Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

La gestion des risques :
Maîtriser ses risques, un enjeu opérationnel,
financier et un levier d’efficacité
12 avril 2012

© 2012 Deloitte
Sommaire
2 La gestion des risques - Avril 2012
1. Introduction
2. Un regard sur les évènements récents
3. Les évolutions de la gestion des risques
4. L’exemple du risque de réputation
5. Next steps
6. L’évaluation de l’efficacité du dispositif de gestion des risques
7. Témoignages intervenants
8. Echanges autour de la gestion des risques

© 2012 Deloitte
Introduction

© 2012 Deloitte4
Introduction
Prendre du recul sur la notion de gestion des risques, retour aux origines
La gestion des risques - Avril 2012

© 2012 Deloitte5
ISO 31000
Les organisations de tous
types et tailles font face à des
influences et facteurs
internes et externes qui
rendent incertain si et quand
ils atteindront leurs objectifs.
L'effet de cette incertitude a
des objectifs d'une
organisation est le «risque».
DIRECTIVE SEVESO II
Le risque est la probabilité quún
effet spécifique se produise dans
une période donnée ou dans des
circonstances déterminées. En
conséquence, un risque se
caractérise par deux composantes:
la probabilité dóccurrence dún
événement donné; la gravité des
effets ou des conséquences de
l´événement supposé pouvoir se
produire.
FERMA
La norme ISO/IEC Guide 73 définit le risque comme la
combinaison de la probabilité d’un événement et des
conséquences de celui-ci. Le simple fait d'entreprendre
ouvre la possibilité d'évènements dont les
conséquences sont potentiellement bénéfiques (aléa
positif ) ou préjudiciables (aléa négatif ). On s'accorde
de plus en plus à reconnaître que la gestion du risque
s’intéresse à celui-ci sous les deux aspects de l'aléa
positif et de l'aléa négatif.
AMF
Le risque représente la
possibilité qu’un événement
survienne et dont les
conséquences seraient
susceptibles d’affecter les
personnes, les actifs,
l’environnement, les objectifs
de la société ou sa réputation.
COSO
Les événements peuvent
avoir un impact positif, négatif
ou les deux à la fois. Les
événements ayant un impact
négatif sont des risques
pouvant freiner la création de
valeur ou détruire la valeur
existante.
Introduction

© 2012 Deloitte6 La gestion des risques - Avril 2012
Introduction
HENRI BERGSON
"Un imprévisible rien qui change
tout"
JEAN-JACQUES
ROUSSEAU,
Julie ou la Nouvelle Héloïse
« C´est un excellent moyen de bien
voir les conséquences des choses,
que de sentir vivement tous les
risques qu´elles nous font courir. »
• Une autre vision des risques…

Introduction
• «Un risque se définit comme tout événement, action ou inaction de
nature :
- à empêcher une organisation d’atteindre ses objectifs (de façon implicite
ou explicite) ou
- à altérer sa performance » ou
- à une perte d’opportunités

© 2012 Deloitte
Environnement interne
Environnement interne
COSO I
COSO II
Fixation des objectifs
Identification des évènements
Traitement des risques
Activités de contrôle
Information et ommunication
Pilotage
Activités de contrôle
Information et communication
Pilotage
Évaluation des risques
Évaluation des risques
Introduction
Considérer que le cadre de référence évolue et évoluera encore

Introduction

© 2012 Deloitte
Cinq composantes des deux côtés
Introduction
Prendre du recul sur la notion de référentiel souvent compatibles entre eux

© 2012 Deloitte
• Univers des risques :
COSO
Committe of Sponsoring
Organizations Of the
Treadway Commission -
Introduction
Un exemple de
référentiel de risque,
celui du COSO

© 2012 Deloitte
‒ « Le management des risques est un processus mis en œuvre par le Conseil
d’administration, la direction générale, le management et l’ensemble des collaborateurs
de l’organisation.
‒ Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les
activités de l’organisation. Il est conçu pour identifier les évènements potentiels
susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de
son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à
l’atteinte des objectifs de l’organisation. »
Source COSO II
Introduction
Management des risques: définition

© 2012 Deloitte
Introduction
Exemple d’un arbre d’analyse : Rupture des systèmes d’information
Facteurs de Risque ConséquencesRisque Majeur
Rupture des systèmes
d’information
Arrêt des systèmes /
perte de données
Hétérogénéité des
systèmes
perte de données
Mise en production
non fiabilisée
Problème technique
perte de données
Aléas climatiques
Gestion décentralisée
Interfaces non
compatibles
Limites des conditions
techniques
perte de données
Déficience de la
protection physique
Dépendance du
personnel
Altération / perte de
données
Destruction partielle
Intrusion externe
Départ de personnel
clé
Vol / altération de
données
Maintenance /
sécurité insuffisante Perte de contrats
Difficulté pour piloterAbsence de reporting
Difficulté pour produire
les comptes
Perte de confiance des
usagers
Perte de confiance des
investisseurs
Perte de confiance du
public
Coûts de campagnes
publicitaires
Chute du cours de
bourse
Perte de l’information
comptable
Perte de données
confidentielles
Perte de confiance du
management
Atteinte à l’image de
l’Etat
Changement d’équipe /
directionArrêt des systèmes /
perte de données
Dépendance
énergétique
Défaillance de
l’alimentation en
énergie
Vol / altération de
données
Accès conflictuels
Déficience de la
sécurité informatique
ElémentsdéclencheursConditions/Environnement

© 2012 Deloitte
StratégiquesPérilsOpérationnels
Gouvernance
Organisation généraleComité d’audit
Management des risques
Système de gestion
des risques
Cartographie des
risques
Evaluation
Audit interne
Auto-évaluation
Contrôle interne
Maîtrise des activités
et des processus
Plans de contrôle
/ plans d’actions
Base incidents
Rapport de contrôle
interne
Fraude
Lutte anti
blanchiment
CNIL
Qualité
Approche processus
Relation client
Dispositif
documentaire
Dispositif amélioration
continue
Sécurité des
personnes et des
biens
Sécurité des
systèmes
d’information
Accès logiques et
physiques
Environnement
Social et sociétale
Plan de continuité
d’activité
Plan de gestion de
crise
Gestion des parties
intéressées
Financiers
Certification des
comptes
Introduction
Les éléments constituant du management des risques
IsoCoso

© 2012 Deloitte
Un regard sur les évènements
récents

Dépêche AFP – Samedi 14 janvier 2012 – Naufrage du Costa Concordia
« Au moment du naufrage, vendredi 13 janvier, le navire transportait plus de
4 200 personnes, dont 3 200 touristes de 60 nationalités différentes et un
millier de membres d'équipage »
Un regard sur les évènements récents
Des évènements majeurs

Falbert’s blog– février 2012– Causes et objectifs de la révolution
tunisienne
« Le 17 décembre 2010, Mohamed Bouazizi, désespéré, s'humilie
devant le gouvernorat en s’immolant.(…) Ce geste du à une simple gifle
a été le début d'une révolution dans la Tunisie et est à l’origine de l'effet
papillon dans le monde arabe. Après le 17 décembre 2010, les
protestations contre le chômage, le népotisme et le pouvoir administratif
se sont transformés en protestations politiques, contre le régime de Ben-
Ali. Le régime a essayé d’étouffer ces révoltes en mettant sur écoute les
téléphones, en lisant sur internet les blogs des protestants et en
essayant de bloquer les sites internet. Mais il n’a pas réussi. »
L’Express– Mars 2011– Libye, de la révolution à l’affrontement militaire
« Après la Tunisie et L’Egypte, la Libye, le plus gros pays producteur de pétrole et de gaz d'Afrique,
est entrée en ébullition. Depuis la ville de Benghazi, le13 février Les manifestations s'étendent
rapidement au reste du pays, la répression est d’une violence inouïe et fait plusieurs centaines de
victimes : 640 morts en huit jours contre les 219 en Tunisie en un mois et les 365 en Egypte en trois
mois. »
Le Monde Diplomatique- La révolution arabe, fille de l’Internet ? – Février 2011
La révolution égyptienne, comme celle qui l’a précédée en Tunisie, montre à la fois la
puissance des nouveaux médias, la difficulté à leur opposer des forces classiques de contrôle
et de répression, et leur articulation, trop souvent minorée, avec les médias traditionnels
comme la télévision ou la presse.»

Mars 2012 – Industrie Automobile
BMW rappelle 1,3millions de véhicules dans le monde. Le
groupe Allemand mentionne un éventuel risque de combustion
et d’incendie dans les cas extrêmes, dû à des
dysfonctionnements électriques.

Dynamique Mag’– Juin 2011– Vente privée.com à la conquête du
monde
Interview de Jacques-Antoine Granjon, le PDG fondateur du site
de ventes événementielles quotidiennes Vente Privée.com
« Nous avons ouvert notre site de ventes quotidiennes
évènementielles, Venteprivée.com, en Allemagne, Espagne, Italie,
Grande Bretagne, Belgique et Autriche. Et nous travaillons
actuellement sur l’ouverture prochaine de notre site sur le marché
des Etats-Unis. Je pense que l’entreprise a un potentiel énorme à
l’étranger »
Le Monde– Mars 2011– Vente privée, leader du déstockage
« Avec près d’un milliard d’euros de chiffre d’affaires en 2010, la
société vente-privée.com est rentrée dans les poids lourds de
l’e-économie européenne, moins de 10 ans après sa création.
Tout a commencé sur un pari fou : proposer sur internet les
invendus des collections passées… »
Une prise de risque récompensée !

