MISE EN UVRE DU CADRE DE RFRENCE ACTUALIS DE lAMF

AMRAE - APDC

MISE EN UVRE DU CADRE DE RFRENCE ACTUALIS DE lAMF

Pour une amlioration de la performance oprationnelle via loptimisation des processus et une meilleure intgration de la matrise des risques

Livre Blanc
avec le soutien de En partenariat avec

Livre Blanc

GROUPE DE TRAVAIL
Membres du Comit de pilotage
Jean-Louis BRUN DARRE Bndicte HUOT DE LUZE Eric ROPERT Philippe THIERRY-MIEG BMA AMRAE KPMG AREVA Expert comptable, Associ Dlgue Gnrale Associ Responsable contrle interne / Direction Financire AREVA Responsable du groupe Contrle interne Finance APDC

Membres du Groupe de Travail

Jean-Paul ARTAUD Pierre-Alain AUBIN Christophe AUTRIVE Philippe BERNARD Bruno BIGUET Anne BRAU Gilbert CANAMERAS Emmanuel DAOUD Florence GIOT Benoit GRISARD Sylviane HAUTIN Maureen JUBERT Christine LEFEVRE Anne MARGUERIE Bertrand MONTIER Jean-Marie PIVARD Michel TUDREJ David WILLIAME RTE Rseau de Transport dElecticit EURAZEO CARREFOUR RHODIA THALES IMERYS ERAMET Responsable de la mission Matrise des risques Direction Financire Head of Internal Audit Directeur de lAudit interne Directeur des Risques et Assurances Directeur des Risques et du Controle interne Risk manager, responsable contrle interne Directeur du Management des risques Groupe Prsident de lAMRAE Avocat - Associ VP Finance Efciency Alstom Power Direction des Risques Groupe Associe Internal Audit, Risk and Compliance Services Directrice Audit interne Responsable du Contrle interne comptable et nancier / Direction comptable groupe Direction des Risques Groupe Manager Corporate VP Internal Audit Directeur de mission - en charge du CI groupe EDF Charg de Mission Direction de la Performance

Cabinet VIGO ALSTOM POWER LA POSTE KPMG ETAM EDF

LA POSTE BMA NEXANS EDF SUEZ ENVIRONNEMENT

Remerciements
Guillaume GASZTOWTT, Co-Prsident du groupe de place AMF 2005, Partner Advisory Services KPMG

MISE EN UVRE DU CADRE DE RFRENCE ACTUALIS DE lAMF

Pour une amlioration de la performance oprationnelle via loptimisation des processus et une meilleure intgration de la matrise des risques

Livre Blanc

ISBN : 978-2-9535998-3-1

prface

a transposition en droit franais des directives europennes a dclench une srie de ractions, de rexions et de prises de conscience dont lune delle est lutilit dune gestion des risques efcace. La mise sous les projecteurs de cette gestion des risques - qui nest pas un sujet nouveau mais qui tait souvent limite la diffusion de la culture du risque - encourage et positive la prise de risque maitrise comme source de cration de valeur. Dans ce contexte, le rgulateur a actualis en juillet 2010 son cadre de travail datant de 2007 sur deux thmes : la gestion des risques et les missions des comits daudit ce dernier ntant pas abord dans ce livre blanc. La partie gestion des risques ayant t totalement cre, il est intressant de noter la volont du rgulateur doffrir un cadre double nalit : Amliorer le pilotage des activits et scuriser latteinte des objectifs et viter de percevoir cette rglementation comme une contrainte. Partant de ce constat les praticiens, cabinets daudit et institutions professionnelles ont souhait proposer une dmarche positive, structure et adapte de modalits de mise en uvre. Lide fondatrice tant de transformer cette contrainte rglementaire relative la gestion des risques en un lment essentiel de la performance et de lamlioration de lentreprise. De nombreux changes ont permis de trouver un chemin en 5 tapes cls qui permet lentreprise de passer du monde de la conformit au monde de la performance. Dans les dmarches actuelles, les entreprises progressent de concert sur la abilisation de la stratgie et celle des processus, lthique et la gouvernance. La solidit de chaque thme est gage dune maturit globale de lentreprise, la performance ne pouvant tre atteinte quen travaillant sur cet ensemble. In ne, le groupe de travail a souhait proposer aux directions nancires un ensemble doutils utiliss par les participants. La vocation de ces outils est dtre une source dinspiration, de rester proche du terrain et de faciliter la mise en uvre de la dmarche. Ces outils nont surtout pas vocation tre dploys exhaustivement dans une entreprise. Chercher la performance versus la conformit, tre pragmatiques versus thoriques et montrer un chemin balis versus dispers, tels sont les objectifs de ce livre blanc. Jean-Jacques JEGOU
Directeur Administratif et Financier GROUPE ZODIAC AEROSPACE

sommaire
PARTIE 1
1 QUELS OBJECTIFS POUR CE LIVRE BLANC ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 LES AMELIORATIONS INTRODUITES DANS LE CADRE DE LAMF . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 LE PANORAMA DES ACTEURS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Le directeur nancier: son rle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.2 Le sponsor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.3 Les ressources oprationnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 LE CONTENU DU LIVRE BLANC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 QUEL CHEMIN PRENDRE POUR LE DIRECTEUR FINANCIER ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 LA MAITRISE DES RISQUES EN QUELQUES MOTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Le dispositif de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Le dispositif de contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3 Linterrelation entre ces dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 LES PRATIQUES DES ENTREPRISES : QUELLE MATURITE ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Les objectifs de la gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Le cadre organisationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4 Le pilotage du dispositif, la surveillance et la revue de la gestion des risques . . . . . . . . . . . . . . . 2.3 LES DIFFERENTES ETAPES DE LA MISE EN UVRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 Les tapes de la trajectoire dvolution et de transformation. . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2 Le cercle vertueux des tapes : la dynamique dvolution - transformation . . . . . . . . . . . . . . . 2.3.3 La connaissance partage du droulement des processus . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.4 Les bnces attendus entre chaque tape . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.5 Le rapprochement - Contenu des tapes - Contenu du rfrentiel AMF . . . . . . . . . . . . . . . . . . . 2.4 LES FACTEURS CLES DE SUCCES DE LA MISE EN UVRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Lidentication et la localisation des zones risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 La mise en place de lapproche processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3 La cration dune valeur ajoute la n de chaque tape . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.4 Une politique de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 .11 12 12 14 14 14 15 15 15 16 16 16 16 17 17 17 18 18 20 21 23 26 27 27 27 27 27

PARTIE 2
1 MISE EN UVRE DE LINTEGRATION DE LA MAITRISE DES RISQUES ET DE LAMELIORATION DE LA PERFORMANCE : LES ETAPES ET LES FAMILLE DOUTILS . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 QUELQUES DEFINITIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 La conformit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.2 Lefcacit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.3 Lefcicience. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.4 La performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.5 La dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 LES ETAPES DEVOLUTION ET DE TRANSFORMATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Etape 0 : Dimensionner le projet dvolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.2 Etape 1 : Connatre les zones risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.3 Etape 2 : Implmenter un dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.4 Etape 3 : Faire fonctionner un dispositif de gestion des risques efcace . . . . . . . . . . . . . . . . . . 1.2.5 Etape 4 : Amliorer la performance oprationnelle des processus . . . . . . . . . . . . . . . . . . . . . . 1.2.6 Etape 5 : Optimiser le dispositif de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 LES FAMILLES DOUTILS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 La connaissance des marchs, des produits et de la stratgie de dveloppement associe . . . . . . . . 1.3.2 La connaissance des activits oprationnelles : Les processus . . . . . . . . . . . . . . . . . . . . . . . . 1.3.3 La connaissance de lexposition aux risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.4 Les dispositifs de prcautions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.5 La mise en uvre du Pilotage ou du Monitoring. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 31 31 31 31 31 31 31 32 34 36 38 40 42 44 45 45 47 48 50

PARTIE 3 - BOITE A IDEES DOUTILS

Business model : caractristiques et enjeux par mtier & activits sur la ou les entits . . . Plan stratgique & business models 3/5 ans sur la ou les entits . . . . . . . . . . . . . . Cartographie de lensemble des activits de lentreprise : Niveau ENTITE . . . . . . . . . . . Cartographie de lensemble des activits de lentreprise : Niveau BU . . . . . . . . . . . . . Cartographie de lensemble des activits de lentreprise : Niveau fonction support - DAF . . Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/zones risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

53
56 57 58 68 70

ETAPE 1 - CONNAITRE LES ZONES A RISQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

. . . . . . . . . . . . . . . . . . 72

ETAPE 2 - IMPLEMENTER UN DISPOSITIF DE GESTION DES RISQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Univers des risques afn . . . . . . . . . . . . . . . . . Guide dentretien . . . . . . . . . . . . . . . . . . . . . . . Fiche de risques - version en anglais. . . . . . . . . . . . . Fiche de risque - version en franais . . . . . . . . . . . . . Fiche de risque - version en franais . . . . . . . . . . . . . Grille dvaluation - Echelle de risque . . . . . . . . . . . . Matrice des Processus et des Risques . . . . . . . . . . . . Premire cartographie des risques . . . . . . . . . . . . . . Plan de dploiement du dispositif de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 77 82 83 84 85 86 88 90

ETAPE 3 - FAIRE FONCTIONNER UN DISPOSITIF DE GESTION DES RISQUES EFFICACE . . . . . . . . . . . . . . . . . . 93 Questionnaire Auto-Evaluation Niveau ENTITE - version en anglais . Questionnaire Auto-Evaluation Niveau Processus Financiers . . . . . Cartographie des risques - Activit service . . . . . . . . . . . . . . . Cartographie des risques - Activit industrielle . . . . . . . . . . . . . Fiche de risque avec plan dactions associ . . . . . . . . . . . . . . . Apprciation de lefcacit dun dispositif de matrise des risques . . Reporting de suivi de lefcacit du dispositif de matrise des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 . 98 . 114 . 115 . 116 . 118 .122

ETAPE 4 - AMELIORER LA PERFORMANCE DES PROCESSUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Rfrentiel des Processus : Achats et approvisionnements . . . . . . . . . . . . . . . . . . . . Rfrentiel des Processus RH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Transformation du processus - Emission des bons de commande . . . . . . . . . . . . . . . . . Le suivi de la performance des processus - KPI - Cot processus clients . . . . . . . . . . . . . Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements . Tableau de bord de suivi des Risques - Dysfonctionnements et Plans dactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 .128 .130 .132 .133 .134

ETAPE 5 - OPTIMISER LE DISPOSITIF DE GESTION DES RISQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 Impact mtiers du risque informatique : Cas RH Paie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 Evolution de la maturit du dispositif de matrise des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140

CONCLUSION ... /...

143
5

sommaire
ANNEXES
ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. LE PERIMETRE DES ETUDES ET DES ENQUETES SELECTIONNEES . . . . . . . . . . . . . . . . . . . . . . . . . . 2. POINTS SAILLANTS DES PRATIQUES DE PLACE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. LES PRATIQUES DE PLACE SELON LES THEMES DU CADRE DE REFERENCE DE LAMF . . . . . . . . . . . . . . La dnition de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les objectifs de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre organisationnel de la gestion des risques : organisation et responsabilit . . . . . . . . . . . . . . . . Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilotage du dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ANNEXE 2 : TEXTES ET REFERENCES BIBLIOGRAPHIQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EN FRANCE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loi de Scurit Financire (2003, 2005 et 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ordonnance du 8 dcembre 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre de rfrence de lAMF 2010 - publication juillet 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lIFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lIFACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lAMRAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

147
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 .149 .150 .151 .151 .152 .153 .155 .156 .158 .158 .158 .158 .158 .158 .159 .159 .159

executive summary

n juillet 2010, dans le cadre de la transposition des directives europennes, lAMF a introduit dans son cadre de rfrence la dimension gestion des risques et a indiqu aux metteurs quil sagissait dun outil de progrs dont lambition allait bien au-del de la conformit. Le cadre de rfrence nonce certains principes et est constitu de questionnaires. Il intgre dsormais la dimension de gestion des risques sans en prciser toutefois les modalits de mise en uvre. Du fait des enjeux damlioration de la performance dans lexcution des activits oprationnelles, et du besoin de modles conomiques robustes, ce groupe de travail a t cr pour dcrire les modalits de mise en uvre du cadre de rfrence permettant douvrir des perspectives en termes dvolution, de transformation et de performance des entreprises. La restitution de ses travaux est organise en deux parties : 1. la premire partie propose au directeur nancier les tapes dune trajectoire dvolution qui permettent daller au-del du simple objectif de conformit rglementaire vers lamlioration de la performance par notamment des prises de risques maitrises. Cette trajectoire passe par la modlisation des processus, une meilleure connaissance des risques, puis se poursuit par la transformation des pratiques oprationnelles, pour en arriver linstauration dune dmarche de progrs continue dans lexcution des processus oprationnels. Ainsi lissue de ces transformations, le directeur nancier aura durablement install dans les pratiques du management la culture de lapproche processus associe une pratique de la prise de risques raisonne. Cette culture constitue le meilleur rempart de protection et de croissance du modle conomique de lentreprise. 2. la seconde partie est oriente mise en uvre . Elle fournit aux quipes de la direction financire qui

auront conduire la mise en uvre un package dmarche-outils qui leur permettra de construire la road-map dvolution. Ce package est compos de fiches techniques dcrivant le contenu des tapes, dune bote ides doutils et de retours dexpriences. Pour chacune des tapes nous avons associ des outils de mise en uvre issus de lexprience des membres du groupe de travail. Cette boite outils et les outils qui la composent ont surtout pour vocation, de donner des ides aux quipes qui conduisent les travaux de transformation, et devront, le cas chant, tre adapts aux spcificits de lentreprise. La monte en puissance vers la prise de risques maitriss, la performance et la robustesse du modle conomique sont organises ds la premire tape de la trajectoire pour viter quil y ait fracture entre conformit et performance. Il ressort ainsi clairement de ces travaux que, pour dpasser la connaissance des zones risques et des risques et progresser dans lamlioration de la performance, il convient dintroduire une dimension complmentaire, lapproche processus . En effet, la matrise de la modlisation des processus associe une forte culture des risques nous semble tre un facteur cl de succs dans la conduite des travaux de transformation. En installant cette dynamique, on accrot la diffusion de la culture de la dmarche processus dans des fonctions et mtiers qui ne lutilisent pas habituellement, leur permettant de conduire des amliorations sur dautres sujets comme lvolution des systmes dinformation et celle des systmes de gestion vers lABC, le Lean Management ou la mise en place dune vision transversale indpendante de lorganisation de lentreprise. Par cette dmarche, la direction financire conforte son cheminement vers le statut de business partner .

PARTIE 1 PARTIE 1

PARTIE 1

10

1.L

PARTIE 1

QUELS OBJECTIFS POUR CE LIVRE BLANC ?

accroissement des parts de march et de la cration de valeur tout en matrisant ses prises de risques et en grant son image constituent les objectifs usuels de tout entrepreneur et de toute entreprise. Laccroissement de la volatilit des situations, leurs complexits, la rapidit de raction et dadaptation auxquelles les entreprises sont confrontes, assortis dune difcult croissante matriser les technologies de linformation, provoquent une instabilit grandissante dans la dnition des stratgies et de leurs excutions oprationnelles. Les risques systmiques tant venus sajouter aux risques entrepreneuriaux, le risque fait partie de linconscient collectif, il est redout et non plus souhait et la prise de risques se doit dtre plus encadre que jamais. Ds lors, il est souhaitable, voire primordial, de donner aux entreprises un cadre permettant un retour la prise des risques matrise. Cest pourquoi le rgulateur a dvelopp, sous forme de recommandations, un cadre de rfrence, des pistes de rexions, des listes de questions essentielles destination des entreprises an de leur permettre de abiliser latteinte de ses objectifs stratgiques et oprationnels.

1.1 Les amliorations introduites dans le cadre de lAMF

Dans ce contexte, les Directives Europennes[1] ont amen le rgulateur franais, lAMF, prciser sa position en juillet 2010. Deux documents ont t rdigs par un groupe de travail. Ces documents visent dune part, linterprtation des nouvelles missions du comit daudit[2] et dautre part, la description dun dispositif de gestion des risques et son articulation avec le contrle interne[3] dans les entreprises.
1 Directives Europennes 2006/43CE transposes larticle L823-19 du code de commerce qui dnit les missions du comit daudit: ce comit est notamment en charge dassurer le suivi : du processus dlaboration de linformation nancire ; de lefcacit des systmes de contrle interne et de gestion des risques, du contrle lgal des comptes, de lindpendance des Commissaires aux comptes. 2 Rapport sur le comit daudit - AMF - Juillet 2010 3 Les dispositifs de gestion des risques et de contrle interne : cadre de rfrence - AMF - Juillet 2010

Les travaux du Groupe de place conduits en 2009-2010 avaient pour objectif de proposer et non dimposer un cadre de travail aux entreprises. Ainsi les recommandations prcisent quil sagit dune mthodologie qui doit tre adapte aux innombrables cas particuliers rsultant de lactivit, de la taille et de lorganisation des entreprises concernes . Ces travaux ont conduit proposer un certain nombre de recommandations complmentaires matrialises par les deux documents prcdemment voqus et traitant de : - Lintroduction de la gestion des risques qui a conduit adapter le cadre de rfrence de 2007, dont les volutions portent sur : les principes fondamentaux dun dispositif de gestion des risques ; larticulation de la gestion des risques et du contrle interne ; le primtre qui couvre dsormais lensemble des domaines de lentreprise et qui nest pas seulement limit au processus comptable et nancier ; lactualisation du rle des principaux acteurs ; la mise jour des deux questionnaires relatifs aux principes gnraux et au contrle interne comptable et nancier et la rdaction dun questionnaire relatif lanalyse et la matrise des risques. - Lextension des missions du comit daudit : cest ainsi notamment que le suivi de lefcacit des systmes de gestion des risques et de contrle interne est une des missions de surveillance du comit daudit. Il est rappel que les systmes de contrle interne et de gestion des risques doivent sappuyer sur un rfrentiel , celui de lAMF ou tout autre. La mise en place de ces nouvelles recommandations conduit non seulement au respect de la conformit mais ouvre la porte la prise de risques matrise, source dune rduction de la volatilit des performances et dune amlioration de la performance oprationnelle. Ces actions de transformation vont inuencer le comportement, les rexes et la pratique des oprationnels et aussi modier en profondeur la culture du risque de lentreprise. Il faut aussi avoir lesprit que ces transformations demandent des efforts importants de pdagogie et de communication qui sont habituellement sous-estims. Les principes qui y sont dvelopps xent un cadre de travail, mais lAMF na pas dvelopp de modes opratoires

11

PARTIE 1

ni de procdures de mise en uvre de sorte que chaque entreprise est certes libre mais solitaire lors de la mise en uvre du tout ou partie de ces recommandations. Sans attendre lvolution de la rglementation, de nombreuses entreprises ont dj initi ces mouvements transformant leurs pratiques, grant le changement de leur organisation et de leurs comportements. Ces entreprises ont dpass le stade de la conformit, leurs systmes de gestion des risques et de contrle interne leur permettant la fois : de mieux anticiper les risques, dallouer avec plus de pertinence leurs ressources et de confrer plus de abilit aux processus dexcution des oprations. Tout ceci devant conduire in ne scuriser durablement latteinte des objectifs de lentreprise. Cependant, la mise en place de ces changements nest pas ralise uniformment dans toutes les entreprises, lampleur des projets est diffrente de lune lautre. En effet, certaines ne disposent pas dorganisation ou de moyens spciques et devront tre cratives pour organiser la matrise des prises de risques et scuriser le modle conomique. Dautres ont dj une organisation qui traite de la gestion des risques et en assure le suivi au niveau des fonctions support que sont : la direction nancire, la direction des risques, la direction de laudit interne, la direction du contrle interne... Cette dernire organisation suscitant dautres problmatiques fonctionnelles et oprationnelles. Quel que soit ltat de maturit des dispositifs de gestion des risques et de contrle interne, le responsable de la mise en uvre de ces volutions sattachera disposer des comptences et distribuer des rles (parfois multiples) que nous prsentons ci-aprs.

nomique et de gnration des risques : ce niveau comprend chaque processus de lentreprise quil soit oprationnel, support ou transverse. Ces derniers gnrent, subissent et grent des risques plus ou moins signicatifs ; le niveau de la traduction de linformation conomique : ce niveau permet de transformer les informations conomiques en catgories de risques et en informations comptable et nancire ; le niveau de la gouvernance : ce niveau sassure que les dispositifs de production traduction et contrle fonctionnent correctement, que linformation fournie est scurise et que linformation est le reet de lactivit conomique. Nous avons positionn les diffrents acteurs qui interviennent le long de cette chane de production et de matrise de linformation sur le schma de la Figure 1 qui est prsent page 13. Comme nous lobservons sur la Figure 1, le ux dinformation, charnire entre les directions qui assurent lexcution des processus et la direction gnrale qui en reoit une traduction comptable et nancire, passe par la direction nancire qui savre tre un acteur cl du dispositif. En pratique, le directeur nancier joue un rle de pivot dans la chane de production de linformation nancire, il est lun des interlocuteurs privilgis du comit daudit. De ce fait, il est courant et lgitime que la direction nancire porte ou coordonne les projets dvolution ou de mise en place des dispositifs de gestion des risques et de contrle interne, mais aussi participe ou coordonne les projets visant lamlioration de la performance. Ceci est dautant plus vrai dans les entreprises moyennes ( mid caps ) dont la taille ne ncessite pas lexistence dune structure ddie. Mme si la direction nancire ne porte pas systmatiquement ces volutions, elle reste partie prenante aux dispositifs de gestion des risques et de contrle interne. En effet, elle est la fois porteuse et propritaire des risques nanciers et souvent implique dans lvaluation des impacts nancier/conomique des risques, ainsi que dans leur stratgie de couverture. Dans ce livre blanc, nous nous positionnons dans la situation o la direction nancire porte ces volutions.

1.2 Le panorama des acteurs

Que lentreprise dcide de se limiter la stricte conformit ou de conduire une volution oriente performance , les acteurs et leurs rles sont les mmes. Les diffrences porteront principalement sur : limplication du management oprationnel, le rattachement de la dmarche et le dimensionnement des quipes.

1.2.1 Le directeur nancier : son rle

La chane de production et de matrise de linformation nancire comporte trois niveaux : le niveau de la production de linformation co-

12

PARTIE 1

FIGURE 1

LES ACTEURS DES ACTIONS DEVOLUTION ET DE TRANSFORMATION

13

PARTIE 1

1.2.2 Le sponsor
La nomination du sponsor clairement identi et mandat, constitue lun des facteurs cls de succs pour le lancement de ce type dvolution quil soit pris sous le seul angle de la conformit ou quil soit pris sous langle de la transformation. Au-del de cette nomination, le cadrage des objectifs et du planning fait partie des prrequis sans lesquels le projet ne doit pas tre lanc. Dune manire gnrale, on observe que les projets de transformation visant modier les pratiques oprationnelles sont sponsoriss par les comits de direction.

1.2.3 Les ressources oprationnelles

Limportance des ressources mobilises va dpendre du temps que lon se donne et de leffort que lentreprise est prte consentir pour dployer les diffrentes tapes permettant datteindre les objectifs quelle sest xe. Cest lors des travaux de dimensionnement des quipes quil conviendra de mesurer le besoin de conduite du changement, reprsentant, dans certains cas, une contrainte structurante du primtre et du contenu du projet. Dans beaucoup de situations, le temps consacrer la conduite du changement est sous-estim par les quipes et constitue lune des causes dchec. Ces projets dvolution exigent une sensibilisation, au sens large, du management an quil puisse mesurer les apports et impacts des transformations qui vont tre entreprises et procde, en toute connaissance de cause, aux arbitrages qui vont ncessairement se prsenter. Le management concern est : la direction gnrale ; les responsables des processus fonctionnels ou oprationnels ; les acteurs de la matrise des risques (sils existent) : audit interne, contrle interne, qualit, assurances ; les patrons des Business Unit, des zones, des entits. Les aspects gestion de projet ne sont pas abords dans le cadre de ce livre blanc. Ces aspects ne prsentent pas de caractres particuliers.

en une opportunit damlioration de la performance, le directeur nancier dispose de nombreuses publications telles que : les rfrentiels de risques, les rfrentiels de contrles, des questionnaires dauto-valuation de nalit et granularit diverses, des cartographies des risques, des rfrentiels des processus dentreprise.mais il ne dispose pas forcment dans ses quipes de ressources qui ont la culture technique de lensemble des dimensions de ces pratiques, une exprience de la mise en uvre doprations de transformation et une exibilit sufsante de leur demploi du temps pour y consacrer le temps requis. Par ailleurs, le directeur nancier dispose dinformations internes utiles sa mission mais qui ne peuvent, le plus souvent, pas lui servir dans la conduite de son projet qui devrait dpasser le stade du respect de la conformit. Surtout, le directeur nancier ne dispose pas de trajectoires de transformation claires ni de bote outils associe qui lui permettent de baliser le terrain pour atteindre rapidement la conformit rglementaire et ensuite transformer des pratiques permettant une amlioration de la performance. Cest ce triple constat qui est lorigine des travaux du groupe de travail. Ce livre blanc a pour vocation de fournir au directeur nancier une trajectoire dvolution, une boite ides doutils et des mises en garde pour que le respect de la conformit qui est un objectif en soi, contribue galement lamlioration de la performance - via loptimisation des processus et une meilleure intgration de la matrise des risques. En dautres termes, ces transformations visent installer durablement dans les pratiques du management la culture du processus et la culture du risque qui constituent un socle incontournable du progrs continu. Le livre blanc comporte deux parties : 1. la premire partie propose au directeur nancier des tapes dune trajectoire dvolution qui permettent daller au-del du simple objectif de conformit rglementaire vers lamlioration de la performance par notamment des prises de risques maitrises. Cette trajectoire passe par la modlisation des processus, une meilleure connaissance des risques, puis se poursuit par la transformation des pratiques oprationnelles, pour en arriver linstauration dune dmarche de

1.3 Le contenu du livre blanc

Pour entreprendre et conduire la transformation dune contrainte constitue par le respect de la conformit

14

PARTIE 1

progrs continu dans lexcution des processus oprationnels. Ainsi lissue de ces transformations le directeur nancier aura durablement install dans les pratiques du management la culture de lapproche processus associe une pratique de la prise de risques raisonne. Cette culture constitue le meilleur rempart de protection du modle conomique de lentreprise. 2. la seconde partie est oriente mise en uvre . Elle fournit aux quipes de la direction nancire qui auront conduire la mise en uvre un package , dmarche-outils qui leur permettra de construire la roadmap dvolution. Ce package est compos : de ches techniques dcrivant le contenu des tapes, dune bote ides doutils et de retours dexpriences. Pour chacune des tapes, nous avons associ des outils de mise en uvre issus de lexprience des membres du groupe de travail. Cette boite outils et les outils qui la composent ont surtout pour vocation, de donner des ides aux quipes qui conduisent les travaux de transformation, et devraient, le cas chant, tre adapts aux spcicits de lentreprise. La contribution du directeur nancier la communication et la diffusion de linformation nancire dont les rgles de fonctionnement sont spciques ne sera pas aborde dans ce livre blanc.

nise de manire structure et formalise la remonte de ces menaces ainsi que leur hirarchisation. Quant au dispositif de contrle interne, il organise de manire structure et automatique la abilit de lexcution des oprations.

2.1.1 Le dispositif de gestion des risques

La dnition du risque dans le cadre de rfrence de lAMF stipule que : Le risque reprsente la possibilit quun vnement survienne et dont les consquences seraient susceptibles daffecter les personnes, les actifs, lenvironnement, les objectifs de la socit ou sa rputation. Le risque se caractrise par une ou plusieurs sources (dysfonctionnement ou facteurs de risques) et par un ou plusieurs impacts (consquences). La dnition du dispositif de gestion des risques dans le cadre de rfrence de lAMF est : La gestion des risques comprend un ensemble de moyens, de comportements, de procdures et dactions adapts aux caractristiques de chaque socit qui permet aux dirigeants de maintenir les risques un niveau acceptable pour la socit Les objectifs de la gestion des risques dnis par lAMF dans le cadre de rfrence sont : la protection de la valeur : crer et prserver la valeur, les actifs et la rputation de la socit ; la scurit de lexcution des processus : scuriser la prise de dcision et les processus de la socit pour favoriser latteinte des objectifs ; la cohrence : Favoriser la cohrence des actions avec les valeurs de la socit ; la connaissance partage des risques inhrents de lentreprise : mobiliser les collaborateurs de la socit autour dune vision commune des principaux risques et les sensibiliser aux risques inhrents leur activit. Les quatre composantes du dispositif de gestion des risques proposes par lAMF sont : 1. Les objectifs de la gestion des risques. 2. Le cadre organisationnel. 3. Le processus de gestion des risques : lidentication des risques ; lanalyse des risques ; le traitement des principaux risques.

2.

QUEL CHEMIN PRENDRE POUR LE DIRECTEUR FINANCIER ?

2.1 La matrise des risques en quelques mots

Lobjectif de lentreprise est de prendre des risques matriss - prendre des risques, certainement mais pas nimporte quel prix. Depuis toujours, tout entrepreneur, toute entreprise apprhendent et grent ses risques. Cependant, dans un contexte de globalisation, de mondialisation et de gigantisme, il est beaucoup plus compliqu pour un dirigeant de connatre son exposition aux risques et de disposer dun radar pertinent des principales menaces ou absences dopportunits. Le dispositif de gestion des risques orga-

15

PARTIE 1

4. Le pilotage du dispositif, la surveillance et la revue de la gestion des risques. En dautres termes, le dispositif de gestion des risques met en place des mcanismes qui permettent de dtecter des dysfonctionnements et de rvler par anticipation des prises de risques. Sa nalit premire est dagir en anticipation et non en protection contrairement au dispositif de contrle interne. Ce dispositif comporte trois caractristiques majeures : 1. globalit : le primtre est global, il couvre lensemble des activits, des processus et des actifs de la socit. Partant de ce postulat la gestion des risques est laffaire de tous les acteurs de la socit (oprationnels et supports), 2. dynamique : la gestion des risques est un dispositif dynamique et non statique de la socit, dni et mis en uvre sous sa responsabilit. Il volue danne en anne comme lvolution des marchs et des activits. Il doit tre ajust en fonction des volutions constates ou prvisibles, 3. gomtrie variable : la gestion des risques est un dispositif organis et adapt la taille de lentreprise. Cest un point essentiel pour adapter leffort aux enjeux et orientations prises par lentreprise.

2.1.3 Linterrelation entre ces dispositifs

Le dispositif de gestion des risques : rvle des risques inacceptables quil convient de matriser par des activits de contrles qui appartiennent ou devront appartenir au dispositif de contrle interne ; intgre des points de contrle dans son dispositif, permettant ainsi de le abiliser. Le dispositif de contrle interne : met sous contrle des risques rvls par la cartographie des risques ; intgre des points de contrle dans son dispositif, permettant ainsi de le renforcer.

2.2 Les pratiques des entreprises : quelle maturit ?

Pour clairer le directeur nancier sur la situation des entreprises concernes par ce projet, nous avons compil plusieurs enqutes ou tudes rcentes sur les thmes de la gestion des risques. Cette compilation permet de prsenter une vision de la maturit des pratiques de la gestion des risques dans les entreprises franaises, europennes ou internationales. La prsentation de synthse des pratiques et de leur maturit est dveloppe ci-dessous suivant les thmes cls du dispositif de gestion des risques propos par lAMF dans son cadre de rfrence que nous avons dcrits prcdemment dans le paragraphe 2.1.1 : (i) les objectifs de la gestion des risques, (ii) le cadre organisationnel, (iii) le processus de gestion des risques, (iv) le pilotage, la surveillance et la revue du dispositif Lensemble des informations concernant les tudes est prsent en Annexe 1 (page 149).

2.1.2 Le dispositif de contrle interne

La dnition de lAMF relative au dispositif de contrle interne est la suivante : Le contrle interne est un dispositif de la socit, dni et mis en uvre sous sa responsabilit. Il comprend un ensemble de moyens, de comportements, de procdures et dactions adapts aux caractristiques propres de chaque socit qui : Contribue la matrise de ses activits, lefcacit de ses oprations et lutilisation efciente de ses ressources, et Doit lui permettre de prendre en compte de manire approprie les risques signicatifs, quils soient oprationnels, nanciers ou de conformit. En dautres termes, le dispositif de contrle interne cherche, travers des comportements et des procdures, abiliser lexcution des oprations et linformation comptable et nancire. Sa nalit premire est dagir en protection de lentreprise et non en anticipation comme le dispositif de gestion des risques.

2.2.1 Les objectifs de la gestion des risques

Une vingtaine dobjectifs diffrents est cite dans les tudes, ce qui dmontre une certaine htrognit des attentes attribues la gestion des risques. Cependant certains objectifs reviennent rgulirement comme : identier les risques mergents ; diminuer les pertes oprationnelles ; limiter la volatilit des rsultats ; renforcer les hypothses du business plan / renforcer le processus de planication stratgique / aligner le degr dapptence au risque et la stratgie ; amliorer les ressources de lentreprise / permettre aux gestionnaires de prendre les meilleures dcisions .

16

PARTIE 1

Il ressort de ces tudes que le moteur principal dans beaucoup dentreprises est d assurer la conformit rglementaire puis de permettre datteindre les objectifs propres la matrise des prises de risques que nous avons dtaills ci-dessus. Sur la base des pratiques des membres du groupe de travail, les objectifs assigns au dispositif sont diffrents selon les rles assurs (direction gnrale, direction oprationnelle ou actionnaires). Par exemple, les attentes de la direction gnrale sont : la vision des risques critiques et leur suivi, la conformit aux lois mais galement lintroduction de la dimension risques dans les investissements futurs.

le manque de sponsoring de leur direction gnrale et le manque de ressources (nancires et humaines) sont des freins au dploiement dune dmarche de mise en place dune gestion des risques.

2.2.3 Le processus de gestion des risques

Lidentication et lanalyse des risques Plusieurs sources didentication des risques ressortent : les entretiens et la tenue dateliers avec la direction gnrale, les missions daudit interne, les indicateurs de suivis sont dterminants dans lidentication des risques. Lanalyse de risques consiste examiner les causes possibles et la probabilit doccurrence dun risque, ses consquences potentielles - (consquences nancires, humaines, juridiques, rputation) - sil se ralise et enn son degr de matrise. Ces lments permettront aux directions de dnir si le niveau rsiduel de risques est acceptable ou non pour lentreprise. Lanalyse des risques est une valuation qualitative des risques et de leurs contrles. La tenue dateliers de hirarchisation sest impose comme la pratique de rfrence au niveau europen. Partages entre la ncessit de transparence lgard des actionnaires et le refus dexposer des informations condentielles, les socits cotes sont encore peu favorables une communication dune estimation de leurs risques. Le traitement des principaux risques Les enqutes ne font que citer les moyens de traitement mis en uvre par les entreprises tels que : les procdures de contrle interne, le transfert contractuel ou nancier. Il ressort galement que, la stratgie dexternalisation ou de transfert de certaines activits porteuses de risques, plbiscite il y a quelques annes, tend diminuer. Ceci autorise les entreprises reprendre le contrle dactivits qui avaient t externalises, et ainsi diminuer leur cot de gestion des risques. Enn, le phnomne de plafonnement des prises de risques et du montant des expositions impos par les organes de gouvernance la direction gnrale et aux directions oprationnelles, semble prendre de lampleur.

2.2.2 Le cadre organisationnel

La plupart des tudes souligne que - pour que la gestion des risques soit efcace - il est ncessaire de dnir clairement les responsabilits, de partager un langage commun et de connatre les objectifs du dispositif. Ces lments sont repris dans une procdure ou politique de gestion des risques formalise. A contrario, les principaux freins lefcacit sont notamment la complexit de la mise en place et du dploiement ainsi que la rsistance au changement. Par ailleurs, la lourdeur administrative est perue ngativement dmontrant encore une approche procdurale de la gestion des risques. Le rattachement et/ou la responsabilit de la fonction de risk management restent, en rgle gnrale, rpartis entre direction nancire, direction gnrale et direction de laudit, des risques et du contrle interne. La coordination et les relations avec les autres fonctions acteurs des risques tendent samliorer. Les enqutes parlent de coordination partielle voire totale des fonctions mais galement de partenariat (et nettement moins de concurrence). Peu denqutes font mention de la documentation dune politique de gestion des risques et notamment lexplicitation du niveau de tolrance aux risques ; cependant, il semble que ce chantier sannonce comme important et dlicat pour les annes venir. Dans la majorit des cas, les socits dclarent sappuyer sur le rfrentiel AMF, seules certaines dentre elles sappuient sur le rfrentiel COSO[4]. Pour les membres du groupe de travail: leurs directions nancire et de laudit interne sont fortement impliques dans le dispositif de gestion des risques ;
4 Committee Of Sponsoring Organization of the Treadway Commission

2.2.4 Le pilotage du dispositif, la surveillance et la revue de la gestion des risques

La cartographie des risques et sa mise jour rgulire dans le temps est loutil de pilotage qui sest impos comme une pratique de rfrence au niveau europen. En France, la quasi-totalit des groupes du CAC 40 et du

17

PARTIE 1

SBF 120 dclarent disposer de cet outil. Il semble, pour les Midcaps, que seulement la moiti dentre elles ont ralis cet exercice. Nous navons pas trouv dinformations relatives la frquence dactualisation de ces cartographies. Dautres outils de reporting sont voqus - sans relle mesure de limportance de leur mise en uvre - comme : les indicateurs-cls qui permettent de prvenir et de suivre certains risques ou la performance des mcanismes de prcautions mis en place, le suivi du droulement des plans dactions comprenant dlais et activits dexcution qui sassure de la matrise interne des risques; lauto-valuation des risques et des contrles oprationnels qui permet de suivre lefcacit des plans dactions mais galement didentier les risques mergents, le suivi des incidents au niveau de certains processus : il permet de localiser les zones qui sont mal protges, et aussi au niveau de lvolution des litiges qui donnent des retours dexprience et des pistes pour corriger des prcautions en place insufsamment efcaces. Pour les membres du groupe de travail : leurs pratiques sont en ligne avec les enqutes, en revanche lidentication des dysfonctionnements et des risques nest pas opre partir des processus ou dune cartographie des processus. Ils sont identis partir des scnarios rpertoris permettant den dduire les prises de risques.

2.3.1 Les tapes de la trajectoire dvolution et de transformation

Une entreprise ne peut pas passer dun stade dabsence de gestion des risques une maturit totale dun dispositif dans un espace de temps bref. Les niveaux de maturit de dploiement de la gestion des risques tant diffrents dune entreprise une autre, chacun trouvera dans les tapes ci-dessous les lments qui lui permettront de construire sa propre trajectoire dvolution. Nous avons formalis une monte en puissance autour de six tapes. A notre sens, lobjectif ultime du dploiement dun dispositif de gestion des risques est de permettre une meilleure performance pour lentreprise, latteinte de la conformit aux recommandations du rfrentiel propos par lAMF tant obtenue ds la troisime tape. Lenchainement des tapes est prsente Figure 2 (page 19) avec la matrialisation dune itration dont nous avons x la frquence annuelle. Cette itration permet de mettre en uvre, auprs des quipes, une logique de progrs continu. Nous avons positionn une tape prparatoire (tape 0) qui est - et que nous considrons fondamentale. Cette tape traite du primtre de lvolution et/ou de la transformation et impose la xation de priorits et darbitrages. Ces dcisions peuvent conduire potentiellement exclure du primtre de travail certains mtiers, certaines zones gographiques, certaines entits /BU. Les membres du groupe de travail ayant souvent observ que, comme dans dautres domaines, cest le manque de prparation, de communication et destimation des moyens quil faudra dployer en fonction des priorits de dirigeants qui conduisent : - soit traiter le sujet comme une nouvelle contrainte rglementaire satisfaire, sans prendre le temps dexpliquer quil existe un chemin plus dynamique qui permet dinstaller une logique de progrs continu et ainsi de contribuer la transformation de lentreprise ; - soit vouloir se lancer des travaux de transformations qui vont aller lchec car la prparation des oprationnels cette approche a t mal excute notamment sur laspect de la modlisation des processus et les apports que les oprationnels peuvent en tirer au quotidien. La trajectoire dvolution qui conduit de la conformit la performance est compose de six tapes successives :

2.3 Les diffrentes tapes de la mise en uvre

Nous avons comme ambition, dans les pages qui suivent, dapporter les repres et les lments ncessaires pour que les rgles relatives la gestion des risques qui vont tre mises en place ou dont la formalisation va tre renforce soient conformes la rglementation mais permettent galement au directeur nancier, de contribuer la transformation de son entreprise, de participer des oprations doptimisation, et ainsi de transformer une contrainte en opportunit. Le balisage de cette volution est assure par six tapes, le chapitre 3.2 dtaille, sous forme dune che technique, le contenu dtaill de la mise en uvre de chacune des tapes.

