Vos INTERLOCUTEURS

page weave

blog.weave.eu@weaveconseil

chaîne TV

Mettre en place une démarche ERM

L’offre de weave Risk & Compliance

Mars 2013

Pierre-Antoine DuezAssocié

pierre-antoine.duez@weave.eu +33 (0)6 07 80 79 29

2

Gérer les risques devient une priorité pour les entreprises

• Les entreprises rencontrent des risques plus critiques et plus variés qu’auparavant en raison de l’environnement économique :

• Les évolutions technologiques engendrent des phénomènes encore inconnus ou peu maîtrisés• La crise financière et l’instabilité géopolitique dans le monde favorisent l’apparition de « risques émergents »• L’accélération des échanges d’informations accroit l’échelle à laquelle se déroulent les évènements et peut engendrer des risques

d’image et de réputation pour l’entreprise• La complexification des organisations génère des comportements imprévus (fraudes)

• Les sociétés, notamment celles des pays industrialisés, ont abaissé leur seuil de tolérance au risque :• L’augmentation des niveaux de développement des entreprises renforce le besoin de sécurité• Les catastrophes d’origines naturelles (ex : Fukushima) ou humaines (ex : 11 septembre 2001) font l’objet d’une communication

surabondante et restent en mémoire

• Dans ce contexte, maîtriser ses risques devient une condition de survie répondant à deux enjeux fondamentaux :• Des enjeux internes : permettre à l’entreprise d’atteindre ses objectifs stratégiques et assurer les conditions de sa pérennité• Des enjeux sociétaux : assumer la responsabilité de l’entreprise vis-à-vis de la société et de son environnement

3

L’ERM permet à l’entreprise d’intégrer l’incertitude pour répondre à ses enjeux stratégiques

• L’Enterprise Risk Management, qui constitue la gestion globale des risques de l’entreprise, a pour finalité de fournir à l’organisation une assurance raisonnable quant à l’atteinte des objectifs qu’elle se fixe

• Mettre en place un programme ERM contribue à la création de valeur dans l’entreprise par 3 leviers :

• L’élaboration des stratégies intègre les risques afin de retenir les options les plus à même de maximiser la valeur ajoutée

• Les évolutions de l’environnement pouvant avoir un impact sur l’entreprise sont anticipées au plus tôt afin d’en limiter les conséquences, voire d’en faire une source de valeur ajoutée

• Les déficiences de l’organisation sont étudiées et réduites au mieux afin d’éviter la survenance de dysfonctionnements portant atteinte à la création de valeur

• Dans les faits, le succès d’une démarche ERM se mesure habituellement par :• Une réduction de la variabilité des résultats de l’entreprise• Une meilleure allocation des ressources financières, humaines et matérielles• Une réduction des pertes opérationnelles et des anomalies• Un meilleur taux de succès des projets d’entreprise• Un renforcement de la confiance des parties prenantes dans l’entreprise

4

Le succès d’un programme ERM repose sur quelques principes directeurs

1. La Direction Générale et le Conseil d’Administration sont fortement impliqués dans la démarche ERM et sont demandeurs d’informations pertinentes leur permettant de prendre des décisions stratégiques

2. La Direction des Risques doit sans cesse questionner les arbitrages réalisés afin d’amener les décideurs à envisager le spectre le plus large des risques potentiels et des pertes encourues

3. Les risques font ainsi partie intégrante de la stratégie de l’entreprise et de son management, tant pour la fixation des objectifs que pour les décisions opérationnelles

4. L’analyse des risques part toujours des objectifs et indique dans quelle mesure ces derniers pourraient ne pas être atteints, ce qui suppose un processus robuste de déclinaison des objectifs

5. La culture de l’entreprise et son fonctionnement incitent les managers à respecter l’appétence au risque en valorisant les comportements de prudence et la remontée d’informations liées aux risques

6. Les risques ne font l’objet d’aucun tabou ni jugement de valeur afin de favoriser la perception la plus large possible des risques encourus

7. Le Risk Management apporte une plus-value à l’ensemble des collaborateurs qui y contribuent, notamment au middle management qui a un rôle de relais au sein de l’organisation

8. La production et la circulation des informations relatives aux risques doivent être davantage portées sur la qualité que sur la quantité afin d’éviter toute lourdeur dans les processus et d’améliorer le pilotage