© 2012 Deloitte
Les évolutions de la
gestion des risques

Les évolutions de la gestion des risques
Les origines de la gestion des risques
Information
financière
Ethique
Transformation
Complexification
des opérations
Ouverture
des marchés
Internationalisation
Diversification
des activités
Ouverture
du capital
Un environnement de
risques
Réglementations
E-Reputation
Crises économiques et financières
(immobiliers - banques - dettes)

Gouvernance - un environnement en mutation et des enjeux nouveaux
Cadre
réglementaire strict
SOX LSF
8e directive
Complexité
du business
Ingénierie
contractuelle
Nouveaux schémas
organisationnels d’entreprise
Pression des actionnaires
Risques pénaux
Responsabilité accrue
des dirigeants
Publication de
résultats financières
Corporate Governance
Pression croissante
des marchés financiers
Ethique
Direction générale
Actionnaires
De nouvelles attentes pour
les acteurs de l’entreprise
Opérationnels
Entreprise
Evolution rapide des
structures et
naissance de
nouveaux risques
Fusions et
acquisitions
Valorisation
d’entreprises
Mise en place
de synergies

© 2012 Deloitte
Source: Strategic Risk 2011
L’univers des risques – les risques externes

© 2012 Deloitte
1985 – USA :
Création de la
Commission du
sénateur Treadway
1987 : Premier
rapport de la
commission sur
le contrôle interne
1992 : Publication
rapport intitulé
Internal Control -
Integrated
Framework. Ce
rapport devient le
référentiel COSO.
2003 : Le COSO est
recommandé
comme la norme
d’application de la
loi Sarbanes-Oxley
ou SOX (SEC)
2004 : Publication
du COSO II -
Introduction de la
notion Entreprise
Risk Management
(ERM)
• Le COSO I, un référentiel pour aborder le contrôle interne
‒ Committee of Sponsoring Organizations of the Treadway Commission
‒ Référentiel de contrôle interne développé dans les années 90 lors de la faillite des caisses
d’épargne américaines
‒ Référentiel recommandé par l’IIA (Institut des Auditeurs Internes)
• Le COSO II, un référentiel pour aborder la gestion des risques
2010 : Evolution
du cadre AMF
(France) pour
intégrer la
démarche de
gestion des
risques dans le
rapport LSF
La gestion des risques, indissociable du contrôle interne
2008:
Transposition
8ème Directive
et publication par
l’AMF du guide
relatif à la mise
en œuvre de la
gestion des
risques et du
contrôle interne

© 2012 Deloitte
Maîtrise du risque
placée au cœur
du processus
de décision
• Prise en compte des
interactions entre les
facteurs de risque
• Prise de risque
« intelligente »
• Pérennité
• La maîtrise du risque
est le souci de tous
dans l’organisation
• Risk intelligence
Dashboard
Réponse intégrée aux
situations de risques
• Suivi de l’exposition aux
risques
• Transformation
culturelle en cours
• Processus « bottom
up »
• Réponse pro-active
« Tone at the top »
• Les politiques,
procédures,
responsabilités sur les
risques sont définies et
communiquées
• Approche
principalement
qualitative
• Réponse réactive
Réaction aux
situations de risques
confiées à des
spécialistes
• Existence de
procédures basiques
pour certaines
catégories de risques
(finance, assurance,
conformité)
Réponse
chaotique
• Prépondérance d’un
suivi des risques
« intuitif »
1. Tribal et héroïque 2. Par silos spécialisés 3. Top Down 4. Systémique 5. Intelligent
Prise de risque « valorisée »
Prise de risque « non valorisée »
Réactionauxincidents
Gestionglobaledesrisques
La démarche globale de gestion des risques
… et les réponses aux risque doivent être « intelligentes »

L’importance d’une cartographie intelligente !
• Les réglementations SOX, LSF, 8ème directive sont les piliers d’une gestion des risques
respectueuse des lois.
• En 2012, la gestion des risques efficace s’appuie sur un processus de cartographie des
risques intelligent.
• Cette cartographie est intelligente lorsqu’elle est pleinement intégrée dans les processus
de l’entreprise, et que chaque collaborateur en est acteur via :
- La remontée d’information (reporting) sur les risques et les moyens de maîtrise
- La mise à jour régulière de la cartographie
- La vigilance face aux nouvelles menaces
- La pro-activité face aux opportunités
- Etc.

© 2012 Deloitte
Une démarche de gestion des risques dynamique, divisée en plusieurs étapes
structurantes
Gouvernance pour une démarche de gestion des risques

© 2012 Deloitte28
« Top Down »
• Identification par entretiens des
« risques majeurs »
• Hiérarchisation en atelier (vote)
• Identification des plans d’actions
• Implication dans les analyses de
« forage »
• Gestion des plans d’actions
Opérations / fonctions
Renforcement
«Forage» « Bottom Up »
• Elaboration et diffusion d’un guide
• « Consolidation » des résultats
• Présentation de la cartographie
• Identification des risques
« locaux » selon démarche et
catalogue
• Evaluation des risques et du
niveau de maîtrise
• Définition des plans d’actions
Opérations / fonctions
Instructions
Analyses
Quelle démarche envisager ? Bottom-up vs. Top Down

© 2012 Deloitte29
Les parties prenantes dans une organisation dédiée à l’analyse des risques

© 2012 Deloitte
La cartographie est la première phase d’une gestion des risques efficace
30
Elaboration de la
cartographie des
risques des organes
de la société
Définition de la stratégie
de maîtrise des risques
Phase 1
Définition du plan de
maîtrise des risques
Phase 2 Phase 3
L’élaboration de la cartographie des risques des organes de la société se
décompose en 3 jalons :
• Identification des risques
• Evaluation des risques
• Hiérarchisation des risques

• L’identification des risques
‒ Elaboration de la liste des objectifs et risques majeurs
‒ Couverture de l’ensemble de l’univers des risques
‒ Validation de la liste des objectifs et des risques inhérents
• L’analyse des risques
‒ Evaluation de la fréquence
‒ Evaluation de la gravité
‒ Evaluation du niveau de maîtrise
• La hiérarchisation des risques
‒ Mise en lumière des risques principaux au regard de ces 3 critères
Elaboration de la
cartographie des
risques des organes
de la société
Ces 3 jalons de la cartographie des risques s’organisent autour de la notion de
risque. Mais comment faire la différence entre un risque majeur, un risque individuel,
un risque brut, un risque inhérent, etc…

© 2012 Deloitte32
La notion de risque majeur doit être distinguée de la notion de risque individuel même
si ces deux concepts demeurent étroitement liés
• Un risque majeur répond à la définition communément utilisée d’un risque, à savoir : la
potentialité d’une perte – ou perte d’opportunité – causée par des évènements pouvant
affecter l’atteinte des objectifs d’une organisation.
• Les risques individuels représentent quant à eux les causes contribuant à la
réalisation d’un risque majeur (=> « évènements » mentionnés dans la définition du
risque majeur). L’existence (ou non existence) de risques individuels conditionne donc
la probabilité de réalisation d’un risque. A noter qu’un risque majeur peut-être lié à un ou
plusieurs risques individuels.
Risques individuels
Assurer
l’intégrité
des
données
Destruction de la
base de stockage
des données
Perte/altération des
données
Erreur humaine
Pollution virale
Altération du
système
Risque majeurCauses
Intrusion externe
Objectif
Risque majeur, risque individuel

© 2012 Deloitte33
• Qu’est-ce qu’un risque brut (autrement appelé risque inhérent) ?
‒ Un risque brut représente le poids potentiel d’un risque sans prise en compte du
dispositif de maîtrise (contrôle interne).
‒ Il correspond au risque maximal que pourrait supporter la structure en l’absence de
mesures préventives ou détectives.
• Pourquoi est-il nécessaire d’évaluer les risques bruts ?
‒ L’évaluation du risque brut aide à analyser de manière précise l’ensemble des causes /
facteurs pouvant engendrer la réalisation du risque.
‒ Une appréciation du risque « maximal » permet
• de prendre la pleine mesure de la criticité d’un risque
• et d’évaluer ainsi la nécessité de maintenir ou d’implémenter un dispositif de maîtrise fort (ou
limité si le risque brut n’est pas jugé significatif).
Risque brut

© 2012 Deloitte
• Qu’est-ce qu’un risque inhérent (brut) ?
‒ Un risque brut représente le poids potentiel d’un risque sans prise en compte du
• Qu’est ce qu’un risque résiduel ?
‒ Un risque résiduel représente le poids potentiel d’un risque après prise en compte du
risque
inhérent
risque
résiduel
Contrôle
externe
Contrôle
Inspection /
audit interne
Contrôle fonctionnel
Contrôle hiérarchique
(validation, pilotage, sondages,
etc.)
Mesures et contrôles opérationnels
(séparation des tâches, compétences,
autocontrôle, contrôle automatisé, etc.)
34
Risque inhérent, risque résiduel

© 2012 Deloitte35
• La première étape d’analyse porte sur les
risques inhérents / bruts.
• Les risques résiduels / nets sont alors
identifiés en tenant compte des dispositifs de
contrôle existants.
• L’évaluation d’un risque résiduel repose sur
l’appréciation (perception) du niveau de
maîtrise par les éventuels dispositifs de
contrôle en place (pertinence / efficacité).
• Cette perception nécessite d’être confirmée
par une évaluation.
• Le niveau de risque résiduel ainsi défini doit
enfin être comparé au niveau de risque
considéré comme acceptable par les organes
de gouvernance (définition du risque cible /
appétence aux risques).
Risque
inhérent
Risque
cible
Risque
résiduel
Processus en place
qui visent à limiter le
risque
Plans d’actions décidés
par la Direction afin
renforcer la maîtrise du
risque
Risque inhérent, risque résiduel

© 2012 Deloitte36
Analyse qualitative et quantitative des risques
• Comment évaluer les risques bruts ?
‒ L’évaluation du risque brut tient compte de deux critères. Ces critères sont à définir
selon l’approche / la méthode retenue. Les termes les plus utilisés sont:
• Probabilité (P) et impact (I)
• Fréquence d’occurrence (F) et matérialité (M)
‒ Quelques notions:
• La fréquence d’occurrence est l’estimation de la période associée à la survenance du risque
• La matérialité représente l’impact d’un risque estimée de manière quantitative ou qualitative
• La fréquence ou la matérialité peuvent être définies selon une hypothèse moyenne en tenant
compte de l’historique (incidents avérés => Bases incidents ) ou d’estimations

© 2012 Deloitte
Echelle
de
criticité
Degré Signification
5 Catastrophique Risque remettant en cause à lui
seul la continuité ou l’existence du
Groupe
4 Très forte Risque remettant en cause, en lien
avec d’autres risques, la continuité
ou l’existence du Groupe
3 Forte Risque impactant fortement le
fonctionnement / les résultats du
Groupe sans remise en cause
directe de son existence.
2 Modérée Risque impactant modérément le
fonctionnement / les résultats du
Groupe sans remise en cause
directe de son existence.
1 Faible Risque sans conséquence majeure
pour le Groupe
37
• Echelles d’évaluation :
→ Criticité : perception de l’importance du risque en terme d’impact et de
possibilité d’occurrence (plus critique = préoccupation majeure actuelle)
→ Fréquence : Appréciation qualitative ou quantitative de la probabilité
d’occurrence
Echelle de
fréquence
4 Forte L’événement est très probable au
regard des statistiques ou des incidents
internes.
3 Moyenne L’événement est probable au regard
des statistiques ou des incidents
internes.
2 limitée L’événement est possible sous des
conditions qui ne sont pas réunies
aujourd'hui, mais qui sont susceptibles
de l ’être dans le futur.
1 Infime L’événement est très improbable et ne
devrait se produire
qu'exceptionnellement (sous réserve
d'une conjonction de conditions très
particulières).
Les échelles d’évaluation

