Etat de l'Art de la Gestion des risques: maîtriser ses risques est un enjeu opérationnel, financier et un levier d'efficacité pour l'entreprise et l'ensemble de ses parties prenantes
82. Confidential 2
12/04/2012
Alain BARLIANTable of contents
▶ ATOS
▶ Le management du risque chez Atos Worldline.
▶ La cartographie
– Identification des risques
– Evaluation
– Plan d’action
– Reporting
▶ Eléments de réflexion personnelle
en guise de conclusion
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
83. Confidential 3
12/04/2012
Alain BARLIANATOS
▶ Acteur international des services informatiques.
– Un Chiffre d’Affaires annuel de 8,5 milliards d’euros
– 74 000 collaborateurs dans 42 pays,
▶ Fournit à ses clients des services transactionnels, des solutions de conseil et de
services technologiques, d’intégration de systèmes et d’infogérance.
▶ Intervient dans les secteurs de Industrie, Distribution & Services, Services
Financiers, Energie & Services Publics, Télécoms, Médias & Technologie, Secteur
Public, Santé & Transports.
▶ Partenaire informatique mondial des Jeux Olympiques et Paralympiques.
▶ Le Groupe est coté sur le marché Eurolist de Paris et exerce ses activités sous
les noms d’Atos, Atos Consulting & Technology Services, Atos Worldline et Atos
Worldgrid.
84. Confidential 4
12/04/2012
Alain BARLIANATOS Worldline
▶ Centre d’expertise d’Atos pour les services transactionnels de haute technologie
(HTTS)
▶ Leader des services end to end pour les transactions électroniques critiques,
▶ Spécialisé dans les paiements électroniques (comme l’émission, acquisition,
terminaux, solutions de paiement et traitement des transactions), les services en
ligne pour les clients, les citoyens et les communautés (eCS), ainsi que les
services pour les marchés financiers.
▶ Quelques chiffres :
– Chiffre d’affaire de € 913 millions
– 5 400 personnes dans le monde.
– Paiement :470 millions de paiements à distance, 2.2 milliards d’acquisitions, 36 millions de
cartes de crédit et de débit, 850 000 terminaux.
– Services en ligne : 2.1 milliards d’appels (SVI & Centre de Contacts), 1.6 milliard de SMS,
61 millions de boîtes email, 166 milliards de pages vues sur Internet, + de 1 milliard de e-
documents, 70 millions d’archives à vocation probatoire
– Marchés financiers : 340 millions d’ordres de bourse traités, 450 milliards d’euros d’actifs
gérés.
86. Confidential 6
12/04/2012
Alain BARLIANIntroduction
Le management du risque chez Atos Worldline
▶ Il s’agit d’un processus permettant de :
– Garantir la continuité de service de nos clients pour leurs client finaux,
– Répondre aux exigences réglementaires de nos clients (domaine bancaire-
Bale – SAS70, de la santé, …)
▶ Nos objectifs :
– Abaisser le coût global du risque en le maitrisant .
– Conforter les objectifs de la société en contribuant à l’optimisation de la
performance technique et opérationnelle
– Renforcer la confiance faite à l’entreprise par ses clients, ses actionnaires, ses
salariés et les marchés financiers.
Tout le monde doit prendre des risques, personne ne peut les cacher
“le risque zéro”
n‘est pas l’objectif
87. Confidential 7
12/04/2012
Alain BARLIAN
Business
sponsor
Process
sponsor
Business
sponsor
Process
owner risk
management
Processorganization
Coordination
Risk
Management
Risk
Management
responsible
Risk
Management
responsible
Risk
management
responsible
Business
sponsor
Coordination
Risk
Management
Coordination
risk
management
Organizational Unit
Le process sponsor est en
charge de la bonne
application du processus
Coordonne le management
homogène du process
Des Directions Générales
par zones géographique
Des Coordinateurs
rattachés aux Directions
Générales
Managers d’Unités
d’Affaire.
Une organisation déclinée par DG
88. Confidential 8
12/04/2012
Alain BARLIAN
Intern
al
factors
Extern
al
factors
Internal Environment
Objective Setting
Process Supervision
Risk Identification
Risk Assessment
Maintenance
& Monitoring
Risk Response
Social
Infrastruct
ure
Technolog
y
Environme
ntal
Personnel
Technolog
y
Process
Laws &
regulation
s
Use of:
- Required documents for Risk
Assessment preparation
-Risk Categories
-Loss Register
-Control Assessments/Maturity
- Likelihood scale
- Impact scale
- Risk appetite Matrix
- Voting card Impact &
probability
- Average impact score and
standard deviation
- Risk appetite
Matrix
- Control
Register
- Average score
and standard
deviation
- Risk reports for process sponsor
-Reports for process owner
- Meetings/call conf. with process owner
La cartographie
89. Confidential 9
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
▶ Fonctionnement par ateliers :
– A partir des activités et objectifs des départements, unités,
services.
– Analyse des incidents
– Revue des “best practices” et des standards
– Utiliser les rapports d’audit
– Identifier les contrôles et mesures déjà en place
– Questionnaires préétablis
– Les expériences de chacun
– …
La cartographie
Step 1: Identification
90. Confidential 10
12/04/2012
Alain BARLIANLa cartographie
Step 1: Identification
Competition
Clients
Business Partners
Economy &
Industry
Politics
Disasters
Criminal Actions
Laws,
Regulations &
Payment Schemes
People
External
Financial
Legal
Strategy & Management Process
System
Compliance
External Reporting
Contract’s
Management
Strategy & Objectives
Alignment of structures and
objectives
Budgeting
Measuring Instruments
Information & Communication
Process of decision
Management & Leadership
Change Management
Culture & Ethics
Product Development
Master data
Transactions
Process Design
Process Availability & Capacity
Internal Control
Process Efficiency
Process Effectiveness
(Out-)sourcing
Product/ Service Defects
Knowledge Management
Capital Availability & Liquidity
Financial Cost
Credit Risk
Financial Instruments
Availability & Capacity
Knowledge
Motivation
Errors
Fraud
Health & Safety
IT Effectiveness
IT Efficiency
Confidentiality
IT Integrity
IT Availability
IT Reliability
91. Confidential 11
12/04/2012
Alain BARLIAN
▶ Fonctionnement par atelier :
– Vote sur impact et probabilité.