5

Un programme ERM inclut plusieurs composants clés

Composants

PérimètreStratégie de risque Appétence et

tolérance au risque Profil de risques et gestion des risques Activités de contrôle Reporting et pilotage

Stratégie

Activités clés

Activités secondaires

• Sensibiliser l’équipe dirigeante aux risques affectant la stratégie et exprimer le niveau de risque accepté pour atteindre les objectifs stratégiques

• Décliner les objectifs stratégiques en objectifs métiers et définir des seuils de risques pour chaque objectif

• Cartographier les risques liés à chaque objectifs métier et mettre en œuvre des solutions de maîtrise

• Sensibiliser les responsables des activités contribuant à la stratégie de l’entreprise aux risques

• Décliner les objectifs métiers en objectifs opérationnels et définir des seuils de risques pour chaque objectif

• Cartographier les risques des activités clés et mettre en œuvre des solutions de maîtrise

• Mettre en place les procédures et vérifications nécessaires permettant de s’assurer que les solutions de maîtrise fonctionnent conformément aux directives de l’entreprise

• Mettre en place un dispositif de circulation des informations relatives aux risques et aux contrôles

• Définir des instances de suivi et de pilotage

• Sensibiliser les responsables opérationnels aux risques et définir le niveau de risque accepté pour remplir les objectifs métiers

• Décliner les objectifs métiers en objectifs opérationnels et définir des seuils de risques pour chaque objectif

• Cartographier les risques des activités clés et mettre en œuvre des solutions de maîtrise

• Etendre le dispositif de contrôle interne à l’ensemble des activités de l’entreprise

• Etendre le dispositif de reporting et de pilotage à l’ensemble des activités de l’entreprise

1

2

3 4

5 6

D’autre composants comme la communication externe ou la gestion des ressources financières et humaines peuvent intervenir dans la démarche ERM

6

Il est nécessaire de croiser les approches ascendantes et descendantes

Corporate

Business Units

Opérations

• Orientations stratégiques• Objectifs stratégiques• Appétence / tolérance au risque• Profils de risque• Identification des risques stratégiques• Politiques de traitement des risques• Tableau de bord DG

• Objectifs métiers• Objectifs opérationnels• Tolérance au risque• Cartographie des risques bruts• Auto évaluation des risques et des

contrôles (RCSA)• Cartographie des risques nets• Solution de maîtrise des risques

• Indicateurs de pilotage• Risques opérationnels• Incidents• Résultats des contrôles

• Risques majeurs• Risques transverses• Analyse de scenarios• Incidents majeurs• KRI et tableaux de bord BU

Détermine

Influence

ConfrontationConsolidation

Agrégation

TOP DOWN

BOTTOM UP

7

L’ERM permet d’introduire une dialectique « objectif – risques » dans les processus de management

• L’ERM permet au management d’introduire la dimension « risques » dans son processus de définition de ses objectifs stratégiques

• Le management initie la démarche en réalisant un travail d’identification et d’évaluation des risques pouvant impacter un objectif avant d’acter la décision

• Pour cela, il convient de réaliser des études , de mener des ateliers de brainstorming, et d’avoir recours aux expertises internes et externes

Processus d’élaboration des objectifs stratégiques

Processus de pilotage de l’activité

• L’ERM permet aux responsables d’activité de prendre en compte la dimension « risques » dans la prise de décisions

• Les risques qui portent sur les variables d’activité ou directement sur les objectifs doivent faire l’objet d’un travail d’identification et de mesure

• Pour cela, il convient de mettre en place des indicateurs de risques consolidés dans des tableaux de bords et régulièrement suivis par les responsables

8

Un programme ERM se structure en fonction de 4 caractéristiques de l’entreprise

• La nature des activités réalisées par l’entreprise :• Mode projet ou processus permanents (ex : aérospatiale, construction / industrie, services)• Niveau de technicité des activités (ex: ingénierie, médical / administration)• Niveau de risques inhérent aux activités (ex : transport aérien, finance / services, administratif)

• Ses objectifs stratégiques :• Niveau de stabilité (conquête / repli)• Orientation (diversification / concentration)

• L’environnement dans lequel évolue l’entreprise :• Niveau de stabilité (cours et taux, structure du marché, politique, sociétés,…)• Variété (multi-pays, multicultures, multi-techniques,…)• Cadre réglementaire (contraignant / souple ; en évolution / stable)

