Professional Documents
Culture Documents
AMRAE - APDC
Pour une amlioration de la performance oprationnelle via loptimisation des processus et une meilleure intgration de la matrise des risques
Livre Blanc
avec le soutien de En partenariat avec
Livre Blanc
GROUPE DE TRAVAIL
Membres du Comit de pilotage
Jean-Louis BRUN DARRE Bndicte HUOT DE LUZE Eric ROPERT Philippe THIERRY-MIEG BMA AMRAE KPMG AREVA Expert comptable, Associ Dlgue Gnrale Associ Responsable contrle interne / Direction Financire AREVA Responsable du groupe Contrle interne Finance APDC
Remerciements
Guillaume GASZTOWTT, Co-Prsident du groupe de place AMF 2005, Partner Advisory Services KPMG
Pour une amlioration de la performance oprationnelle via loptimisation des processus et une meilleure intgration de la matrise des risques
Livre Blanc
ISBN : 978-2-9535998-3-1
prface
a transposition en droit franais des directives europennes a dclench une srie de ractions, de rexions et de prises de conscience dont lune delle est lutilit dune gestion des risques efcace. La mise sous les projecteurs de cette gestion des risques - qui nest pas un sujet nouveau mais qui tait souvent limite la diffusion de la culture du risque - encourage et positive la prise de risque maitrise comme source de cration de valeur. Dans ce contexte, le rgulateur a actualis en juillet 2010 son cadre de travail datant de 2007 sur deux thmes : la gestion des risques et les missions des comits daudit ce dernier ntant pas abord dans ce livre blanc. La partie gestion des risques ayant t totalement cre, il est intressant de noter la volont du rgulateur doffrir un cadre double nalit : Amliorer le pilotage des activits et scuriser latteinte des objectifs et viter de percevoir cette rglementation comme une contrainte. Partant de ce constat les praticiens, cabinets daudit et institutions professionnelles ont souhait proposer une dmarche positive, structure et adapte de modalits de mise en uvre. Lide fondatrice tant de transformer cette contrainte rglementaire relative la gestion des risques en un lment essentiel de la performance et de lamlioration de lentreprise. De nombreux changes ont permis de trouver un chemin en 5 tapes cls qui permet lentreprise de passer du monde de la conformit au monde de la performance. Dans les dmarches actuelles, les entreprises progressent de concert sur la abilisation de la stratgie et celle des processus, lthique et la gouvernance. La solidit de chaque thme est gage dune maturit globale de lentreprise, la performance ne pouvant tre atteinte quen travaillant sur cet ensemble. In ne, le groupe de travail a souhait proposer aux directions nancires un ensemble doutils utiliss par les participants. La vocation de ces outils est dtre une source dinspiration, de rester proche du terrain et de faciliter la mise en uvre de la dmarche. Ces outils nont surtout pas vocation tre dploys exhaustivement dans une entreprise. Chercher la performance versus la conformit, tre pragmatiques versus thoriques et montrer un chemin balis versus dispers, tels sont les objectifs de ce livre blanc. Jean-Jacques JEGOU
Directeur Administratif et Financier GROUPE ZODIAC AEROSPACE
sommaire
PARTIE 1
1 QUELS OBJECTIFS POUR CE LIVRE BLANC ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 LES AMELIORATIONS INTRODUITES DANS LE CADRE DE LAMF . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 LE PANORAMA DES ACTEURS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Le directeur nancier: son rle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.2 Le sponsor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.3 Les ressources oprationnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 LE CONTENU DU LIVRE BLANC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 QUEL CHEMIN PRENDRE POUR LE DIRECTEUR FINANCIER ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 LA MAITRISE DES RISQUES EN QUELQUES MOTS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Le dispositif de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Le dispositif de contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3 Linterrelation entre ces dispositifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 LES PRATIQUES DES ENTREPRISES : QUELLE MATURITE ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Les objectifs de la gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Le cadre organisationnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4 Le pilotage du dispositif, la surveillance et la revue de la gestion des risques . . . . . . . . . . . . . . . 2.3 LES DIFFERENTES ETAPES DE LA MISE EN UVRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.1 Les tapes de la trajectoire dvolution et de transformation. . . . . . . . . . . . . . . . . . . . . . . . . 2.3.2 Le cercle vertueux des tapes : la dynamique dvolution - transformation . . . . . . . . . . . . . . . 2.3.3 La connaissance partage du droulement des processus . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.4 Les bnces attendus entre chaque tape . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3.5 Le rapprochement - Contenu des tapes - Contenu du rfrentiel AMF . . . . . . . . . . . . . . . . . . . 2.4 LES FACTEURS CLES DE SUCCES DE LA MISE EN UVRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Lidentication et la localisation des zones risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 La mise en place de lapproche processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3 La cration dune valeur ajoute la n de chaque tape . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.4 Une politique de communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 .11 12 12 14 14 14 15 15 15 16 16 16 16 17 17 17 18 18 20 21 23 26 27 27 27 27 27
PARTIE 2
1 MISE EN UVRE DE LINTEGRATION DE LA MAITRISE DES RISQUES ET DE LAMELIORATION DE LA PERFORMANCE : LES ETAPES ET LES FAMILLE DOUTILS . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 QUELQUES DEFINITIONS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 La conformit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.2 Lefcacit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.3 Lefcicience. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.4 La performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.5 La dure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 LES ETAPES DEVOLUTION ET DE TRANSFORMATION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 Etape 0 : Dimensionner le projet dvolution. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.2 Etape 1 : Connatre les zones risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.3 Etape 2 : Implmenter un dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.4 Etape 3 : Faire fonctionner un dispositif de gestion des risques efcace . . . . . . . . . . . . . . . . . . 1.2.5 Etape 4 : Amliorer la performance oprationnelle des processus . . . . . . . . . . . . . . . . . . . . . . 1.2.6 Etape 5 : Optimiser le dispositif de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 LES FAMILLES DOUTILS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 La connaissance des marchs, des produits et de la stratgie de dveloppement associe . . . . . . . . 1.3.2 La connaissance des activits oprationnelles : Les processus . . . . . . . . . . . . . . . . . . . . . . . . 1.3.3 La connaissance de lexposition aux risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.4 Les dispositifs de prcautions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.5 La mise en uvre du Pilotage ou du Monitoring. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 31 31 31 31 31 31 31 32 34 36 38 40 42 44 45 45 47 48 50
53
56 57 58 68 70
. . . . . . . . . . . . . . . . . . 72
ETAPE 2 - IMPLEMENTER UN DISPOSITIF DE GESTION DES RISQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Univers des risques afn . . . . . . . . . . . . . . . . . Guide dentretien . . . . . . . . . . . . . . . . . . . . . . . Fiche de risques - version en anglais. . . . . . . . . . . . . Fiche de risque - version en franais . . . . . . . . . . . . . Fiche de risque - version en franais . . . . . . . . . . . . . Grille dvaluation - Echelle de risque . . . . . . . . . . . . Matrice des Processus et des Risques . . . . . . . . . . . . Premire cartographie des risques . . . . . . . . . . . . . . Plan de dploiement du dispositif de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 77 82 83 84 85 86 88 90
ETAPE 3 - FAIRE FONCTIONNER UN DISPOSITIF DE GESTION DES RISQUES EFFICACE . . . . . . . . . . . . . . . . . . 93 Questionnaire Auto-Evaluation Niveau ENTITE - version en anglais . Questionnaire Auto-Evaluation Niveau Processus Financiers . . . . . Cartographie des risques - Activit service . . . . . . . . . . . . . . . Cartographie des risques - Activit industrielle . . . . . . . . . . . . . Fiche de risque avec plan dactions associ . . . . . . . . . . . . . . . Apprciation de lefcacit dun dispositif de matrise des risques . . Reporting de suivi de lefcacit du dispositif de matrise des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 . 98 . 114 . 115 . 116 . 118 .122
ETAPE 4 - AMELIORER LA PERFORMANCE DES PROCESSUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Rfrentiel des Processus : Achats et approvisionnements . . . . . . . . . . . . . . . . . . . . Rfrentiel des Processus RH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Transformation du processus - Emission des bons de commande . . . . . . . . . . . . . . . . . Le suivi de la performance des processus - KPI - Cot processus clients . . . . . . . . . . . . . Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements . Tableau de bord de suivi des Risques - Dysfonctionnements et Plans dactions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 .128 .130 .132 .133 .134
ETAPE 5 - OPTIMISER LE DISPOSITIF DE GESTION DES RISQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 Impact mtiers du risque informatique : Cas RH Paie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 Evolution de la maturit du dispositif de matrise des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140
143
5
sommaire
ANNEXES
ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. LE PERIMETRE DES ETUDES ET DES ENQUETES SELECTIONNEES . . . . . . . . . . . . . . . . . . . . . . . . . . 2. POINTS SAILLANTS DES PRATIQUES DE PLACE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. LES PRATIQUES DE PLACE SELON LES THEMES DU CADRE DE REFERENCE DE LAMF . . . . . . . . . . . . . . La dnition de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les objectifs de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre organisationnel de la gestion des risques : organisation et responsabilit . . . . . . . . . . . . . . . . Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilotage du dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ANNEXE 2 : TEXTES ET REFERENCES BIBLIOGRAPHIQUES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EN FRANCE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loi de Scurit Financire (2003, 2005 et 2008) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ordonnance du 8 dcembre 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre de rfrence de lAMF 2010 - publication juillet 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lIFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lIFACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Travaux de lAMRAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149 .149 .150 .151 .151 .152 .153 .155 .156 .158 .158 .158 .158 .158 .158 .159 .159 .159
executive summary
n juillet 2010, dans le cadre de la transposition des directives europennes, lAMF a introduit dans son cadre de rfrence la dimension gestion des risques et a indiqu aux metteurs quil sagissait dun outil de progrs dont lambition allait bien au-del de la conformit. Le cadre de rfrence nonce certains principes et est constitu de questionnaires. Il intgre dsormais la dimension de gestion des risques sans en prciser toutefois les modalits de mise en uvre. Du fait des enjeux damlioration de la performance dans lexcution des activits oprationnelles, et du besoin de modles conomiques robustes, ce groupe de travail a t cr pour dcrire les modalits de mise en uvre du cadre de rfrence permettant douvrir des perspectives en termes dvolution, de transformation et de performance des entreprises. La restitution de ses travaux est organise en deux parties : 1. la premire partie propose au directeur nancier les tapes dune trajectoire dvolution qui permettent daller au-del du simple objectif de conformit rglementaire vers lamlioration de la performance par notamment des prises de risques maitrises. Cette trajectoire passe par la modlisation des processus, une meilleure connaissance des risques, puis se poursuit par la transformation des pratiques oprationnelles, pour en arriver linstauration dune dmarche de progrs continue dans lexcution des processus oprationnels. Ainsi lissue de ces transformations, le directeur nancier aura durablement install dans les pratiques du management la culture de lapproche processus associe une pratique de la prise de risques raisonne. Cette culture constitue le meilleur rempart de protection et de croissance du modle conomique de lentreprise. 2. la seconde partie est oriente mise en uvre . Elle fournit aux quipes de la direction financire qui
auront conduire la mise en uvre un package dmarche-outils qui leur permettra de construire la road-map dvolution. Ce package est compos de fiches techniques dcrivant le contenu des tapes, dune bote ides doutils et de retours dexpriences. Pour chacune des tapes nous avons associ des outils de mise en uvre issus de lexprience des membres du groupe de travail. Cette boite outils et les outils qui la composent ont surtout pour vocation, de donner des ides aux quipes qui conduisent les travaux de transformation, et devront, le cas chant, tre adapts aux spcificits de lentreprise. La monte en puissance vers la prise de risques maitriss, la performance et la robustesse du modle conomique sont organises ds la premire tape de la trajectoire pour viter quil y ait fracture entre conformit et performance. Il ressort ainsi clairement de ces travaux que, pour dpasser la connaissance des zones risques et des risques et progresser dans lamlioration de la performance, il convient dintroduire une dimension complmentaire, lapproche processus . En effet, la matrise de la modlisation des processus associe une forte culture des risques nous semble tre un facteur cl de succs dans la conduite des travaux de transformation. En installant cette dynamique, on accrot la diffusion de la culture de la dmarche processus dans des fonctions et mtiers qui ne lutilisent pas habituellement, leur permettant de conduire des amliorations sur dautres sujets comme lvolution des systmes dinformation et celle des systmes de gestion vers lABC, le Lean Management ou la mise en place dune vision transversale indpendante de lorganisation de lentreprise. Par cette dmarche, la direction financire conforte son cheminement vers le statut de business partner .
PARTIE 1 PARTIE 1
PARTIE 1
10
1.L
PARTIE 1
accroissement des parts de march et de la cration de valeur tout en matrisant ses prises de risques et en grant son image constituent les objectifs usuels de tout entrepreneur et de toute entreprise. Laccroissement de la volatilit des situations, leurs complexits, la rapidit de raction et dadaptation auxquelles les entreprises sont confrontes, assortis dune difcult croissante matriser les technologies de linformation, provoquent une instabilit grandissante dans la dnition des stratgies et de leurs excutions oprationnelles. Les risques systmiques tant venus sajouter aux risques entrepreneuriaux, le risque fait partie de linconscient collectif, il est redout et non plus souhait et la prise de risques se doit dtre plus encadre que jamais. Ds lors, il est souhaitable, voire primordial, de donner aux entreprises un cadre permettant un retour la prise des risques matrise. Cest pourquoi le rgulateur a dvelopp, sous forme de recommandations, un cadre de rfrence, des pistes de rexions, des listes de questions essentielles destination des entreprises an de leur permettre de abiliser latteinte de ses objectifs stratgiques et oprationnels.
Les travaux du Groupe de place conduits en 2009-2010 avaient pour objectif de proposer et non dimposer un cadre de travail aux entreprises. Ainsi les recommandations prcisent quil sagit dune mthodologie qui doit tre adapte aux innombrables cas particuliers rsultant de lactivit, de la taille et de lorganisation des entreprises concernes . Ces travaux ont conduit proposer un certain nombre de recommandations complmentaires matrialises par les deux documents prcdemment voqus et traitant de : - Lintroduction de la gestion des risques qui a conduit adapter le cadre de rfrence de 2007, dont les volutions portent sur : les principes fondamentaux dun dispositif de gestion des risques ; larticulation de la gestion des risques et du contrle interne ; le primtre qui couvre dsormais lensemble des domaines de lentreprise et qui nest pas seulement limit au processus comptable et nancier ; lactualisation du rle des principaux acteurs ; la mise jour des deux questionnaires relatifs aux principes gnraux et au contrle interne comptable et nancier et la rdaction dun questionnaire relatif lanalyse et la matrise des risques. - Lextension des missions du comit daudit : cest ainsi notamment que le suivi de lefcacit des systmes de gestion des risques et de contrle interne est une des missions de surveillance du comit daudit. Il est rappel que les systmes de contrle interne et de gestion des risques doivent sappuyer sur un rfrentiel , celui de lAMF ou tout autre. La mise en place de ces nouvelles recommandations conduit non seulement au respect de la conformit mais ouvre la porte la prise de risques matrise, source dune rduction de la volatilit des performances et dune amlioration de la performance oprationnelle. Ces actions de transformation vont inuencer le comportement, les rexes et la pratique des oprationnels et aussi modier en profondeur la culture du risque de lentreprise. Il faut aussi avoir lesprit que ces transformations demandent des efforts importants de pdagogie et de communication qui sont habituellement sous-estims. Les principes qui y sont dvelopps xent un cadre de travail, mais lAMF na pas dvelopp de modes opratoires
11
PARTIE 1
ni de procdures de mise en uvre de sorte que chaque entreprise est certes libre mais solitaire lors de la mise en uvre du tout ou partie de ces recommandations. Sans attendre lvolution de la rglementation, de nombreuses entreprises ont dj initi ces mouvements transformant leurs pratiques, grant le changement de leur organisation et de leurs comportements. Ces entreprises ont dpass le stade de la conformit, leurs systmes de gestion des risques et de contrle interne leur permettant la fois : de mieux anticiper les risques, dallouer avec plus de pertinence leurs ressources et de confrer plus de abilit aux processus dexcution des oprations. Tout ceci devant conduire in ne scuriser durablement latteinte des objectifs de lentreprise. Cependant, la mise en place de ces changements nest pas ralise uniformment dans toutes les entreprises, lampleur des projets est diffrente de lune lautre. En effet, certaines ne disposent pas dorganisation ou de moyens spciques et devront tre cratives pour organiser la matrise des prises de risques et scuriser le modle conomique. Dautres ont dj une organisation qui traite de la gestion des risques et en assure le suivi au niveau des fonctions support que sont : la direction nancire, la direction des risques, la direction de laudit interne, la direction du contrle interne... Cette dernire organisation suscitant dautres problmatiques fonctionnelles et oprationnelles. Quel que soit ltat de maturit des dispositifs de gestion des risques et de contrle interne, le responsable de la mise en uvre de ces volutions sattachera disposer des comptences et distribuer des rles (parfois multiples) que nous prsentons ci-aprs.
nomique et de gnration des risques : ce niveau comprend chaque processus de lentreprise quil soit oprationnel, support ou transverse. Ces derniers gnrent, subissent et grent des risques plus ou moins signicatifs ; le niveau de la traduction de linformation conomique : ce niveau permet de transformer les informations conomiques en catgories de risques et en informations comptable et nancire ; le niveau de la gouvernance : ce niveau sassure que les dispositifs de production traduction et contrle fonctionnent correctement, que linformation fournie est scurise et que linformation est le reet de lactivit conomique. Nous avons positionn les diffrents acteurs qui interviennent le long de cette chane de production et de matrise de linformation sur le schma de la Figure 1 qui est prsent page 13. Comme nous lobservons sur la Figure 1, le ux dinformation, charnire entre les directions qui assurent lexcution des processus et la direction gnrale qui en reoit une traduction comptable et nancire, passe par la direction nancire qui savre tre un acteur cl du dispositif. En pratique, le directeur nancier joue un rle de pivot dans la chane de production de linformation nancire, il est lun des interlocuteurs privilgis du comit daudit. De ce fait, il est courant et lgitime que la direction nancire porte ou coordonne les projets dvolution ou de mise en place des dispositifs de gestion des risques et de contrle interne, mais aussi participe ou coordonne les projets visant lamlioration de la performance. Ceci est dautant plus vrai dans les entreprises moyennes ( mid caps ) dont la taille ne ncessite pas lexistence dune structure ddie. Mme si la direction nancire ne porte pas systmatiquement ces volutions, elle reste partie prenante aux dispositifs de gestion des risques et de contrle interne. En effet, elle est la fois porteuse et propritaire des risques nanciers et souvent implique dans lvaluation des impacts nancier/conomique des risques, ainsi que dans leur stratgie de couverture. Dans ce livre blanc, nous nous positionnons dans la situation o la direction nancire porte ces volutions.
12
PARTIE 1
FIGURE 1
13
PARTIE 1
1.2.2 Le sponsor
La nomination du sponsor clairement identi et mandat, constitue lun des facteurs cls de succs pour le lancement de ce type dvolution quil soit pris sous le seul angle de la conformit ou quil soit pris sous langle de la transformation. Au-del de cette nomination, le cadrage des objectifs et du planning fait partie des prrequis sans lesquels le projet ne doit pas tre lanc. Dune manire gnrale, on observe que les projets de transformation visant modier les pratiques oprationnelles sont sponsoriss par les comits de direction.
en une opportunit damlioration de la performance, le directeur nancier dispose de nombreuses publications telles que : les rfrentiels de risques, les rfrentiels de contrles, des questionnaires dauto-valuation de nalit et granularit diverses, des cartographies des risques, des rfrentiels des processus dentreprise.mais il ne dispose pas forcment dans ses quipes de ressources qui ont la culture technique de lensemble des dimensions de ces pratiques, une exprience de la mise en uvre doprations de transformation et une exibilit sufsante de leur demploi du temps pour y consacrer le temps requis. Par ailleurs, le directeur nancier dispose dinformations internes utiles sa mission mais qui ne peuvent, le plus souvent, pas lui servir dans la conduite de son projet qui devrait dpasser le stade du respect de la conformit. Surtout, le directeur nancier ne dispose pas de trajectoires de transformation claires ni de bote outils associe qui lui permettent de baliser le terrain pour atteindre rapidement la conformit rglementaire et ensuite transformer des pratiques permettant une amlioration de la performance. Cest ce triple constat qui est lorigine des travaux du groupe de travail. Ce livre blanc a pour vocation de fournir au directeur nancier une trajectoire dvolution, une boite ides doutils et des mises en garde pour que le respect de la conformit qui est un objectif en soi, contribue galement lamlioration de la performance - via loptimisation des processus et une meilleure intgration de la matrise des risques. En dautres termes, ces transformations visent installer durablement dans les pratiques du management la culture du processus et la culture du risque qui constituent un socle incontournable du progrs continu. Le livre blanc comporte deux parties : 1. la premire partie propose au directeur nancier des tapes dune trajectoire dvolution qui permettent daller au-del du simple objectif de conformit rglementaire vers lamlioration de la performance par notamment des prises de risques maitrises. Cette trajectoire passe par la modlisation des processus, une meilleure connaissance des risques, puis se poursuit par la transformation des pratiques oprationnelles, pour en arriver linstauration dune dmarche de
14
PARTIE 1
progrs continu dans lexcution des processus oprationnels. Ainsi lissue de ces transformations le directeur nancier aura durablement install dans les pratiques du management la culture de lapproche processus associe une pratique de la prise de risques raisonne. Cette culture constitue le meilleur rempart de protection du modle conomique de lentreprise. 2. la seconde partie est oriente mise en uvre . Elle fournit aux quipes de la direction nancire qui auront conduire la mise en uvre un package , dmarche-outils qui leur permettra de construire la roadmap dvolution. Ce package est compos : de ches techniques dcrivant le contenu des tapes, dune bote ides doutils et de retours dexpriences. Pour chacune des tapes, nous avons associ des outils de mise en uvre issus de lexprience des membres du groupe de travail. Cette boite outils et les outils qui la composent ont surtout pour vocation, de donner des ides aux quipes qui conduisent les travaux de transformation, et devraient, le cas chant, tre adapts aux spcicits de lentreprise. La contribution du directeur nancier la communication et la diffusion de linformation nancire dont les rgles de fonctionnement sont spciques ne sera pas aborde dans ce livre blanc.
nise de manire structure et formalise la remonte de ces menaces ainsi que leur hirarchisation. Quant au dispositif de contrle interne, il organise de manire structure et automatique la abilit de lexcution des oprations.
2.
15
PARTIE 1
4. Le pilotage du dispositif, la surveillance et la revue de la gestion des risques. En dautres termes, le dispositif de gestion des risques met en place des mcanismes qui permettent de dtecter des dysfonctionnements et de rvler par anticipation des prises de risques. Sa nalit premire est dagir en anticipation et non en protection contrairement au dispositif de contrle interne. Ce dispositif comporte trois caractristiques majeures : 1. globalit : le primtre est global, il couvre lensemble des activits, des processus et des actifs de la socit. Partant de ce postulat la gestion des risques est laffaire de tous les acteurs de la socit (oprationnels et supports), 2. dynamique : la gestion des risques est un dispositif dynamique et non statique de la socit, dni et mis en uvre sous sa responsabilit. Il volue danne en anne comme lvolution des marchs et des activits. Il doit tre ajust en fonction des volutions constates ou prvisibles, 3. gomtrie variable : la gestion des risques est un dispositif organis et adapt la taille de lentreprise. Cest un point essentiel pour adapter leffort aux enjeux et orientations prises par lentreprise.
16
PARTIE 1
Il ressort de ces tudes que le moteur principal dans beaucoup dentreprises est d assurer la conformit rglementaire puis de permettre datteindre les objectifs propres la matrise des prises de risques que nous avons dtaills ci-dessus. Sur la base des pratiques des membres du groupe de travail, les objectifs assigns au dispositif sont diffrents selon les rles assurs (direction gnrale, direction oprationnelle ou actionnaires). Par exemple, les attentes de la direction gnrale sont : la vision des risques critiques et leur suivi, la conformit aux lois mais galement lintroduction de la dimension risques dans les investissements futurs.
le manque de sponsoring de leur direction gnrale et le manque de ressources (nancires et humaines) sont des freins au dploiement dune dmarche de mise en place dune gestion des risques.