– Recherche de consensus. S’il y a des différences, les
comprendre et les analyser (pb d’intérprétation).
– Prioriser les risques
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
AS IS Residual Risk
2
5
16
#REF!
910
7
0
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Impact
Likelihood
Individual
Vote results Graphical
representation
La cartographie
Step 2: Evaluation des probabilités et des impacts
92. Confidential 12
12/04/2012
Alain BARLIAN
La cartographie
Step 2: Evaluation des probabilités et des impacts
Likelihood
Probability of
Occurrence
1 Exceptional
2 Rarely
3 Not Often
4 Potential
5 Often
6 Frequent
7 Continuous
Remark: when having impact on different areas, only the highest impact estimate will be taken into account
Quantification / Qualification
Im
pac
t
Description Financial Availability Reputation Clients Legal
1 Insignificant
2 Minor
3 Moderate
4 Large
5 Major
6 Unacceptable
7 Catastrophic
93. Confidential 13
12/04/2012
Alain BARLIAN
La cartographie
Step 2: Evaluation des probabilités et des impacts
1
2
3
4
5
6
7
89
1011121314160
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Likelihood
Impact
AS IS Residual Risk
(red) Doit être rapporté par le risk
responsible au Business sponsor
et au process coordinator.
(yellow) Doit être rapporté à un risk
responsible, de niveau BU
manager et au process
coordinator
94. Confidential 14
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
La cartographie
Step 3: Appétance et réponse aux risques
▶ Sur la base des connaissances acquises
lors des étapes précédentes
– Décider si le risque est acceptable
– Sinon:
• Déterminer une ou plusieurs
réponses
• Evaluer le rapport coût/bénéfice
• Définir un plan d’ action
• Pour chaque action:
–Désigner un responsable de
l’implémentation
–Fixer une date convenable
–Mettre des ressources
à disposition
▶ Evaluer le risque résiduel
• Quelle part de risque reste t-il une
fois la réponse implémentée
• Est-ce acceptable?
95. Confidential 15
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
La cartographie
Step 4: Maintenir, gérer et communiquer
Reporting et communication sont peut-être l'une des étapes les plus
importantes.
L'information doit circuler dans les deux directions:
Top-down: développer la culture et de définir les priorités
Bottom-up: Monter en hiérarchie jusqu'à un niveau adéquat
▶ Chaque liste des risques doit :
– Être suivie d’une analyse d'impact de la réalisation du plan
d'action
– Ré-évaluée : impact et probabilité - tendances de l'évolution
– Priorisée
– Être effectuée sur une base régulière (idéalement 2 fois par
an)
▶ Le Plan d'action de réalisation doit également être suivi de
près.
96. Confidential 16
12/04/2012
Alain BARLIAN
1.1
Identify Risks
1.2
Assess probability
& impact
Risk Management (I)
Periodic/Change
End
1.3
Identify &
implement Risk
response
1.4
Report, Maintain
& Monitor risk
action plans
Risk Context
1.5
Manage loss
events
Incident
En conclusion
Maintenir un planning itératif :
– Fin juin et fin décembre : Mise à jour des Risk Register =
nouveaux risques, nouvelles évaluation, suivi des plans d’actions.
– Fin mars et fin septembre = suivi des plans d’actions
Entretenir son réseau
– Il n’est pas facile de révéler les risques de son entité. S’adresser
au risque manager n’est pas toujours une démarche naturelle.
– Confiance, dialogue
Ne pas être intrusif
– Le business reste maitre de ses risques
– Plutôt du coaching
97. LA GESTION DES RISQUES
CHEZ
PAS-DE-CALAIS HABITAT
Présentation de Miguel BEDET, Directeur des risques pour Club d’échange IFACI nord
12 Avril 2012 « La gestion des risques : du coût à l’opportunité »
Partie : Témoignages et retours d’expériences
98. La gestion des risques chez Pas-de Calais Habitat
Plan de la présentation :
1. Identité et missions de l’organisme
2. Projet GGR : Gestion globale des risques
• Naissance de la démarche ; Utilité et plus value attendue ;
Objectifs ; Modes d’actions
3. Le cadre d’organisation
4. Pratiques
• Les éléments de la revue du comité des risques, les méthodes
de cartographies
5. Points critiques
• Limites, évolutions
6. Risques. Quelques enseignements à connaître
• La pensée du Danger : Tout va bien ! ; Débats internes sur les
risques : l’identification ; L’étude du Danger : Le traitement du
savoir
99. PDCH : 1. Identité et missions
Identité
• Premier bailleur social et opérateur urbain :
30 % du parc social du Pas de Calais
• Statut OPH : 3ème Office Public de l’habitat au
service des communes et des habitants
• Plus de 200 Communes partenaires
Son patrimoine :
• 39 500 logements dont 28300 en collectifs et
11200 individuels
• 700 logements par an produits
• Notre tutelle de rattachement le département :
CG62
La gouvernance :
• Conseil d’administration de 23 Membres :
Dont 6 conseillers Généraux +
7 Personnes qualifiées +
6 membres désignés par les institutions : Caf,
Udaf, Uro, Syndicats, CIL + 4 Membres élus par
les locataires
Michel
VANCAILLE
Président
1er Vice-
président du
Conseil Général
de Pas de Calais
Jean Michel
Stecowiat
Directeur
Général
100. Conduire des opérations urbaines :
Etre et faire avec nos partenaires : promouvoir l’équilibre
urbain, acteur de la politique de la ville :
200 à 240 M€ d’investissement annuel