© 2012 Deloitte38
• Le contrôle en place (mesure de traitement des risques) :
‒ Maîtrise : capacité actuelle de l’entreprise à réduire la criticité perçue de ce risque (forte
maîtrise = ne devrait pas arriver)
Echelle de
niveau de
maîtrise
5 Excellent Dispositif pertinent, documenté et
évalué favorablement.
4 Fort Dispositif pertinent, documenté et
évalué de manière satisfaisante.
3 Moyen Dispositif pertinent, documenté, mais
non évalué.
2 Faible Dispositif pertinent, mais non
documenté, non évalué ou présentant
une déficience moyenne.
1 Très faible Dispositif inexistant ou présentant une
déficience forte.
Les échelles d’évaluation

© 2012 Deloitte
• Synthèse des entretiens individuels
• Agrégation des risques identifiés en 16 « enjeux »
1. A Stratégie et développement
2. B Innovation et stratégie marketing
3. C Gestion des franchisés
4. D Systèmes d’information – Gouvernance informatique
5. E Risque de fraude
6. F Capital humain
7. G Sécurité physique
8. H Sécurité alimentaire
9. I Achats / Logistique
10. J Maintenance / Capex
11. K Trésorerie / financements
12. L Pilotage de la performance
13. M Contrôle interne
14. N Comptabilité
15. O Juridique
16. P Gestion de crise
39
Exemple de liste de risques majeurs et cartographie des risques

© 2012 Deloitte40
Décider face au risque
• Chaque organisation accepte un niveau de risque
défini en fonction de son activité, de sa sensibilité aux
risques, de sa culture mais aussi de ce que peuvent
supporter les actionnaires et autres parties prenantes
: c’est la notion d’appétence au risque (risk
appetite).
Risque
cible
Risque
résiduel
• La responsabilité exclusive de définition d’appétence au risque incombe au Management.
Tout système de maîtrise des risques s’inscrit dans le cadre du niveau de risque
acceptable.
• Principes associés :
‒ Le risque "zéro" n'existe pas
‒ Les limites budgétaires impliquent de rechercher un équilibre entre coûts et bénéfices
‒ La prise de risques est nécessaire pour une organisation qui se veut dynamique et flexible
‒ Certains risques sont hors du champ de contrôle du management

© 2012 Deloitte41
La Réponse au risque – appétence au risque

Comment lire une cartographie des risques
La Réponse au risque – l’approche MARCI :

© 2012 Deloitte43
Mais une cartographie des risques peut aussi être…

© 2012 Deloitte
Gouvernance et administration des risques
• Les questions liées à la gouvernance et à l’administration des risques se posent
dans un système de gestion des risques:
 Qui dispose de l’information
 Que communiquer aux parties-prenantes (actionnaires, gouvernement, etc.)
 Qui s’assure que les plans d’actions définis sont mis en place
 Comment faire évoluer la cartographie des risques vers une gestion des risques intégrée à tous
les niveaux de l’entreprise ?
• L’implication des organes de gouvernance dans la gestion des risques est une
dimension essentielle pour valoriser la gestion des risques, au-delà d’une simple
démarche de conformité.
• Le schéma ci-après présente une organisation favorisant une gestion des risques
intégrée

© 2012 Deloitte
Mesurer la
contribution à la
performance
globale de
l’entreprise
Indicateurs de
Performance de
l’activité
Indicateurs de
Maîtrise des risques
et contrôle interne
Indicateurs
d’efficacité de la
gestion du processus
Indicateurs de
Prévention de la
fraude
Pour chaque processus, le management doit pouvoir
S’assurer de
l’efficience des
processus mis en
place
Prévenir les risques
Détecter les zones à
risque de fraude
Performance
Maîtrise des risques –
contrôle interne
45
Intégrer gestion de la performance et gestion des risques

© 2012 Deloitte
Conseil d’administration
Supervise la maîtrise des risques
Direction Générale
Responsable de la conception, de
la mise en œuvre et de la
surveillance continue
Risk Manager
Autres fonctions transverses
(directions juridique, RH,
financière, qualité, etc.)
Directeur du Contrôle Interne
Audit Interne
Evalue le fonctionnement du
dispositif
Partage les meilleures
pratiques
Auditeurs externes
Comité d’audit
Assiste le Conseil d’Administration
Supportent Evaluent
Collaborateurs
Management
Met en œuvre le dispositif
Rapporte à la Direction Générale
Responsables

Le Risk Manager est-il lisible pour les dirigeants?
• La participation du Risk Manager aux comités

© 2012 Deloitte
• Le comité d’audit
− assure le suivi des questions relatives à
l’élaboration et au contrôle des informations
comptables et financières
• Le comité des risques
− assure le pilotage de la gestion des risques,
décide des actions visant à la maîtrise des
risques
• Le comité des rémunérations
− valide les rémunérations et avantages des
dirigeants de la société
• Le comité des nominations
− collège de décideurs pour les nominations
dans l’entreprise
• Le comité RSE développement durable
− valide la stratégie RSE et développement
durable de la société
Etc.

© 2012 Deloitte
• Mise en place d’un processus adapté à l’entreprise et en phase avec les objectifs
de la Direction Générale
• Une définition préalable des objectifs du processus
• Une définition des acteurs et des modalités de construction
• Choix d’une méthode idoine en adéquation avec les objectifs de l’entreprise
• Un processus itératif, basé sur le principe de l’amélioration continue.
• Une communication efficace et maîtrisée, au sein de l’entreprise et à l’extérieur de
l’entreprise.
• Une intégration dans tous les processus
49
Facteurs clés de succès

© 2012 Deloitte
50
• Un projet pas ou peu porté par la direction
• Des analyses de risques menées « en chambre »
• Une méthode d’analyse des risques peu ou mal définie
• Ne pas installer un système de management des risques
• Une confusion sur les univers de risques et la maitrise à mettre en place
• Une articulation peu définis entre dispositifs de gestion des risques opérationnels
et stratégiques
• Un dispositif qui appartient au risk manager
• Des administrateurs non intégrés et formés
• …
Ecueils possibles à la mise en place de la démarche

© 2012 Deloitte
L’exemple du risque
de réputation

© 2012 Deloitte
Risques:
Réputation (excuses)
Capitalisation boursière
Solution: plan com’ massif
Management de crise (3 niveaux):
1. Le fusible (directeur technique US)
2. Le crédible (patron filiale US)
3. Le légitime (patron maison mère)

Business
Model
Facteurs de
différenciation /
Positionnement
Capacité à attirer
et conserver les
meilleurs profils
Meilleure maîtrise
du comportement
de la clientèle
Conditions de
pricing /
Gestion de la
marge
Confiance des
actionnaires et
des partenaires
Compétence, savoir-
faire
Identité, culture,
valeurs
Impression de solidité
Déterminants
Réaction de la
clientèle (volonté,
capacité)
Amplitude de
l’impact
Dépendance de la
compagnie à certains
acteurs
Réaction de la société
touchée
Maturité du marché et
niveau de concurrence
Nécessité d’optimiser la gestion de la réputation tant dans une
optique préventive que curative
L’exemple du risque de réputation
Une question centrale : quel est l’apport de la réputation?

Long terme
Court terme
Pilotage sur le
long terme :
intégration de
valeurs dans
les processus
de l’entreprise
Pilotage sur le
court-moyen
terme :
communication,
ajustement
concurrentiel, …
Identité
Image
Valeurs,
Histoire, savoir-faire
Positionnement
conjoncturel,
confiance
Les deux dimensions sont étroitement liées au
secteur d’activité de l’entreprise et au
positionnement de celle-ci
Les déterminants de la réputation

© 2012 Deloitte55
Impact sur les volumes et la profitabilité de l’activité
Exemples : réduction des ventes (mobilité de la clientèle), réduction des marges
Niveau
d’activité
Impact sur la durabilité des partenariats avec les fournisseurs et la profitabilité générée
Exemples: Baisse de confiance des fournisseurs, non renouvellement de contrats existants, changement de
conditions courantes
Fournisseurs
Impact sur les gestion et le coût des ressources
Exemples : Augmentation du turn-over, difficultés à l’embauche de nouveaux potentiels et à garder les ressources
minimum
Ressources
Humaines
Impact sur la stratégie financière
Structure
Financière
Actionnaires
InvestisseursBanques
Chute du spread
de crédit
•Chute du cours de bourse
•Augmentation du coût des
fonds propres
• Dégradation des conditions de crédit
• Augmentation des collatéraux
• Augmentation du coût de la dette
Stratégie de
financement
Des impacts à différents niveaux

© 2012 Deloitte56
Définition
Image et Identité
Cartographie
Stratégie
Travailler sur
l’occurrence
Prévention
Contrôle interne
Allocation de ressources
Travailler sur l’impact
Gestion de crise
Communication
Assurance
Surveillance
Alertes
Evaluation
Veille
Benchmark
Reporting
La mise en place
d’une approche
Risque adaptée et
transverse
Quelques éléments de réponse

© 2012 Deloitte57
Décomposition
de l’activité en
secteurs
homogènes en
termes de
nature d’impact
au risque de
réputation
Identification des
événements de
risque potentiels
Qualification des
impacts sur les
différents
domaines
Construction
d’une matrice
de risque de
réputation
Identification
des principaux
vecteurs de
sensibilité
• Analyser
l’impact des
événements
au niveau du
Groupe
• Analyser la
propagation
entre entités
afin d’évaluer
touts les
impacts
Identifier les
incidents qui ont
un impact
- A un niveau
élevé du
management
- Sur un
périmètre
d’entités
différentes
Une approche transversale en deux volets…
Contribution du
Groupe à
l’image des
marques /
produits
Approche « Bottom-up » Approche « Top-down »
Impact de la différenciation des
marques
(potentiel de contagion/propagation, spécificités de
marchés et de clients, structure de communication…)
Importance de l’image du Groupe
(niveau de détachement des marques, identité
propre du Groupe…)

© 2012 Deloitte58
Un comportement de risque qui requiert une approche à plusieurs niveaux
Spécificité sectorielle,
géographique, produit
Variables
Source de survenance
Concurrence et
ouverture du marché
Attachement de la
clientèle
Sensibilité de la
clientèle
Proximité avec les
valeurs « fortes »
….
Activité Marché Positionnement
Risques clés
Attitude de la clientèle
Pratique tarifaire
Indicateurs clés
Concurrence
Maturité
Barrières de marché
Facteurs de
différentiation
Comparables de
l’entreprise
Identification des
avantages compétitifs
Identification des
seuils de résistance
Catégories homogènes de sensibilité au risque de réputation
Qualification des impacts et du profil de perte
Comportement attendu de la clientèle, du marché et de l’entreprise
Détermination d’impacts sur l’activité
Identification des chaînes de déclenchement

© 2012 Deloitte
Next Steps

© 2012 Deloitte
Next Steps
Quelles sont les étapes suivantes?
60
• Quand le système de gestion des risques est en place dans l’entreprise,
quel est l’étape suivante?
• Plusieurs questions se posent :
- Qui est le propriétaire de la cartographie des risques (Direction de l’audit interne, du contrôle
interne, des risques ?)
- Quelle place pour le Risk Manager dans l’entreprise ?
- Comment rendre cohérent et consensuel la hiérarchisation des risques ? Comment être
d’accord sur des points de divergence ?
- Comment traiter les risques émergents?

