Livre blanc Crowe Howarth global risk

40
La maîtrise des risques, entre ambitions & réalités Livre-Blanc-V.Final.indd 1 27/11/13 19:42

description

 

Transcript of Livre blanc Crowe Howarth global risk

Page 1: Livre blanc Crowe Howarth global risk

La maîtrise des risques, entre

ambitions &réalités

Livre-Blanc-V.Final.indd 1 27/11/13 19:42

Page 2: Livre blanc Crowe Howarth global risk

Editorial

Livre-Blanc-V.Final.indd 2 27/11/13 19:42

Page 3: Livre blanc Crowe Howarth global risk

Faire des affaires, c’est prendre des risques. Pas toujours bien calculés ? La plupart des dirigeants et de leurs collabo- rateurs ont pu expérimenter, peu ou prou, la survenance de certains risques dans leur environnement proche. Mais survenance n’est pas un terme positif : c’est un euphémisme pour parler de dommages, voire de sinistres.

Or, la plupart d’entre eux peuvent être anticipés au moyen d’un dispositif de maîtrise adapté.

Ce dispositif de maîtrise des risques, pour être et rester pertinent, doit évoluer au même rythme que les enjeux stratégiques et opérationnels qu’il couvre. Dans un contexte économique toujours plus incertain, son ajustement continu assure l’efficience des processus de l’organisation et une meilleure protection de ses investissements et de sa réputation – c’est à dire, in fine, son utilité. Pourtant, la mise à jour de tels dispositifs est rarement la priorité des décideurs, qui attendent souvent d’être confrontés aux conséquences néfastes d’un sinistre pour remettre à plat les moyens de protection et débloquer les ressources nécessaires.

C’est donc pour mieux comprendre la réalité de ces dispositifs au sein des organisations importantes en France, et identifier les initiatives les plus créatrices de valeur, que le cabinet Crowe Horwath Global Risk Consulting et l’Institut Français de l’Audit et du Contrôle Internes se sont associés pour organiser la troisième édition des Trophées de la Maîtrise des Risques. Au-delà du recensement des pratiques de marché, un jury d’experts indépendants et représen-tatifs a aussi eu l’occasion d’examiner les bénéfices apportés par ce dispositif afin d’établir un palmarès distinguant les meilleures contributions.

Ce livre blanc a pour objectif d’afficher les convictions de décideurs et leaders d’opinion sur ce qu’est, ou ce que doit être à moyen terme, un dispositif efficace et efficient de maîtrise des risques. Il est en particulier l’occasion d’illustrer les bénéfices issus du modèle des trois lignes de maîtrise, c’est grâce à la clarification des rôles et responsabilités des acteurs concernés, leur meilleure collaboration, la synergie des moyens nécessaires, l’accompagnement des différents métiers de l’organisation, et leur adaptation adéquate aux éléments exogènes.

Vous trouverez également un aperçu des attentes des Comités d’Audit, grâce aux échanges que nous avons eu avec les présidents et membres de certains comités de la place : vous connaîtrez leur éclairage sur le suivi de l’efficacité du dispositif par une des instances de gouvernance les plus importantes au sein des organisations.

Nous remercions toutes les entreprises et administrations qui ont pris le temps de répondre à notre questionnaire en ligne et de nous accueillir pour de nombreux entretiens et échanges. Nous félicitons chaleureusement tous les lauréats qui ont, résolument, mis en place des dispositifs concrets leur permettant de construire un modèle de maîtrise des risques adapté aux enjeux actuels et de servir la performance durable de leur organisation.

Jonathan BurnettCrowe HorwathGlobal Risk ConsultingPrésident Directeur Général

3

Farid AractingiInstitut Français de l’Audit et du Contrôle InternesPrésident

Livre-Blanc-V.Final.indd 3 27/11/13 19:42

Page 4: Livre blanc Crowe Howarth global risk

Sommaire

4

EDITORIAL

1. L’INTÉGRATION : UN INCONTOURNABLE1.1. UN RAPPROCHEMENT DES ACTEURSLe modèle des trois lignes de maîtrise, un socle communLe regroupement des acteurs historiquesLa deuxième ligne de maîtrise resserre ses rangsL’Audit Interne : un périmètre élargi

1.2. VERS UNE ASSURANCE « INTÉGRÉE » Un besoin accru d’informations pertinentesUne priorité : les enjeux humains

2. LA PERFORMANCE AVANT TOUT2.1. UN COMITÉ EXÉCUTIF DE PLUS EN PLUS SENSIBILISÉUne implication renforcéeLe risque : un levier de profitabilité

2.2. LES OPÉRATIONNELS PLUS INVESTISLe Comité Managérial des Risques, un interlocuteur clé du middle managementDes référentiels adaptés à la réalité des opérationsUn dispositif aligné avec les attentes

3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS3.1. UN PÉRIMÈTRE ÉTENDULa prise en compte progressive des risques tiersFace à la diversité, un pragmatisme nécessaire

3.2. DES CONTRAINTES À NE PAS SOUS-ESTIMERUne pression sur les ressources…… et une rationalisation de la démarche

UN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT

MÉTHODOLOGIE

LE JURY ET LES LAURÉATS DE LA 3ÈME ÉDITION

3

6

16

25

32

34

30

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 4 27/11/13 19:42

Page 5: Livre blanc Crowe Howarth global risk

Par quels éléments, selon vous, se différencient les entreprises les plus matures ?

Ce sont à mon avis celles qui parviennent à ce que tous leurs acteurs considèrent la maîtrise des risques non plus seulement comme un simple moyen de maîtrise contre les menaces actuelles mais comme un outil prospectif d’évaluation et de contrôle des menaces futures, au service de la stratégie de l’entreprise.

Quelles évolutions majeures percevez-vous pour les années à venir ?

Si la maîtrise des risques est maintenant clairement reconnue comme une néces-sité et si les outils du contrôle interne sont aujourd’hui bien identifiés et largement employés, les années à venir devraient voir la progression de l’automatisation de ces outils au sein des systèmes d’information. Mais au-delà des procédures et des outils, le facteur clé de progrès est et demeurera l’éthique individuelle et collective des dirigeants et de l’ensemble du personnel.

Faut-il évaluer un dispositif et comment le feriez-vous ?

Le dispositif de maîtrise des risques ne saurait échapper aux règles de bonne gestion et doit donc faire l’objet d’une évaluation objective de son coût pour l’entreprise et des avantages qu’il apporte ; si les coûts sont relativement faciles à cerner, les avantages, qui sont des risques évités, sont certes identifiables mais par essence difficiles à estimer. Quoi qu’il en soit, la capacité de l’entreprise à prévoir et maîtriser ses risques apparaît bien comme un élément constitutif de son goodwill.

3 QUESTIONS À JEAN-MARTIN FOLZ Président du Jury de cette 3ème éditiondes Trophées de la Maîtrise des Risques

Jean-Martin Folz, X- Mines, a occupé depuis 1978 des fonctions successives à la direction de plusieurs grands groupes, notamment à la présidence du directoire du groupe PSA Peugeot Citroën. Il est aujourd’hui administrateur au sein d’Alstom, Axa, Saint-Gobain, Société Générale et Solvay.

1

3

2

5

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 5 27/11/13 19:42

Page 6: Livre blanc Crowe Howarth global risk

L’intégration : un incontournable

Livre-Blanc-V.Final.indd 6 27/11/13 19:42

Page 7: Livre blanc Crowe Howarth global risk

Le modèle des trois lignes de maîtrise, un socle communDe nombreuses entreprises ont fait le choix d’un modèle de gouvernance organisé autour des 3 lignes de maîtrise*, chaque ligne ayant un périmètre, une mission et des acti-vités formellement définis (cf. figure 1).Ce modèle détermine ainsi les rôles et responsabilités de l’ensemble des parties prenantes au dispositif global de maîtrise des risques. Constituée des opérationnels, la première ligne de maîtrise met en œuvre la stratégie de l’entreprise et les moyens nécessaires à la maîtrise de ses activités. En deuxième ligne, les experts animent, struc-turent et coordonnent le dispositif. Enfin, la fonction d’Audit Interne, représentant la troisième ligne se focalise sur l’évaluation indépendante de celui-ci.

Les bénéfices recherchés d’un tel modèle : responsabili-ser les acteurs à tous les niveaux de l’organisation, clari-fier leurs rôles et responsabilités dans le fonctionnement du dispositif, garantir la prise en compte des spécificités de chacun et démontrer l’importance d’une approche globale. Le rôle des fonctions support devient prépondé-rant : souvent en première ligne (le choix adopté par le modèle américain de l’IIA), elles peuvent en fonction de l’organisation être positionnées en seconde ligne.

+50% des entreprises interrogées ont opéré un rapprochement organisationnel*

Le regroupement des acteurs historiquesUne nouvelle tendance se confirme cette année : le rapprochement des fonctions sous la supervision d’un même département.

Sans compromettre l’indépendance de l’Audit Interne, le regroupement des fonctions Gestion des Risques, Contrôle Interne et Audit Interne est effectif dans 37% des organisations interrogées (cf. figure 2). Il se traduit généralement par un partage élargi des référentiels et des plans correctifs.

Le rapprochement entre l’Audit Interne et la Gestion des Risques, comme dans 26% des entreprises, favorise princi-palement l’exploitation de la cartographie des risques par l’Audit Interne.