Réhabilitation : 1 800 logements par an
Engagé sur 11 Projets de renouvellement Urbain
Des valeurs : Altérité – Respect – Egalité – Equité - Engagement
Assurer des services aux habitants et aux collectivités :
Anticiper , Innover, Etre réactif
Faciliter l’échange (élus, habitants), Améliorer
l’habitat (mieux vivre ensemble), contribuer à
l’évolution de l’espace urbain
Effectifs : 815 ETP dont 60 % de personnel de
proximité (Gardiens _ ATP – RPS)
Produits des activités : 188 M€
Accord AFNOR ACX 50-850 Contractualisé en
2003 signé avec CG62 / AVIJ / CAHC
Un positionnement métier
celui d’opérateur urbain
Deux grandes missions
1. Identité et missions
101. 2. Projet GGR
L’investissement dans la Gestion Globale des risques
• Naissance de la démarche
– Séminaire de direction en 2009 : diagnostic sur nos domaines prioritaires
fait ressortir par nos directeurs l’insuffisance de la gestion du risque , son
développement s’inscrit dans le projet d’entreprise
– Exigences fortes en matière de contrôles externes
– Dans le prolongement du SMQ
• Utilité et plus value attendue de l’investissement
– Une visée management passant par la sécurisation des décisions et la
cohérence d’actions
– Une réactivité à l’environnement : client / réglementaire / crise fin 2008
– Une volonté d’une mise sous surveillance des grands risques : pénal /
crise et pca / pérennité financière.... dans la logique de mieux connaître,
mieux détecter, être en phase avec les responsabilités de l’organisation.
102. 2. Projet GGR
L’investissement dans la Gestion Globale des risques
• Objectifs du projet : « s’inscrire dans les pratiques de management »
– Introduire la culture risque par l’exemple, de faire accepter l’idée dans faire une activité
de management à part entière. Par la pratique, avant même de déployer de la
méthodologie
– Apprendre à analyser et à prioriser la gestion des ressources auprès des managers. La
GGR comme support de méthode d’analyse pour le management comme préalable aux
actions de couvertures.
– Augmenter la connaissance, cerner et comprendre les principales zones de risques
demandent formalismes, débats, arbitrages et prises de position
• Modes d’actions
– Surveiller et instruire les risques en intégrant les gestionnaires de risques sans pour
autant les dessaisir de leurs responsabilités. Etre en appui, aide à l’expression, éliminer
les dissonnances.
– Alerter, recommander les actions soit en processus (SMQ), soit en comités spécialisés
ou simplement vers les directions.
– Aligner en permanence les risques sur les actions prioritaires.
– « Conscientiser », atteindre les esprits par le jeu collectif est le meilleur moteur de
l’action. Travailler la perception
NB : Quid du CI, de la relation à l’audit interne
104. 4. Pratiques : les éléments de la revue du comité
des risques
1. Les cartographies des risques majeurs
Des risques majeurs placés sous surveillance : non communiqués
2. Les cartographies des risques opérationnels
Attribution de logements, Développement, Maintenance et sécurité patrimoniale, Rh
3. Les remontées d’incidents
Des incidents notoires placés sous surveillance : non communiqués
4. Les revues de conformité réglementaire
Loi molle, Warsman, tva immobilière, Pénibilité retraites
5. Les rapports de contrôles et audits I/E
CRC, Miilos, Cac, Audit interne Qualité, urssaf…
6. Auto saisine de risques spécifiques
Risques Psychosociaux, délégations, encaissements, cnil…
105. 4. Pratiques : les méthodes de cartographies
Une approche classique des risques
– Le PMR : identifier, analyser, évaluer, traiter, surveiller.
– La pesée : gravité / fréquence
– Les mesures risques bruts , risques résiduels
– Appétence
Certains risques ne rencontrent pas systématiquement de réponses.
Les niveaux de réponses sont proportionnés aux moyens,
comportements, procédures...à mobiliser.
Les tolérances sont à mettre en relation avec les capacités, taux
d’efforts par rapport au gains attendus.
106. 5. Points critiques
LIMITES
• La responsabilité déléguée à l’instance Comité des risques et
l’engagement entrepreneurial des participants directeurs fonctionnels
(postures entre moi et pdch).
• La connaissance « raisonnable » des risques :
– plus je suis en connaissance plus je suis en responsabilité pour agir
(distanciation)
– Plus je mets en connaissance, ou communique plus grande est la crainte est
d’amplifier, de faire peur. « Autocensure »
• La perception des risques : réglages des interférences entre individus et
les jeux de pouvoir.
EVOLUTIONS
• Certains sujets d’instructions de risques nécessitent plus que de simples
perceptions.
– Vers des vérifications avec preuves et engagements
– Vers des questionnaires d’autocontrôles
107. 6. Risques. Quelques enseignements à connaître
La pensée du Danger : Tout va bien !
« les situations dangereuses sont complexes »
En règle générale, on se plait à reconnaître qu’un danger est prévisible pour ses
semblables (les autres) mais en même temps on n’est pas prêt à envisager qu’il puisse
nous concerner
• Les 3 grands comportements observés face aux risques
– La négation du danger : Affirmation fondamentale d’invincibilité ou
d’inconscience
• Ex type : Titanic / insubmersibilité et le comportement de son capitaine.
Nous renvoie à la gouvernance et sa cécité.