© 2012 Deloitte
Mettre en place une organisation opérationnelle de gestion des risques, implique de:
• Définir des rôles, les missions,
• Sensibiliser les équipes,
• Capitaliser sur le retour d’expérience,
• Nommer un risk manager en charge de l’animation (garant du dispositif),
• Désigner les managers opérationnels comme pilote de leurs risques opérationnels,
• A eux de maîtriser avec leurs équipes leurs risques opérationnels
Next Steps
Gérer les risques

• Étude réalisée sur un panel de 106 risk managers
‒ Trois catégories principales :
‒ Grandes activités : Gestion des assurances, prévention des risques (visites de sites
etc), Gestion des risques (ERM), Pilotage, Contrôle interne
Next Steps
La place du Risk Manager dans l’entreprise

Les Risk Managers interrogés couvrent un univers des risques global bien que
dans une moindre mesure pour les Risk Managers AP
Next Steps

© 2012 Deloitte64
Le périmètre d’intervention du Risk Manager
Next Steps

© 2012 Deloitte
Next Steps
65
Rattachements hiérarchiques et fonctionnels des Risk Manager
- xxx
Répartition entre
direction des risques,
audit interne et contrôle
interne
Une fonction transverse, indépendante, et
par conséquent « en ligne directe » avec la
Direction générale et/ou financière
(Source: Le baromètre du Risk Manager 2011, AMRAE & Deloitte)

© 2012 Deloitte
Next Steps
Coordination entre la gestion des risques, le contrôle interne et l’audit interne
66
• Lien avec le plan d’audit interne :
‒ Atelier de travail avec le Directeur de l’Audit Interne sur la stratégie et la planification
d’audits devant être associés au processus de cartographie et de gestion des risques.
‒ Cet atelier est structuré autour de 2 axes :
• Bâtir le plan d’audit à partir de la cartographie des risques
• Elaborer le plan d’audit (formalisation)
Contrôle
Interne
Audit Interne
Gestion des
Risques

© 2012 Deloitte
1 – Risques majeurs Corporate Risque 1 Risque n
P
L
A
N
D
'
A
U
D
I
T
3 – Grand projets Projet 1 Projet n
Filiales (F)
F1 … Fn F1 … Fn F1 … Fn F1 … Fn F1 … Fn
Métier 1
Process 1 - 25
Importance
Expositions
Evaluation globale
Structures
Processus
Métier 2 Métier 3 Métier 4 Corporate
2- Processus et entités
Next Steps
Un plan d’audit alimenté par les risques majeurs corporate, les processus, les filiales et les
grands projets

Next Steps
Matérialiser les interdépendances entre la gestion des risques, le contrôle interne et l’audit
interne

© 2012 Deloitte69
• De nouveaux risques émergent aujourd’hui:
• Energie,
• Supply chain,
• Financements,…
Dépendances
• Métiers,
• Environnement,
• Impôts et Taxes,…
Réglementations
• Réseaux sociaux,
• Cloud computing,
• Nanotechnologies,…
Technologies
• Insécurité,
• Crises,
• Flux migratoires,…
Sociétés
Risque de
réputation
Risque climatique
Risque de
cybercriminalité
Next Steps
La gestion des risques émergents

© 2012 Deloitte
Next Steps
Vers une gestion globale des risques
70
• Une cartographie des risques est une « photo »
‒ Statique
‒ « Jaunie », elle peut prendre plusieurs mois pour être
réalisées
‒ Déconnectée (il faut attendre le prochain passage du
photographe)
• L’organisation évolue
‒ Nouveaux systèmes IT, transformation des processus
‒ Renforcement des dispositifs de maîtrise
‒ Changement de personnes
Suivi et analyse des « incidents »

© 2012 Deloitte
L’évaluation de l’efficacité
du dispositif de gestion des
risques

© 2012 Deloitte
Risk
Intelligent
L’évaluation de l’efficacité du dispositif de gestion des risques
La gestion des risques comme action structurante d’une démarche de contrôle et d’audit
interne déjà solide
72
• Principe d’une « Risk Intelligent Enterprise »
Dans une entreprise "Risk Intelligent", certaines fonctions (audit
interne, gestion des risques, "compliance", etc.) fournissent une
assurance objective au même titre qu'elles assurent le suivi et le
reporting de l'efficacité du programme de gestion des risques auprès
des organes de direction et de la direction générale
• Les éléments de contrôle de l’efficacité du dispositif
Comme pour tout autre processus, il faut mesurer l’efficacité et la
pertinence des contrôles et de la maîtrise des risques.
Cette mesure se fait par des indicateurs clés et des outils de reporting

© 2012 Deloitte
73
• Principe des Indicateurs de Risques Clés (IRC)
Les indicateurs de risque clés (IRC) se fondent sur un profil d’exposition à un risque déterminé. Ils
peuvent se baser par exemple sur le délai de traitement de certaines opérations, sur le volume des
factures fournisseurs en suspens, sur le nombre de fraude déjouées ou avérées, etc.
Exemples d’indicateurs de risques clés :
− Risque : « Non respect des procédures d’acquisitions et d’appels d’offres »
• Facteurs de risques : Lourdeur et complexité des processus d’acquisitions et d’appels d’offres
• Non respect de la procédure d’appels d’offres
• Consultation insuffisante des fournisseurs potentiels
− Indicateurs de risques possibles :
• Délai de réalisation des appels d'offres (entre chaque étape du processus : de l'expression de besoin à la
contractualisation) et délai moyen
• Nombre d'appels d'offres en cours aux différents stades du processus et antériorité depuis leur lancement
• Taux d'appels d'offres infructueux
• Taux de contractualisation par entente directe
• Nombre moyen de fournisseurs consultés par appel d'offres en fonction du type de prestation…

© 2012 Deloitte74
• Principe des Indicateurs de Risques Clés (IRC) (suite)
− Ces indicateurs peuvent également être complétés du suivi des contrôles en place selon
deux modalités sur l’efficacité des contrôles :
i. mesure de la réalisation du contrôle (taux de réalisation) ;
ii. évaluation de la conformité des contrôles réalisés (taux de conformité). Cette démarche permet ainsi
d’affiner la mesure du niveau d’exposition au risque.
• Objectifs :
− il s’agit de données spécifiques tirées de la gestion et inhérente au profil du risque
− il s’agit dans la mesure du possible d’indicateurs à caractère quantitatifs
− ils visent à caractériser l’exposition aux risques, en particulier le degré de sévérité
− si ils sont bien choisis, ils peuvent revêtir un caractère prédictif, en permettant de faire
apparaitre, dans la mesure du possible ex-ante, des évolutions significatives du risque
concerné

© 2012 Deloitte75
L’implémentation d’indicateurs de suivi des risques et de plans et procédures de contrôle
n’est pas toujours suffisante et certaines améliorations sur la démarche de gestion des
risques sont à prévoir afin d’obtenir un dispositif plus dynamique :
Instaurer une communication au plus haut niveau des indicateurs de risques, de contrôle selon
une fréquence adaptée, notamment au travers de tableau de bord.
Exemples de tableau de bord :
Reporting

© 2012 Deloitte76
• La pertinence des contrôles
- Savoir quel contrôle ou quelle combinaison de contrôles est approprié
dépend entièrement de l’objectif et de l’environnement d’entreprise.
- Un degré élevé de jugement professionnel est nécessaire pour évaluer la
conception des contrôles.
• Contrôle manuel (actif) vs. contrôle automatique (passif)
• Contrôle préventif vs. contrôle défectif
• Contrôle compensatoire
• L’efficacité des contrôles
- Besoin de garantie pour la Direction Générale que les contrôles
fonctionnent conformément à leur conception (c.-à-d. qu’ils sont
efficaces).
- Limites des contrôles:
• Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration.
• Faire trop de confiance aux contrôles peut coûter plus cher que l’exposition dont
ils sont censés protéger.
• Les changements et le temps peuvent rendre les contrôles obsolètes.
• Si le personnel n’adhère pas aux contrôles ou s’il ne comprend pas les objectifs à
atteindre, il peut y résister et l’esprit d’initiative peuvent s’en ressentir.
S’assurer de la pertinence et de l’efficacité des contrôles

© 2012 Deloitte
Témoignage des
intervenants

© 2012 Deloitte
Echanges autour de la
gestion des risques

© 2012 Deloitte
Echanges autour de la gestion des risques
« L’avenir de la gestion des risques passe par sa pleine intégration
dans l’entreprise, et par la collaboration entre ses différents acteurs »
Des questions ?

© 2012 Deloitte
Vos contacts
Marie Paulus, senior manager, Risk Advisory
12 années d’expériences
Marie intervient depuis plus de 9 ans sur des problématiques d’audit interne, de contrôle interne
et de maîtrise des processus. Elle co-anime également l’offre Gouvernance du cabinet et
intervient à ce titre dans la revue des modalités de fonctionnement des organes de
gouvernance de clients de l’industrie et des services.
Fortement attirée par le capital humain, elle est impliquée sur la conception et l’animation de
formations en interne et externe et exerce la fonction de Manager RH au sein de sa ligne de
service depuis 6 ans.
oheurzeau@deloitte.fr
Tel/Direct: +33 1 55 61 62 99
Email: mpaulus@deloitte.fr
Edouard Lhomme
Associé …..
sallaire@deloitte.fr
Tel/Direct: …..
Email: …

12/04/2012
Mise en place de la
cartographie des
risques chez
Atos Worldline
Alain Barlian

Confidential 2
12/04/2012
Alain BARLIANTable of contents
▶ ATOS
▶ Le management du risque chez Atos Worldline.
▶ La cartographie
– Identification des risques
– Evaluation
– Plan d’action
– Reporting
▶ Eléments de réflexion personnelle
en guise de conclusion
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident

Confidential 3
12/04/2012
Alain BARLIANATOS
▶ Acteur international des services informatiques.
– Un Chiffre d’Affaires annuel de 8,5 milliards d’euros
– 74 000 collaborateurs dans 42 pays,
▶ Fournit à ses clients des services transactionnels, des solutions de conseil et de
services technologiques, d’intégration de systèmes et d’infogérance.
▶ Intervient dans les secteurs de Industrie, Distribution & Services, Services
Financiers, Energie & Services Publics, Télécoms, Médias & Technologie, Secteur
Public, Santé & Transports.
▶ Partenaire informatique mondial des Jeux Olympiques et Paralympiques.
▶ Le Groupe est coté sur le marché Eurolist de Paris et exerce ses activités sous
les noms d’Atos, Atos Consulting & Technology Services, Atos Worldline et Atos
Worldgrid.