18

PARTIE 1

FIGURE 2

LES ETAPES DE LEVOLUTION ET DE TRANSFORMATION

Conformit
ETAPE 0 Dimensionner le projet ETAPE 1 Connatre les zones risques ETAPE 2 Implanter un dispositif de gestion des risques ETAPE 3 Faire fonctionner un dispositif de gestion des risques efcace

Performance
ETAPE 4 Amliorer la performance des processus ETAPE 5 Optimiser le dispositif de gestion des risques

Itration Annuelle

ETAPE 0 : Dimensionner le projet dvolution/ transformation Expliciter formellement les attentes de la direction - les objectifs du dispositif de gestion des risques - en distinguant, si tel est le cas, le volet conformit du volet performance du fait des enjeux, des moyens mettre en uvre et des bnces qui sont diffrents ; Localiser et nommer un sponsor ; Dnir le primtre des activits oprationnelles et fonctionnelles qui seront comprises dans les travaux, il sera propre chacune des entreprises ; Adapter le contenu des tapes de dploiement en fonction des attentes ; Dimensionner les ressources utiles pour conduire le projet. ETAPE 1 : Connatre les zones risques Recenser les activits oprationnelles gnratrices de dysfonctionnements majeurs induisant des risques ; Identier et hirarchiser les principales zones risques qui pourraient remettre en cause latteinte des objectifs de lentreprise ; Esquisser larchitecture du dispositif de gestion des risques (positionner les diffrents lments qui vont composer le dispositif). ETAPE 2 : Implmenter un dispositif de gestion des risques Approfondir la connaissance des activits oprationnelles du primtre en afnant la modlisation des processus prpare au cours de ltape 1 ; Identier les processus qui seront considrs comme critiques ; Dnir le plan de dploiement du dispositif et le mettre en uvre ; Formaliser le contenu du dispositif au sein du cadre organisationnel : le fonctionnement, les ressources humaines,

techniques et nancires, le droulement du dispositif de gestion des risques requis pour assurer la prennit du fonctionnement. ETAPE 3 : Faire fonctionner un dispositif de gestion des risques efcace Vrier que les zones risques sont connues et que les actions de matrises sont organises ; Excuter des auto-valuations et consolider les rsultats ; Apprcier la maturit du dploiement et la pertinence des plans dactions mis en place ; Etablir et dployer des plans dactions (sur la base des rsultats des auto-valuations). ETAPE 4 : Amliorer la performance oprationnelle des processus Crer un rfrentiel des processus oprationnels et de support ; Dnir et actualiser les objectifs damliorations de lexcution des processus ; Optimiser le fonctionnement des processus et les rendre plus efcace sur le primtre dni ; Implmenter des indicateurs de mesure de la performance des processus ; Suivre priodiquement lvolution de la performance des activits des processus et le niveau dexposition aux risques. ETAPE 5 : Optimiser le dispositif de gestion des risques Simplier voire allger les processus matures et matriss an den accroitre lefcience ; Matriser la prise de risques tout en optimisant les moyens techniques, humains et nanciers ; Intgrer le dispositif de gestion des risques dans tous les projets de lentreprise.

19

PARTIE 1

2.3.2 Le cercle vertueux des tapes : la dynamique dvolution - transformation

La dynamique dvolution dont les principales tapes de transformation, dcrites dans les pages suivantes, constitue le moteur de la dmarche de progrs continue. Cette dynamique reprsente un lment incontournable de ladaptation permanente des pratiques de lentreprise aux volutions des marchs. Pour illustrer cette situation, il nous est apparu indispensable dintroduire une notion de cercle vertueux qui est prsente dans la gure 3 ci-dessous. Ce cercle vertueux correspond des changements de comportements et de pratiques oprationnelles au fur et mesure du droulement des tapes et donne naissance une nouvelle culture qui reposera sur la connaissance partage des processus oprationnels et fonctionnels de lentreprise. Pour nous, ce cercle vertueux correspond un mouvement perptuel dans lequel lentreprise est installe et qui constitue un facteur constant de progrs par une amlioration continue de la performance de ses processus. Le contenu et le primtre du cercle vertueux sadapteront au l des annes en fonction des enjeux conomiques,
FIGURE 3

des activits, des difcults rencontres, du primtre organique et des lments de march qui ne sont pas la main de lentreprise. Partager au sein de lentreprise la dynamique porte par le cercle vertueux en termes de performance et de cration de valeur est essentielle car elle permet, ds le dmarrage de lvolution, daller au-del du simple respect dune obligation rglementaire. Cette dmarche permet dinstaller, dans lesprit de tous les acteurs , la notion dopportunit pour conduire un changement ou une amlioration de la performance - tous les acteurs incluant les quipes tant du ct des oprationnels que du ct des fonctions support. Bien videmment, le contenu et lenchanement des tapes du cercle vertueux se droulent selon des modalits propres chaque entreprise. Les moyens mettre en uvre sont gomtrie variable. Les moyens seront adapts aux orientations, aux objectifs atteindre ainsi qu lambition dnie par les dirigeants. Lorsque lentreprise fera lacquisition dune nouvelle structure / activit, elle devra lintgrer au cercle vertueux et propager cette dynamique qui vise installer cette double culture constitue par lapproche processus et la gestion des risques.

LE CERCLE VERTEUX OU LA DYNAMIQUE DE LEVOLUTION ET DE TRANSFORMATION

Performance

ETAPE 5 Optimiser le dispositif de gestion des risques

ETAPE 0 Dimensionner le projet ETAPE 1 Connatre les zones risques

Conformit

ETAPE 4 Amliorer la performance des processus

ETAPE 3 Faire fonctionner un dispositif de gestion des risques efcace

ETAPE 2 Implanter un dispositif de gestion des risques

20

PARTIE 1

Primtre des tapes dvolution - transformation Un point dattention doit tre fait sur la notion de primtre des entits / liales / BU qui seront intgres ou non dans les oprations de dploiement / volution / transformation. Il convient, simplement de dnir dans le primtre ce qui est signicatif et de formaliser les rgles qui ont permis daboutir cette identication. Le primtre doit tre mis jour rgulirement (au moins une fois par an) pour tenir compte des volutions organiques, des volutions de marchs et des volutions des conditions dexcution. La rationalisation et la formalisation du primtre est indispensable notamment quand lentreprise travaille sur la conformit. Cest la prminence de la ralit conomique qui doit tre privilgie, il faudra rester vigilant ne pas laisser des liales trs loignes gographiquement ou en terme dactivits en dehors du primtre du dispositif de matrise des risques.

Les trois niveaux de modlisation qui sont utiliss sont dcrits ci-dessous. Les niveaux de modlisation des activits La connaissance des processus oprationnels et de support, ncessaire pour conduire les volutions - transformations que nous poursuivons, est structure autour des trois niveaux danalyse suivants : - Le niveau Global : il est ncessaire pour identier et localiser les zones risques. Cette reprsentation doit avoir un niveau de dtail limit dans sa reprsentation une feuille de papier de format A3. Cet espace, qui permet de reprsenter une quarantaine de processus, est sufsant pour montrer et formaliser le droulement des principales activits et des ux dinformations ncessaires leur droulement. Sur la base de cette connaissance des activits, il pourra tre identi et localis les zones risques. En fonction de limportance de lentreprise, ce niveau peut couvrir la totalit de lentreprise ou celle dune BU / Dpartement. - Le niveau Afn : il est ncessaire pour construire les dispositifs de gestion des prises de risques, et pour identier les processus qui les dclenchent. Chacune des Filiale/BU/Dpartement qui composent une entit doit disposer de cette description. Le mme rgle de formalisation sera applique quau niveau global, ainsi une limitation feuille de papier de format A3 pour chacune des Filiale/BU/ Dpartement nous semble la bonne granularit. - Le niveau Dtaill : il est indispensable pour aborder les travaux relatifs lamlioration de la performance denrichir la modlisation prcdente. La granularit dpendra du ou des mtiers des entits. A ce niveau, les activits et les rgles de gestion qui sexcutent au sein du processus sont dcrites pour permettre de faire voluer leurs pratiques dexcution et dagir pour amliorer la performance. Ces principes gnraux seront adapts en fonction des enjeux. Ainsi les niveaux de description des processus ne sera pas la mme dune BU/ Dpartement lautre. Au sein dune mme entit, on pourra ainsi rencontrer des alternances de niveau de description (global, afn, dtaill).

2.3.3 La connaissance partage du droulement des processus

Pour pouvoir identier et localiser les zones risques et organiser la prise de risques, il est important de formaliser la connaissance des processus, des activits et des informations contextuelles relatives aux entits de lentreprise ou du groupe. Cette connaissance formalise est utile plusieurs titres : elle cre une connaissance partage et un langage commun entre les oprationnels et les quipes fonctionnelles dont celles de la direction nancire ; elle permet de garder la main en fonction des objectifs et priorits dnis par les sponsors pour ne pas entrer dans un niveau de dtails superu ncessitant une mobilisation importante des ressources ; elle est ncessaire pour tendre vers lefcience des oprations ; elle introduit dans lentit la culture du processus, approche structurante pour lentit, qui sera utilise pour traiter dautres sujets comme expos ci-dessous ; Au fur et mesure quapparat le besoin daborder la performance, il est ncessaire de disposer dune connaissance de plus en plus prcise des activits des processus oprationnels et de support. Ce besoin se traduit par une description qui saffine au fil du temps.

21

PARTIE 1

Cette connaissance des processus et des activits, et rgles de gestion qui la compose, est documente par une reprsentation graphique (un modle des processus) dont le formalisme est propre la culture de lentreprise. Il ressort de la pratique des membres du groupe de travail un certain nombre dcueils viter. Il convient notamment dtre particulirement vigilant sur la granularit des descriptions. On observe en gnral des descriptions de processus qui sont beaucoup trop dtailles par rapport lobjectif recherch, cet cueil est frquemment rencontr lors de la production des modles de processus. Il constitue un handicap au dtriment de la dynamique recherche. La Figure 4 ci-dessous montre, au cours de la trajectoire dvolution en six tapes, quel moment ces descriptions doivent tre excutes.

Cette modlisation selon ces trois niveaux prsente les avantages suivants : une meilleure focalisation sur les enjeux essentiels et les processus critiques ; un effort progressif qui est dos en fonction des priorits et des choix des dirigeants ; une mesure et un contrle de leffort de mise en uvre des ressources ncessaires et des budgets ; . une approche visant la fois les objectifs de conformit et lidentication des leviers de points damlioration de la performance. Nous prsentons dans la partie Bote ides doutils (page 53) des exemples de ces Outils - Modles.

FIGURE 4

LES NIVEAUX DE MODELISATION DES ACTIVITES

ETAPE 0 Dimensionner le projet

ETAPE 1 Connatre les zones risques

ETAPE 2 Implanter un dispositif de gestion des risques

ETAPE 3 Faire fonctionner un dispositif de gestion des risques efcace

ETAPE 4 Amliorer la performance des processus

ETAPE 5 Optimiser le dispositif de gestion des risques

NIVEAU GLOBAL

Description des mtiers les principaux processus Un schma sur une feuille de taille A3 pour lensemble des mtiers de lentit Description des mtiers les principaux processus Un schma sur une feuille de taille A3 pour chacune des liales / BU / Dpartement Description dtaille des mtiers les activits des processus majeurs ou sensibles Des schmas sur une feuille de taille A4 pour chacun des processus des BU/ Dpartement

NIVEAU AFFIN

NIVEAU DTAILL

22

PARTIE 1

2.3.4 Les bnces attendus entre chaque tape

Une fois dni le contenu des diffrentes tapes ( 2.3.1), il nous est apparu indispensable de fournir des repres qui constituent les points cls dvolution et permettent den mesurer lvolution. Nous avons regroup ces repres en six thmes qui sont les suivants : les bnces attendus, les difcults / cueils, les facteurs cls de succs, le temps ncessaire, les moyens ncessaires, le Return On Invest (ROI). Pour chacune des tapes, nous avons identi des points cls de lvolution qui ont t regroups autour des 6

thmes. Ces points cls permettent de mettre en perspective les objectifs de ltape atteindre. Ces points cls vont permettre danticiper les difcults, de mettre en uvre les conditions optimales pour la russite de chacune des tapes et de dvelopper un schma de communication vis--vis des oprationnels et des autres parties prenantes la dmarche. La Figure 5 prsente ci--dessous (zoome page 24/25) prsente le contenu dtaill des diffrents thmes. Il indique en bas sur une ligne spcique le ROI de chacune des tapes. Ce tableau, issu des changes et des expriences des membres du groupe de travail, donne des repres de difcults, de bnces, de temps entre chaque tape dcrite prcdemment. Son contenu nest pas exhaustif mais donnera une vision de la conduite du changement instaurer pour franchir chaque tape.

FIGURE 5

BnficesAttendus BnficesAttendus

BnficesAttendus BnficesAttendus

BnficesAttendus BnficesAttendus

BnficesAttendus BnficesAttendus

BnficesAttendus BnficesAttendus

BnficesAttendus BnficesAttendus

Formalisationdecequel'onveut Formalisationdecequel'onveut Visionglobaleassezprcisedu Visionglobaleassezprcisedu L'architecturedescomposantsdu L'architecturedescomposantsdu entreprendre entreprendre droulementdesactivits droulementdesactivits dispositifdegestiondesrisques dispositifdegestiondesrisques Dlimitationduprimtredes Dlimitationduprimtredes Hierarchisationetlocalisationdes Hierarchisationetlocalisationdes Lamisesouscontrledesrisques Lamisesouscontrledesrisques travaux travaux risques risques

Apprciationduniveaud'efficacit Apprciationduniveaud'efficacit Rductiondesdysfonctionnements Rductiondesdysfonctionnements L'allgementdudispositifL'allgementdudispositif dudispositif dudispositif desprocessus desprocessus Lamiseenplaced'indicateurs(KPIde Lamiseenplaced'indicateurs(KPIde Amliorationdelavaleurcrepar Amliorationdelavaleurcrepar suivi) suivi) lesprocessus lesprocessus Diminutionduniveaudesrisques DiminutionduniveaudesrisquesAmliorationcomplmentairedela Amliorationcomplmentairedela performancedesprocessus performancedesprocessus

Difficults/Ecueils Difficults/Ecueils

Difficults/Ecueils Difficults/Ecueils

Difficults/Ecueils Difficults/Ecueils

Difficults/Ecueils Difficults/Ecueils

Difficults/Ecueils Difficults/Ecueils

Difficults/Ecueils Difficults/Ecueils
L'estimationducorrectniveaude L'estimationducorrectniveaude risquesmaintenir risquesmaintenir

Dsignationduoudessponsorsdes Dsignationduoudessponsorsdes Introductiondelacultureduprocess Introductiondelacultureduprocess L'obtentiondelaralitdes L'obtentiondelaralitdes travaux travaux protectionsmisesenplaceviales protectionsmisesenplaceviales questionnairesd'autovaluation questionnairesd'autovaluation Miseaupointdelagranularitdela Miseaupointdelagranularitdela Lapertinencedesplansd'actions Lapertinencedesplansd'actions descriptiondesactivitsviales descriptiondesactivitsviales relatiflamiseenplacedudispositif relatiflamiseenplacedudispositif processus processus

Laconnaissancedescotsdu Laconnaissancedescotsdu L'identificationdesactions L'identificationdesactions dispositif(ordredegrandeurducot) dispositif(ordredegrandeurducot) correctricespertinentes correctricespertinentes

Lesarbitrageseffectuersur Lesarbitrageseffectuersur l'existantpourtransformeret l'existantpourtransformeret optimiserledispositifexistant optimiserledispositifexistant

Ladfinitiond'unrfrentielde Ladfinitiond'unrfrentielde Ladfinitiondesnouveauxobjectifs Ladfinitiondesnouveauxobjectifs performancebasedelamesuredela performancebasedelamesuredela deperformance deperformance performance performance

L'intgrationdel'approcheprocessus L'intgrationdel'approcheprocessus Ladescriptiontropdtailledes Ladescriptiontropdtailledes chezlesdiffrentsintervenants chezlesdiffrentsintervenants processusimpliqus processusimpliqus

Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs

Etablissementd'unprimtrede Etablissementd'unprimtredeNominationdusponsoretlarge Nominationdusponsoretlarge L'implicationdesoprationnelsdans L'implicationdesoprationnelsdans travailpertinent travailpertinent diffusiondesesengagements diffusiondesesengagements lestravaux lestravaux Sensibilisationdesintervenants SensibilisationdesintervenantsLemonitoringrapprochdes Lemonitoringrapprochdes l'approcheprocessus l'approcheprocessus quipes quipes Dfinitionduprimtredes"activits Dfinitionduprimtredes"activits critiques" critiques" Motivationdequelquesbinmes Motivationdequelquesbinmes d'acteurs d'acteurs

Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs Facteursclsdesuccs

Lecorrectdploiementdes Lecorrectdploiementdes composantsdudispositif composantsdudispositif L'implicationetlamobilisationdes L'implicationetlamobilisationdes L'implicationduCOMEX L'implicationduCOMEX oprationnels oprationnels

Lavolontclairedumanagement(du Lavolontclairedumanagement(du Laclairedfinitiondesplansde Laclairedfinitiondesplansde L'intgrationdelaculturedurisque L'intgrationdelaculturedurisque faitduchangementdesponsor) faitduchangementdesponsor) progrsavecappropriationsans progrsavecappropriationsans danslesprojetsdel'entreprise danslesprojetsdel'entreprise ambiguitparlesoprationnels ambiguitparlesoprationnels Labonneassimilationdelaculture Labonneassimilationdelaculture duprocess duprocess

Tempsncessaire Tempsncessaire ** **

Tempsncessaire Tempsncessaire **** ****

Tempsncessaire Tempsncessaire *** ***

Tempsncessaire Tempsncessaire **** ****

Tempsncessaire Tempsncessaire *** ***

Tempsncessaire Tempsncessaire *** ***

Moyensncessaires Moyensncessaires

Moyensncessaires Moyensncessaires

Moyensncessaires Moyensncessaires
LesresponsablesdesBU/ LesresponsablesdesBU/ Dpartements Dpartements

Moyensncessaires Moyensncessaires

Moyensncessaires Moyensncessaires

Moyensncessaires Moyensncessaires

LaDirectionfinancire,ladirection LaDirectionfinancire,ladirection LesresponsablesdesBU/ LesresponsablesdesBU/ del'auditetladirectiondesrisques del'auditetladirectiondesrisques Dpartements Dpartements

Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels desBU/Dpartements desBU/Dpartements desBU/Dpartements desBU/Dpartements desBU/Dpartements desBU/Dpartements

ROI

ROI

23

PARTIE 1

FIGURE 5

LES CARACTERISTIQUES DU PASSAGE ENTRE LES DIFFERENTES ETAPES

BnficesAttendus
Formalisationdecequel'onveut entreprendre Dlimitationduprimtredes travaux

BnficesAttendus
Visionglobaleassezprcisedu droulementdesactivits Hierarchisationetlocalisationdes risques

BnficesAttendus
L'architecturedescomposantsdu dispositifdegestiondesrisques Lamisesouscontrledesrisques

Difficults/Ecueils
Dsignationduoudessponsorsdes travaux

Difficults/Ecueils
Introductiondelacultureduprocess

Difficults/Ecueils
L'obtentiondelaralitdes protectionsmisesenplaceviales questionnairesd'autovaluation Lapertinencedesplansd'actions relatiflamiseenplacedudispositif

ETAPE 0
DIMENSIONNER LE PROJET

ETAPE 1
CONNATRE LES ZONES RISQUES

Miseaupointdelagranularitdela descriptiondesactivitsviales processus

ETAPE 2
IMPLANTER UN DISPOSITIF DE GESTION DES

Facteursclsdesuccs
Etablissementd'unprimtrede travailpertinent

Facteursclsdesuccs
Nominationdusponsoretlarge diffusiondesesengagements Sensibilisationdesintervenants l'approcheprocessus Dfinitionduprimtredes"activits critiques" Motivationdequelquesbinmes d'acteurs

RISQUES

Facteursclsdesuccs
L'implicationdesoprationnelsdans lestravaux Lemonitoringrapprochdes quipes

Tempsncessaire ** Moyensncessaires
LaDirectionfinancire,ladirection del'auditetladirectiondesrisques

Tempsncessaire **** Moyensncessaires

LesresponsablesdesBU/ Dpartements

Tempsncessaire *** Moyensncessaires

LesresponsablesdesBU/ Dpartements

ROI

24

PARTIE 1

BnficesAttendus
Apprciationduniveaud'efficacit dudispositif Lamiseenplaced'indicateurs(KPIde suivi)

BnficesAttendus
Rductiondesdysfonctionnements desprocessus Amliorationdelavaleurcrepar lesprocessus Diminutionduniveaudesrisques

BnficesAttendus
L'allgementdudispositif

Amliorationcomplmentairedela performancedesprocessus

Difficults/Ecueils
Laconnaissancedescotsdu dispositif(ordredegrandeurducot)

Difficults/Ecueils
L'identificationdesactions correctricespertinentes

Difficults/Ecueils
L'estimationducorrectniveaude risquesmaintenir

ETAPE 3
FAIRE FONCTIONNER UN DISPOSITIF DE GESTIONS DES RISQUES EFFICACE

Lesarbitrageseffectuersur l'existantpourtransformeret optimiserledispositifexistant

ETAPE 4

Ladfinitiond'unrfrentielde performancebasedelamesuredela performance

ETAPE 5
OPTIMISER LE DISPOSITIF DE GESTION DES

Ladfinitiondesnouveauxobjectifs deperformance

L'intgrationdel'approcheprocessus AMLIORER LA Ladescriptiontropdtailledes chezlesdiffrentsintervenants PERFORMANCE processusimpliqus

DES

Facteursclsdesuccs
Lecorrectdploiementdes composantsdudispositif Lavolontclairedumanagement(du faitduchangementdesponsor) Labonneassimilationdelaculture duprocess

PROCESSUS

Facteursclsdesuccs
L'implicationetlamobilisationdes oprationnels Laclairedfinitiondesplansde progrsavecappropriationsans ambiguitparlesoprationnels

RISQUES

Facteursclsdesuccs
L'implicationduCOMEX

L'intgrationdelaculturedurisque danslesprojetsdel'entreprise

Tempsncessaire **** Moyensncessaires

Lesresponsablesetoprationnels desBU/Dpartements

Tempsncessaire *** Moyensncessaires

Lesresponsablesetoprationnels desBU/Dpartements

Tempsncessaire *** Moyensncessaires

Lesresponsablesetoprationnels desBU/Dpartements

25

PARTIE 1

2.3.5 Le rapprochement - Contenu des tapes - Contenu du rfrentiel AMF

La trajectoire dvolution du dispositif de gestion des risques que nous venons de prsenter comporte plusieurs tapes qui permettent de passer du respect de la conformit rglementaire lamlioration de la performance. Le contenu de ces volutions est dcrit dans les ches techniques, prsentes en Partie 2, qui prcise les diffrentes tches mettre en uvre. Ces ches techniques constituent une forme de guide de mise en uvre de la dimension risques qui a t intgr en juillet 2010 dans le cadre de rfrence de lAMF. Nous avons formalis cette contribution en laborant la Figure 6 qui prsente sous forme dune matrice le rapprochement entre le contenu des diffrentes tapes que vous avons dnies et les quatre composants constituant le cadre de rfrence. Vous trouverez, sous la matrice, quelques commentaires. Ltape 0 na pas t reprise car

il sagit de travaux prparatoires orients organisation du projet et non une tape technique proprement parler. On peut observer que lefcacit dun dispositif de gestion des risques (couleur orange sur la Figure 6) est atteinte aprs avoir mis en place le contenu de ltape 1, de ltape 2 et de ltape 3. Nous insistons sur le contenu de ltape 1, en gnral mal ou peu formalise, qui vise dnir les activits gnratrices de zones risques. Cette tape prparatoire est lun des facteurs cls de la russite de cette volution. Comme nous lavons indiqu prcdemment, la dnition du primtre des activits et du primtre organique (les entits/Filiales/BU) qui entreront dans les travaux dvolution permet de dimensionner lampleur des dispositifs. Enn, il est indispensable de ractualiser annuellement le primtre des activits et des structures organiques sur la base des volutions rencontres.

FIGURE 6

DEPLOIEMENT DU CADRE DE REFERENCE PAR ETAPES

ETAPE 1 Connatre les zones risques ETAPE 2 Implmenter un dispositif de gestion des risques ETAPE 3 Faire fonctionner un dispositif de gestion des risques efcace ETAPE 4 Amliorer la performance des processus ETAPE 5 Optimiser le dispositif de gestion des risques

Cadre organisationnel

Objectifs du dispositif

Identication

Processus

Analyse

Traitement

Pilotage

Lgende

N/A

Prparation/ initiation

Efcacit

Prparation/ amlioration

Efcience

Primtre entreprise

Partiel

Partiel

Total

Partiel

Total

26

PARTIE 1

On peut observer que lefcience dun dispositif de gestion des risques (couleur verte sur la Figure 6) est atteinte aprs avoir mise en place les tapes 4 et 5. Nous insistons sur le contenu de ltape 4 dont lobjet est de travailler sur lamlioration de la performance base sur la connaissance approfondie des activits des processus majeurs de lentreprise et de leur robustesse lors de leur excution. Une fois acquis ce niveau de maturit, il est alors possible dentreprendre un travail sur lefcience du dispositif de gestion des risques. Ce dispositif sera adapt (allg ou renforc) sur la base des travaux damlioration de la performance des processus mis en uvre dans le cadre des travaux de ltape 4. Nous voyons ainsi que les tapes que nous dcrivons constituent un guide mis en uvre du cadre de rfrence de lAMF publi en juillet 2010 introduisant la gestion des risques.

2.4.2 La mise en place de lapproche processus

Lintroduction de la culture de lapproche processus et son intgration dans les pratiques des oprationnels est essentielle car elle va permettre de travailler autrement et de disposer dun levier permettant la ralisation permanente de progrs dans lexcution des activits composants les processus. Comme nous lavons indiqu prcdemment la mise en place de cette culture chez les oprationnels va permettre de lutiliser pour progresser dans dautres situations et sur dautres sujets.

2.4.3 La cration dune valeur ajoute la n de chaque tape

Le dcoupage propos permet de crer en permanence de la valeur ajoute dans lvolution. Cette cration de valeur ajoute constitue le moteur de la dynamique dvolution. En effet, la mise en uvre dun dispositif repose pour beaucoup sur les responsables et les dirigeants de lentreprise. Considr dans les premiers temps comme une conformit rglementaire, les oprationnels sont peu enclins consacrer du temps des entretiens, des ateliers sils ny trouvent pas leur intrt dans lamlioration de la gestion oprationnelle qui constitue leur quotidien. Pour le responsable de la mise en uvre, il est primordial de xer et de mesurer la n de chaque tape la valeur ajoute apporte.

2.4 Les facteurs cls de succs de la mise en uvre

Nous avons retenu quatre facteurs cls de succs : Lidentication et la localisation des zones risques et des activits critiques qui gnrent les risques ; La mise en place de lapproche processus dont les apports/bnces sont partags par tous ; La cration dune valeur ajoute la n de chaque tape ; La mise en place dune politique de communication.

2.4.4 Une politique de communication

La mise en place dune politique de communication est indispensable. Ces actions de communication doivent inscrire dans lADN de tous les acteurs que la culture du risque et la culture de lapproche processus sont complmentaires et ncessaires pour conduire cette trajectoire de progrs. Ces actions contribueront crer la culture recherche o tous les acteurs intgreront limportance de la prise de risques matrise, utiliseront le mme langage, les mmes chelles dimpact et doccurrence, et auront la mme perception des limites ne pas franchir en matire de prises de risques.

2.4.1 Lidentication et la localisation des zones risques

Il est important, que lobjectif poursuivi soit la conformit ou lamlioration de la performance, dentreprendre cette (ou ces) volution(s) par lidentication et la localisation dun lien entre les processus les plus critiques en terme dinuence sur lexcution de la stratgie dentreprise et la localisation des principales zones risques. Cest la ralisation des tapes 1 et 2 qui permet notamment de crer ce lien.

27

PARTIE 1

Lobjectif de cette premire partie tait de montrer que latteinte de la conformit en termes de gestion des risques nest pas une n en soi mais doit tre considre comme un passage vers lamlioration dans lexcution oprationnelle et la robustesse du modle conomique de lentit. Ces travaux demandent une prparation et une communication soigne pour que les oprationnels y trouvent un apport et contribuent leur russite, base de la mise en place dune dynamique de progrs continu. Enn, au plan conomique, ces travaux constituent un investissement dont le ROI est compris entre 6 et 16 mois selon la complexit de la situation. Une fois pos le contenu de la trajectoire dvolution, nous allons, dans la deuxime partie, dcrire les travaux mettre en uvre pour franchir les diffrentes tapes constituant cette trajectoire dvolution. Le contenu des travaux de mise en uvre de chacune des tapes sont dcrits dans les ches techniques. Pour faciliter cette mise en uvre, les membres du groupe de travail ont labor une boite ides doutils. Ces outils ont une valeur dexemple et sont adapter ou faire voluer en fonction de la situation rencontre.

28

ANNEXES
ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LE PERIMETRE DES ETUDES ET DES ENQUETES SELECTIONNEES . . . . . . . . . . . . . . . . . . . . . . . . . . . . POINTS SAILLANTS DES PRATIQUES DE PLACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LES PRATIQUES DE PLACE SELON LES THEMES DU CADRE DE REFERENCE DE LAMF . . . . . . . . . . . . . . . . La dnition de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les objectifs de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre organisationnel de la gestion des risques : organisation et responsabilit . . . . . . . . . . . . . . . . Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilotage du dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ANNEXE 2 : BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EN FRANCE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loi de Scurit Financire (2003, 2005 et 2008) : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.2 Ordonnance du 8 dcembre 2008 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.3 Le cadre de rfrence de lAMF 2010 publication juillet 2010 . . . . . . . . . . . . . . . . . . . . . . . 6.1.4 Les documents de rfrence des socits cotes dposs sur le site de lAMF. . . . . . . . . . . . . . . . 6.1.5 Ministre du budget demande une cartographie des risques tous les grands oprateurs de lEtat ; Dcembre 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.6 Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext : . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.7 Travaux de lIFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.8 Travaux de lIFACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 EN EUROPE ET DANS LE RESTE DU MONDE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . 6.2.1 SOX Juillet 2002 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2 Allemagne, Angleterre, Pays-Bas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 CERCLE DES JURISTES : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 DOCUMENT EUROPEANISSUERS :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 DOCUMENTS AMRAE RELATIFS AU COMITE DAUDIT :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 LES REFERENTIELS SPECIFIQUES METIERS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6
. . . . . . . . . . . . . . . .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 . . . . . . . . . . .

PARTIE 2 PARTIE 1

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

6 6 6 6 6 6 6 6 6 6 6

PARTIE 2

30

PARTIE 2

1. A

MISE EN UVRE DE LINTEGRATION DE LA MAITRISE DES RISQUES ET DE LAMELIORATION DE LA PERFORMANCE : LES ETAPES ET LES FAMILLES DOUTILS

1.1.3 Lefcicience
Lefcience mesure latteinte dun rsultat au regard des ressources consommes. La recherche de lefcience ne peut intervenir que lorsque que lefcacit est atteinte. tre efcient, cest faire une bonne utilisation des ressources humaines, informationnelles, matrielles et nancires. En dautres mots, cest faire les choses de la bonne faon avec des moyens optimiss. Lefcience est la recherche et latteinte des objectifs avec des moyens de mise en uvre qui sont en permanence optimiss. Lefcience, issue du mot efciency, ne doit pas se confondre avec lefcacit (effectivness).

vant daborder les modalits pratiques du dploiement du dispositif, nous avons souhait introduire quelques dnitions sur des notions frquemment utilises et dont le contenu peut tre diffrent dun praticien lautre.

1.1.4 La performance
La performance, dans le monde de la gestion, est le rsultat ultime de lensemble des efforts dune entreprise ou dune organisation. Ces efforts consistent faire les bonnes choses, de la bonne faon, rapidement, au bon moment, au moindre cot, pour produire les bons rsultats rpondant aux besoins et aux atteintes des clients et plus gnralement des parties prenantes de lentreprise et atteindre les objectifs xs par lorganisation.

1.1 Quelques dnitions 1.1.1 La conformit

La conformit en termes juridiques peut se dnir comme un ensemble dactions visant rendre les mesures comme le comportement des dirigeants et du personnel au sein dorganismes publics ou privs (associations, entreprises, syndicats, etc.) comme vis--vis de tiers conformes la norme externe et/ou interne applicable au lieu o ils oprent . La conformit ou compliance dans le monde de la nance, est utilise pour dsigner le respect des dispositions lgislatives et rglementaires propres aux activits, le respect la fois des normes professionnelles et dontologiques, des orientations de lorgane dlibrant et des instructions de lorgane excutif. Cest lun des objectifs du dispositif de contrle interne de lAMF Le dispositif vise plus particulirement assurer : la conformit aux lois et rglements ; .

1.1.5 La dure
La dure correspond lhorizon de temps que lon se xe pour atteindre un objectif ou un rsultat.

1.2 Les tapes dvolution et de transformation

Comme nous lavons dni prcdemment, la trajectoire qui conduit de la conformit la performance est compose de six tapes : Etape 0 : Dimensionner le projet dvolution Etape 1 : Connatre les zones risques Etape 2 : Implanter un dispositif de gestion des risques Etape 3 : Faire fonctionner un dispositif de gestion des risques efcace Etape 4 : Amliorer la performance des processus Etape 5 : Optimiser le dispositif de gestion des risques Dans ce livre blanc spciquement destination des ETI, nous formulons lhypothse que la mise en uvre et le dploiement du dispositif de gestion des risques est sous la responsabilit de la direction nancire. Limplication et lappui des managers oprationnels seront grandissants au fur et mesure du franchissement des tapes.

1.1.2 Lefcacit
Lefcacit est la capacit datteindre un objectif ou un but. tre efcace, cest produire les rsultats escompts et raliser les objectifs xs dans les domaines de la qualit, de la rapidit et des cots. Lefcacit est une mesure de rsultat ou datteinte dun objectif. En dautres termes, cest la robustesse dans leur excution qui rend un processus efcace. Aucun dysfonctionnement important nintervient lors de lexcution, qui atteint alors un niveau de stabilit qui permet de dire quil est efcace. Lefcacit (effectivness) ne doit pas tre confondue avec lefcience (efciency).

31

PARTIE 2

FIGURE 2

LES ETAPES DE LEVOLUTION - TRANSFORMATION

Conformit
ETAPE 0 Dimensionner le projet ETAPE 1 Connatre les zones risques ETAPE 2 Implanter un dispositif de gestion des risques ETAPE 3 Faire fonctionner un dispositif des gestions des risques efcace

Performance
ETAPE 4 Amliorer la performance des processus ETAPE 5 Optimiser le dispositif de gestion des risques

Itration Annuelle

En fonction de la culture du risque de lentreprise, de la feuille de route du dirigeant, des besoins de la gouvernance, litration du dispositif peut tre semestrielle, annuelle, bi-annuelle La mise en uvre et le dploiement des diffrentes tapes du dispositif seront plus ou moins rapides en fonction du primtre des activits concernes. Comme nous lavons expos prcdemment, lentreprise sattellera dployer la gestion des risques sur les primtres critiques, les entits risques ou encore les zones exposes avant de couvrir lensemble du primtre du groupe - conformment aux recommandations de lAMF. Les tapes dcrites ci-dessous ainsi que les ches techniques jointes vous permettront de disposer dune feuille de route, dune mthode issue du terrain pour dployer pragmatiquement et efcacement votre gestion des risques et ensuite dans une logique de progrs continue poursuivre vers lamlioration de la performance.

il sera propre chacune des entreprises et dni en fonction du contexte ; Adapter le contenu des tapes de dploiement la commande du management ; Dimensionner les ressources utiles pour conduire le projet. Le travail de cadrage avec la direction et le (ou les) sponsor(s) est indispensable car il va positionner le projet relativement aux autres projets et surtout va en xer les attentes, les apports et le primtre.

Le livrable
Le livrable comporte notamment les points suivants : Les enjeux conomiques de cette volution/transformation : en pratique les principaux chiffres (CA, Rex) par ligne de produits/marchs/pays. Ils seront ensuite repris de faon dtaille lors de ltape 1 (page suivante). Les attentes et les apports pour la direction et les oprationnels qui vont devenir les objectifs atteindre, Les grands jalons de lvolution et le calendrier de la mise en place du dispositif de gestion des risques, Le positionnement du projet par rapport aux autres projets de transformation pour viter doublons et mauvaise coordination dans le temps avec les autres projets sur des sujets connexes, Le rle du sponsor notamment sur les points qui vont ncessiter arbitrage.

1.2.1 Etape 0 : Dimensionner le projet dvolution

Les objectifs
Expliciter formellement la commande de la direction les objectifs du dispositif de gestion des risques - en distinguant, le cas chant, le volet conformit du volet performance en fonction des enjeux, des moyens mettre en uvre et des bnces qui sont diffrents ; Localiser et nommer un sponsor ; Dnir le primtre des activits oprationnelles et fonctionnelles qui seront comprises dans les travaux,

32

PARTIE 2

Les tapes dvolution et de transformation sont prsentes et dtailles dans les pages suivantes Etape 1 : Connatre les zones risques Etape 2 : Implanter un dispositif de gestion des risques Etape 3 : Faire fonctionner un dispositif de gestion des risques efcace Etape 4 : Amliorer la performance des processus Etape 5 : Optimiser le dispositif de gestion des risques

Etape 1 (page 35)

ETAPE 1 CONNAITRE LES ZONES A RISQUES - Recenser les activits oprationnelles gnratrices de dysfonctionnements majeurs induisant des risques ; - Identier et hirarchiser les principales zones risques qui pourraient remettre en cause latteinte des objectifs de lentreprise ; - Esquisser larchitecture du dispositif de gestion des risques (positionner les diffrents lments qui vont composer le dispositif). 1 - OBJECTIFS

Etape 2 (page 37)

ETAPE 2 IMPLEMENTER UN DISPOSITIF DE GESTION DES RISQUES
- Approfondir la connaissance des activits oprationnelles du primtre en afnant la modlisation des processus prpare au cours de ltape 1 ; - Identier les processus qui seront considrs comme critiques ; - Dnir le plan de dploiement du dispositif et le mettre en uvre ; - Formaliser le contenu du dispositif au sein du cadre organisationnel : le fonctionnement, les ressources humaines, techniques et nancires, le droulement du dispositif de gestion des risques requis pour assurer la prennit du fonctionnement.

2 - PRE-REQUIS

- Disposer du document de cadrage formalis lors de ltape 0, avec la description de lobjectif immdiat (la conformit), et de lobjectif un horizon court terme (performance). Ce document de cadrage doit galement comprendre une indication du primtre couvrir (en terme dactivits oprationnelles, de zones gographiques, dorganisation ou entits,) et des enjeux matriser. - Connatre les mtiers, les activits, les produits, les marchs et la stratgie associe de lentreprise et les modalits de sa mise en uvre. - Rpertorier les dispositifs de matrise existants: dispositifs de contrle interne et de gestion de risques, et historique de leur implantation. - Apprcier le niveau de culture du risque du ou des entits.

1 - OBJECTIFS

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

- Formaliser les lments caractristiques de la stratgie de dveloppement et de la mise en oeuvre du plan daffaires de lentreprise. - Formaliser une cartographie des processus pour lensemble des activits (vue globale dhlicoptre : une feuille de papier de dimension A3 par branche ou division). Le primtre peut tre variable en fonction de lobjectif. - Localiser les dysfonctionnements rcurrents sur le schma de description des processus. Ces dysfonctionnements remettent en cause le bon droulement des processus et peuvent tre des facteurs de risques. - Identier les zones risques qui pourraient entraver la ralisation du budget et du plan daffaires/business plan issu de la stratgie de lentreprise. - Valoriser les impacts potentiels des zones risques de lentreprise an de les hirarchiser, de leur donner un ordre dimportance. - Recenser les dispositifs de matrise existants dans lentreprise : gouvernance, charte de fonctionnement, environnement de contrle, procdure, rapports daudit, qualit...