– La distanciation : Refoulement du danger et son ignorance volontaire
• Le réflexe collectif primaire qui tend à exporter le danger parce qu’il est
désagréable d’en être conscient ou de le reconnaître.
On sait mais on préfère ne pas voir ou ne pas en parler.
Peut conduire au sacrifice de soi (accident du travail)
– L’officialisation : Rationaliser le danger que lorsqu’il prend corps
• Pas de manifestation, de phénomène, pas de danger.
Il existe une prise de position d’une autorité ou scientifique , elle est crédible et on
s’en tient à elle
Nous renvoie aux communiqués officiels rassurants
(On pense au nuage de Tchernobyl). (A l’opposé en jouer).
108. 6. Risques. Quelques enseignements à connaître
Débats internes sur les risques : l’identification
la résidence des risques : Exemple le 11 mars 2011 au japon :
Nature / Culture ? Quelle frontière entre le naturel et le sociétal ? est-il dans la nature du
risque d’être naturel ?, ou au contraire , doit-on considérer que des facteurs humains
viennent expliquer la gravité des inondations ou tremblements de terre ?
Rechercher , identifier le risque.
• la source : Qui est donc menacé ? (moi / l’autre ) (la nature / la culture)
– Formes pour légitimer : l’imputation, l’accusation, la disculpation, la consolation
– Exprimer la propension du danger de passer du potentiel à Réel . (peser la
vulnérabilité / notre résilience)
• la cible: Quel collectif est victime ?
– Il supplante la priorité faite à celle de l’individu qui en fait partie.
Explique aussi les conduites extrêmes comme le fanatisme (Mohamed Merah)
– L’atteinte à ses valeurs, normes, objectifs, implique la bonne connaissance de soi
pour une bonne immunologie
• la nature du risque :
– le projet de décrire le danger : notre capacité à décrire et supérieure à notre
capacité de perception
Rechercher la distinction : Parce qu’une « cause ou une hypothèse ou une
circonstance identifiée », peut être la source de la survenance d’un «
événement incertain », et qu’il aura un « effet sur un ou plusieurs
objectifs ».
109. 6. Risques. Quelques enseignements à connaître
L’étude du Danger : Le traitement du savoir
Ambiguïtés
• Aucun modèle scientifique ne dissipe l’incertitude, de savoir ce qu’il en
est exactement du danger.
• Notamment le cas des applications du principe de précaution. (pandémie
grippale)
Déficits
• Entre le perçu et le voulu
• L’écart entre ce que le regard voit dans les réseaux et ce qu’on pourrait
voir chez nous
Dissonances
• Penser une situation dangereuse est rendu très difficile par les
divergences entre les acteurs.
• S’ajoutent les confrontations entre « sachants » et experts
• La dissonance est elle-même source de danger. Elle est à reconsidérer
de façon positive « dissonance cognitive » Système apprenant
110. Mettez du confort
dans votre zone de risque
Neuf principes
pour devenir une Risk
Intelligent EnterpriseTM
Consulting & Risk Services
111. 3 Introduction
4 L’inconfort du risque
5 Un référentiel comme point d’ancrage
6 Une gestion symphonique des risques
7 Lire la même carte
8 Un traitement réservé aux champignons
9 « Nous gérons les risques tous les vendredis »
10 Qui est le propriétaire du risque ?
11 Les fonctions support et le risque
12 Les garants du dispositif
13 Restez vigilant en matière de risques
14 Les neuf principes fondamentaux de la « Risk Intelligence »
15 Contacts
Sommaire
Avertissement légal
Ce support et les informations qu’il contient sont fournis par Deloitte Touche Tohmatsu. Ils sont destinés à la diffusion d’informations d’ordre général sur un ou plusieurs sujets
particuliers et ne prétendent pas en faire un traitement exhaustif.
Par conséquent, l’information contenue dans ce document n’est pas destinée à constituer un conseil ni un service de comptabilité, de fiscalité, de droit, d’investissement, de
consultation ou d’un autre domaine professionnel. Elle ne doit pas constituer le seul fondement de décisions appelées à avoir un impact sur vous-même ou sur votre entreprise.
Nous vous conseillons, avant de prendre quelque décision ou de poser quelqu’acte qu’il soit qui puisse avoir des répercussions sur vos finances personnelles ou sur votre entreprise,
de consulter un conseiller professionnel compétent.
Ce document et l’information qu’il contient sont présentés « tels quels » et Deloitte Touche Tohmatsu ne fait aucune déclaration ni n’accorde aucune garantie, expressément ou
implicitement, à leur égard. Sans limiter la portée de ce qui précède, Deloitte Touche Tohmatsu ne garantit pas que ce document ou que l’information qu’il contient soient sans
erreur ni qu’ils respectent quelque critère de rendement ou de qualité que ce soit. Deloitte Touche Tohmatsu ne se reconnaît responsable d’aucune garantie implicite, y compris,
sans s’y restreindre, les garanties sur la qualité marchande, le titre, l’aptitude à une fonction particulière, l’absence de contrefaçon, la compatibilité, la sécurité et l’exactitude.
Vous utilisez ce document et l’information qu’il contient à vos propres risques. Vous assumez l’entière responsabilité et tous les risques de dommage résultant de leur utilisation.
Deloitte Touche Tohmatsu n’est responsable d’aucun dommage spécial, indirect, accessoire, consécutif ou punitif, ni d’aucun autre dommage quel qu’il soit, que ce soit dans une
action recherchant sa responsabilité contractuelle, juridique ou délictuelle (y compris, sans s’y restreindre, la négligence) ou autrement, relativement à l’utilisation de ce document
ou de l’information qu’il contient.
Si l’une des dispositions précitées ne peut être appliquée intégralement pour quelque raison que ce soit, les autres dispositions continuent de s’appliquer.