Confidential 4
12/04/2012
Alain BARLIANATOS Worldline
▶ Centre d’expertise d’Atos pour les services transactionnels de haute technologie
(HTTS)
▶ Leader des services end to end pour les transactions électroniques critiques,
▶ Spécialisé dans les paiements électroniques (comme l’émission, acquisition,
terminaux, solutions de paiement et traitement des transactions), les services en
ligne pour les clients, les citoyens et les communautés (eCS), ainsi que les
services pour les marchés financiers.
▶ Quelques chiffres :
– Chiffre d’affaire de € 913 millions
– 5 400 personnes dans le monde.
– Paiement :470 millions de paiements à distance, 2.2 milliards d’acquisitions, 36 millions de
cartes de crédit et de débit, 850 000 terminaux.
– Services en ligne : 2.1 milliards d’appels (SVI & Centre de Contacts), 1.6 milliard de SMS,
61 millions de boîtes email, 166 milliards de pages vues sur Internet, + de 1 milliard de e-
documents, 70 millions d’archives à vocation probatoire
– Marchés financiers : 340 millions d’ordres de bourse traités, 450 milliards d’euros d’actifs
gérés.

Confidential 5
12/04/2012
Alain BARLIAN
5
Industry
Telco–Media–Utilities
Transport
Bank–Finance
PublicSector
Retail
Health
ATOS Worldline
Quelques références.

Confidential 6
12/04/2012
Alain BARLIANIntroduction
Le management du risque chez Atos Worldline
▶ Il s’agit d’un processus permettant de :
– Garantir la continuité de service de nos clients pour leurs client finaux,
– Répondre aux exigences réglementaires de nos clients (domaine bancaire-
Bale – SAS70, de la santé, …)
▶ Nos objectifs :
– Abaisser le coût global du risque en le maitrisant .
– Conforter les objectifs de la société en contribuant à l’optimisation de la
performance technique et opérationnelle
– Renforcer la confiance faite à l’entreprise par ses clients, ses actionnaires, ses
salariés et les marchés financiers.
Tout le monde doit prendre des risques, personne ne peut les cacher
“le risque zéro”
n‘est pas l’objectif

Confidential 7
12/04/2012
Alain BARLIAN
Business
sponsor
Process
sponsor
Business
sponsor
Process
owner risk
management
Processorganization
Coordination
Risk
Management
Risk
Management
responsible
Risk
Management
responsible
Risk
management
responsible
Business
sponsor
Coordination
Risk
Management
Coordination
risk
management
Organizational Unit
Le process sponsor est en
charge de la bonne
application du processus
Coordonne le management
homogène du process
Des Directions Générales
par zones géographique
Des Coordinateurs
rattachés aux Directions
Générales
Managers d’Unités
d’Affaire.
Une organisation déclinée par DG

Confidential 8
12/04/2012
Alain BARLIAN
Intern
al
factors
Extern
al
factors
Internal Environment
Objective Setting
Process Supervision
Risk Identification
Risk Assessment
Maintenance
& Monitoring
Risk Response
Social
Infrastruct
ure
Technolog
y
Environme
ntal
Personnel
Technolog
y
Process
Laws &
regulation
s
Use of:
- Required documents for Risk
Assessment preparation
-Risk Categories
-Loss Register
-Control Assessments/Maturity
- Likelihood scale
- Impact scale
- Risk appetite Matrix
- Voting card Impact &
probability
- Average impact score and
standard deviation
- Risk appetite
Matrix
- Control
Register
- Average score
and standard
deviation
- Risk reports for process sponsor
-Reports for process owner
- Meetings/call conf. with process owner
La cartographie

Confidential 9
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
▶ Fonctionnement par ateliers :
– A partir des activités et objectifs des départements, unités,
services.
– Analyse des incidents
– Revue des “best practices” et des standards
– Utiliser les rapports d’audit
– Identifier les contrôles et mesures déjà en place
– Questionnaires préétablis
– Les expériences de chacun
– …
La cartographie
Step 1: Identification

Confidential 10
12/04/2012
Alain BARLIANLa cartographie
Step 1: Identification
Competition
Clients
Business Partners
Economy &
Industry
Politics
Disasters
Criminal Actions
Laws,
Regulations &
Payment Schemes
People
External
Financial
Legal
Strategy & Management Process
System
Compliance
External Reporting
Contract’s
Management
Strategy & Objectives
Alignment of structures and
objectives
Budgeting
Measuring Instruments
Information & Communication
Process of decision
Management & Leadership
Change Management
Culture & Ethics
Product Development
Master data
Transactions
Process Design
Process Availability & Capacity
Internal Control
Process Efficiency
Process Effectiveness
(Out-)sourcing
Product/ Service Defects
Knowledge Management
Capital Availability & Liquidity
Financial Cost
Credit Risk
Financial Instruments
Availability & Capacity
Knowledge
Motivation
Errors
Fraud
Health & Safety
IT Effectiveness
IT Efficiency
Confidentiality
IT Integrity
IT Availability
IT Reliability

Confidential 11
12/04/2012
Alain BARLIAN
▶ Fonctionnement par atelier :
– Vote sur impact et probabilité.
– Recherche de consensus. S’il y a des différences, les
comprendre et les analyser (pb d’intérprétation).
– Prioriser les risques
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
AS IS Residual Risk
2
5
16
#REF!
910
7
0
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Impact
Likelihood
Individual
Vote results Graphical
representation
La cartographie
Step 2: Evaluation des probabilités et des impacts

Confidential 12
12/04/2012
Alain BARLIAN
La cartographie
Likelihood
Probability of
Occurrence
1 Exceptional
2 Rarely
3 Not Often
4 Potential
5 Often
6 Frequent
7 Continuous
Remark: when having impact on different areas, only the highest impact estimate will be taken into account
Quantification / Qualification
Im
pac
t
Description Financial Availability Reputation Clients Legal
1 Insignificant
2 Minor
3 Moderate
4 Large
5 Major
6 Unacceptable
7 Catastrophic

Confidential 13
12/04/2012
Alain BARLIAN
La cartographie
1
2
3
4
5
6
7
89
1011121314160
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Likelihood
Impact
AS IS Residual Risk
(red) Doit être rapporté par le risk
responsible au Business sponsor
et au process coordinator.
(yellow) Doit être rapporté à un risk
responsible, de niveau BU
manager et au process
coordinator

Confidential 14
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
La cartographie
Step 3: Appétance et réponse aux risques
▶ Sur la base des connaissances acquises
lors des étapes précédentes
– Décider si le risque est acceptable
– Sinon:
• Déterminer une ou plusieurs
réponses
• Evaluer le rapport coût/bénéfice
• Définir un plan d’ action
• Pour chaque action:
–Désigner un responsable de
l’implémentation
–Fixer une date convenable
–Mettre des ressources
à disposition
▶ Evaluer le risque résiduel
• Quelle part de risque reste t-il une
fois la réponse implémentée
• Est-ce acceptable?

Confidential 15
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
La cartographie
Step 4: Maintenir, gérer et communiquer
 Reporting et communication sont peut-être l'une des étapes les plus
importantes.
 L'information doit circuler dans les deux directions:
 Top-down: développer la culture et de définir les priorités
 Bottom-up: Monter en hiérarchie jusqu'à un niveau adéquat
▶ Chaque liste des risques doit :
– Être suivie d’une analyse d'impact de la réalisation du plan
d'action
– Ré-évaluée : impact et probabilité - tendances de l'évolution
– Priorisée
– Être effectuée sur une base régulière (idéalement 2 fois par
an)
▶ Le Plan d'action de réalisation doit également être suivi de
près.

Confidential 16
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
En conclusion
 Maintenir un planning itératif :
– Fin juin et fin décembre : Mise à jour des Risk Register =
nouveaux risques, nouvelles évaluation, suivi des plans d’actions.
– Fin mars et fin septembre = suivi des plans d’actions
 Entretenir son réseau
– Il n’est pas facile de révéler les risques de son entité. S’adresser
au risque manager n’est pas toujours une démarche naturelle.
– Confiance, dialogue
 Ne pas être intrusif
– Le business reste maitre de ses risques
– Plutôt du coaching

LA GESTION DES RISQUES
CHEZ
PAS-DE-CALAIS HABITAT
Présentation de Miguel BEDET, Directeur des risques pour Club d’échange IFACI nord
12 Avril 2012 « La gestion des risques : du coût à l’opportunité »
Partie : Témoignages et retours d’expériences

La gestion des risques chez Pas-de Calais Habitat
Plan de la présentation :
1. Identité et missions de l’organisme
2. Projet GGR : Gestion globale des risques
• Naissance de la démarche ; Utilité et plus value attendue ;
Objectifs ; Modes d’actions
3. Le cadre d’organisation
4. Pratiques
• Les éléments de la revue du comité des risques, les méthodes
de cartographies
5. Points critiques
• Limites, évolutions
6. Risques. Quelques enseignements à connaître
• La pensée du Danger : Tout va bien ! ; Débats internes sur les
risques : l’identification ; L’étude du Danger : Le traitement du
savoir

PDCH : 1. Identité et missions
Identité
• Premier bailleur social et opérateur urbain :
30 % du parc social du Pas de Calais
• Statut OPH : 3ème Office Public de l’habitat au
service des communes et des habitants
• Plus de 200 Communes partenaires
Son patrimoine :
• 39 500 logements dont 28300 en collectifs et
11200 individuels
• 700 logements par an produits
• Notre tutelle de rattachement le département :
CG62
La gouvernance :
• Conseil d’administration de 23 Membres :
Dont 6 conseillers Généraux +
7 Personnes qualifiées +
6 membres désignés par les institutions : Caf,
Udaf, Uro, Syndicats, CIL + 4 Membres élus par
les locataires
Michel
VANCAILLE
Président
1er Vice-
président du
Conseil Général
de Pas de Calais
Jean Michel
Stecowiat
Directeur
Général

Conduire des opérations urbaines :
Etre et faire avec nos partenaires : promouvoir l’équilibre
urbain, acteur de la politique de la ville :
200 à 240 M€ d’investissement annuel
Réhabilitation : 1 800 logements par an
Engagé sur 11 Projets de renouvellement Urbain
Des valeurs : Altérité – Respect – Egalité – Equité - Engagement
Assurer des services aux habitants et aux collectivités :
Anticiper , Innover, Etre réactif
Faciliter l’échange (élus, habitants), Améliorer
l’habitat (mieux vivre ensemble), contribuer à
l’évolution de l’espace urbain
Effectifs : 815 ETP dont 60 % de personnel de
proximité (Gardiens _ ATP – RPS)
Produits des activités : 188 M€
Accord AFNOR ACX 50-850 Contractualisé en
2003 signé avec CG62 / AVIJ / CAHC
Un positionnement métier
celui d’opérateur urbain
Deux grandes missions
1. Identité et missions

2. Projet GGR
L’investissement dans la Gestion Globale des risques
• Naissance de la démarche
– Séminaire de direction en 2009 : diagnostic sur nos domaines prioritaires
fait ressortir par nos directeurs l’insuffisance de la gestion du risque , son
développement s’inscrit dans le projet d’entreprise
– Exigences fortes en matière de contrôles externes
– Dans le prolongement du SMQ
• Utilité et plus value attendue de l’investissement
– Une visée management passant par la sécurisation des décisions et la
cohérence d’actions
– Une réactivité à l’environnement : client / réglementaire / crise fin 2008
– Une volonté d’une mise sous surveillance des grands risques : pénal /
crise et pca / pérennité financière.... dans la logique de mieux connaître,
mieux détecter, être en phase avec les responsabilités de l’organisation.

