Post on 27-Apr-2020
QUELLE DÉMARCHE POUR ÉVALUER LE DISPOSITIF DE GESTION DES RISQUES ?
Chantal CARNELCEO et Co-fondatrice, DELTA RM
Olivier FURTAKSenior Vice President Audit and Forensic, AIRBUS
INTRODUCTIONDéfi, Rappel des référentiels
DES PROBLEMATIQUES DIFFERENTES EN FONCTION DES STRUCTURES D’ENTREPRISE
Secteur d’activité, Taille de l’entreprise, Organisation Interne et Gouvernance
Quelle démarche pour évaluer le dispositif de gestion des risques
UNE OU PLUSIEURS DEMARCHES ?Risques opérationnels VS Risques Majeurs
LES OUTILS D’ÉVALUATIONAdapter l’évaluation à la maturité de la gestion des risques
DES OUTILS D’ ÉVALUATION ÉVOLUTIFSAdapter les outils au contexte
DISPOSITIF DE GESTION DES RISQUESRappel de modèle
ILLUSTRATION PAR AIRBUS
Une des principales exigences du conseil d’administration ou sonéquivalent est d’obtenir l’assurance que les procédés de riskmanagement fonctionnent de manière effective et que lesprincipaux risques sont gérés à un niveau adapté.
Cette assurance peut provenir de différentes sources. Parmi elles, lagarantie donnée par le management est fondamentale. Elle doit êtrecomplémentée par la fourniture d’une assurance objective pourlaquelle l’audit interne est une source majeure.
Les éléments à évaluer comprennent les procédés de gestion desrisques, leur conception et la manière dont ils fonctionnent, lagestion des risques classifiés comme majeurs, incluant l’effectivitédes contrôles et la fiabilité des rapports.
Quelle démarche pour évaluer le dispositif de gestion des risques le défi
La confiance des parties prenantes.
Le périmètre augmente de manière exponentielle – globalisation, connectivité et environnement.
L’audit est une fonction de contrôle typiquement réactive à la manifestation de risques.
Suffit-il de se conformer aux exigences réglementaires ?
Comment ajouter de la valeur et éviter la manifestation du prochaine risque ?
Capacité à réagir rapidement ?
Quelle démarche pour évaluer le dispositifde gestion des risques le défi
Utilisation d’un ou plusieurs référentiels :§ L’AMF Reference Framework
(basé sur COSO),
§ COSO ERM Integrated Framework,
§ ISO31000 Risk Management,
§ Autres – e. g. Dutch Code, SOX.
Quelle démarche pour évaluer le dispositif de gestion des risques rappels usuels
Quelle démarche pour évaluer le dispositif de gestion des risques rappels usuels
Ce diagramme, extrait des« Guides d’Implémentationde l’IIA » montre un spectred’activités ERM et indiquequels rôles une activitéd’audit interneprofessionnelle efficace doitet, de manière tout aussiimportante, ne doit pasentreprendre.
Ce modèle sert àdéterminer le rôle de l’auditinterne (plutôt à gauche) età déterminer le champd’action pour uneévaluation du dispositif degestion des risques (plutôtau milieu et à droite).
Quelle démarche pour évaluer le dispositif de gestion des risques rappels usuels
Les standards professionnels requièrent :
L’évaluation spécifique de l’efficacité des “processus de management des risques” et, par conséquent, du dispositif global de gestion des risques.
Quelle démarche pour évaluer le dispositif de gestion des risques illustration airbus
Les référentiels :§ Dutch Corporate Governance Code,§ COSO et ISO31000,§ Standards IIA/IFACI.
DISPOSITIF DE REDUCTION DES CAUSES
DISPOSITIF DE REDUCTION DES CONSÉQUENCES
Le contrôle interne
La prévention des risques (qualité/sécurité..)
L’analyse des incidents
L’anticipation des enjeux règlementaires
Quelle démarche pour évaluer le dispositif de gestion des risques rappels usuels
L’Assurance
Le Plan de Continuité d’Activité / Gestion de Crise
DISPOSITIF DE SUIVI DE L’EFFICACITÉ
La gouvernance, l’organisation, la documentation
L’Audit
Le suivi des indicateurs
Quelle démarche pour évaluer le dispositif de gestion des risques rappels usuels
1/ Identification des risques
2/ Sélection des risques majeurs
3/ Compréhension
des risques majeurs
Corporate
Stratégie de gestion des
risques
Maîtrise des causes/conséquenc
es
Stratégie d’optimisation financière des
impacts
Réduction des causes Prévention
4/ Contrôle Interne
5/ Audit Interne
6/ Assurances
Evitement
Plan de continuité d’activité
Scenario
Evaluation Evènements
redoutés
7/ Plans d’actions
8/ Indicateurs
KRI
L’organisation des entreprises et
des fonctions de gestion des risques
La taille des entreprises
L’existence des fonctions
Le partage entre ces fonctions
La culture de l’entreprise,
la « gestion » des silos
Quelle démarche pour évaluer le dispositif de gestion des risquesdes problématiques différentes en fonction des structures d’entreprise
Le nombre d’activités, de filiales
Le type de filiale, leur niveau d’indépendance
Le secteur d’activitéRéglementé (bancaire, assurances…)
Pharmacie, industrie de pointe
Quelle démarche pour évaluer le dispositif de gestion des risquesIllustration Airbus - police
Quelle démarche pour évaluer le dispositif de gestion des risquesillustration Airbus – Gouvernance ERM
• Fonction ERM Centre de Compétence dédiée.