2 - PRE-REQUIS

- Avoir rassembl et synthtis lexistant en matire de : (i) objectifs stratgiques et oprationnels de lentit, (ii) reprsentation activitsmtiers/units/processus, (iii) documentation des procdures de gestion des risques et de contrle interne, (iv) modle conomique de lentit, (v) reprsentation de lorganisation gnrale de lentit. - Disposer dune vision formalise et documente (vue globale dhlicoptre ) des zones de risques (et des dysfonctionnements avrs) au regard du modle conomique et des processus de lorganisation. (la vocation du modle conomique est didentier les enjeux nanciers lis aux dysfonctionnements/risques des processus, lentit pourra ainsi identier les processus qui seront considres comme critiques ). - Avoir identi et conrm un ou plusieurs sponsors. - Avoir dcid du rfrentiel (AMF, COSO II, ISO) sur lequel lentit va sappuyer lors de la construction du dispositif.

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

- Business model : caractristiques et enjeux par mtier & activits sur la ou les entits. - Plan stratgique & business models 3 / 5 ans sur la ou les entits. - Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux : ENTITE - BU - Fonction Support - DAF. - Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/ zones risques

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

=> Recensement des principales zones risques de la ou des entits gnres par les activits oprationnelles et de support Formalisation possible du livrable de ltape 1 :

5 - LIVRABLE

- Chapitre 1 : prsentation des activits - des couples produits - marchs - des axes de dveloppement - des axes de dsengagements de ou des entits. - Chapitre 2 : prsentation des enjeux nanciers issus des caractristiques des activits et du modle conomique. - Chapitre 3 : la cartographie globale des activits et des zones de risques : les dysfonctionnements majeurs seront localiss sur cette cartographie. Cest une vue globale hlicoptre des activits dont le dcoupage est propre lentit. Pour des entits moyennes la reprsentation est assure sur une feuille de papier de dimension A3 (420 x 297 mm). - Chapitre 4 : la synthse des dispositifs existants et une esquisse des dispositifs mettre en place.

- Dnir le primtre couvert par le dispositif (Entits, Activits/Mtiers, Processus). - Dnir les attentes du dispositif : cest--dire les objectifs recherchs par lorganisation et les apports potentiels du dispositif pour les diffrents acteurs (i.e. ce quils peuvent en attendre en plus du simple respect de la rglementation/recommandations). - Dnir les fonctions (i.e. acteurs) qui vont participer activement la vie du dispositif, ainsi que leurs rles respectifs. Identier les facteurs cls favorisant ladhsion des acteurs et la prennisation du dispositif. - Afner la vision documente des processus qui sera reprise dans le cadre de lexercice de cartographie des risques; - Dnir la mthodologie de cartographie des risques et les outils associs : dmarche top-down/bottum-up, chelles, entretiens / ateliers, univers des risques - Drouler la mthodologie et produire une premire cartographie des risques (la cartographie des risques est dnie ici comme une analyse et une hirachisation des risques de lorganisation). La prsenter / valider auprs de la direction qui dcide de linacceptabilit de certains risques (la prise de risque est considre comme trop leve et doit tre contenue/rduite) les risques sont considrs comme majeurs ou critiques. Des plans dactions seront labors immdiatement sur les risques majeurs (non couverts par un mcanisme de protection existant). - Adosser / localiser les risques majeurs au sein des processus qui deviennent ds lors critiques . Cette attribution se fera en dsignant le responsable du processus comme propritaire du risque et de son plan de matrise (cette association va permettre de constituer une matrice des processus et des risques). - Documenter larchitecture des diffrentes composantes du dispositif (notamment les processus didentication, danalyse, de traitement et de suivi des risques, ainsi que les outils et les forums cls), et le cadre organisationnel. La composante pilotage du dispositif peut dj tre aborde ce stade, mais en ralit elle sera prcise et arrte dans ltape 3. - Elaborer un plan de dploiement pour mettre en uvre le dispositif de faon progressive (dnition dun phasing des oprations). NB : le sponsor et lquipe projet ont t dnis au cours de ltape 0, bien videmement des contraintes nouvelles peuvent venir le modier. - Lancer et raliser le dploiement. - Suivre le correct droulement du dploiement et le respect du planning et des objectifs. Corriger les anomalies/dysfonctionnements le cas chant.

Etape 5 (page 43)

ETAPE 5 OPTIMISER LE DISPOSITIF DE GESTION DES RISQUES - Simplier voire allger les processus matures et matriss an den accroitre lefcience, - Matriser la prise de risques tout en optimisant les moyens techniques, humains et nanciers ; - Intgrer le dispositif de gestion des risques dans tous les projets de lentreprise ; 1 - OBJECTIFS

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

- Univers des risques afn. - Mthodologie de cartographie des risques (guide dentretien, che de risque, chelles de hirarchisation ou dvaluation des risques, plans dactions). Chacun de ces composants constitue un outil qui est prsent dans le chapitre relatif la boite ides doutils. - Matrices des Processus et des Risques : chaque processus ont t rattachs un certain nombre de risques (le niveau de prcision de ces matrices dpend de la granularit attendue par lorganisation). - Premire Cartographie des risques. - Plan de dploiement du dispositif de gestion des risques.

=> Installation et Mise en fonctionnement du dispositif de gestion des risques Formalisation possible du livrable de ltape 2 : 2 - PRE-REQUIS
- Chapitre 1 : les risques majeurs issus de la cartographie des risques (y compris les actions de matrise/traitement dnies le cas chant). - Chapitre 2 : les processus critiques : ces processus sont dduits de la matrice Processus/Risques qui fait partie des outils prsents. - Chapitre 3 : la description du dispositif cible visant protger les processus critiques (qui comprend notamment larchitecture des diffrents composants) - cela dpasse largement lorganisation qui nest quune des composantes du dispositif. - Chapitre 4 : une premire esquisse de la politique de gestion des risques; lensemble des risques considrs comme inacceptables par la direction constitue la premire politique de gestion des risques. Des plans dactions / de matrise sont dnis et dploys pour rduire/transfrer/supprimer le risque.

- Avoir atteint lefcacit du dispositif, mise en vidence par une valuation interne et/ou externe avec pilotage de plans daction (orients conformit ). - Disposer dun rfrentiel de process et dun rfrentiel de risques. - Les sponsors maintiennent le momentum (pas de remise en cause de lefcacit) mais demandent une optimisation. - Evaluer le cot du dispositif de gestion des risques pendant sa phase projet et aujourdhui dans sa phase prenne : cots internes (temps ddi par les contributeurs, outils mis en place, ) et cots externes daccompagnement. - Dnir des indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombre de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre reportings mis en place et temps ncessaire pour les produire, ) (iii) mesurer les rsultats: au niveau de la performance et de lefcacit. - Revoir les risques et leur niveau de criticit (pralablement dnis au cours des tapes prcdentes) et actualiser les couples Process / Risques (revue au cours de ltape 3). Cette revue permet de traduire les points damlioration de la performance qui ont t obtenus suite ltape prcdente. De facto les points damlioration sont localiss et seront pris en compte lors des plans dactions visant rechercher une meilleure efcicence. - Revoir la pertinence des arbitrages Risques / Assurances / Contrle interne (ceux effectus au cours de ltape 2). - Identier, avec les responsables de processus, pour les processus qui ont fait lobjet, lors de ltape 4, de simplication ou de transformation, les actions de simplication des actions de matrise qui peuvent tre mises en place : cot mtier - cot application informatique. - Localiser les contrles embarqus dans les applications et vrier sils ne sont pas en doublon avec des contrles mtiers . - Revoir le cadre organisationnel (celui mis en place lors de ltape 2) et lactualiser. - Actualiser / Optimiser / Simplier les dispositifs de gestion des Risques (et les contrles associs) et ce dans le cadre dune dmarche intgre de type GRC.

5 - LIVRABLE

Etape 3 (page 39)

ETAPE 3 FAIRE FONCTIONNER UN DISPOSITIF DE GESTION DES RISQUES EFFICACE - Vrier que les zones risques sont connues et que les actions de matrises sont organises ; - Excuter des auto-valuations et consolider les rsultats ; - Apprcier la maturit du dploiement et la pertinence des plans dactions mis en place ; - Etablir et dployer des plans dactions (sur la base des rsultats des auto-valuations) 1 - OBJECTIFS

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

Etape 4 (page 41)

ETAPE 4 AMELIORER LA PERFORMANCE DES PROCESSUS - Crer un rfrentiel des processus oprationnels et de support ; - Dnir et actualiser les objectifs damliorations de lexcution des processus ; - Optimiser le fonctionnement des processus et les rendre plus efcace sur le primtre dni ; - Implmenter des indicateurs de mesure de la performance des processus ; - Suivre priodiquement lvolution de la performance des activits des processus et le niveau dexposition aux risques. 4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables) 1 - OBJECTIFS

2 - PRE-REQUIS

- Disposer dun cadre organisationnel (1re composante) prcisant notamment les rles et responsabilits des acteurs, la politique de gestion des risques ainsi que le systme dinformation qui permet la diffusion en interne de linformation relative aux risques. - Disposer dun processus de gestion des risques (2me composante) comprenant les tapes didentication, danalyse et de traitement des risques. - Disposer dune bauche du pilotage ou monitoring en continu du dispositif (3me composante). - Prciser et arrter les constituants de la composante pilotage du dispositif (esquisse ltape prcdente) de manire pouvoir mettre en vidence les carts par rapport aux exigences de la rglementation et aux recommandations du rfrentiel retenu (conformit) et aux objectifs atteindre (efcacit). Les attentes vis--vis de lauto-valuation et des revues seront notamment prcises. Les rles et responsabilits des acteurs participant cette composante seront en cohrence avec ceux dnis dans le cadre organisationnel (1re composante) et afns si ncessaire. - Actualiser rgulirement (selon une frquence dnir) les couples (matrices) Process-Risques notamment par lanalyse des dysfonctionnements qui sont intervenus au cours de la priode (3 mois, 6 mois, 12 mois) et remettre jour les processus critiques (ceux qui sont impacts par les risques majeurs). - Construire et proposer des plans dactions avec le propritaire de risques en prenant en compte le cot de la mise en uvre et la rduction escompte. Faciliter la discussion entre tous les acteurs de la matrise des risques. - Adosser des indicateurs de performance aux sources / facteurs de risques an de dtecter la ralisation de ces derniers. - Mettre en uvre les questionnaires dauto-valuations incluant le volet gestion des risques. La mise en uvre de ces questionnaires dauto-valuation doit tenir compte de la culture de lorganisation, de ses caractristiques et du degr de sensibilisation du personnel. Lquipe projet intgrera des oprationnels pour laborer ces questionnaires qui se focaliseront sur les enjeux de lorganisation; Si ncessaire, un test sur une entit pilote volontaire sera effectu avant gnralisation; la dmarche pourra tre accompagne sur le terrain par lquipe projet ou des relais pralablement forms. En rythme de croisire, ces campagnes dauto-valuation seront lances rgulirement selon une frquence dnir (annuelle ?) dans le cadre dune organisation prenne, le contenu des questionnaires tant actualis. - Dnir puis mettre en uvre les plans dactions destins pallier les faiblesses mises en vidence par les auto-valuations. - Suivre le droulement de ces plans dactions. - Baser les plans daudit et leurs objectifs sur les risques majeurs et les processus critiques . - Raliser les audits et formaliser les rsultats (y compris la revue des questionnaires dauto-valuation remplis par les entits). - Evaluer lefcacit du dispositif sur la base des auto-valuations, des plans dactions qui en dcoulent et des plans daudit. - Identier le(s) plan(s) dactions de progrs destin(s) amliorer lefcacit du dispositif de gestion des risques. - Communiquer sur les rsultats obtenus auprs des parties prenantes au dispositif de gestion des risques.

- Matrice Processus / Risques revue : revoir si les processus identis comme critiques le sont toujours et sil ny en a pas dautres. - Evolution de la maturit du dispositif de matrise des risques. - Impact mtiers du risque informatique : cas RH-Paie.

=> Prise de risques efciente, moyens associs optimiss Formalisation possible du livrable de ltape 5 :

2 - PRE-REQUIS

- Disposer dun cadre organisationnel actualis dcrivant lensemble du dispositif de gestion des risques - Connatre les rsultats de la mesure de lefcacit du dispositif de gestion des risques - Impliquer fortement les managers oprationnels (de support) sur le niveau de la performance de leur processus

5 - LIVRABLE

3 - CONTENU DES TRAVAUX A REALISER

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

(Quoi faire pour atteindre les objectifs de ltape?)

- Dnir les objectifs damliorations recherchs permettant de abiliser / doptimiser latteinte de la stratgie - an de disposer de processus oprationnels/ supports performants. - Localiser (scoping) les processus et les actions sur lesquels doivent porter les plans dactions qui vont amliorer les modalits dexcution des activits oprationnelles. - Afner la connaissance des processus oprationnels en dcrivant les activits qui en assurent le fonctionnement. Pour ce faire, il faut sappuyer sur les travaux qui ont t raliss lors de ltape 2. - Dnir un rfrentiel de performance des processus en slectionnant les instruments de mesure adapts (KPI, autres). - Mettre en place les indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombres de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre de reportings mis en place et temps ncessaire pour les produire, ), (iii) mesurer les rsultats : performance et efcacit. - Identier les actions correctrices mettre en place pour rduire les dysfonctionnements et corriger lexcution en fonction des objectifs damlioration et du niveau de risque dni par les dirigeants.

- Chapitre 1 : revue des processus pour vrier que les processus qui sont critiques sont toujours les mmes. - Chapitre 2 : suivi de lvolution de la maturit du dispositif de gestion des risques et revue des plans dactions. Analyse et recherche des axes de simplication proposer en travaillant sur lallgement des dispositifs qui ne concernent pas des processus critiques . - Chapitre 3 : introduction de laxe informatique comme axe de progrs. Intenciation des doubles protections et identication des impacts mtiers de risque informatique. Apprciation du niveau de matrise de ces risques informatiques.

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

- Rfrentiel des Processus : achats et approvisionnements - Rfrentiel des processus : RH - Transformation du processus - Emission des bons de commande - Le suivi de la performance des processus - KPI - Cot processus clients - Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements - Tableau de bord de suivi des Risques - Dysfonctionnements - Plans dactions

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

- Questionnaire dAuto-Evaluation Niveau ENTITE - Questionnaire dAuto-Evaluation Niveau PROCESSUS FINANCIERS - Cartographie des risques - Activit Service - Cartographie des risques - Activit Industrielle - Fiche de risques avec plan dactions associ - Apprciation du niveau defcacit du dispositif (radars, KPI,...) - Reporting de suivi de lefcacit du dispositif de matrise des risques => Les prises de risques sont matrises et monitores Formalisation possible du livrable de ltape 3 : - Chapitre 1 : le rsultat des campagnes dauto-valuation serviront de base lactualisation de la cartographie des risques, - Chapitre 2 : lvaluation de lefcacit de la gestion des risques processus par processus (analyse du positionnement du dispositif actuel et des rsultats quil produit par rapport aux objectifs qui lui sont assigns et accessoirement par rapport aux exigences du rfrentiel). - Chapitre 3 : le plan dactions de progrs associ. Ce plan est dclin par activits et processus par processus. Il a le mme primtre que le document prcdent.

=> Processus robustes et performants au service de la performance et de la prise de risques Formalisation possible du livrable de ltape 4 :

5 - LIVRABLE

- Chapitre 1 : les objectifs damlioration de la performance. - Chapitre 2 : le rfrentiel des processus du primtre concern. - Chapitre 3 : les dysfonctionnements liminer et les actions correctrices engager. - Chapitre 4 : les plans dactions qui sera (seront) labor(s) et le planning associ. - Chapitre 5 : le plan de suivi des amliorations : les KPI sur les processus du primtre de la transformation.

5 - LIVRABLE

33

PARTIE 2

1.2.2 Etape 1 : Connatre les zones risques

Les objectifs
Recenser les activits oprationnelles gnratrices de dysfonctionnements majeurs induisant des risques ; Identier et hirarchiser les principales zones risques qui pourraient remettre en cause latteinte des objectifs de lentreprise ; Esquisser larchitecture du dispositif de gestion des risques (positionner les diffrents lments qui vont composer le dispositif). Il sagit dun travail prparatoire conduire avec les principaux responsables oprationnels et responsables des fonctions support concerns, bien videmment les interlocuteurs mettre dans la boucle seront diffrents dune entreprise lautre. Acqurir une sorte dintimit avec lentreprise grce la connaissance des marchs, des produits, des modalits dexcution (production interne et sous-traitance), des modalits de supervision est indispensable. Cette intimit doit tre formalise pour quelle soit partageable avec les diffrents interlocuteurs et puisse faciliter les arbitrages le moment venu. Au cours de cette tape on cherchera principalement : - identier et localiser les processus qui gnrent les principales zones risques et sont sources de risques et qui pourraient remettre en cause latteinte des objectifs de lentreprise. Cest pour cette raison que len-

semble des activits doit tre pass en revue, selon une dmarche top-down . Cette revue va permettre de localiser les enjeux, de dnir la granularit des travaux et donc le niveau deffort quil conviendra de mettre en uvre. capter les points critiques traiter, les contraintes lies la situation et aux pratiques existantes et les diffrentes demandes des oprationnels pour esquisser larchitecture des dispositifs mettre en place. Cette architecture sera complte et dtaille lors de ltape suivante - tape2 implmenter un dispositif de gestion des risques .

Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : la prsentation des couples produits marchs et des axes de dveloppement de ou des entits. Chapitre 2 : la prsentation des enjeux nanciers issus des caractristiques des activits et du modle conomique. Chapitre 3 : la cartographie globale des activits et des zones de risques : les dysfonctionnements majeurs seront localiss sur cette cartographie. Cest une vue globale d hlicoptre des activits dont le dcoupage est propre lentit. Pour des entits de taille moyenne la reprsentation doit tre assure sur une feuille de papier de format A3. Chapitre 4 : la synthse des dispositifs existants et une esquisse des dispositifs mettre en place.

BOTE IDES DOUTILS Les outils de ltape 1 se trouvent en page 55.

34

PARTIE 2

ETAPE 1 CONNAITRE LES ZONES A RISQUES - Recenser les activits oprationnelles gnratrices de dysfonctionnements majeurs induisant des risques ; - Identier et hirarchiser les principales zones risques qui pourraient remettre en cause latteinte des objectifs de lentreprise ; - Esquisser larchitecture du dispositif de gestion des risques (positionner les diffrents lments qui vont composer le dispositif). - Disposer du document de cadrage formalis lors de ltape 0, avec la description de lobjectif immdiat (la conformit), et de lobjectif un horizon court terme (performance). Ce document de cadrage doit galement comprendre une indication du primtre couvrir (en terme dactivits oprationnelles, de zones gographiques, dorganisation ou entits,) et des enjeux matriser. - Connatre les mtiers, les activits, les produits, les marchs et la stratgie associe de lentreprise et les modalits de sa mise en uvre. - Rpertorier les dispositifs de matrise existants: dispositifs de contrle interne et de gestion de risques, et historique de leur implantation. - Apprcier le niveau de culture du risque du ou des entits. - Formaliser les lments caractristiques de la stratgie de dveloppement et de la mise en oeuvre du plan daffaires de lentreprise. - Formaliser une cartographie des processus pour lensemble des activits (vue globale dhlicoptre : une feuille de papier de dimension A3 par branche ou division). Le primtre peut tre variable en fonction de lobjectif. - Localiser les dysfonctionnements rcurrents sur le schma de description des processus. Ces dysfonctionnements remettent en cause le bon droulement des processus et peuvent tre des facteurs de risques. - Identier les zones risques qui pourraient entraver la ralisation du budget et du plan daffaires/business plan issu de la stratgie de lentreprise. - Valoriser les impacts potentiels des zones risques de lentreprise an de les hirarchiser, de leur donner un ordre dimportance. - Recenser les dispositifs de matrise existants dans lentreprise : gouvernance, charte de fonctionnement, environnement de contrle, procdure, rapports daudit, qualit... - Business model : caractristiques et enjeux par mtier & activits sur la ou les entits. - Plan stratgique & business models 3 / 5 ans sur la ou les entits. - Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux : ENTITE - BU - Fonction Support - DAF. - Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/zones risques => Recensement des principales zones risques de la ou des entits gnres par les activits oprationnelles et de support Formalisation possible du livrable de ltape 1 : - Chapitre 1 : prsentation des activits - des couples produits - marchs - des axes de dveloppement - des axes de dsengagements de ou des entits. - Chapitre 2 : prsentation des enjeux nanciers issus des caractristiques des activits et du modle conomique. - Chapitre 3 : la cartographie globale des activits et des zones de risques : les dysfonctionnements majeurs seront localiss sur cette cartographie. Cest une vue globale hlicoptre des activits dont le dcoupage est propre lentit. Pour des entits moyennes la reprsentation est assure sur une feuille de papier de dimension A3 (420 x 297 mm). - Chapitre 4 : la synthse des dispositifs existants et une esquisse des dispositifs mettre en place.

1 - OBJECTIFS

2 - PRE-REQUIS

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

5 - LIVRABLE

35

PARTIE 2

1.2.3 Etape 2 : Implmenter un dispositif de gestion des risques

Les objectifs
Approfondir la connaissance des activits oprationnelles du primtre en afnant la modlisation des processus prpare au cours de ltape 1 ; Identier les processus qui seront considrs comme critiques ; Dnir le plan de dploiement du dispositif de gestion des risques et le mettre en uvre ; Formaliser le contenu de ce dispositif au sein du cadre organisationnel : son fonctionnement ainsi que les ressources humaines, techniques et nancires, requises pour assurer la prennit du fonctionnement. Au cours de cette tape on cherchera principalement : construire une premire cartographie des risques sur la base de la connaissance afne des activits des entits. Cette connaissance afne porte sur les processus dexcution identis lors de ltape prcdente ; localiser les processus critiques pour dimensionner les ressources mobiliser et le contenu du dispositif de gestion des risques mettre en place ; dnir et mettre en uvre un plan de dploiement de ce dispositif, de faon sassurer quen n de cette tape 2 le dispositif sera en tat de marche conformment ce qui a t plani ;

dnir et documenter : - le dispositif de gestion des risques, et notamment son mode de fonctionnement, les processus surveiller et larchitecture des diffrents composants qui formeront le dispositif ; - le cadre organisationnel sur lequel va sappuyer le fonctionnement de ce dispositif ; - les moyens humains et techniques requis pour assurer la prennit du fonctionnement.

Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : les risques majeurs issus de la cartographie des risques (y compris les actions de matrise/ traitements dnis le cas chant), Chapitre 2 : les processus critiques : ces processus sont dduits de la matrice Processus/Risques, produit prsent. Chapitre 3 : la description du dispositif cible visant protger les processus critiques (qui comprend notamment larchitecture des diffrents composants) - cela dpasse largement lorganisation qui nest quune des composantes du dispositif. Chapitre 4 : une premire esquisse de la politique de gestion des risques ; lensemble de risques considrs comme inacceptables par la direction constitue la premire politique de gestion des risques. Des plans dactions/de matrise sont dnis et dploys pour rduire/transfrer/supprimer le risque.

BOTE IDES DOUTILS Les outils de ltape 2 se trouvent en page 75.

36

PARTIE 2

ETAPE 2 IMPLEMENTER UN DISPOSITIF DE GESTION DES RISQUES

- Approfondir la connaissance des activits oprationnelles du primtre en afnant la modlisation des processus prpare au cours de ltape 1 ; - Identier les processus qui seront considrs comme critiques ; - Dnir le plan de dploiement du dispositif et le mettre en uvre ; - Formaliser le contenu du dispositif au sein du cadre organisationnel : le fonctionnement, les ressources humaines, techniques et nancires, le droulement du dispositif de gestion des risques requis pour assurer la prennit du fonctionnement. - Avoir rassembl et synthtis lexistant en matire de : (i) objectifs stratgiques et oprationnels de lentit, (ii) reprsentation activitsmtiers/units/processus, (iii) documentation des procdures de gestion des risques et de contrle interne, (iv) modle conomique de lentit, (v) reprsentation de lorganisation gnrale de lentit. - Disposer dune vision formalise et documente (vue globale dhlicoptre ) des zones de risques (et des dysfonctionnements avrs) au regard du modle conomique et des processus de lorganisation. (la vocation du modle conomique est didentier les enjeux nanciers lis aux dysfonctionnements/risques des processus, lentit pourra ainsi identier les processus qui seront considres comme critiques ). - Avoir identi et conrm un ou plusieurs sponsors. - Avoir dcid du rfrentiel (AMF, COSO II, ISO) sur lequel lentit va sappuyer lors de la construction du dispositif. - Dnir le primtre couvert par le dispositif (Entits, Activits/Mtiers, Processus). - Dnir les attentes du dispositif : cest--dire les objectifs recherchs par lorganisation et les apports potentiels du dispositif pour les diffrents acteurs (i.e. ce quils peuvent en attendre en plus du simple respect de la rglementation/recommandations). - Dnir les fonctions (i.e. acteurs) qui vont participer activement la vie du dispositif, ainsi que leurs rles respectifs. Identier les facteurs cls favorisant ladhsion des acteurs et la prennisation du dispositif. - Afner la vision documente des processus qui sera reprise dans le cadre de lexercice de cartographie des risques; - Dnir la mthodologie de cartographie des risques et les outils associs : dmarche top-down/bottum-up, chelles, entretiens / ateliers, univers des risques - Drouler la mthodologie et produire une premire cartographie des risques (la cartographie des risques est dnie ici comme une analyse et une hirachisation des risques de lorganisation). La prsenter / valider auprs de la direction qui dcide de linacceptabilit de certains risques (la prise de risque est considre comme trop leve et doit tre contenue/rduite) les risques sont considrs comme majeurs ou critiques. Des plans dactions seront labors immdiatement sur les risques majeurs (non couverts par un mcanisme de protection existant). - Adosser / localiser les risques majeurs au sein des processus qui deviennent ds lors critiques . Cette attribution se fera en dsignant le responsable du processus comme propritaire du risque et de son plan de matrise (cette association va permettre de constituer une matrice des processus et des risques). - Documenter larchitecture des diffrentes composantes du dispositif (notamment les processus didentication, danalyse, de traitement et de suivi des risques, ainsi que les outils et les forums cls), et le cadre organisationnel. La composante pilotage du dispositif peut dj tre aborde ce stade, mais en ralit elle sera prcise et arrte dans ltape 3. - Elaborer un plan de dploiement pour mettre en uvre le dispositif de faon progressive (dnition dun phasing des oprations). NB : le sponsor et lquipe projet ont t dnis au cours de ltape 0, bien videmement des contraintes nouvelles peuvent venir le modier. - Lancer et raliser le dploiement. - Suivre le correct droulement du dploiement et le respect du planning et des objectifs. Corriger les anomalies/dysfonctionnements le cas chant. - Univers des risques afn. - Mthodologie de cartographie des risques (guide dentretien, che de risque, chelles de hirarchisation ou dvaluation des risques, plans dactions). Chacun de ces composants constitue un outil qui est prsent dans le chapitre relatif la boite ides doutils. - Matrices des Processus et des Risques : chaque processus ont t rattachs un certain nombre de risques (le niveau de prcision de ces matrices dpend de la granularit attendue par lorganisation). - Premire Cartographie des risques. - Plan de dploiement du dispositif de gestion des risques.

1 - OBJECTIFS

2 - PRE-REQUIS

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

=> Installation et Mise en fonctionnement du dispositif de gestion des risques Formalisation possible du livrable de ltape 2 :
- Chapitre 1 : les risques majeurs issus de la cartographie des risques (y compris les actions de matrise/traitement dnies le cas chant). - Chapitre 2 : les processus critiques : ces processus sont dduits de la matrice Processus/Risques qui fait partie des outils prsents. - Chapitre 3 : la description du dispositif cible visant protger les processus critiques (qui comprend notamment larchitecture des diffrents composants) - cela dpasse largement lorganisation qui nest quune des composantes du dispositif. - Chapitre 4 : une premire esquisse de la politique de gestion des risques; lensemble des risques considrs comme inacceptables par la direction constitue la premire politique de gestion des risques. Des plans dactions / de matrise sont dnis et dploys pour rduire/transfrer/supprimer le risque.

5 - LIVRABLE

37

PARTIE 2

1.2.4 Etape 3 : Faire fonctionner un dispositif de gestion des risques efcace

Les objectifs
Vrier que les zones risques sont connues et que les actions de matrises sont organises ; Excuter des auto-valuations et consolider les rsultats ; Apprcier la maturit du dploiement et la pertinence des plans dactions mis en place ; Etablir et dployer, le cas chant, de nouveaux plans dactions (sur la base des rsultats des autovaluations). Au cours de cette tape on cherchera principalement : vrier que le dispositif de gestion des risques mis en uvre ltape prcdente est conforme aux recommandations en vigueur et respecte les exigences du rfrentiel retenu, apprcier lefcacit du dispositif mis en uvre : cette apprciation portera principalement sur la prcision des objectifs du dispositif de gestion et son niveau dalignement par rapport ses objectifs, la connaissance par les oprationnels des risques dnis par la direction gnrale comme acceptables, la matrise des risques potentiels majeurs, lidentication des zones de danger, lanalyse et lexploitation des risques

survenus, la mise en place ventuelle dactions correctrices, le reporting permettant au comit daudit dexercer ses diligences et aux dirigeants de prendre les bonnes dispositions, mettre en place une composante pilotage du dispositif de gestion des risques : le monitoring de la mise en uvre oprationnelle, va permettre de faire voluer progressivement le dispositif de gestion des risques (mis en place ltape prcdente). Il va permettre de mesurer le degr de maturit des quipes et de proposer au sponsor de passer dun strict objectif de conformit un objectif de performance oprationnelle.

Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : le rsultat des campagnes dauto-valuation qui serviront de base lactualisation de la cartographie des risques, Chapitre 2 : lvaluation de lefcacit de la gestion des risques processus par processus (analyse du positionnement du dispositif actuel et des rsultats quil produit par rapport aux objectifs qui lui sont assigns et accessoirement par rapport aux exigences du rfrentiel), Chapitre 3 : le plan dactions de progrs associ. Ce plan est dclin par activits et processus par processus. Il a le mme primtre que le document prcdent.

BOTE IDES DOUTILS Les outils de ltape 3 se trouvent en page 93.

38

PARTIE 2

ETAPE 3 FAIRE FONCTIONNER UN DISPOSITIF DE GESTION DES RISQUES EFFICACE - Vrier que les zones risques sont connues et que les actions de matrises sont organises ; - Excuter des auto-valuations et consolider les rsultats ; - Apprcier la maturit du dploiement et la pertinence des plans dactions mis en place ; - Etablir et dployer des plans dactions (sur la base des rsultats des auto-valuations)

1 - OBJECTIFS

2 - PRE-REQUIS

- Disposer dun cadre organisationnel (1re composante) prcisant notamment les rles et responsabilits des acteurs, la politique de gestion des risques ainsi que le systme dinformation qui permet la diffusion en interne de linformation relative aux risques. - Disposer dun processus de gestion des risques (2me composante) comprenant les tapes didentication, danalyse et de traitement des risques. - Disposer dune bauche du pilotage ou monitoring en continu du dispositif (3me composante). - Prciser et arrter les constituants de la composante pilotage du dispositif (esquisse ltape prcdente) de manire pouvoir mettre en vidence les carts par rapport aux exigences de la rglementation et aux recommandations du rfrentiel retenu (conformit) et aux objectifs atteindre (efcacit). Les attentes vis--vis de lauto-valuation et des revues seront notamment prcises. Les rles et responsabilits des acteurs participant cette composante seront en cohrence avec ceux dnis dans le cadre organisationnel (1re composante) et afns si ncessaire. - Actualiser rgulirement (selon une frquence dnir) les couples (matrices) Process-Risques notamment par lanalyse des dysfonctionnements qui sont intervenus au cours de la priode (3 mois, 6 mois, 12 mois) et remettre jour les processus critiques (ceux qui sont impacts par les risques majeurs). - Construire et proposer des plans dactions avec le propritaire de risques en prenant en compte le cot de la mise en uvre et la rduction escompte. Faciliter la discussion entre tous les acteurs de la matrise des risques. - Adosser des indicateurs de performance aux sources / facteurs de risques an de dtecter la ralisation de ces derniers. - Mettre en uvre les questionnaires dauto-valuations incluant le volet gestion des risques. La mise en uvre de ces questionnaires dauto-valuation doit tenir compte de la culture de lorganisation, de ses caractristiques et du degr de sensibilisation du personnel. Lquipe projet intgrera des oprationnels pour laborer ces questionnaires qui se focaliseront sur les enjeux de lorganisation; Si ncessaire, un test sur une entit pilote volontaire sera effectu avant gnralisation; la dmarche pourra tre accompagne sur le terrain par lquipe projet ou des relais pralablement forms. En rythme de croisire, ces campagnes dauto-valuation seront lances rgulirement selon une frquence dnir (annuelle ?) dans le cadre dune organisation prenne, le contenu des questionnaires tant actualis. - Dnir puis mettre en uvre les plans dactions destins pallier les faiblesses mises en vidence par les auto-valuations. - Suivre le droulement de ces plans dactions. - Baser les plans daudit et leurs objectifs sur les risques majeurs et les processus critiques . - Raliser les audits et formaliser les rsultats (y compris la revue des questionnaires dauto-valuation remplis par les entits). - Evaluer lefcacit du dispositif sur la base des auto-valuations, des plans dactions qui en dcoulent et des plans daudit. - Identier le(s) plan(s) dactions de progrs destin(s) amliorer lefcacit du dispositif de gestion des risques. - Communiquer sur les rsultats obtenus auprs des parties prenantes au dispositif de gestion des risques. - Questionnaire dAuto-Evaluation Niveau ENTITE - Questionnaire dAuto-Evaluation Niveau PROCESSUS FINANCIERS - Cartographie des risques - Activit Service - Cartographie des risques - Activit Industrielle - Fiche de risques avec plan dactions associ - Apprciation du niveau defcacit du dispositif (radars, KPI,...) - Reporting de suivi de lefcacit du dispositif de matrise des risques => Les prises de risques sont matrises et monitores Formalisation possible du livrable de ltape 3 : - Chapitre 1 : le rsultat des campagnes dauto-valuation serviront de base lactualisation de la cartographie des risques, - Chapitre 2 : lvaluation de lefcacit de la gestion des risques processus par processus (analyse du positionnement du dispositif actuel et des rsultats quil produit par rapport aux objectifs qui lui sont assigns et accessoirement par rapport aux exigences du rfrentiel). - Chapitre 3 : le plan dactions de progrs associ. Ce plan est dclin par activits et processus par processus. Il a le mme primtre que le document prcdent.

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

5 - LIVRABLE

39

PARTIE 2

1.2.5 Etape 4 : Amliorer la performance oprationnelle des processus

Les objectifs
Crer un rfrentiel des processus oprationnels et de support ; Dnir et actualiser les objectifs damliorations de lexcution des processus ; Optimiser le fonctionnement des processus et les rendre plus efcace sur le primtre dni ; Implmenter des indicateurs de mesure de la performance des processus ; Suivre priodiquement lvolution de la performance des activits des processus et le niveau dexposition aux risques. Nous sommes, lors du dmarrage de cette tape, la charnire entre un dispositif dont la nalit essentielle est la conformit aux rglementations et le lancement dune opration de transformation dont la nalit est lamlioration de la performance oprationnelle couvrant (la prise de risques, les dysfonctionnements, lefcacit des processus). Le dmarrage de cette transformation est largement facilit ou rendu possible par lapproche qui a t conduite lors des tapes prcdentes notamment par une approche totalement fonde sur la connaissance formalise des activits et de leurs processus associs. Ainsi, il a t formalis et partag les processus critiques qui sont ceux qui gnreront des risques vitaux pour lentreprise Cette approche a prpar les quipes lutilisation du processus comme support de la transformation et comme connaissance du fonctionnement transversal de lentreprise. Au cours de cette tape on cherchera principalement : Crer un rfrentiel des processus. Ce rfrentiel correspond une connaissance afne de celle acquise

lors des tapes prcdentes. Il est ncessaire pour rechercher les activits, les rgles de gestion, les modes opratoires qui doivent faire lobjet dune volution et pour traiter les dysfonctionnements, dnir les objectifs damlioration recherchs. Cette amlioration peut couvrir des dimensions diffrentes comme par exemple : la diminution des dlais de facturation, la diminution de dlais dencaissement, la diminution du nombre davoir clients, la scurisation de linformation comptable et nancire priodique, lmission systmatique de bons de commande pour tout achat, rduire les dysfonctionnements, localiser les processus et des actions sur lesquels doivent porter les plans dactions qui vont amliorer les modalits dexcution des activits oprationnelles. Il sagira de conforter et de prenniser le systme mis en place en travaillant sur lamlioration des processus, suivre priodiquement les amliorations : la mise en place dun monitoring notamment en dnissant des critres de mesure de la performance au niveau des processus. Cest le positionnement de quelques KPI qui vont permettre de mesurer lefcacit de la transformation en cours en xant une valeur de rfrence T0 et en les valuant selon une priodicit mensuelle ou trimestrielle.

Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : les objectifs damlioration de la performance prvus, Chapitre 2 : le rfrentiel des processus du primtre concern, Chapitre 3 : les dysfonctionnements liminer et les actions correctrices engager, Chapitre 4 : les plans daction qui sera(seront) labor(s) et le planning associ, Chapitre 5 : le plan de suivi des amliorations : les KPI sur les processus du primtre de la transformation.

BOTE IDES DOUTILS Les outils de ltape 4 se trouvent en page 125.

40

PARTIE 2

ETAPE 4 AMELIORER LA PERFORMANCE DES PROCESSUS - Crer un rfrentiel des processus oprationnels et de support ; - Dnir et actualiser les objectifs damliorations de lexcution des processus ; - Optimiser le fonctionnement des processus et les rendre plus efcace sur le primtre dni ; - Implmenter des indicateurs de mesure de la performance des processus ; - Suivre priodiquement lvolution de la performance des activits des processus et le niveau dexposition aux risques. - Disposer dun cadre organisationnel actualis dcrivant lensemble du dispositif de gestion des risques - Connatre les rsultats de la mesure de lefcacit du dispositif de gestion des risques - Impliquer fortement les managers oprationnels (de support) sur le niveau de la performance de leur processus - Dnir les objectifs damliorations recherchs permettant de abiliser / doptimiser latteinte de la stratgie - an de disposer de processus oprationnels/ supports performants. - Localiser (scoping) les processus et les actions sur lesquels doivent porter les plans dactions qui vont amliorer les modalits dexcution des activits oprationnelles. - Afner la connaissance des processus oprationnels en dcrivant les activits qui en assurent le fonctionnement. Pour ce faire, il faut sappuyer sur les travaux qui ont t raliss lors de ltape 2. - Dnir un rfrentiel de performance des processus en slectionnant les instruments de mesure adapts (KPI, autres). - Mettre en place les indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombres de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre de reportings mis en place et temps ncessaire pour les produire, ), (iii) mesurer les rsultats : performance et efcacit. - Identier les actions correctrices mettre en place pour rduire les dysfonctionnements et corriger lexcution en fonction des objectifs damlioration et du niveau de risque dni par les dirigeants. - Rfrentiel des Processus : achats et approvisionnements - Rfrentiel des processus : RH - Transformation du processus - Emission des bons de commande - Le suivi de la performance des processus - KPI - Cot processus clients - Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements - Tableau de bord de suivi des Risques - Dysfonctionnements - Plans dactions

1 - OBJECTIFS

2 - PRE-REQUIS

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

=> Processus robustes et performants au service de la performance et de la prise de risques Formalisation possible du livrable de ltape 4 : - Chapitre 1 : les objectifs damlioration de la performance. - Chapitre 2 : le rfrentiel des processus du primtre concern. - Chapitre 3 : les dysfonctionnements liminer et les actions correctrices engager. - Chapitre 4 : les plans dactions qui sera (seront) labor(s) et le planning associ. - Chapitre 5 : le plan de suivi des amliorations : les KPI sur les processus du primtre de la transformation.