2. Projet GGR
L’investissement dans la Gestion Globale des risques
• Objectifs du projet : « s’inscrire dans les pratiques de management »
– Introduire la culture risque par l’exemple, de faire accepter l’idée dans faire une activité
de management à part entière. Par la pratique, avant même de déployer de la
méthodologie
– Apprendre à analyser et à prioriser la gestion des ressources auprès des managers. La
GGR comme support de méthode d’analyse pour le management comme préalable aux
actions de couvertures.
– Augmenter la connaissance, cerner et comprendre les principales zones de risques
demandent formalismes, débats, arbitrages et prises de position
• Modes d’actions
– Surveiller et instruire les risques en intégrant les gestionnaires de risques sans pour
autant les dessaisir de leurs responsabilités. Etre en appui, aide à l’expression, éliminer
les dissonnances.
– Alerter, recommander les actions soit en processus (SMQ), soit en comités spécialisés
ou simplement vers les directions.
– Aligner en permanence les risques sur les actions prioritaires.
– « Conscientiser », atteindre les esprits par le jeu collectif est le meilleur moteur de
l’action. Travailler la perception
NB : Quid du CI, de la relation à l’audit interne

4. Pratiques : les éléments de la revue du comité
des risques
1. Les cartographies des risques majeurs
Des risques majeurs placés sous surveillance : non communiqués
2. Les cartographies des risques opérationnels
Attribution de logements, Développement, Maintenance et sécurité patrimoniale, Rh
3. Les remontées d’incidents
Des incidents notoires placés sous surveillance : non communiqués
4. Les revues de conformité réglementaire
Loi molle, Warsman, tva immobilière, Pénibilité retraites
5. Les rapports de contrôles et audits I/E
CRC, Miilos, Cac, Audit interne Qualité, urssaf…
6. Auto saisine de risques spécifiques
Risques Psychosociaux, délégations, encaissements, cnil…

4. Pratiques : les méthodes de cartographies
Une approche classique des risques
– Le PMR : identifier, analyser, évaluer, traiter, surveiller.
– La pesée : gravité / fréquence
– Les mesures risques bruts , risques résiduels
– Appétence
Certains risques ne rencontrent pas systématiquement de réponses.
Les niveaux de réponses sont proportionnés aux moyens,
comportements, procédures...à mobiliser.
Les tolérances sont à mettre en relation avec les capacités, taux
d’efforts par rapport au gains attendus.

5. Points critiques
LIMITES
• La responsabilité déléguée à l’instance Comité des risques et
l’engagement entrepreneurial des participants directeurs fonctionnels
(postures entre moi et pdch).
• La connaissance « raisonnable » des risques :
– plus je suis en connaissance plus je suis en responsabilité pour agir
(distanciation)
– Plus je mets en connaissance, ou communique plus grande est la crainte est
d’amplifier, de faire peur. « Autocensure »
• La perception des risques : réglages des interférences entre individus et
les jeux de pouvoir.
EVOLUTIONS
• Certains sujets d’instructions de risques nécessitent plus que de simples
perceptions.
– Vers des vérifications avec preuves et engagements
– Vers des questionnaires d’autocontrôles

La pensée du Danger : Tout va bien !
« les situations dangereuses sont complexes »
En règle générale, on se plait à reconnaître qu’un danger est prévisible pour ses
semblables (les autres) mais en même temps on n’est pas prêt à envisager qu’il puisse
nous concerner
• Les 3 grands comportements observés face aux risques
– La négation du danger : Affirmation fondamentale d’invincibilité ou
d’inconscience
• Ex type : Titanic / insubmersibilité et le comportement de son capitaine.
Nous renvoie à la gouvernance et sa cécité.
– La distanciation : Refoulement du danger et son ignorance volontaire
• Le réflexe collectif primaire qui tend à exporter le danger parce qu’il est
désagréable d’en être conscient ou de le reconnaître.
On sait mais on préfère ne pas voir ou ne pas en parler.
Peut conduire au sacrifice de soi (accident du travail)
– L’officialisation : Rationaliser le danger que lorsqu’il prend corps
• Pas de manifestation, de phénomène, pas de danger.
Il existe une prise de position d’une autorité ou scientifique , elle est crédible et on
s’en tient à elle
Nous renvoie aux communiqués officiels rassurants
(On pense au nuage de Tchernobyl). (A l’opposé en jouer).

Débats internes sur les risques : l’identification
la résidence des risques : Exemple le 11 mars 2011 au japon :
Nature / Culture ? Quelle frontière entre le naturel et le sociétal ? est-il dans la nature du
risque d’être naturel ?, ou au contraire , doit-on considérer que des facteurs humains
viennent expliquer la gravité des inondations ou tremblements de terre ?
Rechercher , identifier le risque.
• la source : Qui est donc menacé ? (moi / l’autre ) (la nature / la culture)
– Formes pour légitimer : l’imputation, l’accusation, la disculpation, la consolation
– Exprimer la propension du danger de passer du potentiel à Réel . (peser la
vulnérabilité / notre résilience)
• la cible: Quel collectif est victime ?
– Il supplante la priorité faite à celle de l’individu qui en fait partie.
Explique aussi les conduites extrêmes comme le fanatisme (Mohamed Merah)
– L’atteinte à ses valeurs, normes, objectifs, implique la bonne connaissance de soi
pour une bonne immunologie
• la nature du risque :
– le projet de décrire le danger : notre capacité à décrire et supérieure à notre
capacité de perception
Rechercher la distinction : Parce qu’une « cause ou une hypothèse ou une
circonstance identifiée », peut être la source de la survenance d’un «
événement incertain », et qu’il aura un « effet sur un ou plusieurs
objectifs ».

L’étude du Danger : Le traitement du savoir
Ambiguïtés
• Aucun modèle scientifique ne dissipe l’incertitude, de savoir ce qu’il en
est exactement du danger.
• Notamment le cas des applications du principe de précaution. (pandémie
grippale)
Déficits
• Entre le perçu et le voulu
• L’écart entre ce que le regard voit dans les réseaux et ce qu’on pourrait
voir chez nous
Dissonances
• Penser une situation dangereuse est rendu très difficile par les
divergences entre les acteurs.
• S’ajoutent les confrontations entre « sachants » et experts
• La dissonance est elle-même source de danger. Elle est à reconsidérer
de façon positive « dissonance cognitive » Système apprenant

Mettez du confort
dans votre zone de risque
Neuf principes
pour devenir une Risk
Intelligent EnterpriseTM
Consulting & Risk Services

3 Introduction
4 L’inconfort du risque
5 Un référentiel comme point d’ancrage
6 Une gestion symphonique des risques
7 Lire la même carte
8 Un traitement réservé aux champignons
9 « Nous gérons les risques tous les vendredis »
10 Qui est le propriétaire du risque ?
11 Les fonctions support et le risque
12 Les garants du dispositif
13 Restez vigilant en matière de risques
14 Les neuf principes fondamentaux de la « Risk Intelligence »
15 Contacts
Sommaire
Avertissement légal
Ce support et les informations qu’il contient sont fournis par Deloitte Touche Tohmatsu. Ils sont destinés à la diffusion d’informations d’ordre général sur un ou plusieurs sujets
particuliers et ne prétendent pas en faire un traitement exhaustif.
Par conséquent, l’information contenue dans ce document n’est pas destinée à constituer un conseil ni un service de comptabilité, de fiscalité, de droit, d’investissement, de
consultation ou d’un autre domaine professionnel. Elle ne doit pas constituer le seul fondement de décisions appelées à avoir un impact sur vous-même ou sur votre entreprise.
Nous vous conseillons, avant de prendre quelque décision ou de poser quelqu’acte qu’il soit qui puisse avoir des répercussions sur vos finances personnelles ou sur votre entreprise,
de consulter un conseiller professionnel compétent.
Ce document et l’information qu’il contient sont présentés « tels quels » et Deloitte Touche Tohmatsu ne fait aucune déclaration ni n’accorde aucune garantie, expressément ou
implicitement, à leur égard. Sans limiter la portée de ce qui précède, Deloitte Touche Tohmatsu ne garantit pas que ce document ou que l’information qu’il contient soient sans
erreur ni qu’ils respectent quelque critère de rendement ou de qualité que ce soit. Deloitte Touche Tohmatsu ne se reconnaît responsable d’aucune garantie implicite, y compris,
sans s’y restreindre, les garanties sur la qualité marchande, le titre, l’aptitude à une fonction particulière, l’absence de contrefaçon, la compatibilité, la sécurité et l’exactitude.
Vous utilisez ce document et l’information qu’il contient à vos propres risques. Vous assumez l’entière responsabilité et tous les risques de dommage résultant de leur utilisation.
Deloitte Touche Tohmatsu n’est responsable d’aucun dommage spécial, indirect, accessoire, consécutif ou punitif, ni d’aucun autre dommage quel qu’il soit, que ce soit dans une
action recherchant sa responsabilité contractuelle, juridique ou délictuelle (y compris, sans s’y restreindre, la négligence) ou autrement, relativement à l’utilisation de ce document
ou de l’information qu’il contient.
Si l’une des dispositions précitées ne peut être appliquée intégralement pour quelque raison que ce soit, les autres dispositions continuent de s’appliquer.