112. Introduction
Cette publication fait partie d’un ensemble de
communications que Deloitte consacre aux principes
fondamentaux de l’intelligence du risque. Notre
ambition est de présenter, dans un langage simple, les
composantes indispensables à tout dispositif de « Risk
Intelligence », et de proposer des pistes de réflexion et
des éléments pratiques utiles à la mise en place d’un tel
dispositif.
Au bas de chacune des pages suivantes est énoncé
un des neuf principes du dispositif d’intelligence du
risque, précédé d’un éclairage sur le thème concerné.
L’application de l’ensemble des ces principes permet la
mise en place d’un dispositif dynamique et pérenne de
gestion des risques, désigné sous l’appellation
The Risk Intelligent Enterprise.
La mise en œuvre de ces principes peut, bien entendu,
varier selon vos pratiques professionnelles, le cadre
réglementaire et le degré de maturité de votre
entreprise.
Dans certains secteurs économiques, ces principes
sont, pour la plupart, débattus depuis plus de dix ans
et peuvent donc sembler élémentaires mais, dans bien
d’autres, ils commencent seulement à être adoptés.
Quel que soit votre secteur d’activité, les principes
fondamentaux restent valables.
Si cette publication est la première de notre série
« Principes fondamentaux », ce n’est pas la première fois
que nous prenons la parole sur la « Risk Intelligence ».
Nous avons en effet publié plus d’une douzaine de titres
sur le sujet et réalisé de nombreux podcasts et webcasts.
Vous pouvez consulter gratuitement tous ces supports
sur www.deloitte.com/RiskIntelligence.
Une Risk Intelligent Enterprise se distingue avant tout
par une communication sans entrave. Nous vous
recommandons donc de partager le contenu du
présent document avec les autres dirigeants de votre
entreprise, les membres de son conseil d’administration
et ses principaux cadres. Les questions soulevées et les
concepts présentés dans cette publication constitueront
un excellent point de départ au dialogue qui doit
impérativement s’instaurer en matière d’amélioration de
la « Risk Intelligence » au sein de votre organisation.
3
113. L’inconfort du risque
Tout comme la politique ou la religion, le risque est
souvent un sujet polémique qui met les interlocuteurs
dans une situation d’inconfort. Rien d’étonnant à cela
dans la mesure où bon nombre de personnes mettent
plus ou moins consciemment des limites à ce type de
sujet.
Le risque peut être pour vous synonyme de menace ou
signe de mauvais augure pour vos affaires. Ce qui en fait
un sujet de conversation délicat.
La discussion peut cependant prendre une tournure plus
libre si vous envisagez l’autre facette du risque, celle qui
favorise la création de valeur. Autrement dit, une prise
de risques calculée, génératrice de valeur.
Le lancement de nouveaux produits, la conquête de
marchés étrangers, le rachat de concurrents, tous ces
projets constituent de véritables défis. Si vous ne gérez
pas correctement les risques qui y sont associés, vous ne
pourrez pas en retirer les bénéfices potentiels.
Envisagez donc une définition plus large du risque, une
définition qui donnerait la même importance à la gestion
des risques, qu’ils soient liés à la croissance ou à la
rentabilité.
Principe n°1 : dans une entreprise « Risk
Intelligent », une définition globale de
l’« appétit » pour le risque, qui couvre à la
fois la création et la conservation de valeur, est
utilisée de façon uniforme dans l’ensemble de
l’organisation.
4
114. Un référentiel comme
point d’ancrage
A quoi suspendez-vous votre imperméable en rentrant
chez vous si ce n’est au crochet d’un porte-manteau ?
Sa résistance varie selon la charge qu’il est supposé
supporter (vêtements lourds d’hiver ou légers comme un
imperméable d’été).
Envisagez votre référentiel de gestion des risques selon
le même principe : un point d’ancrage qui soutient
votre programme de gestion des risques, adapté à votre
« appétit » pour le risque.
Les référentiels de gestion des risques – tels que
COSO ERM, Turnbull et ISO – sont autant d’outils qui
permettent d’identifier les opportunités à exploiter et les
dangers à éviter.
Mais votre référentiel doit se montrer suffisamment
solide pour soutenir les objectifs de votre gestion
des risques. Il doit considérer vos propres stratégies,
vos initiatives et votre structure organisationnelle, et
pouvoir s’adapter à votre secteur d’activité comme à vos
obligations réglementaires.
Inutile de pousser trop loin l’analyse. N’accordez pas plus
de temps que nécessaire au choix de votre référentiel.
Assurez-vous seulement qu’il supportera le poids de
votre « chapeau ».
Principe n° 2 : dans une entreprise « Risk
Intelligent », un référentiel de gestion des
risques commun, soutenu par un corpus de
normes adapté, est utilisé par l’ensemble de
l’organisation pour gérer les risques.
Mettez du confort dans votre zone de risque 5
115. Une gestion symphonique
des risques
Lorsqu’elle est bien menée, la gestion des risques est
un effort coordonné, aussi précisément accordé qu’un
orchestre symphonique. Qu’il s’agisse de risque ou de
musique, les intervenants agissent de concert au fil de
compositions souvent complexes.
Dans votre entreprise, certaines personnes peuvent
même ignorer qu’elles font partie de l’orchestre. Le chef
de produit, le superviseur informatique ou l’adjoint du
directeur des fusions/acquisitions, par exemple, estiment
peut-être que la gestion des risques n’est pas de leur
ressort.
Changer cette mentalité est un préalable au déploiement
de l’intelligence du risque. Vous devez adresser des
messages clairs à chaque niveau de l’organisation
pour expliquer ce qu’est l’intelligence du risque, quelle
est son importance pour l’entreprise en général et les
collaborateurs en particulier, et ce qui est réellement
attendu au quotidien de la part de chacun d’eux.