5 - LIVRABLE

41

PARTIE 2

1.2.6 Etape 5 : Optimiser le dispositif de gestion des risques

Les objectifs
Simplier voire allger les processus matures et matriss an den accroitre lefcience ; Matriser la prise de risques tout en optimisant les moyens techniques, humains et nanciers ; Intgrer le dispositif de gestion des risques dans tous les projets de lentreprise. Pour atteindre la conformit rglementaire, un travail en mode projet a t conduit qui sest ensuite transform en un dispositif en mode prenne avec des ressources qui sont devenues permanentes. En parallle ou conscutivement, il a t engag des travaux visant lamlioration de lexcution des processus qui ont conduit diminuer les dysfonctionnements de certaines des activits des processus et permettre la prise de risques raisonne. Au cours de cette tape on cherchera principalement localiser les activits sur lesquelles les mcanismes de prcautions peuvent tre allgs,

permettre de rduire leffort global ou de le concentrer sur des sujets trs particuliers du fait du contexte conomique. Le dispositif de matrise des risques qui est maintenant efcace doit tre rendu encore plus efcient dans la continuit des analyses de zones de risques et des points de dysfonctionnement dbutes ds ltape 1, et optimises dans les tapes suivantes.

Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : revue des processus pour vrier que les processus dnis comme critiques sont toujours les mmes. Chapitre 2 : suivi de lvolution de la maturit du dispositif de gestion des risques et revue des plans dactions. Analyse et recherche des axes de simplication proposer en travaillant sur lallgement des dispositifs qui ne concernent pas des processus critiques . Chapitre 3 : introduction de laxe informatique comme axe de progrs. Identication des doubles protections et identication des impacts mtiers des risques informatique. Apprciation du niveau de matrise de ces risques informatiques.

BOTE IDES DOUTILS Les outils de ltape 5 se trouvent en page 137.

42

PARTIE 2

ETAPE 5 OPTIMISER LE DISPOSITIF DE GESTION DES RISQUES - Simplier voire allger les processus matures et matriss an den accroitre lefcience, - Matriser la prise de risques tout en optimisant les moyens techniques, humains et nanciers ; - Intgrer le dispositif de gestion des risques dans tous les projets de lentreprise ; - Avoir atteint lefcacit du dispositif, mise en vidence par une valuation interne et/ou externe avec pilotage de plans daction (orients conformit ). - Disposer dun rfrentiel de process et dun rfrentiel de risques. - Les sponsors maintiennent le momentum (pas de remise en cause de lefcacit) mais demandent une optimisation. - Evaluer le cot du dispositif de gestion des risques pendant sa phase projet et aujourdhui dans sa phase prenne : cots internes (temps ddi par les contributeurs, outils mis en place, ) et cots externes daccompagnement. - Dnir des indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombre de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre reportings mis en place et temps ncessaire pour les produire, ) (iii) mesurer les rsultats: au niveau de la performance et de lefcacit. - Revoir les risques et leur niveau de criticit (pralablement dnis au cours des tapes prcdentes) et actualiser les couples Process / Risques (revue au cours de ltape 3). Cette revue permet de traduire les points damlioration de la performance qui ont t obtenus suite ltape prcdente. De facto les points damlioration sont localiss et seront pris en compte lors des plans dactions visant rechercher une meilleure efcicence. - Revoir la pertinence des arbitrages Risques / Assurances / Contrle interne (ceux effectus au cours de ltape 2). - Identier, avec les responsables de processus, pour les processus qui ont fait lobjet, lors de ltape 4, de simplication ou de transformation, les actions de simplication des actions de matrise qui peuvent tre mises en place : cot mtier cot application informatique. - Localiser les contrles embarqus dans les applications et vrier sils ne sont pas en doublon avec des contrles mtiers . - Revoir le cadre organisationnel (celui mis en place lors de ltape 2) et lactualiser. - Actualiser / Optimiser / Simplier les dispositifs de gestion des Risques (et les contrles associs) et ce dans le cadre dune dmarche intgre de type GRC.

1 - OBJECTIFS

2 - PRE-REQUIS

3 - CONTENU DES TRAVAUX A REALISER

(Quoi faire pour atteindre les objectifs de ltape?)

4 - BOITE A IDEES DOUTILS (Utiliss pour fabriquer les livrables)

- Matrice Processus / Risques revue : revoir si les processus identis comme critiques le sont toujours et sil ny en a pas dautres. - Evolution de la maturit du dispositif de matrise des risques. - Impact mtiers du risque informatique : cas RH-Paie.

=> Prise de risques efciente, moyens associs optimiss Formalisation possible du livrable de ltape 5 : - Chapitre 1 : revue des processus pour vrier que les processus qui sont critiques sont toujours les mmes. - Chapitre 2 : suivi de lvolution de la maturit du dispositif de gestion des risques et revue des plans dactions. Analyse et recherche des axes de simplication proposer en travaillant sur lallgement des dispositifs qui ne concernent pas des processus critiques . - Chapitre 3 : introduction de laxe informatique comme axe de progrs. Intenciation des doubles protections et identication des impacts mtiers de risque informatique. Apprciation du niveau de matrise de ces risques informatiques.

5 - LIVRABLE

43

PARTIE 2

1.3 Les familles doutils

Pour mettre en uvre les volutions et transformations organises en six tapes que nous venons de dcrire, nous avons constitu une boite ides doutils. Nous avons structur cette bote ides doutils autour de cinq familles doutils couvrant : la connaissance des mtiers et de la stratgie associe, la connaissance des processus oprationnels et supports, la connaissance des risques, les dispositifs de matrise, le pilotage ou le monitoring.

Ces cinq familles qui correspondent aux cinq grands thmes techniques qui doivent tre matriss, ont t rparties au sein des cinq tapes (rectangle gris) que nous avons dcrites prcdemment comme le montre la Figure 7 prsente ci-dessous. Dans les pages qui suivent, nous faisons, pour chacune de ces familles doutils, un focus particulier sur : leurs apports, les difcults rencontres lors de la mise en place, la liste des outils qui sont prsents et lutilisation de loutil en mode prenne.

FIGURE 7

LES FAMILLES DOUTILS

ETAPE 1 Connatre les zones risques ETAPE 2 Implanter un dispositif de gestion des risques ETAPE 3 Faire fonctionner un dispositif de gestion des risques efcace ETAPE 4 Amliorer la performance des processus ETAPE 5 Optimiser le dispositif de gestion des risques

connaissance des mtiers, produits et de la stratgie associe

permettant dacqurir la

connaissance des activits oprationnelles

Familles doutils

connaissance de lexposition aux risques

laboration des dispositifs de matrise / de prcautions

mise en uvre du pilotage

44

PARTIE 2

1.3.1 La connaissance des marchs, des produits et de la stratgie de dveloppement associe

Cette connaissance constitue un des lments cls des travaux et va permettre rapidement de (i) comprendre le ou les marchs, le ou les produits, la ou les activits (recherche, production, sous-traitance, distribution) mais aussi de (ii) mesurer les enjeux en termes conomiques par quelques chiffres cls que lon trouve essentiellement dans les reporting oprationnels et nanciers et enn (iii) den apprcier les enjeux en terme de ressources humaines concernant leur localisation et leur volution.

formations qui vont tre dcides et aussi pour viter de traiter de faon monolithique les structures organiques dune entit. Business model : caractristiques et enjeux par mtier & activits sur la ou les entits. Plan stratgique & business models 3 / 5 ans sur la ou les entits. Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux ENTITE - BU - Fonction Support - DAF. Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/zones risques.

Les apports de cette pratique

Elle permet de localiser et prendre en compte les enjeux commerciaux, industriels, conomiques et de procder aux arbitrages lors de la construction ou de lvolution des dispositifs existants, et aussi lors de lintroduction de la dimension de la gestion des risques. Cest la garantie de la pertinence dun dispositif de gestion des risques avec des traitements particuliers pour des processus qui sont porteurs de risques spciques et ponctuels avec des niveaux de criticit importants pour lentit.

1.3.2 La connaissance des activits oprationnelles : les processus

La comprhension du fonctionnement des activits selon une approche Top-Down est indispensable pour laborer un dispositif de gestion des risques pertinent et adapt aux objectifs xs par le management et variable dune entreprise lautre. Pour formaliser cette comprhension nous avons choisi comme support le processus et le ux dinformation associ. Cette reprsentation schmatique nest pas usuellement utilise dans le monde de la gestion. Cest une pratique habituelle du monde du systme dinformation et de la qualit. Les retours des membres du groupe de travail indiquent que les oprationnels apprcient cette approche car ils ont une vision formalise sous la forme dune cartographie, partir de laquelle ils peuvent localiser les interactions entre eux et dcider du meilleur moyen den scuriser lexcution. Nous attirons lattention des lecteurs sur le fait quil existe, au niveau de la ralisation de cette formalisation beaucoup de confusions entre les notions de procdures, de modes opratoires, de bonnes pratiques, Lintroduction de la dimension processus est dlicate du fait de la pratique usuelle qui mlange les diffrents contenus que nous venons dvoquer, apportant de la

Les difcults rencontres

Deux difcults sont habituellement rencontres : la condentialit des informations : notamment celles relatives la stratgie dvolution des couples produits-marchs qui peuvent comporter des restrictions dans leur diffusion ; la slection des informations utiles : les informations internes relatives donnant aux marchs, aux produits, la performance dexcution sont nombreuses et leur slection est dlicate. Les membres du groupe de travail expliquent rencontrer ces deux difcults, et attirent lattention sur le temps passer pour agrger ces informations car elles ne sont pas forcment disponibles selon larborescence recherche (les outils dinfocentre / business intelligence en place facilitent lagrgation recherche mais la connaissance imprcise des structures de donnes constitue une difcult ne pas sous-estimer).

Les outils
Ce sont avant tout des exemples doutils pour permettre de rassembler les informations utiles pour positionner avec pertinence et efcacit les volutions et les trans-

45

PARTIE 2

complexit la comprhension au lieu de la simplicit recherche. Nous verrons ultrieurement quune fois la dimension processus introduite dans les pratiques de travail, elle peut tre aussi employe pour dautres usages. Cest un investissement rentable.

Les apports de cette pratique

Les apports de lintroduction de la dimension processus sont nombreux et permettent de satisfaire diffrents objectifs : la simplication de complexit apparente en sparant les dimensions systmes dinformations et organisation qui ne sont pas reprises dans la reprsentation de la dimension processus, la connaissance partage des activits excutes par les processus et leurs interactions, la cration/diffusion dune vision transversale qui va permettre de mettre en vidence des pratiques en silos ou indpendantistes des diffrents acteurs, loptimisation de la performance dexcution des activits qui constituent chacun des processus, la cration dun rfrentiel des processus, le partage, au sein des quipes, du fonctionnement des processus, la possibilit de travailler sur lamlioration de la performance oprationnelle et la mise en place concomitante ou ultrieure dindicateurs de performance du processus. Comme nous venons de lindiquer, les apports et les usages de la dmarche processus sont nombreux, cest pour cette raison que nous prcisons ci-dessous ces usages. Les usages multiples - les 7 usages : Lintroduction et le dveloppement de la culture du processus au sein de lentreprise permettent de crer une vision commune entre ses diffrents acteurs, centre sur son lment le plus stable : le processus mtier. Les processus, ds lors quils sont identis et partags, sont porteurs de multiples apports et servent des usages varis au sein de lentreprise, pour des problmatiques et des enjeux plus ou moins divers et plus ou moins complexes. La mise en uvre de lapproche processus peut conduire : USAGE 1 : comprendre comment sexcute la synchro-

nisation des ux physiques et les ux dinformations au sein de lentit, USAGE 2 : rationaliser le droulement du processus, USAGE 3 : prvoir de faon rigoureuse lvolution des systmes dinformation de lentreprise et sassurer de son alignement avec les pratiques oprationnelles, USAGE 4 : refondre et amliorer lorganisation des entits / directions / dpartements, USAGE 5 : construire une comprhension plus pertinente des cots de lentreprise (activity based costingABC, et activity based management - ABM), USAGE 6 : scuriser la production de linformation nancire et accrotre la conance des tiers dans la sincrit des comptes, USAGE 7 : mettre en place ou optimiser un dispositif de gestion des risques, Au-del des 7 usages possibles dune approche processus au sein de lentreprise, linstauration de cette culture et la vision transversale qui en dcoule lui permet de : sinscrire dans une logique de progrs continu, crer les conditions en vue dassurer la prennit des projets dvolution et de transformation.

Les difcults rencontres

Lintroduction de cette culture rencontre habituellement quatre types de difcults relatives : la modlisation : elle vise, en effet, reprsenter uniquement les processus et les ux dinformations qui sont utiliss ou gnrs. Cette reprsentation qui se veut simple ne prend pas en compte les informations relatives lorganisation, aux modes opratoires et aux procdures qui viennent complexier la reprsentation, mais la rendre plus proche de la ralit. La difcult que loprationnel rencontre est de ne reprsenter dans sa modlisation que les processus et leur enchanement pour faire clairement apparatre la dynamique des activits oprationnelles. lidentication des activits : la modlisation permet de trouver les activits qui se droulent lintrieur dun processus ainsi que leurs caractristiques. Notons au passage que cest le dysfonctionnement de ces activits qui cause et dclenche les risques oprationnels et les risques sur les fonctions de support. le niveau de dtail de la description : la granularit de la description est variable en fonction des mtiers, de leur dangerosit, des objectifs xs par le management. Le calage du niveau de dtail de la description

46

PARTIE 2

est toujours dlicat, la tendance naturelle est daller dans plus de dtails que de ce qui est ncessaire. la confusion processus - procdures - modes opratoires : elle constitue la difcult qui est habituellement rencontre lors des premires reprsentations. Pour lun des membres du groupe de travail, lintroduction de cette approche par les processus fut un chec, car elle fut mal prpare et mal comprise par les quipes qui ny ont pas trouv dintrt pour leur travail quotidien.

dont lefcacit est hasardeuse. Ces plans de progrs reposent bien souvent sur des suggestions, un monitoring : cest--dire une revue priodique qui va donner du rythme au plan de progrs.

1.3.3 La connaissance de lexposition aux risques

Cest un sujet usuel pour les socits faisant appel public lpargne, qui doivent, pour des raisons rglementaires, mettre en place des dispositifs de gestion des risques. Une attente symtrique existe pour les socits dont lactionnariat comprend des fonds dinvestissement ou des fonds publics. Lapprciation formalise des prises de risques que lon gnre dans une nouvelle activit ou dans le cadre du dveloppement dune activit existante est devenue un critre de dcision quil est normal de prendre en compte sans tomber dans la psychose actuelle o lon identie du risque sur tous les sujets et dans tous les domaines. Sur ce sujet, le rle du notre groupe de travail nest pas de faire une synthse des publications ou articles mais dinscrire la connaissance de lexposition aux risques dans une dmarche plus globale et dintgrer dans la bote outils quelques ides doutils utiliss par les membres du groupe de travail.

Les outils
A titre dillustration, quelques exemples doutils sont prsents au chapitre 4, il sagit doutils qui sont utiliss par les membres du groupe de travail et qui ont t anonymiss :

Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux ENTITE - BU - Fonction Support. Rfrentiel des processus : achats et approvisionnements, Rfrentiel des processus : RH Transformation du processus - Emission des bons de commande Le suivi de la performance des processus - KPI - ct processus clients Le suivi de la performance des processus - KPI - ct processus achats, approvisionnements

Les apports de cette pratique

La connaissance de lexposition aux risques permet : une prise de conscience par les oprationnels des prises de risques lis aux activits et aussi de ceux qui sont induits par les marchs sur lesquels lentreprise opre. Certaines activits sont identies comme des points critiques qui font lobjet dune surveillance plus prcise et surtout font lobjet de plans dactions dont le correct droulement est priodiquement suivi et recentr en cas de drive, une meilleure allocation des efforts de monitoring sur toutes ses dimensions. Le critre de lexposition aux risques est un critre qui permet de mieux se focaliser l o doivent porter les efforts, une contribution laugmentation de la performance oprationnelle : la connaissance et le suivi de lvolution de la criticit des risques contribue la performance oprationnelle. Les rsultats des plans dactions dploys sont l pour en porter tmoignage auprs des oprationnels.

Comment les faire vivre ?

Il sagit de lutilisation des outils en mode prenne. Pour ce faire, les trois rgles de fonctionnement suivantes doivent tre mises en place : des process owner : la dsignation dun responsable du correct fonctionnement du processus qui anime les personnes assurant les activits que compose ce processus, des plans progrs : leur mise au point et leur suivi sont indispensables pour garantir une dynamique, une amlioration continue et viter des sauts quantiques

47

PARTIE 2

Les difcults rencontres

Les travaux de cartographie des risques sont devenus une pratique habituelle pour les socits cotes et pour les entreprises dont lactionnariat est constitu de fonds dinvestissement et de fonds publics. De nombreux ouvrages existent sur le sujet avec des nalits diffrentes, les principales difcults rencontres sont connues, nous ne faisons ici que les rappeler la lumire des retours dexprience des membres du groupe de travail . Pour les membres du groupe de travail les difcults usuellement rencontres sont les suivantes : un exercice lourd : il requiert la mobilisation de nombreux oprationnels qui ne voient pas la nalit et lutilit de cette cartographie. A mi-chemin entre conformit et performance oprationnelle, la confusion Dysfonctionnements / Risques : les risques de march et nancier gnriques ne sont pas la proccupation des oprationnels, ils sont tourns vers les risques inhrents et plus particulirement vers les dysfonctionnements auxquels ils doivent faire face quotidiennement, le lien entre le Risque et les Processus : ce lien existe un niveau macroscopique qui est insufsamment prcis pour tablir le lien avec les processus qui gnrent ces prises de risques, lvaluation du risque : cest un exercice qui nest que rarement effectu car il est peru comme dangereux, les estimations produites peuvent tre lobjet dinterprtations diverses et ouvrir des discussions de tous ordres. Par essence la tentative de chiffrage des impacts est un exercice compliqu avec des valeurs qui peuvent tre disperses en fonction des paramtres utiliss. Il nen reste pas moins que les membres du groupe de travail sont pour linstant sur la rserve concernant des tentatives dvaluation.

Matrices des Processus et des Risques : chaque processus ont t rattachs un certain nombre de risques (le niveau de prcision de ces matrices dpend de la granularit attendue par lorganisation) Mthodologie de cartographie des risques : guide dentretien Mthodologie de cartographie des risques : che de risques : version en anglais Mthodologie de cartographie des risques : che de risques : version dtaille en franais Mthodologie de cartographie des risques : che de risques : version simplie en franais Grille dvaluation - Echelle de risque Premire Cartographie des risques Cartographie des risques - Activit Service Cartographie des risques - Activit Industrielle Fiche de risque avec plan dactions associ

Comment les faire vivre ?

Il sagit de lutilisation des outils en mode prenne, pour ce faire, les trois rgles de fonctionnement suivantes doivent tre mises en place : des propritaires de risques : les risques doivent tre explicitement affects aux responsables oprationnels, un monitoring : cest la revue priodique selon une frquence qui est variable selon les objectifs qui permet dinstaller cette culture. Usuellement la revue est semestrielle ou annuelle, la r estimation de limpact du risque : usuellement, elle intervient annuellement.

Les outils

Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux ENTITE - BU - Fonction Support - DAF. Univers des risques afn

1.3.4 Les dispositifs de prcautions

Les prcautions (prvention et protection) prises ou prendre contribuent ou garantissent latteinte des objectifs que lentreprise se xe (correct fonctionnement des activits oprationnelles) et limitent, de fait, la destruction de valeur.

48

PARTIE 2

Nous illustrons ci-dessous ces deux types de prcautions : les actions de prvention : la prvention agit sur la probabilit doccurrence dun vnement dommageable. En gnral, ces mesures sont prises pour des vnements ayant une frquence assez importante. Elles agissent sur au moins lun des vnements de la chane conduisant lvnement dommageable. En dautres termes, ces actions visent rduire la frquence de survenance des dysfonctionnements, facteurs de risque, dangers, prils. Le monde de la prvention correspond au monde du progrs continu et de la recherche de lamlioration de la performance qui, par ses actions correctrices, va limiter la probabi-

lit de survenance dun vnement. les actions de protection : la protection vise limiter les consquences dun sinistre. En fait, les dispositifs de protection agissent aprs la survenance du sinistre an den limiter et den rduire limpact. Cest le cas des assurances, en rappelant que 20 30% des risques sont assurables et donc que 70 80% des risques ne le sont pas. A titre dillustration, nous prsentons pour chacune des deux familles dactions de prcautions quelques exemples :

EXEMPLES DE MESURES DE PRVENTION

Risque
Accidents de circulation Accidents du travail Vol, malveillance Dfaillance dun fournisseur Espionnage informatique Limitation de vitesse

Prvention
Ergonomie des postes de travail Contrle des accs Audits du fournisseur Scurisation des systmes EXEMPLES DE MESURES DE PROTECTION

Risque Accidents de circulation Accidents du travail Vol Incendie Ceintures de scurit

Protection Equipements individuels de scurit Dtections des intrusions, alarmes Extincteurs

Les apports de cette pratique

Les dispositifs de prcautions sont nombreux, comme le montrent les exemples prcdents. Pour faire simple, les apports sont les suivants : la distinction systmatique et immdiate des actions de prvention et de protection permet didentier les risques qui resteront la charge de lentreprise, ceux qui ne seront pas assurs, les actions de protection correspondent la soustraitance auprs de tiers - les compagnies dassurance- de la mise en place de ces actions. Leurs mises en place sont indpendantes de lentreprise avec une prise deffet rapide de la couverture du risque, Une optimisation de leffort de mise en place et de monitoring des contrles du risque.

Les dclinaisons possibles sont nombreuses, elles prennent des formes diffrentes selon : la taille de lentreprise : PME- Middle market, grande entreprise cote ou non, les besoins et la culture des dirigeants : lappropriation plus ou moins rapide dune dmarche de gestion sensible aux risques, les parties prenantes / leur secteur dactivit : les exigences des actionnaires, les cadres rglementaires selon le secteur dactivit (comme par exemple les banques ou lassurance), les demandes lies aux nancements externes, les ambitions et objectifs de lentreprise : lexpansion et lamlioration de la performance de lentreprise selon des rythmes plus ou moins rapides.

49

PARTIE 2

Les difcults rencontres

Les travaux relatifs aux dispositifs de matrise sont une pratique habituelle dans les entreprises quelle que soit leur taille. Cest le monde de la scurit, de lassurance, du contrle interne, de la gestion des risques. Les principales difcults rencontres sont connues, nous ne faisons ici que les rappeler la lumire des retours dexprience des membres du groupe de travail : la surprotection : la revue de la cohrence et la couverture des types dinstruments mis en place nest pas une pratique courante. Elle induit souvent la multiplicit de contrles en complment dautres instruments sans quaucune question ne soit pose sur la pertinence de tel ou tel contrle. des dispositifs de matrise orients contrles : ils sont mis en place sans forcment de mise en perspective avec les autres instruments, avec une multiplicit des contrles, une surestimation de lefcacit du dispositif de matrise : la ralit oprationnelle ne correspond pas forcment la traduction qui est faite via le questionnaire dauto valuation transmis. En effet des faiblesses subsistent, comme nous lavons indiqu prcdemment sans quaucune remonte de ces faiblesses ne soit effectue.

des plans de sauvegarde ou de survie, des fournisseurs redondants, des instruments juridiques : (i) de prvention, par exemple la mise en place dune politique contractuelle dengagements des achats, (ii) de protection, il sagit principalement des contrats dassurance mais aussi par exemple des clauses contractuelles de limitation de responsabilits. La dclinaison du dispositif de prvention qui vise rduire la survenance et les impacts des risques sera propre lentreprise en fonction de ses contraintes.

Plan de dploiement du dispositif de gestion des risques Questionnaire dauto-valuation Niveau ENTITE Questionnaire dauto-valuation Niveau PROCESSUS FINANCIER Fiche de risque avec plan dactions associ

Comment les faire vivre ?

Les actions et les rgles de fonctionnement mettre en place pour passer en mode prenne sont celles que nous avons indiques pour les autres thmes.

Les outils
Nous ne proposons pas doutils spciques pour la partie prvention car il sagit, selon les situations, soit des outils qui sont prsents dans la boite ides doutils pour la partie protection, soit il sagit de toute la gamme des produits dassurance qui ne sont pas lobjet de ces travaux. Dune faon gnrale trois types dinstruments (techniques, organisationnels, juridiques) permettent datteindre le niveau de prcaution requis, ils sont les suivants : des instruments techniques: (i) de prvention, par exemple des dtecteurs, des quipements de scurit, des contrles daccs, (ii) de protection, par exemple des murs coupe-feu, des stockages cloisonns, des quipements de protection individuels, des sauvegardes informatiques, des stocks de pices dtaches ou de produits nis, des instruments dorganisation: (i) de prvention, par exemple des procdures opratoires, des consignes de scurit, lexternalisation de certaines fonctions, la formation redondante, (ii) de protection, par exemple

1.3.5 La mise en uvre du Pilotage ou du Monitoring

Les apports de cette pratique
Les dispositifs de monitoring et de pilotage sont nombreux et couramment mis en place. Pour les membres du groupe de travail, les apports sont cals sur deux dimensions qui sont majeures : une vision de lvolution de lexposition aux risques : le dispositif de matrise des risques doit permettre une volution de cette exposition en termes de criticit nette, une vision de lefcacit des contrles : cest une dimension qui est complexe monitorer sans vouloir entrer dans des moyens de contrles importants sauf crer deux ou trois niveaux de contrles et den mesurer lefcacit au fur et mesure de la mise en place.

50

PARTIE 2

Les difcults rencontres

Les travaux relatifs au monitoring des dispositifs de matrise des risques sont devenus une pratique habituelle dans les entreprises quelle que soit leur taille, nous ne faisons que les rappeler la lumire des retours dexprience des membres du groupe de travail . la mesure de lefcacit des contrles : lapprciation qui est transmise ne correspond pas la ralit oprationnelle, se doter dune grille dapprciation est une tche complexe. la mesure de la criticit : lapprciation de la criticit est gnralement effectue sur une base qualitative et non sur une base quantitative, passer de lune lautre est un exercice difcile.

Comment les faire vivre ?

Il sagit de lutilisation des outils en mode prenne, pour ce faire, les trois rgles de fonctionnement suivantes doivent tre mises en place : le reporting relatif la performance oprationnelle doit comprendre une dimension risques ; inscrire formellement, deux fois par an, la revue des rsultats des tableaux de bord, de suivi des dysfonctionnements - risques ; le suivi de lvolution de la performance des processus dont les dysfonctionnements doivent progressivement disparaitre.

Les outils

Apprciation du niveau defcacit du dispositif (radars, KPI,...) Reporting de suivi de lefcacit du dispositif de matrise des risques Tableau de bord de suivi des Risques - Dysfonctionnements - Plans actions Le suivi de la performance des processus - KPI - cot processus clients Le suivi de la performance des processus - KPI - cot processus achats, approvisionnements Evolution de la maturit dun dispositif de matrise des risques Impact mtiers du risque informatique : cas RH-Paie.

51

52

BOITE A IDEES DOUTILS

BoIte A IDEES doutils

MISE EN UVRE DE LINTEGRATION DE LA MAITRISE DES RISQUES ET DE LAMELIORATION DE LA PERFORMANCE : LA BOITE A IDEES DOUTILS MODELES

54

ETAPE 1 - CONNAITRE LES ZONES A RISQUES

Business model : caractristiques et enjeux par mtier & activits sur la ou les entits Plan stratgique & business models 3/5 ans sur la ou les entits Cartographie de lensemble des activits de lentreprise : Niveau ENTITE Cartographie de lensemble des activits de lentreprise : Niveau BU Cartographie de lensemble des activits de lentreprise : Niveau fonction support - DAF Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/zones risques

55

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

BUSINESS MODEL : CARACTRISTIQUES ET ENJEUX PAR MTIER & ACTIVITS SUR LA OU LES ENTITS
Cette reprsentation a pour vocation de prsenter les caractristiques et enjeux par mtier & activits de lentit (ensemble dentit juridique ou sous groupe). Ce nest pas le modle organisationnel.

FORCES EXTERNES AGISSANT SUR LACTIVITE Environnement lgal/rglementaire (Direction europennes, loi franaise, ), Statut Epic (Etat), Politique dapprovisionnement, volution des cours, Climat politique, Concurrence entre nergies, Contraintes de nancement, Protection de lenvironnement, Risques de nouveaux entrants, Conditions mtorologiques
Marchs et formules de ventes Flux dactivits Alliances Fournisseurs de gaz Participation dans des gisements, Contrats take or pay , Contrats Internationaux, Eni tat franais Distributeur principal Activits, Services, Dir. Communes Autres distributeurs Trading Partenariat avec les banques change et transit avec ltranger, Accs des tiers au rseau Services Cognration, Rseaux de chaleur, Gnie thermique, Ingnierie Produits / services Produits nergie (gaz) Clients ligibles / non ligibles, Export Trading Rseau Clients

Flux stratgiques dactivit Processus oprationnels cls Amont - Exploration - Production - Recherche Infrastructure - Transport - Distribution

Consommateurs Particuliers, clients industriels, Producteurs dlectricit, sts de distributions, sts trangres

Secteur monopolistique Clients non ligibles (particuliers, entreprises) Secteur concurrentiel Clients ligibles, socits trangres International Mexique, Allemagne, Argentine, Hongrie

Commercial Services

Processus de gestion des ressources Direction des ressources humaines et des relations sociales Direction des services juridiques et nanciers Direction de la recherche Dlgation aux ressources communes Direction des systmes dinformation et de linformatique Direction des risques, du contrle et de laudit

56

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques PLAN STRATGIQUE & BUSINESS MODELS 3/5 ANS SUR LA OU LES ENTITS

In million

March 2012 Actual

March 2013 TYP 2,800 5,210 2,200 6,8% 135 6.1% 100

March 2014 TYP 3,400 6,091 2,530 6,4% 164 6.5% 187

March 2015 TYP 4,000 7,101 3,000 5,7% 209 7.0% 198

Orders received Backlog Sales S&A in % of Sales Income from operations Operating margin Free cash ow

2,026 4,302 2,027 7.7% 150 7.4% 50

57

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU ENTITE

Cette reprsentation prsente lensemble des activits dune entit. Les activits sont dcrites au niveau des principaux processus (les rectangles bleus).

AGENCES

CLIENTS

SIRET INSEE

COLLECTER LINFORMATION
CONSTITUER LA BASE PROSPECTS

SERVICE MARKETING

PREPARER LA PROSPECTION COMMERCIALE

PREPARER lOFFRE COMMERCIALE
Validation SERVICES COMMERCIAL JURIDIQUE INFORMATIQUE

METTRE A JOUR LA BASE CLIENTS - PROSPECTS

VALIDER lOFFRE COMMERCIALE

DIRECTION COMMERCIALE

DEFINIR LES ZONES COMMERCIALES

DEFINIR LE PLANNING DE PROSPECTION DEFINIR LE PLANNING DE PARUTION DES CONTENUS

STRUCTURER LEQUIPE COMMERCIALE

Prospects Contrle de coherence

AFFECTER LES PROSPECTS AUX ZONES COMMERCIALES

SIMULER LE CHIFFRE dAFFAIRES

PRESENTER LOFFRE A LEQUIPE COMMERCIALE

ACTIVITES OPERATIONNEL LES

ATTRIBUER LE CANAL DE PROSPECTION

FABRICATION DU CONTENU PUBLICITAIRE

Bon tirer Modifi / valid
SOUSTRAITANCES CLIENTS Planning de Prospection

Contenu Clients Fabriqu / Valid

AGENCE COMMERCIALE

Contenu fabriquer

Base Contenu
Dtail commande globale

FABRIQUER LE CONTENU
Contenu Annonce

FABRICATIONDISTRIBUTION DES

PUBLICITAIRE (SUPPORT PAPIER)

CORRIGER / FABRIQUER LES OUVRAGES

Contenu produits fabriqus valid AGENCE COMMERCIALE Contenu Clients Fabriqu / Valid SOUSTRAITANCES

CLIENTS

METTRE EN LIGNE LE CONTENU

Fichiers contenu des ouvrages IMPRIMER LES OUVRAGES

Contenu Annonce

FABRIQUER LE CONTENU PUBLICITAIRE EN LIGNE

Clients contacter

METTRE EN LIGNE SUR LE SERVEUR BASE DE PUBLICATION

Livraison sur les plateformes de distribution

Demande de validation Produits fabriqus

Contenus valides mettre en ligne

DIRECTION OPERATIONNELLE

C
ACTIVITES SUPPORT aux OPERATIONS

ACHATS SPECIFIQUES
SELECTIONNER ET CONTRACTUALISER LES APPROVISIONNEMENTS
FOURNISSEURS

ACHATS STANDARDS
SELECTIONNER ARTICLES

SELECTIONNER ET CONTRACTUALISER LES APPROVISIONNEMENTS

DETERMINER LES VOLUMES

LANCER LES COMMANDES OUVERTES ANNUELLES

LANCER LES COMMANDES

IMPRIMEURS

LANCER LES APPELS DE COMMANDES

RECEPTIONNER CONTROLER LES LIVRAISONS CONTROLER LES FACTURES

CONTROLER LES LIVRAISONS ET LES FACTURES CONTROLER STOCK PAPIER IMPRIMEUR

Achats standards

TRAITEMENT DE LINFORMATION COMPTABLE ET FINANCIERE (conformit)

Achats de papier

SAISIR ET CONTROLER LES FACTURES FOURNISSEURS ORDONNANCER LES REGLEMENTS FOURNISSEURS

ACTIVITES TRAITEMENT DE lINFORMATION COMPTABLE

CALCULER LES DOTATIONS AUX PROVISIONS (hors PCA)

CALCULER LES DOTATIONS AUX AMORTISSEMENTS

CONSTRUCTION DE LiNFORMATION COMPTABLE ENTITE ( Arrt des comptes) CONSOLIDATION DE LiNFORMATION COMPTABLE GROUPE ( Arrt des comptes)

58

BOITE a idees DOUTILS

Les zooms des parties A / B / C / D sont prsents pages suivantes.

LEGENDE
Processus

Information

Acteur Externe Flux dinformation

Facture

A
DIRECTION COMMERCIALE

Renvoi sur le schma

COMMERCIAUX DIRECTION COMMERCIALE

CONSTRUIRE LE PORTEFEUILLE A PROSPECTER AFFECTER PORTEFEUILLE A LEQUIPE COMMERCIALE

PROSPECTER CRER LES COMMANDES CLIENTS

VENDRE - FACTURER ENCAISSER

IMPRESSIONOUVRAGES

MODIFIER LA VALEUR DU PORTEFEUILLE DES VENDEURS

DIRECTION COMMERCIALE

TRAITER LES RECLAMATIONS DES CLIENTS

VALIDER LES COMMANDES COMMERCIALES ET LE REGLEMENT

SUIVRE LACTIVITE COMMERCIALE Commandes Fermes ENREGISTRER LES COMMANDES ET LES REGLEMENTS

DISTRIBUER LES OUVRAGES

VERIFIER LE RESPECT DES REGLES DE PAIEMENT

FACTURER LES COMMANDES ET COMPTABILISER LE CHIFFRE DAFFAIRE

COMPTABILITE GENERALE

Livraison des ouvrages ENCAISSER ET RECOUVRER LES CREANCES CLIENTS TRESORERIE

CLIENTS

DIRECTION RELATIONS HUMAINES

REMUNERER LES COMMERCIAUX

DIRECTION FINANCIERE

TRESORERIE

GERER LA TRESORERIE
Rglements Clients GERER ET ELABORER LE PROFIL DE REMUNERATION DU COMMERCIAL

ATTRIBUER LE PROFIL DE REMUNERATION DU COMMERCIAL A LA COMMANDE CLIENT

CALCULER LA REMUNERATION VARIABLE DES COMMERCIAUX DETERMINER LES AUTRES ELEMENTS DE REMUNERATION

GERER LA TRESORERIE

PAYER LE PERSONNEL
EFFECTUER LA PAIE DES COMMERCIAUX

EFFECTUER LA PAIE DES TELEVENDEURS ET SEDENTAIRES TRAITER LES NOTES DE FRAIS ET ORDRES DE MISSIONS

CENTRALISER LES OPERATIONS DE TRESORERIE

CENTRALISER LA PAIE

PRODUCTION DE LiNFORMATION COMPTABLE ( production journalire alimentation application amont Saisies manuelles)

CENTRALISER LES NOTES DE FRAIS

CENTRALISER - LE CHIFFRE DAFFAIRES - LES REGLEMENTS CLIENTS

- CENTRALISER LES PCA

59

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU ENTITE

AGENCES

CLIENTS

SIRET INSEE

COLLECTER LINFORMATION
CONSTITUER LA BASE PROSPECTS

METTRE A JOUR LA BASE CLIENTS - PROSPECTS

DEFINIR LES ZONES COMMERCIALES

Prospects Contrle de coherence

AFFECTER LES PROSPECTS AUX ZONES COMMERCIALES

ACTIVITES OPERATIONNEL LES

FABRICATION DU CONTENU PUBLICITAIRE

Bon tirer Modifi / valid
SOUSTRAITANCES CLIENTS

Contenu Clients Fabriqu / Valid

AGENCE COMMERCIALE

Contenu fabriquer FABRIQUER LE CONTENU Contenu Annonce PUBLICITAIRE (SUPPORT PAPIER) Dtail commande globale

Base Contenu

Contenu produits fabriqus valid AGENCE COMMERCIALE Contenu Clients Fabriqu / Valid SOUSTRAITANCES

CLIENTS

Contenu Annonce

FABRIQUER LE CONTENU PUBLICITAIRE EN LIGNE

Clients contacter

Demande de validation Produits fabriqus Contenus valides mettre en ligne

60

BOITE a idees DOUTILS

SERVICE MARKETING

PREPARER LA PROSPECTION COMMERCIALE

PREPARER lOFFRE COMMERCIALE
Validation SERVICES COMMERCIAL JURIDIQUE INFORMATIQUE

VALIDER lOFFRE COMMERCIALE

DIRECTION COMMERCIALE

DEFINIR LE PLANNING DE PROSPECTION DEFINIR LE PLANNING DE PARUTION DES CONTENUS

STRUCTURER LEQUIPE COMMERCIALE SIMULER LE CHIFFRE dAFFAIRES

PRESENTER LOFFRE A LEQUIPE COMMERCIALE

DIRECTION COMMERCIALE

ATTRIBUER LE CANAL DE PROSPECTION

Planning de Prospection

CONSTRUIRE LE PORTEFEUILLE A PROSPECTER AFFECTER PORTEFEUILLE A LEQUIPE COMMERCIALE

FABRICATION-IMPRESSIONDISTRIBUTION DES OUVRAGES

CORRIGER / FABRIQUER LES OUVRAGES

METTRE EN LIGNE LE CONTENU

Fichiers contenu des ouvrages IMPRIMER LES OUVRAGES METTRE EN LIGNE SUR LE SERVEUR BASE DE PUBLICATION

Livraison sur les plateformes de distribution

DISTRIBUER LES OUVRAGES

Livraison des ouvrages

CLIENTS

DIRECTION

61

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU ENTITE

COMMERCIAUX DIRECTION COMMERCIALE

PROSPECTER CRER LES COMMANDES CLIENTS

VENDRE - FACTURER -

MODIFIER LA VALEUR DU PORTEFEUILLE DES VENDEURS

DIRECTION COMMERCIALE

TRAITER LES RECLAMATIONS DES CLIENTS

VALIDER LES COMMANDES COMMERCIALES ET LE REGLEMENT

SUIVRE LACTIVITE COMMERCIALE Commandes Fermes

62

BOITE a idees DOUTILS

LEGENDE
Processus

Information

Acteur Externe Flux dinformation

Facture

Renvoi sur le schma

UX DIRECTION COMMERCIALE

ENCAISSER
VENDRE - FACTURER ENCAISSER

PROSPECTER S COMMANDES CLIENTS

MODIFIER LA VALEUR DU PORTEFEUILLE DES VENDEURS

DIRECTION COMMERCIALE

TRAITER LES RECLAMATIONS DES CLIENTS

VALIDER LES COMMANDES COMMERCIALES ET LE REGLEMENT

SUIVRE LACTIVITE COMMERCIALE ENREGISTRER LES COMMANDES ET LES REGLEMENTS

s Fermes

VERIFIER LE RESPECT DES REGLES DE PAIEMENT

FACTURER LES COMMANDES ET COMPTABILISER LE CHIFFRE DAFFAIRE

COMPTABILITE GENERALE

ENREGISTRER LES COMMANDES ET LES REGLEMENTS

ENCAISSER ET RECOUVRER LES CREANCES CLIENTS TRESORERIE

REMUNERER LES COMMERCIAUX

VERIFIER LE RESPECT DES REGLES DE PAIEMENT GERER ET ELABORER LE
PROFIL DE REMUNERATION DU COMMERCIAL
DIRECTION FINANCIERE

ATTRIBUER LE PROFIL DE REMUNERATION DU COMMERCIAL A LA COMMANDE CLIENT

FACTURER LES COMMANDES ET COMPTABILISER LE CHIFFRE DAFFAIRE DETERMINER LES AUTRES

ELEMENTS DE REMUNERATION

COM PTABILITE CALCULER LA GENERALE REMUNERATION VARIABLE

DES COMMERCIAUX

ENCAISSER ET RECOUVRER LES CREANCES CLIENTS PAYER LE PERSONNEL TRESORERIE

EFFECTUER LA PAIE DES COMMERCIAUX

EFFECTUER LA PAIE DES TELEVENDEURS ET SEDENTAIRES TRAITER LES NOTES DE FRAIS ET ORDRES DE MISSIONS

CENTRALISER LA PAIE

CENTRALISER LES NOTES DE FRAIS

63

CENTRALISER - LE CHIFFRE DAFFAIRES - LES REGLEMENTS CLIENTS

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU ENTITE

DIRECTION OPERATIONNELLE

ACHATS SPECIFIQUES
SELECTIONNER ET CONTRACTUALISER LES APPROVISIONNEMENTS

FOURNISSEURS

DETERMINER LES VOLUMES

ACTIVITES SUPPORT aux OPERATIONS

LANCER LES COMMANDES OUVERTES ANNUELLES

LANCER LES APPELS DE COMMANDES

TRAITEMENT DE LINFORMATION COMPTABLE ET FINANCIERE (conformit)

ACTIVITES TRAITEMENT DE lINFORMATION COMPTABLE

64

BOITE a idees DOUTILS

TRESORERIE

ACHATS STANDARDS
SELECTIONNER ARTICLES

GERER LA TRESORERIE
Rglements Clients

SELECTIONNER ET CONTRACTUALISER LES APPROVISIONNEMENTS

GERER LA TRESORERIE LANCER LES COMMANDES

IMPRIMEURS

RECEPTIONNER CONTROLER LES LIVRAISONS CONTROLER LES FACTURES CONTROLER LES LIVRAISONS ET LES FACTURES CONTROLER STOCK PAPIER IMPRIMEUR

Achats standards

Achats de papier

SAISIR ET CONTROLER LES FACTURES FOURNISSEURS ORDONNANCER LES REGLEMENTS FOURNISSEURS

CENTRALISER LES OPERATIONS DE TRESORERIE

CALCULER LES DOTATIONS AUX PROVISIONS (hors PCA)

PRODUCTION DE LiNFORMATION COMPTABLE ( production journalire alimentation application amont Saisies manuelles)

CALCULER LES DOTATIONS AUX AMORTISSEMENTS

CONSTRUCTION DE LiNFORMATION COMPTABLE ENTITE ( Arrt des comptes) CONSOLIDATION DE LiNFORMATION COMPTABLE GROUPE ( Arrt des comptes)

65

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU ENTITE

DIRECTION RELATIONS HUMAINES DIRECTION FINANCIERE

REMUNERER LES COMMERCIAUX

ATTRIBUER LE PROFIL DE REMUNERATION DU COMMERCIAL A LA COMMANDE CLIENT

GERER ET ELABORER LE PROFIL DE REMUNERATION DU COMMERCIAL

PAYER LE PERSONNEL
EFFECTUER LA PAIE DES COMMERCIAUX

EFFECTUER LA PAIE DES TELEVENDEURS ET SEDENTAIRES

CENTRALISER LA PAIE

CENTRALISER LES NOTES DE FRAIS

CENTRALISER - LE CHIFFRE DAFFAIRES - LES REGLEMENTS CLIENTS

- CENTRALISER LES PCA

66

BOITE a idees DOUTILS

D
CALCULER LA REMUNERATION VARIABLE DES COMMERCIAUX DETERMINER LES AUTRES ELEMENTS DE REMUNERATION

TRAITER LES NOTES DE FRAIS ET ORDRES DE MISSIONS

67

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU BU

Cette reprsentation prsente lensemble des activits dune entit. Les activits sont dcrites au niveau des principaux processus (les rectangles de couleurs).

CLIENT

DVELOPPER LA VENTE / COMMERCIALISATION

Proposition/Devis Accept Affaire qualifie simple

ETABLIR ET SUIVRE
Devis affaire complexe

LE CARNET DE COMMANDE

ACTIVITES OPERATIONNELLES

Affaire qualifie complexe

CONCEVOIR LES PROJETS

Proposition/Devis Accept

tude excution

RALISER LES PROJETS ET MAINTENIR LES OPERATIONS

Spcification de consultation

Offre de prix Achat de matires, composants et Intrim

ACTIVITES SUPPORT AUX OPERATIONS

ACHATS FRAIS GENERAUX

Rception et contrle des livraisons

ACHATS DE MATIERES, DE COMPOSANTS ET INTERIM

Factures achats comptabiliser

Campagne de rglements (dcade)

ACTIVITES TRAITEMENT DE LINFORMATION COMPTABLE

SUIVI DE LA TRESORERIE
Virements reus et mis (journalier)

ORDONNANCER LES REGLEMENTS FOURNISSEURS (PS / AP)

INTEGRER ET AFFECTER LES REGLEMENTS CLIENTS (PS / AR )

F lux dquilibra ge et de gestion du cash (journalier)

ENREGISTRER LES FLUX DE TRESORERIE

68

BOITE a idees DOUTILS

LEGENDE
ACTEUR EXTERNE

Proposition /Devis

PROCESSUS

Flux manuel F lux dInterfa ce Flux automatique

Proposition/Devis Accept

SUIVRE LE PORTEFEUILLE DES PROJETS ET DES OPERATIONS COMMANDEES

Projets / Oprations commandes

Avancement des Projets / Oprations Avancement des Projets / Oprations

FACTURER LES PROJETS ET LES OPERATIONS

Liste des matriels mobiliss Planification du personnel mobilis

Achat de matires, composants et Intrim

GERER LE PERSONNEL

Facturation des affaires

GERER LES MOYENS / PARC MATRIEL / STOCK

Facture des biens immobiliss (interface journalire)

Paie des Collaborateurs (interface mensuelle)

Notes de frais et de dplacements (interface mensuelle)

Valeurs brutes des immobilisations Dotation aux amortissementsC es s ions dimmobilis a tions (interface mensuelle Fin de mois)
INTEGRER L E C H IF F R E DAF F AIR E S (PS / AR)

GENERER LES ECRITURES C O MP T AB L E S dAC H AT S (PS / AP)

INTEGRER LA PAIE (SAP/HR)

INTEGRER LES NOTES DE FRAIS ( SAP/HR)

PRODUIRE L INF O R MAT IO N C O MP T AB L E (alimentation par les applications amont et les saisies manuelles) (PS / GL)

INTGRER LES IMMOBILISATIONS ET LES AMORTISSEMENTS DES IMMOBILSATIONS CORPORELLES (PS / GL)

CALCULER ET INTEGRER LES DOTATIONS AUX PROVISIONS (PS / GL )

CONSTRUIRE L INF O R MAT IO N C O MP T AB L E INDIV IDU E L L E ( Clture des comptes) (PS / GL)

Flux CARTESIS ETAFI

TRAITEMENT DE lINFORMATION COMPTABLE ET FINANCIERE

C O NS O L IDE R L INF O R MAT IO N C O MP T AB L E INDIVIDUELLE ( Arrt des comptes SAP-CARTESIS)

69

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU FONCTION SUPPORT - DAF

Cette reprsentation prsente lensemble des activits dune fonction support. Les activits sont dcrites selon une arborescence trois niveaux des principaux macro-processus - processus - activits (cf. lgende).

De la COMMANDE FOURNISSEUR au PAIEMENT

FACTURATION ENCAISSEMENT/ RECOUVREMENT

BUDGET PAIE NOTE DE FRAIS TRESORERIE COMPTABILITE PRODUIRE LINFORMATION COMPTABLE ET FINANCIERE

PA I E & RH BUDGET

NOTE DE FRAIS

GESTION DE LA TRESORERIE

De la COMMANDE FOURNISSEUR au PAIEMENT

De la COMMANDE CLIENT au
GESTION DES REFERENTIELS : CLIENTS / CONTRATS / PROJETS / SOUS-TRAITANTS INTERNES ET EXTERNES

GESTION DU REFERENTIEL FOURNISSEURS

ACHAT SOUSTRAITANCE

ACHAT AUTRES

FRAIS DE VOYAGES

- C rer la fiche projet - Maintenir le rfrentiel Contrat externe

Fiche Projet

Fiche projet Partielle (interface automatique journalire) Rejets Dinterface

Vrifier lexhausitvit des mouvements de linterface

Rfrentiel Client / Contrat / Relation de sous-traitance interne

- Intgrer les conditions, instructions de facturation - Affecter les ressources aux projets et tarifs contractuels
Conditions, modalits de facturation et affectations

COMPTABILITE PRODUCTION

LEGENDE
NOTE DE FRAIS
MACRO-PROCESS Commerciaux

Valoriser la production en prix de vente (Rgie)

O
Frais refacturables compiles par projet

De la COMANDE CLIENT AU REGLEMENT

Corriger / Valider la facturation (Rgie)

Pr-Facturation

- Etablir pr-facturation Etablir la facturation - Etablir les avoirs (Rgie)

FACTURATION

PROCESS

ETABLIR LA FACTURATION
Corriger / Valider la facturation (Rgie)

ACTIVITE Directeur de Projet ACTIVIT

Donner les instructions de facturations (Forfait)

Etat degestion - mensuel

- Etablir la facturation -Etablir les avoirs (Forfait)

Flux dinformation
ZONES A RISQUES

FACTURATION

Factures et avoirs

70

BOITE a idees DOUTILS

COMPTABILITE - REPORTING
COMPTABILITE CLOTURER PERIODIQUEMENT LES COMPTES
GOUVERNANCE

REPORTING

REGLEMENT

PRODUCTION ET SUIVI DE GESTION

GESTION DES TEMPS et suivi des affectations

MARKETING ET GESTION COMMERCIALE

GESTION COMMERCIALLE (du contact la prise de commande)

CONTRLE DE GESTION

AFFAIRES AU FORFAIT

AFFAIRE EN REGIE

FONCTIONS SUPPORT

Demande davoirs

Temps / Activits valoriss en cot interne

Demande davoirs

ENCAISSEMENT / RECOUVREMENT
Demandes davoirs Valid Commercial Factures

CLIENTS

Chque et traites (10%)

Comptabiliser les rglements et lettrer factures et avoirs

Factures rgles

Suivre les impays et coordonner le recouvrement

Relances Balance Age commente ( hebdomadaire)

CLIENTS BU SUIVI ET GESTION DES TEMPS

Factures et avoirs

Comptabiliser la facturation et les avoirs

D

Collecter et Rapprocher les virements reus avec les factures en attente de rglement (XXX virements pour YYYY factures par mois)
Virement 90%

Priorisation Relance client

COMPTABILITE PRODUCTION

Vrifier de faon rgulire la solvabilit des clients

Alerte mail

Demande dtablissement davoir valide

Etablir les provisions pour impays sur les factures > XXX jours)

COMPTABILITECLOTURE

COMPTABILITE PRODUCTION

BANQUES

DUN & BRAD STREET

71

BOITE a idees DOUTILS

Etape 1 connaitre les zones risques

LOCALISATION DES ZONES RISQUES ET CONSTRUCTION DUN PREMIER UNIVERS DES ZONES RISQUES : CARTOGRAPHIE MTIERS/ZONES RISQUES
Cet outil prsente une cartographie des mtiers et des principaux enjeux nanciers pour chacun des mtiers. Ce premier cadre (partie haute) est enrichi dans le deuxime cadre (partie basse) de la localisation des zones risques et dune premire apprciation de lexposition aux risques. Le premier univers des zones risques a ainsi t cr.

EUROPE
France Italie Production (u.p) Distribution (u.d) / (u.f) 12 15 2 36 3 1 12 4 12 2 3 40% 6 726 756 602 256 301 358 505 268 96 9 14 3 4 1 3 Turquie Production (u.p) 3 Distribution (u.d) / (u.f) 5 1 3

Mtiers
Bagagerie Vetement et accessoires Accesoires textiles Autres mtiers

CA (M)
936 360 227 78

Corporate

Production (u.p) 2 3

Distribution (u.d) / (u.f) 7 2 7 2

Canal de distribution principal

Parfums Horlogerie Arts de la Table

1 601
117 87 38 1 24 24 13 4 6 83

Canal de distribution secondaire

Autres produits

242
71

Total Chiffre daffaires Effectifs Univers Risques Groupe Risque stratgique

1 914

Exposition Exposition 3

3 N/A 3

1 3

1 N/A 2

1 2

2 oui 2

3 2

Stratgie

Croissance externe Risques pays Risque qualit

Certication ISO

Cur mtier

Exposition 14001

1 3

2 3

2 2

Risque supply chain

Sourcing

Risques nancier
Pool trsorerie Couvertures (Taux - change)

Exposition

Risques RH

Exposition Politique RH Organigramme Dlgation de pouvoirs Legal answer Exposition Systme intgr ERP Value Way

Support
Risque SI

Dispositifs de matrise des risques

ERM Procdures Groupe IC Self Assess. dploy Audit interne Dploy Dploy Dploy Last year Audit 20% 30% 10% 10% 0% 30% 50%

Lgende
Unit Production : Unit Distribution : Unit Franchise : u.p u.d u.f

Niveau dexposition
Exposition forte Exposition moyenne Exposition faible 1 2 3

Matrise interne
En place En cours Non couvert

72

BOITE a idees DOUTILS

AMERIQUE
USA Production (u.p) 2 Distribution (u.d) / (u.f) 26 26 13 1 2 Mexique Production (u.p) Distribution (u.d) / (u.f) 2 2 3 Chine Production (u.p)

ASIE
Vietnam Production (u.p) Distribution (u.d) / (u.f) 2 1 2 2 Distribution (u.d) / (u.f) 12 15 36 3

55 60 32 12 2 224 45% 245 1 468 221 156 4 1

1 1 3

12 4 12 2

1 1

45 15%

10

420 468 235 467 gographiques/pays/type dactivit/

Synthse des activits par zone mtiers

1 oui 3

1 3

2 N/A 2

2 2

1 N/A 1

1 1

2 oui 2

2 2

1 2

3 1

3 1

3 1

1re estimation des zones risques et de leur matrise

3 2 3 2 3 2 3 2

0%

0%

30%

50%

20%

20%

20%

30%

Stade de dploiement des dispositifs de matrise

Elev Moyen Faible

Les couleurs montrent le stade de dploiement des dispositifs de matrise

73

74

ETAPE 2 - IMPLEMENTER UN DISPOSITIF DE GESTION DES RISQUES

Univers des risques afn Guide dentretien Fiche de risques - version en anglais Fiche de risque - version en franais Fiche de risque - version en franais Grille dvaluation - Echelle de risque Matrice des Processus et des Risques Premire cartographie des risques Plan de dploiement du dispositif de gestion des risques

75

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques UNIVERS DES RISQUES AFFIN
Loutil prsente lensemble afn du premier univers des zones risques.

Risques externes
Concurrence - Lobbying Social - Politique trangre - Lgislation - Catastrophes naturelles - Rglementation - Crise sur march cl Terrorisme - Relations avec les parties prenantes - Partenaires - Innovation Technologique

Risques internes
Risques stratgiques
Labelling - Proprit intellectuelle - Stratgie de dveloppement - Business model - Canaux de distribution Portefeuille - Perte de part de march - Stratgie Marketing - Protabilit - Fusion & acquisition - Intgration - Gouvernance

Risques oprationnels
Sant et Scurit - Connaissance, savoir-faire - Dveloppement Cycle de vie des produits - Pollution Accident majeur - Distribution Arrt de l'activit - Dommages aux tiers - Dfaillance quipement critique Qualit produit/service - Carence de fournisseurs - Dommages aux actifs Capacit - Carence Energie Interdpendance entre sites Erosion marque

Capital humain
Externalisation - Personne cl Communication - Comptences Gestion du changement / recrutement

Conformit
Lgislation & Rglementation - Contractuelle Juridique - Communication nancire

Gouvernance
Leadership - Dlgation - Limites - Autorit Performances incitatives

Intgrit
Fraude - Actes illgaux - Usage illgal - Ethique Image de marque

Sys. Information
Technologie - Infrastructure - Intgrit - Accs - Maintenance - Disponibilit - Condentialit Dpendance - Externalisation

Finances
Taux d'intrts - Liquidit - Risque Crdit Pension - Risque de change - Management nance (budget, forecast, pricing, impts) - Dprciation d'actifs

RISQUES EXTERNES
Concurrence Demande client Lobbying social conomie Marchs nanciers Fonds de pension Lgislation Catastrophe naturelle Politique Partenaires Terrorisme

RISQUES INTERNES STRATEGIQUES

Business Model Portefeuille dactivits Canaux de distribution Proprit intellectuelle March / Produit / Prix Intgration Structure organisationnelle Cycle de vie du produit Stratgie de dvlopt Gouvernance Stratgie marketing

OPERATIONNELS
Processus Capacit / ressources Autorisations administratives Cycle de vie produits Planning Environnement / pollution Construction : Sant & Scurit - Sous-traitance Innovations technologiques - Qualit Rglementation - Conformit REACH Gestion de lInformation Information comptable Budget /prvisions Exhaustivit/Exactitude valuation des investissements/actifs Relations actionnaires Informations de gestion (Tableaux de bord ) Fiscalit Ressources humaines
Gestion du changement Communication Comptences / savoirfaire Personnes cls Recrutement Management Externalisation Motivation Formation

FINANCIERS Concentration Interruption de lactivit Criticit des quipements Enregistrement des transactions Taux du crdit Pension Instruments nanciers Devises/Change Taux dintrt SI Cybercriminalit Accs/ Maintenance Capacit technologique Intgrit/Disponibilit des donnes Dpendance Infrastructure Fiabilit Con dentialit Liquidit Dprciation dactifs Communication nancire

Produits / Services : - Dveloppement - Qualit / Dfaillance - Engagements contractuels - Relation clients Approvisionnement Stratgie de mise en uvre Intgrit Con its dintrt Fraude Usage illgal Actes illgaux thique Gestion de limage Entente illicite Corruption CNIL Publicit mensongre Rglementation

76

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques GUIDE DENTRETIEN

World Company Group SA Guide dentretien Projet de Management des risques

INTRODUCTION CONTEXTE ET OBJECTIFS DU PROJET OBJECTIF DE NOTRE ENTRETIEN DEMARCHE DE REFLEXION PREALABLE A LENTRETIEN ANNEXE 1 - LES OBJECTIFS DE WCG SA ANNEXE 2 - AIDES A LA REFLEXION DE LIDENTIFICATION DES RISQUES ANNEXE 3 - ECHELLE DEVALUATION DES RISQUES ANNEXE 4 - VOS RISQUES SIGNIFICATIFS ANNEXE 5 - EXEMPLE DE LIVRABLE DE CARTOGRAPHIE DES RISQUES

Introduction
Dans le cadre du projet de management des risques et du contrle interne, nous vous avons sollicit pour participer lidentication et lvaluation des risques de WCG SA. Ce guide dcrit les objectifs recherchs ainsi que la rexion individuelle mener avant votre entretien.

Contexte et objectifs du projet

En dcembre 2008, lAutorit des Marchs Financiers a demand aux entreprises cotes de rendre compte des procdures de gestion de risques et de coner aux administrateurs le suivi de lefcacit des dispositifs de gestion des risques et de contrle interne. Dsireux dtre conforme cette nouvelle rglementation, WCG SA SA a initi une dmarche globale relative au management des risques sur lensemble du groupe. Cette rglementation doit tre transforme en une opportunit pour WCG SA et permettre ainsi de travailler en profondeur sur la abilisation et lamlioration de la stratgie 3 ans du groupe.

Objectif de notre entretien

Le principal objectif de cet entretien est didentier les risques que vous considrez comme les plus signicatifs pour WCG SA. An doptimiser le temps qui nous est imparti lors de lentretien, nous vous proposons de prparer votre rexion en suivant les tapes qui vous sont prsentes pages suivantes. Les informations recueillies pendant votre entretien vous seront renvoyes pour validation. Elles seront ensuite traites et consolides anonymement; elles ne feront pas lobjet dun suivi individualis.

77

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques GUIDE DENTRETIEN (SUITE)

Dmarche de rexion pralable lentretien

Pour rappel, le risque est la possibilit quun vnement ou quune action empche WCG SA datteindre ses objectifs. Labsence dopportunit est galement considre comme un risque pour lentreprise. La dmarche que vous allez suivre consiste : Lire les objectifs de WCG SA (Annexe 1) puis Identier les risques empchant datteindre les objectifs prcdemment cits (Annexe 2), et Les valuer en vous basant sur une chelle dvaluation (Annexe 3). Lobjectif de la prparation est de remplir le tableau de Vos risques signicatifs (Annexe 4).

La dmarche suivie

Les outils de lentretien

Annexe 1 : Les objectifs de WCG SA Annexe 2 : Aides la r exion pour lidenti cation des risques Annexe 3 : Echelle dvaluation des risques Annexe 4 : Vos risques signi catifs ( remplir)

Avant lentretien

Quels sont les objectifs de WCG SA ? Quest-ce qui nous empche datteindre nos objectifs ? Quelles menaces ? Quelles opportunits manques ? Quelle est la possibilit que ce risque se ralise ? Quelles en seraient les consquences pour WCG ?

Vos risques identi s et valus

Votre entretien Aprs lentretien

Consolidation par lquipe projet des risques et des valuations Annexe 5 : Exemple de livrable

Cartographie des risques

78

BOITE a idees DOUTILS

Annexe 1 Les objectifs de WCG SA

WCG SA est dote dun processus de planication stratgique qui consiste formaliser la vision des marchs sur lesquels nous intervenons, notre positionnement sur ces marchs, nos perspectives, notre stratgie et nos objectifs 3 ans. Chaque Dpartement, Rgion ou Pays dcline sur son primtre, la stratgie et les objectifs de WCG SA tels quils ont t valids. Cette dclinaison comprend : une partie quantitative retranscrite dans le plan 3 ans, et une partie qualitative portant sur des lments tels que la qualit, le recrutement et lintgration, lenvironnement qui est prsente dans les conseils de dpartement, rgion ou pays. Vous retrouvez vos objectifs dans le reporting STRATGIQUE dploy en fvrier 2012 tous les Dpartements, Rgion et Pays.

Annexe 2 Aides la rexion de lidentication des risques

Le second outil prsent est un aide-mmoire qui peut vous assister dans la recherche de risques. Son objectif est de vous remmorer quelques sources dinformation ou lments critiques propres votre activit.
Dcrivez les principaux objectifs attachs votre fonction / structure Dcrivez les principaux indicateurs de performances (oprationnels et nanciers) qui vous permettent didentier les problmes / anomalies Recensez les lments critiques de votre activit qui peuvent constituer une source de risques Recensez les processus / contrles qui limitent les lments critiques cits prcdemment

79

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques GUIDE DENTRETIEN (SUITE)

Annexe 3 Echelle dvaluation des risques

Un risque est valu suivant deux axes qui sont : la frquence et les consquences de ralisation. Les valuations que vous retiendrez, devront tre dans la mesure du possible, documentes . Cette valuation peut tre base sur lhistorique, sur des lments chiffrs, sur vos expriences
Frquence Probabilit doccurrence 1 1% (trs peu probable) 2 5% ( ne pas carter) 3 25% (possible) 4 50% (tout fait possible) 5 75% (trs probable)

Dans la mesure du possible, chacune de ces valuations doit tre documente .

Frquence
Impact nancier (direct, et consquences nancires des autres types d'impact)

1
Impact faible : incident de parcours sur le plan nancier

2
Impact moyen : affectant l'entit sur le plan nancier sur une anne Court terme Rgional ou national

3
Impact fort : affectant l'entit sur le plan nancier sur la dure du Projet d'entreprise Long terme ; local ou Court terme ; transfrontalier

4
Impact majeur : affectant durablement l'entit sur le plan nancier Long terme Rgional ou national

5
Impact capital : mettant en jeu la survie de l'entit sur le plan nancier

Impact environnemental

Court terme

Long terme Transfrontalier

Impact sanitaire

Un ou plusieurs malades ou blesss lgers

Un ou plusieurs malades ou blesss graves

Dcs d'une personne Long terme ; local ou rgional ou Court terme ; transfrontalier Stratgie perturbe/retarde pendant 1 2 ans Dgradation sensible du taux de satisfaction des clients sur un segment donn de clientle

Dcs de plusieurs personnes Long terme National

Dcs de nombreuses personnes

Impact image

Court terme Local ou rgional Mise en uvre de l'une des priorits de l'entit rendue plus dif cile

Court terme National

Long terme

Impact sur la stratgie

Mise en uvre de la stratgie rendue plus dif cile

La Stratgie ne pourra se raliser sur la dure du Projet d'entreprise Dgradation importante du taux de satisfaction des clients sur plusieurs segments de clientle Dmotivation forte - Grves importantes - Actions du personnel l'encontre des intrts de l'entreprise

Stratgie profondment remise en cause

Impact sur la satisfaction clients

Baisse de la satisfaction clients mais sans incidence

Baisse de la satisfaction clients avec incidence

Dgradation massive et/ou brutale du taux de satisfaction

Impact social

Dsaccords catgoriels

Attentisme gnral

Grves larves

Grves dures, gnralises, avec coupures massives, occupations de locaux, squestrations,

80

BOITE a idees DOUTILS

Annexe 4 - Vos risques signicatifs

Merci de dcrire dans le tableau ci-dessous, les risques qui vous semblent les plus signicatifs pour WCG SA.
Identication (Annexe 2) Quelles sont les sources / causes potentielles du risque ? Quelles seraient les consquences si le risque se ralisait ? Evaluation (Annexe 3) Consquences Contrles Quelles sont les actions / processus en place qui sont susceptibles de limiter le risque ?

Description du risque

(documentation)

Frquence

(documentation)

Annexe 5 Exemple de livrable de cartographie des risques

Trs fort

2 9 1 8 3
Risques majeurs traitement prioritaire

IMPACT = GRAVIT

Fort

Risques modrs

Moyen

10 12

11

5 7
Risques reprs

4 6

Faible

Risques mineurs Rare Peu probable

Probable

Trs probable

FREQUENCE

81

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques FICHE DE RISQUES - VERSION EN ANGLAIS
1.2 Competencies management Financial Impact xxM Likelihood xx% Last year

Risk category People

xxM / xx%

RISK DESCRIPTION
The risk of loss of competencies due to: - Ageing population - Lack of mobility - Business attractiveness - Restructuring - Quality of staff

CAUSES
This risk concerns missing operational, technical and project management skills. Its main causes can be found in both the context evolution and internal factors. The former are related to restructuring effects in a restarting market and to a shift in technical and geographical needs.

CONSEQUENCES
Existing skills set not adapted to needs Performance, quality and / or delays issues in project Insuf cient resources to execute orders, produce revenues, and provide leadership. Eventual loss of the existing knowledge base made of ageing experts

RISK RESPONSES

EVOLUTION OF THE RISK SINCE LAST YEAR

ACTIONS IMPLEMENTED SINCE LAST YEAR TO MITIGATE THIS RISK ACTIONS IN THE THREE YEAR PLAN TO MITIGATE THIS RISK INDICATORS / MONITORING LONG TERM EVOLUTION

Risk owner: xx

82

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques FICHE DE RISQUE - VERSION EN FRANAIS

Date MAJ JJ/MM/AA

Prestation des entreprises travaux

Objectifs menacs

Catgorie de risque

Propritaire du risque

Evaluation rsiduelle du risque Majeur

Description du risque
D o c u m e n t a t i o n

Risque incontrlable (*)

d u r i s q u e

Famille de risque

Dpendance de risques

Tendance

Causes / sources potentielles

Consquences potentielles

Facteurs cls de succs

Indicateurs de performance

Environnement de contrle : processus ou contrles en place pour limiter le risque

E n v t d e c o n t r l e

Processus / Contrles

Description

Responsable

Degr de matrise du processus / contrle (I, TFa, Fa, Fo, TFo)

Risque rsiduel
E v a l u a t i o n

Frquence Probable

Consquences Fort

Evaluation R. Rsiduel Majeur

Justication de lvaluation de la frquence

Justication de lvaluation des consquences

Actions / mesures proposes pour rduire le risque

d a P c l t a i n o n s

Responsable

chance

N i v e a u

d a s s u r a n c e

Vrication du degr de matrise du processus / contrle Vrications

Conclusion sur le niveau de matrise

* Risque incontrlable : impossibilit de rduire la frquence de ralisation

83

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques FICHE DE RISQUES - VERSION EN FRANAIS

Risque de Groupe

Risque transverse BU1 BU2 BU3

Risque majeur de branche BU1 BU2 BU3

Thme :
Risque 1 Description du risque :

Sous-thmes :
Frquence de citation ++

Principales causes

Principaux impacts

Exemple dactions de matrise mises en place

Exemple davnements du risque

Enjeux lis au risque

84

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques GRILLE DVALUATION - ECHELLE DE RISQUE

Likelihood represents the possibility that a given event will occur Table used to assess the likelihood of a risk
Level 4 3 2 1
Probable Possible Unlikely Improbable

Likelihood
Very likely to occur Likely to occur Not likely but not impossible Very little chance to occur > 50 % 20 - 50 % 2 - 20 % <2%

Impact materialises the effect of the event Table used to assess the nancial impact of a risk
Human/ Environmental Impact
Affect health of population and the environment Affect health of personnel on a large scale Likely to have a signi cant effect on health of one or few personnel members No effect on population nor on the environment Likely to affect health of one or few personal members No effect on population nor on the environment No effect on personnel or nearty population No effect on the environment

Level 4
Very hight

Net nancial impact

Image/ Reputation Impac

More than 200 M

Company credibility affected Management change

Hight

Between 50 & 200 M

Companys activities questioned/ Loss of credibility

Medium

Between 10 & 50 M

Negative publicity

Low

Less than 10 M

No effect on reputation

85

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques MATRICE DES PROCESSUS ET DES RISQUES
Cet outil permet de localiser les processus critiques qui feront lobjet dun traitement prioritaire.

Pour ce faire, il a t identi un certain nombre de facteurs de risques (dysfonctionnements) qui sont propres la situation rencontre, dans cet outil 7 facteurs de risques.

FACTEUR RISQUE 1 MACRO PROCESSUS 1Complexit des activits ncessaires au bon droulement du processus 2 2 1 2 3 3 1 1 2 3 2 1

FACTEUR RISQUE 2 2Homognit des oprations lmentaires qui sont traites par le processus 1 1 2 3 1 1 2 2 2 1 1 1

FACTEUR RISQUE 3 3Changements rcents dans le droulement du processus

PROCESSUS Rfrence du processus

Grer la base clients Prendre les commandes Commande Encaissement Facturer et reconnaitre le revenu Encaisser les factures clients Suivre les en-cours clients Grer la base fournisseurs Achat Rglement Passer des commandes Rceptionner les commandes Payer les fournisseurs Sous-processus A Prvision Comptablisation Sous-processus B Sous-processus C

CE1 CE2 CE3 CE4 CE5 AR1 AR2 AR3 AR4 SPA SPB SPC

2 1 1 3 1 1 1 1 3 2 1 2

Binome Macro-Processus et Processus qui re tent les activits de lentit

Lgende Niveau 1 : Niveau 2 : Niveau 3 : Fort Moyen Faible

86

BOITE a idees DOUTILS

Pour chacun des processus la criticit de chacun des facteurs de risque a t apprcie. Le niveau de risque brut du processus est apprci sur la base dune pondration de chacune des criticits observe pour les facteurs de risque (le niveau de prcision de ces matrices dpend de la granularit attendue).

FACTEUR RISQUE 4 4Robustesse des applications informatiques

FACTEUR RISQUE 5 5Contribution du process la performance nancire

FACTEUR RISQUE 6 6Complxit de lenvironnement lgal et contractuel

FACTEUR RISQUE 7 7Niveau de sensibilit des activits du processus la fraude

NIVEAU DE RISQUE BRUT DU PROCESSUS

2 1 1 3 1 2 2 2 1 3 1 3

1 1 1 2 2 1 3 3 3 2 1 3

1 3 1 3 1 1 1 1 2 1 2 1

1 1 1 3 1 2 3 3 1 1 1 3

1 1

3 1

2 2

Facteurs de risque (ou dysfonctionnement) qui sont lorigine ou peuvent dclencher des risques. Ces facteurs de risques doivent tre adapts la situation. Pour chacun des facteurs de risque un niveau de criticit est attribu.

Cest le niveau de risque BRUT du processus qui correspond lapplication de la somme pondre des niveaux de criticit de chacun des facteurs de risque.

87

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques PREMIRE CARTOGRAPHIE DES RISQUES
La cartographie des risques - Mode de lecture.

ZONE DACTIONS PRIORITAIRES Zone de risques critiques perus comme faiblement matriss. Zone prioritaire pour la mise en place de plans dactions.

ZONE DE MATRISE DES RISQUES CONFIRMER Zone de risques critiques perus comme bien matriss. Zone dintervention privilgie de laudit interne pour sassurer que le niveau rel de matrise des risques est en adquation avec le niveau peru.

ZONE SURVEILLER Zone de risques de faible importance perus comme moyennement ou faiblement matriss. Une surveillance permanente doit tre effectue pour sassurer que ces risques restent dimportance moindre. Des actions doivent tre entreprises pour en amliorer la matrise.

ZONE DE VIGILANCE Zone de risques de faible importance perus comme fortement matriss. Ces risques doivent faire lobjet dun contrle actif sur une base priodique pour sassurer quils restent matriss.

88

BOITE a idees DOUTILS

Critique

Actions prioritaires X% (N risques) Impact du risque

Niveau de matrise conrmer Y% (N risques)

Surveillance Z% (N risques)

Vigilance W% (N risques)

Signicatif

Niveau de matrise 5 Trs faible Niveau de matrise Excellent

89

BOITE a idees DOUTILS

Etape 2 implmenter un dispositif de gestion des risques PLAN DE DPLOIEMENT DU DISPOSITIF DE GESTION DES RISQUES
Plan de dploiement de la dmarche sur le groupe.

EUROPE France Italie Turquie

Mtiers
Bagagerie Vtement et accessoires Accessoires textiles Autres mtiers Canal de distribution principal Parfums Horlogerie Arts de la Table Canal de distribution secondaire Autres produits Total Chiffre daffaires Effectifs Plan de dploiement Q2 Q3 Q4 Q1 N+1 Q2 N+1
Enchanement sur lensemble du groupe de la mise en place des diffrents composants

Corporate

Production Distribution Production Distribution Production Distribution (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) 2 3 7 2 7 2 1 24 24 13 4 6 83 3 40% 1 2 12 15 36 3 12 4 12 2 96 9 14 3 4 1 3 3 5 1 3

6 726

756

602

256

301

358

505

268

A F B C D E C D B

F A B

A F B

F A B

A F B

F A B

Q3 N+1 Q4 N+1 Q1 N+2 Q2 N+2 Q3 N+2 Q4 N+2 Q1 N+3 Q2 N+3 D

Lgende
Mthodologie ERM Atelier des risques Cartographie risques Auto valuation CI Procdures gpe Audit interne Reporting Synthse A B C E F G D
Les diffrents composants qui constituent le dispositif de gestion et de matrise des risques

90

BOITE a idees DOUTILS

AMERIQUE USA Mexique Chine

ASIE Vietnam

Production Distribution Production Distribution Production Distribution Production Distribution (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) 2 26 26 13 1 2 2 2 3 12 15 36 3 55 60 32 12 2 224 45% 245 1 468 221 156 4 6 4 1 1 1 3 12 4 12 2 45 2 10 1 1 1 1 2 2 2

Synthse des activits par zone 15% gographiques/pays/type dactivit/mtiers

420

468

235

467

F F F

F F

F F

A B E

A B E

A B E

A B E

A B

A B

A B

A B

G E E E E

91

92

ETAPE 3 - FAIRE FONCTIONNER UN DISPOSITIF DE GESTION DES RISQUES EFFICACE

Questionnaire Auto-Evaluation Niveau ENTITE - version en anglais Questionnaire Auto-Evaluation Niveau Processus Financiers Cartographie des risques - Activit service Cartographie des risques - Activit industrielle Fiche de risque avec plan dactions associ Apprciation de lefcacit dun dispositif de matrise des risques Reporting de suivi de lefcacit du dispositif de matrise des risques

93

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU ENTIT - VERSION EN ANGLAIS World Company Group SA Group Risk Mapping
QUESTIONNAIRE Interviewee : Interviewed by : Date of the interview :

INTRODUCTION
Risk mapping is a process designed to identify and to assess on a regular basis the main risks for the Group, as WCG SA top management perceives them; this process is performed within WCG SA every 2 years. The 2011 risk mapping questionnaire has not been signicantly changed compared to the 2009 questionnaire. It focuses on the main risks for the WCG SA Group through consistent rules of risk assessment. Capitalizing on our previous experiences, we concentrate our study on the net/residual risk (after existing internal controls, procedures, processes, etc.) based on two precisely dened parameters: - likelihood and - severity. To achieve this goal, rating grids for likelihood and severity have been designed to assist you in assessing the potential impact of each identied risk as shown below.

Likelihood
The likelihood represents the number of times a risk may occur, within a specied period, either as a consequence of business operations or through failure of operating systems/policies/procedures.

Rating
1 2 3 4 Rare Possible Likely Almost certain

Description
May only occur in exceptional circumstances Might occur at some time Will probably occur in mosty circumstances Expected to occur in most circumstances

Expected Occurence
Once /> 10 years Once /> 10 years A least once /3 years A least once a years

94

BOITE a idees DOUTILS

Severity
Not all risk impacts can be quantied in monetary terms, so both qualitative (Image/Reputation and People) and quantitative (Turnover, Margin/Cash ow) ranking factors have been chosen as assessment criteria of risk consequences.

Rating
1 2 Minor Moderate

Sales (% on last year turn over)

Loss of sales of 3% Loss of sales of 10%

Margin / cash ow
Loss of margin /CF 1 - 10 M Loss of margin /CF 10 - 25 M

Image / media
Negative local media coverage Unresolved complaints received from a number of stakeholders conceming the same subject Short tem negative national media coverage

People
Localised disaffection by a group of employees Regional disaffection by a group of employees

Major

Loss of sales of 25%

Loss of margin /CFv 25 - 100 M

General morale issues impacting performance and turn-over rate key employees across the Group leave Widespread dissatisfaction amongs employees Unplanned loss of key executive Unable to keep or attract good people

Severe

Loss of sales more than 25%

Loss of margin /CF more than 100 M

Localised disaffection of stakeholders

A. RISKS THAT YOU IDENTIFY FOR THE WCG SA GROUP 1. Considering the two previous rating grids, and from your point of view, what are the ve main risks that you identify for the WCG SA Group?
What could potentially cause this to happen? Internal Processes (Yes/No) ** Residual risk (after internal processes)*** Likelihood 1 2 3 4 1 Severity 2 3 4

Main risks

Type of sequences*

1.

2.

3.

4.

5.

* Choose one or several among: Revenue, Margin/Cash-Flow, Image/Reputation, People. ** Do internal controls, procedures, processes exist to manage this risk? *** Refer to the two rating grids for likelihood and severity. Use an x.

95

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU ENTIT (SUITE)

2. What are, from your point of view, the ve Country or Business Groups or Units or Business Processes that you consider as being the most exposed to risk?
Subject 1. 2. 3. 4. 5. Explain why?

Comments

3. According to you, what are the three topics of utmost importance for the WCG SA Group that should be audited in the coming year:
Topics 1. 2. 5. Explain why?

Comments

96

BOITE a idees DOUTILS

B. RISK ANALYSIS PER CATEGORY In the list below, please select and grade from 1 (most important) to 10 (less important) the 10 risks you consider as critical for the WCG SA Group. For each of them, please rate the likelihood and severity of the residual risk (refer to the two rating grids), taking into account existing controls, procedures and processes in place to mitigate it.
Main Risks Residual risk * Frequency 1 2 3 4 1 Severity 2 3 4

Risk Category

Risk description
Non respect of WCG SA procedures

Governance & Management

Non-respected delegations of powers Fraud and con ict of interest Dif culties in the new organisation implementation Post acquisition / merger de ciencies risk Cable market slow-down / new competitors Dependency on customers Dependency on suppliers Shortage of raw materials and trading goods Non-optimized cross sales (transfer prices, commissions) Inconsistent pricing policy Unlimited liabilities in contracts Accusation of Unfair commercial practices Weak quality of manufactured products and/or services provided Subcontracting risk Production equipment inadequacies Lack of protection/development of technological know-how Supply chain inef ciency Risks link to turn-key projects Dependency on speci c equipments Environmental risk Insuf cient hedging of metal and foreign exchange risks Weaknesses in credit management and cash collection Completeness and accuracy of nancial data

Business

Industrial

Finance

Weak return on investment (acquisition, investment, restructuring) Low ROCE (Return on capital employed) High Working Capital Stock market / Capital markets / Investors risk Lack in systems security Lack in Segregation Of Duties (SOD)

IS / IT

IT Systems breakdown (Disaster Recovery plan) Inef ciency/inadequacies of IT system Loss of skills and/or motivation of employees Lack of training and career management Strikes and social unrest Workers accidents / Security Crisis risk and lack of emergency management (Business Continuity Plan) Theft and malicious incidents Natural disaster risk Political crisis risk Business Intelligence risk / Breach of con dentiality

HR

Others

* Refer to the 2 rating grids. Use an x

97

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Immobilisations incorporelles, corporelles et goodwills

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Exis tence/ occur rence

Cut-off/ appar tenan ce

Valorisation

Confor mit (PC+ rgle men tation)

A- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE

1.1 Acquisition des immobilisations
Engagements dachats dimmobilisations : Risques lis un suivi insuf sant des engagements dachats dimmobilisations (a n notamment dtre pris en compte dans le cadre de llaboration des annexes aux comptes). Distinction charges / immobilisations : Risque li une application errone des critres didenti cation des immobilisations incorporelles et corporelles, notamment les rgles de distinction entre les charges (entretien, rparations) et les immobilisatisations. Distinction charges / immobilisations : Risque li une clasi cation imprcise des contrats de crdit bail ou de location, gnrant une erreur de traitement comptable. Dtermination du cot dacquisition : Risque li une erreur dapplication des critres de comptabilisation des immobilisations concernant les lments constitutifs du cot dune immobilisation, y compris les modalits de dtermination et de suivi du cot de remise en tat des sites pour les immobilisations corporelles. Dtermination du cot dacquisition et scalit : Risque li une erreur dapplication du rgime de TVA applicable limmobilisation selon son affectation (secteur dactivit soumis la TVA, produits hors service universel par exemple ...). Autres impacts lis lacquisition: Les conditions dachat ont-elles gnr des engagements hors bilan donns ou reus ? Immobilisations incorporelles et goodwills : Un processus didenti cation, de comptabilisation et de suivi des immobilisations incorporelles et des goodwills est mis en place, en particulier concernant le goodwill et lallocation du cot dacquisition, les marques, brevets, fonds de commerce, chiers clients, autres droits contractuels, etc.

X X X X

X X X X X X X X X

X X X

1.2 Mise en production et vie des immobilisations

Mthode de valorisation et amortissement : Risque li une application errone des mthodes damortissement, notamment le point de dpart de lamortissement. Cela comprend les modalits dapplication de lapproche par composants et les modalits retenues pour la dtermination des valeurs rsiduelles. Existence des immobilisations corporelles : Risque li un rapprochement insuf sant entre les immobilisations corporelles en comptabilit, et linventaire physique. Existence des immobilisations corporelles : Risque li une conservation inadquate des titres de proprit (a minima respect des obligations lgales). Existence des immobilisations incorporelles : La protection juridique et informatique des immobilisations incorporelles fait lobjet dun suivi rgulier et de mesures visant scuriser les ressources que la socit pourra obtenir de ces immobilisations (protection des marques, des noms de domaine,...)

X X X X X X X

1.3 Fin de vie des immobilisations

Fin de vie de limmobilisation : Application des critres de classement en immobilisations destines tre cdes. Fin de vie de limmobilisation : Risque li labsence de procdure dautorisation de cession dimmo ou de mise au rebut, diffuse au sein du mtier.

X X

X X

2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION

2.1 Paramtrage des schmas comptables Risque li un paramtrage incorrect des schmas comptables. 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Risque li aux incidents dans linterface entre SI achats et production Risque li aux incidents dans linterface entre SI de la Production et ERP X X X X X

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES

3.1 Travaux darrts
Un rapprochement entre les systmes de gestion et les soldes comptables correspondants doit tre matrialis et document. Risque li au suivi insuf sant des mouvements dimmobilisations en vue de leur comptabilisation. Les carts dinventaire doivent tre analyss.

X X X

X X X

3.2 Elaboration de la liasse de consolidation selon les normes IFRS

Lorsque la mthode de la juste valeur est applique, les valuations sont ralises par des spcialistes ou partir de donnes de marchs et sont revues priodiquement. Une dmarche didenti cation dindices de pertes de valeur est mise en uvre au moins une fois par an et de faon systmatique chaque clture pour les actifs incoporels non amortissables, les immobilisations incorporelles en cours et les goodwills.

X X

X X

X X

4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis

5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS

5.1 Projets / volutions propres la lire
Description et risques lis (outils, acteurs, organisation )

5.2 Projets / volutions propres aux services amonts

Description et risques lis (outils, acteurs, organisation )

5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple)
Description et risques lis (outils, acteurs, organisation )

98

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Rvision comptable de 2me niveau Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Vuln rabilit la fraude

Dispositifs de contrle mis en uvre pour couvrir le risque

Contrles comptables de production

Rvision comptable de 1er niveau

99

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Immobilisations nancires

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Existence/ occurrence

Cut-off/ Valoappar risatenan tion ce

Confor mit (PC+ rgle men tation)

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE Acquisition et cession : Risque li un suivi insuf sant des oprations sur titres (acquisitions, cessions, complments de prix, garanties dactifs et de passifs) en vue de leur comptabilisation. Acquisition et cession : Risque li un dfaut didenti cation des engagements fermes ou optionnels de toute nature (promesse, call, put ) en vue de leur comptabilisation ou inclusion dans lannexe. Acquisition et cession : Risque li un processus dattribution de prts (notamment prts aux liales, ) insuf samment organis. Dtention : Risque li une conservation inadquate des titres de proprit et des contrats de prts. Classement : Risque li une dcision de classement ayant fait lobjet dune autorisation inapproprie : en IFRS, les rgles de classement dans les diffrentes catgories dactifs nanciers (IAS 39) sont clairement tablies et une procdure permet de sassurer qu lorigine de lopration, la dcision de classement fait lobjet dune autorisation approprie. 2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION 2.1 Paramtrage des schmas comptables Paramtrage des schmas comptables errons 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Incident dans linterface des SI amont. Incident dans l'interface avec ERP. 3- MAITRISE DES PROCESSUS DARRETE DES COMPTES 3.1 Travaux darrts Risque li des erreurs d'valuation chaque clture des produits se rattachant aux immobilisations nancires. Risque li un dfaut dapprciation chaque clture de lexistence dune indication objective de dprciation des immobilisations nancires. Dtermination des dprciations comptabiliser le cas chant. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X X X X X X X X X X X X X X X X X X X X X

4- AUTRES RISQUES 4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis 5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS 5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

100

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont
Achats Production

Contrle nancier

Acteurs processus comptables DFI locale DFI Sige mtier

Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque

Contrles comptables de production

Rvision comptable de 1er niveau

Rvision comptable de 2me niveau

101

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Achats - Fournisseurs et Assimils

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Existence/ occurrence

Cut-off/ Valoappar risatenan tion ce

Confor mit (PC+ rgle men tation)

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE

Point incontournable environnement interne : Le processus achat est organis et formalis dans le cadre de procdures applicables par tous les acteurs concerns. Point incontournable environnement interne : Il existe une sparation des fonctions de passation et dautorisation des commandes, de rception, denregistrement comptable et de rglement des fournisseurs. Passation et autorisation des commandes : Risque li un dfaut de procdure dautorisation diffrencie selon des seuils prdtermins de montant total de lachat. Passation et autorisation des commandes : Risque li un dfaut de contrle des avances sur factures fournisseurs (autorisation, suivi, imputation). Rception : Risque li un manque de suivi des rceptions refuses / litiges et de la comptabilisation des avoirs fournisseurs correspondant ou des rabais/remises/ristournes. Validation des factures : Risque li au dfaut de rapprochement entre les bons de commande, les bons de rception et les factures (quantit, prix, conditions de paiement). Les anomalies ventuelles font lobjet dune analyse et dun suivi. Enregistrement comptable : Risque li au dfaut denregistrement des factures ds rception, en parallle de leur circuit de validation. Enregistrement comptable : Risque li au rgime de TVA applicable lachat du bien ou du service selon son affectation (secteur dactivit soumis la TVA, ...). Enregistrement comptable : Risque li au dfaut didenti cation dEHB gnr par les conditions dachat. Enregistrement comptable : Risque li au double enregistrement des factures fournisseurs. Enregistrement comptable : Les comptes fournisseurs font lobjet dun examen et dune justi cation priodique (exhaustivit, exactitude). Rglement : Risque li labsence dun dispositif permettant dviter le double paiement des factures fournisseurs. Rglement : Risque li au dfaut de contrles de la gestion des rglements fournisseurs par une personne indpendante et autorise.

X X X X X X X X X X X X X X X X X X X X X X

2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION

2.1 Paramtrage des schmas comptables Paramtrage des schmas comptables errons 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Incident dans linterface des SI amont. Incident dans linterface entre SI amont et ERP X X X X X

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES

3.1 Travaux darrts Risque li labsence ou dfaut dune procdure permettant de sassurer que les produits et les charges ont t enregistrs sur la bonne priode. Risque li labsence ou dfaut dun dispositif permettant denregistrer les provisions pour factures non parvenues ou les charges payes davance de manire exhaustive et exacte. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X X X

4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis

5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS

5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

102

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Contrles comptables de production

Rvision comptable de 1er niveau

Rvision comptable de 2me niveau

103

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Produits des activits ordinaires / Clients et assimils

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE
Cration dun nouveau produit Les rgles de reconnaissance du chiffre daffaires sont tablies, revues lors de la mise en march dun nouveau produit ou service et connues par les quipes en charge de la facturation ou de ltablissement du chiffre daffaires. Cration dun nouveau produit La question du rgime de TVA applicable un nouveau produit selon son affectation (secteur dactivit soumis la TVA (produits hors service universel par exemple), secteur dactivit exonr de TVA (produits relevant du service universel par exemple) secteur mixte)) est pose puis la rponse documente. Cration dun nouveau produit Le schma comptable denregistrement est prvu et valid par lautorit comptente Cration dun nouveau produit Les rgles comptables adoptes par le mtier tablissent clairement la distinction entre ventes et prestations de service et indiquent si ncessaire les modalits de sparation adoptes pour les contrats composantes multiples. Signature dun nouveau contrat grand compte Les nouveaux contrats sont systmatiquement relus pour dtecter la prsence ventuelle dengagements hors bilan. Facturation Lensemble des livraisons effectues ou des services rendus donne lieu facturation au cours de la priode approprie Facturation Toutes les factures (squentiellement numrotes) sont enregistres dans les comptes clients ou directement en chiffre daffaires, Facturation Lmission des avoirs est justi e, et fait lobjet dune procdure dutilisation diffrencie selon des seuils prdtermins. Seuls les avoirs contrls sont enregistrs dans les comptes. Facturation Tous les comptes clients ouverts correspondent des clients rels, Facturation Le dversement des systmes de facturation dans la comptabilit est contrl lissue de chaque run de facturation. Facturation Les soldes de comptes sont priodiquement et correctement justi s. Encaissement Les fonctions de facturation et de recouvrement sont effectivement spares. Encaissement Les fonctions de recouvrement et de gestion des comptes clients sont effectivement spares. Encaissement Les clients douteux sont correctement identi s et les risques dinsolvabilit comptabiliss en conformit avec les rgles applicables.

Exhaustivit

Exactitude

Existence/ occurrence

Confor Cut-off/ Valo- mit (PC+ appar risargle tenan tion men ce tation)

X X X

X X X X X X X X X X X X X

2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION

2.1 Paramtrage des schmas comptables Paramtrage des schmas comptables errons 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Incident dans linterface des SI amont. Incident dans linterface entre SI amont et ERP X X X X X

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES

3.1 Travaux darrts Il existe une procdure permettant de sassurer que les produits et charges ont t enregistrs sur la bonne priode. Il existe un dispositif permettant denregistrer les factures mettre ou les produits constats davance de manire exhaustive et exacte. Il est procd un rapprochement compta/gestion concernant le CA factur de la priode et celui comptabilis dune part, et les soldes clients dautre part. Les provisions pour dprciation de crances clients sont valides par une instance spci que ou sont notamment reprsentes les directions nancires, juridiques et commerciales. Les provisions pour litiges commerciaux sont valids par une instance spci que ou sont notamment reprsentes les directions nancires, juridiques, de la production et commerciales. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X X X X X X X X X

4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis

5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS

5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

104

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Vuln rabilit la fraude Achats Production Contrle nancier Acteurs processus comptables DFI locale Contrles comptables de production Rvision comptable de 1er niveau DFI Sige mtier Rvision comptable de 2me niveau Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Dispositifs de contrle mis en uvre pour couvrir le risque

105

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Trsorerie / Financement et instruments nanciers

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Existence/ occurrence

Cut-off/ Valoappar risatenan tion ce

Confor mit (PC+ rgle men tation)

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE

Les nancements et la trsorerie font lobjet de processus organiss (procdure, dlgation, etc...) et de critres formaliss. Souscription de nancements Les emprunts souscrits sont accompagns dune documentation adquate. Souscription de nancements Les garanties reues ou donnes sur prts et emprunts sont clairement identi es et comptabilises et/ou incluses dans les annexes aux comptes. Gestion des emprunts Les comptes demprunts sont rgulirement rapprochs avec les donnes contractuelles, les tableaux damortissements et les donnes reues des tablissements nanciers. Gestion des emprunts Les tableaux damortissement calculs selon la mthode du cot amorti (au taux dintrt effectif) sont tablis au dmarrage de lemprunt. Oprations de trsorerie Les encours de trsorerie et dquivalent de trsorerie pour lesquels existent des restrictions demploi sur 12 mois ou plus sont identi s et font lobjet dun traitement comptable spci que. Oprations de trsorerie Les oprations de trsorerie sont comptabilises quotidiennement. Oprations de trsorerie Les comptes de banque font lobjet de rapprochements rguliers avec les donnes reues des banques et sont revus priodiquement selon des modalits qui respectent le principe de sparation des fonctions. Le rapprochement est matrialis et permet dexpliquer les carts ventuels. Oprations de trsorerie Les encours de caisses sont rapprochs des soldes correspondants issus des systmes de gestion selon une priodicit dpendant de limportance des ux changs Oprations de trsorerie Lautorisation des dpenses, lmission du paiement et la comptabilisation sont effectues par des personnes distinctes. X X X X X X X X X X X X X

X X

2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION

2.1 Paramtrage des schmas comptables Paramtrage des schmas comptables errons 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Incident dans linterface des SI amont. Incident dans linterface entre SI amont et ERP X X X X X

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES

3.1 Travaux darrts Les charges et produits nanciers calculs selon la mthode du taux dintrt effectif sont correctement valus et comptabiliss. La trsorerie et les emprunts en devises sont correctement valus. Les instruments drivs de taux dintrt ou de change sont correctement valus. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X X X

4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis

5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS

5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

106

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Contrles comptables de production

Rvision comptable de 1er niveau

Rvision comptable de 2me niveau

107

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Avantages accords au personnel

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Existence/ occurrence

Cut-off/ Valoappar risatenan tion ce

Confor mit (PC+ rgle men tation)

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLEw

Les activits de Paie font lobjet de procdures connues et adaptes aux choix dorganisation retenus (traitements en interne ou externaliss). Il existe une sparation des fonctions de calcul, denregistrement, de contrle, de paiement et de transmission des feuilles de paie. Gestion administrative du personnel Il existe un circuit dentre pour les personnes recrutes dans les premiers jours de leur arrive dans lentreprise ou le service Gestion administrative du personnel Il existe un circuit de sortie pour les personnes quittant lentreprise ou le service Gestion administrative du personnel Les lments de rmunrations initiaux, les soldes de tout compte et les lments variables de la paie font lobjet dun circuit dautorisation auprs des personnes idoines permettant de garantir la ralit des lments dus. Gestion administrative du personnel Il existe un dispositif permettant dassurer la transmission exhautive, exacte, et en temps utile des lments valids ncessaires au calcul de la paie (temps pass, heures supplmentaires, augmentations, primes, entres et sorties de personnel ). Gestion administrative du personnel Il existe un processus visant assurer la clart des informations relatives aux avantages accords au personnel, notamment pour les avantages postrieurs lemploi faisant lobjet de calculs actuariels complexes, ainsi que pour les avantages en nature ou autres avantages pouvant faire lobjet dvaluations. Edition de la paie Le calcul de la paie est contrl par une personne dun niveau de responsabilit appropri Paiment de la paie Lexactitude du virement des salaires fait lobjet de contrles. Comptabilisation et suivie de la paie Les critures de paie sont contrles par une personne dun niveau de responsabilit appropri. Comptabilisation et suivie de la paie Il est procd un rapprochement compta/gestion concernant la paie dite de la priode et celle comptabilise. Comptabilisation et suivie de la paie Les rgles comptables appliques par la socit prcisent le traitement comptable des actions et options attribues aux dirigeants et aux salaris. Comptabilisation et suivie de la paie Les comptes de personnel et charges sociales font lobjet dun examen et dune justi cation priodique. X X X X X X X

X X

X X

X X

X X

2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION

2.1 Paramtrage des schmas comptables Paramtrage des schmas comptables errons 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Incident dans linterface des SI amont. Incident dans linterface entre SI amont et ERP X X X X X

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES

3.1 Travaux darrts Il existe un dispositif de recensement, dvlaution et de contrle du bon enregistrement comptable : - des provisions pour congs pays, - des engagements en matire de plan pargne entreprise, - des engagements long terme au bn ce du personnel, - des engagements en matire de retraite et autres avantages postrieurs lemploi. La socit se fait assister, si ncessaire, dactuaires pour valuer ses engagements de retraite et autres avantages accords aux salaris. La socit se fait assister, si ncessaire, dactuaires pour valuer ses engagements de retraite et autres avantages accords aux salaris. Les provisions pour litiges sont valides par une instance spci que ou sont notamment reprsentes les directions nancires, juridiques et ressources humaines. Il est procd un rapprochement compta/gestion concernant la paie due au titre de la la priode et celle comptabilis dune part, et les soldes salaris dautre part, Les crances/dettes envers les salaris sont analyss et ventuellement provisionnes. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS

X X

X X

X X

4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis

5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS

5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

108

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Rvision comptable de 2me niveau Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Vuln rabilit la fraude

Dispositifs de contrle mis en uvre pour couvrir le risque

Contrles comptables de production

Rvision comptable de 1er niveau

109

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Impts, taxes et assimils

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Existence/ occurrence

Cut-off/ Valoappar risatenan tion ce

Confor mit (PC+ rgle men tation)

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE Il existe un processus de veille relatif aux obligations dcoulant des lois, rglementations et instructions scales. Les oprations de lexercice en cours, contrats, conventions, structure de prix de transfert, etc., sont analyses priodiquement sous un angle scal. Il existe un processus visant ce que le traitement, la prparation et le dpt des documents scaux, ainsi que le paiement des impts et taxes soient effectus de faon correcte et en temps voulu. Il existe un processus de conservation des informations ncessaires lenregistrement des impts et taxes et des vnements conomiques en matire de scalit, notamment pour la validation du taux dimpt effectif et la dtermination des impts diffrs. Il existe un dispositif de suivi comptable de la position scale diffre. 2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION 2.1 Paramtrage des schmas comptables X X X X X X X X

2.2 Dversement des donnes dun SI un autre jusqu la comptabilit

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES 3.1 Travaux darrts Une rconciliation entre la charge dimpt totale comptabilise dans le compte de rsultat consolid et la charge dimpt thorique (preuve dimpt) est tablie 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X

4- AUTRES RISQUES 4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis 5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS 5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

110

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Contrles comptables de production

Rvision comptable de 1er niveau

Rvision comptable de 2me niveau

111

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Provisions et engagements

IDENTIFICATION DES RISQUES Nature de limpact sur les tats nanciers

Zones de risques identies

Exhaustivit

Exactitude

Existence/ occurrence

Cut-off/ Valoappar risatenan tion ce

Confor mit (PC+ rgle men tation)

1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE Les engagements sont identi s selon un processus organis et selon des critres tablis. Une d nition claire des engagements est tablie par la socit et communique aux services concerns. Les engagements sont identi s rgulirement et donnent lieu un reporting centralis. La socit sassure de lautorisation des engagements donns, reus et rciproques. Il existe un processus visant ce que la socit donne en annexe de ses comptes une information sur ses engagements conformment aux principes comptables applicables. 2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION 2.1 Paramtrage des schmas comptables X X X X X X X X X X

2.2 Dversement des donnes dun SI un autre jusqu la comptabilit

3- MAITRISE DES PROCESSUS DARRETE DES COMPTES 3.1 Travaux darrts La socit fait un point priodique sur ses engagements et ses risques et dtermine en coordination avec ses experts et conseils sils doivent faire lobjet de provisions ou dune information en annexe. Elle comptabilise une provision ds lors quil existe une obligation juridique ou implicite, rsultant dvnements passs, et quil est probable que cette obligation provoquera une sortie de fonds au bn ce de tiers, sans contrepartie au moins quivalente attendue de ceux-ci et lorsquune estimation able du montant peut tre faite. Elle analyse les dotations et reprises sur provisions (en distinguant la part consomme) a n dapprcier la abilit du recensement et de lanalyse des risques. Elle passe en revue et value les charges et risques lis en particulier : aux ventes (remises, rductions sur vente, bons, cadeaux, garanties, etc.), aux impratifs de remise en conformit, de remise en tat de sites, de dpollution et obligations assimiles aux restructurations (indemnits, dmnagements, etc.), aux pertes sur contrats et marchs ou sur instruments nanciers. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS

X X

X X

4- AUTRES RISQUES 4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis 5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS 5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )

112

BOITE a idees DOUTILS

Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager

Contrles comptables de production

Rvision comptable de 1er niveau

Rvision comptable de 2me niveau

113

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace CARTOGRAPHIE DES RISQUES - ACTIVIT SERVICE

trs lev

2 5 5 8

13

16 13

+/- lev

14 14

18 17 15

17 15 1 1 12 12 11 3 9 4 9 11 10 10 7

Impact

trs faible

+/- faible

improbable

possible

probable

trs probable

Probabilit
lgende : niveau de risque risque brut mineur
1

modr
1

majeur risque net

critique

net rep graph 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 2,25 1,25 1,25 1,5 1,5 2,25 3,25 2,25 2,125 2,625 3,25 3,25 2,1 2 1 1,375 3,125 1,625 I* 2 P* 1,5

brut I* 2,25 3,5 1,5 1,5 3,25 3 1,25 3 1,25 1,5 1,5 2 3,5 2,5 2,25 3,5 2,5 2,5 P* 1,75 1,5 1,5 2,5 1,5 1,75 3,5 1,5 2,5 3,5 3,25 2,5 1,75 0,5 1,5 2 1,5 1,25 n 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 intitul

114

BOITE a idees DOUTILS

Etape 3 faire fonctionner un dispositif de gestion des risques efcace

CARTOGRAPHIE DES RISQUES - ACTIVIT INDUSTRIELLE

100 80

6.6
60

Market size 6.3 Competition 5.5 Sourcing Price of 6.5 raw material

2.4 Tax

New entrants and Market position

2.2 Country risk 2.3 Bonds Technology & Products performance 6.1 Intellectual property 4.1* Compliance 5.3 5.1 Partnering Tendering 5.2 Contracts terms and conditions

40

5.4 Contracts execution

5.6

5.0 Footprint 2.6 Inventory 1.4 Recruitment & Retention

Financial Impact (M EUR)

6.2 Technology transfer

20

5.7

Logistics 1.2

4.3 Public ecological and societal acceptance Industrial relations disputes

10 8 6

Competencies management 3.1 IS&T Service Delivery

6.4 Mergers and Acquisitions

1.6

1.5 Accidents Foreign Exchange 2.5 Fraud

1.3 Business 5.8 Interruption 4.2 Environmental

Employees safety

2.1

1.1

Employees security

1 0% 10% 20% 30% 40% 50%

Likelihood

People

Finance

Information

Compliance

Core Business

Market

115

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace FICHE DE RISQUE AVEC PLAN DACTIONS ASSOCI
0 - Position du risque dans le modle risque Risques lis lenvironnement externe

Stratgie et Pilotage

Risques Oprationnels

1 - Description et valuation du risque

Rfrent du risque Libell du Risque
Objectif du Rfrentiel dObjectifs

Description du risque, de ses causes, de ses consquences ; politique sectorielle de gestion de risque ventuellement associe

Causes :
-

Consquences :
-

Evaluation du risque, impacts actuel selon grille dvaluation 1 5

Financier Environnement Rglementaire Image Stratgie Satisfaction client Humain (social, sant)

Evolution du risque
Impact global (l) Probabilit doccurence (P) Niveau de matrise (M) Criticit du risque (lxPxM) Tendance ***

2008

2009

2010

2011

2012

2013

Impact nancier : estimation en M (si dj calcule ou chiffrable)

Impact sur chiffre daffaires Impact sur bilan

Hypothses et mthodes de calcul de lestimation en M de limpact nancier

116

BOITE a idees DOUTILS

*** Commentaires sur lvolution du risque, passe et venir

2 - Plan daction de matrise du risque Actions : R pour Ralis, E pour Encours, P pour Prvu
Plan dactions de matrise du risque
Face aux diffrentes composantes identies du risque, les actions de matrise sont : Action 1 : -R: -E: -P: Action 2 : -R: -E: -P: Action 3 : -R: -E: -P:

Planning davancement
2008 2009 2010 2011 2012 2015

Stratgie de management du risque rsiduel pour lavenir (traiter, transfrer, couvrir, accepter) et actions engager

Date de cration de la che

Date de clture de la che de risque

Raison de la clture (disparition, attnuation, , du risque)

Macro Processus Fonction

Accessibilit

Fiche semestrielle

Fiche dalerte temps rel

Rdacteur (nom, visa)

Rfrent du risque (visa et date)

117

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace APPRCIATION DE LEFFICACIT DUN DISPOSITIF DE MATRISE DES RISQUES

Cet outil est de type questionnaire (90 questions), il permet dapprcier lefcacit des pratiques qui constituent le dispositif en place en donnant une note (chelle 1 4) pour chacune des questions visant lefcacit des fonctions (partie 1), des modalits dexcution (partie 2), du contrle interne (partie 3) et de la communication nancire (partie 4).

Questions pour Administrateur

Questions pour Dir. Gnrale

Questions pour Risk Manager

THEMES SUR LESQUELS PORTE LAPPRECIATION DE LEFFICACITE

Note

Partie 1 : Questions gnrales sur les fonctions & sur leurs rles dans la matrise des risques
Le comit de direction inscrit-il lordre du jour et dispose-t-il de sufsamment de temps pour analyser les reporting des risques, de leurs maitrises et des rapports de laudit interne ? Les dispositifs de management des risques et de contrle interne sont-ils en ligne avec les objectifs stratgiques et oprationnels de lentreprise ainsi que ses principes gnraux ? Lindpendance du management des risques, du contrle interne et de laudit interne permet-elle de sufsamment garantir que le comit de direction sera inform des risques majeurs et de leur matrise ? Les recommandations daudit sont-elles mises en uvre, dployes et clairement communiques ? Le comit de direction est-il correctement inform des risques majeurs chaque niveau de management concern ? Le plan daudit interne intgre-t-il les risques majeurs ou les processus critiques dans son scope ? Le management des risques, le contrle interne et laudit interne partagent-ils les informations sur les risques majeurs identis, les principaux processus critiques et les plans de traitement adosss ? Les informations utiles sont-elles correctement intgres dans le rapport annuel ? X X X X X X X X X X X X X X X 4 3 3 2 3 3 3 4

Management des risques

Lorganisation dispose-t-elle dun vritable dispositif de management des risques ? Lorganisation dispose-t-elle dune stratgie ? Qui est en charge de cette dernire ? Lorganisation a-t-elle choisi un rfrentiel de management des risques ? (AMF, Coso2, ISO31000, FERMA) Lorganisation a-t-elle dni un niveau de tolrance, un apptit au risque et un prol de risque ? Existe-t-il un schma clair de communication de la stratgie et des limites de prise de risques acceptable par lorganisation? Lorganisation a-t-elle dni des objectifs stratgiques, quantiables et mesurables, en lien avec le prol des risques ? Ces objectifs stratgiques sont-ils diffuss dans toute lorganisation ? X X X X X X X X X X X X X X X X X 4 3 3 2 2 3 2

La prise de risques
Le dirigeant donne-t-il lexemple en prenant des risques matriss et en diffusant une culture approprie du risque ? Les limites des risques juges acceptables ou non par lorganisation sont-elles dnies par les dirigeants, valides par le conseil dadministration, diffuses et comprises auprs des personnes concernes ? Les responsabilits en matire de prises de risques sont-elles dnies et communiques aux personnes concernes? La dsignation dun propritaire de risque est-elle en accord avec la dlgation de pouvoir en place ? Lobtention de primes est-elle corrle avec les lments prcdents ? X X X X X X X X X X 3 2 3 4 1

Le risk manager
Est-ce quune vritable fonction de risk manager existe dans lorganisation ? Le risk manager en poste, dispose-t-il/elle des qualits pdagogiques, techniques et managriales sufsantes pour exercer correctement sa fonction ? Le risk manager en poste, dispose-t-il/elle des moyens humains, nanciers et techniques sufsants pour exercer correctement sa fonction ? Le risk manager en poste dispose-t-il/elle de lautorit sufsante pour exercer correctement sa fonction ? X X X X X X X X 3 3 2 4

118

Commentaires

BOITE a idees DOUTILS

Questions pour Administrateur

Questions pour Dir. Gnrale

Questions pour Risk Manager

THEMES SUR LESQUELS PORTE LAPPRECIATION DE LEFFICACITE

Note

Partie 1 : Questions gnrales sur les fonctions & sur les rles dans la matrise des risques
Contrle Interne
Existe-t-il une revue rgulire de lefcacit du dispositif de contrle interne ? Des zones critiques ont-elles t identies ? Le comit de direction dispose-t-il dune information adquate sur les processus critiques ? Qui pilote le dispositif de contrle interne ? Existe-t-il une procdure danalyse de ladquation des contrles cls (nanciers ou oprationnels) avec les projets et les activits ? Existe-t-il/elle un(e) responsable du contrle interne et qui reporte-t-il/elle ? La culture de lorganisation, la charte thique, les procdures RH et notamment la mthode dvaluation des comptences soutiennent-elles les objectifs de dveloppement ? Lautorit, les moyens et les comptences contenus dans les dlgations de pouvoirs sont-ils clairement dnis ? Permettent-elles que les dcisions soient prises par les bonnes personnes ? Existe-t-il une procdure de dnonciation des mthodes frauduleuses ou inappropries ? Un programme de formation pertinent est-il ddi au contrle interne ? Les bons stagiaires sont-ils concerns par cette formation ? X X X X X X X X X X X 4 4 3 3 3 2 1 3

Audit Interne
Lorganisation dispose-t-elle dune fonction daudit interne indpendante ? A qui reporte-t-elle ? Le directeur de laudit interne est-il rattach au bon niveau de lorganisation ? Laudit interne peut-il aller dans tous les secteurs, toutes les liales, sur tous les sujets de lorganisation ? Existe-t-il une communication pertinente auprs du comit de direction ? Le directeur de laudit interne dispose-t-il dun accs direct et facile ce comit ? Comment le plan daudit interne est-il construit ? Les lments du management des risques sont-ils clairement identis et intgrs au plan daudit interne? Le plan daudit interne et son budget sont-ils prsents et challengs ? Existe-t-il une procdure de suivi efcace permettant de sassurer que des plans dactions sont dnis et dploys maitrisant la criticit du risque ? Laudit interne value-t-il les dispositifs de contrle interne et de gestion des risques ? X X X X X X X X X X X X 4 3 3 2 3 3 4

Commentaires

119

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace APPRCIATION DE LEFFICACIT DUN DISPOSITIF DE MAITRISE DES RISQUES (SUITE)
Questions pour Administrateur Questions pour Dir. Gnrale Questions pour Risk Manager

THEMES SUR LESQUELS PORTE LAPPRECIATION DE LEFFICACITE

Note

Partie 2 : Questions gnrales sur le dispositif de management des risques

Dispositif de management des risques
Lorganisation a-t-elle dni des objectifs au dispositif de gestion des risques ? Une politique et des procdures de gestion des principaux risques ont-elles t dnies, valides par la Direction et mises en place dans lorganisation ? Lorganisation dispose-t-elle dun langage commun en matire de risques (typologie homogne, critres de recensement, danalyse et de suivi,) ? Lorganisation a-t-elle identi les obligations lgales et rglementaires applicables en matire de communication sur les risques ? Lorganisation communique-t-elle en interne aux personnes intresses : o Sur ses facteurs de risques ? o Sur le dispositif de gestion des risques ? o Sur les actions en cours et les personnes qui en ont la charge ? Les liens entre le dispositif de gestion des risques, le dispositif de contrle interne et laudit interne sont-ils clairs et efcaces ? X X X X X X X X X X X X X X X 2 3 4 2 3 3 3 4 X X X X X X X X X X X X 3 3 4 3

Identication des risques

Existe-t-il un processus didentication des risques menaant les objectifs de lorganisation ? Une organisation adquate a-t-elle t mise en place cet effet ? Comment lorganisation sait-elle si un risque devient majeur ou une dfaillance critique ? Lorganisation dispose-t-elle dun systme didentication et denregistrement des nouveaux risques ou des risques mergents ?

Analyse des risques

Pour les principaux risques identis, lorganisation ralise-t-elle une analyse des consquences possibles (chiffres ou non, nancires ou non nancires), de loccurrence et du degr de matrise estim ? Un suivi des principaux risques est-il ralis, permettant de sassurer du traitement des risques ? Les expriences passes de lorganisation (ou dacteurs comparables) en matire de risques sont-elles prises en considration ? Lanalyse des risques est-elle partage par la direction gnrale, et le management de lorganisation avec les personnes intresses ? Des indicateurs de suivi adosss la survenance du risque sont-ils en place ? Permettent-ils de faire voluer la probabilit dun risque sufsamment lavance ? Lanalyse des risques tient-elle compte des volutions & vnements internes ou externes lorganisation? X X X X X X X X X X X X X X X X X X X X X X X X X X X X 4 4 3 3 2 3 4 3 3 1 2 2 3 3

Traitement des risques

Les risques majeurs donnent-ils lieu des actions spciques ? La responsabilit de ces actions est-elle dnie ? La mise en uvre de ces actions est-elle suivie ? Lorganisation a-t-elle mis en place et test un plan de gestion de crise ? Lorganisation a-t-elle mis en place un plan de communication de crise ? Des plans de continuit dactivits sont-ils dnis, dploys et tests ? Le nancement des risques est-il prvu, organis, optimis ? Le cot/ opportunit du traitement des risques est-il analys, justi, challeng ?

Surveillance et pilotage
La direction reoit-elle une information sur les caractristiques essentielles des actions engages pour grer les principaux risques de lorganisation (nature des actions engages ou des couvertures en place, assurances, exclusions, montants des garanties ) ? Des moyens spciques sont-ils consacrs la mise en uvre et la surveillance des procdures de gestion des risques ? Existe-t-il un mcanisme permettant, si ncessaire, dadapter les procdures de gestion des risques une volution des risques, de lenvironnement externe, des objectifs ou de lactivit de lorganisation? Le dispositif est-il continu ? Existe-t-il un dispositif permettant didentier les principales faiblesses du dispositif de gestion des risques mis en place par lorganisation, et de les corriger ? Le comit daudit a-t-il t inform : de la politique de gestion des risques ? des principaux risques identis ? de leur traitement ? des caractristiques essentielles du dispositif de gestion des risques ? notamment des moyens mis en uvre ? des actions damlioration en cours ? X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 3 3 3 2 3 2 3 2 4 3 3 3 4

Les risques avrs font-ils lobjet dune analyse spcique notamment sur lvaluation estime vs ralise ? Le comit daudit suit-il a minima les risques ayant un impact nancier ( terme) dans les comptes ? Le conseil dadministration a-t-il clairement dni la remonte dinformation du comit daudit concernant le dispositif de management des risques ?

120

Commentaires

BOITE a idees DOUTILS

Questions pour Administrateur

Questions pour Dir. Gnrale

Questions pour Risk Manager

THEMES SUR LESQUELS PORTE LAPPRECIATION DE LEFFICACITE

Note

Partie 3 : Questions gnrales sur le dispositif de contrle interne

Les objectifs du dispositif de contrle interne sont-ils clairement dnis, diffuss et partags ? Le dispositif de contrle interne comporte-t-il des contrles spciques aux points qui seraient identis comme sensibles concernant des aspects nanciers, par exemple inscription lactif, constatation des produits, spcialisation des priodes comptables, valorisation des stocks ? Existe-t-il des contrles rguliers et/ou inopins pour sassurer que le manuel des principes comptables et le manuel de procdures comptables sont suivis dans la pratique ? Existe-t-il des procdures pour identier et rsoudre des problmes comptables nouveaux, non prvus, le cas chant, dans le manuel de principes comptables et/ou dans le manuel de procdures comptables ? Lactivit de contrle interne comporte-t-elle des procdures pour assurer la prservation des actifs (risque de ngligences, derreurs et de fraudes internes et externes) ? Les procdures darrt des comptes du groupe sont-elles applicables dans toutes les composantes du primtre de consolidation? Sil existe des exceptions, y a-t-il des procdures adquates pour les traiter ? X X X X X X X X 4 3

X X X X X

3 4 4 4 3

Partie 4 : Communication comptable et nancire

Existe-t-il un chancier rcapitulant les obligations priodiques du groupe en matire de communication comptable et nancire au march ? Cet chancier prcise-t-il : la nature et lchance de chaque obligation priodique ? les personnes responsables de leur tablissement ? X X X X X X X X 3 2 3 3 X X 4

Existe-t-il des responsables et des procdures didentication et de traitement des obligations dinformation du march ? Existe-t-il une procdure prvoyant le contrle des informations avant leur diffusion ?

Commentaires

121

BOITE a idees DOUTILS

2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace REPORTING DE SUIVI DE LEFFICACIT DU DISPOSITIF DE MATRISE DES RISQUES

Ce reporting afche par pays et au niveau groupe (page de droite) pour chacun des quatorze thmes le niveau de matrise des risques.

Reporting du niveau matrise par pays Sige THEME ORGANISATION GENERALE A A-1 A-2 B B-1 B-2 B-3 C C-1 C-2 D D-1 D-2 E E-1 E-2 E-3 F F-1 F-2 G Roles and responsibilities Description Roles and responsibilities IS strategy / IT Master plan Executive decision Entity Policies and the organization on line with the CORPORATE Group Policies deployment Fraud risk Sustainable development Executive decision Health & safety policy Safety Alarm procedure Executive decision Entity objectives on line with General Management Entites objectives follow-up Employees evaluation Executive decision Management appropriate information Reporting Social climate Archives Executive decision Adequation needs / operations IT needs Staff needs Executive decision Adequate management remediation plans Executive decision France Italie Turquie Suisse USA Mexique

THEME PROTECTION DES ACTIFS

H I J K L M N N-1 N-2 N-3

Risk management policy deployment Executive decision Risk management policy monitoring Executive decision Legal risks Executive decision Assets safeguarding Executive decision Sensitive information safekeeping Executive decision Accounting and nancial information monitoring Executive decision Internal control system Area 1 Area 2 Area 3 Executive decision

Niveau de matrise par pays et par thme

122

BOITE a idees DOUTILS

Niveau de matrise au niveau Groupe Brsil Chine Vietnam

Lgende

Niveau de matrise/pays et Groupe Fort Moyen Faible Inexistant N/A

Plan daction dcid par le management pour relever le niveau de matrise

Synthse du niveau de matrise au niveau Groupe et par pays et grands thmes

123

124

ETAPE 4 - AMELIORER LA PERFORMANCE DES PROCESSUS

Rfrentiel des Processus : Achats et approvisionnements Rfrentiel des Processus RH Transformation du processus - Emission des bons de commande Le suivi de la performance des processus - KPI - Cot processus clients Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements Tableau de bord de suivi des Risques - Dysfonctionnements et Plans dactions

125

BOITE a idees DOUTILS

Etape 4 Amliorer la performance des processus

RFRENTIEL DES PROCESSUS : ACHATS ET APPROVISIONNEMENTS

Le rfrentiel des processus prsent est un rfrentiel qui comporte 4 niveaux : - Niveau 1 : les macros processus ; - Niveau 2 : les processus ; - Niveau 3 : les sous processus ; - Niveau 4 : les activits. Niveau dtaill
ACHAT Processus de Management ACM-01 ACM-02 ACM-03 ACO-01 1 Nom du macro processus qui est compos de plusieurs processus Nom du processus qui est compos de plusieurs sous-processus

D nir et mettre en oeuvre la politique dachat et dappprovisionnement Grer et suivre les budgets achats Piloter la performance du processus dapprovisionnement Grer le rfrencement des fournisseurs ACO-01-01 D nir la structure des contrats cadres
ACO-01-01-01 ACO-01-01-02 ACO-01-01-03 ACO-01-01-04 ACO-01-01-05 ACO-01-01-06

Processus Oprationnel 2

D nir les typologies de contrat cadre D nir les engagements vis a vis de fournisseurs rfrencer D inir les conditions de suivi de ces engagements D nir les engagements attendus de la part des fournisseurs D nir les conditions gnrales dachat alignes avec la politique achat Formaliser les contrats cadres types

ACO-01-02 ACO-01-03

Grer les campagnes de rfrencement Rfrencer de nouveaux fournisseurs

ACO-01-03-01 ACO-01-03-02 ACO-01-03-03 ACO-01-03-04 ACO-01-03-05 ACO-01-03-06 ACO-01-03-07 ACO-01-03-08 ACO-01-03-09 ACO-01-03-10

Evaluer / Valider les besoins D nir les critres de choix des fournisseurs D nir le nombre de fournisseurs cibles Identi er les fournisseurs potentiels Solliciter les fournisseurs 4 Choisir les fournisseurs rfrencs Engager les ngociations Certi er les fournisseurs Formaliser le contrat de rfrencement Diffuser les conditions en interne Evaluer llligibilit du fournisseur (certi cation) Evaluer le respect des engagements contractuels D nir les plans damlioration Evaluer la mise en place des plans damlioration Mettre jour lvaluation fournisseur Drfrencer les fournisseurs

Nom des sous-processus qui concourent lactivit du processus

Nom des activits qui composent les sousprocessus

ACO-01-04

Procder lvaluation priodique des fournisseurs

ACO-01-04-01 ACO-01-04-02 ACO-01-04-03 ACO-01-04-04 ACO-01-04-05 ACO-01-04-06

ACO-01-05

Mettre jour les informations fournisseurs

ACO-01-05-01 ACO-01-05-02 Saisir dans lapplication dachats les donnes permanentes des fournisseurs Modi er les informations permanentes en fonction de lvolution de la relation

ACO-02 ACO-03

Grer les contrats dapprovisionnement et les appels doffre Evaluer les besoins et formaliser les demandes dachat ACO-03-01 Evaluer et valider les besoins
ACO-03-01-01 ACO-03-01-02 ACO-03-01-03 ACO-03-01-04 D nir les besoins quantitativement et qualitativement Valider la pertinence du besoin Vri er la non disponibilit des biens (stocks + marchandise rceptionner) Evaluer la capacit de rpondre aux besoins par une offre de substitution disponible Formaliser le Cahier des charges Formaliser la DA

ACO-03-02

Formaliser les demandes dachat ( DA)

ACO-03-02-01 ACO-03-02-02

ACO-03-03 ACO-03-04 ACO-04

Formaliser les demandes dinvestissement (DI) Con rmer lmission de la demande dachat (DA)

Valider les demandes dachats et traiter les commandes ACO-04-01 Slectionner la procdure dachat appliquer
ACO-04-01-01 ACO-04-01-02 ACO-04-01-03 Identi er les la politique contractuelle applicable Formaliser une demande de drrogation au cadre applicable Formaliser une demande de cration dun nouveau contrat Formaliser lappel doffre (clauses techniques et nancires) Identi er les crites dapprciation de loffre des fournisseurs Diffuser lappel doffre

ACO-04-02

Recourir un appel doffre (AO)

ACO-04-02-01 ACO-04-02-02 ACO-04-02-03

ACO-04-03

Recourir une consultation restreinte

126

BOITE a idees DOUTILS

Le niveau dtaill prsente deux niveaux complmentaires : - les sous processus : ils concourent lactivit des processus ; - les activits : elles concourent au droulement des sous processus. Cest le niveau le plus n.

Niveau dtaill (suite)

ACHAT ACO-04-04 ACO-04-05 ACO-04-06 ACO-05 Choisir le fournisseur Emettre une commande Noti er la commande au fournisseur

Suivre lavancement des commandes et plani er la ou les rceptions ACO-05-01 Raliser le suivi davancement de la commande ACO-05-02 ACO-05-03 Raliser les contrles qualit avant lexpdition marchandise par le fournisseur Plani er les rceptions marchandises
ACO-05-03-01 ACO-05-03-02 ACO-05-03-03 Suivre le portefeuille des rceptions attendues Grer les capacits de rception marchandise (accueil, entrept,) Mettre jour le calendrier prvisionnel des rceptions

ACO-05-04 ACO-06

Suivre le transport des marchandises

Rceptionner les biens et les services ACO-06-01 Accueillir camions et dcharger marchandises ACO-06-02 Contrler la qualit des marchandise rceptionnes ACO-06-03 Rapprocher rception / commandes ACO-06-04 Refuse la rception et retourner les marchandises non conformes ACO-06-05 Affecter les marchandises aux emplacements de stockage ACO-06-06 Mettre en stock les marchandises ACO-06-07 Saisir les entrs en stock dans lapplication de gestion des stocks Effectuer les rglements et naliser le suivi administratif ACO-07-01 Comptabiliser la facture / avoir reue du fournisseur
ACO-07-01-01 ACO-07-01-02 ACO-07-01-03 ACO-07-02-01 ACO-07-02-02 ACO-07-02-03 ACO-07-03-01 ACO-07-03-02 ACO-07-03-03 ACO-07-04-01 ACO-07-04-02 ACO-07-04-03

ACO-07

Rceptionner et enregistrer en comptabilit la facture Vri er la conformit de la facture Renvoyer et suivre les factures non conformes Valider la ralit de la prestation (rception bien / service) Donner le bon payer technique Donner le bon payer nancier Prparer le rglement dune facture en dehors dune campagne de rglement Plani er les paiements Valider les campagnes de paiement Evaluer lavoir demander Ngocier avec le fournisseur Valider la demande davoir

ACO-07-02

Dlivrer le bon payer

ACO-07-03

Payer les fournisseurs

ACO-07-04

Emettre une demande davoir

ACO-08

Raliser le suivi du respect des engagements du forunisseurs postrieurement la livraison ACO-08-01 Contrler le bien / service avant lexpiration de la garantie
ACO-08-01-01 ACO-08-01-02 ACO-08-01-03 ACO-08-02-01 ACO-08-02-02 ACO-08-02-03

Suivre les priodes de garantie Contrler les biens et services au regard des engagement de la garantie Lever les restrictions Identi er et quali er les dfauts / non conformits Valider lapplicabiliter de la garantie au regard de la non conformit quali e Formaliser les demandes aux fournisseurs en cas de non conformit

ACO-08-02

Activer la garantie fournisseur

Processus Supports ACS-01 Raliser la clture comptable des achats ACS-01-01 Identi er et enregistrer les factures recevoir (cut -off) ACS-01-02 Identi er et enregistrer les avoir tablir (cut -off) ACS-01-03 Annuler les factures recevoir et avoirs tablir mis lors de la clture du mois prcdent Grer le SI Achats ACS-02-01 Vri er que les habilitations/autorisations sont correctement mises jour er que ACS-02-02 Vri achats les rgles de sparation de fonctions sont correctement implementes dans lapplication de gestion des Grer les donnes de base fournisseurs Grer les donnes de base produits

ACS-02

ACS-03 ACS-04

Source : Allaboutbpm.com

127

BOITE a idees DOUTILS

Etape 4 Amliorer la performance des processus

RFRENTIEL DES PROCESSUS RH

Le niveau de synthse prsent ci-dessous ne reprend que le niveau des macros processus et le niveau des processus. Niveau synthse
PROCESSUS RH

Processus de Management
RHM-01 RHM-02 RHM-03 RHM-04 D nir et mettre en oeuvre la politique de gestion des ressources humaines Grer et suivre les budgets Ressources Humaines Grer les transformations de l'entreprise Piloter la performance du processus de gestion des RH

Processus Oprationnel
RHO-01 RHO-02 RHO-03 RHO-04 RHO-05 RHO-06 RHO-07 RHO-08 RHO-09 RHO-10 Recruter et intgrer de nouveaux collaborateurs Grer les comptences et les formations Grer les carrires et les volutions salariales Grer les changements organisationnels et les mobilits internes Grer la satisfaction du personnel Grer les plannings, les congs, les absences Grer les instances reprsentatives du personnel et les obligations lgales Grer la sant et la scurit des collaborateurs Grer les dparts Grer les retraites et les droits associs

Processus Supports
RHS-01 RHS-02 RHS-03 RHS-04 RHS-05 Grer les donnes des bases RH Grer le SI Achats Grer les frais Grer la paie Grer la participation et l'intressement

Source : Allaboutbpm.com

128

BOITE a idees DOUTILS

Niveau dtaill
PROCESSUS RH

Processus de Management
RHM-01 RHM-02 RHM-03 RHM-04 D nir et mettre en oeuvre la politique de gestion des ressources humaines Grer et suivre les budgets Ressources Humaines Grer les transformations de l'entreprise Piloter la performance du processus de gestion des RH

Processus Oprationnel
RHO-01
RHO-01-01 RHO-01-02 RHO-01-03 RHO-01-04

Recruter et intgrer de nouveaux collaborateurs

Valider le besoin de recrutement et les conditions associes D nir et activer les canaux de recrutement Traiter les candidatures Finaliser le recutement

RHO-02
RHO-02-01 RHO-02-02 RHO-02-03 RHO-02-04 RHO-02-05 RHO-02-06

Grer les comptences et les formations

Evaluer les comptences et d nir les besoins en matire de formation Dvelopper les programmes de formation Grer les parcours de formation des quipes Raliser les formations Grer les dpenses de formation Evaluer priodiquement l'volution des comptences

RHO-03
RHO-03-01 RHO-03-02 RHO-03-03 RHO-03-04

Grer les carrires et les volutions salariales

D nir et mettre en oeuvre le plan de gestion des carrires Mettre en oeuvre la politique d'valuation des employs Mettre en oeuvres les plans d'action associs aux processus de gestion des carrires Mettre en oeuvre le programme de geston des hauts potentiels

RHO-04
RHO-04-01 RHO-04-02

Grer les changements organisationnels et les mobilits internes

Grer les volutions organisationnelles Grer les mobilits

RHO-05
RHO-05-01 RHO-05-02 RHO-05-03

Grer la satisfaction du personnel

D nir les engagements en matire de satisfaction du personnel Evaluer la satisfaction du personnel Mettre en oeuvre les plans d'action d'amlioration de la satisfaction du personnel

RHO-05
RHO-05-01 RHO-05-02 RHO-05-03

Grer la satisfaction du personnel

D nir les engagements en matire de satisfaction du personnel Evaluer la satisfaction du personnel Mettre en oeuvre les plans d'action d'amlioration de la satisfaction du personnel

RHO-06
RHO-06-01 RHO-06-02 RHO-06-03

Grer les plannings, les congs, les absences

Grer les priodes d'activits et les plannings Grer les congs et les demandes d'absence Grer les absences pour cause de maladies ou sans justi cation

RHO-07
RHO-07-01 RHO-07-02 RHO-07-03

Grer les instances reprsentatives du personnel et les obligations lgales

Choisir, ngocier et grer les conventions collectives Grer les obligations en matire de reprsentation du personnel Grer les relations avec les syndicats

RHO-08
RHO-08-01 RHO-08-02 RHO-08-03

Grer la sant et la scurit des collaborateurs

D nir et communiquer la politique de sant et de scurit Superviser la sant et la scurit au travail Grer les accidents du travail

RHO-09
RHO-09-01 RHO-09-02 RHO-09-03

Grer les dparts

Grer les dparts initis par les employs Grer un dpart requis par l'organisation Prparer le dpart de l'employ

RHO-10

Grer les retraites et les droits associs

Processus supports
RHS-01 RHS-02 RHS-03 RHS-04 RHS-05 Grer les donnes des bases RH Grer le SI Achats Grer les frais Grer la paie Grer la participation et l'intressement

Source : Allaboutbpm.com

129

BOITE a idees DOUTILS

Etape 4 Amliorer la performance des processus

TRANSFORMATION DU PROCESSUS EMISSION DES BONS DE COMMANDE

Le processus existant est compos de 12 activits dont un grand nombre sont manuelles (boite grise) par change de chier Excel et gnrent 7 dysfonctionnements 6 directement causs par des ressaisies de commandes. Les points damlioration potentielle de la performance apparaissent en lecture directe de la description des activits existantes. Les deux ches rouges reprsentent les activits qui vont subsister dans la cible dcrite page suivante. Cette modlisation est ralise avec loutil ARIS de Software AG. Existant dtaill
01. Gestion des offres 02. Dfinition des devis, budgets et choix des...

Erreur de saisie Devis fournisseur Multiplicit et disparit des formats de tableaux de suivi 01 Projet / Lotissement type Crer le tableau de suivi des commandes Tableau de suivi des commandes Excel par projet 03 Gnrer un bon de commande sur la base du devis Disparit dans les renseignements transmis Erreur de saisie sur le bon de commande 02 Actualiser le tableau de suivi des commandes Taux de marge sur travaux fluctuants Problme de MAJ des commandes fournisseurs passes

LEGENDE :
03.1

Bon de commande Excel

KOSMOS ACTIVITE EXCEL

OUTIL COMPTABLE MANUEL

Imprimer le bon de commande

Bon de commande papier (En attente de validation)

INTERFACE DE PROCESSUS

04

INFORMATION

ACTEUR EXTERIEUR

Valider et signer le bon de commande

POINT A AMELIORER

Bon de commande papier (valid et sign)

05 Transmettre la comptabilit les bons de commandes... 01. Gestion des offres Bon de commande papier (valid et sign)

06 Commande client KOSMOS Contrler le bon de commande 01. Gestion des offres

Crer les fournisseurs SAGE

Bon de commande papier (non conforme)

Fournisseur SAGE Bon de commande papier (valid, sign contrl)

08 Crer le projet SAGE Socit SAGE Saisir la commande fournisseur 09 Archiver la commande fournisseur

07 Scanner et envoyer le bon de commande Pas de scan systmatique avant envoi

Projet SAGE

Article SAGE

Commande fournisseur SAGE

Bon de commande papier (valid, sign contrl)

Fournisseur

05. Comptabilisation des factures...

Bon de commande papier (valid, sign contrl)

130

BOITE a idees DOUTILS

Le processus cible a t simpli autour de deux activits (celles indiques par les ches rouges comme dans la description existante), les tches manuelles ont t supprimes par lextension de lusage de lapplication de gestion daffaires (KOMOS). Cette modlisation est ralise avec loutil ARIS de Software AG. Cible dtaille
02. Dfinition des devis, budget et choix des...

LEGENDE :
Devis fournisseur KOSMOS (slectionn)
ACTIVITE

01. Gestion des offres_CIBLE

01 Envoyer un mail aux assistantes de travaux 035

INTERFACE DE PROCESSUS

Projet / Lotissement type

01. Gestion des offres_CIBLE

Mail de demande de gnration du bon de commande

EXIGENCE

KOSMOS

02 Commande client KOSMOS Devise KOSMOS Gnrer un bon de commande sur la base du devis renseign 011 019 018
EXCEL OUTIL COMPTABLE CIBLE MANUEL MODULE ACHAT OUTIL COMPTABLE CIBLE

20.0 Rfrentiels : Gestion des devises 03 Devise KOSMOS

Bon de commande Fournisseur KOSMOS (Gnr)

INFORMATION

Emettre et envoyer le bon de commande

066 012 133

ACTEUR EXTERIEUR

Taux de devise KOSMOS

04 Envoyer un mail au chef de projet 003 Bon de commande Fournisseur KOSMOS (envoy)

05 Produire les tats de restitution Devis / Commande 060

Mail de confirmation d'envoi du bon de commande au fournisseur

Fournisseur

05. Comptabilisation des factures fournisseurs_CIBLE

131

BOITE a idees DOUTILS

Etape 4 Amliorer la performance des processus

LE SUIVI DE LA PERFORMANCE DES PROCESSUS - KPI - COT PROCESSUS CLIENTS

Le suivi de lvolution de la performance des processus est assur par des KPI. A titre dexemple, nous prsentons deux situations, lune relative au processus clients, lautre relative au processus achats, approvisionnements (procurement).

Thmes qui font lobjet dun suivi de performance

KPI - SUIVIS

Suivi des engagements dachats

To Tm+3 Y1 Y2 Y3

Suivi de la facturation
To Tm+3

Suivi des encaissements

To Tm+3

Suivi des dlais de clture

To Tm+3

Nombre de CDE dachats de Sous-traitance Nombre de CDE dautres achats Nombre de factures payes manuellement Montant des factures mises entre J-10 et J-5 Montant des factures mises entre J-5 et J Taux davoirs mis Montant des avoirs mis Montant des Travaux en cours DSO Montant des clients > 120 jours Date darrt des comptabilits auxiliaires Nombre dOD Date du reporting Contenu des indicateurs

X1 X2 X3

X% X% X% X KE

Y% Y% Y% Y KE

To correspond la date de mise en uvre (cest la date de rfrence) Tm+3 correspond la date de lobservation

X KE X KE X KE

Y KE Y KE Y KE Xa Xb J8 Ya Yb J5

Valeurs donnes aux diffrents indicateurs

132

BOITE a idees DOUTILS

Etape 4 Amliorer la performance des processus

LE SUIVI DE LA PERFORMANCE DES PROCESSUS - KPI COT PROCESSUS ACHATS, APPROVISIONNEMENTS

Key indicator Purchase process environnement (PO and Vendors)
Purchase orders (PO) Project PO / Non Project PO Vendors in Master le Vendors quali ed / total Vendors Temporary / permanent employees among supply chain Department Monthly Monthly Monthly Monthly Volume & Amount Ratio Volume Ratio in volume Ratio in volume Buyer / Project / Vendor / Commodity

Frequence

Value

Sorted by

Applicative ERP - Others

Non - Applicative

Monthly

Invoices process monitoring

Open Purchase requisitions (PR) Open PO PO with no GR/IR (GR= Good receipt) PO with quantity received > quantity ordered Blanket PO (Multi-Invoice PO) Invoice without POs Invoices pending for approvals Invoice date same or closed to PO date Invoice date same or closed to change order date Use of one-time vendors Sale source purchases Monthly Monthly Monthly Monthly Monthly Monthly Monthly Monthly Monthly Monthly Monthly Volume & Amount Buyer / Project / Vendor / Commodity

Key indicator nality tracking process

PR Creation date = PR Validation date PR Creation date = PO creation date Supplier creation = near PO creation date PO placed without PR (Fast track PO) Change order date = PO date PO Date = GR Date (GR = good receipt) Invoice Date = PO date Invoice Date = Change order date Change of vendor bank datas Monthly Monthly Monthly Monthly Monthly Monthly Monthly Monthly Monthly Volume & Amount Buyer / Project / Vendor / Commodity

Indicators purpose

Software where necessary information is located

133

BOITE a idees DOUTILS

Etape 4 Amliorer la performance des processus

TABLEAU DE BORD DE SUIVI DES RISQUES - DYSFONCTIONNEMENTS ET DES PLANS DACTIONS

Risques Oprationnels

Constats

Type de Risque

Risques

Impacts

Rfrences de risques identis

Niveau de risque actuel (BRUT)

Niveau actuel des prcautions mises en place

Commercial

Baisse dactivit

Diminution du CA

R1

Drapage des prix des prestations

Diminution de lEBO

R2

Drapage de la qualit des prestations Financier Drapage des dlais des prestations

Diminution de lEBO

R3

Diminution de lEBO

R4

Rupture abusive des ngociations avec un investisseur Engagement de construction sur la base dtudes amont limites Refus dobtention du permis de construire Accident du travail du personnel

Paiement de dommages et intrets

R5

Diminution de lEBO

R6 R7

Diminution de lEBO

Condamnation civile ou pnale

R8

Oprationnels

Non obtention du certi cat de conformit

Diminution de lEBO

R9

Retard douverture dun centre commercial

Versement de dommages et intrts

R10

LEGENDE

Risque

Ef cacit du dispositif de matrise des risques

Risque Fort Risque Moyen Risque Faible

Niveau 1 : Niveau 2 : Niveau 3 :

Niveau def cacit du dispositif de matrise des risques actuel

134

BOITE a idees DOUTILS

Actuels

Plans dactions cible Moyens mettre en uvre Dysfonctionnement Objectifs dvolution Dlgations Procdures Contrles Niveau de risque futur (RISQUE RESIDUEL)

- Manque de rserves foncires - Sous estimation du prix des terrains lors de ltablissement des offres dachat - Ngociation de prix mal aboutie - Engagement avec les majors sans maitriser le niveau de prix - Insuf sance de contrle nancier de lavancement du chantier - Tendance la hausse du march des prestations - Cots de dpollution mal valu - Mauvaise matrise de la sous traitance - Mauvaise matrise de la sous traitance - Insuf sance de contrle oprationnel du chantier permettant de dtecter un retard - Echange de courrier avec linvestisseur sans passer par une validation juridique - Recensement des risques intrinsques lopration non exhaustif - Transmission dun dossier de permis de construire incomplet - Non respect des rgles de scurit sur le chantier par le personnel - Impossibilit de prouver que les rgles de scurit ont t mises en place - Ralisation de modi cations non autorises par le permis de construire - Absence de suivi des modi cations du permis pour lobtention du permis balai - Mauvaise apprciation des actions correctrices mener - Non matrise de la date douverture du centre commercial

- Surveiller ltat des stocks de terrains acquis par la BU

- Anticiper/ ngocier les cots de dpollution ds les contrats

- Mise en place par la direction technique dune procdure de controle interne

- Etablir un mode opratoire dapplication des mcanismes dapprciation des risques

- Amliorer le systme de dlgation - Complter les ches navettes pour dtecter les points dclencheurs de permis modif. - Etablir une procdure de suivi du permis recti catif

Description des actions qui vont tre mises en place pour contribuer diminuer les risques et connatre le risque rsiduel

135

136

ETAPE 5 - OPTIMISER LE DISPOSITIF DE GESTION DES RISQUES

Impact mtiers du risque informatique : Cas RH Paie Evolution de la maturit du dispositif de matrise des risques

137

BOITE a idees DOUTILS

Etape 5 Optimiser le dispositif de gestion des risques

IMPACT MTIERS DU RISQUE INFORMATIQUE : CAS RH PAIE

SCENARIO DE DYSFONCTIONNEMENTS DU PROCESS INFORMATIQUE ET DIMPACT SUR LE PROCESSUS METIER N Scnario de dysfonctionnements Description de limpact de ce dysfonctionnement sur le droulement du processus mtier
Une modi cation de paramtrage non justi e, mal teste ou mal mise en production sur lapplication de PAIE est mise en production. Elle provoque : - une non/mauvaise application dune volution rglementaire - une modi cation signi cative du calcul de la masse salariale sans que les acteurs en soient informs

RISQUES LIES AU PROCESSUS INFORMATIQUE (IT)

RISQUES METIERS DECLENCHES PAR CES DYSFONCTIONNEMENTS DU PROCESSUS INFORMATIQUE

Non autorisation, validation, approbation des demandes de modi cation avant le passage en production

S1

Passage en production dune modi cation de paramtrage non justi e, mal recette ou mal mise en production

R1 - Inexactitude de la masse salariale

Cration et maintenance des comptes utilisateurs non autoriss, appropris et valides.

S2

Accord non justi de droit daccs lapplication de PAIE Cration non autorise/justi e dun compte utilisateur PAIE (donnes paye)

La cration non autorise/justi e ou mal effectue dun compte utilisateur sur lapplication de PAIE permet pour lutilisateur de : - crer de nouvelles donnes (salaris ctifs, ajouter des primes, ) - modi er des paies

R1 - Inexactitude de la masse salariale R5 - Non respect des dlgations de pouvoir (habilitation/signature)

Utilisateurs disposent du compte Administrateur

S3

La cration non justi e dun compte Administrateur sur les applications de paie permet lutilisateur de : Cration non justi e dun compte - modi er des donnes de paramtrage (pourcentage de charges Administrateur sociales, patronales, rgles de calcul des charges diverses lies la paie) - donner des droits une autre personne

R1 - Inexactitude de la masse salariale R5 - Non respect des dlgations de pouvoir (habilitation/signature)

Changements non autoriss des programmes et des donnes

S4

Accs un compte utilisateur de lapplication de PAIE

Laccs un compte utilisateur de lapplication de PAIE pour : - crer des salaris ctifs R1 - Inexactitude de la masse salariale - modi er des donnes de salaris existants (coordonnes bancaires) R2 - Flux de trsorerie errons - modi er les lments xes de paye

S5.1 Impossibilit de restaurer correctement des donnes sur une priode adquate S5.2

Absence de sauvegarde produisant une mauvaise/non prise en compte des donnes

Suite un incident de production, le systme ne peut pas tre correctement restaur en raison de labsence de sauvegarde ou de limpossibilit de restaurer les sauvegardes existantes. Cela provoque une perte ou une altration de tout ou partie des donnes (rglementaires et/ou individuelles) Suite un incident de production, le systme ne peut pas tre correctement restaur en raison de labsence de sauvegarde ou de limpossibilit de restaurer les sauvegardes existantes. Cela provoque : - une perte ou une altration de tout ou partie des donnes (rglementaires et/ou individuelles) Un incident utilisateur provoque : - une erreur ou une absence de saisie de donnes rglementaires - une erreur ou une absence de saisie de donne individuelles sans que les utilisateurs/acteurs mtiers sen rendent compte.

R1 - Inexactitude de la masse salariale

Absence de sauvegarde produisant une indisponibilit du systme

R1 - Inexactitude de la masse salariale

Incidents non enregistrs, et non analyss rsolus dans un temps appropri

S6

Survenance dun incident utilisateur

R1 - Inexactitude de la masse salariale

S7.1 Batchs executs sans respect des instructions dexploitation S7.2

Blocage de linterface de lapplication PAIE

Certaines interfaces peuvent ne plus fonctionner et provoquer un blocage du systme dinterface entre les applications de PAIE empchant la prise en compte des volutions pour la paye des dirigeants sans que les utilisateurs/acteurs mtier sen rendent compte.

R1 - Inexactitude de la masse salariale

Un problme technique dexcution du batch ou un problme Problme de communication entre dorigine frauduleux peuvent induire une perte ou une altration des les applications donnes transmise la banque

R2 - Flux de trsorerie errons

Une description des risques et dysfonctionnements informatiques qui dclenchent des risques mtiers/oprationnels
PROBABILITE Probable Peu Probable Rare 2 1 1 Faible 3 2 1 Moyenne GRAVITE 3 3 2 Forte

138

BOITE a idees DOUTILS

QUALIFICATION DES SCENARIOS DE DYSFONCTIONNEMENTS Contrles mtier existant Impact sur les contrles mtier
Aucun (car les modalits dexccution des contrles C1 et C2 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1 et C6 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1, C2 et C6 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1, C2 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1, C2 permettent de dtecter toute erreur)

Nature et importance

Risque de fraude

valuation de la probabilit de survenance

Evaluation de la gravit /limpact

Criticit ACTUELLE du risque nette aprs contrles

- 2 accords par an - 1 accord ponctuel en cours danne - 1 volution de la rglementation par an en dbut danne

C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois

N/A

PEU PROBABLE

MOYENNE

Nombre de cration par an dutilisateurs sur lapplication A = 200 Nombre de cration par an dutilisateurs sur lapplication B : 100

C1 - Contrle mensuel de cohrence du net payer du mois C6 - Contrle vnementiel sur lorigine des demandes dhabilitation

OUI

PEU PROBABLE

MOYENNE

2 par an

C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois C6 - Contrle vnementiel sur lorigine des demandes dhabilitation

OUI

RARE

FORTE

10 personnes mettent jour les donnes de PAIE : - Service Recrutement - Service Gestion des carrires - Service Gestion adminstrative

C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois

OUI

RARE

FAIBLE

5 serveurs

C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois

N/A

PEU PROBABLE

MOYENNE

5 serveurs

Aucun

Non (ralisation des contrles prvus)

N/A

RARE

FORTE

200 anomalies par an

C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois

Aucun (car les modalits dexccution des contrles C1, C2 permettent de dtecter toute erreur) Oui (mettre en place le contrle adquat)

N/A

RARE

FORTE

10 anomalies par an sur linterface PAIE

Aucun

N/A

MOYENNE

FORTE

50 erreurs/ mois

Aucun

Oui (mettre en place le contrle adquat)

N/A

MOYENNE

FORTE

La vri cation que les contrles mtiers en place permettent de dtecter les dysfonctionnements informatiques dcrits dans la partie gauche du tableau
Niveau de risque devant tre rduit par la mise en place de contrles complmentaires. Niveau de risque globalement matris mais pouvant tre amlior. Niveau de risque aujourdhui matris (suf sament couvert et jug acceptable).

La criticit nette dans la situation actuelle avant contrles complmentaires

139

BOITE a idees DOUTILS

Etape 5 Optimiser le dispositif de gestion des risques

EVOLUTION DE LA MATURIT DU DISPOSITIF DE MATRISE DES RISQUES

Niveau dtaill
SUIVRE LEVOLUTION DE LA MATURITE dUN
Owner / CEO In uence sur lea objectifs de lentreprise Owner / CEO Impact brut image Owner / CEO Impact brut humain Owner / CEO Impact brut nancier

OWNER

OWNER

CEO PRISE DE RISQUE ACCEPTEE

Owner

OWNER Niveau criticit brute du risque

OWNER Code du dysfonctionnement

OWNER

PROCESSUS

Code du RISQUE

RISQUE

Probabilit brute

DYSFONCTIONNEMENTS

DYS1 R01 Mauvaise performance du service commercial

Donnes relatives aux lots mis en location ne sont pas systmatiquement enregistres dans lapplication de gestion

Oui

N/A

Fort DYS2 Erreurs au niveau de la description et de la super cie du bien immobilier (lot) Dlivrance un locataire en situation sans droit ni titre Omission ou non prise en compte dun des co titulaires lors du renouvellement Absence dattestation dassurance des locaux lous Non respect de la forme lors de lenvoi des offres de renouvellement

Commercial

DYS N DYS02- 01 DYS02- 02 R02 Application incorrecte des rgles lies aux activits commerciales

Oui

N/A

Fort

DYS02- 03 DYS02- 04

DYS03- 01

Erreurs ou oublis dans lmission des mises en demeure Oubli dmission des commandements de payer (ou autre acte de procdure) Oubli de la mention Indemnit doccupation Acte de procdure avec rfrences de bail ou lot ou montant errons Repositionnement en statut normal non justi Absence de nouvelle adresse dun locataire parti Risque locataire non calcul

DYS03- 02 DYS03- 03

R03 Contentieux

Non recouvrement de lensemble des crances recouvrables sur immeubles

Oui

N/A

Moyen

DYS03- 04

DYS03- 05

DYS03- 06 R04 Sous estimation du risque locataire

Oui

N/A

Moyen

DYS04- 01

R05

Non respect des rgles de rgularisation de charges du mandat

DYS05- 01

Non

N/A

Moyen DYS05- 02 DYS06- 01

Non respect du dlai de rgularisation des charges Quittancement des rgularisations de charges alors que la contestation du locataire est possible Oubli dmission davis dchance Oubli de saisie de la date de report dans lapplication de gestion

Gestion

R06

Emission ronne du quittancement

Oui

N/A

Moyen

DYS06- 02 DYS07- 01

R07

Erreur de quittancement lors de leur tablissement manuel

Oui

N/A

Moyen

DYS07- 02 DYS07- 03

Oubli de facturation au locataire du montant issu de la dcision de justice

Les prises de risque pour chacun des processus

Le niveau de prise de risque accepte par le CEO

La criticit BRUTE du risque avec la dcomposition en terme de probalit de survenance et dimpact

140

BOITE a idees DOUTILS

DISPOSITIF DE GESTION DES PRISES DE RISQUES

Owner / CEO Impact net image Owner / CEO Impact net humain Owner / CEO Impact net nancier

OWNER

OWNER

OWNER

Owner

Vri e Niveau criticit nette du risque

CEO NIVEAU DE PRISE DE RISQUE RESPECTEE

ACTIONS DE PREVENTIONS MISES EN UVRE Contrle de la saisie dans lapplication A

ACTIONS DE Rsultat des PROTECTION MISES EN Rsultat actions des actions UVRE Conforme Correcte Correcte Correcte Communication de crise Correcte Correcte Correcte

Probabilit nette

Remarque

Contrle de la saisie dans lapplication A Non testable Contrle de la saisie dans lapplication A Rapprochement priodique entre lapplication A et Excel Revue de commercialisation avec les mandants Contrle du statut du locataire lors du renouvellement Contrle du statut du locataire lors du renouvellement Contrle des destinataires de loffre de renouvellement Pointage + contrle des lments lors de la remise des cls Utilisation dune offre de renouvellement type complte Contrle de la forme des offres de renouvellement par le grant ou lhuissier Revue systmatique du dossier Contentieux lors du transfert Gestion Contentieux Contrle des pices du dossier contentieux Revue priodique des comptes clients avec les mandants Revue des locataires ayant fait lobjet dun jugement Contrle des pices du dossier contentieux Procdure dautorisation de signature actualise et diffuse Revue priodique des comptes clients avec les mandants Revue systmatique du dossier Ctx par le gestionnaire au retour en gestion Contrle des adresses des locataires partis Revue exhaustive des dossiers par la Gestion Revue exhaustive des dossiers par le Contentieux Suivi du tableau des rgularisations de charges (Rgion) Suivi du tableau des rgularisations de charges (IDF) Soumission du quittancement des rgularisation de charge la validation du gestionnaire Contrle de lexhaustivit du quittancement Contrle du correct report de la date dans lapplication Revue priodique des comptes clients avec les mandants Revue exhaustive des dossiers par la Gestion et le Contentieux Revue systmatique du dossier Ctx par le gestionnaire au retour en gestion Conforme Non conforme Conforme Conforme

N/A

Moyen

Non

Actions complmentaires conduire pour respecter la prise de risques demande

Conforme Conforme Non conforme Conforme Conforme Conforme Externaliser auprs dun huissier avec garantie de rsultat Souscription dune police dassurance spci que Correcte

N/A

Faible

Oui

Pas dactions complmentaires

Non effectu Conforme Conforme

Correcte

N/A

Faible

Oui

Pas dactions complmentaires

Conforme

Non effectu Non effectu Non effectu Conforme Conforme Non effectu Non effectu Non effectu Conforme Conforme Conforme Actions complmentaires conduite pour scuriser lexhaustivit du quittancement Soucription dune police dassurance spci que Correcte Correcte

N/A

Faible

Oui

Pas dactions complmentaires

N/A

Faible

Oui

Pas dactions complmentaires

N/A

Moyen

Non

N/A

Faible

Oui

Pas dactions complmentaires

Les actions mises en place pour se prmunir contre la survenance des risques

La criticit NETTE du risque avec la dcomposition en terme de probalit de survenance et dimpact

Lattente ou non du niveau des risques recherchs par le CEO

141

BOITE a idees DOUTILS

Etape 5 Optimiser le dispositif de gestion des risques

EVOLUTION DE LA MATURIT DU DISPOSITIF DE MATRISE DES RISQUES

Niveau synthse

SUIVI EVOLUTION DE LA MATURITE DU DISPOSITIF DE MAITRISE DES RISQUES

T0
CARACTERISTIQUES Nombre Situation Nombre

T1
Situation Nombre

Tn
Situation

PROCESSUS

PRISES DE RISQUE

DYSFONCTIONNEMENTS

18

3 dysfonctionnements par prise de risque

X dysfonctionnements par prise de risque

Xn dysfonctionnements par prise de risque

ACTION DE PREVENTION

27

4 actions par prise de risque

Y actions par prise de risque

Yn actions par prise de risque

ACTION DE PROTECTION

1 action par 2 prises de risque

Z actions par 2 prises de risque

Zn actions par 2 prises de risque

PRISE DE RISQUE RESPECTEE

71%

50%

60%

PRISE DE RISQUE NON RESPECTEE

29%

50%

40%

142

CONCLUSION PARTIE 1

CONCLUSION

144

conclusion

es travaux ont t dclenchs par le rgulateur AMF qui, en juillet 2010, a introduit, dans son cadre de rfrence, la dimension gestion des risques comme outil de progrs tant du ct du pilotage des activits que du ct de la scurit dans lexcution des activits et dans latteinte des objectifs. En dautres termes, la mise en uvre dune gestion des risques efcace doit contribuer la robustesse du modle conomique. Ces travaux se sont focaliss sur les modalits de mise en uvre de cette nouvelle dimension quest la gestion des risques. Nous avons constat, ds nos premires runions de travail, que la mise en uvre peut tre entreprise soit dans le cadre dune simple recherche de conformit rglementaire soit en instaurant une dynamique (le cercle vertueux ) qui ouvre de nouvelles perspectives en termes dvolutions, de transformations des pratiques oprationnelles et de performance oprationnelle. Cependant construire deux trajectoires dvolution ne nous semble pas pertinent car cela laisse perdurer lopposition entre la conformit et la performance oprationnelle qui est contre-courant de la ralit conomique. Cest pourquoi nous proposons au directeur nancier une trajectoire dvolution unique qui couvre les deux objectifs. Cette trajectoire va lui permettre de construire les tapes dune transformation des pratiques oprationnelles quil va devoir conduire pour installer un comportement de progrs continu et mettre en place un modle conomique robuste. Cette trajectoire lui permettra naturellement de satisfaire aux rgles de conformit xes par le rgulateur AMF. Le contenu de cette trajectoire, compos de 5 tapes, est dcrit dans les ches techniques que nous prsentons dans ce document. La monte en puissance vers la performance et la robustesse du modle conomique est organise ds le dbut cest--dire sans fracture entre la conformit et la performance. A chacune des tapes nous avons associ des outils de mise en uvre issus de lexprience des membres du groupe de travail. Cette boite ides doutils et les outils qui la constituent sont, pour nous, l plus pour donner des ides aux quipes qui conduisent les travaux de transformation que pour une stricte utilisation en ltat.

Il ressort ainsi clairement de ces travaux que pour dpasser la connaissance des zones risques, des risques et progresser dans lamlioration de la performance, il convient dintroduire une dimension complmentaire, lapproche processus . En effet, la matrise de la modlisation des processus associe une forte culture des risques nous semble tre un facteur cl de succs dans la conduite des travaux de transformation. En installant cette dynamique, on accroit la diffusion de la culture de lapproche processus dans des fonctions et mtiers qui ne lutilisent pas habituellement, leur permettant de conduire des amliorations sur dautres sujets comme lvolution du systme dinformation, lvolution des systmes de gestion vers lABC, le Lean Management ou la mise en place dune vision transversale indpendante de lorganisation de lentreprise. En noubliant pas une rgle dor : Agir en deux temps, tout dabord faire fonctionner les processus pour que leur excution soit solide et robuste et ensuite les optimiser pour en augmenter leur efcience lors de lexcution. Ainsi la direction nancire conforte son cheminement vers le statut de business partner .

145

146

ANNEXES
ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LE PERIMETRE DES ETUDES ET DES ENQUETES SELECTIONNEES . . . . . . . . . . . . . . . . . . . . . . . . . . . . POINTS SAILLANTS DES PRATIQUES DE PLACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LES PRATIQUES DE PLACE SELON LES THEMES DU CADRE DE REFERENCE DE LAMF . . . . . . . . . . . . . . . . La dnition de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les objectifs de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre organisationnel de la gestion des risques : organisation et responsabilit . . . . . . . . . . . . . . . . Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilotage du dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ANNEXE 2 : BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EN FRANCE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loi de Scurit Financire (2003, 2005 et 2008) : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.2 Ordonnance du 8 dcembre 2008 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.3 Le cadre de rfrence de lAMF 2010 publication juillet 2010 . . . . . . . . . . . . . . . . . . . . . . . 6.1.4 Les documents de rfrence des socits cotes dposs sur le site de lAMF. . . . . . . . . . . . . . . . 6.1.5 Ministre du budget demande une cartographie des risques tous les grands oprateurs de lEtat ; Dcembre 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.6 Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext : . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.7 Travaux de lIFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.8 Travaux de lIFACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 EN EUROPE ET DANS LE RESTE DU MONDE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . 6.2.1 SOX Juillet 2002 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2 Allemagne, Angleterre, Pays-Bas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 CERCLE DES JURISTES : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 DOCUMENT EUROPEANISSUERS :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 DOCUMENTS AMRAE RELATIFS AU COMITE DAUDIT :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 LES REFERENTIELS SPECIFIQUES METIERS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6
. . . . . . . . . . . . . . . .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 . . . . . . . . . . .

annexes PARTIE 1

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

. . . . . . . . . . .

6 6 6 6 6 6 6 6 6 6 6

Annexes

148

annexes

ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE

l nous a paru intressant de recueillir et danalyser les pratiques des entreprises principalement en France, parfois en Europe ou dans le monde. A travers cette analyse, nous avons tent de comparer le niveau des pratiques constates avec celles exiges par le rfrentiel AMF. En effet, cest travers le prisme des principes gnraux du cadre de rfrence que lensemble des enqutes a t dcortiqu, analys et exploit. Ces rsultats permettent au lecteur de : Se positionner par rapport aux pratiques dclares ; Se rassurer sur son niveau de dploiement ; Disposer dinformations linternational. Ces enqutes ne reprsentent quun chantillon de linformation existante sur le sujet. Un choix subjectif mais professionnel a t ralis pour ne slectionner que celles

qui rpondaient notre objectif : savoir o en tait le systme de gestion des risques dans les entreprises. Aucune information sur les risques en eux-mmes na t prise en compte, nous nous sommes attels uniquement au dispositif et son dploiement.

1.

Le primtre des tudes et des enqutes slectionnes

Huit tudes ont t retenues et analyses. Ces tudes couvrent la priode de janvier 2010 dcembre 2011. Les principaux auteurs de ces publications, quils soient remercis des travaux raliss au sein de leurs structures, sont : Protiviti, Baromtre E1 AMRAE, Baromtre E2 Autorit des Marchs Financiers, tudes E3 & E5 The Economist Intelligence Unit, Enqute E4 Ernst & Young, Panorama E6 FERMA, Enqute E7 IFACI, Enqute E8

Enqutes utilises pour analyser les pratiques de place

Nom de lenqute Auteurs Publication Date de publication Panel Interviews Caractristiques de lchantillon analys
CA de 150 760M : 76%, CA> 750 M : 24% Industrie 30%, Banque-Assurance 22%, Distribution 26%, Services 22%. Cotes 45%. Primtre France CA < 1m : 20%, CA de 1 7,5 m : 34% ; CA> 7,5m 45% Industrie 41%; Services 35%; Autres 14% Primtre France

Rfrence

Baromtre du Risk Management 2011 7me dition

Protiviti en partenariat avec TNS Sofres

Priodique

juin 2011

100 Directeurs Financiers par tlphone

E1

Baromtre du Risk Manager 2me dition

AMRAE en partenariat avec Deloitte

Priodique

janvier 2011

106 risk managers : enqute internet

E2

Rapport complmentaire de lAMF sur les valeurs moyennes et petites se rfrant au Code de gouvernement dentreprise de MIDDLENEXT de dcembre 2009

AMF Autorit des Marchs Financiers

Ponctuelle

dcembre 2010

30 documents de rfrence : analyse

7 socits Compartiment B, 23 Compartiment C Primtre France

E3

Risk management in the front line - Fall guys

Economist Intelligence Unit sponsoris par ACE et KPMG

Ponctuelle

novembre 2010

500 executives (CEO, CRO, Senior Manager) survey + Interviews

CA < 1m 55% ; CA de 1m 10m 26%; CA > 10m 19% Industry 57% ; Financial Services 23%; Services 14%; Other 6% Primtre worldwide 90 socits ctes (40 compartiment A, 20 compartiment B, 30 compartiment C) Primtre France CA< 1m 51%; CA de 1m 5m 25%; CA>5m 24% Industrie : 50% ; Banques Assurances 10%; Services : 17%; Autres 23% Primtre France 38 socits du CAC40, 76 du SBF120, 111Midcaps CA <1m 31%; CA de 1m 10m 42%; CA > 10m 25% Industrie 52%; Financial Services 10%; Services 11% ; Other 27% Cotes 52% Primtre Europe (16 pays) CA < 750M 35%; CA de 750M 7,5m 43%; CA > 7,5m 22% Industrie 22%, Banques Assurances 36%, Services 22%, Autres 20% Primtre France

E4

Rapport de lAMF sur le gouvernement dentreprise et le contrle interne - dcembre 2011 8me dition

AMF Autorit des Marchs Financiers

Priodique

dcembre 2011

90 documents de rfrence

E5

Panorama des pratiques de gouvernance des socits cotes franaises 9me dition

Ernst & Young

Priodique

octobre 2011

223 documents de rfrence, lettres aux actionnaires et informations sites internet : analyse

E6

Tendances et pratiques de gestion des risques en Europe - Etude comparative 2010 5me dition

FERMA avec AXA Corporate solutions et Ernst & Young

Priodique

septembre 2010

782 rpondants par internet (32% risk manager, 31% insurance manager, CRO 7%, Head of Internal Audit 5%...)

E7

Les pratiques de laudit et du contrle internes en France en 2009

IFACI en partenariat avec lESSEC

Ponctuelle

janvier 2010

159 auditeurs internes 59 contrleurs internes

E8

149

annexes

Les rsultats de ces tudes doivent tre analyss au regard des caractristiques techniques de lchantillon : Carte didentit de lentreprise (Chiffre daffaires, secteur), qualit et quantit de rpondants (Risk manager, CEO, DAF, DAI), primtre gographique (France, Europe, Monde) ou encore base documentaire de lanalyse. Avec une telle diversit entre chaque enqute, nous sommes rests prudents dans nos grandes vrits et vous proposons simplement une synthse des conclusions de chacun. Nous avons nanmoins eu le plaisir de constater que peu de rsultats divergeaient, la plupart des pourcentages et des tendances allant dans le mme sens. Nous avons articul la restitution de ces enqutes selon deux dimensions : 1. Les principes gnraux du cadre de rfrence, savoir : Les objectifs de la gestion des risques, Le cadre organisationnel, Le processus de gestion des risques : Lidentication des risques, Lanalyse des risques, Le traitement des principaux risques, Le pilotage du dispositif, la surveillance et la revue de la gestion des risques

De nombreuses entreprises avancent sur ces sujets pour tre conformes une lgislation. Cependant, lexercice, contraint au dbut, devient apprci par les dirigeants qui en dcouvrent les bnces au fur et mesure ; il nexiste pas dobjectif du dispositif de gestion des risques standard applicable toutes les socits. La fracture croissante entre les moyens mis en uvre par les Bigcaps et ceux des Midcaps du fait des contraintes rglementaires qui deviennent de plus en plus lourdes. Ces dernires ne comprenant pas, au premier abord, la valeur ajoute immdiate du dispositif. Le rattachement de la fonction risk manager, lorsquelle existe, est galement rparti entre la direction gnrale, la direction nancire et un regroupement avec laudit et le contrle interne. La fonction de Risk management existe dans moins de la moiti des Midcaps ou Bigcaps. Les rfrentiels utiliss sont des rfrentiels de contrle interne, il nest pas fait tat de rfrentiel de gestion des risques : Il sagit des rfrentiels COSO et AMF ou dans des cas exceptionnels de rfrentiels internes aux entreprises. Pour les socits du CAC 40, SBF 120 et la moiti des Midcaps les rfrentiels COSO et AMF sont utiliss. Pour lautre moiti des Midcaps, il nest pas utilis de rfrentiel. La maturit des administrateurs aux pratiques de gestion des risques et de contrle interne est source de progrs. Le suivi des risques sinscrit plus rgulirement dans les comits daudit et/ou de risques, le suivi de lefcacit du dispositif tant encore assez faible. Quant loptimisation des mesures de traitement, ce nest pas considr (encore) comme une priorit. La communication dinformation relative aux actions de la gestion des risques est fortement corrle son niveau de capitalisation boursire. Pour autant, le niveau de communication dinformation ne signie pas que ces entreprises plus faible capitalisation nengagent pas dactions relatives la gestion des risques ou nont pas de dispositifs oprationnels en place.

2. Le point de vue des membres du groupe de travail

2. Points saillants des pratiques de place

Sur la base de lanalyse des informations communiques au public, il ressort de lensemble de ces observations que : La gestion des risques nest pas un nouveau sujet. Cest un sujet oprationnel que les entreprises dune certaine taille ont formalis depuis de nombreuses annes, des plans damlioration et des plans daction existent. Ces plans concourent lamlioration de lexposition certains types de risques. Dans les entreprises de taille moyenne cest une proccupation implicite des dirigeants qui nest pas formalise. Ni le besoin, ni une obligation nont conduit une formalisation ou une communication de ce dispositif ;

150

annexes

3. Les pratiques de place selon les thmes du cadre de rfrence de lAMF

Les pratiques de place analyses par les enqutes sont prsentes selon le prisme des sept thmes composant le cadre de rfrence.

personnes, les actifs, lenvironnement, les objectifs de la socit ou sa rputation. Lenqute E8 conduite par lIFACI prcise : La gestion des risques repose dabord sur la capacit de lentreprise identier prcisment et rapidement les principaux risques auxquels elle est confronte, quelle que soit leur nature. Cest pourquoi nous recommandons dutiliser une dnition large du risque : le risque correspond toute incertitude ou tout vnement pouvant menacer les activits et les actifs de lentreprise (matriels et immatriels) et ainsi entraver latteinte de ses objectifs et son dveloppement long terme . Un risque est compos de trois lments qui sont :

3.1 La dnition de la gestion des risques

Pour lAMF le dispositif de gestion des risques comporte trois caractristiques majeures : Globalit : le primtre est global, il couvre lensemble des activits, processus et actifs de la socit. Comme le primtre est global la gestion des risques est laffaire de tous les acteurs de la socit. Dynamique : la gestion des risques est un dispositif dynamique et non statique de la socit, dni et mis en uvre sous sa responsabilit. Gomtrie variable : la gestion des risques est un dispositif gomtrie variable dune socit lautre. Le dispositif comprend un ensemble de moyens, de comportements, de procdures et dactions adapts aux caractristiques de chaque socit qui permet aux dirigeants de maintenir les risques un niveau acceptable pour la socit. Dnition du cadre de rfrence de lAMF : Le risque reprsente la possibilit quun vnement survienne et dont les consquences seraient susceptibles daffecter les

Un vnement de type Danger, Pril Facteur de risque, Dysfonctionnements. activit de lentreprise qui Une diffrents moyens humains sexcute en mobilisant et matriels. Un ou plusieurs impacts qui correspondent aux consquences mesurables de la mauvaise ou nonexcution de lactivit en cause ou encore des objectifs assigns la ressource. Il peut y avoir plusieurs impacts de natures diffrentes (humain, conomique, nancier - la diminution du chiffre daffaires, la diminution de lExcdent Brut Oprationnel, judiciaire). Dans certains cas il peut entraner la condamnation civile et pnale dun mandataire social ou de la personne qui en a reu dlgation.

EVENEMENT (Danger,Pril, Facteur de risque, Dysfonctionnement)

Un vnement est un fait qui survient un moment donn et qui est la source du risque

RISQUES
RESSOURCES de lENTITE INTERNE-EXTERNE

Affecte les objectifs spciques de la ressource

La ressource est un composantmoyens mise en oeuvre pour permettre lactivit de lentreprise (raliser la mission du processus)

IMPACTS consquences

Estimer-Mesurer les consquences de non atteinte de ou des objectifs assigns la ressource (et par extension au processus

151

annexes

3.2 Les objectifs de la gestion des risques

Lune des caractristiques essentielles qui ressort des enqutes et des pratiques, est la multiplicit des objectifs. Chaque acteur en fonction de son rle attribue une nalit particulire la gestion des risques. Il nexiste pas dobjectif standard applicable toutes les socits. Chaque entreprise dtermine les objectifs de son dispositif de gestion des risques, qui correspondent son modle dentreprise, ses objectifs gnraux et spciques, sa stratgie, ses processus et ses rgles quelles soient lgales ou internes. Pour le rapport AMF(E5), seuls 26% des socits rpondantes parlent des objectifs du dispositif de gestion des risques du cadre de rfrence comme les leurs. Les rsultats des diffrentes tudes relatifs aux objectifs xs au processus de gestion des risques sont les suivants : Lenqute E1, nous apprend que : Directeurs en premier Lesgestion des nanciers attendentpermette de lieu de la risques quelle leur dcou-

Seulement 46% des rpondants pensent que leur

socit est efcace lorsquil sagit de relier la gestion des risques avec la stratgie globale de lentreprise.

Lenqute E7 nous informe que : Les objectifs assigns la gestion des risques demeurent traditionnels : - Diminuer les pertes oprationnelles 70% - Identier / grer les risques transverses 52% Les rsultats de ltude soulignent un rle croissant accord la gestion des risques comme outil de scurisation de la stratgie et de latteinte des objectifs de lentreprise (notamment au sein des pays du Nord de lEurope). En Grande Bretagne, en Belgique et aux Pays Bas, lalignement du degr dapptence au risque avec la stratgie retenue est dsormais considr comme lun des objectifs majeurs du top management pour plus de 50% des rpondants. La gestion des risques doit galement permettre de mieux apprhender le lien entre prise de risque et retour sur investissement (36% des rpondants).

vrir les risques mergents (88%). Pour rpondre cet objectif ambitieux, il conviendra de disposer dun processus continu de surveillance de ces risques, en ralisant des mises jour de la cartographie, en examinant les impacts potentiels des risques nouveaux et en optant pour un reporting rgulier du niveau de risques an didentier des risques faibles dont la gravit pourrait saccroitre rapidement. Le deuxime bnce attendu, limiter les variations brutales de rsultats, constitue toujours un enjeu cl pour les entreprises. A ce titre, une gestion des risques efcace est perue comme un levier daction pertinent. Le troisime bnce cit, renforcer le processus de planication stratgique, fait un vritable bond en avant (68%) et retrouve le taux de citations atteint en 2007. Cela va permettre aux entreprises de mieux prendre en compte les impacts potentiels dune situation de risques dans la mise en uvre de leurs actions stratgiques.

Sur la base de la pratique des membres du groupe de travail les objectifs sont diffrents selon les rles assurs. Lattente de chacun des trois principaux rles est dtaille ci-dessous : Pour le prsident et la direction gnrale : La vision de risques critiques (marche et oprationnels) et de leur monitoring. La conformit aux dispositions rglementaires et son monitoring. Lintroduction de la dimension risques par les quipes dans la prparation des opportunits de croissance. Pour les directions oprationnelles et les oprationnels : Lamlioration de la performance oprationnelle par la diffusion de la culture de la prise de risques dans les dcisions. Loptimisation des processus par la diminution du nombre de dysfonctionnements. La diffusion de meilleures pratiques grce lexistence et au pilotage monitoring de Plans daction spciques. Pour les actionnaires : Le renforcement de la conance en limage et la rputation.

Lenqute E4 nous enseigne que : Bien que les rpondants attendent en premier lieu de la gestion des risques quelle leur permette de dcouvrir les risques mergents (88%), ces rpondants indiquent que ce point constitue leur plus grande faiblesse.

152

annexes

Lalignement du dispositif de matrise de risques avec les risques majeurs pesant sur la cration de valeur de lentreprise.

entreprises europennes ont une coordination partielle avec les autres fonctions des risques, tandis que 23% ont une forte coordination des fonctions risques et assurances. Concernant lenqute E2, nous relevons que : Les relations au sein de lentreprise sont essentiellement des relations de partenariat entre les services : 61% des rpondants ont des relations de partenariat, 10% nont aucune relation et 3% ressentent des relations de concurrence.

3.3 Le cadre organisationnel de la gestion des risques : organisation et responsabilit

Le cadre organisationnel qui assure le fonctionnement du dispositif de gestion des risques est gomtrie variable. Pour lAMF Le dispositif de gestion des risques comporte trois caractristiques majeures : Une organisation qui dnit les rles et responsabilits des acteurs, tablit des procdures et les normes claires et cohrentes du dispositif ; Une dmarche didentication, danalyse et de traitement des risques, et le cas chant les limites que la socit dtermine ; Un systme dinformation qui permet la diffusion en interne dinformations relatives aux risques.

Par ailleurs, le rapport E5 stipule que : des risques ralise lvaluation La Direction risques, contre 43% 62% Direction du formelle des pour la contrle interne ou 39% pour la Direction de lAudit interne. Dans respectivement 29% et 26% des cas, la Direction des risques et la Direction du Contrle interne nexistent pas.

3.3.1 La distribution de la responsabilit de la gestion des risques

Il ressort de ltude E1, que la distribution des responsabilits se structure autour de trois acteurs suivants (hors cas du secteur Banque Assurance qui nentre pas dans le scope de leurs travaux) :

La direction nancire qui poursuit sa monte en puissance, La direction gnrale qui portait le sujet prcdem ment et qui passe le tmoin la direction nancire, La direction des risques qui monte en puissance.
Il faut souligner que sans responsabilit clairement dnie, la gestion des risques prsente gnralement un faible niveau de maturit, ce qui limite son efcacit au regard de son objectif de meilleure matrise des activits. De plus, ltude E7 apporte des prcisions sur la fonction gestion des risques : La fonction gestion des risques rend globalement compte de son activit au plus haut niveau de lentreprise (85%), toutefois, le rattachement au Directeur Financier demeure assez largement rpandu (35%) en Europe ; Les diffrentes fonctions en charge de la gestion des risques ne travaillent plus en silos, toutefois, leur degr de coordination demeure perfectible. 61% des

Enn, pour les membres du groupe de travail au groupe de travail Le Directeur Administratif et Financier est fortement impliqu dans le dispositif de gestion des risques. La direction de laudit interne ralise ou actualise la cartographie des risques.

3.3.2 Primtre dactivits de la gestion des risques

Selon lenqute E7 : Seuls 29% des rpondants ont une pratique mature de la gestion des risques, alors que 14% sont avancs. La pratique mature, selon cette enqute, repose sur la ralisation de 4 5 missions (Sur les 6 dcrites) qui sont : - Coordination des politiques de gestion des risques ; - Identication et quantication des risques et des contrles ; - Pilotage continu de lamlioration des pratiques de gestion des risques oprationnels ; - Dnition et mise en uvre de solutions de nancement des risques ; - Audit de conformit de la qualit des procdures et standards de gestion des risques ; - Existence dun reporting risques industrialis.

153

annexes

Selon lenqute E4 : Le lien entre la stratgie et la gestion des risques est ralis dans 46% des cas. La mise jour des risques et sa diffusion dans lorganisation fonctionne chez plus de 35% des rpondants. La prise en compte de risque mergent ne fonctionne bien que dans 60% des cas. La correcte apprhension des risques par le board est effective 55%. Le risk management joue un rle actif dans les missions suivantes : - Implication dans les projets dinvestissements sur les nouveaux marchs (46%) ; - Implication dans les projets dinvestissements sur des nouvelles zones (39%) ; - Implication dans la mise en uvre de la stratgie (44%).

au changement La rsistancecomptences. ; Manque de Pour les membres du groupe de travail les principaux freins sont les suivants : Un manque de sponsoring fort de la direction gnrale ; Un manque de moyens et de ressources.

3.3.5 La multiplicit des rfrentiels existants

La multiplicit des rfrentiels utiliss par les diffrents propritaires de processus constitue un frein lappropriation, par les oprationnels, du dispositif de gestion des risques et latteinte de ses objectifs. En consquence, la dnition des objectifs de la gestion des risques doit tre loccasion de dterminer et de formaliser un rfrentiel propre et unique lentreprise an de relier notamment les spcicits mtiers, rglementaires avec les objectifs de la gestion des risques. A partir de cette observation une double question : Comment positionner un rfrentiel de gestion des risques par rapport ceux dj installs sachant que certains de ces rfrentiels abordent la gestion des risques ? Comment articuler cette dimension avec les pratiques relatives au rfrentiel de contrle interne qui sont prsentes dans le tableau ci-dessous ?

3.3.3 Les procdures et documentations

Selon lenqute E7 : le rle de la gestion des risques est clairement dni dans une charte ou une politique ddie. En effet, 62% des rpondants (europens) dclarent disposer et avoir diffus une procdure crite et une charte de gestion des risques. 21% lannoncent comme en prparation .

Selon ltude E5 : 79% des socits ont donn des informations sur les procdures de gestion des risques et, en particulier, sur lidentication et lanalyse des risques.

Il ressort des travaux de ltude conduite par lenqute E5 relative aux rfrentiels de contrle interne les pratiques suivantes :
Les rfrentiels de contrle interne utiliss (source : tude E5) COSO CAC 40 SBF 120 MidCap 50% 30% 12% AMF 42% 54% 44% Autre 3% 1% 3% Pas de rfrentiel 5% 15% 41%

3.3.4 Les facteurs de succs et freins pour la gestion des risques

Selon ltude E1, les trois principaux facteurs cls de succs sont : Une distribution claire des rles et responsabilits ; Une dnition des objectifs et des apports attendus par la gestion des risques ; La mise au point dun langage commun et partag entre les diffrents intervenants sur le sujet au sein de lentreprise.

Tandis que les principaux freins la mise en uvre dune gestion des risques efcace sont : Les lourdeurs administratives freinant linitiative, la dcision et la ractivit ; La complexit de mise en place et de dploiement ;

Cest lissue de la dnition des caractristiques de la politique de gestion des risques (couple mission / objectif) et des rgles que pourront tre dtermines celles du cadre organisationnel de la gestion des risques, objet du paragraphe suivant.

154

annexes

3.4 Le processus de gestion des risques

Pour lAMF le fonctionnement du processus de gestion des risques repose sur 3 temps forts : Lidentication des risques, Lanalyse des risques (que nous regrouperons car les enqutes montrent peu ou pas de distinction), Le traitement des risques.

des actionnaires et le refus dexposer des informations condentielles, les socits cotes restent encore peu favorables une communication sur le chiffrage de leurs risques.

3.4.2 Les modalits de traitement des principaux risques :

Rappelons que les actions de matrise / de traitement des risques qui sont en gnral mises en place sont les suivantes : La rduction du risque (mise en place de contrles, adaptation de lorganisation, recrutement de comptences supplmentaires,) ; Le transfert (mcanismes dassurance ou de soustraitance) ; La suppression (changement dactivit ou de stratgie) ; Lacceptation du risque. Daprs ltude E1, les solutions de traitements des risques majeurs sont : les procdures de contrle interne, toujours considres par les entreprises comme la pratique incontournable pour limiter les risques, obtient un taux de citation qui frle 100%, linterdiction des pratiques gnrant des risques levs, qui avait nettement recul entre 2005 et 2007/2008, redevient cette anne une stratgie cl de gestion des risques pour 91% des entreprises interroges, les protections contractuelles vis--vis des tiers, dans un contexte de crise conomique et de dveloppement commercial trs tendu, dpassent de 7 points le niveau de citations le plus lev atteint en 2004 avec 88%, les couvertures par des polices dassurance : qui est stable avec un taux de citation de 80%.

3.4.1Lidentication et lanalyse des risques

Selon ltude E1, qui interviewe exclusivement des directeurs nanciers, les trois moyens les plus utiliss pour identier et mesurer les risques sont : Les missions daudits internes, Une liste dindicateurs de risques suivis rgulirement, Des runions et travaux spciques de la Direction Gnrale.

Pour lenqute E7: 72% des socits identient et quantient qualitativement leurs risques et contrles. En revanche, lvaluation des risques des processus reste qualitative (par exemple ralise grce des ateliers de gestion) et de lutilisation des outils avancs quantitative apparaissent toujours comme une exception (5%), mme si plus largement rpandue dans certains pays (par exemple LAllemagne et le Royaume-Uni). Toujours pour E7, les ateliers de hirarchisation des risques sont dsormais organiss dans plus des trois quart des socits europennes (88%). Ainsi, la tenue dateliers de hirarchisation des risques sest impose comme la pratique de rfrence parmi les socits europennes, en revanche, les outils quantitatifs danalyse plus volus demeurent peu utiliss. Toutefois les outils volus de quantication des risques demeurent peu utiliss au sein des grands pays europens (UK, ALL, France, Esp) : les modles dagrgation stochastique des cartographies des risques ralises au niveau des branches sont utiliss par moins de 25% des socits ; les modles de simulation de la value at risk sont galement utiliss par moins de 25% des socits, lexception de lAllemagne (38%).

Pour ltude E6, la publication du chiffrage, issue de lanalyse des risques, reste une pratique marginale puisque les socits ne sont que 14% le faire. En effet, partages entre la ncessit de transparence vis--vis

Il ressort galement de cette enqute que : deux traitements sont du domaine de la prvention et deux du domaine de la protection. Dans un tel environnement, il nexiste intrinsquement pas dala lis lexcution, la stratgie qui vise transfrer et externaliser une fonction qui prsente des risques est aujourdhui utilise par 20% des rpondants contre 40 % 51% lors des exercices 2004 2008.

155

annexes

Pour lenqute E7 : seules 43% des entreprises dnissent et mettent en uvre des solutions de nancement des risques en coordination avec la matrise globale des risques, le degr dapptence au risque repose plus sur la catgorie de risques que sur sa gravit : les socits semblent prtes prendre des risques lorsque ceuxci sont externes (environnement concurrentiel, marchs nanciers, fusion & acquisition) contrairement ceux qui seraient internes (sant & scurit, liquidit, conformit, contrle interne).

la dduction des dysfonctionnements et des risques partir des processus nest pas une pratique installe. Selon ltude E1, dautres reporting sur les risques sont utilis: Reporting spcique sur incidents (dclarations dassurance, rclamation clients, dclaration daccidents du travail), cest la mthode la plus utilise pour suivre les risques (77%). Si elle constitue un point essentiel du dispositif (et mme obligatoire dans certaines industries comme la banque), elle noffre quune vision rtroviseur des risques en ne prenant en compte que les risques avrs et ne permet pas davoir une vision plus proactive permettant didentier les risques mergents, peut-tre faibles pour le moment mais dont la gravit pourrait saccrotre rapidement.

3.5 Le pilotage du dispositif de gestion des risques

Deux aspects sont traits dans le cadre des enqutes : le volet monitoring via le reporting et le volet gouvernance par des instances ddies.

3.5.1 Reporting
Lenqute E7 nous informe que : la cartographie des risques sest impose comme un reporting de rfrence au niveau europen : 60% font un exercice de cartographie sur lensemble du groupe tandis que 17% se contentent du Corporate.

priodique du Auto-valuation oprationnel des risques et est contrle interne : cette mthode cite par 76% du panel de ltude E1 (soit le mme niveau que le reporting spcique sur incident). Cette dmarche, qui est en progression dans les entreprises franaises, prsente lavantage dimpliquer et donc de sensibiliser les oprationnels sur le terrain. Cette mthode permet en outre de dtecter les nouveaux risques et de suivre lvolution des risques mergents. dans Intgration des risquescest la les reporting standards du management : 3me mthode cite dans ltude E1 (61%). Cette mthode permet dafrmer la place de la gestion des risques dans les missions et le quotidien de chaque manager oprationnel et ouvre aussi la voie lobjectivation de ces derniers sur la performance de leur dispositif de gestion de risques qui peut se trouver de fait intgr aux indicateurs tudis lors des revues de performance managriale. Les directeursdesnanciers, de leur ct, citent dans 48% des cas tableaux de bord spciques dindicateurs de risques. De plus, ltude E6 mentionne que : sur le plan europen, lactivit gestion des risques est globalement bien intgre dans le reporting effectu auprs des conseils (78%) et le thme de la gestion des risques est gnralement abord a minima une fois par an au sein des conseils dadministration.

Par ailleurs, ltude E5 nous dit que : 56 sur les 90 socits analyses ont indiqu lexistence dune cartographie des risques soit 62% : 53 dentre elles en ont dcrit les principaux lments : 34 de ces socits font partie du compartiment A, dont 29 appartiennent lindice CAC40 (72%).

Selon lenqute E6, la cartographie est loutil de reporting le plus utilis par lensemble des socits avec : 84% pour le CAC 40, 80% pour le SBF120 et 40% pour les MidCap. Selon les membres du groupe de travail : les travaux de construction des cartographies sont conduits en recherchant les risques sans un travail de recherche des dysfonctionnements rels et encore moins potentiels (cause des risques) dans les activits oprationnelles. En dautres termes, les dysfonctionnements ne sont pas dduits et localiss au sein des processus excutifs, oprationnels et supports, reet de lactivit de lentreprise. les approches conduites par les membres du groupe de travail sont en ligne avec les enqutes, par contre

156

annexes

en en revanche, les entreprises franaises sontdansretrait sur lintgration de la gestion des risques le reporting au conseil dadministration (35%), comparer aux meilleures pratiques britanniques (76%) ou allemandes (60%). Enn, nous avons not que le guide Mthodologique de novembre 2010 de lIFA (Le suivi de lefcacit des systmes de contrle interne et de gestion des risques) prconise que le pilotage du dispositif de gestion des risques repose sur : de le suivi dindicateurs-cls des performance relatifs au dispositif de gestion risques : ces indicateurs doivent permettre de rendre compte autant que faire ce peut de lvolution dun risque (dans sa dimension impact et probabilit) au travers par exemple dindicateurs dalerte (ex : drives par rapport aux prvisions, volution des causes/vnement gnrateur du risque, volution de la vulnrabilit de lentit/entreprise au risque), le suivi document des plans de remdiation de chacun des risques identis par lintermdiaire dindicateurs permettant de suivre le dploiement des plans et quand cela est possible dindicateurs permettant de mesurer lefcience du plan (rduction de la probabilit et/ou de limpact), le recensement et lanalyse des incidents avrs : incidents, fraude, sinistres.

tances ou fonctions : le comit des risques, le comit daudit et laudit interne. LE COMIT DAUDIT ET/OU DES RISQUES Pour lenqute E2, nous relevons que : 35% des rpondants sont membres ou invits dun comit oprationnel des risques tandis que 30% sont invits au comit daudit, dans 92% des cas le comit des risques sintresse lensemble des risques de lentreprise et pas seulement aux risques nanciers.

Pour ltude E7 : 40% des personnes interroges comprennent le mandat assign au comit daudit et/ou des risques dans leur entit (contrler la conformit, analyse des risques et revue critique de la stratgie de gestion des risques), lactivit de gestion des risques est globalement bien intgre dans le reporting effectu auprs des conseils (78%) et le thme de gestion des risques est gnralement abord a minima une fois par an au sein du conseil dadministration. Pour lenqute E6 : la distinction entre les comits des risques et les comits daudit ne concerne que 14% des socits du CAC 40 (et respectivement 8% du SBF 120 et 5% des midcaps) celle-ci est encore naissante. Le suivi et la surveillance du dispositif de management des risques est un sujet concernant surtout les comits daudit des entreprises du CAC 40 et du SBF 120 et dans une moindre mesure les midcaps, les principaux travaux assurs par le comit daudit sont les suivants :

3.5.2 La gouvernance des dispositifs : les instances ddies

Il ressort des diffrentes tudes que la gouvernance des dispositifs de gestion des risques est assure par ces ins-

TRAVAUX DU COMIT D'AUDIT LIS LA GESTION DES RISQUES

Suivi de l'efcacit des mesures de couverture des risques 58% 40% 17%

Suivi de la gestion des risques durant l'exercice CAC 40 SBF 120 Midcaps 92% 77% 37%

Revue de la cartographie des risques 47% 56% 22%

157

annexes

Concernant ltude E5, propos du comit daudit : 85% des socits de lchantillon ont mis en place un comit daudit ou des comptes distincts du conseil (ce taux slve 100% pour les socits du CAC 40 de lchantillon). 7% des socits de lchantillon ont con cette fonction au conseil runi en formation de comit daudit, parmi les 8% restantes, 4 ont dclar navoir pas mis en place de comit daudit et les trois autres nont donn aucune information sur ce point ; dans 81% des socits qui ont mis en place un comit daudit distinct du conseil et qui ont communiqu linformation adquate, la prsidence de ce comit a t cone un administrateur indpendant. Au sein des socits du CAC 40, 91% des comits daudit sont prsids par un administrateur indpendant ; 33% des socits de lchantillon ont prcis stre appuyes sur le rapport du groupe de travail de lAMF sur le comit daudit de juillet 2010.

ANNEXE 2 : textes et references BIBLIOGRAPHIques

En France, Gestion des risques et contrle interne Loi de Scurit Financire (2003, 2005 et 2008)
Le rapport du prsident devant rendre compte des procdures de contrle interne et de gestion des risques mises en place par la socit, en dtaillant notamment celles des procdures relatives linformation llaboration et au traitement de linformation comptable et nancire pour les comptes sociaux et, le cas chant pour les comptes consolids (article L225-37 du code de commerce) ; Diligences du CAC sur le rapport du prsident ;

LAUDIT INTERNE
Pour ltude E6 : laudit interne est totalement ou partiellement impliqu dans le processus dvaluation de la robustesse et de lefcacit des risques pour 61% des personnes interroges. Toutefois pour plus dun tiers des rpondants (39%), laudit interne est toujours considr comme non impliqu dans ce processus dvaluation (29%), ou comme jouant un rle ou voir ambigu, ces opinions sont sans doute en lien avec le fait que selon ltude E7, dans 13% des cas, laudit interne et les risques sont intgrs la mme direction, et dans 30% des cas la direction regroupe laudit Interne, le contrle Interne et les risques.

Ordonnance du 8 dcembre 2008

Le comit daudit est notamment charg dassurer le suivi de lefcacit des systmes de contrle interne et de gestion des risques (article L823-19 du code de commerce) ;

Le cadre de rfrence de lAMF 2010 publication juillet 2010

Il correspond un amnagement du cadre de rfrence publi en 2007, ce travail a t conduit par un groupe de travail entre septembre 2009 et juillet 2010. Ce nouveau cadre a une double nalit (i) rpondre la Loi de Scurit Financire : cadre de rfrence, (ii) rpondre lordonnance de dcembre : rapport du comit daudit.

Daprs ltude E5 : lvaluation du contrle interne et de la gestion des risques concernent 55 socits de lchantillon. En effet, 61% du panel ont consacr des dveloppements lvaluation et/ou laudit de tout ou partie des procdures de contrle interne et de gestion des risques en prcisant, le cas chant, la nature des travaux conduits spciquement en la matire au titre de lanne 2010, parmi ces socits gurent 34 socits appartenant au compartiment A, reprsentant 85% de cette catgorie et 21 socits appartenant aux compartiments B et C, reprsentant 42% de cette catgorie.

Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext

- Code de gouvernement dentreprise des socits cotes AFEP-MEDEF (Dcembre 2008) ; - Code de gouvernement dentreprise pour les valeurs moyennes et petites - MiddleNext (dcembre 2009) ; - Systmes de contrle interne et de gestion des risques ( CIGR ) Principes communs pour les socits.

158

annexes

Travaux de lIFA
- Les comits daudit : 100 bonnes pratiques (Janvier 2008) - Prise de position IFA-IFACI sur le rle de laudit interne dans le gouvernement dentreprise (mai 2009) ; - Le rle de ladministrateur dans la matrise des risques (en collaboration avec lAMRAE, juin 2009) ; - Comits daudit et auditeurs externes (novembre 2009) ; - Guide Mthodologique de suivi de lefcacit des systmes de contrle interne et de gestion des risques (novembre 2010).

Travaux de lIFACI
Relatifs aux procdures de gestion des risques
- Management des risques, 2001 (traduction dun ouvrage anglais) ; - Lefcacit des comits daudit, les meilleurs pratiques (tude ralise par PwC et parraine par lIIA, traduite par lIFACI et PwC, mai 2002) ; - Etude du processus de management et de cartographie des risques, janvier 2004 (cahier de la recherche - guide daudit) ; - Lauto-valuation du contrle interne, octobre 2005 (cahier de la recherche -guide daudit-) ; - Des cls pour la mise en uvre du CI, avril 2008 (cahier de la recherche- meilleures pratiques-) ; - Contrle interne et qualit, pour un management intgr de la performance, mai 2008 (cahier de la recherche notes professionnelles).

Travaux de lAMRAE
- Rle de ladministrateur dans la matrise des risques ; - Analyse et prsentation des travaux de lAMF relatifs la gestion des risques et au comit daudit ; - Le Risk Manager et l'intelligence conomique ; - Trajectoire vers un Enterprise Risk Management (ERM) ; - La cartographie: un outil de gestion des risques ; - FERMA - European Guidance ; - La gestion du risque juridique dans l'entreprise (tude de FIDAL mene pour lAMRAE).

159

160

CONTACTS

AMRAE - Association pour le Management des Risques et des Assurances de lEntreprise Bndicte HUOT DE LUZE Dlgue Gnrale benedicte.deluze@amrae.fr www.amrae.fr APDC - Association des Directeurs de Comptabilit & de Gestion Philippe THIERRY-MIEG Secrtaire gnral Responsable du groupe Contrle Interne pthierry-mieg@apdc-france.com www.apdc-france.com BMA - Bellot Mullenbach & Associs Jean-Louis BRUN DARRE Expert-comptable, commissaire aux comptes jl.brun-darre@bma-paris.com www.bma-paris.com KPMG Sylviane HAUTIN Associe Internal Audit, Risk and Compliance Services shautin@kpmg.fr www.kpmg.fr DFCG - Association nationale des directeurs nanciers et de contrle de gestion Florence GIOT Coprsidente de la Commission Contrle interne et matrise des risques de la DFCG siege@dfcg.asso.fr www.dfcg.com

MISE EN UVRE DU CADRE DE RFRENCE ACTUALIS DE lAMF

Pour une amlioration de la performance oprationnelle via loptimisation des processus et une meilleure intgration de la matrise des risques

Livre Blanc
Gestion des risques, efcacit du processus de la gestion des risques, suivi de lefcacit - depuis 2010 tous ces termes ont t pris et repris mais sans aller plus loin dans les informations pratiques quant leur mise en uvre. Avec ce livre blanc - issu dune collaboration fructueuse entre des risk managers, contrleurs ou auditeurs internes dentreprises, des associations professionnelles et des cabinets daudit - ce sont lexprience terrain, le vcu des entreprises et des propositions pratiques qui sont exposs. Le cadre de rfrence de lAMF sert de l rouge cet ouvrage et permet au lecteur de comprendre pas pas le dploiement dun dispositif de gestion des risques. Trois chapitres pour trois objectifs : - En premier lieu, une compilation denqutes permettra au lecteur de mesurer la performance de sa pratique de gestion des risques, - En deuxime lieu, un planning prcis de dploiement dun dispositif sous forme de cinq tapes cls lui sera propos, dans le but ultime damliorer la performance de lentreprise, - En troisime lieu, les outils et reporting rellement utiliss lui seront prsents. Destin aux Entreprises de Taille Intermdiaire, cet ouvrage sadresse aux directions nancires, souvent responsable de la gestion des risques dans ces structures. Un livre blanc pratique, un guide de mise en uvre, un soutien pour les entreprises qui veulent transformer une conformit rglementaire en un avantage comptitif, gage de performance.

80 Bd Haussmann 75008 Paris Tl. : 01 42 89 33 16 www.amrae.fr amrae@amrae.fr

AMRAE

Maison de la Finance 14 rue Pergolse CS11655 75773 Paris CEDEX 16 Tl. : 01 40 20 96 05 www.apdc-france.com contact@apdc-france.com

APDC

ISBN : 978-2-9535998-3-1