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

7

1.1 UN RAPPROCHEMENT DES ACTEURS

Figure 1Le modèle des 3 lignes de maîtrise *

*tel que défini par l’IFACI et l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise)

Managementopérationnel

S.I.

R.H.

Juridique

Finance

HSE

Contrôle de Gestion

...

1ère ligne de maîtrise 2ème ligne de maîtrise

Gestion des R

isques

Assurance

Contrôle Interne

Conform

ité

Audit Interne

3ème ligne de maîtrise

Régulateurs

Audit externe

Conseil d’Administration / Comité d’Audit

Direction Générale

* Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 7 27/11/13 19:42

Page 8: Livre blanc Crowe Howarth global risk

Enfin, dans le cas d’un regroupement du Contrôle Interne avec la Gestion des Risques (13% des entreprises), la Gestion des Risques bénéficie souvent d’une meilleure lisibilité sur le niveau de maîtrise des risques, tandis que le Contrôle Interne améliore la mise sous contrôle des risques identifiés par la cartographie.

La deuxième ligne de maîtrise resserre ses rangsCe rapprochement observé sur les fonctions historiques tend à s’élargir aux autres acteurs de la seconde ligne de maîtrise. Ethique, Conformité, Qualité, Contrôle de Gestion, Sécurité… les points de convergence sont nombreux. Ils appuient leurs démarches sur une analyse transversale de l’entreprise, participent à la production de référentiels, et fournissent des éléments de comparai-son entre les entités opérationnelles. L’élaboration d’un référentiel de risques Projets chez GDF SUEZ en est la parfaite illustration (cf. Belle Histoire).

Notre étude révèle ainsi que 16% des répondants développent une approche commune avec la Qualité (cf. figure 3). Orientée « client », l’approche Qualité permet par exemple au Contrôle Interne de mieux intégrer les activités opérationnelles de l’entreprise et d’optimiser le périmètre de couverture de chacune des deux fonctions au profit d’une meilleure couverture d’ensemble. Certaines des organisations interrogées confirment l’interaction entre le Contrôle Interne et le Contrôle de

Gestion mise en avant par une récente étude de l’IFACI (voir prise de position IFACI / DFCG « Pour une contribution conjointe et renouvelée à la performance des organisations »). Celles-ci mentionnent par exemple l’intérêt mutuel d’une fiabilisation des données par le Contrôle Interne et la mise en lumière de zones de vulnérabilités par le Contrôle de Gestion. Toutefois, d’autres opportunités restent à concrétiser notamment en matière de tableau de bord commun capable d’associer les Key Performance Indicators aux Key Risk Indicators.

Mais cette volonté d’identifier de nouvelles syner-gies au sein de la seconde ligne de maîtrise est surtout perceptible pour les fonctions dont les objectifs s’ins-crivent dans le long terme : Ethique, Conformité, Déve-loppement Durable.

Plusieurs répondants mentionnent ainsi les attentes de leur organisation en matière d’approche environnemen-tale (émissions de gaz, consommation de matières pre-mières, consommation d’énergie, gestion des déchets, dépenses de protection de l’environnement…) et sociétale (égalité professionnelle, organisation du temps de travail, conditions d’hygiène et de sécurité, emploi et insertion de travailleurs en situation de handicap…). Les dispositifs globaux de maîtrise des risques sont alors confrontés à deux enjeux majeurs : mettre en œuvre des actions concrètes pour être conformes aux engagements pris par leur direction et communiquer efficacement sur l’effort entrepris.

Figure 2Regroupements des fonctions de la maîtrise des risques

8

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

37%

Audit Interne, Gestion des Risques et Contrôle Interne

Audit Interne et Gestion des Risques

Audit Interne et Contrôle Interne

Contrôle Interne et Gestion des Risques

13%

26%

24%

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 8 27/11/13 19:42

Page 9: Livre blanc Crowe Howarth global risk

15% des entreprises interrogées déclarent partager leur référentiel avec soit la Conformité, l’Ethique, la Qualité ou l’Environnement, Santé et Sécurité*

L’évolution de la composition du Comité Managé-rial des Risques est un autre révélateur du rapproche-ment au sein de la seconde ligne de maîtrise. En effet, l’intégration d’un plus grand nombre de représentants des fonctions de la seconde ligne de maîtrise contri-bue à ce rapprochement. La vision sur les risques significatifs à appréhender est élargie et favorise une allocation plus pertinente des ressources disponibles.

L’Audit Interne : un périmètre élargiPar son rôle, l’Audit Interne dispose d’une large connais-sance de l’organisation, de ses collaborateurs et fait souvent office de référent.

Mais si la tendance générale au rapprochement des fonc-tions de Gestion des Risques, Contrôle Interne et Audit Interne est compréhensible, la nécessaire indépendance de la fonction continue de provoquer certaines appré-hensions.

Au-delà des conditions à mettre en œuvre pour la préserver, certaines qualités restent immuables : objecti-vité d’esprit, force de caractère et capacité à dire « non ». Des critères qui semblent largement respectés au vue

de nos échanges avec un panel de membres de Comités d’Audit (cf. Regard sur les attentes des Comités d’Audit). Et au-delà d’un positionnement encore hétérogène des acteurs sur ce sujet épineux de l’indé-pendance, 75% des départements d’Audit Interne assistent déjà d’autres départements dans leur démarche d’optimisation des processus et 34% dans les projets stratégiques de l’entreprise (cf. figure 4).

Les Directions de l’Audit Interne sont donc en contact de plus en plus régulier avec les opérationnels et malgré les avis divergents sur les conditions de ce rapprochement, la visibilité sur le degré de maîtrise des opérations en est alors améliorée.

L’évolution des profils des Auditeurs Internes illustre également cette tendance. Ainsi, si 85% des entreprises disposent de profils généralistes (cf. figure 5), une part significative est réservée à des profils plus opérationnels. C’est une volonté claire de disposer de spécialistes tout en conservant la rigueur et les fondamentaux méthodo-logiques de l’audit comptable et financier.

Autre tendance forte : l’intégration de spécialistes de la fraude dans 26% des cas (cf. figure 5). Thème d’actua-lité depuis quelques années, la spécificité des travaux à mettre en œuvre nécessite le recrutement de profils relativement rares ou la mise à disposition de certaines ressources pour les programmes de certification inter-nationaux (Certified Fraud Examiner). ■

29

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

Figure 3Partage des référentiels de maîtrise des risques entre départements

47%

27%

13%17%16%13%14%

avec la Conformité

avec l’Ethique

avec la Qualité

avec l’Environnement

la Santé et Sécurité

entre la Gestion des Risques et le Contrôle Interne

entre l’Audit Interne et

le Contrôle Interne

entre l’Audit Interne, la Gestion des

Risques et le Contrôle Interne

Source : étude Crowe Horwath Global Risk Consulting - IFACI

* Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 9 27/11/13 19:42

Page 10: Livre blanc Crowe Howarth global risk

10

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

81%75%

Audit de gouvernance IT

Audit pre-et post-acquisition

Audit de projets transverses

Assistance àl’optimisationdes processus

Evaluation de la maturitédu dispositif de gestion des risques

63%

62%

43%

34%Assistance aux projets stratégiques

Figure 4Périmètre d’intervention de l’Audit Interne

Figure 5Part des entreprises disposant de profils :

Gouvernance

Santé, Sécurité etGestion Environnementale

Lutte contre la fraude et la corruption

Systèmes d’information

15%

15%

26%

37%

PERIMETRE DE L’INTERVENTION DE L’AUDIT INTERNE

62%

75%

85%

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Provenant des Opérations

Comptabilité et Finance

Généralistes

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 10 27/11/13 19:42

Page 11: Livre blanc Crowe Howarth global risk

11

UNE COORDINATION RENFORCÉE AVEC LES OPÉRATIONNELSGDF SUEZ

Réunies sous la supervision d’un membre du Comité Exécutif, les fonctions de Management des Risques, de Contrôle Interne et d’Audit Interne disposent d’une direction propre, et travaillent de concert avec

les opérationnels pour élaborer des référentiels communs à la fois pragmatiques et adaptés aux enjeux et aux évolutions du Groupe.

Ainsi, depuis 2008, le Groupe a élaboré plus d’une vingtaine de référentiels de contrôle interne, prenant appui sur l’identification des risques et sur les enseignements de l’Audit Interne. Ces référentiels sont cosignés avec les Directions des filières concernées (Finance, RH, Santé – Sécurité, Ethique, SI, Achats…). L’élaboration d’un référentiel pour la gestion des projets de construction en est l’illustration.

Par ailleurs, le management des risques Projets ayant été identifié comme une action prioritaire dans la cartographie des risques du Groupe, un guide spécifique a été réalisé, en étroite collaboration avec la Direction des Grands Projets, des managers de projet et les Directions des filières concernées. Ce guide a été conçu pour aider les managers à identifier les risques dès le démarrage d’un projet et à mettre en place le pilotage adéquat. Il permet ainsi d’établir des principes, un cadre méthodologique et un vocabulaire communs au sein du Groupe. Ce guide sera enrichi régulièrement en intégrant les retours d’expériences, les enseignements tirés des audits internes et externes ainsi que les points de vigilance remontés par le programme Income du Contrôle Interne.

Le dispositif de maîtrise des risques de GDF SUEZ bénéficie d’un soutien fort : un sponsorship de la Direction Générale qui endosse l’ensemble des politiques et référentiels Groupe, et une forte attention du Comité d’Audit en matière de Management des Risques, de Contrôle Interne et d’Audit Interne.

