Le phénomène de complexification du système économique et financier dans lequel évoluent les entreprises tend à accroître l’incertitude qui porte sur l’atteinte des objectifs qu’elles se fixent.
La mise en place d’un dispositif de gestion globale des risques, ou programme ERM, permet aux entreprises de fiabiliser leurs résultats par le renforcement de leur système de pilotage. Cette démarche consiste en la prise en compte de l’incertitude dans les processus de management et de décision pour chaque niveau de leur organisation.
Weave vous accompagne dans votre programme ERM : de la réflexion stratégique à la mise en œuvre opérationnelle des solutions de traitement des risques.
[Gestion des risques et conformite] mettre en place une demarche erm
1. Mars 2013
Mettre en place une démarche
ERM
L’offre de weave Risk & Compliance
Vos INTERLOCUTEURS
Pierre-Antoine Duez
Associé
chaîne TV page weave
pierre-antoine.duez@weave.eu
@weaveconseil blog.weave.eu +33 (0)6 07 80 79 29
2. Gérer les risques devient une priorité pour les
entreprises
• Les entreprises rencontrent des risques plus critiques et plus variés qu’auparavant en raison de l’environnement
économique :
• Les évolutions technologiques engendrent des phénomènes encore inconnus ou peu maîtrisés
• La crise financière et l’instabilité géopolitique dans le monde favorisent l’apparition de « risques émergents »
• L’accélération des échanges d’informations accroit l’échelle à laquelle se déroulent les évènements et peut engendrer des
risques d’image et de réputation pour l’entreprise
• La complexification des organisations génère des comportements imprévus (fraudes)
• Les sociétés, notamment celles des pays industrialisés, ont abaissé leur seuil de tolérance au risque :
• L’augmentation des niveaux de développement des entreprises renforce le besoin de sécurité
• Les catastrophes d’origines naturelles (ex : Fukushima) ou humaines (ex : 11 septembre 2001) font l’objet d’une communication
surabondante et restent en mémoire
• Dans ce contexte, maîtriser ses risques devient une condition de survie répondant à deux enjeux fondamentaux :
• Des enjeux internes : permettre à l’entreprise d’atteindre ses objectifs stratégiques et assurer les conditions de sa pérennité
• Des enjeux sociétaux : assumer la responsabilité de l’entreprise vis-à-vis de la société et de son environnement
2
3. L’ERM permet à l’entreprise d’intégrer l’incertitude
pour répondre à ses enjeux stratégiques
• L’Enterprise Risk Management, qui constitue la gestion globale des risques de l’entreprise, a pour finalité de
fournir à l’organisation une assurance raisonnable quant à l’atteinte des objectifs qu’elle se fixe
• Mettre en place un programme ERM contribue à la création
de valeur dans l’entreprise par 3 leviers :
• L’élaboration des stratégies intègre les risques afin de retenir
les options les plus à même de maximiser la valeur ajoutée
• Les évolutions de l’environnement pouvant avoir un impact
sur l’entreprise sont anticipées au plus tôt afin d’en limiter les
conséquences, voire d’en faire une source de valeur ajoutée
• Les déficiences de l’organisation sont étudiées et réduites au
mieux afin d’éviter la survenance de dysfonctionnements
portant atteinte à la création de valeur
• Dans les faits, le succès d’une démarche ERM se mesure habituellement par :
• Une réduction de la variabilité des résultats de l’entreprise
• Une meilleure allocation des ressources financières, humaines et matérielles
• Une réduction des pertes opérationnelles et des anomalies
• Un meilleur taux de succès des projets d’entreprise
• Un renforcement de la confiance des parties prenantes dans l’entreprise
3
4. Le succès d’un programme ERM repose sur quelques
principes directeurs
1. La Direction Générale et le Conseil d’Administration sont fortement impliqués dans la démarche ERM et sont
demandeurs d’informations pertinentes leur permettant de prendre des décisions stratégiques
2. La Direction des Risques doit sans cesse questionner les arbitrages réalisés afin d’amener les décideurs à
envisager le spectre le plus large des risques potentiels et des pertes encourues
3. Les risques font ainsi partie intégrante de la stratégie de l’entreprise et de son management, tant pour la fixation
des objectifs que pour les décisions opérationnelles
4. L’analyse des risques part toujours des objectifs et indique dans quelle mesure ces derniers pourraient ne pas être
atteints, ce qui suppose un processus robuste de déclinaison des objectifs
5. La culture de l’entreprise et son fonctionnement incitent les managers à respecter l’appétence au risque en
valorisant les comportements de prudence et la remontée d’informations liées aux risques