Ceci suppose une communication lisible, une culture
du risque solide, des plans incitatifs comportant
des objectifs liés aux risques, et des programmes de
formation pour une gestion clairvoyante des risques.
En résumé, la collaboration doit être harmonieuse et
l’ensemble s’organiser comme suit :
• Le conseil d’administration donne le ton (page 8).
• La direction tient la baguette (page 9).
• Les unités opérationnelles jouent de leur instrument
(page 10).
• Certaines fonctions (RH, services financiers,
informatiques, juridiques, fiscaux) jouent leur rôle
d’assistance en coulisses (page 11).
• D’autres fonctions (audit interne, gestion des risques et
compliance) sont les régisseurs du spectacle (page 12).
6
Principe n°3 : dans une entreprise « Risk
Intelligent », les rôles clés, responsabilités et
autorités de tutelle en matière de gestion des
risques sont clairement définis et délimités.
116. Lire la même carte
Mettez du confort dans votre zone de risque 7
Les spécialistes du risque tendent à se comporter comme
les membres d’une même communauté : ils restent
ensemble, partagent les mêmes croyances, rituels et
habitudes et développent leur propre dialecte.
Mais les pratiques dont se nourrissent ces populations
« indigènes » ne sont pas idéalement adaptées à
tous les gestionnaires du risque que l’on trouve dans
l’organisation d’une multinationale.
Cela ne veut pas dire que toute spécialisation est inutile,
bien au contraire. Sans cela, une gestion efficace des
risques serait impossible. Les spécialistes du risque ont
juste besoin de sortir de temps en temps de l’espace
dans lequel ils sont confinés. Le risque n’existant pas de
façon isolée, il en va de même pour ses gestionnaires.
Pour gérer efficacement les risques et en tirer avantage,
la distance entre les différents silos organisationnels doit
être comblée. Pour ce faire, une infrastructure commune
doit être créée, de sorte que toutes les fonctions et
unités opérationnelles aient recours, autant que possible,
aux mêmes processus et supports technologiques.
Ceci implique une synchronisation (assurer une
coordination par-delà les frontières institutionnelles),
une harmonisation (veiller à ce que les gestionnaires du
risque parlent tous le même langage et définissent le
risque de la même façon) et une rationalisation (éliminer
les tâches dupliquées inutilement).
Utilisez des outils tel que The Risk Intelligence Map ™ 1
(cartographie de la « Risk Intelligence ») pour faciliter vos
discussions. Vos réflexions et échanges sur les risques
pourraient alors prendre des directions que vous n’auriez
jamais envisagées. Reportez-vous à votre référentiel
de risques pour formaliser votre approche. Dressez
l’inventaire de vos risques majeurs.
Une terminologie, des technologies, des indicateurs
et des processus communs vous permettront de
transcender votre organisation en silos. Un tableau de
bord « Risk Intelligent » vous permettra de piloter vos
risques de façon dynamique.
Principe n°4 : une entreprise « Risk
Intelligent » est dotée d’un dispositif de
gestion des risques partagé, qui permet aux
fonctions et unités opérationnelles d’assumer
avec professionnalisme leurs responsabilités
dans le domaine des risques.
1
Pour de plus amples informations sur The Risk Intelligence Map ™,
contactez votre interlocuteur chez Deloitte (voir page 15).
117. Un traitement réservé
aux champignons
8
Les conseils d’administration sont parfois soumis à un
traitement que l’on réserve habituellement à certains
champignons, et qui pourrait se résumer comme suit :
« Gardons-les dans le noir… »
Il va sans dire que ce genre de traitement devrait être
proscrit. Le conseil d’administration ou de surveillance
a la responsabilité de veiller à ce que la direction de
l’entreprise dispose de processus appropriés pour gérer
les risques. Et cette responsabilité ne peut s’exercer en
l’absence d’éclairage.
Pour satisfaire à leurs obligations et créer de la valeur, les
administrateurs doivent :
• Mettre le risque à l’ordre du jour de leurs réunions. Lui
consacrer du temps avant qu’il n’en exige. Discuter du
risque à chaque réunion ne saurait épuiser le sujet.
• Evaluer la structure de gestion des risques en
place. Comment les risques sont-ils gérés ? Les silos
organisationnels sont-ils comblés ?
• Mobiliser l’équipe dirigeante. Entretenir un dialogue
permanent sur les risques. Identifier les risques
susceptibles d’empêcher l’entreprise de mettre en
œuvre ses principales stratégies.
• Discuter les différents scénarios de risques. Où les
meilleures opportunités se trouvent-elles ? Qu’est-ce
qui pourrait contrarier les objectifs stratégiques de
l’entreprise ?
• Vérifier l’appétence (ou l’aversion) de la structure
organisationnelle pour le risque. Déterminer dans
quelle mesure l’entreprise a la capacité d’assumer
le niveau de risque choisi. Et dans quelle mesure elle
peut réellement l’assumer. Le niveau de risque choisi
est-il en cohérence avec l’organisation de gestion des
risques mise en œuvre ?
• Disposer d’un tableau de bord de suivi dynamique
des risques de l’entreprise.
• Obtenir une assurance raisonnable. Quel est le niveau
de confiance de la direction ? Pour quelles raisons ?
• Obtenir une revue indépendante. Faire évaluer par
la direction de l’audit interne ou par un consultant
extérieur l’efficacité de l’ensemble du dispositif
de gestion des risques. L’assurance donnée par la
direction est-elle fiable ?
Principe n°5 : dans une entreprise « Risk
Intelligent », les organes de gouvernance
(conseil d’administration, comité d’audit, etc.)
bénéficient, pour remplir leurs obligations,
d’une transparence et d’une visibilité
suffisantes sur les pratiques de gestion des
risques.