Ce dispositif est fondé sur une gouvernance structurée entre le Corporate, les Branches et les entités du Groupe, qui organise la surveillance à tous les niveaux (Comex, Revues de Branche, Revues d’entité). Grâce à une démarche pragmatique de déploiement et d’adaptation des référentiels, le dispositif de maîtrise des risques favorise l’atteinte des objectifs du Groupe. ■

Plus d’une vingtaine de référentiels de contrôle interne, prenant appui sur l’identification des risques et sur les enseignements de l’Audit Interne et cosignés avec les Directions des filières concernées

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

Belle Histoire

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 11 27/11/13 19:42

Page 12: Livre blanc Crowe Howarth global risk

En 15 ans, les Directeurs de l’Audit Interne (DAI) ont traversé plusieurs ruptures conjoncturelles, qui les ont contraints, à plusieurs reprises, à changer radicalement le champ de leurs applications, pour répondre efficacement aux nouvelles attentes des Directions Générales.

À chacune de ces étapes charnières, les entreprises et les professionnels des Ressources Humaines ont coutume de s’interroger sur les nouvelles compétences requises pour que ces collaborateurs soient en succès. Lors de la dernière rupture en date, à savoir la crise économique actuelle, nos homologues de Korn/Ferry aux Etats-Unis en collaboration avec Richard Chambers, Président de l’Institute of Internal Auditors (IIA), se sont d’ailleurs prêtés deux fois à l’exercice et ont livré leurs enseignements dans deux études référencées ci-après (1).

Dans ces contextes changeants, les DAI, acteurs clef de ces mutations fonctionnelles sont donc régulièrement chahutés, au point que la légitimité de certains pour relever ces défis est remise en question. Depuis quelques années, nombreux sont les groupes internationaux qui prennent le parti de considérer des profils aux parcours diversifiés, souvent issus du sérail financier, au risque bien sûr d’avoir à reconsidérer cette option en cas de nouvelle rupture. D’autres groupes en revanche font le choix de la continuité et de la confiance dans les experts de la filière, pourvu que ces derniers soient en capacité de gérer efficacement ces situations nouvelles

et ces changements de circonstances. Cette capacité, nous l’appelons l’Agilité d’Apprentissage que nous définissons au travers quatre attributs.

L’AGILITÉ PERSONNELLE ET INTERPERSONNELLE

Les DAI qui répondent efficacement à ces nouvelles attentes attachent de l’importance à leur développement personnel et sont réceptifs aux feedback pour prendre conscience de leurs forces et faiblesses. Dans leurs rapports aux autres, ils ont la capacité d’adapter leurs comportements aux personnes et situations, de communiquer avec efficacité, de gérer les conflits de manière constructive et font preuve d’empathie pour susciter la confiance des parties prenantes du dispositif global de gestion des risques.

L’AGILITÉ MENTALELes DAI agiles mentalement savent sortir de leur zone de confort en démontrant de la sérénité dans leur appréhension des problèmes nouveaux, complexes et ambigus. Ils aiment creuser les sujets en profondeur et cherchent l’origine des problèmes avant de se préoccuper de leurs conséquences.

L’AGILITÉ AU CHANGEMENTAfin de proposer un service à forte valeur ajoutée et d’assumer leurs responsabilités dans l’accompagnement de la stratégie et la transformation de l’entreprise, les DAI en réussite refusent le status quo et se positionnent en rupture du sens commun dans l’apport de solutions. Ils font preuve

de sens critique et de courage pour traiter les sujets et ont la capacité de rassurer et fédérer des collaborateurs potentiellement déstabilisés, autour d’une approche de leur métier nouvelle et différenciante.

L’AGILITÉ RÉSULTATSLes DAI qui dépassent les attentes, alors que leurs champs d’application ont radicalement évolué, disposent de ressources qui leur permettent de se dépasser. Ils font preuve d’endurance pour ne pas perdre leur objectif de vue et d’affirmation personnelle pour susciter l’adhésion des décideurs et de leurs collaborateurs à leur projet de transformation.

CONCLUSIONL’Agilité d’Apprentissage est une capacité relativement rare, majoritairement innée. Il n’est donc pas étonnant que cette dernière soit aussi considérée comme le catalyseur fondamental du potentiel (cf. schéma ci-après). Elle peut cependant se développer, puisqu’elle se nourrit des expériences. L’Agilité d’Apprentissage constitue un facteur clef de succès indéniable pour réussir dans la durée face aux changements. La confrontation aux changements demeure une opportunité de la développer.

Julien Badiola & Victoria LorenzKorn Ferry Paris

Point de vue Par les experts de Korn Ferry

L’Agilité d’Apprentissage : catalyseur du succès du Directeur de l’Audit Interne

212

Matière premièreThe « Right Stuff »

Compétences acquises

par l’expérienceAGILITÉ

D’APPRENTISSAGE POTENTIEL

• Matière Première : Intelligence expérimentale (« bon sens ») + stabilité émotionnelle• Expérience : Changement de poste, responsabilité, épreuves, rencontres, feedback, formations, lectures, ...• Agilité d’apprentissage : Capacité et volonté d’apprendre à partir des expériences

(1) The relationship advantage: Maximizing CAE success (mars 2011)(1) License to Lead: Seven personal attributes that maximize the impact of the most successful CAE (juin 2010)(1) Ces études consultables et téléchargeables via le site : www.kornferryinstitute.com

[ ]+ x =

Copyright ©2013.Korn/Ferry International, Inc. Tous droits réservés.

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 12 27/11/13 19:42

Page 13: Livre blanc Crowe Howarth global risk

Un besoin accru d’informations pertinentesDévelopper une approche d’Assurance Intégrée, c’est d’abord identifier l’ensemble des acteurs contribuant au processus d’assurance interne. Et cela ne concerne pas uniquement les acteurs de la deuxième et troisième ligne. Les Commissaires aux Comptes deviennent par exemple eux aussi des contributeurs. Une fois les contributeurs identifiés, les organisations se concentreront avant tout sur le reporting intégré.

Un seul objectif : la pertinence des informations transmises aux organes de gouvernance. En effet, le temps consacré au dispositif de maîtrise des risques évoluant peu au sein de ces instances, la recrudescence observée des initiatives ne doit pas justifier une multiplication non coordonnée des éléments portés à leur attention.

Mais il ne faut pas pour autant négliger les attentes de la première ligne de maîtrise : les opérationnels. Nombreux sont ceux à exprimer leurs frustrations devant la juxtaposition d’initiatives au détriment de leurs activités quotidiennes. Combien de Directeurs d’usine, ou de Directeurs comptables pointant du doigt une présence simultanée des équipes Qualité, de l’organisme de certification, des Auditeurs Internes et des Commissaires aux Comptes à certaines périodes ? Chacun à l’origine de leurs propres constats, rapports et futurs plans correctifs à suivre. Au-delà d’une supposée allergie des opérationnels aux dispositifs de maîtrise, il devient primordial de démontrer la cohérence globale de ces initiatives et surtout l’utilité des informations collectées.

Dans ces circonstances, mettre en exergue le lien entre la maîtrise des risques et les objectifs de l’entreprise par des indicateurs synthétiques, pertinents, et partagés par tous devient plus que jamais indispensable. Mais cet exercice est exigeant. Maintenir cette cohérence d’ensemble dans la durée, entre différents acteurs et malgré l’évolution constante des activités, est un objectif ambitieux. Contribuer à fournir une Assurance Intégrée est une démarche audacieuse, exposant plus largement les individus et leurs dispositifs aux yeux de tous. Mais ceux qui y parviennent franchissent un pas : la mise à disposition d’informations clés à la prise de

décision stratégique ou opérationnelle. Et si la volonté et la culture de l’organisation le permettent, l’approche d’Assurance Intégrée pourra ensuite s’étendre au volet organisationnel, à la mise en commun des référentiels, des méthodologies et du système d’information.

Cependant, ce niveau de maturité reste encore très rare en France. Les politiques d’Assurance Intégrée font encore figure d’exception alors que près de 2/3 des entreprises déclarent pourtant l’avoir mise en œuvre (cf. figure 6). Une incompréhension certainement liée à la difficulté de distinguer une intégration des fonctions relativement mature sur le marché français et à un modèle d’Assurance Intégrée visant à communiquer périodiquement et de façon concertée sur des indicateurs attestant de l’efficacité du dispositif global.

69%

1.2. VERS UNE ASSURANCE « INTÉGRÉE »

13

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

Figure 6

des organisations fournissent une Assurance Intégrée

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 13 27/11/13 19:42

Page 14: Livre blanc Crowe Howarth global risk

Une priorité : les enjeux humainsOn peut facilement imaginer les freins comportementaux issus d’une mise à disposition collégiale d’indicateurs, tant sur le niveau de transparence que sur l’interprétation hétérogène des données. L’enjeu de mise en œuvre d’une approche d’Assurance Intégrée ne se limite donc pas au seul protocole de collecte et de mise à disposition d’indicateurs. Il doit s’appuyer sur deux préalables essentiels.

D’abord, il doit être le fruit d’une volonté exprimée du Comité Exécutif ou du Comité d’Audit. Sans elle, il semble peu probable que des fonctions qui cherchent à asseoir leur légitimité par leurs propres expertises se tournent naturellement vers une intégration avec les pratiques d’autres acteurs. C’est sans doute le facteur clé de réussite du projet « Combined Assurance Dashboard » chez ArcelorMittal (cf. Belle Histoire).