6. Les risques ne font l’objet d’aucun tabou ni jugement de valeur afin de favoriser la perception la plus large
possible des risques encourus
7. Le Risk Management apporte une plus-value à l’ensemble des collaborateurs qui y contribuent, notamment au
middle management qui a un rôle de relais au sein de l’organisation
8. La production et la circulation des informations relatives aux risques doivent être davantage portées sur la
qualité que sur la quantité afin d’éviter toute lourdeur dans les processus et d’améliorer le pilotage
4
5. Un programme ERM inclut plusieurs composants clés
Composants
Appétence et Profil de risques et
Stratégie de risque Activités de contrôle Reporting et pilotage
tolérance au risque gestion des risques
Périmètre
1 3 4
• Sensibiliser l’équipe dirigeante aux risques affectant la stratégie et exprimer • Mettre en place les • Mettre en place un
le niveau de risque accepté pour atteindre les objectifs stratégiques procédures et dispositif de
Stratégie • Décliner les objectifs stratégiques en objectifs métiers et définir des seuils vérifications circulation des
de risques pour chaque objectif nécessaires informations
• Cartographier les risques liés à chaque objectifs métier et mettre en œuvre permettant de relatives aux risques
des solutions de maîtrise s’assurer que les et aux contrôles
2 solutions de maîtrise • Définir des instances
• Sensibiliser les responsables des activités contribuant à la stratégie de fonctionnent
l’entreprise aux risques de suivi et de
conformément aux pilotage
Activités clés • Décliner les objectifs métiers en objectifs opérationnels et définir des seuils directives de
de risques pour chaque objectif l’entreprise
• Cartographier les risques des activités clés et mettre en œuvre des
solutions de maîtrise
5 6
• Sensibiliser les responsables opérationnels aux risques et définir le niveau • Etendre le dispositif de contrôle interne à
de risque accepté pour remplir les objectifs métiers l’ensemble des activités de l’entreprise
Activités secondaires • Décliner les objectifs métiers en objectifs opérationnels et définir des seuils • Etendre le dispositif de reporting et de pilotage
de risques pour chaque objectif à l’ensemble des activités de l’entreprise
• Cartographier les risques des activités clés et mettre en œuvre des
solutions de maîtrise
D’autre composants comme la communication externe ou la gestion des ressources
financières et humaines peuvent intervenir dans la démarche ERM
5
6. Il est nécessaire de croiser les approches ascendantes
et descendantes
• Orientations stratégiques
• Objectifs stratégiques Influence T
• Appétence / tolérance au risque O
Corporate • Profils de risque P
• Identification des risques stratégiques
• Politiques de traitement des risques
• Tableau de bord DG D
O
• Objectifs métiers W
• Objectifs opérationnels • Risques majeurs
• Tolérance au risque N
Confrontation • Risques transverses
• Cartographie des risques bruts
Business Units Consolidation • Analyse de scenarios
• Auto évaluation des risques et des B
contrôles (RCSA) Agrégation • Incidents majeurs
• Cartographie des risques nets • KRI et tableaux de bord BU O
• Solution de maîtrise des risques T
T
O
• Indicateurs de pilotage M
• Risques opérationnels
Opérations Détermine • Incidents
• Résultats des contrôles U
P
6
7. L’ERM permet d’introduire une dialectique « objectif –
risques » dans les processus de management
Processus d’élaboration des objectifs stratégiques
• L’ERM permet au management d’introduire la dimension « risques » dans son
processus de définition de ses objectifs stratégiques
• Le management initie la démarche en réalisant un travail d’identification et
d’évaluation des risques pouvant impacter un objectif avant d’acter la décision
• Pour cela, il convient de réaliser des études , de mener des ateliers de
brainstorming, et d’avoir recours aux expertises internes et externes
Processus de pilotage de l’activité
• L’ERM permet aux responsables d’activité de prendre en compte la dimension
« risques » dans la prise de décisions
• Les risques qui portent sur les variables d’activité ou directement sur les
objectifs doivent faire l’objet d’un travail d’identification et de mesure
• Pour cela, il convient de mettre en place des indicateurs de risques consolidés
dans des tableaux de bords et régulièrement suivis par les responsables
7
8. Un programme ERM se structure en fonction de 4
caractéristiques de l’entreprise
• La nature des activités réalisées par l’entreprise :
• Mode projet ou processus permanents (ex : aérospatiale, construction / industrie, services)
• Niveau de technicité des activités (ex: ingénierie, médical / administration)