Introduction
Cette publication fait partie d’un ensemble de
communications que Deloitte consacre aux principes
fondamentaux de l’intelligence du risque. Notre
ambition est de présenter, dans un langage simple, les
composantes indispensables à tout dispositif de « Risk
Intelligence », et de proposer des pistes de réflexion et
des éléments pratiques utiles à la mise en place d’un tel
dispositif.
Au bas de chacune des pages suivantes est énoncé
un des neuf principes du dispositif d’intelligence du
risque, précédé d’un éclairage sur le thème concerné.
L’application de l’ensemble des ces principes permet la
mise en place d’un dispositif dynamique et pérenne de
gestion des risques, désigné sous l’appellation
The Risk Intelligent Enterprise.
La mise en œuvre de ces principes peut, bien entendu,
varier selon vos pratiques professionnelles, le cadre
réglementaire et le degré de maturité de votre
entreprise.
Dans certains secteurs économiques, ces principes
sont, pour la plupart, débattus depuis plus de dix ans
et peuvent donc sembler élémentaires mais, dans bien
d’autres, ils commencent seulement à être adoptés.
Quel que soit votre secteur d’activité, les principes
fondamentaux restent valables.
Si cette publication est la première de notre série
« Principes fondamentaux », ce n’est pas la première fois
que nous prenons la parole sur la « Risk Intelligence ».
Nous avons en effet publié plus d’une douzaine de titres
sur le sujet et réalisé de nombreux podcasts et webcasts.
Vous pouvez consulter gratuitement tous ces supports
sur www.deloitte.com/RiskIntelligence.
Une Risk Intelligent Enterprise se distingue avant tout
par une communication sans entrave. Nous vous
recommandons donc de partager le contenu du
présent document avec les autres dirigeants de votre
entreprise, les membres de son conseil d’administration
et ses principaux cadres. Les questions soulevées et les
concepts présentés dans cette publication constitueront
un excellent point de départ au dialogue qui doit
impérativement s’instaurer en matière d’amélioration de
la « Risk Intelligence » au sein de votre organisation.
3

L’inconfort du risque
Tout comme la politique ou la religion, le risque est
souvent un sujet polémique qui met les interlocuteurs
dans une situation d’inconfort. Rien d’étonnant à cela
dans la mesure où bon nombre de personnes mettent
plus ou moins consciemment des limites à ce type de
sujet.
Le risque peut être pour vous synonyme de menace ou
signe de mauvais augure pour vos affaires. Ce qui en fait
un sujet de conversation délicat.
La discussion peut cependant prendre une tournure plus
libre si vous envisagez l’autre facette du risque, celle qui
favorise la création de valeur. Autrement dit, une prise
de risques calculée, génératrice de valeur.
Le lancement de nouveaux produits, la conquête de
marchés étrangers, le rachat de concurrents, tous ces
projets constituent de véritables défis. Si vous ne gérez
pas correctement les risques qui y sont associés, vous ne
pourrez pas en retirer les bénéfices potentiels.
Envisagez donc une définition plus large du risque, une
définition qui donnerait la même importance à la gestion
des risques, qu’ils soient liés à la croissance ou à la
rentabilité.
Principe n°1 : dans une entreprise « Risk
Intelligent », une définition globale de
l’« appétit » pour le risque, qui couvre à la
fois la création et la conservation de valeur, est
utilisée de façon uniforme dans l’ensemble de
l’organisation.
4

Un référentiel comme
point d’ancrage
A quoi suspendez-vous votre imperméable en rentrant
chez vous si ce n’est au crochet d’un porte-manteau ?
Sa résistance varie selon la charge qu’il est supposé
supporter (vêtements lourds d’hiver ou légers comme un
imperméable d’été).
Envisagez votre référentiel de gestion des risques selon
le même principe : un point d’ancrage qui soutient
votre programme de gestion des risques, adapté à votre
« appétit » pour le risque.
Les référentiels de gestion des risques – tels que
COSO ERM, Turnbull et ISO – sont autant d’outils qui
permettent d’identifier les opportunités à exploiter et les
dangers à éviter.
Mais votre référentiel doit se montrer suffisamment
solide pour soutenir les objectifs de votre gestion
des risques. Il doit considérer vos propres stratégies,
vos initiatives et votre structure organisationnelle, et
pouvoir s’adapter à votre secteur d’activité comme à vos
obligations réglementaires.
Inutile de pousser trop loin l’analyse. N’accordez pas plus
de temps que nécessaire au choix de votre référentiel.
Assurez-vous seulement qu’il supportera le poids de
votre « chapeau ».
Principe n° 2 : dans une entreprise « Risk
Intelligent », un référentiel de gestion des
risques commun, soutenu par un corpus de
normes adapté, est utilisé par l’ensemble de
l’organisation pour gérer les risques.
Mettez du confort dans votre zone de risque 5

Une gestion symphonique
des risques
Lorsqu’elle est bien menée, la gestion des risques est
un effort coordonné, aussi précisément accordé qu’un
orchestre symphonique. Qu’il s’agisse de risque ou de
musique, les intervenants agissent de concert au fil de
compositions souvent complexes.
Dans votre entreprise, certaines personnes peuvent
même ignorer qu’elles font partie de l’orchestre. Le chef
de produit, le superviseur informatique ou l’adjoint du
directeur des fusions/acquisitions, par exemple, estiment
peut-être que la gestion des risques n’est pas de leur
ressort.
Changer cette mentalité est un préalable au déploiement
de l’intelligence du risque. Vous devez adresser des
messages clairs à chaque niveau de l’organisation
pour expliquer ce qu’est l’intelligence du risque, quelle
est son importance pour l’entreprise en général et les
collaborateurs en particulier, et ce qui est réellement
attendu au quotidien de la part de chacun d’eux.
Ceci suppose une communication lisible, une culture
du risque solide, des plans incitatifs comportant
des objectifs liés aux risques, et des programmes de
formation pour une gestion clairvoyante des risques.
En résumé, la collaboration doit être harmonieuse et
l’ensemble s’organiser comme suit :
• Le conseil d’administration donne le ton (page 8).
• La direction tient la baguette (page 9).
• Les unités opérationnelles jouent de leur instrument
(page 10).
• Certaines fonctions (RH, services financiers,
informatiques, juridiques, fiscaux) jouent leur rôle
d’assistance en coulisses (page 11).
• D’autres fonctions (audit interne, gestion des risques et
compliance) sont les régisseurs du spectacle (page 12).
6
Intelligent », les rôles clés, responsabilités et
autorités de tutelle en matière de gestion des
risques sont clairement définis et délimités.

Lire la même carte
Les spécialistes du risque tendent à se comporter comme
les membres d’une même communauté : ils restent
ensemble, partagent les mêmes croyances, rituels et
habitudes et développent leur propre dialecte.
Mais les pratiques dont se nourrissent ces populations
« indigènes » ne sont pas idéalement adaptées à
tous les gestionnaires du risque que l’on trouve dans
l’organisation d’une multinationale.
Cela ne veut pas dire que toute spécialisation est inutile,
bien au contraire. Sans cela, une gestion efficace des
risques serait impossible. Les spécialistes du risque ont
juste besoin de sortir de temps en temps de l’espace
dans lequel ils sont confinés. Le risque n’existant pas de
façon isolée, il en va de même pour ses gestionnaires.
Pour gérer efficacement les risques et en tirer avantage,
la distance entre les différents silos organisationnels doit
être comblée. Pour ce faire, une infrastructure commune
doit être créée, de sorte que toutes les fonctions et
unités opérationnelles aient recours, autant que possible,
aux mêmes processus et supports technologiques.
Ceci implique une synchronisation (assurer une
coordination par-delà les frontières institutionnelles),
une harmonisation (veiller à ce que les gestionnaires du
risque parlent tous le même langage et définissent le
risque de la même façon) et une rationalisation (éliminer
les tâches dupliquées inutilement).
Utilisez des outils tel que The Risk Intelligence Map ™ 1
(cartographie de la « Risk Intelligence ») pour faciliter vos
discussions. Vos réflexions et échanges sur les risques
pourraient alors prendre des directions que vous n’auriez
jamais envisagées. Reportez-vous à votre référentiel
de risques pour formaliser votre approche. Dressez
l’inventaire de vos risques majeurs.
Une terminologie, des technologies, des indicateurs
et des processus communs vous permettront de
transcender votre organisation en silos. Un tableau de
bord « Risk Intelligent » vous permettra de piloter vos
risques de façon dynamique.
Principe n°4 : une entreprise « Risk
Intelligent » est dotée d’un dispositif de
gestion des risques partagé, qui permet aux
fonctions et unités opérationnelles d’assumer
avec professionnalisme leurs responsabilités
dans le domaine des risques.
1
Pour de plus amples informations sur The Risk Intelligence Map ™,
contactez votre interlocuteur chez Deloitte (voir page 15).

Un traitement réservé
aux champignons
8
Les conseils d’administration sont parfois soumis à un
traitement que l’on réserve habituellement à certains
champignons, et qui pourrait se résumer comme suit :
« Gardons-les dans le noir… »
Il va sans dire que ce genre de traitement devrait être
proscrit. Le conseil d’administration ou de surveillance
a la responsabilité de veiller à ce que la direction de
l’entreprise dispose de processus appropriés pour gérer
les risques. Et cette responsabilité ne peut s’exercer en
l’absence d’éclairage.
Pour satisfaire à leurs obligations et créer de la valeur, les
administrateurs doivent :
• Mettre le risque à l’ordre du jour de leurs réunions. Lui
consacrer du temps avant qu’il n’en exige. Discuter du
risque à chaque réunion ne saurait épuiser le sujet.
• Evaluer la structure de gestion des risques en
place. Comment les risques sont-ils gérés ? Les silos
organisationnels sont-ils comblés ?
• Mobiliser l’équipe dirigeante. Entretenir un dialogue
permanent sur les risques. Identifier les risques
susceptibles d’empêcher l’entreprise de mettre en
œuvre ses principales stratégies.
• Discuter les différents scénarios de risques. Où les
meilleures opportunités se trouvent-elles ? Qu’est-ce
qui pourrait contrarier les objectifs stratégiques de
l’entreprise ?
• Vérifier l’appétence (ou l’aversion) de la structure
organisationnelle pour le risque. Déterminer dans
quelle mesure l’entreprise a la capacité d’assumer
le niveau de risque choisi. Et dans quelle mesure elle
peut réellement l’assumer. Le niveau de risque choisi
est-il en cohérence avec l’organisation de gestion des
risques mise en œuvre ?
• Disposer d’un tableau de bord de suivi dynamique
des risques de l’entreprise.
• Obtenir une assurance raisonnable. Quel est le niveau
de confiance de la direction ? Pour quelles raisons ?
• Obtenir une revue indépendante. Faire évaluer par
la direction de l’audit interne ou par un consultant
extérieur l’efficacité de l’ensemble du dispositif
de gestion des risques. L’assurance donnée par la
direction est-elle fiable ?
Intelligent », les organes de gouvernance
(conseil d’administration, comité d’audit, etc.)
bénéficient, pour remplir leurs obligations,
d’une transparence et d’une visibilité
suffisantes sur les pratiques de gestion des
risques.