118. Manage
Risk
« Nous gérons les risques
tous les vendredis »
Mettez du confort dans votre zone de risque 9
Ne riez pas, ce sont là les propos fidèlement reproduits
d’un chef d’entreprise bien réel. Et voici une autre vérité
qui donne à réfléchir : si vous considérez la gestion des
risques comme un travail à temps partiel, vous risquez
fort de devoir rapidement en trouver un vous-même.
Nous avons vu précédemment que le risque était
l’affaire de tous dans l’entreprise. Si vous êtes membre
de la direction, cette obligation s’impose d’autant plus
fortement à vous : vous êtes chargé de donner le ton,
de diriger, de concevoir et de mesurer.
Votre rôle de dirigeant implique un leadership et une
autorité que vous devez exercer : sensibiliser vos équipes
à la prise de risques comme source d’avantages, imposer
la gestion des risques à tous les échelons de la hiérarchie,
faire connaître vos attentes, responsabiliser, impliquer
votre conseil d’administration ou de surveillance, initier
le changement et établir une culture de l’intelligence du
risque.
Programme ambitieux, certes. Alors comment parvenir
à tout faire ? Pour commencer, constituez une cellule
d’intelligence du risque (un comité de gestion des risques
composé de membres de la direction générale) dont
le rôle sera de faire des commentaires pertinents sur le
risque à la direction de votre entreprise et de contribuer
à l’élaboration d’un programme d’intelligence du risque.
Le plus souvent, la cellule d’intelligence du risque au
niveau de la direction générale est incarnée par le Chief
Risk Officer – CRO (directeur des risques). Aux côtés
des autres dirigeants, le CRO coordonne les travaux
d’élaboration d’une politique et d’une approche
communes qui sont ensuite déployées dans les unités
opérationnelles. Il communique sur l’appétence de
l’entreprise pour le risque et en assure le suivi. Il soumet
des rapports sur les risques à la direction et aux organes
de surveillance du conseil. Certaines entreprises peuvent
opter pour un rôle plus étendu. Le style du CRO varie
considérablement d’une organisation à l’autre et
doit être en phase avec la philosophie du risque que
l’entreprise cultive. Certaines entreprises peuvent faire
le choix d’un collaborateur orienté « business », d’autres
d’un animateur de groupe, d’autres enfin d’un simple
« agent de police ».
Quels que soient les contours du rôle assigné, une chose
est sûre : aucun ne travaille que le vendredi.
Principe n°6 : dans une entreprise « Risk
Intelligent », la direction générale détient la
responsabilité principale de la conception,
de la mise en œuvre et du maintien d’un
programme efficace de gestion des risques.
119. Qui est le propriétaire
du risque ?
10
S’il est entendu que le risque est l’affaire de tous dans
l’entreprise, qui est le propriétaire du risque (le « risk
owner ») ? Pour nous, ce sont les unités opérationnelles
qui sont les propriétaires des risques, aussi bien en titre
que dans les actes.
Cette question de l’hébergement peut être source
de grande confusion dans les organisations. On peut
résumer la situation simplement :
Le responsable de l’entité opérationnelle est le
propriétaire du risque.
En d’autres termes, si vous répondez de la réussite
de cette unité, vous êtes le principal responsable de
la gestion quotidienne des risques. Ce qui n’exonère
en rien les autres membres de l’unité de leurs propres
responsabilités en matière de risques.
Quelles sont les conséquences de cette « propriété » ?
Les propriétaires de risques détiennent notamment la
responsabilité d’identifier, de mesurer, de surveiller,
de contrôler et de faire des rapports sur les risques à
la direction générale, d’encourager la sensibilisation
au risque et de réorganiser les priorités en fonction
d’analyses de risques efficaces.
Comme tout propriétaire d’immeuble soumis au respect
d’un plan d’urbanisation, les responsables d’unités
opérationnelles opèrent sous certaines contraintes et ne
peuvent, par exemple, choisir leur référentiel – ils doivent
s’y conformer.
Ils ne déterminent pas l’« appétit » de l’entreprise pour le
risque – ils s’en tiennent au « menu » qui leur est servi.
Et s’ils ont la possibilité de miser sur des objectifs comme
au casino, sans surveillance ni limite, c’est que le dispositif
de gestion des risques de l’entreprise doit être revu.
Principe n°7 : dans une entreprise « Risk
Intelligent », les unités opérationnelles sont
responsables des performances de leur activité
et de la gestion des risques qu’elle génère dans
le cadre du référentiel des risques établi par la
direction générale.
120. Les fonctions support
et le risque
Mettez du confort dans votre zone de risque 11
Certaines fonctions (notamment finance, juridique, RH,
fiscale, informatique, etc.) se distinguent des unités
opérationnelles en ce qu’elles ne sont pas seulement
les propriétaires de leurs propres risques : elles peuvent
aussi être le révélateur des risques d’autres unités
opérationnelles. Leur rôle est intrinsèquement différent
de celui des « garants du dispositif » (voir page suivante)
ou des unités opérationnelles (voir page précédente).
Tout comme les unités opérationnelles, ces fonctions
sont les principales responsables des risques générés
par leurs activités. La direction financière, par exemple,
assume directement les risques qui découlent de la
justification des comptes, le service informatique, ceux
liés aux technologies, le service juridique, ceux liés aux
litiges, et les RH, ceux liés aux ressources humaines.
En parallèle, elles sont également responsables de
risques qui transcendent leurs fonctions. Par sa
connaissance des comptes, la direction financière peut
identifier des risques d’autres unités opérationnelles.