• Niveau de risques inhérent aux activités (ex : transport aérien, finance / services, administratif)
• Ses objectifs stratégiques :
• Niveau de stabilité (conquête / repli)
• Orientation (diversification / concentration)
• L’environnement dans lequel évolue l’entreprise :
• Niveau de stabilité (cours et taux, structure du marché, politique, sociétés,…)
• Variété (multi-pays, multicultures, multi-techniques,…)
• Cadre réglementaire (contraignant / souple ; en évolution / stable)
• Son organisation
• Culture d’entreprise (valeurs, style de management,…)
• Structure organisationnelle (centralisée / décentralisée ; transversale / silos ; hiérarchique / horizontale)
• Ressources (compétences, technologie, matériel, SI)
• Circulation de l’information et processus de décision (instances, indicateurs, reporting)
8
9. L’ERM adresse chaque catégorie de risque par des
méthodes appropriées
Catégories de
Caractéristiques Méthodes d’analyse Méthodes de maîtrise Méthodes de pilotage
risque
• Hors du champ de
perception • Plans stratégiques • Veille environnementale,
• Ateliers de brainstorming
Majeurs • Probabilité très faible • Assurances technologique,
• Méthode des scénarios réglementaire
• Affectent directement la • Couvertures financières
pérennité de l’entreprise
• Probabilité faible • Cartographie des risques • Allocation de capital • Tableaux de bord
Stratégiques • Affectent les hypothèses • Modélisation • Gestion de crise • KRI
sur lesquelles la stratégie
est élaborée • Stress tests • Intelligence économique • Instances de suivi
• Probabilité modérée ou
élevée • Cartographie des risques • Contrôles • Tableaux de bord de
• Autoévaluation • Dispositifs de sécurité gestion
Opérationnels • Affectent le
fonctionnement des • Base incidents • PCA • KRI
processus et leur • Résultats des contrôles • Audits • Réunions de gestion
performance
9
10. Organisation d’un programme ERM :
Exemple d’application chez un de nos clients
Appétence au
Périmètres Stratégie de Gestion des Reporting et
risque : fixation Profil de risques Contrôle
hiérarchiques risque risques pilotage
des objectifs
Missions de
Appétence pour le Plans stratégiques
l’entreprise Instances de suivi
risque Risques majeurs Assurances
Corporate Objectifs stratégiques
Tolérance au risque
Inspection Tableaux de bord
Risques stratégiques Couvertures
Gouvernance, KRI
Objectifs business financières
culture, management
Objectifs business Risques stratégiques Allocation de Contrôle interne 2nd
Bonne pratiques Comités risques
liés aux BU ressources H, Fi, Mat niveau
Seuils de risque
Business Units Déontologie
Risques transverses Règles et procédures Audit interne
Tableaux de bord
Objectifs
Management KRI
opérationnels Risques op. majeurs Couvertures locales Audit externe
Procédures Contrôles 2nd niveau Réunions de gestion
Encadrement Risques
Objectifs par
opérationnels Normes / standards Contrôles 1er niveau Tableaux de bord
Opérations Indications processus
Risques aux Outils / techniques Contrôles embarqués Indicateurs de
Compétences Seuils de tolérance
interfaces gestion
Formations Audit interne
10
11. Notre démarche pour vous accompagner dans la mise
en œuvre d’un programme ERM
Mettre en œuvre un
programme ERM
Construire le cadre de Structurer la filière Définir les méthodes Optimiser le dispositif Concevoir et mettre en
référence risques de gestion des risques de contrôle interne place les reportings
• Formaliser les objectifs • Définir la structure • Définir la méthodologie • Définir le plan de contrôle • Concevoir des axes
stratégiques et les décliner à organisationnelle du d’identification et de 1er et 2nd niveaux d’analyse et mettre en place
chaque niveau dispositif de gestion des d’évaluation des risques les référentiels nécessaires
• Calibrer les contrôles en
risques
• Définir l’appétence pour le • Construire la cartographie fonction des risques et des • Concevoir les tableaux de
risque et les seuils de • Formaliser les rôles et des risques coûts bord de chaque niveau de
tolérance responsabilités des acteurs management
• Mettre en place d’une base • Formaliser et tester les
dans la gestion des risques
• Définir l’environnement incidents contrôles de 1er et 2nd • Définir les modalités de suivi
interne de risque • Définir les schémas de niveaux et de pilotage des
• Définir les politiques de
circulation de l’information indicateurs
• Mettre en place une maîtrise des risques • Mettre en place les
gouvernance des risques et • Développer une culture du indicateurs de suivi du • Mettre en place le suivi de
• Construire les indicateurs de
des instances de pilotage risque contrôle interne la performance du dispositif
risque
11