• Son organisation• Culture d’entreprise (valeurs, style de management,…)• Structure organisationnelle (centralisée / décentralisée ; transversale / silos ; hiérarchique / horizontale)• Ressources (compétences, technologie, matériel, SI)• Circulation de l’information et processus de décision (instances, indicateurs, reporting)

9

L’ERM adresse chaque catégorie de risque par des méthodes appropriées

Catégories de risque Caractéristiques Méthodes d’analyse Méthodes de maîtrise Méthodes de pilotage

Majeurs

• Hors du champ de perception

• Probabilité très faible

• Affectent directement la pérennité de l’entreprise

• Ateliers de brainstorming

• Méthode des scénarios

• Plans stratégiques

• Assurances

• Couvertures financières

• Veille environnementale, technologique, réglementaire

Stratégiques

• Probabilité faible

• Affectent les hypothèses sur lesquelles la stratégie est élaborée

• Cartographie des risques

• Modélisation

• Stress tests

• Allocation de capital

• Gestion de crise

• Intelligence économique

• Tableaux de bord

• KRI

• Instances de suivi

Opérationnels

• Probabilité modérée ou élevée

• Affectent le fonctionnement des processus et leur performance

• Cartographie des risques

• Autoévaluation

• Base incidents

• Résultats des contrôles

• Contrôles

• Dispositifs de sécurité

• PCA

• Audits

• Tableaux de bord de gestion

• KRI

• Réunions de gestion

10

Stratégie de risque

Organisation d’un programme ERM : Exemple d’application chez un de nos clients

Corporate

Business Units

Opérations

Périmètres hiérarchiques

Appétence au risque : fixation

des objectifsProfil de risques Gestion des

risques Contrôle Reporting et pilotage

Missions de l’entreprise

Objectifs stratégiques

Gouvernance, culture, management

Appétence pour le risque

Tolérance au risque

Objectifs business

Risques majeurs

Risques stratégiques

Plans stratégiques

Assurances

Couvertures financières

Instances de suivi

Tableaux de bord

KRI

Bonne pratiques

Déontologie

Management

Objectifs business

Seuils de risque

Objectifs opérationnels

Risques stratégiques liés aux BU

Risques transverses

Risques op. majeurs

Allocation de ressources H, Fi, Mat

Règles et procédures

Couvertures locales

Comités risques

Tableaux de bord

KRI

Contrôle interne 2nd niveau

Audit interne

Audit externe

Encadrement

Indications

Compétences

Objectifs par processus

Seuils de tolérance

Risques opérationnels

Risques aux interfaces

Procédures

Normes / standards

Outils / techniques

Formations

Réunions de gestion

Tableaux de bord

Indicateurs de gestion

Contrôles 2nd niveau

Contrôles 1er niveau

Contrôles embarqués

Audit interne

Inspection

11

Notre démarche pour vous accompagner dans la mise en œuvre d’un programme ERM

Mettre en œuvre un programme ERM

Construire le cadre de référence

• Formaliser les objectifs stratégiques et les décliner à chaque niveau

• Définir l’appétence pour le risque et les seuils de tolérance

• Définir l’environnement interne de risque

• Mettre en place une gouvernance des risques et des instances de pilotage

Structurer la filière risques

• Définir la structure organisationnelle du dispositif de gestion des risques

• Formaliser les rôles et responsabilités des acteurs dans la gestion des risques

• Définir les schémas de circulation de l’information

• Développer une culture du risque

Définir les méthodes de gestion des risques

• Définir la méthodologie d’identification et d’évaluation des risques

• Construire la cartographie des risques

• Mettre en place d’une base incidents

• Définir les politiques de maîtrise des risques

• Construire les indicateurs de risque

Optimiser le dispositif de contrôle interne

Concevoir et mettre en place les reportings

• Définir le plan de contrôle de 1er et 2nd niveaux

• Calibrer les contrôles en fonction des risques et des coûts

• Formaliser et tester les contrôles de 1er et 2nd niveaux

• Mettre en place les indicateurs de suivi du contrôle interne

• Concevoir des axes d’analyse et mettre en place les référentiels nécessaires

• Concevoir les tableaux de bord de chaque niveau de management

• Définir les modalités de suivi et de pilotage des indicateurs

• Mettre en place le suivi de la performance du dispositif