17
PARTIE 1
SBF 120 dclarent disposer de cet outil. Il semble, pour les Midcaps, que seulement la moiti dentre elles ont ralis cet exercice. Nous navons pas trouv dinformations relatives la frquence dactualisation de ces cartographies. Dautres outils de reporting sont voqus - sans relle mesure de limportance de leur mise en uvre - comme : les indicateurs-cls qui permettent de prvenir et de suivre certains risques ou la performance des mcanismes de prcautions mis en place, le suivi du droulement des plans dactions comprenant dlais et activits dexcution qui sassure de la matrise interne des risques; lauto-valuation des risques et des contrles oprationnels qui permet de suivre lefcacit des plans dactions mais galement didentier les risques mergents, le suivi des incidents au niveau de certains processus : il permet de localiser les zones qui sont mal protges, et aussi au niveau de lvolution des litiges qui donnent des retours dexprience et des pistes pour corriger des prcautions en place insufsamment efcaces. Pour les membres du groupe de travail : leurs pratiques sont en ligne avec les enqutes, en revanche lidentication des dysfonctionnements et des risques nest pas opre partir des processus ou dune cartographie des processus. Ils sont identis partir des scnarios rpertoris permettant den dduire les prises de risques.
18
PARTIE 1
FIGURE 2
Conformit
ETAPE 0 Dimensionner le projet ETAPE 1 Connatre les zones risques ETAPE 2 Implanter un dispositif de gestion des risques ETAPE 3 Faire fonctionner un dispositif de gestion des risques efcace
Performance
ETAPE 4 Amliorer la performance des processus ETAPE 5 Optimiser le dispositif de gestion des risques
Itration Annuelle
ETAPE 0 : Dimensionner le projet dvolution/ transformation Expliciter formellement les attentes de la direction - les objectifs du dispositif de gestion des risques - en distinguant, si tel est le cas, le volet conformit du volet performance du fait des enjeux, des moyens mettre en uvre et des bnces qui sont diffrents ; Localiser et nommer un sponsor ; Dnir le primtre des activits oprationnelles et fonctionnelles qui seront comprises dans les travaux, il sera propre chacune des entreprises ; Adapter le contenu des tapes de dploiement en fonction des attentes ; Dimensionner les ressources utiles pour conduire le projet. ETAPE 1 : Connatre les zones risques Recenser les activits oprationnelles gnratrices de dysfonctionnements majeurs induisant des risques ; Identier et hirarchiser les principales zones risques qui pourraient remettre en cause latteinte des objectifs de lentreprise ; Esquisser larchitecture du dispositif de gestion des risques (positionner les diffrents lments qui vont composer le dispositif). ETAPE 2 : Implmenter un dispositif de gestion des risques Approfondir la connaissance des activits oprationnelles du primtre en afnant la modlisation des processus prpare au cours de ltape 1 ; Identier les processus qui seront considrs comme critiques ; Dnir le plan de dploiement du dispositif et le mettre en uvre ; Formaliser le contenu du dispositif au sein du cadre organisationnel : le fonctionnement, les ressources humaines,
techniques et nancires, le droulement du dispositif de gestion des risques requis pour assurer la prennit du fonctionnement. ETAPE 3 : Faire fonctionner un dispositif de gestion des risques efcace Vrier que les zones risques sont connues et que les actions de matrises sont organises ; Excuter des auto-valuations et consolider les rsultats ; Apprcier la maturit du dploiement et la pertinence des plans dactions mis en place ; Etablir et dployer des plans dactions (sur la base des rsultats des auto-valuations). ETAPE 4 : Amliorer la performance oprationnelle des processus Crer un rfrentiel des processus oprationnels et de support ; Dnir et actualiser les objectifs damliorations de lexcution des processus ; Optimiser le fonctionnement des processus et les rendre plus efcace sur le primtre dni ; Implmenter des indicateurs de mesure de la performance des processus ; Suivre priodiquement lvolution de la performance des activits des processus et le niveau dexposition aux risques. ETAPE 5 : Optimiser le dispositif de gestion des risques Simplier voire allger les processus matures et matriss an den accroitre lefcience ; Matriser la prise de risques tout en optimisant les moyens techniques, humains et nanciers ; Intgrer le dispositif de gestion des risques dans tous les projets de lentreprise.
19
PARTIE 1
des activits, des difcults rencontres, du primtre organique et des lments de march qui ne sont pas la main de lentreprise. Partager au sein de lentreprise la dynamique porte par le cercle vertueux en termes de performance et de cration de valeur est essentielle car elle permet, ds le dmarrage de lvolution, daller au-del du simple respect dune obligation rglementaire. Cette dmarche permet dinstaller, dans lesprit de tous les acteurs , la notion dopportunit pour conduire un changement ou une amlioration de la performance - tous les acteurs incluant les quipes tant du ct des oprationnels que du ct des fonctions support. Bien videmment, le contenu et lenchanement des tapes du cercle vertueux se droulent selon des modalits propres chaque entreprise. Les moyens mettre en uvre sont gomtrie variable. Les moyens seront adapts aux orientations, aux objectifs atteindre ainsi qu lambition dnie par les dirigeants. Lorsque lentreprise fera lacquisition dune nouvelle structure / activit, elle devra lintgrer au cercle vertueux et propager cette dynamique qui vise installer cette double culture constitue par lapproche processus et la gestion des risques.
Performance
Conformit
20
PARTIE 1
Primtre des tapes dvolution - transformation Un point dattention doit tre fait sur la notion de primtre des entits / liales / BU qui seront intgres ou non dans les oprations de dploiement / volution / transformation. Il convient, simplement de dnir dans le primtre ce qui est signicatif et de formaliser les rgles qui ont permis daboutir cette identication. Le primtre doit tre mis jour rgulirement (au moins une fois par an) pour tenir compte des volutions organiques, des volutions de marchs et des volutions des conditions dexcution. La rationalisation et la formalisation du primtre est indispensable notamment quand lentreprise travaille sur la conformit. Cest la prminence de la ralit conomique qui doit tre privilgie, il faudra rester vigilant ne pas laisser des liales trs loignes gographiquement ou en terme dactivits en dehors du primtre du dispositif de matrise des risques.
Les trois niveaux de modlisation qui sont utiliss sont dcrits ci-dessous. Les niveaux de modlisation des activits La connaissance des processus oprationnels et de support, ncessaire pour conduire les volutions - transformations que nous poursuivons, est structure autour des trois niveaux danalyse suivants : - Le niveau Global : il est ncessaire pour identier et localiser les zones risques. Cette reprsentation doit avoir un niveau de dtail limit dans sa reprsentation une feuille de papier de format A3. Cet espace, qui permet de reprsenter une quarantaine de processus, est sufsant pour montrer et formaliser le droulement des principales activits et des ux dinformations ncessaires leur droulement. Sur la base de cette connaissance des activits, il pourra tre identi et localis les zones risques. En fonction de limportance de lentreprise, ce niveau peut couvrir la totalit de lentreprise ou celle dune BU / Dpartement. - Le niveau Afn : il est ncessaire pour construire les dispositifs de gestion des prises de risques, et pour identier les processus qui les dclenchent. Chacune des Filiale/BU/Dpartement qui composent une entit doit disposer de cette description. Le mme rgle de formalisation sera applique quau niveau global, ainsi une limitation feuille de papier de format A3 pour chacune des Filiale/BU/ Dpartement nous semble la bonne granularit. - Le niveau Dtaill : il est indispensable pour aborder les travaux relatifs lamlioration de la performance denrichir la modlisation prcdente. La granularit dpendra du ou des mtiers des entits. A ce niveau, les activits et les rgles de gestion qui sexcutent au sein du processus sont dcrites pour permettre de faire voluer leurs pratiques dexcution et dagir pour amliorer la performance. Ces principes gnraux seront adapts en fonction des enjeux. Ainsi les niveaux de description des processus ne sera pas la mme dune BU/ Dpartement lautre. Au sein dune mme entit, on pourra ainsi rencontrer des alternances de niveau de description (global, afn, dtaill).
21
PARTIE 1
Cette connaissance des processus et des activits, et rgles de gestion qui la compose, est documente par une reprsentation graphique (un modle des processus) dont le formalisme est propre la culture de lentreprise. Il ressort de la pratique des membres du groupe de travail un certain nombre dcueils viter. Il convient notamment dtre particulirement vigilant sur la granularit des descriptions. On observe en gnral des descriptions de processus qui sont beaucoup trop dtailles par rapport lobjectif recherch, cet cueil est frquemment rencontr lors de la production des modles de processus. Il constitue un handicap au dtriment de la dynamique recherche. La Figure 4 ci-dessous montre, au cours de la trajectoire dvolution en six tapes, quel moment ces descriptions doivent tre excutes.
Cette modlisation selon ces trois niveaux prsente les avantages suivants : une meilleure focalisation sur les enjeux essentiels et les processus critiques ; un effort progressif qui est dos en fonction des priorits et des choix des dirigeants ; une mesure et un contrle de leffort de mise en uvre des ressources ncessaires et des budgets ; . une approche visant la fois les objectifs de conformit et lidentication des leviers de points damlioration de la performance. Nous prsentons dans la partie Bote ides doutils (page 53) des exemples de ces Outils - Modles.
FIGURE 4
NIVEAU GLOBAL
Description des mtiers les principaux processus Un schma sur une feuille de taille A3 pour lensemble des mtiers de lentit Description des mtiers les principaux processus Un schma sur une feuille de taille A3 pour chacune des liales / BU / Dpartement Description dtaille des mtiers les activits des processus majeurs ou sensibles Des schmas sur une feuille de taille A4 pour chacun des processus des BU/ Dpartement
NIVEAU AFFIN
NIVEAU DTAILL
22
PARTIE 1
thmes. Ces points cls permettent de mettre en perspective les objectifs de ltape atteindre. Ces points cls vont permettre danticiper les difcults, de mettre en uvre les conditions optimales pour la russite de chacune des tapes et de dvelopper un schma de communication vis--vis des oprationnels et des autres parties prenantes la dmarche. La Figure 5 prsente ci--dessous (zoome page 24/25) prsente le contenu dtaill des diffrents thmes. Il indique en bas sur une ligne spcique le ROI de chacune des tapes. Ce tableau, issu des changes et des expriences des membres du groupe de travail, donne des repres de difcults, de bnces, de temps entre chaque tape dcrite prcdemment. Son contenu nest pas exhaustif mais donnera une vision de la conduite du changement instaurer pour franchir chaque tape.
FIGURE 5
BnficesAttendus BnficesAttendus
BnficesAttendus BnficesAttendus
BnficesAttendus BnficesAttendus
BnficesAttendus BnficesAttendus
BnficesAttendus BnficesAttendus
BnficesAttendus BnficesAttendus
Formalisationdecequel'onveut Formalisationdecequel'onveut Visionglobaleassezprcisedu Visionglobaleassezprcisedu L'architecturedescomposantsdu L'architecturedescomposantsdu entreprendre entreprendre droulementdesactivits droulementdesactivits dispositifdegestiondesrisques dispositifdegestiondesrisques Dlimitationduprimtredes Dlimitationduprimtredes Hierarchisationetlocalisationdes Hierarchisationetlocalisationdes Lamisesouscontrledesrisques Lamisesouscontrledesrisques travaux travaux risques risques
Apprciationduniveaud'efficacit Apprciationduniveaud'efficacit Rductiondesdysfonctionnements Rductiondesdysfonctionnements L'allgementdudispositifL'allgementdudispositif dudispositif dudispositif desprocessus desprocessus Lamiseenplaced'indicateurs(KPIde Lamiseenplaced'indicateurs(KPIde Amliorationdelavaleurcrepar Amliorationdelavaleurcrepar suivi) suivi) lesprocessus lesprocessus Diminutionduniveaudesrisques DiminutionduniveaudesrisquesAmliorationcomplmentairedela Amliorationcomplmentairedela performancedesprocessus performancedesprocessus
Difficults/Ecueils Difficults/Ecueils
Difficults/Ecueils Difficults/Ecueils
Difficults/Ecueils Difficults/Ecueils
Difficults/Ecueils Difficults/Ecueils
Difficults/Ecueils Difficults/Ecueils
Difficults/Ecueils Difficults/Ecueils
L'estimationducorrectniveaude L'estimationducorrectniveaude risquesmaintenir risquesmaintenir
Dsignationduoudessponsorsdes Dsignationduoudessponsorsdes Introductiondelacultureduprocess Introductiondelacultureduprocess L'obtentiondelaralitdes L'obtentiondelaralitdes travaux travaux protectionsmisesenplaceviales protectionsmisesenplaceviales questionnairesd'autovaluation questionnairesd'autovaluation Miseaupointdelagranularitdela Miseaupointdelagranularitdela Lapertinencedesplansd'actions Lapertinencedesplansd'actions descriptiondesactivitsviales descriptiondesactivitsviales relatiflamiseenplacedudispositif relatiflamiseenplacedudispositif processus processus
Ladfinitiond'unrfrentielde Ladfinitiond'unrfrentielde Ladfinitiondesnouveauxobjectifs Ladfinitiondesnouveauxobjectifs performancebasedelamesuredela performancebasedelamesuredela deperformance deperformance performance performance
Lavolontclairedumanagement(du Lavolontclairedumanagement(du Laclairedfinitiondesplansde Laclairedfinitiondesplansde L'intgrationdelaculturedurisque L'intgrationdelaculturedurisque faitduchangementdesponsor) faitduchangementdesponsor) progrsavecappropriationsans progrsavecappropriationsans danslesprojetsdel'entreprise danslesprojetsdel'entreprise ambiguitparlesoprationnels ambiguitparlesoprationnels Labonneassimilationdelaculture Labonneassimilationdelaculture duprocess duprocess
Tempsncessaire Tempsncessaire ** **
Moyensncessaires Moyensncessaires
Moyensncessaires Moyensncessaires
Moyensncessaires Moyensncessaires
LesresponsablesdesBU/ LesresponsablesdesBU/ Dpartements Dpartements
Moyensncessaires Moyensncessaires
Moyensncessaires Moyensncessaires
Moyensncessaires Moyensncessaires
Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels Lesresponsablesetoprationnels desBU/Dpartements desBU/Dpartements desBU/Dpartements desBU/Dpartements desBU/Dpartements desBU/Dpartements
ROI
ROI
23
PARTIE 1
FIGURE 5
BnficesAttendus
Formalisationdecequel'onveut entreprendre Dlimitationduprimtredes travaux
BnficesAttendus
Visionglobaleassezprcisedu droulementdesactivits Hierarchisationetlocalisationdes risques
BnficesAttendus
L'architecturedescomposantsdu dispositifdegestiondesrisques Lamisesouscontrledesrisques
Difficults/Ecueils
Dsignationduoudessponsorsdes travaux
Difficults/Ecueils
Introductiondelacultureduprocess
Difficults/Ecueils
L'obtentiondelaralitdes protectionsmisesenplaceviales questionnairesd'autovaluation Lapertinencedesplansd'actions relatiflamiseenplacedudispositif
ETAPE 0
DIMENSIONNER LE PROJET
ETAPE 1
CONNATRE LES ZONES RISQUES
ETAPE 2
IMPLANTER UN DISPOSITIF DE GESTION DES
Facteursclsdesuccs
Etablissementd'unprimtrede travailpertinent
Facteursclsdesuccs
Nominationdusponsoretlarge diffusiondesesengagements Sensibilisationdesintervenants l'approcheprocessus Dfinitionduprimtredes"activits critiques" Motivationdequelquesbinmes d'acteurs
RISQUES
Facteursclsdesuccs
L'implicationdesoprationnelsdans lestravaux Lemonitoringrapprochdes quipes
Tempsncessaire ** Moyensncessaires
LaDirectionfinancire,ladirection del'auditetladirectiondesrisques
ROI
24
PARTIE 1
BnficesAttendus
Apprciationduniveaud'efficacit dudispositif Lamiseenplaced'indicateurs(KPIde suivi)
BnficesAttendus
Rductiondesdysfonctionnements desprocessus Amliorationdelavaleurcrepar lesprocessus Diminutionduniveaudesrisques
BnficesAttendus
L'allgementdudispositif
Amliorationcomplmentairedela performancedesprocessus
Difficults/Ecueils
Laconnaissancedescotsdu dispositif(ordredegrandeurducot)
Difficults/Ecueils
L'identificationdesactions correctricespertinentes
Difficults/Ecueils
L'estimationducorrectniveaude risquesmaintenir
ETAPE 3
FAIRE FONCTIONNER UN DISPOSITIF DE GESTIONS DES RISQUES EFFICACE
ETAPE 4
ETAPE 5
OPTIMISER LE DISPOSITIF DE GESTION DES
Ladfinitiondesnouveauxobjectifs deperformance
Facteursclsdesuccs
Lecorrectdploiementdes composantsdudispositif Lavolontclairedumanagement(du faitduchangementdesponsor) Labonneassimilationdelaculture duprocess
PROCESSUS
Facteursclsdesuccs
L'implicationetlamobilisationdes oprationnels Laclairedfinitiondesplansde progrsavecappropriationsans ambiguitparlesoprationnels
RISQUES
Facteursclsdesuccs
L'implicationduCOMEX
L'intgrationdelaculturedurisque danslesprojetsdel'entreprise
25
PARTIE 1
il sagit de travaux prparatoires orients organisation du projet et non une tape technique proprement parler. On peut observer que lefcacit dun dispositif de gestion des risques (couleur orange sur la Figure 6) est atteinte aprs avoir mis en place le contenu de ltape 1, de ltape 2 et de ltape 3. Nous insistons sur le contenu de ltape 1, en gnral mal ou peu formalise, qui vise dnir les activits gnratrices de zones risques. Cette tape prparatoire est lun des facteurs cls de la russite de cette volution. Comme nous lavons indiqu prcdemment, la dnition du primtre des activits et du primtre organique (les entits/Filiales/BU) qui entreront dans les travaux dvolution permet de dimensionner lampleur des dispositifs. Enn, il est indispensable de ractualiser annuellement le primtre des activits et des structures organiques sur la base des volutions rencontres.
FIGURE 6
Cadre organisationnel
Objectifs du dispositif
Identication
Processus
Analyse
Traitement
Pilotage
Lgende
N/A
Prparation/ initiation
Efcacit
Prparation/ amlioration
Efcience
Primtre entreprise
Partiel
Partiel
Total
Partiel
Total
26
PARTIE 1
On peut observer que lefcience dun dispositif de gestion des risques (couleur verte sur la Figure 6) est atteinte aprs avoir mise en place les tapes 4 et 5. Nous insistons sur le contenu de ltape 4 dont lobjet est de travailler sur lamlioration de la performance base sur la connaissance approfondie des activits des processus majeurs de lentreprise et de leur robustesse lors de leur excution. Une fois acquis ce niveau de maturit, il est alors possible dentreprendre un travail sur lefcience du dispositif de gestion des risques. Ce dispositif sera adapt (allg ou renforc) sur la base des travaux damlioration de la performance des processus mis en uvre dans le cadre des travaux de ltape 4. Nous voyons ainsi que les tapes que nous dcrivons constituent un guide mis en uvre du cadre de rfrence de lAMF publi en juillet 2010 introduisant la gestion des risques.
27
PARTIE 1
Lobjectif de cette premire partie tait de montrer que latteinte de la conformit en termes de gestion des risques nest pas une n en soi mais doit tre considre comme un passage vers lamlioration dans lexcution oprationnelle et la robustesse du modle conomique de lentit. Ces travaux demandent une prparation et une communication soigne pour que les oprationnels y trouvent un apport et contribuent leur russite, base de la mise en place dune dynamique de progrs continu. Enn, au plan conomique, ces travaux constituent un investissement dont le ROI est compris entre 6 et 16 mois selon la complexit de la situation. Une fois pos le contenu de la trajectoire dvolution, nous allons, dans la deuxime partie, dcrire les travaux mettre en uvre pour franchir les diffrentes tapes constituant cette trajectoire dvolution. Le contenu des travaux de mise en uvre de chacune des tapes sont dcrits dans les ches techniques. Pour faciliter cette mise en uvre, les membres du groupe de travail ont labor une boite ides doutils. Ces outils ont une valeur dexemple et sont adapter ou faire voluer en fonction de la situation rencontre.
28
ANNEXES
ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LE PERIMETRE DES ETUDES ET DES ENQUETES SELECTIONNEES . . . . . . . . . . . . . . . . . . . . . . . . . . . . POINTS SAILLANTS DES PRATIQUES DE PLACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LES PRATIQUES DE PLACE SELON LES THEMES DU CADRE DE REFERENCE DE LAMF . . . . . . . . . . . . . . . . La dnition de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les objectifs de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre organisationnel de la gestion des risques : organisation et responsabilit . . . . . . . . . . . . . . . . Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilotage du dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ANNEXE 2 : BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EN FRANCE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loi de Scurit Financire (2003, 2005 et 2008) : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.2 Ordonnance du 8 dcembre 2008 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.3 Le cadre de rfrence de lAMF 2010 publication juillet 2010 . . . . . . . . . . . . . . . . . . . . . . . 6.1.4 Les documents de rfrence des socits cotes dposs sur le site de lAMF. . . . . . . . . . . . . . . . 6.1.5 Ministre du budget demande une cartographie des risques tous les grands oprateurs de lEtat ; Dcembre 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.6 Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext : . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.7 Travaux de lIFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.8 Travaux de lIFACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 EN EUROPE ET DANS LE RESTE DU MONDE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . 6.2.1 SOX Juillet 2002 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2 Allemagne, Angleterre, Pays-Bas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 CERCLE DES JURISTES : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 DOCUMENT EUROPEANISSUERS :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 DOCUMENTS AMRAE RELATIFS AU COMITE DAUDIT :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 LES REFERENTIELS SPECIFIQUES METIERS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
. . . . . . . . . . . . . . . .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 . . . . . . . . . . .
PARTIE 2 PARTIE 1
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
6 6 6 6 6 6 6 6 6 6 6
PARTIE 2
30
PARTIE 2
1. A
MISE EN UVRE DE LINTEGRATION DE LA MAITRISE DES RISQUES ET DE LAMELIORATION DE LA PERFORMANCE : LES ETAPES ET LES FAMILLES DOUTILS
1.1.3 Lefcicience
Lefcience mesure latteinte dun rsultat au regard des ressources consommes. La recherche de lefcience ne peut intervenir que lorsque que lefcacit est atteinte. tre efcient, cest faire une bonne utilisation des ressources humaines, informationnelles, matrielles et nancires. En dautres mots, cest faire les choses de la bonne faon avec des moyens optimiss. Lefcience est la recherche et latteinte des objectifs avec des moyens de mise en uvre qui sont en permanence optimiss. Lefcience, issue du mot efciency, ne doit pas se confondre avec lefcacit (effectivness).
vant daborder les modalits pratiques du dploiement du dispositif, nous avons souhait introduire quelques dnitions sur des notions frquemment utilises et dont le contenu peut tre diffrent dun praticien lautre.
1.1.4 La performance
La performance, dans le monde de la gestion, est le rsultat ultime de lensemble des efforts dune entreprise ou dune organisation. Ces efforts consistent faire les bonnes choses, de la bonne faon, rapidement, au bon moment, au moindre cot, pour produire les bons rsultats rpondant aux besoins et aux atteintes des clients et plus gnralement des parties prenantes de lentreprise et atteindre les objectifs xs par lorganisation.
1.1.5 La dure
La dure correspond lhorizon de temps que lon se xe pour atteindre un objectif ou un rsultat.
1.1.2 Lefcacit
Lefcacit est la capacit datteindre un objectif ou un but. tre efcace, cest produire les rsultats escompts et raliser les objectifs xs dans les domaines de la qualit, de la rapidit et des cots. Lefcacit est une mesure de rsultat ou datteinte dun objectif. En dautres termes, cest la robustesse dans leur excution qui rend un processus efcace. Aucun dysfonctionnement important nintervient lors de lexcution, qui atteint alors un niveau de stabilit qui permet de dire quil est efcace. Lefcacit (effectivness) ne doit pas tre confondue avec lefcience (efciency).
31
PARTIE 2
FIGURE 2
Conformit
ETAPE 0 Dimensionner le projet ETAPE 1 Connatre les zones risques ETAPE 2 Implanter un dispositif de gestion des risques ETAPE 3 Faire fonctionner un dispositif des gestions des risques efcace
Performance
ETAPE 4 Amliorer la performance des processus ETAPE 5 Optimiser le dispositif de gestion des risques
Itration Annuelle
En fonction de la culture du risque de lentreprise, de la feuille de route du dirigeant, des besoins de la gouvernance, litration du dispositif peut tre semestrielle, annuelle, bi-annuelle La mise en uvre et le dploiement des diffrentes tapes du dispositif seront plus ou moins rapides en fonction du primtre des activits concernes. Comme nous lavons expos prcdemment, lentreprise sattellera dployer la gestion des risques sur les primtres critiques, les entits risques ou encore les zones exposes avant de couvrir lensemble du primtre du groupe - conformment aux recommandations de lAMF. Les tapes dcrites ci-dessous ainsi que les ches techniques jointes vous permettront de disposer dune feuille de route, dune mthode issue du terrain pour dployer pragmatiquement et efcacement votre gestion des risques et ensuite dans une logique de progrs continue poursuivre vers lamlioration de la performance.
il sera propre chacune des entreprises et dni en fonction du contexte ; Adapter le contenu des tapes de dploiement la commande du management ; Dimensionner les ressources utiles pour conduire le projet. Le travail de cadrage avec la direction et le (ou les) sponsor(s) est indispensable car il va positionner le projet relativement aux autres projets et surtout va en xer les attentes, les apports et le primtre.
Le livrable
Le livrable comporte notamment les points suivants : Les enjeux conomiques de cette volution/transformation : en pratique les principaux chiffres (CA, Rex) par ligne de produits/marchs/pays. Ils seront ensuite repris de faon dtaille lors de ltape 1 (page suivante). Les attentes et les apports pour la direction et les oprationnels qui vont devenir les objectifs atteindre, Les grands jalons de lvolution et le calendrier de la mise en place du dispositif de gestion des risques, Le positionnement du projet par rapport aux autres projets de transformation pour viter doublons et mauvaise coordination dans le temps avec les autres projets sur des sujets connexes, Le rle du sponsor notamment sur les points qui vont ncessiter arbitrage.
32
PARTIE 2
Les tapes dvolution et de transformation sont prsentes et dtailles dans les pages suivantes Etape 1 : Connatre les zones risques Etape 2 : Implanter un dispositif de gestion des risques Etape 3 : Faire fonctionner un dispositif de gestion des risques efcace Etape 4 : Amliorer la performance des processus Etape 5 : Optimiser le dispositif de gestion des risques
2 - PRE-REQUIS
- Disposer du document de cadrage formalis lors de ltape 0, avec la description de lobjectif immdiat (la conformit), et de lobjectif un horizon court terme (performance). Ce document de cadrage doit galement comprendre une indication du primtre couvrir (en terme dactivits oprationnelles, de zones gographiques, dorganisation ou entits,) et des enjeux matriser. - Connatre les mtiers, les activits, les produits, les marchs et la stratgie associe de lentreprise et les modalits de sa mise en uvre. - Rpertorier les dispositifs de matrise existants: dispositifs de contrle interne et de gestion de risques, et historique de leur implantation. - Apprcier le niveau de culture du risque du ou des entits.
1 - OBJECTIFS
- Formaliser les lments caractristiques de la stratgie de dveloppement et de la mise en oeuvre du plan daffaires de lentreprise. - Formaliser une cartographie des processus pour lensemble des activits (vue globale dhlicoptre : une feuille de papier de dimension A3 par branche ou division). Le primtre peut tre variable en fonction de lobjectif. - Localiser les dysfonctionnements rcurrents sur le schma de description des processus. Ces dysfonctionnements remettent en cause le bon droulement des processus et peuvent tre des facteurs de risques. - Identier les zones risques qui pourraient entraver la ralisation du budget et du plan daffaires/business plan issu de la stratgie de lentreprise. - Valoriser les impacts potentiels des zones risques de lentreprise an de les hirarchiser, de leur donner un ordre dimportance. - Recenser les dispositifs de matrise existants dans lentreprise : gouvernance, charte de fonctionnement, environnement de contrle, procdure, rapports daudit, qualit...
2 - PRE-REQUIS
- Avoir rassembl et synthtis lexistant en matire de : (i) objectifs stratgiques et oprationnels de lentit, (ii) reprsentation activitsmtiers/units/processus, (iii) documentation des procdures de gestion des risques et de contrle interne, (iv) modle conomique de lentit, (v) reprsentation de lorganisation gnrale de lentit. - Disposer dune vision formalise et documente (vue globale dhlicoptre ) des zones de risques (et des dysfonctionnements avrs) au regard du modle conomique et des processus de lorganisation. (la vocation du modle conomique est didentier les enjeux nanciers lis aux dysfonctionnements/risques des processus, lentit pourra ainsi identier les processus qui seront considres comme critiques ). - Avoir identi et conrm un ou plusieurs sponsors. - Avoir dcid du rfrentiel (AMF, COSO II, ISO) sur lequel lentit va sappuyer lors de la construction du dispositif.
- Business model : caractristiques et enjeux par mtier & activits sur la ou les entits. - Plan stratgique & business models 3 / 5 ans sur la ou les entits. - Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux : ENTITE - BU - Fonction Support - DAF. - Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/ zones risques
=> Recensement des principales zones risques de la ou des entits gnres par les activits oprationnelles et de support Formalisation possible du livrable de ltape 1 :
5 - LIVRABLE
- Chapitre 1 : prsentation des activits - des couples produits - marchs - des axes de dveloppement - des axes de dsengagements de ou des entits. - Chapitre 2 : prsentation des enjeux nanciers issus des caractristiques des activits et du modle conomique. - Chapitre 3 : la cartographie globale des activits et des zones de risques : les dysfonctionnements majeurs seront localiss sur cette cartographie. Cest une vue globale hlicoptre des activits dont le dcoupage est propre lentit. Pour des entits moyennes la reprsentation est assure sur une feuille de papier de dimension A3 (420 x 297 mm). - Chapitre 4 : la synthse des dispositifs existants et une esquisse des dispositifs mettre en place.
- Dnir le primtre couvert par le dispositif (Entits, Activits/Mtiers, Processus). - Dnir les attentes du dispositif : cest--dire les objectifs recherchs par lorganisation et les apports potentiels du dispositif pour les diffrents acteurs (i.e. ce quils peuvent en attendre en plus du simple respect de la rglementation/recommandations). - Dnir les fonctions (i.e. acteurs) qui vont participer activement la vie du dispositif, ainsi que leurs rles respectifs. Identier les facteurs cls favorisant ladhsion des acteurs et la prennisation du dispositif. - Afner la vision documente des processus qui sera reprise dans le cadre de lexercice de cartographie des risques; - Dnir la mthodologie de cartographie des risques et les outils associs : dmarche top-down/bottum-up, chelles, entretiens / ateliers, univers des risques - Drouler la mthodologie et produire une premire cartographie des risques (la cartographie des risques est dnie ici comme une analyse et une hirachisation des risques de lorganisation). La prsenter / valider auprs de la direction qui dcide de linacceptabilit de certains risques (la prise de risque est considre comme trop leve et doit tre contenue/rduite) les risques sont considrs comme majeurs ou critiques. Des plans dactions seront labors immdiatement sur les risques majeurs (non couverts par un mcanisme de protection existant). - Adosser / localiser les risques majeurs au sein des processus qui deviennent ds lors critiques . Cette attribution se fera en dsignant le responsable du processus comme propritaire du risque et de son plan de matrise (cette association va permettre de constituer une matrice des processus et des risques). - Documenter larchitecture des diffrentes composantes du dispositif (notamment les processus didentication, danalyse, de traitement et de suivi des risques, ainsi que les outils et les forums cls), et le cadre organisationnel. La composante pilotage du dispositif peut dj tre aborde ce stade, mais en ralit elle sera prcise et arrte dans ltape 3. - Elaborer un plan de dploiement pour mettre en uvre le dispositif de faon progressive (dnition dun phasing des oprations). NB : le sponsor et lquipe projet ont t dnis au cours de ltape 0, bien videmement des contraintes nouvelles peuvent venir le modier. - Lancer et raliser le dploiement. - Suivre le correct droulement du dploiement et le respect du planning et des objectifs. Corriger les anomalies/dysfonctionnements le cas chant.
- Univers des risques afn. - Mthodologie de cartographie des risques (guide dentretien, che de risque, chelles de hirarchisation ou dvaluation des risques, plans dactions). Chacun de ces composants constitue un outil qui est prsent dans le chapitre relatif la boite ides doutils. - Matrices des Processus et des Risques : chaque processus ont t rattachs un certain nombre de risques (le niveau de prcision de ces matrices dpend de la granularit attendue par lorganisation). - Premire Cartographie des risques. - Plan de dploiement du dispositif de gestion des risques.
=> Installation et Mise en fonctionnement du dispositif de gestion des risques Formalisation possible du livrable de ltape 2 : 2 - PRE-REQUIS
- Chapitre 1 : les risques majeurs issus de la cartographie des risques (y compris les actions de matrise/traitement dnies le cas chant). - Chapitre 2 : les processus critiques : ces processus sont dduits de la matrice Processus/Risques qui fait partie des outils prsents. - Chapitre 3 : la description du dispositif cible visant protger les processus critiques (qui comprend notamment larchitecture des diffrents composants) - cela dpasse largement lorganisation qui nest quune des composantes du dispositif. - Chapitre 4 : une premire esquisse de la politique de gestion des risques; lensemble des risques considrs comme inacceptables par la direction constitue la premire politique de gestion des risques. Des plans dactions / de matrise sont dnis et dploys pour rduire/transfrer/supprimer le risque.
- Avoir atteint lefcacit du dispositif, mise en vidence par une valuation interne et/ou externe avec pilotage de plans daction (orients conformit ). - Disposer dun rfrentiel de process et dun rfrentiel de risques. - Les sponsors maintiennent le momentum (pas de remise en cause de lefcacit) mais demandent une optimisation. - Evaluer le cot du dispositif de gestion des risques pendant sa phase projet et aujourdhui dans sa phase prenne : cots internes (temps ddi par les contributeurs, outils mis en place, ) et cots externes daccompagnement. - Dnir des indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombre de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre reportings mis en place et temps ncessaire pour les produire, ) (iii) mesurer les rsultats: au niveau de la performance et de lefcacit. - Revoir les risques et leur niveau de criticit (pralablement dnis au cours des tapes prcdentes) et actualiser les couples Process / Risques (revue au cours de ltape 3). Cette revue permet de traduire les points damlioration de la performance qui ont t obtenus suite ltape prcdente. De facto les points damlioration sont localiss et seront pris en compte lors des plans dactions visant rechercher une meilleure efcicence. - Revoir la pertinence des arbitrages Risques / Assurances / Contrle interne (ceux effectus au cours de ltape 2). - Identier, avec les responsables de processus, pour les processus qui ont fait lobjet, lors de ltape 4, de simplication ou de transformation, les actions de simplication des actions de matrise qui peuvent tre mises en place : cot mtier - cot application informatique. - Localiser les contrles embarqus dans les applications et vrier sils ne sont pas en doublon avec des contrles mtiers . - Revoir le cadre organisationnel (celui mis en place lors de ltape 2) et lactualiser. - Actualiser / Optimiser / Simplier les dispositifs de gestion des Risques (et les contrles associs) et ce dans le cadre dune dmarche intgre de type GRC.
5 - LIVRABLE
2 - PRE-REQUIS
- Disposer dun cadre organisationnel (1re composante) prcisant notamment les rles et responsabilits des acteurs, la politique de gestion des risques ainsi que le systme dinformation qui permet la diffusion en interne de linformation relative aux risques. - Disposer dun processus de gestion des risques (2me composante) comprenant les tapes didentication, danalyse et de traitement des risques. - Disposer dune bauche du pilotage ou monitoring en continu du dispositif (3me composante). - Prciser et arrter les constituants de la composante pilotage du dispositif (esquisse ltape prcdente) de manire pouvoir mettre en vidence les carts par rapport aux exigences de la rglementation et aux recommandations du rfrentiel retenu (conformit) et aux objectifs atteindre (efcacit). Les attentes vis--vis de lauto-valuation et des revues seront notamment prcises. Les rles et responsabilits des acteurs participant cette composante seront en cohrence avec ceux dnis dans le cadre organisationnel (1re composante) et afns si ncessaire. - Actualiser rgulirement (selon une frquence dnir) les couples (matrices) Process-Risques notamment par lanalyse des dysfonctionnements qui sont intervenus au cours de la priode (3 mois, 6 mois, 12 mois) et remettre jour les processus critiques (ceux qui sont impacts par les risques majeurs). - Construire et proposer des plans dactions avec le propritaire de risques en prenant en compte le cot de la mise en uvre et la rduction escompte. Faciliter la discussion entre tous les acteurs de la matrise des risques. - Adosser des indicateurs de performance aux sources / facteurs de risques an de dtecter la ralisation de ces derniers. - Mettre en uvre les questionnaires dauto-valuations incluant le volet gestion des risques. La mise en uvre de ces questionnaires dauto-valuation doit tenir compte de la culture de lorganisation, de ses caractristiques et du degr de sensibilisation du personnel. Lquipe projet intgrera des oprationnels pour laborer ces questionnaires qui se focaliseront sur les enjeux de lorganisation; Si ncessaire, un test sur une entit pilote volontaire sera effectu avant gnralisation; la dmarche pourra tre accompagne sur le terrain par lquipe projet ou des relais pralablement forms. En rythme de croisire, ces campagnes dauto-valuation seront lances rgulirement selon une frquence dnir (annuelle ?) dans le cadre dune organisation prenne, le contenu des questionnaires tant actualis. - Dnir puis mettre en uvre les plans dactions destins pallier les faiblesses mises en vidence par les auto-valuations. - Suivre le droulement de ces plans dactions. - Baser les plans daudit et leurs objectifs sur les risques majeurs et les processus critiques . - Raliser les audits et formaliser les rsultats (y compris la revue des questionnaires dauto-valuation remplis par les entits). - Evaluer lefcacit du dispositif sur la base des auto-valuations, des plans dactions qui en dcoulent et des plans daudit. - Identier le(s) plan(s) dactions de progrs destin(s) amliorer lefcacit du dispositif de gestion des risques. - Communiquer sur les rsultats obtenus auprs des parties prenantes au dispositif de gestion des risques.
- Matrice Processus / Risques revue : revoir si les processus identis comme critiques le sont toujours et sil ny en a pas dautres. - Evolution de la maturit du dispositif de matrise des risques. - Impact mtiers du risque informatique : cas RH-Paie.
=> Prise de risques efciente, moyens associs optimiss Formalisation possible du livrable de ltape 5 :
2 - PRE-REQUIS
- Disposer dun cadre organisationnel actualis dcrivant lensemble du dispositif de gestion des risques - Connatre les rsultats de la mesure de lefcacit du dispositif de gestion des risques - Impliquer fortement les managers oprationnels (de support) sur le niveau de la performance de leur processus
5 - LIVRABLE
- Dnir les objectifs damliorations recherchs permettant de abiliser / doptimiser latteinte de la stratgie - an de disposer de processus oprationnels/ supports performants. - Localiser (scoping) les processus et les actions sur lesquels doivent porter les plans dactions qui vont amliorer les modalits dexcution des activits oprationnelles. - Afner la connaissance des processus oprationnels en dcrivant les activits qui en assurent le fonctionnement. Pour ce faire, il faut sappuyer sur les travaux qui ont t raliss lors de ltape 2. - Dnir un rfrentiel de performance des processus en slectionnant les instruments de mesure adapts (KPI, autres). - Mettre en place les indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombres de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre de reportings mis en place et temps ncessaire pour les produire, ), (iii) mesurer les rsultats : performance et efcacit. - Identier les actions correctrices mettre en place pour rduire les dysfonctionnements et corriger lexcution en fonction des objectifs damlioration et du niveau de risque dni par les dirigeants.
- Chapitre 1 : revue des processus pour vrier que les processus qui sont critiques sont toujours les mmes. - Chapitre 2 : suivi de lvolution de la maturit du dispositif de gestion des risques et revue des plans dactions. Analyse et recherche des axes de simplication proposer en travaillant sur lallgement des dispositifs qui ne concernent pas des processus critiques . - Chapitre 3 : introduction de laxe informatique comme axe de progrs. Intenciation des doubles protections et identication des impacts mtiers de risque informatique. Apprciation du niveau de matrise de ces risques informatiques.
- Rfrentiel des Processus : achats et approvisionnements - Rfrentiel des processus : RH - Transformation du processus - Emission des bons de commande - Le suivi de la performance des processus - KPI - Cot processus clients - Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements - Tableau de bord de suivi des Risques - Dysfonctionnements - Plans dactions
- Questionnaire dAuto-Evaluation Niveau ENTITE - Questionnaire dAuto-Evaluation Niveau PROCESSUS FINANCIERS - Cartographie des risques - Activit Service - Cartographie des risques - Activit Industrielle - Fiche de risques avec plan dactions associ - Apprciation du niveau defcacit du dispositif (radars, KPI,...) - Reporting de suivi de lefcacit du dispositif de matrise des risques => Les prises de risques sont matrises et monitores Formalisation possible du livrable de ltape 3 : - Chapitre 1 : le rsultat des campagnes dauto-valuation serviront de base lactualisation de la cartographie des risques, - Chapitre 2 : lvaluation de lefcacit de la gestion des risques processus par processus (analyse du positionnement du dispositif actuel et des rsultats quil produit par rapport aux objectifs qui lui sont assigns et accessoirement par rapport aux exigences du rfrentiel). - Chapitre 3 : le plan dactions de progrs associ. Ce plan est dclin par activits et processus par processus. Il a le mme primtre que le document prcdent.
=> Processus robustes et performants au service de la performance et de la prise de risques Formalisation possible du livrable de ltape 4 :
5 - LIVRABLE
- Chapitre 1 : les objectifs damlioration de la performance. - Chapitre 2 : le rfrentiel des processus du primtre concern. - Chapitre 3 : les dysfonctionnements liminer et les actions correctrices engager. - Chapitre 4 : les plans dactions qui sera (seront) labor(s) et le planning associ. - Chapitre 5 : le plan de suivi des amliorations : les KPI sur les processus du primtre de la transformation.
5 - LIVRABLE
33
PARTIE 2
semble des activits doit tre pass en revue, selon une dmarche top-down . Cette revue va permettre de localiser les enjeux, de dnir la granularit des travaux et donc le niveau deffort quil conviendra de mettre en uvre. capter les points critiques traiter, les contraintes lies la situation et aux pratiques existantes et les diffrentes demandes des oprationnels pour esquisser larchitecture des dispositifs mettre en place. Cette architecture sera complte et dtaille lors de ltape suivante - tape2 implmenter un dispositif de gestion des risques .
Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : la prsentation des couples produits marchs et des axes de dveloppement de ou des entits. Chapitre 2 : la prsentation des enjeux nanciers issus des caractristiques des activits et du modle conomique. Chapitre 3 : la cartographie globale des activits et des zones de risques : les dysfonctionnements majeurs seront localiss sur cette cartographie. Cest une vue globale d hlicoptre des activits dont le dcoupage est propre lentit. Pour des entits de taille moyenne la reprsentation doit tre assure sur une feuille de papier de format A3. Chapitre 4 : la synthse des dispositifs existants et une esquisse des dispositifs mettre en place.
34
PARTIE 2
ETAPE 1 CONNAITRE LES ZONES A RISQUES - Recenser les activits oprationnelles gnratrices de dysfonctionnements majeurs induisant des risques ; - Identier et hirarchiser les principales zones risques qui pourraient remettre en cause latteinte des objectifs de lentreprise ; - Esquisser larchitecture du dispositif de gestion des risques (positionner les diffrents lments qui vont composer le dispositif). - Disposer du document de cadrage formalis lors de ltape 0, avec la description de lobjectif immdiat (la conformit), et de lobjectif un horizon court terme (performance). Ce document de cadrage doit galement comprendre une indication du primtre couvrir (en terme dactivits oprationnelles, de zones gographiques, dorganisation ou entits,) et des enjeux matriser. - Connatre les mtiers, les activits, les produits, les marchs et la stratgie associe de lentreprise et les modalits de sa mise en uvre. - Rpertorier les dispositifs de matrise existants: dispositifs de contrle interne et de gestion de risques, et historique de leur implantation. - Apprcier le niveau de culture du risque du ou des entits. - Formaliser les lments caractristiques de la stratgie de dveloppement et de la mise en oeuvre du plan daffaires de lentreprise. - Formaliser une cartographie des processus pour lensemble des activits (vue globale dhlicoptre : une feuille de papier de dimension A3 par branche ou division). Le primtre peut tre variable en fonction de lobjectif. - Localiser les dysfonctionnements rcurrents sur le schma de description des processus. Ces dysfonctionnements remettent en cause le bon droulement des processus et peuvent tre des facteurs de risques. - Identier les zones risques qui pourraient entraver la ralisation du budget et du plan daffaires/business plan issu de la stratgie de lentreprise. - Valoriser les impacts potentiels des zones risques de lentreprise an de les hirarchiser, de leur donner un ordre dimportance. - Recenser les dispositifs de matrise existants dans lentreprise : gouvernance, charte de fonctionnement, environnement de contrle, procdure, rapports daudit, qualit... - Business model : caractristiques et enjeux par mtier & activits sur la ou les entits. - Plan stratgique & business models 3 / 5 ans sur la ou les entits. - Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux : ENTITE - BU - Fonction Support - DAF. - Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/zones risques => Recensement des principales zones risques de la ou des entits gnres par les activits oprationnelles et de support Formalisation possible du livrable de ltape 1 : - Chapitre 1 : prsentation des activits - des couples produits - marchs - des axes de dveloppement - des axes de dsengagements de ou des entits. - Chapitre 2 : prsentation des enjeux nanciers issus des caractristiques des activits et du modle conomique. - Chapitre 3 : la cartographie globale des activits et des zones de risques : les dysfonctionnements majeurs seront localiss sur cette cartographie. Cest une vue globale hlicoptre des activits dont le dcoupage est propre lentit. Pour des entits moyennes la reprsentation est assure sur une feuille de papier de dimension A3 (420 x 297 mm). - Chapitre 4 : la synthse des dispositifs existants et une esquisse des dispositifs mettre en place.
1 - OBJECTIFS
2 - PRE-REQUIS
5 - LIVRABLE
35
PARTIE 2
dnir et documenter : - le dispositif de gestion des risques, et notamment son mode de fonctionnement, les processus surveiller et larchitecture des diffrents composants qui formeront le dispositif ; - le cadre organisationnel sur lequel va sappuyer le fonctionnement de ce dispositif ; - les moyens humains et techniques requis pour assurer la prennit du fonctionnement.
Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : les risques majeurs issus de la cartographie des risques (y compris les actions de matrise/ traitements dnis le cas chant), Chapitre 2 : les processus critiques : ces processus sont dduits de la matrice Processus/Risques, produit prsent. Chapitre 3 : la description du dispositif cible visant protger les processus critiques (qui comprend notamment larchitecture des diffrents composants) - cela dpasse largement lorganisation qui nest quune des composantes du dispositif. Chapitre 4 : une premire esquisse de la politique de gestion des risques ; lensemble de risques considrs comme inacceptables par la direction constitue la premire politique de gestion des risques. Des plans dactions/de matrise sont dnis et dploys pour rduire/transfrer/supprimer le risque.
36
PARTIE 2
1 - OBJECTIFS
2 - PRE-REQUIS
=> Installation et Mise en fonctionnement du dispositif de gestion des risques Formalisation possible du livrable de ltape 2 :
- Chapitre 1 : les risques majeurs issus de la cartographie des risques (y compris les actions de matrise/traitement dnies le cas chant). - Chapitre 2 : les processus critiques : ces processus sont dduits de la matrice Processus/Risques qui fait partie des outils prsents. - Chapitre 3 : la description du dispositif cible visant protger les processus critiques (qui comprend notamment larchitecture des diffrents composants) - cela dpasse largement lorganisation qui nest quune des composantes du dispositif. - Chapitre 4 : une premire esquisse de la politique de gestion des risques; lensemble des risques considrs comme inacceptables par la direction constitue la premire politique de gestion des risques. Des plans dactions / de matrise sont dnis et dploys pour rduire/transfrer/supprimer le risque.
5 - LIVRABLE
37
PARTIE 2
survenus, la mise en place ventuelle dactions correctrices, le reporting permettant au comit daudit dexercer ses diligences et aux dirigeants de prendre les bonnes dispositions, mettre en place une composante pilotage du dispositif de gestion des risques : le monitoring de la mise en uvre oprationnelle, va permettre de faire voluer progressivement le dispositif de gestion des risques (mis en place ltape prcdente). Il va permettre de mesurer le degr de maturit des quipes et de proposer au sponsor de passer dun strict objectif de conformit un objectif de performance oprationnelle.
Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : le rsultat des campagnes dauto-valuation qui serviront de base lactualisation de la cartographie des risques, Chapitre 2 : lvaluation de lefcacit de la gestion des risques processus par processus (analyse du positionnement du dispositif actuel et des rsultats quil produit par rapport aux objectifs qui lui sont assigns et accessoirement par rapport aux exigences du rfrentiel), Chapitre 3 : le plan dactions de progrs associ. Ce plan est dclin par activits et processus par processus. Il a le mme primtre que le document prcdent.
38
PARTIE 2
ETAPE 3 FAIRE FONCTIONNER UN DISPOSITIF DE GESTION DES RISQUES EFFICACE - Vrier que les zones risques sont connues et que les actions de matrises sont organises ; - Excuter des auto-valuations et consolider les rsultats ; - Apprcier la maturit du dploiement et la pertinence des plans dactions mis en place ; - Etablir et dployer des plans dactions (sur la base des rsultats des auto-valuations)
1 - OBJECTIFS
2 - PRE-REQUIS
- Disposer dun cadre organisationnel (1re composante) prcisant notamment les rles et responsabilits des acteurs, la politique de gestion des risques ainsi que le systme dinformation qui permet la diffusion en interne de linformation relative aux risques. - Disposer dun processus de gestion des risques (2me composante) comprenant les tapes didentication, danalyse et de traitement des risques. - Disposer dune bauche du pilotage ou monitoring en continu du dispositif (3me composante). - Prciser et arrter les constituants de la composante pilotage du dispositif (esquisse ltape prcdente) de manire pouvoir mettre en vidence les carts par rapport aux exigences de la rglementation et aux recommandations du rfrentiel retenu (conformit) et aux objectifs atteindre (efcacit). Les attentes vis--vis de lauto-valuation et des revues seront notamment prcises. Les rles et responsabilits des acteurs participant cette composante seront en cohrence avec ceux dnis dans le cadre organisationnel (1re composante) et afns si ncessaire. - Actualiser rgulirement (selon une frquence dnir) les couples (matrices) Process-Risques notamment par lanalyse des dysfonctionnements qui sont intervenus au cours de la priode (3 mois, 6 mois, 12 mois) et remettre jour les processus critiques (ceux qui sont impacts par les risques majeurs). - Construire et proposer des plans dactions avec le propritaire de risques en prenant en compte le cot de la mise en uvre et la rduction escompte. Faciliter la discussion entre tous les acteurs de la matrise des risques. - Adosser des indicateurs de performance aux sources / facteurs de risques an de dtecter la ralisation de ces derniers. - Mettre en uvre les questionnaires dauto-valuations incluant le volet gestion des risques. La mise en uvre de ces questionnaires dauto-valuation doit tenir compte de la culture de lorganisation, de ses caractristiques et du degr de sensibilisation du personnel. Lquipe projet intgrera des oprationnels pour laborer ces questionnaires qui se focaliseront sur les enjeux de lorganisation; Si ncessaire, un test sur une entit pilote volontaire sera effectu avant gnralisation; la dmarche pourra tre accompagne sur le terrain par lquipe projet ou des relais pralablement forms. En rythme de croisire, ces campagnes dauto-valuation seront lances rgulirement selon une frquence dnir (annuelle ?) dans le cadre dune organisation prenne, le contenu des questionnaires tant actualis. - Dnir puis mettre en uvre les plans dactions destins pallier les faiblesses mises en vidence par les auto-valuations. - Suivre le droulement de ces plans dactions. - Baser les plans daudit et leurs objectifs sur les risques majeurs et les processus critiques . - Raliser les audits et formaliser les rsultats (y compris la revue des questionnaires dauto-valuation remplis par les entits). - Evaluer lefcacit du dispositif sur la base des auto-valuations, des plans dactions qui en dcoulent et des plans daudit. - Identier le(s) plan(s) dactions de progrs destin(s) amliorer lefcacit du dispositif de gestion des risques. - Communiquer sur les rsultats obtenus auprs des parties prenantes au dispositif de gestion des risques. - Questionnaire dAuto-Evaluation Niveau ENTITE - Questionnaire dAuto-Evaluation Niveau PROCESSUS FINANCIERS - Cartographie des risques - Activit Service - Cartographie des risques - Activit Industrielle - Fiche de risques avec plan dactions associ - Apprciation du niveau defcacit du dispositif (radars, KPI,...) - Reporting de suivi de lefcacit du dispositif de matrise des risques => Les prises de risques sont matrises et monitores Formalisation possible du livrable de ltape 3 : - Chapitre 1 : le rsultat des campagnes dauto-valuation serviront de base lactualisation de la cartographie des risques, - Chapitre 2 : lvaluation de lefcacit de la gestion des risques processus par processus (analyse du positionnement du dispositif actuel et des rsultats quil produit par rapport aux objectifs qui lui sont assigns et accessoirement par rapport aux exigences du rfrentiel). - Chapitre 3 : le plan dactions de progrs associ. Ce plan est dclin par activits et processus par processus. Il a le mme primtre que le document prcdent.
5 - LIVRABLE
39
PARTIE 2
lors des tapes prcdentes. Il est ncessaire pour rechercher les activits, les rgles de gestion, les modes opratoires qui doivent faire lobjet dune volution et pour traiter les dysfonctionnements, dnir les objectifs damlioration recherchs. Cette amlioration peut couvrir des dimensions diffrentes comme par exemple : la diminution des dlais de facturation, la diminution de dlais dencaissement, la diminution du nombre davoir clients, la scurisation de linformation comptable et nancire priodique, lmission systmatique de bons de commande pour tout achat, rduire les dysfonctionnements, localiser les processus et des actions sur lesquels doivent porter les plans dactions qui vont amliorer les modalits dexcution des activits oprationnelles. Il sagira de conforter et de prenniser le systme mis en place en travaillant sur lamlioration des processus, suivre priodiquement les amliorations : la mise en place dun monitoring notamment en dnissant des critres de mesure de la performance au niveau des processus. Cest le positionnement de quelques KPI qui vont permettre de mesurer lefcacit de la transformation en cours en xant une valeur de rfrence T0 et en les valuant selon une priodicit mensuelle ou trimestrielle.
Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : les objectifs damlioration de la performance prvus, Chapitre 2 : le rfrentiel des processus du primtre concern, Chapitre 3 : les dysfonctionnements liminer et les actions correctrices engager, Chapitre 4 : les plans daction qui sera(seront) labor(s) et le planning associ, Chapitre 5 : le plan de suivi des amliorations : les KPI sur les processus du primtre de la transformation.
40
PARTIE 2
ETAPE 4 AMELIORER LA PERFORMANCE DES PROCESSUS - Crer un rfrentiel des processus oprationnels et de support ; - Dnir et actualiser les objectifs damliorations de lexcution des processus ; - Optimiser le fonctionnement des processus et les rendre plus efcace sur le primtre dni ; - Implmenter des indicateurs de mesure de la performance des processus ; - Suivre priodiquement lvolution de la performance des activits des processus et le niveau dexposition aux risques. - Disposer dun cadre organisationnel actualis dcrivant lensemble du dispositif de gestion des risques - Connatre les rsultats de la mesure de lefcacit du dispositif de gestion des risques - Impliquer fortement les managers oprationnels (de support) sur le niveau de la performance de leur processus - Dnir les objectifs damliorations recherchs permettant de abiliser / doptimiser latteinte de la stratgie - an de disposer de processus oprationnels/ supports performants. - Localiser (scoping) les processus et les actions sur lesquels doivent porter les plans dactions qui vont amliorer les modalits dexcution des activits oprationnelles. - Afner la connaissance des processus oprationnels en dcrivant les activits qui en assurent le fonctionnement. Pour ce faire, il faut sappuyer sur les travaux qui ont t raliss lors de ltape 2. - Dnir un rfrentiel de performance des processus en slectionnant les instruments de mesure adapts (KPI, autres). - Mettre en place les indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombres de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre de reportings mis en place et temps ncessaire pour les produire, ), (iii) mesurer les rsultats : performance et efcacit. - Identier les actions correctrices mettre en place pour rduire les dysfonctionnements et corriger lexcution en fonction des objectifs damlioration et du niveau de risque dni par les dirigeants. - Rfrentiel des Processus : achats et approvisionnements - Rfrentiel des processus : RH - Transformation du processus - Emission des bons de commande - Le suivi de la performance des processus - KPI - Cot processus clients - Le suivi de la performance des processus - KPI - Cot processus achats, approvisionnements - Tableau de bord de suivi des Risques - Dysfonctionnements - Plans dactions
1 - OBJECTIFS
2 - PRE-REQUIS
=> Processus robustes et performants au service de la performance et de la prise de risques Formalisation possible du livrable de ltape 4 : - Chapitre 1 : les objectifs damlioration de la performance. - Chapitre 2 : le rfrentiel des processus du primtre concern. - Chapitre 3 : les dysfonctionnements liminer et les actions correctrices engager. - Chapitre 4 : les plans dactions qui sera (seront) labor(s) et le planning associ. - Chapitre 5 : le plan de suivi des amliorations : les KPI sur les processus du primtre de la transformation.
5 - LIVRABLE
41
PARTIE 2
permettre de rduire leffort global ou de le concentrer sur des sujets trs particuliers du fait du contexte conomique. Le dispositif de matrise des risques qui est maintenant efcace doit tre rendu encore plus efcient dans la continuit des analyses de zones de risques et des points de dysfonctionnement dbutes ds ltape 1, et optimises dans les tapes suivantes.
Le livrable
Le livrable comporte les chapitres suivants : Chapitre 1 : revue des processus pour vrier que les processus dnis comme critiques sont toujours les mmes. Chapitre 2 : suivi de lvolution de la maturit du dispositif de gestion des risques et revue des plans dactions. Analyse et recherche des axes de simplication proposer en travaillant sur lallgement des dispositifs qui ne concernent pas des processus critiques . Chapitre 3 : introduction de laxe informatique comme axe de progrs. Identication des doubles protections et identication des impacts mtiers des risques informatique. Apprciation du niveau de matrise de ces risques informatiques.
42
PARTIE 2
ETAPE 5 OPTIMISER LE DISPOSITIF DE GESTION DES RISQUES - Simplier voire allger les processus matures et matriss an den accroitre lefcience, - Matriser la prise de risques tout en optimisant les moyens techniques, humains et nanciers ; - Intgrer le dispositif de gestion des risques dans tous les projets de lentreprise ; - Avoir atteint lefcacit du dispositif, mise en vidence par une valuation interne et/ou externe avec pilotage de plans daction (orients conformit ). - Disposer dun rfrentiel de process et dun rfrentiel de risques. - Les sponsors maintiennent le momentum (pas de remise en cause de lefcacit) mais demandent une optimisation. - Evaluer le cot du dispositif de gestion des risques pendant sa phase projet et aujourdhui dans sa phase prenne : cots internes (temps ddi par les contributeurs, outils mis en place, ) et cots externes daccompagnement. - Dnir des indicateurs pour (i) sassurer du maintien de la conformit et (ii) mesurer le cot (nombre de contrles, nombre de contrles automatiques, nombre de personnes impliques, nombre reportings mis en place et temps ncessaire pour les produire, ) (iii) mesurer les rsultats: au niveau de la performance et de lefcacit. - Revoir les risques et leur niveau de criticit (pralablement dnis au cours des tapes prcdentes) et actualiser les couples Process / Risques (revue au cours de ltape 3). Cette revue permet de traduire les points damlioration de la performance qui ont t obtenus suite ltape prcdente. De facto les points damlioration sont localiss et seront pris en compte lors des plans dactions visant rechercher une meilleure efcicence. - Revoir la pertinence des arbitrages Risques / Assurances / Contrle interne (ceux effectus au cours de ltape 2). - Identier, avec les responsables de processus, pour les processus qui ont fait lobjet, lors de ltape 4, de simplication ou de transformation, les actions de simplication des actions de matrise qui peuvent tre mises en place : cot mtier cot application informatique. - Localiser les contrles embarqus dans les applications et vrier sils ne sont pas en doublon avec des contrles mtiers . - Revoir le cadre organisationnel (celui mis en place lors de ltape 2) et lactualiser. - Actualiser / Optimiser / Simplier les dispositifs de gestion des Risques (et les contrles associs) et ce dans le cadre dune dmarche intgre de type GRC.
1 - OBJECTIFS
2 - PRE-REQUIS
- Matrice Processus / Risques revue : revoir si les processus identis comme critiques le sont toujours et sil ny en a pas dautres. - Evolution de la maturit du dispositif de matrise des risques. - Impact mtiers du risque informatique : cas RH-Paie.
=> Prise de risques efciente, moyens associs optimiss Formalisation possible du livrable de ltape 5 : - Chapitre 1 : revue des processus pour vrier que les processus qui sont critiques sont toujours les mmes. - Chapitre 2 : suivi de lvolution de la maturit du dispositif de gestion des risques et revue des plans dactions. Analyse et recherche des axes de simplication proposer en travaillant sur lallgement des dispositifs qui ne concernent pas des processus critiques . - Chapitre 3 : introduction de laxe informatique comme axe de progrs. Intenciation des doubles protections et identication des impacts mtiers de risque informatique. Apprciation du niveau de matrise de ces risques informatiques.
5 - LIVRABLE
43
PARTIE 2
Ces cinq familles qui correspondent aux cinq grands thmes techniques qui doivent tre matriss, ont t rparties au sein des cinq tapes (rectangle gris) que nous avons dcrites prcdemment comme le montre la Figure 7 prsente ci-dessous. Dans les pages qui suivent, nous faisons, pour chacune de ces familles doutils, un focus particulier sur : leurs apports, les difcults rencontres lors de la mise en place, la liste des outils qui sont prsents et lutilisation de loutil en mode prenne.
FIGURE 7
permettant dacqurir la
Familles doutils
44
PARTIE 2
formations qui vont tre dcides et aussi pour viter de traiter de faon monolithique les structures organiques dune entit. Business model : caractristiques et enjeux par mtier & activits sur la ou les entits. Plan stratgique & business models 3 / 5 ans sur la ou les entits. Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux ENTITE - BU - Fonction Support - DAF. Localisation des zones risques et construction dun Premier Univers des zones risques : cartographie mtiers/zones risques.
Les outils
Ce sont avant tout des exemples doutils pour permettre de rassembler les informations utiles pour positionner avec pertinence et efcacit les volutions et les trans-
45
PARTIE 2
complexit la comprhension au lieu de la simplicit recherche. Nous verrons ultrieurement quune fois la dimension processus introduite dans les pratiques de travail, elle peut tre aussi employe pour dautres usages. Cest un investissement rentable.
nisation des ux physiques et les ux dinformations au sein de lentit, USAGE 2 : rationaliser le droulement du processus, USAGE 3 : prvoir de faon rigoureuse lvolution des systmes dinformation de lentreprise et sassurer de son alignement avec les pratiques oprationnelles, USAGE 4 : refondre et amliorer lorganisation des entits / directions / dpartements, USAGE 5 : construire une comprhension plus pertinente des cots de lentreprise (activity based costingABC, et activity based management - ABM), USAGE 6 : scuriser la production de linformation nancire et accrotre la conance des tiers dans la sincrit des comptes, USAGE 7 : mettre en place ou optimiser un dispositif de gestion des risques, Au-del des 7 usages possibles dune approche processus au sein de lentreprise, linstauration de cette culture et la vision transversale qui en dcoule lui permet de : sinscrire dans une logique de progrs continu, crer les conditions en vue dassurer la prennit des projets dvolution et de transformation.
46
PARTIE 2
est toujours dlicat, la tendance naturelle est daller dans plus de dtails que de ce qui est ncessaire. la confusion processus - procdures - modes opratoires : elle constitue la difcult qui est habituellement rencontre lors des premires reprsentations. Pour lun des membres du groupe de travail, lintroduction de cette approche par les processus fut un chec, car elle fut mal prpare et mal comprise par les quipes qui ny ont pas trouv dintrt pour leur travail quotidien.
dont lefcacit est hasardeuse. Ces plans de progrs reposent bien souvent sur des suggestions, un monitoring : cest--dire une revue priodique qui va donner du rythme au plan de progrs.
Les outils
A titre dillustration, quelques exemples doutils sont prsents au chapitre 4, il sagit doutils qui sont utiliss par les membres du groupe de travail et qui ont t anonymiss :
Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux ENTITE - BU - Fonction Support. Rfrentiel des processus : achats et approvisionnements, Rfrentiel des processus : RH Transformation du processus - Emission des bons de commande Le suivi de la performance des processus - KPI - ct processus clients Le suivi de la performance des processus - KPI - ct processus achats, approvisionnements
47
PARTIE 2
Matrices des Processus et des Risques : chaque processus ont t rattachs un certain nombre de risques (le niveau de prcision de ces matrices dpend de la granularit attendue par lorganisation) Mthodologie de cartographie des risques : guide dentretien Mthodologie de cartographie des risques : che de risques : version en anglais Mthodologie de cartographie des risques : che de risques : version dtaille en franais Mthodologie de cartographie des risques : che de risques : version simplie en franais Grille dvaluation - Echelle de risque Premire Cartographie des risques Cartographie des risques - Activit Service Cartographie des risques - Activit Industrielle Fiche de risque avec plan dactions associ
Les outils
Cartographie de lensemble des activits de lentreprise (vision globale obtenue partir dune reprsentation des processus). Cette cartographie peut intervenir diffrents niveaux ENTITE - BU - Fonction Support - DAF. Univers des risques afn
48
PARTIE 2
Nous illustrons ci-dessous ces deux types de prcautions : les actions de prvention : la prvention agit sur la probabilit doccurrence dun vnement dommageable. En gnral, ces mesures sont prises pour des vnements ayant une frquence assez importante. Elles agissent sur au moins lun des vnements de la chane conduisant lvnement dommageable. En dautres termes, ces actions visent rduire la frquence de survenance des dysfonctionnements, facteurs de risque, dangers, prils. Le monde de la prvention correspond au monde du progrs continu et de la recherche de lamlioration de la performance qui, par ses actions correctrices, va limiter la probabi-
lit de survenance dun vnement. les actions de protection : la protection vise limiter les consquences dun sinistre. En fait, les dispositifs de protection agissent aprs la survenance du sinistre an den limiter et den rduire limpact. Cest le cas des assurances, en rappelant que 20 30% des risques sont assurables et donc que 70 80% des risques ne le sont pas. A titre dillustration, nous prsentons pour chacune des deux familles dactions de prcautions quelques exemples :
Risque
Accidents de circulation Accidents du travail Vol, malveillance Dfaillance dun fournisseur Espionnage informatique Limitation de vitesse
Prvention
Ergonomie des postes de travail Contrle des accs Audits du fournisseur Scurisation des systmes EXEMPLES DE MESURES DE PROTECTION
Les dclinaisons possibles sont nombreuses, elles prennent des formes diffrentes selon : la taille de lentreprise : PME- Middle market, grande entreprise cote ou non, les besoins et la culture des dirigeants : lappropriation plus ou moins rapide dune dmarche de gestion sensible aux risques, les parties prenantes / leur secteur dactivit : les exigences des actionnaires, les cadres rglementaires selon le secteur dactivit (comme par exemple les banques ou lassurance), les demandes lies aux nancements externes, les ambitions et objectifs de lentreprise : lexpansion et lamlioration de la performance de lentreprise selon des rythmes plus ou moins rapides.
49
PARTIE 2
des plans de sauvegarde ou de survie, des fournisseurs redondants, des instruments juridiques : (i) de prvention, par exemple la mise en place dune politique contractuelle dengagements des achats, (ii) de protection, il sagit principalement des contrats dassurance mais aussi par exemple des clauses contractuelles de limitation de responsabilits. La dclinaison du dispositif de prvention qui vise rduire la survenance et les impacts des risques sera propre lentreprise en fonction de ses contraintes.
Plan de dploiement du dispositif de gestion des risques Questionnaire dauto-valuation Niveau ENTITE Questionnaire dauto-valuation Niveau PROCESSUS FINANCIER Fiche de risque avec plan dactions associ
Les outils
Nous ne proposons pas doutils spciques pour la partie prvention car il sagit, selon les situations, soit des outils qui sont prsents dans la boite ides doutils pour la partie protection, soit il sagit de toute la gamme des produits dassurance qui ne sont pas lobjet de ces travaux. Dune faon gnrale trois types dinstruments (techniques, organisationnels, juridiques) permettent datteindre le niveau de prcaution requis, ils sont les suivants : des instruments techniques: (i) de prvention, par exemple des dtecteurs, des quipements de scurit, des contrles daccs, (ii) de protection, par exemple des murs coupe-feu, des stockages cloisonns, des quipements de protection individuels, des sauvegardes informatiques, des stocks de pices dtaches ou de produits nis, des instruments dorganisation: (i) de prvention, par exemple des procdures opratoires, des consignes de scurit, lexternalisation de certaines fonctions, la formation redondante, (ii) de protection, par exemple
50
PARTIE 2
Les outils
Apprciation du niveau defcacit du dispositif (radars, KPI,...) Reporting de suivi de lefcacit du dispositif de matrise des risques Tableau de bord de suivi des Risques - Dysfonctionnements - Plans actions Le suivi de la performance des processus - KPI - cot processus clients Le suivi de la performance des processus - KPI - cot processus achats, approvisionnements Evolution de la maturit dun dispositif de matrise des risques Impact mtiers du risque informatique : cas RH-Paie.
51
52
54
55
BUSINESS MODEL : CARACTRISTIQUES ET ENJEUX PAR MTIER & ACTIVITS SUR LA OU LES ENTITS
Cette reprsentation a pour vocation de prsenter les caractristiques et enjeux par mtier & activits de lentit (ensemble dentit juridique ou sous groupe). Ce nest pas le modle organisationnel.
FORCES EXTERNES AGISSANT SUR LACTIVITE Environnement lgal/rglementaire (Direction europennes, loi franaise, ), Statut Epic (Etat), Politique dapprovisionnement, volution des cours, Climat politique, Concurrence entre nergies, Contraintes de nancement, Protection de lenvironnement, Risques de nouveaux entrants, Conditions mtorologiques
Marchs et formules de ventes Flux dactivits Alliances Fournisseurs de gaz Participation dans des gisements, Contrats take or pay , Contrats Internationaux, Eni tat franais Distributeur principal Activits, Services, Dir. Communes Autres distributeurs Trading Partenariat avec les banques change et transit avec ltranger, Accs des tiers au rseau Services Cognration, Rseaux de chaleur, Gnie thermique, Ingnierie Produits / services Produits nergie (gaz) Clients ligibles / non ligibles, Export Trading Rseau Clients
Flux stratgiques dactivit Processus oprationnels cls Amont - Exploration - Production - Recherche Infrastructure - Transport - Distribution
Consommateurs Particuliers, clients industriels, Producteurs dlectricit, sts de distributions, sts trangres
Secteur monopolistique Clients non ligibles (particuliers, entreprises) Secteur concurrentiel Clients ligibles, socits trangres International Mexique, Allemagne, Argentine, Hongrie
Commercial Services
Processus de gestion des ressources Direction des ressources humaines et des relations sociales Direction des services juridiques et nanciers Direction de la recherche Dlgation aux ressources communes Direction des systmes dinformation et de linformatique Direction des risques, du contrle et de laudit
56
Etape 1 connaitre les zones risques PLAN STRATGIQUE & BUSINESS MODELS 3/5 ANS SUR LA OU LES ENTITS
In million
March 2013 TYP 2,800 5,210 2,200 6,8% 135 6.1% 100
March 2014 TYP 3,400 6,091 2,530 6,4% 164 6.5% 187
March 2015 TYP 4,000 7,101 3,000 5,7% 209 7.0% 198
Orders received Backlog Sales S&A in % of Sales Income from operations Operating margin Free cash ow
57
AGENCES
CLIENTS
SIRET INSEE
COLLECTER LINFORMATION
CONSTITUER LA BASE PROSPECTS
SERVICE MARKETING
Contenu fabriquer
Base Contenu
Dtail commande globale
FABRIQUER LE CONTENU
Contenu Annonce
FABRICATIONDISTRIBUTION DES
Contenu produits fabriqus valid AGENCE COMMERCIALE Contenu Clients Fabriqu / Valid SOUSTRAITANCES
CLIENTS
Contenu Annonce
Clients contacter
DIRECTION OPERATIONNELLE
C
ACTIVITES SUPPORT aux OPERATIONS
ACHATS SPECIFIQUES
SELECTIONNER ET CONTRACTUALISER LES APPROVISIONNEMENTS
FOURNISSEURS
ACHATS STANDARDS
SELECTIONNER ARTICLES
IMPRIMEURS
Achats standards
Achats de papier
CONSTRUCTION DE LiNFORMATION COMPTABLE ENTITE ( Arrt des comptes) CONSOLIDATION DE LiNFORMATION COMPTABLE GROUPE ( Arrt des comptes)
58
Information
Facture
A
DIRECTION COMMERCIALE
IMPRESSIONOUVRAGES
DIRECTION COMMERCIALE
SUIVRE LACTIVITE COMMERCIALE Commandes Fermes ENREGISTRER LES COMMANDES ET LES REGLEMENTS
COMPTABILITE GENERALE
TRESORERIE
GERER LA TRESORERIE
Rglements Clients GERER ET ELABORER LE PROFIL DE REMUNERATION DU COMMERCIAL
CALCULER LA REMUNERATION VARIABLE DES COMMERCIAUX DETERMINER LES AUTRES ELEMENTS DE REMUNERATION
GERER LA TRESORERIE
PAYER LE PERSONNEL
EFFECTUER LA PAIE DES COMMERCIAUX
EFFECTUER LA PAIE DES TELEVENDEURS ET SEDENTAIRES TRAITER LES NOTES DE FRAIS ET ORDRES DE MISSIONS
CENTRALISER LA PAIE
PRODUCTION DE LiNFORMATION COMPTABLE ( production journalire alimentation application amont Saisies manuelles)
59
AGENCES
CLIENTS
SIRET INSEE
COLLECTER LINFORMATION
CONSTITUER LA BASE PROSPECTS
Contenu fabriquer FABRIQUER LE CONTENU Contenu Annonce PUBLICITAIRE (SUPPORT PAPIER) Dtail commande globale
Base Contenu
Contenu produits fabriqus valid AGENCE COMMERCIALE Contenu Clients Fabriqu / Valid SOUSTRAITANCES
CLIENTS
Contenu Annonce
Clients contacter
60
SERVICE MARKETING
Planning de Prospection
CLIENTS
DIRECTION
61
VENDRE - FACTURER -
DIRECTION COMMERCIALE
62
LEGENDE
Processus
Information
Facture
UX DIRECTION COMMERCIALE
ENCAISSER
VENDRE - FACTURER ENCAISSER
DIRECTION COMMERCIALE
s Fermes
COMPTABILITE GENERALE
EFFECTUER LA PAIE DES TELEVENDEURS ET SEDENTAIRES TRAITER LES NOTES DE FRAIS ET ORDRES DE MISSIONS
CENTRALISER LA PAIE
63
DIRECTION OPERATIONNELLE
ACHATS SPECIFIQUES
SELECTIONNER ET CONTRACTUALISER LES APPROVISIONNEMENTS
FOURNISSEURS
64
TRESORERIE
ACHATS STANDARDS
SELECTIONNER ARTICLES
GERER LA TRESORERIE
Rglements Clients
IMPRIMEURS
RECEPTIONNER CONTROLER LES LIVRAISONS CONTROLER LES FACTURES CONTROLER LES LIVRAISONS ET LES FACTURES CONTROLER STOCK PAPIER IMPRIMEUR
Achats standards
Achats de papier
PRODUCTION DE LiNFORMATION COMPTABLE ( production journalire alimentation application amont Saisies manuelles)
CONSTRUCTION DE LiNFORMATION COMPTABLE ENTITE ( Arrt des comptes) CONSOLIDATION DE LiNFORMATION COMPTABLE GROUPE ( Arrt des comptes)
65
PAYER LE PERSONNEL
EFFECTUER LA PAIE DES COMMERCIAUX
CENTRALISER LA PAIE
66
D
CALCULER LA REMUNERATION VARIABLE DES COMMERCIAUX DETERMINER LES AUTRES ELEMENTS DE REMUNERATION
67
Etape 1 connaitre les zones risques CARTOGRAPHIE DE LENSEMBLE DES ACTIVITS DE LENTREPRISE : NIVEAU BU
Cette reprsentation prsente lensemble des activits dune entit. Les activits sont dcrites au niveau des principaux processus (les rectangles de couleurs).
CLIENT
ETABLIR ET SUIVRE
Devis affaire complexe
LE CARNET DE COMMANDE
ACTIVITES OPERATIONNELLES
Proposition/Devis Accept
tude excution
Spcification de consultation
SUIVI DE LA TRESORERIE
Virements reus et mis (journalier)
68
LEGENDE
ACTEUR EXTERNE
Proposition /Devis
PROCESSUS
Proposition/Devis Accept
GERER LE PERSONNEL
Valeurs brutes des immobilisations Dotation aux amortissementsC es s ions dimmobilis a tions (interface mensuelle Fin de mois)
INTEGRER L E C H IF F R E DAF F AIR E S (PS / AR)
PRODUIRE L INF O R MAT IO N C O MP T AB L E (alimentation par les applications amont et les saisies manuelles) (PS / GL)
INTGRER LES IMMOBILISATIONS ET LES AMORTISSEMENTS DES IMMOBILSATIONS CORPORELLES (PS / GL)
CONSTRUIRE L INF O R MAT IO N C O MP T AB L E INDIV IDU E L L E ( Clture des comptes) (PS / GL)
69
BUDGET PAIE NOTE DE FRAIS TRESORERIE COMPTABILITE PRODUIRE LINFORMATION COMPTABLE ET FINANCIERE
PA I E & RH BUDGET
NOTE DE FRAIS
GESTION DE LA TRESORERIE
De la COMMANDE CLIENT au
GESTION DES REFERENTIELS : CLIENTS / CONTRATS / PROJETS / SOUS-TRAITANTS INTERNES ET EXTERNES
ACHAT SOUSTRAITANCE
ACHAT AUTRES
FRAIS DE VOYAGES
- Intgrer les conditions, instructions de facturation - Affecter les ressources aux projets et tarifs contractuels
Conditions, modalits de facturation et affectations
COMPTABILITE PRODUCTION
LEGENDE
NOTE DE FRAIS
MACRO-PROCESS Commerciaux
FACTURATION
PROCESS
ETABLIR LA FACTURATION
Corriger / Valider la facturation (Rgie)
Flux dinformation
ZONES A RISQUES
FACTURATION
Factures et avoirs
70
COMPTABILITE - REPORTING
COMPTABILITE CLOTURER PERIODIQUEMENT LES COMPTES
GOUVERNANCE
REPORTING
REGLEMENT
CONTRLE DE GESTION
AFFAIRES AU FORFAIT
AFFAIRE EN REGIE
FONCTIONS SUPPORT
Demande davoirs
Demande davoirs
ENCAISSEMENT / RECOUVREMENT
Demandes davoirs Valid Commercial Factures
CLIENTS
Factures rgles
Factures et avoirs
Collecter et Rapprocher les virements reus avec les factures en attente de rglement (XXX virements pour YYYY factures par mois)
Virement 90%
COMPTABILITE PRODUCTION
Etablir les provisions pour impays sur les factures > XXX jours)
COMPTABILITECLOTURE
COMPTABILITE PRODUCTION
BANQUES
71
LOCALISATION DES ZONES RISQUES ET CONSTRUCTION DUN PREMIER UNIVERS DES ZONES RISQUES : CARTOGRAPHIE MTIERS/ZONES RISQUES
Cet outil prsente une cartographie des mtiers et des principaux enjeux nanciers pour chacun des mtiers. Ce premier cadre (partie haute) est enrichi dans le deuxime cadre (partie basse) de la localisation des zones risques et dune premire apprciation de lexposition aux risques. Le premier univers des zones risques a ainsi t cr.
EUROPE
France Italie Production (u.p) Distribution (u.d) / (u.f) 12 15 2 36 3 1 12 4 12 2 3 40% 6 726 756 602 256 301 358 505 268 96 9 14 3 4 1 3 Turquie Production (u.p) 3 Distribution (u.d) / (u.f) 5 1 3
Mtiers
Bagagerie Vetement et accessoires Accesoires textiles Autres mtiers
CA (M)
936 360 227 78
Corporate
Production (u.p) 2 3
1 601
117 87 38 1 24 24 13 4 6 83
242
71
1 914
Exposition Exposition 3
3 N/A 3
1 3
1 N/A 2
1 2
2 oui 2
3 2
Stratgie
Cur mtier
Exposition 14001
1 3
2 3
2 2
Risques nancier
Pool trsorerie Couvertures (Taux - change)
Exposition
Risques RH
Exposition Politique RH Organigramme Dlgation de pouvoirs Legal answer Exposition Systme intgr ERP Value Way
Support
Risque SI
Lgende
Unit Production : Unit Distribution : Unit Franchise : u.p u.d u.f
Niveau dexposition
Exposition forte Exposition moyenne Exposition faible 1 2 3
Matrise interne
En place En cours Non couvert
72
AMERIQUE
USA Production (u.p) 2 Distribution (u.d) / (u.f) 26 26 13 1 2 Mexique Production (u.p) Distribution (u.d) / (u.f) 2 2 3 Chine Production (u.p)
ASIE
Vietnam Production (u.p) Distribution (u.d) / (u.f) 2 1 2 2 Distribution (u.d) / (u.f) 12 15 36 3
1 1 3
12 4 12 2
1 1
45 15%
10
1 oui 3
1 3
2 N/A 2
2 2
1 N/A 1
1 1
2 oui 2
2 2
1 2
3 1
3 1
3 1
0%
0%
30%
50%
20%
20%
20%
30%
73
74
75
Etape 2 implmenter un dispositif de gestion des risques UNIVERS DES RISQUES AFFIN
Loutil prsente lensemble afn du premier univers des zones risques.
Risques externes
Concurrence - Lobbying Social - Politique trangre - Lgislation - Catastrophes naturelles - Rglementation - Crise sur march cl Terrorisme - Relations avec les parties prenantes - Partenaires - Innovation Technologique
Risques internes
Risques stratgiques
Labelling - Proprit intellectuelle - Stratgie de dveloppement - Business model - Canaux de distribution Portefeuille - Perte de part de march - Stratgie Marketing - Protabilit - Fusion & acquisition - Intgration - Gouvernance
Risques oprationnels
Sant et Scurit - Connaissance, savoir-faire - Dveloppement Cycle de vie des produits - Pollution Accident majeur - Distribution Arrt de l'activit - Dommages aux tiers - Dfaillance quipement critique Qualit produit/service - Carence de fournisseurs - Dommages aux actifs Capacit - Carence Energie Interdpendance entre sites Erosion marque
Capital humain
Externalisation - Personne cl Communication - Comptences Gestion du changement / recrutement
Conformit
Lgislation & Rglementation - Contractuelle Juridique - Communication nancire
Gouvernance
Leadership - Dlgation - Limites - Autorit Performances incitatives
Intgrit
Fraude - Actes illgaux - Usage illgal - Ethique Image de marque
Sys. Information
Technologie - Infrastructure - Intgrit - Accs - Maintenance - Disponibilit - Condentialit Dpendance - Externalisation
Finances
Taux d'intrts - Liquidit - Risque Crdit Pension - Risque de change - Management nance (budget, forecast, pricing, impts) - Dprciation d'actifs
RISQUES EXTERNES
Concurrence Demande client Lobbying social conomie Marchs nanciers Fonds de pension Lgislation Catastrophe naturelle Politique Partenaires Terrorisme
OPERATIONNELS
Processus Capacit / ressources Autorisations administratives Cycle de vie produits Planning Environnement / pollution Construction : Sant & Scurit - Sous-traitance Innovations technologiques - Qualit Rglementation - Conformit REACH Gestion de lInformation Information comptable Budget /prvisions Exhaustivit/Exactitude valuation des investissements/actifs Relations actionnaires Informations de gestion (Tableaux de bord ) Fiscalit Ressources humaines
Gestion du changement Communication Comptences / savoirfaire Personnes cls Recrutement Management Externalisation Motivation Formation
FINANCIERS Concentration Interruption de lactivit Criticit des quipements Enregistrement des transactions Taux du crdit Pension Instruments nanciers Devises/Change Taux dintrt SI Cybercriminalit Accs/ Maintenance Capacit technologique Intgrit/Disponibilit des donnes Dpendance Infrastructure Fiabilit Con dentialit Liquidit Dprciation dactifs Communication nancire
Produits / Services : - Dveloppement - Qualit / Dfaillance - Engagements contractuels - Relation clients Approvisionnement Stratgie de mise en uvre Intgrit Con its dintrt Fraude Usage illgal Actes illgaux thique Gestion de limage Entente illicite Corruption CNIL Publicit mensongre Rglementation
76
Introduction
Dans le cadre du projet de management des risques et du contrle interne, nous vous avons sollicit pour participer lidentication et lvaluation des risques de WCG SA. Ce guide dcrit les objectifs recherchs ainsi que la rexion individuelle mener avant votre entretien.
77
La dmarche suivie
Avant lentretien
Quels sont les objectifs de WCG SA ? Quest-ce qui nous empche datteindre nos objectifs ? Quelles menaces ? Quelles opportunits manques ? Quelle est la possibilit que ce risque se ralise ? Quelles en seraient les consquences pour WCG ?
Consolidation par lquipe projet des risques et des valuations Annexe 5 : Exemple de livrable
78
79
Un risque est valu suivant deux axes qui sont : la frquence et les consquences de ralisation. Les valuations que vous retiendrez, devront tre dans la mesure du possible, documentes . Cette valuation peut tre base sur lhistorique, sur des lments chiffrs, sur vos expriences
Frquence Probabilit doccurrence 1 1% (trs peu probable) 2 5% ( ne pas carter) 3 25% (possible) 4 50% (tout fait possible) 5 75% (trs probable)
1
Impact faible : incident de parcours sur le plan nancier
2
Impact moyen : affectant l'entit sur le plan nancier sur une anne Court terme Rgional ou national
3
Impact fort : affectant l'entit sur le plan nancier sur la dure du Projet d'entreprise Long terme ; local ou Court terme ; transfrontalier
4
Impact majeur : affectant durablement l'entit sur le plan nancier Long terme Rgional ou national
5
Impact capital : mettant en jeu la survie de l'entit sur le plan nancier
Impact environnemental
Court terme
Impact sanitaire
Dcs d'une personne Long terme ; local ou rgional ou Court terme ; transfrontalier Stratgie perturbe/retarde pendant 1 2 ans Dgradation sensible du taux de satisfaction des clients sur un segment donn de clientle
Impact image
Court terme Local ou rgional Mise en uvre de l'une des priorits de l'entit rendue plus dif cile
Long terme
La Stratgie ne pourra se raliser sur la dure du Projet d'entreprise Dgradation importante du taux de satisfaction des clients sur plusieurs segments de clientle Dmotivation forte - Grves importantes - Actions du personnel l'encontre des intrts de l'entreprise
Impact social
Dsaccords catgoriels
Attentisme gnral
Grves larves
80
Description du risque
(documentation)
Frquence
(documentation)
2 9 1 8 3
Risques majeurs traitement prioritaire
IMPACT = GRAVIT
Fort
Risques modrs
Moyen
10 12
11
5 7
Risques reprs
4 6
Faible
Probable
Trs probable
FREQUENCE
81
Etape 2 implmenter un dispositif de gestion des risques FICHE DE RISQUES - VERSION EN ANGLAIS
1.2 Competencies management Financial Impact xxM Likelihood xx% Last year
xxM / xx%
RISK DESCRIPTION
The risk of loss of competencies due to: - Ageing population - Lack of mobility - Business attractiveness - Restructuring - Quality of staff
CAUSES
This risk concerns missing operational, technical and project management skills. Its main causes can be found in both the context evolution and internal factors. The former are related to restructuring effects in a restarting market and to a shift in technical and geographical needs.
CONSEQUENCES
Existing skills set not adapted to needs Performance, quality and / or delays issues in project Insuf cient resources to execute orders, produce revenues, and provide leadership. Eventual loss of the existing knowledge base made of ageing experts
RISK RESPONSES
Risk owner: xx
82
Etape 2 implmenter un dispositif de gestion des risques FICHE DE RISQUE - VERSION EN FRANAIS
Objectifs menacs
Catgorie de risque
Propritaire du risque
Description du risque
D o c u m e n t a t i o n
Famille de risque
Dpendance de risques
Tendance
Consquences potentielles
Indicateurs de performance
Processus / Contrles
Description
Responsable
Risque rsiduel
E v a l u a t i o n
Frquence Probable
Consquences Fort
Responsable
chance
N i v e a u
d a s s u r a n c e
83
Etape 2 implmenter un dispositif de gestion des risques FICHE DE RISQUES - VERSION EN FRANAIS
Risque de Groupe
Thme :
Risque 1 Description du risque :
Sous-thmes :
Frquence de citation ++
Principales causes
Principaux impacts
84
Etape 2 implmenter un dispositif de gestion des risques GRILLE DVALUATION - ECHELLE DE RISQUE
Likelihood represents the possibility that a given event will occur Table used to assess the likelihood of a risk
Level 4 3 2 1
Probable Possible Unlikely Improbable
Likelihood
Very likely to occur Likely to occur Not likely but not impossible Very little chance to occur > 50 % 20 - 50 % 2 - 20 % <2%
Impact materialises the effect of the event Table used to assess the nancial impact of a risk
Human/ Environmental Impact
Affect health of population and the environment Affect health of personnel on a large scale Likely to have a signi cant effect on health of one or few personnel members No effect on population nor on the environment Likely to affect health of one or few personal members No effect on population nor on the environment No effect on personnel or nearty population No effect on the environment
Level 4
Very hight
Hight
Medium
Between 10 & 50 M
Negative publicity
Low
Less than 10 M
No effect on reputation
85
Etape 2 implmenter un dispositif de gestion des risques MATRICE DES PROCESSUS ET DES RISQUES
Cet outil permet de localiser les processus critiques qui feront lobjet dun traitement prioritaire.
Pour ce faire, il a t identi un certain nombre de facteurs de risques (dysfonctionnements) qui sont propres la situation rencontre, dans cet outil 7 facteurs de risques.
FACTEUR RISQUE 1 MACRO PROCESSUS 1Complexit des activits ncessaires au bon droulement du processus 2 2 1 2 3 3 1 1 2 3 2 1
FACTEUR RISQUE 2 2Homognit des oprations lmentaires qui sont traites par le processus 1 1 2 3 1 1 2 2 2 1 1 1
Grer la base clients Prendre les commandes Commande Encaissement Facturer et reconnaitre le revenu Encaisser les factures clients Suivre les en-cours clients Grer la base fournisseurs Achat Rglement Passer des commandes Rceptionner les commandes Payer les fournisseurs Sous-processus A Prvision Comptablisation Sous-processus B Sous-processus C
CE1 CE2 CE3 CE4 CE5 AR1 AR2 AR3 AR4 SPA SPB SPC
2 1 1 3 1 1 1 1 3 2 1 2
86
Pour chacun des processus la criticit de chacun des facteurs de risque a t apprcie. Le niveau de risque brut du processus est apprci sur la base dune pondration de chacune des criticits observe pour les facteurs de risque (le niveau de prcision de ces matrices dpend de la granularit attendue).
2 1 1 3 1 2 2 2 1 3 1 3
1 1 1 2 2 1 3 3 3 2 1 3
1 3 1 3 1 1 1 1 2 1 2 1
1 1 1 3 1 2 3 3 1 1 1 3
1 1
3 1
2 2
Facteurs de risque (ou dysfonctionnement) qui sont lorigine ou peuvent dclencher des risques. Ces facteurs de risques doivent tre adapts la situation. Pour chacun des facteurs de risque un niveau de criticit est attribu.
Cest le niveau de risque BRUT du processus qui correspond lapplication de la somme pondre des niveaux de criticit de chacun des facteurs de risque.
87
Etape 2 implmenter un dispositif de gestion des risques PREMIRE CARTOGRAPHIE DES RISQUES
La cartographie des risques - Mode de lecture.
ZONE DACTIONS PRIORITAIRES Zone de risques critiques perus comme faiblement matriss. Zone prioritaire pour la mise en place de plans dactions.
ZONE DE MATRISE DES RISQUES CONFIRMER Zone de risques critiques perus comme bien matriss. Zone dintervention privilgie de laudit interne pour sassurer que le niveau rel de matrise des risques est en adquation avec le niveau peru.
ZONE SURVEILLER Zone de risques de faible importance perus comme moyennement ou faiblement matriss. Une surveillance permanente doit tre effectue pour sassurer que ces risques restent dimportance moindre. Des actions doivent tre entreprises pour en amliorer la matrise.
ZONE DE VIGILANCE Zone de risques de faible importance perus comme fortement matriss. Ces risques doivent faire lobjet dun contrle actif sur une base priodique pour sassurer quils restent matriss.
88
Critique
Surveillance Z% (N risques)
Vigilance W% (N risques)
Signicatif
89
Etape 2 implmenter un dispositif de gestion des risques PLAN DE DPLOIEMENT DU DISPOSITIF DE GESTION DES RISQUES
Plan de dploiement de la dmarche sur le groupe.
Mtiers
Bagagerie Vtement et accessoires Accessoires textiles Autres mtiers Canal de distribution principal Parfums Horlogerie Arts de la Table Canal de distribution secondaire Autres produits Total Chiffre daffaires Effectifs Plan de dploiement Q2 Q3 Q4 Q1 N+1 Q2 N+1
Enchanement sur lensemble du groupe de la mise en place des diffrents composants
Corporate
Production Distribution Production Distribution Production Distribution (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) 2 3 7 2 7 2 1 24 24 13 4 6 83 3 40% 1 2 12 15 36 3 12 4 12 2 96 9 14 3 4 1 3 3 5 1 3
6 726
756
602
256
301
358
505
268
A F B C D E C D B
F A B
A F B
F A B
A F B
F A B
Lgende
Mthodologie ERM Atelier des risques Cartographie risques Auto valuation CI Procdures gpe Audit interne Reporting Synthse A B C E F G D
Les diffrents composants qui constituent le dispositif de gestion et de matrise des risques
90
ASIE Vietnam
Production Distribution Production Distribution Production Distribution Production Distribution (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) (u.p) (u.d) / (u.f) 2 26 26 13 1 2 2 2 3 12 15 36 3 55 60 32 12 2 224 45% 245 1 468 221 156 4 6 4 1 1 1 3 12 4 12 2 45 2 10 1 1 1 1 2 2 2
420
468
235
467
F F F
F F
F F
A B E
A B E
A B E
A B E
A B
A B
A B
A B
G E E E E
91
92
93
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU ENTIT - VERSION EN ANGLAIS World Company Group SA Group Risk Mapping
QUESTIONNAIRE Interviewee : Interviewed by : Date of the interview :
INTRODUCTION
Risk mapping is a process designed to identify and to assess on a regular basis the main risks for the Group, as WCG SA top management perceives them; this process is performed within WCG SA every 2 years. The 2011 risk mapping questionnaire has not been signicantly changed compared to the 2009 questionnaire. It focuses on the main risks for the WCG SA Group through consistent rules of risk assessment. Capitalizing on our previous experiences, we concentrate our study on the net/residual risk (after existing internal controls, procedures, processes, etc.) based on two precisely dened parameters: - likelihood and - severity. To achieve this goal, rating grids for likelihood and severity have been designed to assist you in assessing the potential impact of each identied risk as shown below.
Likelihood
The likelihood represents the number of times a risk may occur, within a specied period, either as a consequence of business operations or through failure of operating systems/policies/procedures.
Rating
1 2 3 4 Rare Possible Likely Almost certain
Description
May only occur in exceptional circumstances Might occur at some time Will probably occur in mosty circumstances Expected to occur in most circumstances
Expected Occurence
Once /> 10 years Once /> 10 years A least once /3 years A least once a years
94
Severity
Not all risk impacts can be quantied in monetary terms, so both qualitative (Image/Reputation and People) and quantitative (Turnover, Margin/Cash ow) ranking factors have been chosen as assessment criteria of risk consequences.
Rating
1 2 Minor Moderate
Margin / cash ow
Loss of margin /CF 1 - 10 M Loss of margin /CF 10 - 25 M
Image / media
Negative local media coverage Unresolved complaints received from a number of stakeholders conceming the same subject Short tem negative national media coverage
People
Localised disaffection by a group of employees Regional disaffection by a group of employees
Major
General morale issues impacting performance and turn-over rate key employees across the Group leave Widespread dissatisfaction amongs employees Unplanned loss of key executive Unable to keep or attract good people
Severe
A. RISKS THAT YOU IDENTIFY FOR THE WCG SA GROUP 1. Considering the two previous rating grids, and from your point of view, what are the ve main risks that you identify for the WCG SA Group?
What could potentially cause this to happen? Internal Processes (Yes/No) ** Residual risk (after internal processes)*** Likelihood 1 2 3 4 1 Severity 2 3 4
Main risks
Type of sequences*
1.
2.
3.
4.
5.
* Choose one or several among: Revenue, Margin/Cash-Flow, Image/Reputation, People. ** Do internal controls, procedures, processes exist to manage this risk? *** Refer to the two rating grids for likelihood and severity. Use an x.
95
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU ENTIT (SUITE)
2. What are, from your point of view, the ve Country or Business Groups or Units or Business Processes that you consider as being the most exposed to risk?
Subject 1. 2. 3. 4. 5. Explain why?
Comments
3. According to you, what are the three topics of utmost importance for the WCG SA Group that should be audited in the coming year:
Topics 1. 2. 5. Explain why?
Comments
96
B. RISK ANALYSIS PER CATEGORY In the list below, please select and grade from 1 (most important) to 10 (less important) the 10 risks you consider as critical for the WCG SA Group. For each of them, please rate the likelihood and severity of the residual risk (refer to the two rating grids), taking into account existing controls, procedures and processes in place to mitigate it.
Main Risks Residual risk * Frequency 1 2 3 4 1 Severity 2 3 4
Risk Category
Risk description
Non respect of WCG SA procedures
Non-respected delegations of powers Fraud and con ict of interest Dif culties in the new organisation implementation Post acquisition / merger de ciencies risk Cable market slow-down / new competitors Dependency on customers Dependency on suppliers Shortage of raw materials and trading goods Non-optimized cross sales (transfer prices, commissions) Inconsistent pricing policy Unlimited liabilities in contracts Accusation of Unfair commercial practices Weak quality of manufactured products and/or services provided Subcontracting risk Production equipment inadequacies Lack of protection/development of technological know-how Supply chain inef ciency Risks link to turn-key projects Dependency on speci c equipments Environmental risk Insuf cient hedging of metal and foreign exchange risks Weaknesses in credit management and cash collection Completeness and accuracy of nancial data
Business
Industrial
Finance
Weak return on investment (acquisition, investment, restructuring) Low ROCE (Return on capital employed) High Working Capital Stock market / Capital markets / Investors risk Lack in systems security Lack in Segregation Of Duties (SOD)
IS / IT
IT Systems breakdown (Disaster Recovery plan) Inef ciency/inadequacies of IT system Loss of skills and/or motivation of employees Lack of training and career management Strikes and social unrest Workers accidents / Security Crisis risk and lack of emergency management (Business Continuity Plan) Theft and malicious incidents Natural disaster risk Political crisis risk Business Intelligence risk / Breach of con dentiality
HR
Others
97
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Immobilisations incorporelles, corporelles et goodwills
Exhaustivit
Exactitude
Valorisation
X X X X
X X X X X X X X X
X X X
X X X X X X X
X X
X X
X X X
X X X
X X
X X
X X
4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis
5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple)
Description et risques lis (outils, acteurs, organisation )
98
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Rvision comptable de 2me niveau Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
99
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Immobilisations nancires
Exhaustivit
Exactitude
Existence/ occurrence
1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE Acquisition et cession : Risque li un suivi insuf sant des oprations sur titres (acquisitions, cessions, complments de prix, garanties dactifs et de passifs) en vue de leur comptabilisation. Acquisition et cession : Risque li un dfaut didenti cation des engagements fermes ou optionnels de toute nature (promesse, call, put ) en vue de leur comptabilisation ou inclusion dans lannexe. Acquisition et cession : Risque li un processus dattribution de prts (notamment prts aux liales, ) insuf samment organis. Dtention : Risque li une conservation inadquate des titres de proprit et des contrats de prts. Classement : Risque li une dcision de classement ayant fait lobjet dune autorisation inapproprie : en IFRS, les rgles de classement dans les diffrentes catgories dactifs nanciers (IAS 39) sont clairement tablies et une procdure permet de sassurer qu lorigine de lopration, la dcision de classement fait lobjet dune autorisation approprie. 2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION 2.1 Paramtrage des schmas comptables Paramtrage des schmas comptables errons 2.2 Dversement des donnes dun SI un autre jusqu la comptabilit Incident dans linterface des SI amont. Incident dans l'interface avec ERP. 3- MAITRISE DES PROCESSUS DARRETE DES COMPTES 3.1 Travaux darrts Risque li des erreurs d'valuation chaque clture des produits se rattachant aux immobilisations nancires. Risque li un dfaut dapprciation chaque clture de lexistence dune indication objective de dprciation des immobilisations nancires. Dtermination des dprciations comptabiliser le cas chant. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X X X X X X X X X X X X X X X X X X X X X
4- AUTRES RISQUES 4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis 5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS 5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )
100
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont
Achats Production
Contrle nancier
Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque
101
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Achats - Fournisseurs et Assimils
Exhaustivit
Exactitude
Existence/ occurrence
X X X X X X X X X X X X X X X X X X X X X X
4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis
102
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
103
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Produits des activits ordinaires / Clients et assimils
Exhaustivit
Exactitude
Existence/ occurrence
Confor Cut-off/ Valo- mit (PC+ appar risargle tenan tion men ce tation)
X X X
X X X X X X X X X X X X X
4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis
104
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Vuln rabilit la fraude Achats Production Contrle nancier Acteurs processus comptables DFI locale Contrles comptables de production Rvision comptable de 1er niveau DFI Sige mtier Rvision comptable de 2me niveau Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
105
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Trsorerie / Financement et instruments nanciers
Exhaustivit
Exactitude
Existence/ occurrence
X X
4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis
106
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
107
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Avantages accords au personnel
Exhaustivit
Exactitude
Existence/ occurrence
X X
X X
X X
X X
X X
X X
X X
4- AUTRES RISQUES
4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis
108
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Rvision comptable de 2me niveau Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
109
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Impts, taxes et assimils
Exhaustivit
Exactitude
Existence/ occurrence
1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE Il existe un processus de veille relatif aux obligations dcoulant des lois, rglementations et instructions scales. Les oprations de lexercice en cours, contrats, conventions, structure de prix de transfert, etc., sont analyses priodiquement sous un angle scal. Il existe un processus visant ce que le traitement, la prparation et le dpt des documents scaux, ainsi que le paiement des impts et taxes soient effectus de faon correcte et en temps voulu. Il existe un processus de conservation des informations ncessaires lenregistrement des impts et taxes et des vnements conomiques en matire de scalit, notamment pour la validation du taux dimpt effectif et la dtermination des impts diffrs. Il existe un dispositif de suivi comptable de la position scale diffre. 2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION 2.1 Paramtrage des schmas comptables X X X X X X X X
3- MAITRISE DES PROCESSUS DARRETE DES COMPTES 3.1 Travaux darrts Une rconciliation entre la charge dimpt totale comptabilise dans le compte de rsultat consolid et la charge dimpt thorique (preuve dimpt) est tablie 3.2 Elaboration de la liasse de consolidation selon les normes IFRS X
4- AUTRES RISQUES 4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis 5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS 5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )
110
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
111
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace QUESTIONNAIRE AUTO-EVALUATION NIVEAU PROCESSUS FINANCIERS
Processus Provisions et engagements
Exhaustivit
Exactitude
Existence/ occurrence
1- MAITRISE DES PROCESSUS AMONT ET DE PRODUCTION COMPTABLE Les engagements sont identi s selon un processus organis et selon des critres tablis. Une d nition claire des engagements est tablie par la socit et communique aux services concerns. Les engagements sont identi s rgulirement et donnent lieu un reporting centralis. La socit sassure de lautorisation des engagements donns, reus et rciproques. Il existe un processus visant ce que la socit donne en annexe de ses comptes une information sur ses engagements conformment aux principes comptables applicables. 2- TRAITEMENT DES OPERATIONS DANS LES SYSTEMES DINFORMATION 2.1 Paramtrage des schmas comptables X X X X X X X X X X
3- MAITRISE DES PROCESSUS DARRETE DES COMPTES 3.1 Travaux darrts La socit fait un point priodique sur ses engagements et ses risques et dtermine en coordination avec ses experts et conseils sils doivent faire lobjet de provisions ou dune information en annexe. Elle comptabilise une provision ds lors quil existe une obligation juridique ou implicite, rsultant dvnements passs, et quil est probable que cette obligation provoquera une sortie de fonds au bn ce de tiers, sans contrepartie au moins quivalente attendue de ceux-ci et lorsquune estimation able du montant peut tre faite. Elle analyse les dotations et reprises sur provisions (en distinguant la part consomme) a n dapprcier la abilit du recensement et de lanalyse des risques. Elle passe en revue et value les charges et risques lis en particulier : aux ventes (remises, rductions sur vente, bons, cadeaux, garanties, etc.), aux impratifs de remise en conformit, de remise en tat de sites, de dpollution et obligations assimiles aux restructurations (indemnits, dmnagements, etc.), aux pertes sur contrats et marchs ou sur instruments nanciers. 3.2 Elaboration de la liasse de consolidation selon les normes IFRS
X X
X X
4- AUTRES RISQUES 4.1 Autres risques lis aux outils Description et risques lis 4.2 Autres risques lis aux acteurs Description et risques lis 5- PROJETS OU EVOLUTIONS PREVUS OU EN COURS 5.1 Projets / volutions propres la lire Description et risques lis (outils, acteurs, organisation ) 5.2 Projets / volutions propres aux services amonts Description et risques lis (outils, acteurs, organisation ) 5.3 Projets / volutions imposs par lenvironnement externe de lentreprise (volution rglementaire par exemple) Description et risques lis (outils, acteurs, organisation )
112
Description synthtique des dispositifs de CI mis en uvre (Renvoi aux procdures en vigueur). Mode de formalisation des points de contrle. Acteurs processus amont Achats Vuln rabilit la fraude Dispositifs de contrle mis en uvre pour couvrir le risque Production Contrle nancier Acteurs processus comptables DFI locale DFI Sige mtier Apprciation du dispositif de couverture des risques, et plans dactions ventuels engager
113
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace CARTOGRAPHIE DES RISQUES - ACTIVIT SERVICE
trs lev
2 5 5 8
13
16 13
+/- lev
14 14
18 17 15
17 15 1 1 12 12 11 3 9 4 9 11 10 10 7
Impact
trs faible
+/- faible
improbable
possible
probable
trs probable
Probabilit
lgende : niveau de risque risque brut mineur
1
modr
1
critique
net rep graph 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 2,25 1,25 1,25 1,5 1,5 2,25 3,25 2,25 2,125 2,625 3,25 3,25 2,1 2 1 1,375 3,125 1,625 I* 2 P* 1,5
brut I* 2,25 3,5 1,5 1,5 3,25 3 1,25 3 1,25 1,5 1,5 2 3,5 2,5 2,25 3,5 2,5 2,5 P* 1,75 1,5 1,5 2,5 1,5 1,75 3,5 1,5 2,5 3,5 3,25 2,5 1,75 0,5 1,5 2 1,5 1,25 n 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 intitul
114
100 80
6.6
60
Market size 6.3 Competition 5.5 Sourcing Price of 6.5 raw material
2.4 Tax
2.2 Country risk 2.3 Bonds Technology & Products performance 6.1 Intellectual property 4.1* Compliance 5.3 5.1 Partnering Tendering 5.2 Contracts terms and conditions
40
5.6
20
5.7
Logistics 1.2
10 8 6
1.6
Employees safety
2.1
1.1
Employees security
Likelihood
People
Finance
Information
Compliance
Core Business
Market
115
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace FICHE DE RISQUE AVEC PLAN DACTIONS ASSOCI
0 - Position du risque dans le modle risque Risques lis lenvironnement externe
Stratgie et Pilotage
Risques Oprationnels
Description du risque, de ses causes, de ses consquences ; politique sectorielle de gestion de risque ventuellement associe
Causes :
-
Consquences :
-
Evolution du risque
Impact global (l) Probabilit doccurence (P) Niveau de matrise (M) Criticit du risque (lxPxM) Tendance ***
2008
2009
2010
2011
2012
2013
116
2 - Plan daction de matrise du risque Actions : R pour Ralis, E pour Encours, P pour Prvu
Plan dactions de matrise du risque
Face aux diffrentes composantes identies du risque, les actions de matrise sont : Action 1 : -R: -E: -P: Action 2 : -R: -E: -P: Action 3 : -R: -E: -P:
Planning davancement
2008 2009 2010 2011 2012 2015
Stratgie de management du risque rsiduel pour lavenir (traiter, transfrer, couvrir, accepter) et actions engager
Accessibilit
Fiche semestrielle
117
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace APPRCIATION DE LEFFICACIT DUN DISPOSITIF DE MATRISE DES RISQUES
Cet outil est de type questionnaire (90 questions), il permet dapprcier lefcacit des pratiques qui constituent le dispositif en place en donnant une note (chelle 1 4) pour chacune des questions visant lefcacit des fonctions (partie 1), des modalits dexcution (partie 2), du contrle interne (partie 3) et de la communication nancire (partie 4).
Note
Partie 1 : Questions gnrales sur les fonctions & sur leurs rles dans la matrise des risques
Le comit de direction inscrit-il lordre du jour et dispose-t-il de sufsamment de temps pour analyser les reporting des risques, de leurs maitrises et des rapports de laudit interne ? Les dispositifs de management des risques et de contrle interne sont-ils en ligne avec les objectifs stratgiques et oprationnels de lentreprise ainsi que ses principes gnraux ? Lindpendance du management des risques, du contrle interne et de laudit interne permet-elle de sufsamment garantir que le comit de direction sera inform des risques majeurs et de leur matrise ? Les recommandations daudit sont-elles mises en uvre, dployes et clairement communiques ? Le comit de direction est-il correctement inform des risques majeurs chaque niveau de management concern ? Le plan daudit interne intgre-t-il les risques majeurs ou les processus critiques dans son scope ? Le management des risques, le contrle interne et laudit interne partagent-ils les informations sur les risques majeurs identis, les principaux processus critiques et les plans de traitement adosss ? Les informations utiles sont-elles correctement intgres dans le rapport annuel ? X X X X X X X X X X X X X X X 4 3 3 2 3 3 3 4
La prise de risques
Le dirigeant donne-t-il lexemple en prenant des risques matriss et en diffusant une culture approprie du risque ? Les limites des risques juges acceptables ou non par lorganisation sont-elles dnies par les dirigeants, valides par le conseil dadministration, diffuses et comprises auprs des personnes concernes ? Les responsabilits en matire de prises de risques sont-elles dnies et communiques aux personnes concernes? La dsignation dun propritaire de risque est-elle en accord avec la dlgation de pouvoir en place ? Lobtention de primes est-elle corrle avec les lments prcdents ? X X X X X X X X X X 3 2 3 4 1
Le risk manager
Est-ce quune vritable fonction de risk manager existe dans lorganisation ? Le risk manager en poste, dispose-t-il/elle des qualits pdagogiques, techniques et managriales sufsantes pour exercer correctement sa fonction ? Le risk manager en poste, dispose-t-il/elle des moyens humains, nanciers et techniques sufsants pour exercer correctement sa fonction ? Le risk manager en poste dispose-t-il/elle de lautorit sufsante pour exercer correctement sa fonction ? X X X X X X X X 3 3 2 4
118
Commentaires
Note
Partie 1 : Questions gnrales sur les fonctions & sur les rles dans la matrise des risques
Contrle Interne
Existe-t-il une revue rgulire de lefcacit du dispositif de contrle interne ? Des zones critiques ont-elles t identies ? Le comit de direction dispose-t-il dune information adquate sur les processus critiques ? Qui pilote le dispositif de contrle interne ? Existe-t-il une procdure danalyse de ladquation des contrles cls (nanciers ou oprationnels) avec les projets et les activits ? Existe-t-il/elle un(e) responsable du contrle interne et qui reporte-t-il/elle ? La culture de lorganisation, la charte thique, les procdures RH et notamment la mthode dvaluation des comptences soutiennent-elles les objectifs de dveloppement ? Lautorit, les moyens et les comptences contenus dans les dlgations de pouvoirs sont-ils clairement dnis ? Permettent-elles que les dcisions soient prises par les bonnes personnes ? Existe-t-il une procdure de dnonciation des mthodes frauduleuses ou inappropries ? Un programme de formation pertinent est-il ddi au contrle interne ? Les bons stagiaires sont-ils concerns par cette formation ? X X X X X X X X X X X 4 4 3 3 3 2 1 3
Audit Interne
Lorganisation dispose-t-elle dune fonction daudit interne indpendante ? A qui reporte-t-elle ? Le directeur de laudit interne est-il rattach au bon niveau de lorganisation ? Laudit interne peut-il aller dans tous les secteurs, toutes les liales, sur tous les sujets de lorganisation ? Existe-t-il une communication pertinente auprs du comit de direction ? Le directeur de laudit interne dispose-t-il dun accs direct et facile ce comit ? Comment le plan daudit interne est-il construit ? Les lments du management des risques sont-ils clairement identis et intgrs au plan daudit interne? Le plan daudit interne et son budget sont-ils prsents et challengs ? Existe-t-il une procdure de suivi efcace permettant de sassurer que des plans dactions sont dnis et dploys maitrisant la criticit du risque ? Laudit interne value-t-il les dispositifs de contrle interne et de gestion des risques ? X X X X X X X X X X X X 4 3 3 2 3 3 4
Commentaires
119
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace APPRCIATION DE LEFFICACIT DUN DISPOSITIF DE MAITRISE DES RISQUES (SUITE)
Questions pour Administrateur Questions pour Dir. Gnrale Questions pour Risk Manager
Note
Surveillance et pilotage
La direction reoit-elle une information sur les caractristiques essentielles des actions engages pour grer les principaux risques de lorganisation (nature des actions engages ou des couvertures en place, assurances, exclusions, montants des garanties ) ? Des moyens spciques sont-ils consacrs la mise en uvre et la surveillance des procdures de gestion des risques ? Existe-t-il un mcanisme permettant, si ncessaire, dadapter les procdures de gestion des risques une volution des risques, de lenvironnement externe, des objectifs ou de lactivit de lorganisation? Le dispositif est-il continu ? Existe-t-il un dispositif permettant didentier les principales faiblesses du dispositif de gestion des risques mis en place par lorganisation, et de les corriger ? Le comit daudit a-t-il t inform : de la politique de gestion des risques ? des principaux risques identis ? de leur traitement ? des caractristiques essentielles du dispositif de gestion des risques ? notamment des moyens mis en uvre ? des actions damlioration en cours ? X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 3 3 3 2 3 2 3 2 4 3 3 3 4
Les risques avrs font-ils lobjet dune analyse spcique notamment sur lvaluation estime vs ralise ? Le comit daudit suit-il a minima les risques ayant un impact nancier ( terme) dans les comptes ? Le conseil dadministration a-t-il clairement dni la remonte dinformation du comit daudit concernant le dispositif de management des risques ?
120
Commentaires
Note
X X X X X
3 4 4 4 3
Existe-t-il des responsables et des procdures didentication et de traitement des obligations dinformation du march ? Existe-t-il une procdure prvoyant le contrle des informations avant leur diffusion ?
Commentaires
121
2 Etape 3 faire fonctionner un dispositif de gestion des risques efcace REPORTING DE SUIVI DE LEFFICACIT DU DISPOSITIF DE MATRISE DES RISQUES
Ce reporting afche par pays et au niveau groupe (page de droite) pour chacun des quatorze thmes le niveau de matrise des risques.
Reporting du niveau matrise par pays Sige THEME ORGANISATION GENERALE A A-1 A-2 B B-1 B-2 B-3 C C-1 C-2 D D-1 D-2 E E-1 E-2 E-3 F F-1 F-2 G Roles and responsibilities Description Roles and responsibilities IS strategy / IT Master plan Executive decision Entity Policies and the organization on line with the CORPORATE Group Policies deployment Fraud risk Sustainable development Executive decision Health & safety policy Safety Alarm procedure Executive decision Entity objectives on line with General Management Entites objectives follow-up Employees evaluation Executive decision Management appropriate information Reporting Social climate Archives Executive decision Adequation needs / operations IT needs Staff needs Executive decision Adequate management remediation plans Executive decision France Italie Turquie Suisse USA Mexique
Risk management policy deployment Executive decision Risk management policy monitoring Executive decision Legal risks Executive decision Assets safeguarding Executive decision Sensitive information safekeeping Executive decision Accounting and nancial information monitoring Executive decision Internal control system Area 1 Area 2 Area 3 Executive decision
122
Lgende
123
124
125
D nir et mettre en oeuvre la politique dachat et dappprovisionnement Grer et suivre les budgets achats Piloter la performance du processus dapprovisionnement Grer le rfrencement des fournisseurs ACO-01-01 D nir la structure des contrats cadres
ACO-01-01-01 ACO-01-01-02 ACO-01-01-03 ACO-01-01-04 ACO-01-01-05 ACO-01-01-06
Processus Oprationnel 2
D nir les typologies de contrat cadre D nir les engagements vis a vis de fournisseurs rfrencer D inir les conditions de suivi de ces engagements D nir les engagements attendus de la part des fournisseurs D nir les conditions gnrales dachat alignes avec la politique achat Formaliser les contrats cadres types
ACO-01-02 ACO-01-03
Evaluer / Valider les besoins D nir les critres de choix des fournisseurs D nir le nombre de fournisseurs cibles Identi er les fournisseurs potentiels Solliciter les fournisseurs 4 Choisir les fournisseurs rfrencs Engager les ngociations Certi er les fournisseurs Formaliser le contrat de rfrencement Diffuser les conditions en interne Evaluer llligibilit du fournisseur (certi cation) Evaluer le respect des engagements contractuels D nir les plans damlioration Evaluer la mise en place des plans damlioration Mettre jour lvaluation fournisseur Drfrencer les fournisseurs
ACO-01-04
ACO-01-05
ACO-02 ACO-03
Grer les contrats dapprovisionnement et les appels doffre Evaluer les besoins et formaliser les demandes dachat ACO-03-01 Evaluer et valider les besoins
ACO-03-01-01 ACO-03-01-02 ACO-03-01-03 ACO-03-01-04 D nir les besoins quantitativement et qualitativement Valider la pertinence du besoin Vri er la non disponibilit des biens (stocks + marchandise rceptionner) Evaluer la capacit de rpondre aux besoins par une offre de substitution disponible Formaliser le Cahier des charges Formaliser la DA
ACO-03-02
Formaliser les demandes dinvestissement (DI) Con rmer lmission de la demande dachat (DA)
Valider les demandes dachats et traiter les commandes ACO-04-01 Slectionner la procdure dachat appliquer
ACO-04-01-01 ACO-04-01-02 ACO-04-01-03 Identi er les la politique contractuelle applicable Formaliser une demande de drrogation au cadre applicable Formaliser une demande de cration dun nouveau contrat Formaliser lappel doffre (clauses techniques et nancires) Identi er les crites dapprciation de loffre des fournisseurs Diffuser lappel doffre
ACO-04-02
ACO-04-03
126
Le niveau dtaill prsente deux niveaux complmentaires : - les sous processus : ils concourent lactivit des processus ; - les activits : elles concourent au droulement des sous processus. Cest le niveau le plus n.
Suivre lavancement des commandes et plani er la ou les rceptions ACO-05-01 Raliser le suivi davancement de la commande ACO-05-02 ACO-05-03 Raliser les contrles qualit avant lexpdition marchandise par le fournisseur Plani er les rceptions marchandises
ACO-05-03-01 ACO-05-03-02 ACO-05-03-03 Suivre le portefeuille des rceptions attendues Grer les capacits de rception marchandise (accueil, entrept,) Mettre jour le calendrier prvisionnel des rceptions
ACO-05-04 ACO-06
Rceptionner les biens et les services ACO-06-01 Accueillir camions et dcharger marchandises ACO-06-02 Contrler la qualit des marchandise rceptionnes ACO-06-03 Rapprocher rception / commandes ACO-06-04 Refuse la rception et retourner les marchandises non conformes ACO-06-05 Affecter les marchandises aux emplacements de stockage ACO-06-06 Mettre en stock les marchandises ACO-06-07 Saisir les entrs en stock dans lapplication de gestion des stocks Effectuer les rglements et naliser le suivi administratif ACO-07-01 Comptabiliser la facture / avoir reue du fournisseur
ACO-07-01-01 ACO-07-01-02 ACO-07-01-03 ACO-07-02-01 ACO-07-02-02 ACO-07-02-03 ACO-07-03-01 ACO-07-03-02 ACO-07-03-03 ACO-07-04-01 ACO-07-04-02 ACO-07-04-03
ACO-07
Rceptionner et enregistrer en comptabilit la facture Vri er la conformit de la facture Renvoyer et suivre les factures non conformes Valider la ralit de la prestation (rception bien / service) Donner le bon payer technique Donner le bon payer nancier Prparer le rglement dune facture en dehors dune campagne de rglement Plani er les paiements Valider les campagnes de paiement Evaluer lavoir demander Ngocier avec le fournisseur Valider la demande davoir
ACO-07-02
ACO-07-03
ACO-07-04
ACO-08
Raliser le suivi du respect des engagements du forunisseurs postrieurement la livraison ACO-08-01 Contrler le bien / service avant lexpiration de la garantie
ACO-08-01-01 ACO-08-01-02 ACO-08-01-03 ACO-08-02-01 ACO-08-02-02 ACO-08-02-03
Suivre les priodes de garantie Contrler les biens et services au regard des engagement de la garantie Lever les restrictions Identi er et quali er les dfauts / non conformits Valider lapplicabiliter de la garantie au regard de la non conformit quali e Formaliser les demandes aux fournisseurs en cas de non conformit
ACO-08-02
Processus Supports ACS-01 Raliser la clture comptable des achats ACS-01-01 Identi er et enregistrer les factures recevoir (cut -off) ACS-01-02 Identi er et enregistrer les avoir tablir (cut -off) ACS-01-03 Annuler les factures recevoir et avoirs tablir mis lors de la clture du mois prcdent Grer le SI Achats ACS-02-01 Vri er que les habilitations/autorisations sont correctement mises jour er que ACS-02-02 Vri achats les rgles de sparation de fonctions sont correctement implementes dans lapplication de gestion des Grer les donnes de base fournisseurs Grer les donnes de base produits
ACS-02
ACS-03 ACS-04
Source : Allaboutbpm.com
127
Processus de Management
RHM-01 RHM-02 RHM-03 RHM-04 D nir et mettre en oeuvre la politique de gestion des ressources humaines Grer et suivre les budgets Ressources Humaines Grer les transformations de l'entreprise Piloter la performance du processus de gestion des RH
Processus Oprationnel
RHO-01 RHO-02 RHO-03 RHO-04 RHO-05 RHO-06 RHO-07 RHO-08 RHO-09 RHO-10 Recruter et intgrer de nouveaux collaborateurs Grer les comptences et les formations Grer les carrires et les volutions salariales Grer les changements organisationnels et les mobilits internes Grer la satisfaction du personnel Grer les plannings, les congs, les absences Grer les instances reprsentatives du personnel et les obligations lgales Grer la sant et la scurit des collaborateurs Grer les dparts Grer les retraites et les droits associs
Processus Supports
RHS-01 RHS-02 RHS-03 RHS-04 RHS-05 Grer les donnes des bases RH Grer le SI Achats Grer les frais Grer la paie Grer la participation et l'intressement
Source : Allaboutbpm.com
128
Niveau dtaill
PROCESSUS RH
Processus de Management
RHM-01 RHM-02 RHM-03 RHM-04 D nir et mettre en oeuvre la politique de gestion des ressources humaines Grer et suivre les budgets Ressources Humaines Grer les transformations de l'entreprise Piloter la performance du processus de gestion des RH
Processus Oprationnel
RHO-01
RHO-01-01 RHO-01-02 RHO-01-03 RHO-01-04
RHO-02
RHO-02-01 RHO-02-02 RHO-02-03 RHO-02-04 RHO-02-05 RHO-02-06
RHO-03
RHO-03-01 RHO-03-02 RHO-03-03 RHO-03-04
RHO-04
RHO-04-01 RHO-04-02
RHO-05
RHO-05-01 RHO-05-02 RHO-05-03
RHO-05
RHO-05-01 RHO-05-02 RHO-05-03
RHO-06
RHO-06-01 RHO-06-02 RHO-06-03
RHO-07
RHO-07-01 RHO-07-02 RHO-07-03
RHO-08
RHO-08-01 RHO-08-02 RHO-08-03
RHO-09
RHO-09-01 RHO-09-02 RHO-09-03
RHO-10
Processus supports
RHS-01 RHS-02 RHS-03 RHS-04 RHS-05 Grer les donnes des bases RH Grer le SI Achats Grer les frais Grer la paie Grer la participation et l'intressement
Source : Allaboutbpm.com
129
Erreur de saisie Devis fournisseur Multiplicit et disparit des formats de tableaux de suivi 01 Projet / Lotissement type Crer le tableau de suivi des commandes Tableau de suivi des commandes Excel par projet 03 Gnrer un bon de commande sur la base du devis Disparit dans les renseignements transmis Erreur de saisie sur le bon de commande 02 Actualiser le tableau de suivi des commandes Taux de marge sur travaux fluctuants Problme de MAJ des commandes fournisseurs passes
LEGENDE :
03.1
INTERFACE DE PROCESSUS
04
INFORMATION
ACTEUR EXTERIEUR
POINT A AMELIORER
05 Transmettre la comptabilit les bons de commandes... 01. Gestion des offres Bon de commande papier (valid et sign)
06 Commande client KOSMOS Contrler le bon de commande 01. Gestion des offres
08 Crer le projet SAGE Socit SAGE Saisir la commande fournisseur 09 Archiver la commande fournisseur
Projet SAGE
Article SAGE
Fournisseur
130
Le processus cible a t simpli autour de deux activits (celles indiques par les ches rouges comme dans la description existante), les tches manuelles ont t supprimes par lextension de lusage de lapplication de gestion daffaires (KOMOS). Cette modlisation est ralise avec loutil ARIS de Software AG. Cible dtaille
02. Dfinition des devis, budget et choix des...
LEGENDE :
Devis fournisseur KOSMOS (slectionn)
ACTIVITE
EXIGENCE
KOSMOS
02 Commande client KOSMOS Devise KOSMOS Gnrer un bon de commande sur la base du devis renseign 011 019 018
EXCEL OUTIL COMPTABLE CIBLE MANUEL MODULE ACHAT OUTIL COMPTABLE CIBLE
INFORMATION
04 Envoyer un mail au chef de projet 003 Bon de commande Fournisseur KOSMOS (envoy)
Fournisseur
131
KPI - SUIVIS
Suivi de la facturation
To Tm+3
Nombre de CDE dachats de Sous-traitance Nombre de CDE dautres achats Nombre de factures payes manuellement Montant des factures mises entre J-10 et J-5 Montant des factures mises entre J-5 et J Taux davoirs mis Montant des avoirs mis Montant des Travaux en cours DSO Montant des clients > 120 jours Date darrt des comptabilits auxiliaires Nombre dOD Date du reporting Contenu des indicateurs
X1 X2 X3
X% X% X% X KE
Y% Y% Y% Y KE
To correspond la date de mise en uvre (cest la date de rfrence) Tm+3 correspond la date de lobservation
X KE X KE X KE
Y KE Y KE Y KE Xa Xb J8 Ya Yb J5
132
Frequence
Value
Sorted by
Non - Applicative
Monthly
Indicators purpose
133
Risques Oprationnels
Constats
Type de Risque
Risques
Impacts
Commercial
Baisse dactivit
Diminution du CA
R1
Diminution de lEBO
R2
Drapage de la qualit des prestations Financier Drapage des dlais des prestations
Diminution de lEBO
R3
Diminution de lEBO
R4
Rupture abusive des ngociations avec un investisseur Engagement de construction sur la base dtudes amont limites Refus dobtention du permis de construire Accident du travail du personnel
R5
Diminution de lEBO
R6 R7
Diminution de lEBO
R8
Oprationnels
Diminution de lEBO
R9
R10
LEGENDE
Risque
134
Actuels
Plans dactions cible Moyens mettre en uvre Dysfonctionnement Objectifs dvolution Dlgations Procdures Contrles Niveau de risque futur (RISQUE RESIDUEL)
- Manque de rserves foncires - Sous estimation du prix des terrains lors de ltablissement des offres dachat - Ngociation de prix mal aboutie - Engagement avec les majors sans maitriser le niveau de prix - Insuf sance de contrle nancier de lavancement du chantier - Tendance la hausse du march des prestations - Cots de dpollution mal valu - Mauvaise matrise de la sous traitance - Mauvaise matrise de la sous traitance - Insuf sance de contrle oprationnel du chantier permettant de dtecter un retard - Echange de courrier avec linvestisseur sans passer par une validation juridique - Recensement des risques intrinsques lopration non exhaustif - Transmission dun dossier de permis de construire incomplet - Non respect des rgles de scurit sur le chantier par le personnel - Impossibilit de prouver que les rgles de scurit ont t mises en place - Ralisation de modi cations non autorises par le permis de construire - Absence de suivi des modi cations du permis pour lobtention du permis balai - Mauvaise apprciation des actions correctrices mener - Non matrise de la date douverture du centre commercial
- Amliorer le systme de dlgation - Complter les ches navettes pour dtecter les points dclencheurs de permis modif. - Etablir une procdure de suivi du permis recti catif
Description des actions qui vont tre mises en place pour contribuer diminuer les risques et connatre le risque rsiduel
135
136
137
Non autorisation, validation, approbation des demandes de modi cation avant le passage en production
S1
Passage en production dune modi cation de paramtrage non justi e, mal recette ou mal mise en production
S2
Accord non justi de droit daccs lapplication de PAIE Cration non autorise/justi e dun compte utilisateur PAIE (donnes paye)
La cration non autorise/justi e ou mal effectue dun compte utilisateur sur lapplication de PAIE permet pour lutilisateur de : - crer de nouvelles donnes (salaris ctifs, ajouter des primes, ) - modi er des paies
S3
La cration non justi e dun compte Administrateur sur les applications de paie permet lutilisateur de : Cration non justi e dun compte - modi er des donnes de paramtrage (pourcentage de charges Administrateur sociales, patronales, rgles de calcul des charges diverses lies la paie) - donner des droits une autre personne
S4
Laccs un compte utilisateur de lapplication de PAIE pour : - crer des salaris ctifs R1 - Inexactitude de la masse salariale - modi er des donnes de salaris existants (coordonnes bancaires) R2 - Flux de trsorerie errons - modi er les lments xes de paye
S5.1 Impossibilit de restaurer correctement des donnes sur une priode adquate S5.2
Suite un incident de production, le systme ne peut pas tre correctement restaur en raison de labsence de sauvegarde ou de limpossibilit de restaurer les sauvegardes existantes. Cela provoque une perte ou une altration de tout ou partie des donnes (rglementaires et/ou individuelles) Suite un incident de production, le systme ne peut pas tre correctement restaur en raison de labsence de sauvegarde ou de limpossibilit de restaurer les sauvegardes existantes. Cela provoque : - une perte ou une altration de tout ou partie des donnes (rglementaires et/ou individuelles) Un incident utilisateur provoque : - une erreur ou une absence de saisie de donnes rglementaires - une erreur ou une absence de saisie de donne individuelles sans que les utilisateurs/acteurs mtiers sen rendent compte.
S6
Certaines interfaces peuvent ne plus fonctionner et provoquer un blocage du systme dinterface entre les applications de PAIE empchant la prise en compte des volutions pour la paye des dirigeants sans que les utilisateurs/acteurs mtier sen rendent compte.
Un problme technique dexcution du batch ou un problme Problme de communication entre dorigine frauduleux peuvent induire une perte ou une altration des les applications donnes transmise la banque
Une description des risques et dysfonctionnements informatiques qui dclenchent des risques mtiers/oprationnels
PROBABILITE Probable Peu Probable Rare 2 1 1 Faible 3 2 1 Moyenne GRAVITE 3 3 2 Forte
138
QUALIFICATION DES SCENARIOS DE DYSFONCTIONNEMENTS Contrles mtier existant Impact sur les contrles mtier
Aucun (car les modalits dexccution des contrles C1 et C2 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1 et C6 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1, C2 et C6 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1, C2 permettent de dtecter toute erreur) Aucun (car les modalits dexccution des contrles C1, C2 permettent de dtecter toute erreur)
Nature et importance
Risque de fraude
- 2 accords par an - 1 accord ponctuel en cours danne - 1 volution de la rglementation par an en dbut danne
C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois
N/A
PEU PROBABLE
MOYENNE
Nombre de cration par an dutilisateurs sur lapplication A = 200 Nombre de cration par an dutilisateurs sur lapplication B : 100
C1 - Contrle mensuel de cohrence du net payer du mois C6 - Contrle vnementiel sur lorigine des demandes dhabilitation
OUI
PEU PROBABLE
MOYENNE
2 par an
C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois C6 - Contrle vnementiel sur lorigine des demandes dhabilitation
OUI
RARE
FORTE
10 personnes mettent jour les donnes de PAIE : - Service Recrutement - Service Gestion des carrires - Service Gestion adminstrative
C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois
OUI
RARE
FAIBLE
5 serveurs
C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois
N/A
PEU PROBABLE
MOYENNE
5 serveurs
Aucun
N/A
RARE
FORTE
C1 - Contrle mensuel de cohrence du net payer du mois C2 - Contrle mensuel de cohrence du net payer dirigeants du mois
Aucun (car les modalits dexccution des contrles C1, C2 permettent de dtecter toute erreur) Oui (mettre en place le contrle adquat)
N/A
RARE
FORTE
Aucun
N/A
MOYENNE
FORTE
50 erreurs/ mois
Aucun
N/A
MOYENNE
FORTE
La vri cation que les contrles mtiers en place permettent de dtecter les dysfonctionnements informatiques dcrits dans la partie gauche du tableau
Niveau de risque devant tre rduit par la mise en place de contrles complmentaires. Niveau de risque globalement matris mais pouvant tre amlior. Niveau de risque aujourdhui matris (suf sament couvert et jug acceptable).
139
OWNER
OWNER
Owner
OWNER
PROCESSUS
Code du RISQUE
RISQUE
Probabilit brute
DYSFONCTIONNEMENTS
Donnes relatives aux lots mis en location ne sont pas systmatiquement enregistres dans lapplication de gestion
Oui
N/A
Fort DYS2 Erreurs au niveau de la description et de la super cie du bien immobilier (lot) Dlivrance un locataire en situation sans droit ni titre Omission ou non prise en compte dun des co titulaires lors du renouvellement Absence dattestation dassurance des locaux lous Non respect de la forme lors de lenvoi des offres de renouvellement
Commercial
DYS N DYS02- 01 DYS02- 02 R02 Application incorrecte des rgles lies aux activits commerciales
Oui
N/A
Fort
DYS02- 03 DYS02- 04
DYS03- 01
Erreurs ou oublis dans lmission des mises en demeure Oubli dmission des commandements de payer (ou autre acte de procdure) Oubli de la mention Indemnit doccupation Acte de procdure avec rfrences de bail ou lot ou montant errons Repositionnement en statut normal non justi Absence de nouvelle adresse dun locataire parti Risque locataire non calcul
DYS03- 02 DYS03- 03
R03 Contentieux
Oui
N/A
Moyen
DYS03- 04
DYS03- 05
Oui
N/A
Moyen
DYS04- 01
R05
DYS05- 01
Non
N/A
Non respect du dlai de rgularisation des charges Quittancement des rgularisations de charges alors que la contestation du locataire est possible Oubli dmission davis dchance Oubli de saisie de la date de report dans lapplication de gestion
Gestion
R06
Oui
N/A
Moyen
DYS06- 02 DYS07- 01
R07
Oui
N/A
Moyen
DYS07- 02 DYS07- 03
140
OWNER
OWNER
OWNER
Owner
ACTIONS DE Rsultat des PROTECTION MISES EN Rsultat actions des actions UVRE Conforme Correcte Correcte Correcte Communication de crise Correcte Correcte Correcte
Probabilit nette
Remarque
Contrle de la saisie dans lapplication A Non testable Contrle de la saisie dans lapplication A Rapprochement priodique entre lapplication A et Excel Revue de commercialisation avec les mandants Contrle du statut du locataire lors du renouvellement Contrle du statut du locataire lors du renouvellement Contrle des destinataires de loffre de renouvellement Pointage + contrle des lments lors de la remise des cls Utilisation dune offre de renouvellement type complte Contrle de la forme des offres de renouvellement par le grant ou lhuissier Revue systmatique du dossier Contentieux lors du transfert Gestion Contentieux Contrle des pices du dossier contentieux Revue priodique des comptes clients avec les mandants Revue des locataires ayant fait lobjet dun jugement Contrle des pices du dossier contentieux Procdure dautorisation de signature actualise et diffuse Revue priodique des comptes clients avec les mandants Revue systmatique du dossier Ctx par le gestionnaire au retour en gestion Contrle des adresses des locataires partis Revue exhaustive des dossiers par la Gestion Revue exhaustive des dossiers par le Contentieux Suivi du tableau des rgularisations de charges (Rgion) Suivi du tableau des rgularisations de charges (IDF) Soumission du quittancement des rgularisation de charge la validation du gestionnaire Contrle de lexhaustivit du quittancement Contrle du correct report de la date dans lapplication Revue priodique des comptes clients avec les mandants Revue exhaustive des dossiers par la Gestion et le Contentieux Revue systmatique du dossier Ctx par le gestionnaire au retour en gestion Conforme Non conforme Conforme Conforme
N/A
Moyen
Non
Conforme Conforme Non conforme Conforme Conforme Conforme Externaliser auprs dun huissier avec garantie de rsultat Souscription dune police dassurance spci que Correcte
N/A
Faible
Oui
Correcte
N/A
Faible
Oui
Conforme
Non effectu Non effectu Non effectu Conforme Conforme Non effectu Non effectu Non effectu Conforme Conforme Conforme Actions complmentaires conduite pour scuriser lexhaustivit du quittancement Soucription dune police dassurance spci que Correcte Correcte
N/A
Faible
Oui
N/A
Faible
Oui
N/A
Moyen
Non
N/A
Faible
Oui
Les actions mises en place pour se prmunir contre la survenance des risques
141
T0
CARACTERISTIQUES Nombre Situation Nombre
T1
Situation Nombre
Tn
Situation
PROCESSUS
PRISES DE RISQUE
DYSFONCTIONNEMENTS
18
ACTION DE PREVENTION
27
ACTION DE PROTECTION
71%
50%
60%
29%
50%
40%
142
CONCLUSION PARTIE 1
CONCLUSION
144
conclusion
es travaux ont t dclenchs par le rgulateur AMF qui, en juillet 2010, a introduit, dans son cadre de rfrence, la dimension gestion des risques comme outil de progrs tant du ct du pilotage des activits que du ct de la scurit dans lexcution des activits et dans latteinte des objectifs. En dautres termes, la mise en uvre dune gestion des risques efcace doit contribuer la robustesse du modle conomique. Ces travaux se sont focaliss sur les modalits de mise en uvre de cette nouvelle dimension quest la gestion des risques. Nous avons constat, ds nos premires runions de travail, que la mise en uvre peut tre entreprise soit dans le cadre dune simple recherche de conformit rglementaire soit en instaurant une dynamique (le cercle vertueux ) qui ouvre de nouvelles perspectives en termes dvolutions, de transformations des pratiques oprationnelles et de performance oprationnelle. Cependant construire deux trajectoires dvolution ne nous semble pas pertinent car cela laisse perdurer lopposition entre la conformit et la performance oprationnelle qui est contre-courant de la ralit conomique. Cest pourquoi nous proposons au directeur nancier une trajectoire dvolution unique qui couvre les deux objectifs. Cette trajectoire va lui permettre de construire les tapes dune transformation des pratiques oprationnelles quil va devoir conduire pour installer un comportement de progrs continu et mettre en place un modle conomique robuste. Cette trajectoire lui permettra naturellement de satisfaire aux rgles de conformit xes par le rgulateur AMF. Le contenu de cette trajectoire, compos de 5 tapes, est dcrit dans les ches techniques que nous prsentons dans ce document. La monte en puissance vers la performance et la robustesse du modle conomique est organise ds le dbut cest--dire sans fracture entre la conformit et la performance. A chacune des tapes nous avons associ des outils de mise en uvre issus de lexprience des membres du groupe de travail. Cette boite ides doutils et les outils qui la constituent sont, pour nous, l plus pour donner des ides aux quipes qui conduisent les travaux de transformation que pour une stricte utilisation en ltat.
Il ressort ainsi clairement de ces travaux que pour dpasser la connaissance des zones risques, des risques et progresser dans lamlioration de la performance, il convient dintroduire une dimension complmentaire, lapproche processus . En effet, la matrise de la modlisation des processus associe une forte culture des risques nous semble tre un facteur cl de succs dans la conduite des travaux de transformation. En installant cette dynamique, on accroit la diffusion de la culture de lapproche processus dans des fonctions et mtiers qui ne lutilisent pas habituellement, leur permettant de conduire des amliorations sur dautres sujets comme lvolution du systme dinformation, lvolution des systmes de gestion vers lABC, le Lean Management ou la mise en place dune vision transversale indpendante de lorganisation de lentreprise. En noubliant pas une rgle dor : Agir en deux temps, tout dabord faire fonctionner les processus pour que leur excution soit solide et robuste et ensuite les optimiser pour en augmenter leur efcience lors de lexcution. Ainsi la direction nancire conforte son cheminement vers le statut de business partner .
145
146
ANNEXES
ANNEXE 1 : RECUEIL DES PRATIQUES DE PLACE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LE PERIMETRE DES ETUDES ET DES ENQUETES SELECTIONNEES . . . . . . . . . . . . . . . . . . . . . . . . . . . . POINTS SAILLANTS DES PRATIQUES DE PLACE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . LES PRATIQUES DE PLACE SELON LES THEMES DU CADRE DE REFERENCE DE LAMF . . . . . . . . . . . . . . . . La dnition de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Les objectifs de la gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le cadre organisationnel de la gestion des risques : organisation et responsabilit . . . . . . . . . . . . . . . . Le processus de gestion des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Le pilotage du dispositif de gestion des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ANNEXE 2 : BIBLIOGRAPHIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EN FRANCE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Loi de Scurit Financire (2003, 2005 et 2008) : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.2 Ordonnance du 8 dcembre 2008 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.3 Le cadre de rfrence de lAMF 2010 publication juillet 2010 . . . . . . . . . . . . . . . . . . . . . . . 6.1.4 Les documents de rfrence des socits cotes dposs sur le site de lAMF. . . . . . . . . . . . . . . . 6.1.5 Ministre du budget demande une cartographie des risques tous les grands oprateurs de lEtat ; Dcembre 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.6 Travaux de lAFEP, de lANSA, du MEDEF et de MiddleNext : . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.7 Travaux de lIFA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.8 Travaux de lIFACI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 EN EUROPE ET DANS LE RESTE DU MONDE, GESTION DES RISQUES ET CONTROLE INTERNE . . . . . . . . . 6.2.1 SOX Juillet 2002 :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2 Allemagne, Angleterre, Pays-Bas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 CERCLE DES JURISTES : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 DOCUMENT EUROPEANISSUERS :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 DOCUMENTS AMRAE RELATIFS AU COMITE DAUDIT :. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 LES REFERENTIELS SPECIFIQUES METIERS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
. . . . . . . . . . . . . . . .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 .6 . . . . . . . . . . .
annexes PARTIE 1
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
. . . . . . . . . . .
6 6 6 6 6 6 6 6 6 6 6
Annexes
148
annexes
qui rpondaient notre objectif : savoir o en tait le systme de gestion des risques dans les entreprises. Aucune information sur les risques en eux-mmes na t prise en compte, nous nous sommes attels uniquement au dispositif et son dploiement.
1.
Huit tudes ont t retenues et analyses. Ces tudes couvrent la priode de janvier 2010 dcembre 2011. Les principaux auteurs de ces publications, quils soient remercis des travaux raliss au sein de leurs structures, sont : Protiviti, Baromtre E1 AMRAE, Baromtre E2 Autorit des Marchs Financiers, tudes E3 & E5 The Economist Intelligence Unit, Enqute E4 Ernst & Young, Panorama E6 FERMA, Enqute E7 IFACI, Enqute E8
Rfrence
Priodique
juin 2011
E1
Priodique
janvier 2011
E2
Rapport complmentaire de lAMF sur les valeurs moyennes et petites se rfrant au Code de gouvernement dentreprise de MIDDLENEXT de dcembre 2009
Ponctuelle
dcembre 2010
E3
Ponctuelle
novembre 2010
CA < 1m 55% ; CA de 1m 10m 26%; CA > 10m 19% Industry 57% ; Financial Services 23%; Services 14%; Other 6% Primtre worldwide 90 socits ctes (40 compartiment A, 20 compartiment B, 30 compartiment C) Primtre France CA< 1m 51%; CA de 1m 5m 25%; CA>5m 24% Industrie : 50% ; Banques Assurances 10%; Services : 17%; Autres 23% Primtre France 38 socits du CAC40, 76 du SBF120, 111Midcaps CA <1m 31%; CA de 1m 10m 42%; CA > 10m 25% Industrie 52%; Financial Services 10%; Services 11% ; Other 27% Cotes 52% Primtre Europe (16 pays) CA < 750M 35%; CA de 750M 7,5m 43%; CA > 7,5m 22% Industrie 22%, Banques Assurances 36%, Services 22%, Autres 20% Primtre France
E4
Rapport de lAMF sur le gouvernement dentreprise et le contrle interne - dcembre 2011 8me dition
Priodique
dcembre 2011
90 documents de rfrence
E5
Panorama des pratiques de gouvernance des socits cotes franaises 9me dition
Priodique
octobre 2011
223 documents de rfrence, lettres aux actionnaires et informations sites internet : analyse
E6
Tendances et pratiques de gestion des risques en Europe - Etude comparative 2010 5me dition
Priodique
septembre 2010
782 rpondants par internet (32% risk manager, 31% insurance manager, CRO 7%, Head of Internal Audit 5%...)
E7
Ponctuelle
janvier 2010
E8
149
annexes
Les rsultats de ces tudes doivent tre analyss au regard des caractristiques techniques de lchantillon : Carte didentit de lentreprise (Chiffre daffaires, secteur), qualit et quantit de rpondants (Risk manager, CEO, DAF, DAI), primtre gographique (France, Europe, Monde) ou encore base documentaire de lanalyse. Avec une telle diversit entre chaque enqute, nous sommes rests prudents dans nos grandes vrits et vous proposons simplement une synthse des conclusions de chacun. Nous avons nanmoins eu le plaisir de constater que peu de rsultats divergeaient, la plupart des pourcentages et des tendances allant dans le mme sens. Nous avons articul la restitution de ces enqutes selon deux dimensions : 1. Les principes gnraux du cadre de rfrence, savoir : Les objectifs de la gestion des risques, Le cadre organisationnel, Le processus de gestion des risques : Lidentication des risques, Lanalyse des risques, Le traitement des principaux risques, Le pilotage du dispositif, la surveillance et la revue de la gestion des risques
De nombreuses entreprises avancent sur ces sujets pour tre conformes une lgislation. Cependant, lexercice, contraint au dbut, devient apprci par les dirigeants qui en dcouvrent les bnces au fur et mesure ; il nexiste pas dobjectif du dispositif de gestion des risques standard applicable toutes les socits. La fracture croissante entre les moyens mis en uvre par les Bigcaps et ceux des Midcaps du fait des contraintes rglementaires qui deviennent de plus en plus lourdes. Ces dernires ne comprenant pas, au premier abord, la valeur ajoute immdiate du dispositif. Le rattachement de la fonction risk manager, lorsquelle existe, est galement rparti entre la direction gnrale, la direction nancire et un regroupement avec laudit et le contrle interne. La fonction de Risk management existe dans moins de la moiti des Midcaps ou Bigcaps. Les rfrentiels utiliss sont des rfrentiels de contrle interne, il nest pas fait tat de rfrentiel de gestion des risques : Il sagit des rfrentiels COSO et AMF ou dans des cas exceptionnels de rfrentiels internes aux entreprises. Pour les socits du CAC 40, SBF 120 et la moiti des Midcaps les rfrentiels COSO et AMF sont utiliss. Pour lautre moiti des Midcaps, il nest pas utilis de rfrentiel. La maturit des administrateurs aux pratiques de gestion des risques et de contrle interne est source de progrs. Le suivi des risques sinscrit plus rgulirement dans les comits daudit et/ou de risques, le suivi de lefcacit du dispositif tant encore assez faible. Quant loptimisation des mesures de traitement, ce nest pas considr (encore) comme une priorit. La communication dinformation relative aux actions de la gestion des risques est fortement corrle son niveau de capitalisation boursire. Pour autant, le niveau de communication dinformation ne signie pas que ces entreprises plus faible capitalisation nengagent pas dactions relatives la gestion des risques ou nont pas de dispositifs oprationnels en place.
150
annexes
personnes, les actifs, lenvironnement, les objectifs de la socit ou sa rputation. Lenqute E8 conduite par lIFACI prcise : La gestion des risques repose dabord sur la capacit de lentreprise identier prcisment et rapidement les principaux risques auxquels elle est confronte, quelle que soit leur nature. Cest pourquoi nous recommandons dutiliser une dnition large du risque : le risque correspond toute incertitude ou tout vnement pouvant menacer les activits et les actifs de lentreprise (matriels et immatriels) et ainsi entraver latteinte de ses objectifs et son dveloppement long terme . Un risque est compos de trois lments qui sont :
Un vnement de type Danger, Pril Facteur de risque, Dysfonctionnements. activit de lentreprise qui Une diffrents moyens humains sexcute en mobilisant et matriels. Un ou plusieurs impacts qui correspondent aux consquences mesurables de la mauvaise ou nonexcution de lactivit en cause ou encore des objectifs assigns la ressource. Il peut y avoir plusieurs impacts de natures diffrentes (humain, conomique, nancier - la diminution du chiffre daffaires, la diminution de lExcdent Brut Oprationnel, judiciaire). Dans certains cas il peut entraner la condamnation civile et pnale dun mandataire social ou de la personne qui en a reu dlgation.
Un vnement est un fait qui survient un moment donn et qui est la source du risque
RISQUES
RESSOURCES de lENTITE INTERNE-EXTERNE
IMPACTS consquences
Estimer-Mesurer les consquences de non atteinte de ou des objectifs assigns la ressource (et par extension au processus
151
annexes
socit est efcace lorsquil sagit de relier la gestion des risques avec la stratgie globale de lentreprise.
Lenqute E7 nous informe que : Les objectifs assigns la gestion des risques demeurent traditionnels : - Diminuer les pertes oprationnelles 70% - Identier / grer les risques transverses 52% Les rsultats de ltude soulignent un rle croissant accord la gestion des risques comme outil de scurisation de la stratgie et de latteinte des objectifs de lentreprise (notamment au sein des pays du Nord de lEurope). En Grande Bretagne, en Belgique et aux Pays Bas, lalignement du degr dapptence au risque avec la stratgie retenue est dsormais considr comme lun des objectifs majeurs du top management pour plus de 50% des rpondants. La gestion des risques doit galement permettre de mieux apprhender le lien entre prise de risque et retour sur investissement (36% des rpondants).
vrir les risques mergents (88%). Pour rpondre cet objectif ambitieux, il conviendra de disposer dun processus continu de surveillance de ces risques, en ralisant des mises jour de la cartographie, en examinant les impacts potentiels des risques nouveaux et en optant pour un reporting rgulier du niveau de risques an didentier des risques faibles dont la gravit pourrait saccroitre rapidement. Le deuxime bnce attendu, limiter les variations brutales de rsultats, constitue toujours un enjeu cl pour les entreprises. A ce titre, une gestion des risques efcace est perue comme un levier daction pertinent. Le troisime bnce cit, renforcer le processus de planication stratgique, fait un vritable bond en avant (68%) et retrouve le taux de citations atteint en 2007. Cela va permettre aux entreprises de mieux prendre en compte les impacts potentiels dune situation de risques dans la mise en uvre de leurs actions stratgiques.
Sur la base de la pratique des membres du groupe de travail les objectifs sont diffrents selon les rles assurs. Lattente de chacun des trois principaux rles est dtaille ci-dessous : Pour le prsident et la direction gnrale : La vision de risques critiques (marche et oprationnels) et de leur monitoring. La conformit aux dispositions rglementaires et son monitoring. Lintroduction de la dimension risques par les quipes dans la prparation des opportunits de croissance. Pour les directions oprationnelles et les oprationnels : Lamlioration de la performance oprationnelle par la diffusion de la culture de la prise de risques dans les dcisions. Loptimisation des processus par la diminution du nombre de dysfonctionnements. La diffusion de meilleures pratiques grce lexistence et au pilotage monitoring de Plans daction spciques. Pour les actionnaires : Le renforcement de la conance en limage et la rputation.
Lenqute E4 nous enseigne que : Bien que les rpondants attendent en premier lieu de la gestion des risques quelle leur permette de dcouvrir les risques mergents (88%), ces rpondants indiquent que ce point constitue leur plus grande faiblesse.
152
annexes
Lalignement du dispositif de matrise de risques avec les risques majeurs pesant sur la cration de valeur de lentreprise.
entreprises europennes ont une coordination partielle avec les autres fonctions des risques, tandis que 23% ont une forte coordination des fonctions risques et assurances. Concernant lenqute E2, nous relevons que : Les relations au sein de lentreprise sont essentiellement des relations de partenariat entre les services : 61% des rpondants ont des relations de partenariat, 10% nont aucune relation et 3% ressentent des relations de concurrence.
Par ailleurs, le rapport E5 stipule que : des risques ralise lvaluation La Direction risques, contre 43% 62% Direction du formelle des pour la contrle interne ou 39% pour la Direction de lAudit interne. Dans respectivement 29% et 26% des cas, la Direction des risques et la Direction du Contrle interne nexistent pas.
La direction nancire qui poursuit sa monte en puissance, La direction gnrale qui portait le sujet prcdem ment et qui passe le tmoin la direction nancire, La direction des risques qui monte en puissance.
Il faut souligner que sans responsabilit clairement dnie, la gestion des risques prsente gnralement un faible niveau de maturit, ce qui limite son efcacit au regard de son objectif de meilleure matrise des activits. De plus, ltude E7 apporte des prcisions sur la fonction gestion des risques : La fonction gestion des risques rend globalement compte de son activit au plus haut niveau de lentreprise (85%), toutefois, le rattachement au Directeur Financier demeure assez largement rpandu (35%) en Europe ; Les diffrentes fonctions en charge de la gestion des risques ne travaillent plus en silos, toutefois, leur degr de coordination demeure perfectible. 61% des
Enn, pour les membres du groupe de travail au groupe de travail Le Directeur Administratif et Financier est fortement impliqu dans le dispositif de gestion des risques. La direction de laudit interne ralise ou actualise la cartographie des risques.
153
annexes
Selon lenqute E4 : Le lien entre la stratgie et la gestion des risques est ralis dans 46% des cas. La mise jour des risques et sa diffusion dans lorganisation fonctionne chez plus de 35% des rpondants. La prise en compte de risque mergent ne fonctionne bien que dans 60% des cas. La correcte apprhension des risques par le board est effective 55%. Le risk management joue un rle actif dans les missions suivantes : - Implication dans les projets dinvestissements sur les nouveaux marchs (46%) ; - Implication dans les projets dinvestissements sur des nouvelles zones (39%) ; - Implication dans la mise en uvre de la stratgie (44%).
au changement La rsistancecomptences. ; Manque de Pour les membres du groupe de travail les principaux freins sont les suivants : Un manque de sponsoring fort de la direction gnrale ; Un manque de moyens et de ressources.
Selon ltude E5 : 79% des socits ont donn des informations sur les procdures de gestion des risques et, en particulier, sur lidentication et lanalyse des risques.
Il ressort des travaux de ltude conduite par lenqute E5 relative aux rfrentiels de contrle interne les pratiques suivantes :
Les rfrentiels de contrle interne utiliss (source : tude E5) COSO CAC 40 SBF 120 MidCap 50% 30% 12% AMF 42% 54% 44% Autre 3% 1% 3% Pas de rfrentiel 5% 15% 41%
Tandis que les principaux freins la mise en uvre dune gestion des risques efcace sont : Les lourdeurs administratives freinant linitiative, la dcision et la ractivit ; La complexit de mise en place et de dploiement ;
Cest lissue de la dnition des caractristiques de la politique de gestion des risques (couple mission / objectif) et des rgles que pourront tre dtermines celles du cadre organisationnel de la gestion des risques, objet du paragraphe suivant.
154
annexes
des actionnaires et le refus dexposer des informations condentielles, les socits cotes restent encore peu favorables une communication sur le chiffrage de leurs risques.
Pour lenqute E7: 72% des socits identient et quantient qualitativement leurs risques et contrles. En revanche, lvaluation des risques des processus reste qualitative (par exemple ralise grce des ateliers de gestion) et de lutilisation des outils avancs quantitative apparaissent toujours comme une exception (5%), mme si plus largement rpandue dans certains pays (par exemple LAllemagne et le Royaume-Uni). Toujours pour E7, les ateliers de hirarchisation des risques sont dsormais organiss dans plus des trois quart des socits europennes (88%). Ainsi, la tenue dateliers de hirarchisation des risques sest impose comme la pratique de rfrence parmi les socits europennes, en revanche, les outils quantitatifs danalyse plus volus demeurent peu utiliss. Toutefois les outils volus de quantication des risques demeurent peu utiliss au sein des grands pays europens (UK, ALL, France, Esp) : les modles dagrgation stochastique des cartographies des risques ralises au niveau des branches sont utiliss par moins de 25% des socits ; les modles de simulation de la value at risk sont galement utiliss par moins de 25% des socits, lexception de lAllemagne (38%).
Pour ltude E6, la publication du chiffrage, issue de lanalyse des risques, reste une pratique marginale puisque les socits ne sont que 14% le faire. En effet, partages entre la ncessit de transparence vis--vis
Il ressort galement de cette enqute que : deux traitements sont du domaine de la prvention et deux du domaine de la protection. Dans un tel environnement, il nexiste intrinsquement pas dala lis lexcution, la stratgie qui vise transfrer et externaliser une fonction qui prsente des risques est aujourdhui utilise par 20% des rpondants contre 40 % 51% lors des exercices 2004 2008.
155
annexes
Pour lenqute E7 : seules 43% des entreprises dnissent et mettent en uvre des solutions de nancement des risques en coordination avec la matrise globale des risques, le degr dapptence au risque repose plus sur la catgorie de risques que sur sa gravit : les socits semblent prtes prendre des risques lorsque ceuxci sont externes (environnement concurrentiel, marchs nanciers, fusion & acquisition) contrairement ceux qui seraient internes (sant & scurit, liquidit, conformit, contrle interne).
la dduction des dysfonctionnements et des risques partir des processus nest pas une pratique installe. Selon ltude E1, dautres reporting sur les risques sont utilis: Reporting spcique sur incidents (dclarations dassurance, rclamation clients, dclaration daccidents du travail), cest la mthode la plus utilise pour suivre les risques (77%). Si elle constitue un point essentiel du dispositif (et mme obligatoire dans certaines industries comme la banque), elle noffre quune vision rtroviseur des risques en ne prenant en compte que les risques avrs et ne permet pas davoir une vision plus proactive permettant didentier les risques mergents, peut-tre faibles pour le moment mais dont la gravit pourrait saccrotre rapidement.
3.5.1 Reporting
Lenqute E7 nous informe que : la cartographie des risques sest impose comme un reporting de rfrence au niveau europen : 60% font un exercice de cartographie sur lensemble du groupe tandis que 17% se contentent du Corporate.
priodique du Auto-valuation oprationnel des risques et est contrle interne : cette mthode cite par 76% du panel de ltude E1 (soit le mme niveau que le reporting spcique sur incident). Cette dmarche, qui est en progression dans les entreprises franaises, prsente lavantage dimpliquer et donc de sensibiliser les oprationnels sur le terrain. Cette mthode permet en outre de dtecter les nouveaux risques et de suivre lvolution des risques mergents. dans Intgration des risquescest la les reporting standards du management : 3me mthode cite dans ltude E1 (61%). Cette mthode permet dafrmer la place de la gestion des risques dans les missions et le quotidien de chaque manager oprationnel et ouvre aussi la voie lobjectivation de ces derniers sur la performance de leur dispositif de gestion de risques qui peut se trouver de fait intgr aux indicateurs tudis lors des revues de performance managriale. Les directeursdesnanciers, de leur ct, citent dans 48% des cas tableaux de bord spciques dindicateurs de risques. De plus, ltude E6 mentionne que : sur le plan europen, lactivit gestion des risques est globalement bien intgre dans le reporting effectu auprs des conseils (78%) et le thme de la gestion des risques est gnralement abord a minima une fois par an au sein des conseils dadministration.
Par ailleurs, ltude E5 nous dit que : 56 sur les 90 socits analyses ont indiqu lexistence dune cartographie des risques soit 62% : 53 dentre elles en ont dcrit les principaux lments : 34 de ces socits font partie du compartiment A, dont 29 appartiennent lindice CAC40 (72%).
Selon lenqute E6, la cartographie est loutil de reporting le plus utilis par lensemble des socits avec : 84% pour le CAC 40, 80% pour le SBF120 et 40% pour les MidCap. Selon les membres du groupe de travail : les travaux de construction des cartographies sont conduits en recherchant les risques sans un travail de recherche des dysfonctionnements rels et encore moins potentiels (cause des risques) dans les activits oprationnelles. En dautres termes, les dysfonctionnements ne sont pas dduits et localiss au sein des processus excutifs, oprationnels et supports, reet de lactivit de lentreprise. les approches conduites par les membres du groupe de travail sont en ligne avec les enqutes, par contre
156
annexes
en en revanche, les entreprises franaises sontdansretrait sur lintgration de la gestion des risques le reporting au conseil dadministration (35%), comparer aux meilleures pratiques britanniques (76%) ou allemandes (60%). Enn, nous avons not que le guide Mthodologique de novembre 2010 de lIFA (Le suivi de lefcacit des systmes de contrle interne et de gestion des risques) prconise que le pilotage du dispositif de gestion des risques repose sur : de le suivi dindicateurs-cls des performance relatifs au dispositif de gestion risques : ces indicateurs doivent permettre de rendre compte autant que faire ce peut de lvolution dun risque (dans sa dimension impact et probabilit) au travers par exemple dindicateurs dalerte (ex : drives par rapport aux prvisions, volution des causes/vnement gnrateur du risque, volution de la vulnrabilit de lentit/entreprise au risque), le suivi document des plans de remdiation de chacun des risques identis par lintermdiaire dindicateurs permettant de suivre le dploiement des plans et quand cela est possible dindicateurs permettant de mesurer lefcience du plan (rduction de la probabilit et/ou de limpact), le recensement et lanalyse des incidents avrs : incidents, fraude, sinistres.
tances ou fonctions : le comit des risques, le comit daudit et laudit interne. LE COMIT DAUDIT ET/OU DES RISQUES Pour lenqute E2, nous relevons que : 35% des rpondants sont membres ou invits dun comit oprationnel des risques tandis que 30% sont invits au comit daudit, dans 92% des cas le comit des risques sintresse lensemble des risques de lentreprise et pas seulement aux risques nanciers.
Pour ltude E7 : 40% des personnes interroges comprennent le mandat assign au comit daudit et/ou des risques dans leur entit (contrler la conformit, analyse des risques et revue critique de la stratgie de gestion des risques), lactivit de gestion des risques est globalement bien intgre dans le reporting effectu auprs des conseils (78%) et le thme de gestion des risques est gnralement abord a minima une fois par an au sein du conseil dadministration. Pour lenqute E6 : la distinction entre les comits des risques et les comits daudit ne concerne que 14% des socits du CAC 40 (et respectivement 8% du SBF 120 et 5% des midcaps) celle-ci est encore naissante. Le suivi et la surveillance du dispositif de management des risques est un sujet concernant surtout les comits daudit des entreprises du CAC 40 et du SBF 120 et dans une moindre mesure les midcaps, les principaux travaux assurs par le comit daudit sont les suivants :
Suivi de la gestion des risques durant l'exercice CAC 40 SBF 120 Midcaps 92% 77% 37%
157
annexes
Concernant ltude E5, propos du comit daudit : 85% des socits de lchantillon ont mis en place un comit daudit ou des comptes distincts du conseil (ce taux slve 100% pour les socits du CAC 40 de lchantillon). 7% des socits de lchantillon ont con cette fonction au conseil runi en formation de comit daudit, parmi les 8% restantes, 4 ont dclar navoir pas mis en place de comit daudit et les trois autres nont donn aucune information sur ce point ; dans 81% des socits qui ont mis en place un comit daudit distinct du conseil et qui ont communiqu linformation adquate, la prsidence de ce comit a t cone un administrateur indpendant. Au sein des socits du CAC 40, 91% des comits daudit sont prsids par un administrateur indpendant ; 33% des socits de lchantillon ont prcis stre appuyes sur le rapport du groupe de travail de lAMF sur le comit daudit de juillet 2010.
LAUDIT INTERNE
Pour ltude E6 : laudit interne est totalement ou partiellement impliqu dans le processus dvaluation de la robustesse et de lefcacit des risques pour 61% des personnes interroges. Toutefois pour plus dun tiers des rpondants (39%), laudit interne est toujours considr comme non impliqu dans ce processus dvaluation (29%), ou comme jouant un rle ou voir ambigu, ces opinions sont sans doute en lien avec le fait que selon ltude E7, dans 13% des cas, laudit interne et les risques sont intgrs la mme direction, et dans 30% des cas la direction regroupe laudit Interne, le contrle Interne et les risques.
Daprs ltude E5 : lvaluation du contrle interne et de la gestion des risques concernent 55 socits de lchantillon. En effet, 61% du panel ont consacr des dveloppements lvaluation et/ou laudit de tout ou partie des procdures de contrle interne et de gestion des risques en prcisant, le cas chant, la nature des travaux conduits spciquement en la matire au titre de lanne 2010, parmi ces socits gurent 34 socits appartenant au compartiment A, reprsentant 85% de cette catgorie et 21 socits appartenant aux compartiments B et C, reprsentant 42% de cette catgorie.
158
annexes
Travaux de lIFA
- Les comits daudit : 100 bonnes pratiques (Janvier 2008) - Prise de position IFA-IFACI sur le rle de laudit interne dans le gouvernement dentreprise (mai 2009) ; - Le rle de ladministrateur dans la matrise des risques (en collaboration avec lAMRAE, juin 2009) ; - Comits daudit et auditeurs externes (novembre 2009) ; - Guide Mthodologique de suivi de lefcacit des systmes de contrle interne et de gestion des risques (novembre 2010).
Travaux de lIFACI
Relatifs aux procdures de gestion des risques
- Management des risques, 2001 (traduction dun ouvrage anglais) ; - Lefcacit des comits daudit, les meilleurs pratiques (tude ralise par PwC et parraine par lIIA, traduite par lIFACI et PwC, mai 2002) ; - Etude du processus de management et de cartographie des risques, janvier 2004 (cahier de la recherche - guide daudit) ; - Lauto-valuation du contrle interne, octobre 2005 (cahier de la recherche -guide daudit-) ; - Des cls pour la mise en uvre du CI, avril 2008 (cahier de la recherche- meilleures pratiques-) ; - Contrle interne et qualit, pour un management intgr de la performance, mai 2008 (cahier de la recherche notes professionnelles).
Travaux de lAMRAE
- Rle de ladministrateur dans la matrise des risques ; - Analyse et prsentation des travaux de lAMF relatifs la gestion des risques et au comit daudit ; - Le Risk Manager et l'intelligence conomique ; - Trajectoire vers un Enterprise Risk Management (ERM) ; - La cartographie: un outil de gestion des risques ; - FERMA - European Guidance ; - La gestion du risque juridique dans l'entreprise (tude de FIDAL mene pour lAMRAE).
159
160
CONTACTS
AMRAE - Association pour le Management des Risques et des Assurances de lEntreprise Bndicte HUOT DE LUZE Dlgue Gnrale benedicte.deluze@amrae.fr www.amrae.fr APDC - Association des Directeurs de Comptabilit & de Gestion Philippe THIERRY-MIEG Secrtaire gnral Responsable du groupe Contrle Interne pthierry-mieg@apdc-france.com www.apdc-france.com BMA - Bellot Mullenbach & Associs Jean-Louis BRUN DARRE Expert-comptable, commissaire aux comptes jl.brun-darre@bma-paris.com www.bma-paris.com KPMG Sylviane HAUTIN Associe Internal Audit, Risk and Compliance Services shautin@kpmg.fr www.kpmg.fr DFCG - Association nationale des directeurs nanciers et de contrle de gestion Florence GIOT Coprsidente de la Commission Contrle interne et matrise des risques de la DFCG siege@dfcg.asso.fr www.dfcg.com
Livre Blanc
Gestion des risques, efcacit du processus de la gestion des risques, suivi de lefcacit - depuis 2010 tous ces termes ont t pris et repris mais sans aller plus loin dans les informations pratiques quant leur mise en uvre. Avec ce livre blanc - issu dune collaboration fructueuse entre des risk managers, contrleurs ou auditeurs internes dentreprises, des associations professionnelles et des cabinets daudit - ce sont lexprience terrain, le vcu des entreprises et des propositions pratiques qui sont exposs. Le cadre de rfrence de lAMF sert de l rouge cet ouvrage et permet au lecteur de comprendre pas pas le dploiement dun dispositif de gestion des risques. Trois chapitres pour trois objectifs : - En premier lieu, une compilation denqutes permettra au lecteur de mesurer la performance de sa pratique de gestion des risques, - En deuxime lieu, un planning prcis de dploiement dun dispositif sous forme de cinq tapes cls lui sera propos, dans le but ultime damliorer la performance de lentreprise, - En troisime lieu, les outils et reporting rellement utiliss lui seront prsents. Destin aux Entreprises de Taille Intermdiaire, cet ouvrage sadresse aux directions nancires, souvent responsable de la gestion des risques dans ces structures. Un livre blanc pratique, un guide de mise en uvre, un soutien pour les entreprises qui veulent transformer une conformit rglementaire en un avantage comptitif, gage de performance.
AMRAE
Maison de la Finance 14 rue Pergolse CS11655 75773 Paris CEDEX 16 Tl. : 01 40 20 96 05 www.apdc-france.com contact@apdc-france.com
APDC
ISBN : 978-2-9535998-3-1