La DSI, quant à elle, est omniprésente dans l’entreprise
et peut aider les autres services à contrôler et à réduire
leurs risques. Les RH peuvent exploiter les enquêtes
auprès des nouveaux entrants, les entretiens préalables
aux licenciements ou toute autre information susceptible
d’aider à identifier les zones de risques imminents.
Ces fonctions transverses sont responsables de
l’élaboration et de l’application des politiques,
procédures et contrôles qui réduisent le risque dans
l’ensemble de l’organisation. Elles servent de support
aux unités opérationnelles et les assistent dans la
compréhension de leurs obligations de prise de risque
raisonnée, avec l’objectif de les aider à en retirer des
bénéfices. Elles collectent des informations importantes
pour la direction générale et réalisent des analyses de
réduction des risques.
Il est important que ces fonctions clés soient associées
à l’équipe de gestion des risques et que leur rôle soit
articulé en phase avec le référentiel des risques. De
même, elles doivent participer au comité de gestion des
risques et à toutes les discussions majeures sur le sujet.
Principe n°8 : dans une entreprise « Risk
Intelligent », certaines fonctions (notamment
financière, juridique, informatique, HR, etc.),
de par leur caractère transverse, servent de
support aux unités opérationnelles dans la
mise en œuvre du programme de gestion des
risques.
121. Les garants du dispositif
12
En matière de gestion des risques, nombre de groupes
ont coutume de confier un rôle important à la direction
de l’audit interne, ou aux fonctions dites de contrôle
interne, de « compliance » ou de gestion des risques. Et
l’on pourrait dire que le « confort » est la responsabilité
première de ces fonctions : elles doivent en effet garantir
que la structure de contrôle interne et des risques
fonctionne de manière efficace (permettant ainsi aux
dirigeants et aux administrateurs de dormir sur leurs
deux oreilles).
Un tel rôle les distingue des autres fonctions de
l’entreprise. Les acteurs du confort ne sont pas
opérationnels par nature : ils n’ont aucune responsabilité
dans les décisions et orientations influant sur la bonne
marche des affaires. Leur raison d’être est plutôt de
contrôler et de favoriser l’amélioration de l’efficacité des
activités de gestion des risques dans l’entreprise.
Bien évidemment, les rôles et responsabilités spécifiques
de ces fonctions varient d’une organisation à l’autre.
Dans les descriptions de poste de ces fonctions, on
pourrait ajouter les qualités suivantes :
• Visionnaire : pour évaluer non seulement l’état actuel
de la gestion des risques, mais également pour scruter
l’horizon et aider la direction à prévoir les risques et
opportunités à venir.
• Diététicien : pour déterminer si les risques au menu de
l’entreprise correspondent à son « appétit ».
• Analyste : pour vérifier si l’entreprise prend
suffisamment en compte les phénomènes d’interaction
et d’effet en cascade des risques.
• Orienté efficacité : pour rechercher les moyens
d’éliminer les inefficacités dans la gestion des risques.
• Orienté solutions : pour préconiser l’allocation des
ressources nécessaires à une prise de risques dont
on tire avantage et pour gérer les risques liés à
l’augmentation de la rentabilité et de la valeur pour les
actionnaires.
• Vigilant : pour signaler les zones de risques jugées
insuffisamment couvertes et pour demander les
ressources nécessaires afin d’y remédier.
• Pédagogue : pour partager sa connaissance
approfondie et son expertise dans les principaux
domaines de risque, notamment en matière de fraude.
• Conciliateur : pour être partie prenante dans la
conception et la mise à jour des procédures de
contrôle, et pour aider à conduire l’évaluation des
risques.
Principe n°9 : dans une entreprise « Risk
Intelligent », certaines fonctions (audit
interne, gestion des risques, « compliance »,
etc.) fournissent une assurance objective au
même titre qu’elles assurent le suivi et le
reporting de l’efficacité du programme de
gestion des risques auprès des organes de
direction et de la direction générale.
122. Restez vigilant en matière
de risques
Mettez du confort dans votre zone de risque 13
Encore récemment, les secteurs de la finance et de
l’énergie étaient perçus comme des modèles de gestion
sophistiquée des risques. Mais la crise est passée par
là, effaçant au passage des milliards des bilans des
entreprises.
Des livres entiers ont été écrits sur ce qui a mal tourné.
Mais voici un rapide condensé :
1) L’éventualité d’interactions entre les risques a été
sous-estimée ou ignorée.
2) Trop d’importance a été donnée à la modélisation
par probabilité ; des raccourcis ont été pris ;
l’analyse de scénarios de risques ne s’est pas
suffisamment développée ; la visibilité a manqué sur
nombre de problèmes potentiels.
3) Les gestionnaires du risque se sont retrouvés isolés,
chacun dans son silo.
4) Les avertissements ont été ignorés ; ceux qui
prophétisaient le pire ont été mis à l’index, taxés
d’opposants systématiques ou critiqués pour absence
d’esprit d’équipe.
5) Une perspective à court terme a prédominé, ayant
pour unique but d’atteindre les objectifs trimestriels.
6) Les entreprises ont manqué d’une approche globale
de la gestion des risques étendue à l’ensemble de
l’organisation. Les habilitations et responsabilités se
sont avérées mal contrôlées et mal définies.
7) La gestion des risques s’est trop souvent basée
sur la conformité plutôt que sur les performances,
entraînant ainsi des erreurs d’appréciation et des
réponses inadaptées.
S’il s’agit bien là de défaillances majeures, il eût été pire
encore que les entreprises se soient montrées réfractaires
au risque. Prendre des risques pour en tirer des bénéfices
est un principe fondamental du capitalisme. Mais la
poursuite d’un tel objectif ne peut se faire sans maîtrise.
En d’autres termes : il est temps de devenir clairvoyant
en matière de risques, ou « Risk Intelligent ».