• Rapportant directement au CFO.
• Indépendant de l’Audit Interne, de la gestion des risques par la finance et les opérations.
• Un réseau de ‘risk officers’.
• Des réunions systématiques dédiées au risque et des rapports.
• Un outil de référence.
• Des objectifs et des axes d’amélioration.
Quelle démarche pour évaluer le dispositif de gestion des risquesillustration Airbus – modèle de processus
• Modèle de base fondé sur COSO et ISO31000.
• Quatre sous-processus majeurs avec les éléments du COSO et ISO31000.
Quelle démarche pour évaluer le dispositif de gestion des risquesIllustration Airbus – les éléments d’ évaluation par l’Audit interne
Contrôle continu
• Procédures standardisées basées sur les exigences des référentiels appliquées systématiquement pour chaque audit.
• Recommandations sur la gestion de risque avec catégorisation systématique de chaque audit par rapport au processus couvert par l’ERM.
• Suivi des actions et de la clôture des actions d’audits précédents y compris celles liées à la gestion des risques (suivi basé à son tour sur la carte de couverture de l’audit et plan d’audit élaborés par rapport au risque).
• Cycle d’audit pluriannuel basé sur les risques (partie d’un processus de planification de l’audit).
• Coopération avec les auditeurs externes et la 2ème ligne de défense (échange de rapports, briefings trimestriels).
Contrôle annuel
• Audits dédiés et cycle des années précédentes.
• Analyse de la base de données des risques.
• Évaluation de la contribution de la 2ème ligne de défense.
Quelle démarche pour évaluer le dispositif de gestion des risquesIllustration Airbus – les LIVRABLES d’ évaluation
Livrables
• Rapports d’audit et suivi des actions.
• Analyse des résultats du testing systématique et analyse de données.
• Opinion sur le système de gestion des risques et sur les actions de suivi.
• Rapports à la direction et au comité d’audit.
Qu’est ce qu’un risque majeur ?
Quelles sont les dispositifs de maitrise des risques majeurs ?
Quelle démarche pour évaluer le dispositif de gestion des risquesune ou plusieurs démarches ? risques opérationnels vs risques majeurs
APPROCHEGLOBALEETINTEGRÉEDELTARM
ApprocheERM
ApprocheProcess/Conformité
IndicateursExternes
Prévention
SécuritéSI/IT
QHSE
Réductiondescauses
Assurance
Transfertdesimpacts
Sinistres
NiveaudemaitriseRecommandations
ContrôleInterne
Risques« unitaires »
Entités
Processus
Activités
Moyensd’atténuation(maitrisedesrisques)
Risques« unitaires »Risquesélémentaires
NiveaudemaitriseRecommandations
AuditInterne
Consolidation
Scenarii
Couverturesdesrisquesassurables
Objectifs- stratégiques- opérationnels
Indicateursdesuivi
Risquesmajeurs
Indicateursd’alertes
Plansd’actions
Il existe plusieurs outils d’évaluation , exemple AMF:
-
Quelle démarche pour évaluer le dispositif de gestion des risques les outils d’évaluation
Indispensable MAIS s’assure t-on de l’exhaustivité ?
Notre méthode
Quelle démarche pour évaluer le dispositif de gestion des risques les outils d’évaluation
Quelle démarche pour évaluer le dispositif de gestion des risques les outils d’évaluation
Modification du profil de risque
Modification de la gouvernance
Nouvelle activité
Nouvelle règlementation
Nouveau éléments
Acquisition, Fusion
LBO
Modification de l’appétence aux risques
Incidents majeurs interne
Ou dans le secteur d’activité
Modification du périmètre de la société
Quelle démarche pour évaluer le dispositif de gestion des risques des outils d’évaluation évolutifs
La démarche doit donc être :-Pérenne-Reproductible-Mesurable-Formalisé
è la communication et l’adhésion des parties prenantes est la clé de voute de toute démarche