Manage
Risk
« Nous gérons les risques
tous les vendredis »
Ne riez pas, ce sont là les propos fidèlement reproduits
d’un chef d’entreprise bien réel. Et voici une autre vérité
qui donne à réfléchir : si vous considérez la gestion des
risques comme un travail à temps partiel, vous risquez
fort de devoir rapidement en trouver un vous-même.
Nous avons vu précédemment que le risque était
l’affaire de tous dans l’entreprise. Si vous êtes membre
de la direction, cette obligation s’impose d’autant plus
fortement à vous : vous êtes chargé de donner le ton,
de diriger, de concevoir et de mesurer.
Votre rôle de dirigeant implique un leadership et une
autorité que vous devez exercer : sensibiliser vos équipes
à la prise de risques comme source d’avantages, imposer
la gestion des risques à tous les échelons de la hiérarchie,
faire connaître vos attentes, responsabiliser, impliquer
votre conseil d’administration ou de surveillance, initier
le changement et établir une culture de l’intelligence du
risque.
Programme ambitieux, certes. Alors comment parvenir
à tout faire ? Pour commencer, constituez une cellule
d’intelligence du risque (un comité de gestion des risques
composé de membres de la direction générale) dont
le rôle sera de faire des commentaires pertinents sur le
risque à la direction de votre entreprise et de contribuer
à l’élaboration d’un programme d’intelligence du risque.
Le plus souvent, la cellule d’intelligence du risque au
niveau de la direction générale est incarnée par le Chief
Risk Officer – CRO (directeur des risques). Aux côtés
des autres dirigeants, le CRO coordonne les travaux
d’élaboration d’une politique et d’une approche
communes qui sont ensuite déployées dans les unités
opérationnelles. Il communique sur l’appétence de
l’entreprise pour le risque et en assure le suivi. Il soumet
des rapports sur les risques à la direction et aux organes
de surveillance du conseil. Certaines entreprises peuvent
opter pour un rôle plus étendu. Le style du CRO varie
considérablement d’une organisation à l’autre et
doit être en phase avec la philosophie du risque que
l’entreprise cultive. Certaines entreprises peuvent faire
le choix d’un collaborateur orienté « business », d’autres
d’un animateur de groupe, d’autres enfin d’un simple
« agent de police ».
Quels que soient les contours du rôle assigné, une chose
est sûre : aucun ne travaille que le vendredi.
Intelligent », la direction générale détient la
responsabilité principale de la conception,
de la mise en œuvre et du maintien d’un
programme efficace de gestion des risques.

Qui est le propriétaire
du risque ?
10
S’il est entendu que le risque est l’affaire de tous dans
l’entreprise, qui est le propriétaire du risque (le « risk
owner ») ? Pour nous, ce sont les unités opérationnelles
qui sont les propriétaires des risques, aussi bien en titre
que dans les actes.
Cette question de l’hébergement peut être source
de grande confusion dans les organisations. On peut
résumer la situation simplement :
Le responsable de l’entité opérationnelle est le
propriétaire du risque.
En d’autres termes, si vous répondez de la réussite
de cette unité, vous êtes le principal responsable de
la gestion quotidienne des risques. Ce qui n’exonère
en rien les autres membres de l’unité de leurs propres
responsabilités en matière de risques.
Quelles sont les conséquences de cette « propriété » ?
Les propriétaires de risques détiennent notamment la
responsabilité d’identifier, de mesurer, de surveiller,
de contrôler et de faire des rapports sur les risques à
la direction générale, d’encourager la sensibilisation
au risque et de réorganiser les priorités en fonction
d’analyses de risques efficaces.
Comme tout propriétaire d’immeuble soumis au respect
d’un plan d’urbanisation, les responsables d’unités
opérationnelles opèrent sous certaines contraintes et ne
peuvent, par exemple, choisir leur référentiel – ils doivent
s’y conformer.
Ils ne déterminent pas l’« appétit » de l’entreprise pour le
risque – ils s’en tiennent au « menu » qui leur est servi.
Et s’ils ont la possibilité de miser sur des objectifs comme
au casino, sans surveillance ni limite, c’est que le dispositif
de gestion des risques de l’entreprise doit être revu.
Intelligent », les unités opérationnelles sont
responsables des performances de leur activité
et de la gestion des risques qu’elle génère dans
le cadre du référentiel des risques établi par la
direction générale.

Les fonctions support
et le risque
Certaines fonctions (notamment finance, juridique, RH,
fiscale, informatique, etc.) se distinguent des unités
opérationnelles en ce qu’elles ne sont pas seulement
les propriétaires de leurs propres risques : elles peuvent
aussi être le révélateur des risques d’autres unités
opérationnelles. Leur rôle est intrinsèquement différent
de celui des « garants du dispositif » (voir page suivante)
ou des unités opérationnelles (voir page précédente).
Tout comme les unités opérationnelles, ces fonctions
sont les principales responsables des risques générés
par leurs activités. La direction financière, par exemple,
assume directement les risques qui découlent de la
justification des comptes, le service informatique, ceux
liés aux technologies, le service juridique, ceux liés aux
litiges, et les RH, ceux liés aux ressources humaines.
En parallèle, elles sont également responsables de
risques qui transcendent leurs fonctions. Par sa
connaissance des comptes, la direction financière peut
identifier des risques d’autres unités opérationnelles.
La DSI, quant à elle, est omniprésente dans l’entreprise
et peut aider les autres services à contrôler et à réduire
leurs risques. Les RH peuvent exploiter les enquêtes
auprès des nouveaux entrants, les entretiens préalables
aux licenciements ou toute autre information susceptible
d’aider à identifier les zones de risques imminents.
Ces fonctions transverses sont responsables de
l’élaboration et de l’application des politiques,
procédures et contrôles qui réduisent le risque dans
l’ensemble de l’organisation. Elles servent de support
aux unités opérationnelles et les assistent dans la
compréhension de leurs obligations de prise de risque
raisonnée, avec l’objectif de les aider à en retirer des
bénéfices. Elles collectent des informations importantes
pour la direction générale et réalisent des analyses de
réduction des risques.
Il est important que ces fonctions clés soient associées
à l’équipe de gestion des risques et que leur rôle soit
articulé en phase avec le référentiel des risques. De
même, elles doivent participer au comité de gestion des
risques et à toutes les discussions majeures sur le sujet.
Intelligent », certaines fonctions (notamment
financière, juridique, informatique, HR, etc.),
de par leur caractère transverse, servent de
support aux unités opérationnelles dans la
mise en œuvre du programme de gestion des
risques.

Les garants du dispositif
12
En matière de gestion des risques, nombre de groupes
ont coutume de confier un rôle important à la direction
de l’audit interne, ou aux fonctions dites de contrôle
interne, de « compliance » ou de gestion des risques. Et
l’on pourrait dire que le « confort » est la responsabilité
première de ces fonctions : elles doivent en effet garantir
que la structure de contrôle interne et des risques
fonctionne de manière efficace (permettant ainsi aux
dirigeants et aux administrateurs de dormir sur leurs
deux oreilles).
Un tel rôle les distingue des autres fonctions de
l’entreprise. Les acteurs du confort ne sont pas
opérationnels par nature : ils n’ont aucune responsabilité
dans les décisions et orientations influant sur la bonne
marche des affaires. Leur raison d’être est plutôt de
contrôler et de favoriser l’amélioration de l’efficacité des
activités de gestion des risques dans l’entreprise.
Bien évidemment, les rôles et responsabilités spécifiques
de ces fonctions varient d’une organisation à l’autre.
Dans les descriptions de poste de ces fonctions, on
pourrait ajouter les qualités suivantes :
• Visionnaire : pour évaluer non seulement l’état actuel
de la gestion des risques, mais également pour scruter
l’horizon et aider la direction à prévoir les risques et
opportunités à venir.
• Diététicien : pour déterminer si les risques au menu de
l’entreprise correspondent à son « appétit ».
• Analyste : pour vérifier si l’entreprise prend
suffisamment en compte les phénomènes d’interaction
et d’effet en cascade des risques.
• Orienté efficacité : pour rechercher les moyens
d’éliminer les inefficacités dans la gestion des risques.
• Orienté solutions : pour préconiser l’allocation des
ressources nécessaires à une prise de risques dont
on tire avantage et pour gérer les risques liés à
l’augmentation de la rentabilité et de la valeur pour les
actionnaires.
• Vigilant : pour signaler les zones de risques jugées
insuffisamment couvertes et pour demander les
ressources nécessaires afin d’y remédier.
• Pédagogue : pour partager sa connaissance
approfondie et son expertise dans les principaux
domaines de risque, notamment en matière de fraude.
• Conciliateur : pour être partie prenante dans la
conception et la mise à jour des procédures de
contrôle, et pour aider à conduire l’évaluation des
risques.
Intelligent », certaines fonctions (audit
interne, gestion des risques, « compliance »,
etc.) fournissent une assurance objective au
même titre qu’elles assurent le suivi et le
reporting de l’efficacité du programme de
gestion des risques auprès des organes de
direction et de la direction générale.

Restez vigilant en matière
de risques
Encore récemment, les secteurs de la finance et de
l’énergie étaient perçus comme des modèles de gestion
sophistiquée des risques. Mais la crise est passée par
là, effaçant au passage des milliards des bilans des
entreprises.
Des livres entiers ont été écrits sur ce qui a mal tourné.
Mais voici un rapide condensé :
1) L’éventualité d’interactions entre les risques a été
sous-estimée ou ignorée.
2) Trop d’importance a été donnée à la modélisation
par probabilité ; des raccourcis ont été pris ;
l’analyse de scénarios de risques ne s’est pas
suffisamment développée ; la visibilité a manqué sur
nombre de problèmes potentiels.
3) Les gestionnaires du risque se sont retrouvés isolés,
chacun dans son silo.
4) Les avertissements ont été ignorés ; ceux qui
prophétisaient le pire ont été mis à l’index, taxés
d’opposants systématiques ou critiqués pour absence
d’esprit d’équipe.
5) Une perspective à court terme a prédominé, ayant
pour unique but d’atteindre les objectifs trimestriels.
6) Les entreprises ont manqué d’une approche globale
de la gestion des risques étendue à l’ensemble de
l’organisation. Les habilitations et responsabilités se
sont avérées mal contrôlées et mal définies.
7) La gestion des risques s’est trop souvent basée
sur la conformité plutôt que sur les performances,
entraînant ainsi des erreurs d’appréciation et des
réponses inadaptées.
S’il s’agit bien là de défaillances majeures, il eût été pire
encore que les entreprises se soient montrées réfractaires
au risque. Prendre des risques pour en tirer des bénéfices
est un principe fondamental du capitalisme. Mais la
poursuite d’un tel objectif ne peut se faire sans maîtrise.
En d’autres termes : il est temps de devenir clairvoyant
en matière de risques, ou « Risk Intelligent ».

Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques

Similaire à Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques (20)

Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques