 2010, la société vente-privée.com est rentrée dans les poids lourds de l’e-économie européenne, moins de 10 ans après sa création. Tout a commencé sur un pari fou : proposer sur internet les invendus des collections passées… » Un regard sur les évènements récents Une prise de risque récompensée !
  • 20. © 2012 Deloitte Les évolutions de la gestion des risques 20 La gestion des risques - Avril 2012
  • 21. © 2012 Deloitte21 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques Les origines de la gestion des risques Information financière Ethique Transformation Complexification des opérations Ouverture des marchés Internationalisation Diversification des activités Ouverture du capital Un environnement de risques Réglementations E-Reputation Crises économiques et financières (immobiliers - banques - dettes)
  • 22. © 2012 Deloitte22 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques Gouvernance - un environnement en mutation et des enjeux nouveaux Cadre réglementaire strict SOX LSF 8e directive Complexité du business Ingénierie contractuelle Nouveaux schémas organisationnels d’entreprise Pression des actionnaires Risques pénaux Responsabilité accrue des dirigeants Publication de résultats financières Corporate Governance Pression croissante des marchés financiers Ethique Direction générale Actionnaires De nouvelles attentes pour les acteurs de l’entreprise Opérationnels Entreprise Evolution rapide des structures et naissance de nouveaux risques Fusions et acquisitions Valorisation d’entreprises Mise en place de synergies
  • 23. © 2012 Deloitte Source: Strategic Risk 2011 La gestion des risques - Avril 201223 Les évolutions de la gestion des risques L’univers des risques – les risques externes
  • 24. © 2012 Deloitte 1985 – USA : Création de la Commission du sénateur Treadway 1987 : Premier rapport de la commission sur le contrôle interne 1992 : Publication rapport intitulé Internal Control - Integrated Framework. Ce rapport devient le référentiel COSO. 2003 : Le COSO est recommandé comme la norme d’application de la loi Sarbanes-Oxley ou SOX (SEC) 2004 : Publication du COSO II - Introduction de la notion Entreprise Risk Management (ERM) 24 La gestion des risques - Avril 2012 • Le COSO I, un référentiel pour aborder le contrôle interne ‒ Committee of Sponsoring Organizations of the Treadway Commission ‒ Référentiel de contrôle interne développé dans les années 90 lors de la faillite des caisses d’épargne américaines ‒ Référentiel recommandé par l’IIA (Institut des Auditeurs Internes) • Le COSO II, un référentiel pour aborder la gestion des risques 2010 : Evolution du cadre AMF (France) pour intégrer la démarche de gestion des risques dans le rapport LSF Les évolutions de la gestion des risques La gestion des risques, indissociable du contrôle interne 2008: Transposition 8ème Directive et publication par l’AMF du guide relatif à la mise en œuvre de la gestion des risques et du contrôle interne
  • 25. © 2012 Deloitte Maîtrise du risque placée au cœur du processus de décision • Prise en compte des interactions entre les facteurs de risque • Prise de risque « intelligente » • Pérennité • La maîtrise du risque est le souci de tous dans l’organisation • Risk intelligence Dashboard Réponse intégrée aux situations de risques • Suivi de l’exposition aux risques • Transformation culturelle en cours • Processus « bottom up » • Réponse pro-active « Tone at the top » • Les politiques, procédures, responsabilités sur les risques sont définies et communiquées • Approche principalement qualitative • Réponse réactive Réaction aux situations de risques confiées à des spécialistes • Existence de procédures basiques pour certaines catégories de risques (finance, assurance, conformité) Réponse chaotique • Prépondérance d’un suivi des risques « intuitif » 1. Tribal et héroïque 2. Par silos spécialisés 3. Top Down 4. Systémique 5. Intelligent Prise de risque « valorisée » Prise de risque « non valorisée » Réactionauxincidents Gestionglobaledesrisques 25 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques La démarche globale de gestion des risques … et les réponses aux risque doivent être « intelligentes »
  • 26. © 2012 Deloitte26 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques L’importance d’une cartographie intelligente ! • Les réglementations SOX, LSF, 8ème directive sont les piliers d’une gestion des risques respectueuse des lois. • En 2012, la gestion des risques efficace s’appuie sur un processus de cartographie des risques intelligent. • Cette cartographie est intelligente lorsqu’elle est pleinement intégrée dans les processus de l’entreprise, et que chaque collaborateur en est acteur via : - La remontée d’information (reporting) sur les risques et les moyens de maîtrise - La mise à jour régulière de la cartographie - La vigilance face aux nouvelles menaces - La pro-activité face aux opportunités - Etc.
  • 27. © 2012 Deloitte Une démarche de gestion des risques dynamique, divisée en plusieurs étapes structurantes Les évolutions de la gestion des risques Gouvernance pour une démarche de gestion des risques 27 La gestion des risques - Avril 2012
  • 28. © 2012 Deloitte28 « Top Down » • Identification par entretiens des « risques majeurs » • Hiérarchisation en atelier (vote) • Identification des plans d’actions Direction générale • Implication dans les analyses de « forage » • Gestion des plans d’actions Opérations / fonctions Renforcement «Forage» « Bottom Up » • Elaboration et diffusion d’un guide • « Consolidation » des résultats • Présentation de la cartographie Direction générale • Identification des risques « locaux » selon démarche et catalogue • Evaluation des risques et du niveau de maîtrise • Définition des plans d’actions Opérations / fonctions Instructions Analyses Les évolutions de la gestion des risques Quelle démarche envisager ? Bottom-up vs. Top Down La gestion des risques - Avril 2012
  • 29. © 2012 Deloitte29 Les évolutions de la gestion des risques Les parties prenantes dans une organisation dédiée à l’analyse des risques La gestion des risques - Avril 2012
  • 30. © 2012 Deloitte La cartographie est la première phase d’une gestion des risques efficace 30 Elaboration de la cartographie des risques des organes de la société Définition de la stratégie de maîtrise des risques Phase 1 Définition du plan de maîtrise des risques Phase 2 Phase 3 L’élaboration de la cartographie des risques des organes de la société se décompose en 3 jalons : • Identification des risques • Evaluation des risques • Hiérarchisation des risques Les évolutions de la gestion des risques L’importance d’une cartographie intelligente ! La gestion des risques - Avril 2012
  • 31. © 2012 Deloitte31 La gestion des risques - Avril 2012 • L’identification des risques ‒ Elaboration de la liste des objectifs et risques majeurs ‒ Couverture de l’ensemble de l’univers des risques ‒ Validation de la liste des objectifs et des risques inhérents • L’analyse des risques ‒ Evaluation de la fréquence ‒ Evaluation de la gravité ‒ Evaluation du niveau de maîtrise • La hiérarchisation des risques ‒ Mise en lumière des risques principaux au regard de ces 3 critères Les évolutions de la gestion des risques L’importance d’une cartographie intelligente ! Elaboration de la cartographie des risques des organes de la société Ces 3 jalons de la cartographie des risques s’organisent autour de la notion de risque. Mais comment faire la différence entre un risque majeur, un risque individuel, un risque brut, un risque inhérent, etc…
  • 32. © 2012 Deloitte32 La notion de risque majeur doit être distinguée de la notion de risque individuel même si ces deux concepts demeurent étroitement liés • Un risque majeur répond à la définition communément utilisée d’un risque, à savoir : la potentialité d’une perte – ou perte d’opportunité – causée par des évènements pouvant affecter l’atteinte des objectifs d’une organisation. • Les risques individuels représentent quant à eux les causes contribuant à la réalisation d’un risque majeur (=> « évènements » mentionnés dans la définition du risque majeur). L’existence (ou non existence) de risques individuels conditionne donc la probabilité de réalisation d’un risque. A noter qu’un risque majeur peut-être lié à un ou plusieurs risques individuels. Risques individuels Assurer l’intégrité des données Destruction de la base de stockage des données Perte/altération des données Erreur humaine Pollution virale Altération du système Risque majeurCauses Intrusion externe Objectif Les évolutions de la gestion des risques Risque majeur, risque individuel La gestion des risques - Avril 2012
  • 33. © 2012 Deloitte33 • Qu’est-ce qu’un risque brut (autrement appelé risque inhérent) ? ‒ Un risque brut représente le poids potentiel d’un risque sans prise en compte du dispositif de maîtrise (contrôle interne). ‒ Il correspond au risque maximal que pourrait supporter la structure en l’absence de mesures préventives ou détectives. • Pourquoi est-il nécessaire d’évaluer les risques bruts ? ‒ L’évaluation du risque brut aide à analyser de manière précise l’ensemble des causes / facteurs pouvant engendrer la réalisation du risque. ‒ Une appréciation du risque « maximal » permet • de prendre la pleine mesure de la criticité d’un risque • et d’évaluer ainsi la nécessité de maintenir ou d’implémenter un dispositif de maîtrise fort (ou limité si le risque brut n’est pas jugé significatif). Les évolutions de la gestion des risques Risque brut La gestion des risques - Avril 2012
  • 34. © 2012 Deloitte • Qu’est-ce qu’un risque inhérent (brut) ? ‒ Un risque brut représente le poids potentiel d’un risque sans prise en compte du dispositif de maîtrise (contrôle interne). • Qu’est ce qu’un risque résiduel ? ‒ Un risque résiduel représente le poids potentiel d’un risque après prise en compte du dispositif de maîtrise (contrôle interne). risque inhérent risque résiduel Contrôle externe Contrôle Inspection / audit interne Contrôle fonctionnel Contrôle hiérarchique (validation, pilotage, sondages, etc.) Mesures et contrôles opérationnels (séparation des tâches, compétences, autocontrôle, contrôle automatisé, etc.) 34 Les évolutions de la gestion des risques Risque inhérent, risque résiduel La gestion des risques - Avril 2012
  • 35. © 2012 Deloitte35 • La première étape d’analyse porte sur les risques inhérents / bruts. • Les risques résiduels / nets sont alors identifiés en tenant compte des dispositifs de contrôle existants. • L’évaluation d’un risque résiduel repose sur l’appréciation (perception) du niveau de maîtrise par les éventuels dispositifs de contrôle en place (pertinence / efficacité). • Cette perception nécessite d’être confirmée par une évaluation. • Le niveau de risque résiduel ainsi défini doit enfin être comparé au niveau de risque considéré comme acceptable par les organes de gouvernance (définition du risque cible / appétence aux risques). Risque inhérent Risque cible Risque résiduel Processus en place qui visent à limiter le risque Plans d’actions décidés par la Direction afin renforcer la maîtrise du risque Les évolutions de la gestion des risques Risque inhérent, risque résiduel La gestion des risques - Avril 2012
  • 36. © 2012 Deloitte36 Les évolutions de la gestion des risques Analyse qualitative et quantitative des risques • Comment évaluer les risques bruts ? ‒ L’évaluation du risque brut tient compte de deux critères. Ces critères sont à définir selon l’approche / la méthode retenue. Les termes les plus utilisés sont: • Probabilité (P) et impact (I) • Fréquence d’occurrence (F) et matérialité (M) ‒ Quelques notions: • La fréquence d’occurrence est l’estimation de la période associée à la survenance du risque • La matérialité représente l’impact d’un risque estimée de manière quantitative ou qualitative • La fréquence ou la matérialité peuvent être définies selon une hypothèse moyenne en tenant compte de l’historique (incidents avérés => Bases incidents ) ou d’estimations La gestion des risques - Avril 2012
  • 37. © 2012 Deloitte Echelle de criticité Degré Signification 5 Catastrophique Risque remettant en cause à lui seul la continuité ou l’existence du Groupe 4 Très forte Risque remettant en cause, en lien avec d’autres risques, la continuité ou l’existence du Groupe 3 Forte Risque impactant fortement le fonctionnement / les résultats du Groupe sans remise en cause directe de son existence. 2 Modérée Risque impactant modérément le fonctionnement / les résultats du Groupe sans remise en cause directe de son existence. 1 Faible Risque sans conséquence majeure pour le Groupe 37 • Echelles d’évaluation : → Criticité : perception de l’importance du risque en terme d’impact et de possibilité d’occurrence (plus critique = préoccupation majeure actuelle) → Fréquence : Appréciation qualitative ou quantitative de la probabilité d’occurrence Echelle de fréquence Degré Signification 4 Forte L’événement est très probable au regard des statistiques ou des incidents internes. 3 Moyenne L’événement est probable au regard des statistiques ou des incidents internes. 2 limitée L’événement est possible sous des conditions qui ne sont pas réunies aujourd'hui, mais qui sont susceptibles de l ’être dans le futur. 1 Infime L’événement est très improbable et ne devrait se produire qu'exceptionnellement (sous réserve d'une conjonction de conditions très particulières). Les évolutions de la gestion des risques Les échelles d’évaluation La gestion des risques - Avril 2012
  • 38. © 2012 Deloitte38 • Le contrôle en place (mesure de traitement des risques) : ‒ Maîtrise : capacité actuelle de l’entreprise à réduire la criticité perçue de ce risque (forte maîtrise = ne devrait pas arriver) Echelle de niveau de maîtrise Degré Signification 5 Excellent Dispositif pertinent, documenté et évalué favorablement. 4 Fort Dispositif pertinent, documenté et évalué de manière satisfaisante. 3 Moyen Dispositif pertinent, documenté, mais non évalué. 2 Faible Dispositif pertinent, mais non documenté, non évalué ou présentant une déficience moyenne. 1 Très faible Dispositif inexistant ou présentant une déficience forte. Les évolutions de la gestion des risques Les échelles d’évaluation La gestion des risques - Avril 2012
  • 39. © 2012 Deloitte • Synthèse des entretiens individuels • Agrégation des risques identifiés en 16 « enjeux » 1. A Stratégie et développement 2. B Innovation et stratégie marketing 3. C Gestion des franchisés 4. D Systèmes d’information – Gouvernance informatique 5. E Risque de fraude 6. F Capital humain 7. G Sécurité physique 8. H Sécurité alimentaire 9. I Achats / Logistique 10. J Maintenance / Capex 11. K Trésorerie / financements 12. L Pilotage de la performance 13. M Contrôle interne 14. N Comptabilité 15. O Juridique 16. P Gestion de crise 39 Les évolutions de la gestion des risques Exemple de liste de risques majeurs et cartographie des risques La gestion des risques - Avril 2012
  • 40. © 2012 Deloitte40 Les évolutions de la gestion des risques Décider face au risque La gestion des risques - Avril 2012 • Chaque organisation accepte un niveau de risque défini en fonction de son activité, de sa sensibilité aux risques, de sa culture mais aussi de ce que peuvent supporter les actionnaires et autres parties prenantes : c’est la notion d’appétence au risque (risk appetite). Risque cible Risque résiduel • La responsabilité exclusive de définition d’appétence au risque incombe au Management. Tout système de maîtrise des risques s’inscrit dans le cadre du niveau de risque acceptable. • Principes associés : ‒ Le risque "zéro" n'existe pas ‒ Les limites budgétaires impliquent de rechercher un équilibre entre coûts et bénéfices ‒ La prise de risques est nécessaire pour une organisation qui se veut dynamique et flexible ‒ Certains risques sont hors du champ de contrôle du management
  • 41. © 2012 Deloitte41 Les évolutions de la gestion des risques La Réponse au risque – appétence au risque La gestion des risques - Avril 2012
  • 42. © 2012 Deloitte42 La gestion des risques - Avril 2012 Comment lire une cartographie des risques La Réponse au risque – l’approche MARCI :
  • 43. © 2012 Deloitte43 Les évolutions de la gestion des risques Mais une cartographie des risques peut aussi être… La gestion des risques - Avril 2012
  • 44. © 2012 Deloitte Les évolutions de la gestion des risques Gouvernance et administration des risques • Les questions liées à la gouvernance et à l’administration des risques se posent dans un système de gestion des risques:  Qui dispose de l’information  Que communiquer aux parties-prenantes (actionnaires, gouvernement, etc.)  Qui s’assure que les plans d’actions définis sont mis en place  Comment faire évoluer la cartographie des risques vers une gestion des risques intégrée à tous les niveaux de l’entreprise ? • L’implication des organes de gouvernance dans la gestion des risques est une dimension essentielle pour valoriser la gestion des risques, au-delà d’une simple démarche de conformité. • Le schéma ci-après présente une organisation favorisant une gestion des risques intégrée 44 La gestion des risques - Avril 2012
  • 45. © 2012 Deloitte Mesurer la contribution à la performance globale de l’entreprise Indicateurs de Performance de l’activité Indicateurs de Maîtrise des risques et contrôle interne Indicateurs d’efficacité de la gestion du processus Indicateurs de Prévention de la fraude Pour chaque processus, le management doit pouvoir S’assurer de l’efficience des processus mis en place Prévenir les risques Détecter les zones à risque de fraude Performance Maîtrise des risques – contrôle interne 45 Les évolutions de la gestion des risques Intégrer gestion de la performance et gestion des risques
  • 46. © 2012 Deloitte Conseil d’administration Supervise la maîtrise des risques Direction Générale Responsable de la conception, de la mise en œuvre et de la surveillance continue Risk Manager Autres fonctions transverses (directions juridique, RH, financière, qualité, etc.) Directeur du Contrôle Interne Audit Interne Evalue le fonctionnement du dispositif Partage les meilleures pratiques Auditeurs externes Comité d’audit Assiste le Conseil d’Administration Supportent Evaluent Collaborateurs Management Met en œuvre le dispositif Rapporte à la Direction Générale Responsables 46 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques Gouvernance et administration des risques
  • 47. © 2012 Deloitte47 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques Le Risk Manager est-il lisible pour les dirigeants? • La participation du Risk Manager aux comités
  • 48. © 2012 Deloitte • Le comité d’audit − assure le suivi des questions relatives à l’élaboration et au contrôle des informations comptables et financières • Le comité des risques − assure le pilotage de la gestion des risques, décide des actions visant à la maîtrise des risques • Le comité des rémunérations − valide les rémunérations et avantages des dirigeants de la société • Le comité des nominations − collège de décideurs pour les nominations dans l’entreprise • Le comité RSE développement durable − valide la stratégie RSE et développement durable de la société Etc. 48 La gestion des risques - Avril 2012 Les évolutions de la gestion des risques Gouvernance et administration des risques
  • 49. © 2012 Deloitte • Mise en place d’un processus adapté à l’entreprise et en phase avec les objectifs de la Direction Générale • Une définition préalable des objectifs du processus • Une définition des acteurs et des modalités de construction • Choix d’une méthode idoine en adéquation avec les objectifs de l’entreprise • Un processus itératif, basé sur le principe de l’amélioration continue. • Une communication efficace et maîtrisée, au sein de l’entreprise et à l’extérieur de l’entreprise. • Une intégration dans tous les processus 49 Les évolutions de la gestion des risques Facteurs clés de succès
  • 50. © 2012 Deloitte 50 • Un projet pas ou peu porté par la direction • Des analyses de risques menées « en chambre » • Une méthode d’analyse des risques peu ou mal définie • Ne pas installer un système de management des risques • Une confusion sur les univers de risques et la maitrise à mettre en place • Une articulation peu définis entre dispositifs de gestion des risques opérationnels et stratégiques • Un dispositif qui appartient au risk manager • Des administrateurs non intégrés et formés • … Les évolutions de la gestion des risques Ecueils possibles à la mise en place de la démarche
  • 51. © 2012 Deloitte L’exemple du risque de réputation 51 La gestion des risques - Avril 2012
  • 52. © 2012 Deloitte Risques: Réputation (excuses) Capitalisation boursière Solution: plan com’ massif Management de crise (3 niveaux): 1. Le fusible (directeur technique US) 2. Le crédible (patron filiale US) 3. Le légitime (patron maison mère)
  • 53. © 2012 Deloitte53 La gestion des risques - Avril 2012 Business Model Facteurs de différenciation / Positionnement Capacité à attirer et conserver les meilleurs profils Meilleure maîtrise du comportement de la clientèle Conditions de pricing / Gestion de la marge Confiance des actionnaires et des partenaires Compétence, savoir- faire Identité, culture, valeurs Impression de solidité Déterminants Réaction de la clientèle (volonté, capacité) Amplitude de l’impact Dépendance de la compagnie à certains acteurs Réaction de la société touchée Maturité du marché et niveau de concurrence Nécessité d’optimiser la gestion de la réputation tant dans une optique préventive que curative L’exemple du risque de réputation Une question centrale : quel est l’apport de la réputation?
  • 54. © 2012 Deloitte54 La gestion des risques - Avril 2012 Long terme Court terme Pilotage sur le long terme : intégration de valeurs dans les processus de l’entreprise Pilotage sur le court-moyen terme : communication, ajustement concurrentiel, … Identité Image Valeurs, Histoire, savoir-faire Positionnement conjoncturel, confiance Les deux dimensions sont étroitement liées au secteur d’activité de l’entreprise et au positionnement de celle-ci L’exemple du risque de réputation Les déterminants de la réputation
  • 55. © 2012 Deloitte55 Impact sur les volumes et la profitabilité de l’activité Exemples : réduction des ventes (mobilité de la clientèle), réduction des marges Niveau d’activité Impact sur la durabilité des partenariats avec les fournisseurs et la profitabilité générée Exemples: Baisse de confiance des fournisseurs, non renouvellement de contrats existants, changement de conditions courantes Fournisseurs Impact sur les gestion et le coût des ressources Exemples : Augmentation du turn-over, difficultés à l’embauche de nouveaux potentiels et à garder les ressources minimum Ressources Humaines Impact sur la stratégie financière Structure Financière Actionnaires InvestisseursBanques Chute du spread de crédit •Chute du cours de bourse •Augmentation du coût des fonds propres • Dégradation des conditions de crédit • Augmentation des collatéraux • Augmentation du coût de la dette Stratégie de financement L’exemple du risque de réputation Des impacts à différents niveaux La gestion des risques - Avril 2012
  • 56. © 2012 Deloitte56 Définition Image et Identité Cartographie Stratégie Travailler sur l’occurrence Prévention Contrôle interne Allocation de ressources Travailler sur l’impact Gestion de crise Communication Assurance Surveillance Alertes Evaluation Veille Benchmark Reporting La mise en place d’une approche Risque adaptée et transverse L’exemple du risque de réputation Quelques éléments de réponse La gestion des risques - Avril 2012
  • 57. © 2012 Deloitte57 Décomposition de l’activité en secteurs homogènes en termes de nature d’impact au risque de réputation Identification des événements de risque potentiels Qualification des impacts sur les différents domaines Construction d’une matrice de risque de réputation Identification des principaux vecteurs de sensibilité • Analyser l’impact des événements au niveau du Groupe • Analyser la propagation entre entités afin d’évaluer touts les impacts Identifier les incidents qui ont un impact - A un niveau élevé du management - Sur un périmètre d’entités différentes Une approche transversale en deux volets… Contribution du Groupe à l’image des marques / produits Approche « Bottom-up » Approche « Top-down » Impact de la différenciation des marques (potentiel de contagion/propagation, spécificités de marchés et de clients, structure de communication…) Importance de l’image du Groupe (niveau de détachement des marques, identité propre du Groupe…) L’exemple du risque de réputation Quelques éléments de réponse La gestion des risques - Avril 2012
  • 58. © 2012 Deloitte58 Un comportement de risque qui requiert une approche à plusieurs niveaux Spécificité sectorielle, géographique, produit Variables Source de survenance Concurrence et ouverture du marché Attachement de la clientèle Sensibilité de la clientèle Proximité avec les valeurs « fortes » …. Activité Marché Positionnement Risques clés Attitude de la clientèle Pratique tarifaire Indicateurs clés Concurrence Maturité Barrières de marché Facteurs de différentiation Comparables de l’entreprise Identification des avantages compétitifs Identification des seuils de résistance Catégories homogènes de sensibilité au risque de réputation Qualification des impacts et du profil de perte Comportement attendu de la clientèle, du marché et de l’entreprise Détermination d’impacts sur l’activité Identification des chaînes de déclenchement L’exemple du risque de réputation Quelques éléments de réponse La gestion des risques - Avril 2012
  • 59. © 2012 Deloitte Next Steps 59 La gestion des risques - Avril 2012
  • 60. © 2012 Deloitte Next Steps Quelles sont les étapes suivantes? 60 • Quand le système de gestion des risques est en place dans l’entreprise, quel est l’étape suivante? • Plusieurs questions se posent : - Qui est le propriétaire de la cartographie des risques (Direction de l’audit interne, du contrôle interne, des risques ?) - Quelle place pour le Risk Manager dans l’entreprise ? - Comment rendre cohérent et consensuel la hiérarchisation des risques ? Comment être d’accord sur des points de divergence ? - Comment traiter les risques émergents? La gestion des risques - Avril 2012
  • 61. © 2012 Deloitte Mettre en place une organisation opérationnelle de gestion des risques, implique de: • Définir des rôles, les missions, • Sensibiliser les équipes, • Capitaliser sur le retour d’expérience, • Nommer un risk manager en charge de l’animation (garant du dispositif), • Désigner les managers opérationnels comme pilote de leurs risques opérationnels, • A eux de maîtriser avec leurs équipes leurs risques opérationnels Next Steps Gérer les risques
  • 62. © 2012 Deloitte62 La gestion des risques - Avril 2012 • Étude réalisée sur un panel de 106 risk managers ‒ Trois catégories principales : ‒ Grandes activités : Gestion des assurances, prévention des risques (visites de sites etc), Gestion des risques (ERM), Pilotage, Contrôle interne Next Steps La place du Risk Manager dans l’entreprise
  • 63. © 2012 Deloitte63 La gestion des risques - Avril 2012 Les Risk Managers interrogés couvrent un univers des risques global bien que dans une moindre mesure pour les Risk Managers AP Next Steps La place du Risk Manager dans l’entreprise
  • 64. © 2012 Deloitte64 Le périmètre d’intervention du Risk Manager Next Steps La place du Risk Manager dans l’entreprise La gestion des risques - Avril 2012
  • 65. © 2012 Deloitte Next Steps La place du Risk Manager dans l’entreprise 65 Rattachements hiérarchiques et fonctionnels des Risk Manager - xxx Répartition entre direction des risques, audit interne et contrôle interne Une fonction transverse, indépendante, et par conséquent « en ligne directe » avec la Direction générale et/ou financière (Source: Le baromètre du Risk Manager 2011, AMRAE & Deloitte) La gestion des risques - Avril 2012
  • 66. © 2012 Deloitte Next Steps Coordination entre la gestion des risques, le contrôle interne et l’audit interne 66 • Lien avec le plan d’audit interne : ‒ Atelier de travail avec le Directeur de l’Audit Interne sur la stratégie et la planification d’audits devant être associés au processus de cartographie et de gestion des risques. ‒ Cet atelier est structuré autour de 2 axes : • Bâtir le plan d’audit à partir de la cartographie des risques • Elaborer le plan d’audit (formalisation) Contrôle Interne Audit Interne Gestion des Risques La gestion des risques - Avril 2012
  • 67. © 2012 Deloitte 1 – Risques majeurs Corporate Risque 1 Risque n P L A N D ' A U D I T 3 – Grand projets Projet 1 Projet n Filiales (F) F1 … Fn F1 … Fn F1 … Fn F1 … Fn F1 … Fn Métier 1 Process 1 - 25 Importance Expositions Evaluation globale Structures Processus Métier 2 Métier 3 Métier 4 Corporate 2- Processus et entités Next Steps Un plan d’audit alimenté par les risques majeurs corporate, les processus, les filiales et les grands projets
  • 68. © 2012 Deloitte68 La gestion des risques - Avril 2012 Next Steps Matérialiser les interdépendances entre la gestion des risques, le contrôle interne et l’audit interne
  • 69. © 2012 Deloitte69 • De nouveaux risques émergent aujourd’hui: • Energie, • Supply chain, • Financements,… Dépendances • Métiers, • Environnement, • Impôts et Taxes,… Réglementations • Réseaux sociaux, • Cloud computing, • Nanotechnologies,… Technologies • Insécurité, • Crises, • Flux migratoires,… Sociétés Risque de réputation Risque climatique Risque de cybercriminalité Next Steps La gestion des risques émergents La gestion des risques - Avril 2012
  • 70. © 2012 Deloitte Next Steps Vers une gestion globale des risques 70 • Une cartographie des risques est une « photo » ‒ Statique ‒ « Jaunie », elle peut prendre plusieurs mois pour être réalisées ‒ Déconnectée (il faut attendre le prochain passage du photographe) • L’organisation évolue ‒ Nouveaux systèmes IT, transformation des processus ‒ Renforcement des dispositifs de maîtrise ‒ Changement de personnes Suivi et analyse des « incidents » La gestion des risques - Avril 2012
  • 71. © 2012 Deloitte L’évaluation de l’efficacité du dispositif de gestion des risques 71 La gestion des risques - Avril 2012
  • 72. © 2012 Deloitte Risk Intelligent L’évaluation de l’efficacité du dispositif de gestion des risques La gestion des risques comme action structurante d’une démarche de contrôle et d’audit interne déjà solide 72 • Principe d’une « Risk Intelligent Enterprise » Dans une entreprise "Risk Intelligent", certaines fonctions (audit interne, gestion des risques, "compliance", etc.) fournissent une assurance objective au même titre qu'elles assurent le suivi et le reporting de l'efficacité du programme de gestion des risques auprès des organes de direction et de la direction générale • Les éléments de contrôle de l’efficacité du dispositif Comme pour tout autre processus, il faut mesurer l’efficacité et la pertinence des contrôles et de la maîtrise des risques. Cette mesure se fait par des indicateurs clés et des outils de reporting La gestion des risques - Avril 2012
  • 73. © 2012 Deloitte L’évaluation de l’efficacité du dispositif de gestion des risques La gestion des risques comme action structurante d’une démarche de contrôle et d’audit interne déjà solide 73 • Principe des Indicateurs de Risques Clés (IRC) Les indicateurs de risque clés (IRC) se fondent sur un profil d’exposition à un risque déterminé. Ils peuvent se baser par exemple sur le délai de traitement de certaines opérations, sur le volume des factures fournisseurs en suspens, sur le nombre de fraude déjouées ou avérées, etc. Exemples d’indicateurs de risques clés : − Risque : « Non respect des procédures d’acquisitions et d’appels d’offres » • Facteurs de risques : Lourdeur et complexité des processus d’acquisitions et d’appels d’offres • Non respect de la procédure d’appels d’offres • Consultation insuffisante des fournisseurs potentiels − Indicateurs de risques possibles : • Délai de réalisation des appels d'offres (entre chaque étape du processus : de l'expression de besoin à la contractualisation) et délai moyen • Nombre d'appels d'offres en cours aux différents stades du processus et antériorité depuis leur lancement • Taux d'appels d'offres infructueux • Taux de contractualisation par entente directe • Nombre moyen de fournisseurs consultés par appel d'offres en fonction du type de prestation… La gestion des risques - Avril 2012
  • 74. © 2012 Deloitte74 • Principe des Indicateurs de Risques Clés (IRC) (suite) − Ces indicateurs peuvent également être complétés du suivi des contrôles en place selon deux modalités sur l’efficacité des contrôles : i. mesure de la réalisation du contrôle (taux de réalisation) ; ii. évaluation de la conformité des contrôles réalisés (taux de conformité). Cette démarche permet ainsi d’affiner la mesure du niveau d’exposition au risque. • Objectifs : − il s’agit de données spécifiques tirées de la gestion et inhérente au profil du risque − il s’agit dans la mesure du possible d’indicateurs à caractère quantitatifs − ils visent à caractériser l’exposition aux risques, en particulier le degré de sévérité − si ils sont bien choisis, ils peuvent revêtir un caractère prédictif, en permettant de faire apparaitre, dans la mesure du possible ex-ante, des évolutions significatives du risque concerné L’évaluation de l’efficacité du dispositif de gestion des risques La gestion des risques comme action structurante d’une démarche de contrôle et d’audit interne déjà solide La gestion des risques - Avril 2012
  • 75. © 2012 Deloitte75 L’implémentation d’indicateurs de suivi des risques et de plans et procédures de contrôle n’est pas toujours suffisante et certaines améliorations sur la démarche de gestion des risques sont à prévoir afin d’obtenir un dispositif plus dynamique : Instaurer une communication au plus haut niveau des indicateurs de risques, de contrôle selon une fréquence adaptée, notamment au travers de tableau de bord. Exemples de tableau de bord : L’évaluation de l’efficacité du dispositif de gestion des risques Reporting La gestion des risques - Avril 2012
  • 76. © 2012 Deloitte76 • La pertinence des contrôles - Savoir quel contrôle ou quelle combinaison de contrôles est approprié dépend entièrement de l’objectif et de l’environnement d’entreprise. - Un degré élevé de jugement professionnel est nécessaire pour évaluer la conception des contrôles. • Contrôle manuel (actif) vs. contrôle automatique (passif) • Contrôle préventif vs. contrôle défectif • Contrôle compensatoire • L’efficacité des contrôles - Besoin de garantie pour la Direction Générale que les contrôles fonctionnent conformément à leur conception (c.-à-d. qu’ils sont efficaces). - Limites des contrôles: • Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration. • Faire trop de confiance aux contrôles peut coûter plus cher que l’exposition dont ils sont censés protéger. • Les changements et le temps peuvent rendre les contrôles obsolètes. • Si le personnel n’adhère pas aux contrôles ou s’il ne comprend pas les objectifs à atteindre, il peut y résister et l’esprit d’initiative peuvent s’en ressentir. L’évaluation de l’efficacité du dispositif de gestion des risques S’assurer de la pertinence et de l’efficacité des contrôles La gestion des risques - Avril 2012
  • 77. © 2012 Deloitte Témoignage des intervenants 77 La gestion des risques - Avril 2012
  • 78. © 2012 Deloitte Echanges autour de la gestion des risques 78 La gestion des risques - Avril 2012
  • 79. © 2012 Deloitte Echanges autour de la gestion des risques 79 La gestion des risques - Avril 2012 « L’avenir de la gestion des risques passe par sa pleine intégration dans l’entreprise, et par la collaboration entre ses différents acteurs » Des questions ?
  • 80. © 2012 Deloitte Vos contacts Marie Paulus, senior manager, Risk Advisory 12 années d’expériences Marie intervient depuis plus de 9 ans sur des problématiques d’audit interne, de contrôle interne et de maîtrise des processus. Elle co-anime également l’offre Gouvernance du cabinet et intervient à ce titre dans la revue des modalités de fonctionnement des organes de gouvernance de clients de l’industrie et des services. Fortement attirée par le capital humain, elle est impliquée sur la conception et l’animation de formations en interne et externe et exerce la fonction de Manager RH au sein de sa ligne de service depuis 6 ans. oheurzeau@deloitte.fr Tel/Direct: +33 1 55 61 62 99 Email: mpaulus@deloitte.fr Edouard Lhomme Associé ….. sallaire@deloitte.fr Tel/Direct: ….. Email: …
  • 81. 12/04/2012 Mise en place de la cartographie des risques chez Atos Worldline Alain Barlian
  • 82. Confidential 2 12/04/2012 Alain BARLIANTable of contents ▶ ATOS ▶ Le management du risque chez Atos Worldline. ▶ La cartographie – Identification des risques – Evaluation – Plan d’action – Reporting ▶ Eléments de réflexion personnelle en guise de conclusion 1.1 Identify Risks 1.2 Assess probability & impact Risk Management (I) Periodic/Change End 1.3 Identify & implement Risk response 1.4 Report, Maintain & Monitor risk action plans Risk Context 1.5 Manage loss events Incident
  • 83. Confidential 3 12/04/2012 Alain BARLIANATOS ▶ Acteur international des services informatiques. – Un Chiffre d’Affaires annuel de 8,5 milliards d’euros – 74 000 collaborateurs dans 42 pays, ▶ Fournit à ses clients des services transactionnels, des solutions de conseil et de services technologiques, d’intégration de systèmes et d’infogérance. ▶ Intervient dans les secteurs de Industrie, Distribution & Services, Services Financiers, Energie & Services Publics, Télécoms, Médias & Technologie, Secteur Public, Santé & Transports. ▶ Partenaire informatique mondial des Jeux Olympiques et Paralympiques. ▶ Le Groupe est coté sur le marché Eurolist de Paris et exerce ses activités sous les noms d’Atos, Atos Consulting & Technology Services, Atos Worldline et Atos Worldgrid.
  • 84. Confidential 4 12/04/2012 Alain BARLIANATOS Worldline ▶ Centre d’expertise d’Atos pour les services transactionnels de haute technologie (HTTS) ▶ Leader des services end to end pour les transactions électroniques critiques, ▶ Spécialisé dans les paiements électroniques (comme l’émission, acquisition, terminaux, solutions de paiement et traitement des transactions), les services en ligne pour les clients, les citoyens et les communautés (eCS), ainsi que les services pour les marchés financiers. ▶ Quelques chiffres : – Chiffre d’affaire de € 913 millions – 5 400 personnes dans le monde. – Paiement :470 millions de paiements à distance, 2.2 milliards d’acquisitions, 36 millions de cartes de crédit et de débit, 850 000 terminaux. – Services en ligne : 2.1 milliards d’appels (SVI & Centre de Contacts), 1.6 milliard de SMS, 61 millions de boîtes email, 166 milliards de pages vues sur Internet, + de 1 milliard de e- documents, 70 millions d’archives à vocation probatoire – Marchés financiers : 340 millions d’ordres de bourse traités, 450 milliards d’euros d’actifs gérés.
  • 86. Confidential 6 12/04/2012 Alain BARLIANIntroduction Le management du risque chez Atos Worldline ▶ Il s’agit d’un processus permettant de : – Garantir la continuité de service de nos clients pour leurs client finaux, – Répondre aux exigences réglementaires de nos clients (domaine bancaire- Bale – SAS70, de la santé, …) ▶ Nos objectifs : – Abaisser le coût global du risque en le maitrisant . – Conforter les objectifs de la société en contribuant à l’optimisation de la performance technique et opérationnelle – Renforcer la confiance faite à l’entreprise par ses clients, ses actionnaires, ses salariés et les marchés financiers. Tout le monde doit prendre des risques, personne ne peut les cacher “le risque zéro” n‘est pas l’objectif
  • 87. Confidential 7 12/04/2012 Alain BARLIAN Business sponsor Process sponsor Business sponsor Process owner risk management Processorganization Coordination Risk Management Risk Management responsible Risk Management responsible Risk management responsible Business sponsor Coordination Risk Management Coordination risk management Organizational Unit Le process sponsor est en charge de la bonne application du processus Coordonne le management homogène du process Des Directions Générales par zones géographique Des Coordinateurs rattachés aux Directions Générales Managers d’Unités d’Affaire. Une organisation déclinée par DG
  • 88. Confidential 8 12/04/2012 Alain BARLIAN Intern al factors Extern al factors Internal Environment Objective Setting Process Supervision Risk Identification Risk Assessment Maintenance & Monitoring Risk Response Social Infrastruct ure Technolog y Environme ntal Personnel Technolog y Process Laws & regulation s Use of: - Required documents for Risk Assessment preparation -Risk Categories -Loss Register -Control Assessments/Maturity - Likelihood scale - Impact scale - Risk appetite Matrix - Voting card Impact & probability - Average impact score and standard deviation - Risk appetite Matrix - Control Register - Average score and standard deviation - Risk reports for process sponsor -Reports for process owner - Meetings/call conf. with process owner La cartographie
  • 89. Confidential 9 12/04/2012 Alain BARLIAN 1.1 Identify Risks 1.2 Assess probability & impact Risk Management (I) Periodic/Change End 1.3 Identify & implement Risk response 1.4 Report, Maintain & Monitor risk action plans Risk Context 1.5 Manage loss events Incident ▶ Fonctionnement par ateliers : – A partir des activités et objectifs des départements, unités, services. – Analyse des incidents – Revue des “best practices” et des standards – Utiliser les rapports d’audit – Identifier les contrôles et mesures déjà en place – Questionnaires préétablis – Les expériences de chacun – … La cartographie Step 1: Identification
  • 90. Confidential 10 12/04/2012 Alain BARLIANLa cartographie Step 1: Identification Competition Clients Business Partners Economy & Industry Politics Disasters Criminal Actions Laws, Regulations & Payment Schemes People External Financial Legal Strategy & Management Process System Compliance External Reporting Contract’s Management Strategy & Objectives Alignment of structures and objectives Budgeting Measuring Instruments Information & Communication Process of decision Management & Leadership Change Management Culture & Ethics Product Development Master data Transactions Process Design Process Availability & Capacity Internal Control Process Efficiency Process Effectiveness (Out-)sourcing Product/ Service Defects Knowledge Management Capital Availability & Liquidity Financial Cost Credit Risk Financial Instruments Availability & Capacity Knowledge Motivation Errors Fraud Health & Safety IT Effectiveness IT Efficiency Confidentiality IT Integrity IT Availability IT Reliability
  • 91. Confidential 11 12/04/2012 Alain BARLIAN ▶ Fonctionnement par atelier : – Vote sur impact et probabilité. – Recherche de consensus. S’il y a des différences, les comprendre et les analyser (pb d’intérprétation). – Prioriser les risques 1.1 Identify Risks 1.2 Assess probability & impact Risk Management (I) Periodic/Change End 1.3 Identify & implement Risk response 1.4 Report, Maintain & Monitor risk action plans Risk Context 1.5 Manage loss events Incident AS IS Residual Risk 2 5 16 #REF! 910 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 Impact Likelihood Individual Vote results Graphical representation La cartographie Step 2: Evaluation des probabilités et des impacts
  • 92. Confidential 12 12/04/2012 Alain BARLIAN La cartographie Step 2: Evaluation des probabilités et des impacts Likelihood Probability of Occurrence 1 Exceptional 2 Rarely 3 Not Often 4 Potential 5 Often 6 Frequent 7 Continuous Remark: when having impact on different areas, only the highest impact estimate will be taken into account Quantification / Qualification Im pac t Description Financial Availability Reputation Clients Legal 1 Insignificant 2 Minor 3 Moderate 4 Large 5 Major 6 Unacceptable 7 Catastrophic
  • 93. Confidential 13 12/04/2012 Alain BARLIAN La cartographie Step 2: Evaluation des probabilités et des impacts 1 2 3 4 5 6 7 89 1011121314160 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 Likelihood Impact AS IS Residual Risk (red) Doit être rapporté par le risk responsible au Business sponsor et au process coordinator. (yellow) Doit être rapporté à un risk responsible, de niveau BU manager et au process coordinator
  • 94. Confidential 14 12/04/2012 Alain BARLIAN 1.1 Identify Risks 1.2 Assess probability & impact Risk Management (I) Periodic/Change End 1.3 Identify & implement Risk response 1.4 Report, Maintain & Monitor risk action plans Risk Context 1.5 Manage loss events Incident La cartographie Step 3: Appétance et réponse aux risques ▶ Sur la base des connaissances acquises lors des étapes précédentes – Décider si le risque est acceptable – Sinon: • Déterminer une ou plusieurs réponses • Evaluer le rapport coût/bénéfice • Définir un plan d’ action • Pour chaque action: –Désigner un responsable de l’implémentation –Fixer une date convenable –Mettre des ressources à disposition ▶ Evaluer le risque résiduel • Quelle part de risque reste t-il une fois la réponse implémentée • Est-ce acceptable?
  • 95. Confidential 15 12/04/2012 Alain BARLIAN 1.1 Identify Risks 1.2 Assess probability & impact Risk Management (I) Periodic/Change End 1.3 Identify & implement Risk response 1.4 Report, Maintain & Monitor risk action plans Risk Context 1.5 Manage loss events Incident La cartographie Step 4: Maintenir, gérer et communiquer  Reporting et communication sont peut-être l'une des étapes les plus importantes.  L'information doit circuler dans les deux directions:  Top-down: développer la culture et de définir les priorités  Bottom-up: Monter en hiérarchie jusqu'à un niveau adéquat ▶ Chaque liste des risques doit : – Être suivie d’une analyse d'impact de la réalisation du plan d'action – Ré-évaluée : impact et probabilité - tendances de l'évolution – Priorisée – Être effectuée sur une base régulière (idéalement 2 fois par an) ▶ Le Plan d'action de réalisation doit également être suivi de près.
  • 96. Confidential 16 12/04/2012 Alain BARLIAN 1.1 Identify Risks 1.2 Assess probability & impact Risk Management (I) Periodic/Change End 1.3 Identify & implement Risk response 1.4 Report, Maintain & Monitor risk action plans Risk Context 1.5 Manage loss events Incident En conclusion  Maintenir un planning itératif : – Fin juin et fin décembre : Mise à jour des Risk Register = nouveaux risques, nouvelles évaluation, suivi des plans d’actions. – Fin mars et fin septembre = suivi des plans d’actions  Entretenir son réseau – Il n’est pas facile de révéler les risques de son entité. S’adresser au risque manager n’est pas toujours une démarche naturelle. – Confiance, dialogue  Ne pas être intrusif – Le business reste maitre de ses risques – Plutôt du coaching
  • 97. LA GESTION DES RISQUES CHEZ PAS-DE-CALAIS HABITAT Présentation de Miguel BEDET, Directeur des risques pour Club d’échange IFACI nord 12 Avril 2012 « La gestion des risques : du coût à l’opportunité » Partie : Témoignages et retours d’expériences
  • 98. La gestion des risques chez Pas-de Calais Habitat Plan de la présentation : 1. Identité et missions de l’organisme 2. Projet GGR : Gestion globale des risques • Naissance de la démarche ; Utilité et plus value attendue ; Objectifs ; Modes d’actions 3. Le cadre d’organisation 4. Pratiques • Les éléments de la revue du comité des risques, les méthodes de cartographies 5. Points critiques • Limites, évolutions 6. Risques. Quelques enseignements à connaître • La pensée du Danger : Tout va bien ! ; Débats internes sur les risques : l’identification ; L’étude du Danger : Le traitement du savoir
  • 99. PDCH : 1. Identité et missions Identité • Premier bailleur social et opérateur urbain : 30 % du parc social du Pas de Calais • Statut OPH : 3ème Office Public de l’habitat au service des communes et des habitants • Plus de 200 Communes partenaires Son patrimoine : • 39 500 logements dont 28300 en collectifs et 11200 individuels • 700 logements par an produits • Notre tutelle de rattachement le département : CG62 La gouvernance : • Conseil d’administration de 23 Membres : Dont 6 conseillers Généraux + 7 Personnes qualifiées + 6 membres désignés par les institutions : Caf, Udaf, Uro, Syndicats, CIL + 4 Membres élus par les locataires Michel VANCAILLE Président 1er Vice- président du Conseil Général de Pas de Calais Jean Michel Stecowiat Directeur Général
  • 100. Conduire des opérations urbaines : Etre et faire avec nos partenaires : promouvoir l’équilibre urbain, acteur de la politique de la ville : 200 à 240 M€ d’investissement annuel Réhabilitation : 1 800 logements par an Engagé sur 11 Projets de renouvellement Urbain Des valeurs : Altérité – Respect – Egalité – Equité - Engagement Assurer des services aux habitants et aux collectivités : Anticiper , Innover, Etre réactif Faciliter l’échange (élus, habitants), Améliorer l’habitat (mieux vivre ensemble), contribuer à l’évolution de l’espace urbain Effectifs : 815 ETP dont 60 % de personnel de proximité (Gardiens _ ATP – RPS) Produits des activités : 188 M€ Accord AFNOR ACX 50-850 Contractualisé en 2003 signé avec CG62 / AVIJ / CAHC Un positionnement métier celui d’opérateur urbain Deux grandes missions 1. Identité et missions
  • 101. 2. Projet GGR L’investissement dans la Gestion Globale des risques • Naissance de la démarche – Séminaire de direction en 2009 : diagnostic sur nos domaines prioritaires fait ressortir par nos directeurs l’insuffisance de la gestion du risque , son développement s’inscrit dans le projet d’entreprise – Exigences fortes en matière de contrôles externes – Dans le prolongement du SMQ • Utilité et plus value attendue de l’investissement – Une visée management passant par la sécurisation des décisions et la cohérence d’actions – Une réactivité à l’environnement : client / réglementaire / crise fin 2008 – Une volonté d’une mise sous surveillance des grands risques : pénal / crise et pca / pérennité financière.... dans la logique de mieux connaître, mieux détecter, être en phase avec les responsabilités de l’organisation.
  • 102. 2. Projet GGR L’investissement dans la Gestion Globale des risques • Objectifs du projet : « s’inscrire dans les pratiques de management » – Introduire la culture risque par l’exemple, de faire accepter l’idée dans faire une activité de management à part entière. Par la pratique, avant même de déployer de la méthodologie – Apprendre à analyser et à prioriser la gestion des ressources auprès des managers. La GGR comme support de méthode d’analyse pour le management comme préalable aux actions de couvertures. – Augmenter la connaissance, cerner et comprendre les principales zones de risques demandent formalismes, débats, arbitrages et prises de position • Modes d’actions – Surveiller et instruire les risques en intégrant les gestionnaires de risques sans pour autant les dessaisir de leurs responsabilités. Etre en appui, aide à l’expression, éliminer les dissonnances. – Alerter, recommander les actions soit en processus (SMQ), soit en comités spécialisés ou simplement vers les directions. – Aligner en permanence les risques sur les actions prioritaires. – « Conscientiser », atteindre les esprits par le jeu collectif est le meilleur moteur de l’action. Travailler la perception NB : Quid du CI, de la relation à l’audit interne
  • 103. 3. Le cadre d’organisation
  • 104. 4. Pratiques : les éléments de la revue du comité des risques 1. Les cartographies des risques majeurs Des risques majeurs placés sous surveillance : non communiqués 2. Les cartographies des risques opérationnels Attribution de logements, Développement, Maintenance et sécurité patrimoniale, Rh 3. Les remontées d’incidents Des incidents notoires placés sous surveillance : non communiqués 4. Les revues de conformité réglementaire Loi molle, Warsman, tva immobilière, Pénibilité retraites 5. Les rapports de contrôles et audits I/E CRC, Miilos, Cac, Audit interne Qualité, urssaf… 6. Auto saisine de risques spécifiques Risques Psychosociaux, délégations, encaissements, cnil…
  • 105. 4. Pratiques : les méthodes de cartographies Une approche classique des risques – Le PMR : identifier, analyser, évaluer, traiter, surveiller. – La pesée : gravité / fréquence – Les mesures risques bruts , risques résiduels – Appétence Certains risques ne rencontrent pas systématiquement de réponses. Les niveaux de réponses sont proportionnés aux moyens, comportements, procédures...à mobiliser. Les tolérances sont à mettre en relation avec les capacités, taux d’efforts par rapport au gains attendus.
  • 106. 5. Points critiques LIMITES • La responsabilité déléguée à l’instance Comité des risques et l’engagement entrepreneurial des participants directeurs fonctionnels (postures entre moi et pdch). • La connaissance « raisonnable » des risques : – plus je suis en connaissance plus je suis en responsabilité pour agir (distanciation) – Plus je mets en connaissance, ou communique plus grande est la crainte est d’amplifier, de faire peur. « Autocensure » • La perception des risques : réglages des interférences entre individus et les jeux de pouvoir. EVOLUTIONS • Certains sujets d’instructions de risques nécessitent plus que de simples perceptions. – Vers des vérifications avec preuves et engagements – Vers des questionnaires d’autocontrôles
  • 107. 6. Risques. Quelques enseignements à connaître La pensée du Danger : Tout va bien ! « les situations dangereuses sont complexes » En règle générale, on se plait à reconnaître qu’un danger est prévisible pour ses semblables (les autres) mais en même temps on n’est pas prêt à envisager qu’il puisse nous concerner • Les 3 grands comportements observés face aux risques – La négation du danger : Affirmation fondamentale d’invincibilité ou d’inconscience • Ex type : Titanic / insubmersibilité et le comportement de son capitaine. Nous renvoie à la gouvernance et sa cécité. – La distanciation : Refoulement du danger et son ignorance volontaire • Le réflexe collectif primaire qui tend à exporter le danger parce qu’il est désagréable d’en être conscient ou de le reconnaître. On sait mais on préfère ne pas voir ou ne pas en parler. Peut conduire au sacrifice de soi (accident du travail) – L’officialisation : Rationaliser le danger que lorsqu’il prend corps • Pas de manifestation, de phénomène, pas de danger. Il existe une prise de position d’une autorité ou scientifique , elle est crédible et on s’en tient à elle Nous renvoie aux communiqués officiels rassurants (On pense au nuage de Tchernobyl). (A l’opposé en jouer).
  • 108. 6. Risques. Quelques enseignements à connaître Débats internes sur les risques : l’identification la résidence des risques : Exemple le 11 mars 2011 au japon : Nature / Culture ? Quelle frontière entre le naturel et le sociétal ? est-il dans la nature du risque d’être naturel ?, ou au contraire , doit-on considérer que des facteurs humains viennent expliquer la gravité des inondations ou tremblements de terre ? Rechercher , identifier le risque. • la source : Qui est donc menacé ? (moi / l’autre ) (la nature / la culture) – Formes pour légitimer : l’imputation, l’accusation, la disculpation, la consolation – Exprimer la propension du danger de passer du potentiel à Réel . (peser la vulnérabilité / notre résilience) • la cible: Quel collectif est victime ? – Il supplante la priorité faite à celle de l’individu qui en fait partie. Explique aussi les conduites extrêmes comme le fanatisme (Mohamed Merah) – L’atteinte à ses valeurs, normes, objectifs, implique la bonne connaissance de soi pour une bonne immunologie • la nature du risque : – le projet de décrire le danger : notre capacité à décrire et supérieure à notre capacité de perception Rechercher la distinction : Parce qu’une « cause ou une hypothèse ou une circonstance identifiée », peut être la source de la survenance d’un « événement incertain », et qu’il aura un « effet sur un ou plusieurs objectifs ».
  • 109. 6. Risques. Quelques enseignements à connaître L’étude du Danger : Le traitement du savoir Ambiguïtés • Aucun modèle scientifique ne dissipe l’incertitude, de savoir ce qu’il en est exactement du danger. • Notamment le cas des applications du principe de précaution. (pandémie grippale) Déficits • Entre le perçu et le voulu • L’écart entre ce que le regard voit dans les réseaux et ce qu’on pourrait voir chez nous Dissonances • Penser une situation dangereuse est rendu très difficile par les divergences entre les acteurs. • S’ajoutent les confrontations entre « sachants » et experts • La dissonance est elle-même source de danger. Elle est à reconsidérer de façon positive « dissonance cognitive » Système apprenant
  • 110. Mettez du confort dans votre zone de risque Neuf principes pour devenir une Risk Intelligent EnterpriseTM Consulting & Risk Services
  • 111. 3 Introduction 4 L’inconfort du risque 5 Un référentiel comme point d’ancrage 6 Une gestion symphonique des risques 7 Lire la même carte 8 Un traitement réservé aux champignons 9 « Nous gérons les risques tous les vendredis » 10 Qui est le propriétaire du risque ? 11 Les fonctions support et le risque 12 Les garants du dispositif 13 Restez vigilant en matière de risques 14 Les neuf principes fondamentaux de la « Risk Intelligence » 15 Contacts Sommaire Avertissement légal Ce support et les informations qu’il contient sont fournis par Deloitte Touche Tohmatsu. Ils sont destinés à la diffusion d’informations d’ordre général sur un ou plusieurs sujets particuliers et ne prétendent pas en faire un traitement exhaustif. Par conséquent, l’information contenue dans ce document n’est pas destinée à constituer un conseil ni un service de comptabilité, de fiscalité, de droit, d’investissement, de consultation ou d’un autre domaine professionnel. Elle ne doit pas constituer le seul fondement de décisions appelées à avoir un impact sur vous-même ou sur votre entreprise. Nous vous conseillons, avant de prendre quelque décision ou de poser quelqu’acte qu’il soit qui puisse avoir des répercussions sur vos finances personnelles ou sur votre entreprise, de consulter un conseiller professionnel compétent. Ce document et l’information qu’il contient sont présentés « tels quels » et Deloitte Touche Tohmatsu ne fait aucune déclaration ni n’accorde aucune garantie, expressément ou implicitement, à leur égard. Sans limiter la portée de ce qui précède, Deloitte Touche Tohmatsu ne garantit pas que ce document ou que l’information qu’il contient soient sans erreur ni qu’ils respectent quelque critère de rendement ou de qualité que ce soit. Deloitte Touche Tohmatsu ne se reconnaît responsable d’aucune garantie implicite, y compris, sans s’y restreindre, les garanties sur la qualité marchande, le titre, l’aptitude à une fonction particulière, l’absence de contrefaçon, la compatibilité, la sécurité et l’exactitude. Vous utilisez ce document et l’information qu’il contient à vos propres risques. Vous assumez l’entière responsabilité et tous les risques de dommage résultant de leur utilisation. Deloitte Touche Tohmatsu n’est responsable d’aucun dommage spécial, indirect, accessoire, consécutif ou punitif, ni d’aucun autre dommage quel qu’il soit, que ce soit dans une action recherchant sa responsabilité contractuelle, juridique ou délictuelle (y compris, sans s’y restreindre, la négligence) ou autrement, relativement à l’utilisation de ce document ou de l’information qu’il contient. Si l’une des dispositions précitées ne peut être appliquée intégralement pour quelque raison que ce soit, les autres dispositions continuent de s’appliquer.
  • 112. Introduction Cette publication fait partie d’un ensemble de communications que Deloitte consacre aux principes fondamentaux de l’intelligence du risque. Notre ambition est de présenter, dans un langage simple, les composantes indispensables à tout dispositif de « Risk Intelligence », et de proposer des pistes de réflexion et des éléments pratiques utiles à la mise en place d’un tel dispositif. Au bas de chacune des pages suivantes est énoncé un des neuf principes du dispositif d’intelligence du risque, précédé d’un éclairage sur le thème concerné. L’application de l’ensemble des ces principes permet la mise en place d’un dispositif dynamique et pérenne de gestion des risques, désigné sous l’appellation The Risk Intelligent Enterprise. La mise en œuvre de ces principes peut, bien entendu, varier selon vos pratiques professionnelles, le cadre réglementaire et le degré de maturité de votre entreprise. Dans certains secteurs économiques, ces principes sont, pour la plupart, débattus depuis plus de dix ans et peuvent donc sembler élémentaires mais, dans bien d’autres, ils commencent seulement à être adoptés. Quel que soit votre secteur d’activité, les principes fondamentaux restent valables. Si cette publication est la première de notre série « Principes fondamentaux », ce n’est pas la première fois que nous prenons la parole sur la « Risk Intelligence ». Nous avons en effet publié plus d’une douzaine de titres sur le sujet et réalisé de nombreux podcasts et webcasts. Vous pouvez consulter gratuitement tous ces supports sur www.deloitte.com/RiskIntelligence. Une Risk Intelligent Enterprise se distingue avant tout par une communication sans entrave. Nous vous recommandons donc de partager le contenu du présent document avec les autres dirigeants de votre entreprise, les membres de son conseil d’administration et ses principaux cadres. Les questions soulevées et les concepts présentés dans cette publication constitueront un excellent point de départ au dialogue qui doit impérativement s’instaurer en matière d’amélioration de la « Risk Intelligence » au sein de votre organisation. 3
  • 113. L’inconfort du risque Tout comme la politique ou la religion, le risque est souvent un sujet polémique qui met les interlocuteurs dans une situation d’inconfort. Rien d’étonnant à cela dans la mesure où bon nombre de personnes mettent plus ou moins consciemment des limites à ce type de sujet. Le risque peut être pour vous synonyme de menace ou signe de mauvais augure pour vos affaires. Ce qui en fait un sujet de conversation délicat. La discussion peut cependant prendre une tournure plus libre si vous envisagez l’autre facette du risque, celle qui favorise la création de valeur. Autrement dit, une prise de risques calculée, génératrice de valeur. Le lancement de nouveaux produits, la conquête de marchés étrangers, le rachat de concurrents, tous ces projets constituent de véritables défis. Si vous ne gérez pas correctement les risques qui y sont associés, vous ne pourrez pas en retirer les bénéfices potentiels. Envisagez donc une définition plus large du risque, une définition qui donnerait la même importance à la gestion des risques, qu’ils soient liés à la croissance ou à la rentabilité. Principe n°1 : dans une entreprise « Risk Intelligent », une définition globale de l’« appétit » pour le risque, qui couvre à la fois la création et la conservation de valeur, est utilisée de façon uniforme dans l’ensemble de l’organisation. 4
  • 114. Un référentiel comme point d’ancrage A quoi suspendez-vous votre imperméable en rentrant chez vous si ce n’est au crochet d’un porte-manteau ? Sa résistance varie selon la charge qu’il est supposé supporter (vêtements lourds d’hiver ou légers comme un imperméable d’été). Envisagez votre référentiel de gestion des risques selon le même principe : un point d’ancrage qui soutient votre programme de gestion des risques, adapté à votre « appétit » pour le risque. Les référentiels de gestion des risques – tels que COSO ERM, Turnbull et ISO – sont autant d’outils qui permettent d’identifier les opportunités à exploiter et les dangers à éviter. Mais votre référentiel doit se montrer suffisamment solide pour soutenir les objectifs de votre gestion des risques. Il doit considérer vos propres stratégies, vos initiatives et votre structure organisationnelle, et pouvoir s’adapter à votre secteur d’activité comme à vos obligations réglementaires. Inutile de pousser trop loin l’analyse. N’accordez pas plus de temps que nécessaire au choix de votre référentiel. Assurez-vous seulement qu’il supportera le poids de votre « chapeau ». Principe n° 2 : dans une entreprise « Risk Intelligent », un référentiel de gestion des risques commun, soutenu par un corpus de normes adapté, est utilisé par l’ensemble de l’organisation pour gérer les risques. Mettez du confort dans votre zone de risque 5
  • 115. Une gestion symphonique des risques Lorsqu’elle est bien menée, la gestion des risques est un effort coordonné, aussi précisément accordé qu’un orchestre symphonique. Qu’il s’agisse de risque ou de musique, les intervenants agissent de concert au fil de compositions souvent complexes. Dans votre entreprise, certaines personnes peuvent même ignorer qu’elles font partie de l’orchestre. Le chef de produit, le superviseur informatique ou l’adjoint du directeur des fusions/acquisitions, par exemple, estiment peut-être que la gestion des risques n’est pas de leur ressort. Changer cette mentalité est un préalable au déploiement de l’intelligence du risque. Vous devez adresser des messages clairs à chaque niveau de l’organisation pour expliquer ce qu’est l’intelligence du risque, quelle est son importance pour l’entreprise en général et les collaborateurs en particulier, et ce qui est réellement attendu au quotidien de la part de chacun d’eux. Ceci suppose une communication lisible, une culture du risque solide, des plans incitatifs comportant des objectifs liés aux risques, et des programmes de formation pour une gestion clairvoyante des risques. En résumé, la collaboration doit être harmonieuse et l’ensemble s’organiser comme suit : • Le conseil d’administration donne le ton (page 8). • La direction tient la baguette (page 9). • Les unités opérationnelles jouent de leur instrument (page 10). • Certaines fonctions (RH, services financiers, informatiques, juridiques, fiscaux) jouent leur rôle d’assistance en coulisses (page 11). • D’autres fonctions (audit interne, gestion des risques et compliance) sont les régisseurs du spectacle (page 12). 6 Principe n°3 : dans une entreprise « Risk Intelligent », les rôles clés, responsabilités et autorités de tutelle en matière de gestion des risques sont clairement définis et délimités.
  • 116. Lire la même carte Mettez du confort dans votre zone de risque 7 Les spécialistes du risque tendent à se comporter comme les membres d’une même communauté : ils restent ensemble, partagent les mêmes croyances, rituels et habitudes et développent leur propre dialecte. Mais les pratiques dont se nourrissent ces populations « indigènes » ne sont pas idéalement adaptées à tous les gestionnaires du risque que l’on trouve dans l’organisation d’une multinationale. Cela ne veut pas dire que toute spécialisation est inutile, bien au contraire. Sans cela, une gestion efficace des risques serait impossible. Les spécialistes du risque ont juste besoin de sortir de temps en temps de l’espace dans lequel ils sont confinés. Le risque n’existant pas de façon isolée, il en va de même pour ses gestionnaires. Pour gérer efficacement les risques et en tirer avantage, la distance entre les différents silos organisationnels doit être comblée. Pour ce faire, une infrastructure commune doit être créée, de sorte que toutes les fonctions et unités opérationnelles aient recours, autant que possible, aux mêmes processus et supports technologiques. Ceci implique une synchronisation (assurer une coordination par-delà les frontières institutionnelles), une harmonisation (veiller à ce que les gestionnaires du risque parlent tous le même langage et définissent le risque de la même façon) et une rationalisation (éliminer les tâches dupliquées inutilement). Utilisez des outils tel que The Risk Intelligence Map ™ 1 (cartographie de la « Risk Intelligence ») pour faciliter vos discussions. Vos réflexions et échanges sur les risques pourraient alors prendre des directions que vous n’auriez jamais envisagées. Reportez-vous à votre référentiel de risques pour formaliser votre approche. Dressez l’inventaire de vos risques majeurs. Une terminologie, des technologies, des indicateurs et des processus communs vous permettront de transcender votre organisation en silos. Un tableau de bord « Risk Intelligent » vous permettra de piloter vos risques de façon dynamique. Principe n°4 : une entreprise « Risk Intelligent » est dotée d’un dispositif de gestion des risques partagé, qui permet aux fonctions et unités opérationnelles d’assumer avec professionnalisme leurs responsabilités dans le domaine des risques. 1 Pour de plus amples informations sur The Risk Intelligence Map ™, contactez votre interlocuteur chez Deloitte (voir page 15).
  • 117. Un traitement réservé aux champignons 8 Les conseils d’administration sont parfois soumis à un traitement que l’on réserve habituellement à certains champignons, et qui pourrait se résumer comme suit : « Gardons-les dans le noir… » Il va sans dire que ce genre de traitement devrait être proscrit. Le conseil d’administration ou de surveillance a la responsabilité de veiller à ce que la direction de l’entreprise dispose de processus appropriés pour gérer les risques. Et cette responsabilité ne peut s’exercer en l’absence d’éclairage. Pour satisfaire à leurs obligations et créer de la valeur, les administrateurs doivent : • Mettre le risque à l’ordre du jour de leurs réunions. Lui consacrer du temps avant qu’il n’en exige. Discuter du risque à chaque réunion ne saurait épuiser le sujet. • Evaluer la structure de gestion des risques en place. Comment les risques sont-ils gérés ? Les silos organisationnels sont-ils comblés ? • Mobiliser l’équipe dirigeante. Entretenir un dialogue permanent sur les risques. Identifier les risques susceptibles d’empêcher l’entreprise de mettre en œuvre ses principales stratégies. • Discuter les différents scénarios de risques. Où les meilleures opportunités se trouvent-elles ? Qu’est-ce qui pourrait contrarier les objectifs stratégiques de l’entreprise ? • Vérifier l’appétence (ou l’aversion) de la structure organisationnelle pour le risque. Déterminer dans quelle mesure l’entreprise a la capacité d’assumer le niveau de risque choisi. Et dans quelle mesure elle peut réellement l’assumer. Le niveau de risque choisi est-il en cohérence avec l’organisation de gestion des risques mise en œuvre ? • Disposer d’un tableau de bord de suivi dynamique des risques de l’entreprise. • Obtenir une assurance raisonnable. Quel est le niveau de confiance de la direction ? Pour quelles raisons ? • Obtenir une revue indépendante. Faire évaluer par la direction de l’audit interne ou par un consultant extérieur l’efficacité de l’ensemble du dispositif de gestion des risques. L’assurance donnée par la direction est-elle fiable ? Principe n°5 : dans une entreprise « Risk Intelligent », les organes de gouvernance (conseil d’administration, comité d’audit, etc.) bénéficient, pour remplir leurs obligations, d’une transparence et d’une visibilité suffisantes sur les pratiques de gestion des risques.
  • 118. Manage Risk « Nous gérons les risques tous les vendredis » Mettez du confort dans votre zone de risque 9 Ne riez pas, ce sont là les propos fidèlement reproduits d’un chef d’entreprise bien réel. Et voici une autre vérité qui donne à réfléchir : si vous considérez la gestion des risques comme un travail à temps partiel, vous risquez fort de devoir rapidement en trouver un vous-même. Nous avons vu précédemment que le risque était l’affaire de tous dans l’entreprise. Si vous êtes membre de la direction, cette obligation s’impose d’autant plus fortement à vous : vous êtes chargé de donner le ton, de diriger, de concevoir et de mesurer. Votre rôle de dirigeant implique un leadership et une autorité que vous devez exercer : sensibiliser vos équipes à la prise de risques comme source d’avantages, imposer la gestion des risques à tous les échelons de la hiérarchie, faire connaître vos attentes, responsabiliser, impliquer votre conseil d’administration ou de surveillance, initier le changement et établir une culture de l’intelligence du risque. Programme ambitieux, certes. Alors comment parvenir à tout faire ? Pour commencer, constituez une cellule d’intelligence du risque (un comité de gestion des risques composé de membres de la direction générale) dont le rôle sera de faire des commentaires pertinents sur le risque à la direction de votre entreprise et de contribuer à l’élaboration d’un programme d’intelligence du risque. Le plus souvent, la cellule d’intelligence du risque au niveau de la direction générale est incarnée par le Chief Risk Officer – CRO (directeur des risques). Aux côtés des autres dirigeants, le CRO coordonne les travaux d’élaboration d’une politique et d’une approche communes qui sont ensuite déployées dans les unités opérationnelles. Il communique sur l’appétence de l’entreprise pour le risque et en assure le suivi. Il soumet des rapports sur les risques à la direction et aux organes de surveillance du conseil. Certaines entreprises peuvent opter pour un rôle plus étendu. Le style du CRO varie considérablement d’une organisation à l’autre et doit être en phase avec la philosophie du risque que l’entreprise cultive. Certaines entreprises peuvent faire le choix d’un collaborateur orienté « business », d’autres d’un animateur de groupe, d’autres enfin d’un simple « agent de police ». Quels que soient les contours du rôle assigné, une chose est sûre : aucun ne travaille que le vendredi. Principe n°6 : dans une entreprise « Risk Intelligent », la direction générale détient la responsabilité principale de la conception, de la mise en œuvre et du maintien d’un programme efficace de gestion des risques.
  • 119. Qui est le propriétaire du risque ? 10 S’il est entendu que le risque est l’affaire de tous dans l’entreprise, qui est le propriétaire du risque (le « risk owner ») ? Pour nous, ce sont les unités opérationnelles qui sont les propriétaires des risques, aussi bien en titre que dans les actes. Cette question de l’hébergement peut être source de grande confusion dans les organisations. On peut résumer la situation simplement : Le responsable de l’entité opérationnelle est le propriétaire du risque. En d’autres termes, si vous répondez de la réussite de cette unité, vous êtes le principal responsable de la gestion quotidienne des risques. Ce qui n’exonère en rien les autres membres de l’unité de leurs propres responsabilités en matière de risques. Quelles sont les conséquences de cette « propriété » ? Les propriétaires de risques détiennent notamment la responsabilité d’identifier, de mesurer, de surveiller, de contrôler et de faire des rapports sur les risques à la direction générale, d’encourager la sensibilisation au risque et de réorganiser les priorités en fonction d’analyses de risques efficaces. Comme tout propriétaire d’immeuble soumis au respect d’un plan d’urbanisation, les responsables d’unités opérationnelles opèrent sous certaines contraintes et ne peuvent, par exemple, choisir leur référentiel – ils doivent s’y conformer. Ils ne déterminent pas l’« appétit » de l’entreprise pour le risque – ils s’en tiennent au « menu » qui leur est servi. Et s’ils ont la possibilité de miser sur des objectifs comme au casino, sans surveillance ni limite, c’est que le dispositif de gestion des risques de l’entreprise doit être revu. Principe n°7 : dans une entreprise « Risk Intelligent », les unités opérationnelles sont responsables des performances de leur activité et de la gestion des risques qu’elle génère dans le cadre du référentiel des risques établi par la direction générale.
  • 120. Les fonctions support et le risque Mettez du confort dans votre zone de risque 11 Certaines fonctions (notamment finance, juridique, RH, fiscale, informatique, etc.) se distinguent des unités opérationnelles en ce qu’elles ne sont pas seulement les propriétaires de leurs propres risques : elles peuvent aussi être le révélateur des risques d’autres unités opérationnelles. Leur rôle est intrinsèquement différent de celui des « garants du dispositif » (voir page suivante) ou des unités opérationnelles (voir page précédente). Tout comme les unités opérationnelles, ces fonctions sont les principales responsables des risques générés par leurs activités. La direction financière, par exemple, assume directement les risques qui découlent de la justification des comptes, le service informatique, ceux liés aux technologies, le service juridique, ceux liés aux litiges, et les RH, ceux liés aux ressources humaines. En parallèle, elles sont également responsables de risques qui transcendent leurs fonctions. Par sa connaissance des comptes, la direction financière peut identifier des risques d’autres unités opérationnelles. La DSI, quant à elle, est omniprésente dans l’entreprise et peut aider les autres services à contrôler et à réduire leurs risques. Les RH peuvent exploiter les enquêtes auprès des nouveaux entrants, les entretiens préalables aux licenciements ou toute autre information susceptible d’aider à identifier les zones de risques imminents. Ces fonctions transverses sont responsables de l’élaboration et de l’application des politiques, procédures et contrôles qui réduisent le risque dans l’ensemble de l’organisation. Elles servent de support aux unités opérationnelles et les assistent dans la compréhension de leurs obligations de prise de risque raisonnée, avec l’objectif de les aider à en retirer des bénéfices. Elles collectent des informations importantes pour la direction générale et réalisent des analyses de réduction des risques. Il est important que ces fonctions clés soient associées à l’équipe de gestion des risques et que leur rôle soit articulé en phase avec le référentiel des risques. De même, elles doivent participer au comité de gestion des risques et à toutes les discussions majeures sur le sujet. Principe n°8 : dans une entreprise « Risk Intelligent », certaines fonctions (notamment financière, juridique, informatique, HR, etc.), de par leur caractère transverse, servent de support aux unités opérationnelles dans la mise en œuvre du programme de gestion des risques.
  • 121. Les garants du dispositif 12 En matière de gestion des risques, nombre de groupes ont coutume de confier un rôle important à la direction de l’audit interne, ou aux fonctions dites de contrôle interne, de « compliance » ou de gestion des risques. Et l’on pourrait dire que le « confort » est la responsabilité première de ces fonctions : elles doivent en effet garantir que la structure de contrôle interne et des risques fonctionne de manière efficace (permettant ainsi aux dirigeants et aux administrateurs de dormir sur leurs deux oreilles). Un tel rôle les distingue des autres fonctions de l’entreprise. Les acteurs du confort ne sont pas opérationnels par nature : ils n’ont aucune responsabilité dans les décisions et orientations influant sur la bonne marche des affaires. Leur raison d’être est plutôt de contrôler et de favoriser l’amélioration de l’efficacité des activités de gestion des risques dans l’entreprise. Bien évidemment, les rôles et responsabilités spécifiques de ces fonctions varient d’une organisation à l’autre. Dans les descriptions de poste de ces fonctions, on pourrait ajouter les qualités suivantes : • Visionnaire : pour évaluer non seulement l’état actuel de la gestion des risques, mais également pour scruter l’horizon et aider la direction à prévoir les risques et opportunités à venir. • Diététicien : pour déterminer si les risques au menu de l’entreprise correspondent à son « appétit ». • Analyste : pour vérifier si l’entreprise prend suffisamment en compte les phénomènes d’interaction et d’effet en cascade des risques. • Orienté efficacité : pour rechercher les moyens d’éliminer les inefficacités dans la gestion des risques. • Orienté solutions : pour préconiser l’allocation des ressources nécessaires à une prise de risques dont on tire avantage et pour gérer les risques liés à l’augmentation de la rentabilité et de la valeur pour les actionnaires. • Vigilant : pour signaler les zones de risques jugées insuffisamment couvertes et pour demander les ressources nécessaires afin d’y remédier. • Pédagogue : pour partager sa connaissance approfondie et son expertise dans les principaux domaines de risque, notamment en matière de fraude. • Conciliateur : pour être partie prenante dans la conception et la mise à jour des procédures de contrôle, et pour aider à conduire l’évaluation des risques. Principe n°9 : dans une entreprise « Risk Intelligent », certaines fonctions (audit interne, gestion des risques, « compliance », etc.) fournissent une assurance objective au même titre qu’elles assurent le suivi et le reporting de l’efficacité du programme de gestion des risques auprès des organes de direction et de la direction générale.
  • 122. Restez vigilant en matière de risques Mettez du confort dans votre zone de risque 13 Encore récemment, les secteurs de la finance et de l’énergie étaient perçus comme des modèles de gestion sophistiquée des risques. Mais la crise est passée par là, effaçant au passage des milliards des bilans des entreprises. Des livres entiers ont été écrits sur ce qui a mal tourné. Mais voici un rapide condensé : 1) L’éventualité d’interactions entre les risques a été sous-estimée ou ignorée. 2) Trop d’importance a été donnée à la modélisation par probabilité ; des raccourcis ont été pris ; l’analyse de scénarios de risques ne s’est pas suffisamment développée ; la visibilité a manqué sur nombre de problèmes potentiels. 3) Les gestionnaires du risque se sont retrouvés isolés, chacun dans son silo. 4) Les avertissements ont été ignorés ; ceux qui prophétisaient le pire ont été mis à l’index, taxés d’opposants systématiques ou critiqués pour absence d’esprit d’équipe. 5) Une perspective à court terme a prédominé, ayant pour unique but d’atteindre les objectifs trimestriels. 6) Les entreprises ont manqué d’une approche globale de la gestion des risques étendue à l’ensemble de l’organisation. Les habilitations et responsabilités se sont avérées mal contrôlées et mal définies. 7) La gestion des risques s’est trop souvent basée sur la conformité plutôt que sur les performances, entraînant ainsi des erreurs d’appréciation et des réponses inadaptées. S’il s’agit bien là de défaillances majeures, il eût été pire encore que les entreprises se soient montrées réfractaires au risque. Prendre des risques pour en tirer des bénéfices est un principe fondamental du capitalisme. Mais la poursuite d’un tel objectif ne peut se faire sans maîtrise. En d’autres termes : il est temps de devenir clairvoyant en matière de risques, ou « Risk Intelligent ».