Ensuite, la mise en œuvre doit être confiée à un acteur reconnu et crédible au sein de l’organisation. Car porter

ce type d’initiative, c’est aussi se confronter à des levées de boucliers de la part de spécialistes très prolifiques quand il s’agit de justifier de la complexité de leurs expertises. C’est sans doute une des raisons pour lesquelles cette tâche revient souvent à l’Audit Interne. Son indépendance, sa vision transversale, et son accès direct au Comité d’Audit favorisent la prise de hauteur nécessaire face à ce type de réactions.

L’Assurance Intégrée est surtout le meilleur rempart contre l’existence de « trou dans la raquette » du dispositif global de maîtrise des risques. Certains dirigeants l’ont compris au regard d’évènements survenus récemment au sein de leur organisation. On pense notamment à la fraude dont les indicateurs se trouvent à différents niveaux de l’organisation selon que l’on parle de prévention, de détection ou d’investigation. Chacun présuppose des travaux des autres sans nécessairement avoir une vision des véritables « drapeaux rouges » à l’échelle du groupe. ■

14

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 14 27/11/13 19:42

Page 15: Livre blanc Crowe Howarth global risk

Un tableau de bord élaboré pour fournir une vision synthétique, par business line et par processus d’assurance, des indicateurs de performance

« COMBINED ASSURANCE DASHBOARD » ARCELORMITTAL

Fort de plus de 170 auditeurs, le département d’Internal Assurance, qui regroupe la Gestion des Risques et l’Audit Interne, se distingue à la fois par l’expertise des profils, la diversité des parcours et la séniorité des

collaborateurs qui le composent.

Parmi les spécificités, nous pouvons citer un sponsorhip fort du CEO, l’existence d’une équipe « forensics » répartie sur l’ensemble des régions du Groupe, une Internal Audit Academy, le Continuous Auditing (contrôles automatiques sur les nombreux systèmes d’informations) grâce à des auditeurs IT certifiés, ou encore des benchmarks réguliers et formalisés avec les meilleures pratiques de la place.

Mais l’initiative qui se démarque largement concerne le reporting unifié et synthétique des processus d’assurance entre l’ensemble des lignes de maîtrise. Les équipes d’Internal Assurance ont ainsi été à l’origine d’un tableau de bord élaboré pour fournir une vision synthétique, par business line et par processus d’assurance, des indicateurs de performance. Mis à jour mensuellement, ce tableau de bord permet de fournir au Top Management les indicateurs opérationnels à suivre lors de ses nombreux déplacements dans les entités du Groupe. Au-delà d’une fiabilisation accrue au travers la réconciliation des différentes sources de données, cette initiative a permis de contribuer à rationaliser de l’information fournie au Comité Exécutif et au Comité d’Audit. Au-delà des enjeux techniques, le retour d’expérience met bien sûr en valeur la nécessité d’un sponsorship capable de fédérer des acteurs aux enjeux distincts autour d’une ambition commune. ■

15

La maîtrise des risques, entre ambitions et réalités1. L’INTÉGRATION : UN INCONTOURNABLE

Belle Histoire

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 15 27/11/13 19:42

Page 16: Livre blanc Crowe Howarth global risk

La performance avant tout

Livre-Blanc-V.Final.indd 16 27/11/13 19:42

Page 17: Livre blanc Crowe Howarth global risk

Client, sponsor, pilote…, si le terme alloué au rôle joué par le Comité Exécutif dans la maîtrise des risques est encore assez variable d’une organisation à l’autre, son implication dans le dispositif est reconnue comme essentielle au développement d’une culture Risque.

En 2011, 41% des experts considéraient la non adhésion du top management comme principal frein à la mise en place du dispositif de maîtrise des risques, alors qu’ils ne sont plus que 31% en 2013 *

Parallèlement, les attentes du Comité Exécutif envers le dispositif de gestion de risques ont évolué pour ne plus se cantonner à la conformité aux lois et règlements mais tendre vers une recherche de fiabilisation de la stratégie. Prendre des risques maîtrisés et saisir des opportunités : un défi élevé pour le dispositif global de maîtrise des risques.

Une implication renforcéeLe périmètre d’intervention du Comité Exécutif s’est ainsi longtemps limité à l’exercice annuel de cartographie des risques majeurs. Un exercice souvent perçu comme administratif et restreint à l’identification des risques. Et rarement suivi d’orientations concrètes. L’évolution constante du périmètre des organisations a depuis amené ces dernières à faire du traitement des risques une de leurs nouvelles priorités.

L’exercice d’identification s’inscrit ainsi de plus en plus dans un processus dynamique. Il intègre notamment une mise à jour périodique de l’univers des risques pour le faire évoluer au rythme de l’environnement et des nouveaux enjeux de l’entreprise.

L’allocation des risques majeurs aux membres du Comité Exécutif, tendance confirmée par notre étude, confirme cette volonté de renforcer l’exploitation opérationnelle de l’exercice d’identification et de hiérarchisation des risques. C’est ainsi que les opérationnels deviennent propriétaires des risques, responsables de la mise en œuvre des plans correctifs, et de leur suivi auprès des différents niveaux opérationnels. L’intérêt est également

de responsabiliser les directions sur les risques portés par leurs activités mais aussi d’assurer le lien entre des risques identifiés à un niveau stratégique et la réalité des activités de l’entreprise.

Près de 50% des répondants déclarent que « l’affectation du suivi des risques aux membres du Comité Exécutif » est un facteur différenciant pour garantir l’exploitation opérationnelle du dispositif *

Une autre tendance consiste à élargir cette approche vers les équipes dirigeantes des autres niveaux de l’entreprise (branche, produits, pays, site…), qui sont de la même manière appelées à se prononcer sur leurs risques majeurs. C’est notamment le cas pour les groupes aux modèles d’organisation décentralisés, évoluant sur des marchés peu matures et où les contextes locaux diffèrent des standards internationaux.

Pour être parfaitement efficace, l’engagement de la Direction Générale doit être évident aux yeux de tous. Bien sûr, il doit prendre la forme d’un engagement formel sur les politiques, les référentiels ou certains vecteurs de communication interne. Pourtant, la répétition et le rappel des fondamentaux, ainsi que l’exemplarité de ceux qui incarnent l’organisation restent sans doute les leviers les plus efficaces pour mobiliser la première ligne de maîtrise.

2/3 des entreprises déclarent avoir comme sponsor principal le Président ou la Direction Générale *

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

2.1. UN COMITÉ EXÉCUTIF DE PLUS EN PLUS SENSIBILISÉ

17

* Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 17 27/11/13 19:42

Page 18: Livre blanc Crowe Howarth global risk

Le risque : un levier de profitabilitéSi les répondants à l’enquête reconnaissent une évolution constante de la fréquence de participation des experts du dispositif aux instances de prise de décision (cf. figure 7), il existe néanmoins une frustration persistante sur ce sujet. L’évolution est-elle trop lente ? Certaines organisations, à l’image d’ATOS (cf. Belle Histoire), intègrent un représentant du dispositif de maîtrise au Comité Exécutif pour garantir la prise en compte de ce volet dans les prises de décisions stratégiques.

Autre tendance observée : sécuriser les projets. De la décision d’investissement à la mise en œuvre du projet, l’éclairage des experts de la maîtrise des risques est fréquemment utilisé. Ils bénéficient à la fois d’une vision transversale et terrain leur permettant d’apporter des

éléments objectifs nécessaires à la prise de décision opérationnelle cette fois-ci.

D’autres passerelles avec les opérations existent à l’image du programme 8TIC’s lancé par Technicolor ou du Anti-Piracy et Compliance Program de Dassault Systèmes (cf. Belle Histoire). On pense notamment à l’éclairage fourni par un partage élargi des risques identifiés par le Comité Exécutif avec les Comités d’investissement ou les équipes commerciales. Mais la notion d’appétence au risque reste déterminante et participe à structurer les débats sur les opportunités à saisir : quel niveau de risque le groupe est-il prêt à accepter pour soutenir sa stratégie ? Ce niveau est-il partagé et approuvé par l’ensemble des directions du groupe ? ■

18

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

Jamais

Parfois

Régulièrement

Toujours

44% 27%

32% 31%

15% 26%

9% 16%

Figure 7Participation des fonctions de la Maîtrise des Risques et de Contrôle Interne à la prise de décision stratégique

2011 2013

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 18 27/11/13 19:42

Page 19: Livre blanc Crowe Howarth global risk

Combiner le respect des règles de gouvernance, la gestion proactive des risques et la maîtrise des enjeux de conformité

LA FÉDÉRATION DES ACTEURS AU SERVICE DE LA GESTION DU RISQUE GLOBALATOS

Depuis l’arrivée de son Président Directeur Général et l’acquisition des activités de Systèmes d’Informations de Siemens il y a 2 ans, Atos a considérablement renforcé son dispositif de maîtrise des risques à travers

la fédération des fonctions Qualité, Sécurité, Risques, Conformité, Développement Durable et Contrôle Interne, toutes placées sous la coordination du Secrétaire Général qui préside le comité de conformité deux fois par mois.

L’organisation en 3 lignes de maîtrise est maintenant un processus solide qui, à partir de la cartographie des risques majeurs intègre la gestion des différents risques et plus particulièrement les risques projets. En effet, le groupe possède une approche spécifique pour gérer les risques dès la réception de l’appel d’offres (processus « Rainbow » piloté par la Direction Financière). Revu en 2013 afin de mieux intégrer les risques de conformité et le contrôle interne en amont de la contractualisation, celui-ci comprend des questionnaires clés, (réputation des clients et fournisseurs, partenaires commerciaux, clauses contractuelles…) des niveaux d’autorisation et d’engagement, mais aussi une évaluation dynamique du risque métier depuis l’offre jusqu’à la livraison du projet. Rainbow est donc un dispositif qui combine le respect des règles de gouvernance, la gestion proactive des risques et la maîtrise des enjeux de conformité. ■

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

19

Belle Histoire

PLUS QU’UN DISPOSITIF DE MAÎTRISE DES RISQUES, UNE SOURCE DE REVENU ! DASSAULT SYSTÈMES

Le monde du logiciel dans lequel évolue Dassault Systèmes reposant sur la valorisation d’un capital immatériel, la mise en place d’un dispositif de gestion des risques doit comporter un volet important de

protection de sa propriété intellectuelle. L’approche doit même pouvoir aller au-delà de la seule protection vers la valorisation, pour transformer un risque en véritable opportunité.

En conséquence, l’Anti-Piracy and Compliance Program a été developpé afin de protéger la propriété intellectuelle et de générer des revenus supplémentaires. En effet, ce programme permet de traiter les risques de fraude liés à l’exploitation des licences de ses logiciels. Ainsi, une équipe dédiée a pour objectif de convertir des utilisateurs illégitimes en clients légitimes et de collecter ainsi les revenus logiciel perdus. Cette équipe fait partie du département juridique, au sein du groupe propriété intellectuelle. Elle est dotée de 20 personnes, et intervient dans 75 pays. Elle est aujourd’hui considérée comme un réel centre de profit pour l’entreprise. ■

Aller au-delà de la seule protection vers la valorisation, pour transformer un risque en véritable opportunité

Belle Histoire

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 19 27/11/13 19:42

Page 20: Livre blanc Crowe Howarth global risk

UN DISPOSITIF DE CONTRÔLE PRAGMATIQUE ET INTÉGRÉTECHNICOLOR

Au-delà de ses missions régaliennes, la Direction de l’Audit Interne du groupe Technicolor anime le processus TRM (Technicolor Risk Management) pour le compte du Comité Exécutif. Celui-ci est en effet

chargé d’identifier annuellement une vingtaine de risques majeurs parmi un univers des risques. Ces derniers sont ensuite classifiés en 2 catégories : les « Top 12 » et ceux de la « Watch List ». Le Top 12 est ainsi sous la surveillance régulière des membres du Comité Exécutif qui porte la responsabilité du suivi des plans de mise sous contrôle.

Parallèlement, la Direction du Contrôle Interne anime le programme 8TIC’S lancé il y a 3 ans (« 8 » pour 8ème directive européenne, « TIC » pour Technicolor Internal Controls, et « S » pour Strategy). Elle est chargée de maintenir et mettre à jour le référentiel de risques et contrôles 8TIC’S, et coordonne le processus d’auto-évaluation annuel. L’ensemble des 400 risques du référentiel 8TIC’S peuvent être rattachés à la vingtaine de risques majeurs identifiés dans le cadre du processus TRM. De la même manière, ces derniers sont rattachés à un des 14 processus (et 45 sous-processus) du référentiel 8TIC’S.

Le sponsorship du Comité Exécutif est donc concrètement illustré au quotidien au travers du rôle central de ses membres dans les plans de mises sous contrôle des risques du « Top 12 ». Le partage de référentiels de risques et de processus permet de garantir une vision commune et concertée. ■

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

20

Le Top 12 des risques majeurs placés sous la surveillance régulière des membres du Comité Exécutif responsablesdu suivi des plans de mise sous contrôle

Belle Histoire

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 20 27/11/13 19:42

Page 21: Livre blanc Crowe Howarth global risk

2

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

Le Comité Managérial des Risques, un interlocuteur clé du middle managementLe Comité Managérial des Risques est un organe essentiel. Il relie le Comité Exécutif aux enjeux métiers du quotidien et assure ainsi la cohérence des actions. Sa composition est un indicateur probant de l’appropria-tion par les opérationnels du dispositif de maîtrise des risques.

Aujourd’hui, 67% des Comités Managériaux des Risques sont présidés par des Directions autres que les experts de la maîtrise des risques (cf. figure 8). Un signe fort

de l’implication du top management sur ce sujet. Cette évolution marque une double volonté : élargir le spectre du pilotage des risques à l’ensemble des fonctions de l’entreprise et renforcer le dialogue avec le middle management. Le Comité Managérial des Risques reste une instance privilégiée pour homogénéiser les pratiques, rationaliser les efforts et travailler sur les points d’intégration possibles entre les experts. Mais il devient surtout l’instance destinée à recueillir les failles identifiées par les opérationnels, et évaluer avec eux la pertinence des actions à mettre en place.

2.2. LES OPÉRATIONNELS PLUS INVESTIS

Figure 8Qui préside le Comité Managérial des Risques (ou l’instance exécutive équivalente) ?

7% Secrétariat Général

21

10% Responsable des Opérations

33% Responsable du dispositif de maîtrise des risques

40% Direction Générale / COMEX

10% Responsable Financier

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Des référentiels adaptés à la réalité des opérationsSi la volonté d’intégrer et de sensibiliser les opérationnels est forte, les référentiels sont encore rarement adaptés à leur réalité.

Certains leviers peuvent pourtant être actionnés facilement : construire le référentiel de contrôles sur la base des processus métiers ou de la chaîne de valeur de l’organisation, associer le lien avec les risques majeurs ou

encore substituer les contrôles manuels par des contrôles automatiques grâce à quelques échanges avec la Direction des Systèmes d’Information. D’autres organisations comme Gemalto (cf. Belle Histoire) ont fait le choix de charger les opérationnels de la phase de déploiement. Le mode projet favorise alors l’échange et chaque acteur de la première ligne de maîtrise se sent propriétaire du futur référentiel. Grâce à des contrôles adaptés à la réalité des activités et aux procédures quotidiennes, la mise à jour de celui-ci s’en trouve nettement facilitée.

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 21 27/11/13 19:42

Page 22: Livre blanc Crowe Howarth global risk

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

Pourtant, notre étude démontre que l’implication de certains acteurs métiers doit aussi être renforcée. Le département Ressources Humaines semble ainsi peu impliqué pour 66% des entreprises interrogées (cf. figure 9). Il est pourtant un acteur clé du dispositif

anti-fraude ou du dispositif d’Ethique (rappel des règles, éléments pouvant être récoltés au cours des entretiens de départ, gestion des objectifs, facteurs personnels favorisant certaines pratiques…).

Direction Financière

Direction Générale

Directions Opérationnelles

Direction des Systèmes d’Information

Secrétariat Général

Direction Juridique

Figure 9Implication des acteurs dans l’activité de la maîtrise des risques

Peu impliqué Impliqué

22

Direction des Ressources Humaines

Source : étude Crowe Horwath Global Risk Consulting - IFACI

18%

36%

36%

26%

34%

35%

66%

82%

64%

64%

74%

66%

65%

34%

Un dispositif aligné avec les attentes Malgré les initiatives associant les métiers et les experts du dispositif de maîtrise, ce dernier ne semble pas encore offrir aux opérationnels les outils nécessaires à la prise de décision. Rapprocher le dispositif de la réalité des opérations et des projets reste donc un défi permanent. 56% des entreprises souhaitent ainsi améliorer cette intégration (cf. figure 10).

Concrétiser cette intégration, c’est être capable d’établir un lien avec le dispositif de pilotage de la performance, notamment au travers d’indicateurs. Sur un site de production, un indicateur de suivi des variations des délais de livraison d’un fournisseur alertera le Directeur de production sur une potentielle rupture d’approvisionnement, pouvant occasionner la dégradation de la performance de la chaîne de production.

Dans un autre cas, la rotation forte du personnel d’un service, un changement dans l’organisation de la

séparation des fonctions, une augmentation non expliquée des créances âgées ou les retours de marchandises importants peuvent conjointement être synonymes de fraude. L’ambition est là : des indicateurs de risques au service des opérations. Mais au-delà de la construction d’indicateurs favorisant la prise de décision opérationnelle, certains dispositifs, comme celui de La Française des Jeux (cf. Belle Histoire) ont fait le choix de répondre plus directement encore au quotidien des activités.

Au-delà du pilotage de la performance, le dispositif de maîtrise des risques doit permettre de gérer efficacement les crises de toute nature affectant l’organisation. On assiste ainsi à la multiplication des exercices de gestion de crise et surtout, à leur mise à l’épreuve. Ils ne font plus figure d’exception aussi bien à l’échelle du groupe pour 36% des entreprises qu’au niveau local (47%) (cf. figure 11). ■

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 22 27/11/13 19:42

Page 23: Livre blanc Crowe Howarth global risk

Plus de 100 « Crisis Management leaders » et de 600 managers formés au travers de simulations de crise

UN PROGRAMME DE GESTION DES RISQUES ET DE GESTION DE CRISE BASÉ SUR LA FORCE D’UN RÉSEAUGEMALTO

La Directrice du Risque et du Contrôle Interne anime le dispositif de cartographie des risques, de gestion de crise et le plan de continuité d’activité. Elle s’appuie sur des « Sponsors » (membres du senior management),

des « Risk Management champions » (désignés par chaque Sponsor pour animer le dispositif au niveau de leur segment, département…), des « Risk owners » et des « Action owners ». Les « Risk owners » sont sélectionnés pour leur capacité à proposer et coordonner un plan d’actions de façon transversale en faisant intervenir différents « Action owners ».

Le dispositif de gestion de crise, formalisé et mis à l’épreuve à l’échelle du Groupe et des entités opérationnelles, repose sur plus de 100 « Crisis Management leaders » et sur plus de 600 managers de toute l’entreprise formés au travers de simulations de Crise. Ce programme global de formation initié dès 2009, s’est achevé en 2012. Les formations continuent, à la demande, dans une démarche d’amélioration continue et ce volet est depuis intégré au catalogue des formations du groupe. La préparation à la gestion de crise est l’objet d’une évaluation systématique de l’Audit Interne lors des revues de conformité. A noter, le lancement d’un programme similaire sur le Plan de Continuité (échéance en 2014). ■

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

23

Belle Histoire

Figure 10Améliorations souhaitées pour l’organisation de la maîtrise des risques

Suivi des plans d’action et retours d’expérience

10%

Intégration dans les dispositifs de pilotagede la performance

Responsabilisation des principaux acteursde l’organisation

Source : étude Crowe Horwath Global Risk Consulting - IFACI

2011 2013

61%

57%

54%

51%

56%

63%

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 23 27/11/13 19:42

Page 24: Livre blanc Crowe Howarth global risk

Une action étendue à la prise en compte des risques dans le pilotage des projets majeurs et à la mise en œuvre d’un plande continuité d’entreprise

LA GESTION DES RISQUES ET LA SÉCURITÉ AU CENTRE DES ACTIVITÉS DE LA FRANCAISE DES JEUX

La Direction de la Gestion des Risques et de la Sécurité de FDJ est notamment en charge d’assurer le pilotage centralisé des risques du Groupe La Française des Jeux et d’en garantir la prise en charge dans les activités

et les projets de l’entreprise. Elle porte également la responsabilité de l’intégrité et la sécurité des opérations de jeux dans les réseaux de distribution dans le cadre de la lutte contre la fraude et le blanchiment d’argent.

La première mission est confiée au département Management Central des Risques. Le système de gestion des risques de FDJ a la particularité d’avoir été bâti dans une démarche d’amélioration permanente. Ce dernier capitalise d’une part sur le standard de sécurité de la World Lottery Association, qui intègre une certification ISO 27001 relative à la sécurité de l’information, et d’autre part, sur un dispositif d’escalade et de gestion des incidents et crises. Appuyé sur un réseau fonctionnel de correspondants dans les différentes entités de l’entreprise, il a ensuite étendu son action à des sujets comme la prise en compte des risques dans le pilotage des projets majeurs ou la mise en œuvre, en cours, d’un plan de continuité d’entreprise.

Cette dualité entre des aspects très concrets et d’autres plus abstraits se retrouve aussi dans les activités du département Sécurité des Jeux, qui fait par exemple appel à des algorithmes sophistiqués pour détecter des comportements atypiques notamment sur les paris sportifs. Ce département a diligenté en 2012 près de 23 000 inspections dans son réseau de points de vente. ■

La maîtrise des risques, entre ambitions et réalités2. LA PERFORMANCE AVANT TOUT

A l’échelledu groupe

A l’échelle locale

47%

25%

29%

36%

29%

36%

100% 100%

Figure 11Présence du dispositif de gestion de crise

24

Belle Histoire

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Formalisé et mis à l’épreuve(simulation ou réalité)

Formalisé uniquement

Inexistant

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 24 27/11/13 19:42

Page 25: Livre blanc Crowe Howarth global risk

S’adapter aux nouveaux environnements

Livre-Blanc-V.Final.indd 25 27/11/13 19:42

Page 26: Livre blanc Crowe Howarth global risk

La prise en compte progressive des risques tiersDepuis la fin des années 90, les entreprises font de plus en plus appel à des parties tierces dans le cadre de leurs activités. Phénomène qualifié d’ « Extented Enterprise » par les anglo-saxons, cette formulation apporte un éclairage nouveau sur l’évolution des frontières de l’organisation. Le risque n’est plus un évènement que l’on peut maîtriser en activant des dispositifs internes. Il nécessite une réflexion plus large sur le degré d’exposition : supply chains intégrées, contrats de sous-traitance, partenariats, ou encore joint-ventures. La réputation de l’entreprise est désormais entre les mains d’un tiers. Le développement de cette pratique est inévitable.

Les réglementations et la jurisprudence insistent sur le fait qu’une entreprise peut sous-traiter ses activités, mais pas ses responsabilités. Et le risque tiers peut prendre de nombreuses formes : perte de données informatiques, atteinte à la propriété intellectuelle, conditions de travail et de sécurité chez certains sous-traitants, pratiques commerciales de certains partenaires…

Le défi des entreprises est donc de maîtriser ces risques alors qu’elles n’ont pas la main sur le dispositif au quotidien. Pour y faire face, elles doivent développer des techniques en amont et des outils de suivi adaptés.

Certaines organisations ont par exemple mis à jour les programmes de due diligence, ou les processus de recours à un prestataire. Celles-ci partent du principe que les termes contractuels standards sont peu efficaces si le partenaire n’est pas fiable.

À plus long terme, d’autres barrières peuvent rapidement se dresser. D’abord, une légitimité opérationnelle que les représentants de la tierce partie peuvent facilement mettre en cause, même si les règles sont portées au contrat.

Les processus opérationnels apparaissent également parfois comme complexes, spécifiques ou nécessitant une adaptation lourde et coûteuse. Là encore, c’est la relation de confiance qui doit prendre le pas. Le contenu des référentiels présentés nécessite aussi une expertise qui est par définition peu présente au sein de l’entreprise puisqu’elle est externalisée. Si les compétences ne sont pas ou plus présentes, alors le recours à une assistance technique se révèle être un contrôle préventif de premier ordre. Bien sûr, ces coûts de mise sous contrôle sont à intégrer dans l’évaluation d’une opportunité.

Face à la diversité, un pragmatismenécessaireRéorganisation, opérations de croissance externe ou implantations sur de nouveaux marchés : les mutations organisationnelles permanentes impactent les risques auxquels les entreprises s’exposent.

Certaines font le choix de laisser une marge de manœuvre importante vis-à-vis de leurs standards, compte tenu de l’ADN de leur groupe. C’est par exemple le cas de CFAO qui a su adapter son Programme d’Amélioration du Contrôle Interne (cf. Belle Histoire) à son environnement. Question de culture, de tolérance et de diversité. La culture, car certaines d’entre elles ne souhaitent pas entraver l’esprit entrepreneurial local. Elles intègrent certaines latitudes dans le référentiel de contrôles et de procédures. La tolérance, car pour certains risques (éthiques, comportementaux), les mêmes procédures doivent s’appliquer partout. Enfin, la diversité, car une entreprise évoluant dans plusieurs pays et plusieurs métiers ne peut disposer d’un même référentiel partout. ■

La maîtrise des risques, entre ambitions et réalités3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS

3.1. UN PÉRIMÈTRE ÉTENDU

26

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 26 27/11/13 19:42

Page 27: Livre blanc Crowe Howarth global risk

UN DISPOSITIF DE CONTRÔLE INTERNE AU SERVICE DES OPÉRATIONS CFAO

CFAO bénéficie d’une expérience de plus de 125 ans. Le Groupe intervient dans 32 pays d’Afrique, sept Collectivités Territoriales françaises d’Outre-mer et au Vietnam. Il opère dans la distribution automobile,

pharmaceutique et de matériels d’équipement ainsi que dans la production et la distribution de biens de consommation courante et de certains services technologiques. Son histoire et son ancrage territorial confèrent au Groupe et ses 120 filiales une forte culture entrepreneuriale alliant développement et maîtrise des risques.

C’est dans cet environnement complexe, marqué par une diversité géographique, culturelle et d’activités, que la Direction de l’Audit Interne et son équipe de cinq auditeurs expérimentés agissent. En charge de l’exécution du plan d’audit (environ 60 missions par an), le rôle de l’Audit Interne ne se limite pas à la conduite de ces missions. Avec le soutien permanent de la Direction Générale, l’Audit Interne propose, anime et développe des outils contribuant à améliorer la maîtrise quotidienne des opérations sur le terrain.

Le contrôle interne chez CFAO étant l’affaire de tous, l’Audit Interne s’appuie résolument sur une approche concrète et pragmatique des contrôles : le Programme d’Amélioration du Contrôle Interne (PACI). Il s’appuie sur trois piliers complémentaires : diffuser les bonnes pratiques, sensibiliser et former, évaluer et corriger. L’Audit Interne a tout d’abord développé le guide du contrôle interne. Référence de contrôle pour les filiales, ce guide propose des outils clés en main dans la maîtrise des process opérationnels et financiers en filiale (300 contrôles). Disponible en ligne, son auto-évaluation annuelle par les opérationnels permet de faire vivre les contrôles. La sensibilisation du management en filiale (Directeurs Généraux, Responsables d’activité et Directeurs Financiers) repose ensuite sur un programme de formation spécifique, créé et animé par l’Audit Interne, « Business Under Control ». Cette formation permet d’analyser les situations concrètes et réelles de dysfonctionnement rencontrées par le Groupe ces dernières années. Ce programme a permis à ce jour de former plus de 450 dirigeants. Enfin, CFAO s’appuie sur une évaluation de ses « 50 standards prioritaires » de contrôle interne, réalisée chaque année par les Commissaires aux Comptes et coordonnée par l’Audit Interne dans plus de 100 filiales.

D’autres actions mises en œuvre par l’Audit Interne contribuent à faciliter le contrôle des opérations au quotidien. Un « kit passation » présente ainsi la checklist des points de contrôles indispensables à vérifier lors de la transmission de pouvoirs à l’occasion d’un changement de direction. Par ailleurs, un « kit start up » permet d’adapter la mise en place des contrôles dans des entités de taille modeste ou en démarrage d’activité.

La remise des trophées PACI Awards lors des conventions du Groupe vient récompenser les filiales les plus performantes en matière de contrôle interne. S’appuyant sur un savoir-faire, le contrôle interne chez CFAO est aussi une affaire de faire-savoir, preuve d’un engagement partagé entre les filiales et la Direction Générale du Groupe. ■

L’Audit Interne propose, anime et développe des outils contribuant à améliorer la maîtrise quotidienne des opérations sur le terrain

La maîtrise des risques, entre ambitions et réalités3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS

27

Belle Histoire

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 27 27/11/13 19:42

Page 28: Livre blanc Crowe Howarth global risk

Une pression sur les ressources… On constate dans de nombreuses entreprises que les incertitudes liées à l’environnement économique conduisent certaines d’entre elles à revoir les ressources allouées au dispositif de maîtrise des risques, tant au niveau financier (déplacements, nombre de missions…) qu’au niveau des équipes dédiées au pilotage et à l’animation.

Cette tendance induit un double défi pour les responsables de la maîtrise des risques : assurer à la fois l’efficacité du dispositif et adapter les moyens mis en œuvre aux nouvelles contraintes fixées par la Direction Générale.

Pour répondre à ces enjeux, certains favorisent la dynamique d’intégration entre fonctions. Pour faire autant voire plus avec moins de moyens, certaines organisations ont, notamment, fait le choix de passer par des systèmes d’informations plus performants. Si deux tiers des entreprises utilisent un système d’information dédié à la GRC, c’est souvent pour alléger les activités les plus chronophages (cf. figure12) : collecte de données et

activités de suivi.

Autre moyen de diminuer les ressources allouées : renforcer l’implication des opérationnels pour en faire des acteurs majeurs du dispositif et limiter de fait les ressources dédiées exclusivement à l’animation de celui-ci en central.

Une pratique très répandue depuis plusieurs années illustre cette démarche : le processus d’auto-évaluation par les managers opérationnels. Il représente à la fois un moyen de suivi et de gouvernance à distance entre le Groupe et les entités, tout en renforçant l’implication de la première ligne de maîtrise. Mais il a un intérêt souvent moins affiché : limiter l’étendue des travaux de la deuxième ligne de maîtrise.

Cette pratique de contrôle interne s’est étendue à d’autres activités, dispositifs ou projets. Ainsi de nombreuses entreprises utilisent un processus d’auto-évaluation pour identifier et d’évaluer les risques.

3.2. DES CONTRAINTES À NE PAS SOUS-ESTIMER

La maîtrise des risques, entre ambitions et réalités3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS

61%

54%

50%

48%

39%

Figure 12Fonctionnalités couvertes par les outils de maîtrise des risques

28

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Organiser le suivi des plans d’actions

Évaluer (ou auto évaluer) le dispositif de contrôle interne

Gérer les processus d’identification des risques

Gérer la démarche et le suivi de l’Audit Interne

Organiser l’archivage documentaire des guides

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 28 27/11/13 19:42

Page 29: Livre blanc Crowe Howarth global risk

Améliorer la maîtrise des dépenses et la qualité du service offert

UN DISPOSITIF UNIQUE POUR UN DÉPARTEMENTCONSEIL GENERAL DE LA SEINE-SAINT-DENIS

Seule collectivité territoriale de France à réunir les fonctions de Gestion de Risques, Contrôle Interne et Audit Interne au sein d’une direction commune et dédiée (DACIGR), le Conseil général de la Seine-Saint-

Denis se distingue par sa volonté de mettre en place un dispositif de maîtrise des risques pragmatique, adapté à ses enjeux et ses moyens.

L’implication des managers opérationnels est la clé de voûte du dispositif, notamment pour l’identification des risques. Une cartographie par domaine d’intervention est réalisée et mise à jour annuellement sur la base d’une réconciliation des cartographies top-down et bottom-up.

De plus, cette matrice de risques et des contrôles clés met l’accent sur les implications budgétaires. Sa présentation à l’exécutif est articulée avec la préparation des orientations budgétaires, ce qui concourt notamment à améliorer la maîtrise des dépenses et la qualité du service offert, par exemple pour ce qui concerne l’exécution des marchés de travaux ou les dépenses d’hébergement dans le cadre de l’aide sociale à l’enfance. C’est sur ces apports du contrôle interne à la maîtrise des activités que repose l’extension de la démarche à d’autres processus et prestations. ■

La maîtrise des risques, entre ambitions et réalités3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS

Certains éditeurs de la place ont bien compris l’intérêt d’une exploitation élargie des formulaires auto-déclaratifs pouvant facilement apparaître comme de nouvelles fonctionnalités pour la gestion des risques avec un investissement minimum.

... et une rationalisation de la démarcheLes exigences réglementaires et les objectifs fixés par les Directions Générales en matière de maîtrise des risques ont souvent conduit les entreprises à investir sur la mise en place de nouveaux contrôles. Or, la difficulté à identifier leur retour sur investissement, la survenue de défaillances majeures malgré leur existence couplée à la pression économique sur leurs ressources conduit de plus en plus d’entreprises à revoir leur approche pour rationaliser la liste de ceux qu’ils souhaitent conserver. Un exercice réalisé avec succès par le Conseil général de la Seine-Saint-Denis (cf. Belle Histoire).

Le défi est alors de réussir à réduire le volume des contrôles en place sans augmenter la vulnérabilité aux risques. Le premier effort réside dans l’identification puis la suppression de contrôles redondants. Dans une deuxième phase, les animateurs du dispositif cherchent généralement à se rapprocher des objectifs fixés par l’entreprise pour en extraire une liste de contrôles incontournables à conserver. Enfin, de nombreux dispositifs cherchent aujourd’hui à automatiser une grande part des contrôles au sein des systèmes d’informations. Et une fois de plus, les éditeurs ont bien compris les opportunités issues de ces démarches. Ils s’engagent de plus en plus ouvertement lors des phases d’avant-vente sur des retours sur investissement éloquents. Mais sans même faire appel à un prestataire externe, un simple travail mené en collaboration avec les Directions Informatiques sur les systèmes existants permet d’équilibrer contrôles manuels et contrôles automatiques. ■

29

Belle Histoire

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 29 27/11/13 19:42

Page 30: Livre blanc Crowe Howarth global risk

Extrait d’un rapport dédié spécifiquement aux attentes des Comités d’Audit et un regard croisé avec les experts du risque et du contrôle interne, publiés prochainement.

« Notre rôle est de nous assurer que la stratégie de l’entreprise telle qu’elle est définie par le Conseil, est mise en œuvre par la Direction Générale en toute sécurité »

LE VRAI COMITÉ STRATÉGIQUE ?Ainsi, le Comité d’Audit doit d’abord se soucier de la bonne compréhension de la stratégie de l’entreprise et du partage des responsabilités définies avec le Conseil. Tout en reconnaissant l’importance des éléments financiers, certains membres des Comités d’Audit expriment une volonté de s’éloigner parfois des chiffres afin de mieux comprendre leur pertinence compte tenu des enjeux stratégiques de l’entreprise. D’autres remettent en cause l’existence même d’un comité stratégique du Conseil et insistent sur la nécessité d’administrateurs communs aux deux comités.

Ils attendent des experts du risque unecapacité à synthétiser et évaluer les risques liés au déploiement opérationnel de la stratégie de l’entreprise, les actions prises ou à prendre pour les maîtriser et une opinion sur la maturité du dispositif.

CONNAITRE LES MARCHÉS (ÉMERGENTS)

Une stratégie de croissance nécessite aujourd’hui une présence de plus en plus forte dans les pays émergents notamment tels que la Chine, l’Inde, le Brésil, la Russie, certains pays africains, sud-américains ou de l’Est de l’Europe. Pour le Comité d’Audit, le suivi de l’efficacité du dispositif de gestion des risques et du contrôle interne sur un périmètre géographique aussi large devient complexe compte tenu de certaines lacunes sur les pratiques de ces marchés. Il attend dès lors des experts du risque qu’ils soient en mesure de leur fournir une lecture de la culture et des pratiques. Cela implique notamment une présence locale, ainsi qu’une diversité culturelle et linguistique des équipes qu’ils animent.

Sur ces marchés émergents, le Comité d’Audit est particulièrement sensible à un autre sujet : la fraude. Les indices de corruption y sont généralement assez élevés et les experts du risque sont ainsi largement mis à contribution notamment au travers de la mise à disposition de compétences en matière de prévention, détection et parfois, investigation de la fraude.

Il faut néanmoins noter qu’une minorité (essentiellement issue des secteurs non-règlementés) d’entre eux considère que la fraude est un risque comme un autre, et ne mérite pas plus d’attention compte tenu du caractère souvent limité des montants en jeu.

ATTENTION À LA TRANSFORMATION

La poursuite de la stratégie passe inévitablement par des transformations significatives. Une transformation majeure est souvent synonyme de modification de l’organisation, impactant parfois les hommes qui la composent.

31%

60%

63%

65%

85%

90%

La maîtrise des risques, entre ambitions et réalitésUN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT

Figure 13Les sujets traités par les Comités d’Audit

30

La prise de connaissance des travaux de l’Audit Interne

La prise de connaissance des travaux des Commissaires aux Comptes

L’existence et le déploiement des systèmes de contrôle interne et gestion des risques

L’examen des risques identifiés par les dispositifs mis en place par la Direction Générale

Le suivi des actions correctrices de faiblesses identifiées

L’évaluation de risques significatifs non identifiés qui viendraient à sa connaissance

Source : étude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 30 27/11/13 19:42

Page 31: Livre blanc Crowe Howarth global risk

C’est là où les Comités d’Audit sont très vigilants : les experts du risque (la deuxième et la troisème ligne de maîtrise) sont souvent les premières cibles des managers en quête de réductions de coûts. Leur choix se justifie par la difficulté de démontrer la valeur concrète de ces dispositifs et le lien direct avec la performance de l’entreprise. Pourtant, et paradoxalement, c’est bien au cours de cette phase de transformation que le profil de risque d’une organisation évolue le plus. Le dispositif de gestion des risques, de contrôle et audit internes devient alors un élément clé de la pérennité d’un tel programme de transformation.

Le Comité d’Audit est clair : chacun doit contribuer aux économies nécessaires au maintien de la compétitivité de l’entreprise, mais celles qui coupent trop profondément dans le dispositif de protection risquent, à terme, d’en payer le prix fort.

QUELLE CRISE ?Un élément important dans le dispositif de gestion de risques et de contrôle interne est la capacité d’une organisation à prévoir et à gérer des crises de toute nature. Dans leur rôle de suivi du dispositif, les Comités d’Audit sont pour l’instant assez divisés.

Pour certains, la gestion de crise est mature, mise à l’épreuve régulièrement (en simulation ou en situation réelle), les alertes systématiquement suivies et traitées. C’est un point constamment porté à l’ordre du jour et un maillon important de la protection de l’entreprise.

Pour d’autres, le sujet n’est abordé qu’en cas de besoin. Le comité estime que la probabilité d’un évènement donnant lieu à une crise menaçant la survie d’une entreprise est très faible et ne peut donc justifier l’investissement nécessaire à se prémunir de l’ensemble

d’éventualités improbables. Avec un certain pragmatisme, ils sont nombreux à considérer qu’il suffit de constituer un portefeuille diversifié de clients, marchés, produits et services. Peut-être suffira-t-il d’un évènement inattendu pour que ces entreprises changent d’approche?

UN PEU MOINS VAUT PLUSLa communication entre les Comités d’Audit et les experts du risque, contrôle et audit internes passe essentiellement par des réunions formelles (entre 4 et 6 par an en moyenne) avec relativement peu d’échanges en dehors de cette sphère. Le vecteur de communication principal sur le dispositif reste ainsi le rapport formel et périodique au comité. En général, les membres du comité apprécient le temps et l’effort consacré à la préparation de celui-ci (et leur présentation en séance).

Seuls 17% des experts de la maîtrise des risques concèdent une qualité perfectible de l’information transmise au Comité d’Audit, alors qu’il s’agit du principal reproche formulé par les membres de notre panel à leur encontre.

Cependant, l’attente d’une vision à la fois plus synthétique et plus précise reste plus que jamais d’actualité. Plusieurs comités reçoivent entre 100 et 120 pages de rapport quelques jours ou quelques heures seulement avant la réunion. Le sujet étant souvent complexe, ils sentent la volonté de la part des experts de couvrir une large partie du périmètre et de démontrer leur expertise sur celui-ci. Mais les Comités d’Audit disposent d’un temps limité et attendent ainsi des experts une capacité de synthèse leur permettant d’identifier les sujets prioritaires. Et a contrario, sur ces sujets prioritaires, le comité a besoin de détails et d’illustrations concrètes afin de pouvoir remplir son obligation de suivi.

Pour y répondre, les experts doivent se doter d’une méthode permettant d’évaluer, de hiérarchiser et de mettre en lumière les points impactant le plus la direction stratégique de l’entreprise. Une chose est certaine, la réussite de la communication entre le Comité d’Audit, les experts du risque et le managementrepose énormément sur la stabilité des interlocuteurs et leurs expériences de collaboration.

À ce jour, nos entretiens avec les présidents et les membres du Comité d’Audit ont soulevé l’importance stratégique des comités et la nécessité pour les experts de s’équiper afin d’accompagner les larges transformations de l’entreprise. Les nouveaux marchés, les nouvelles cultures, les partenariats de plus en plus étendus et la lutte contre la fraude sont les sujets de préoccupation en matière de risque. Et le Comité d’Audit compte sur les experts de l’entreprise pour s’informer efficacement sur la maturité du dispositif permettant d’y faire face.

Ils sont plusieurs à nous indiquer que la capacité à adopter un dispositif de gestion des risques et de contrôle interne efficace est devenue un outil managérial incontournable. Avec un peu de recul, cette capacité différencie les bons managers des excellents managers capables de développer l’entreprise dans la durée, en toute sécurité.

La maîtrise des risques, entre ambitions et réalitésUN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT

31

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 31 27/11/13 19:42

Page 32: Livre blanc Crowe Howarth global risk

Méthodologie

Livre-Blanc-V.Final.indd 32 27/11/13 19:42

Page 33: Livre blanc Crowe Howarth global risk

Les Trophées de la Maîtrise des Risques ont pour objectif de recueillir, d’analyser et de récompenser les meilleures pratiques observées chez les directions de l’Audit Interne, du Contrôle Interne et de la Gestion des Risques. Pour cela, l’étude s’est déroulée en trois étapes :

1. La réponse à un questionnaire en ligne par les experts des différentes entreprises (d’avril à août 2013),2. La rencontre en face-à-face avec les experts souhaitant concourir aux Trophées de la Maîtrise des Risques

et jugés comme suffisamment matures,3. La sélection des lauréats par un Jury d’experts indépendants.

79 entreprises/organisations ont complété le questionnaire en ligne, 36 se sont portées candidates aux Trophées de la Maîtrise des Risques, 22 ont été rencontrées en entretien et 13 dossiers de candidature ont été présentés au jury. ■

La maîtrise des risques, entre ambitions et réalitésMÉTHODOLOGIE

Description globale des entreprises / organisations ayant répondu au questionnaire en ligne :

Moins de 500Entre 500 & 2000Entre 2000 & 5000Supérieur à 5000

20%

14%

16%

Chiffre d’affaires (millions €)

24%

45%

20%

11%ServicesIndustriesBanques / Assurances /Services FinanciersAdministrations

Secteurs d’activité

19% 18%

Moins de 2500Entre 2500 & 10000Entre 10000 & 50000Supérieur à 50000

32%

Nombre d’employés

Secteur publicNon cotéeCotée

Cotation en bourse

19%

35%

31%

50%

46%

33

Source : étude Crowe Horwath Global Risk Consulting - IFACI

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 33 27/11/13 19:42

Page 34: Livre blanc Crowe Howarth global risk

Le jury et les lauréats de la 3ème édition

Livre-Blanc-V.Final.indd 34 27/11/13 19:42

Page 35: Livre blanc Crowe Howarth global risk

Jean-Martin Folz, Président du Jury, Administrateur d’Alstom, AXA, Saint-Gobain, Société Générale et Solvay

Farid Aractingi,Directeur Audit, Maîtrise des Risques, et Organisation du groupe Renault ; Président de l’IFACI

Didier Kling,Commissaire aux Comptes ; Président de Didier Kling et associés ; Vice-Président trésorier de la CCIP

Sylvie Le Damany, Associée au cabinet Jeantet, Avocat à la cour

Pierre-André Terisse, Directeur Général Finance de Danone

LE JURY DE LA 3ÈME ÉDITION

LES LAURÉATS DE LA 3ÈME ÉDITION

Grand Prix du Jury

GDF SUEZ

Gérard Mestrallet : Président Directeur GénéralDidier Retali : Membre du Comité Exécutif, Directeur de l’Audit et des RisquesXavier Bedoret : Directeur de l’Audit InterneMichel Dennery : Directeur du Management des RisquesJean-Christophe Kypriotis : Directeur du Contrôle Interne

Meilleure contribution de l’Audit Interne

1er : ArcelorMittalAditya Mittal : Chief Financial OfficerFrancis Lefevre : Head of Internal AssuranceAndreas Trogsch : General Manager Internal Assurance

2ème : CFAO Emmanuel Rozier : Directeur de l’Audit Interne

3ème : Dassault Systèmes Etienne Grobon : Corporate Audit Director

Meilleure contribution du Contrôle Interne

1er : TechnicolorStéphane Rougeot : Directeur Financier et StratégieVincent Lagadou : Secrétaire du Comité d’InvestissementGuillaume Litvak : Directeur de l’Audit et du Contrôle Internes

2ème : CFAO Olivier Marzloff : Secrétaire Général

Meilleur pilotage des risques

1er : La Française des JeuxChristophe Blanchard-Dignac : Président Directeur GénéralThierry Pujol : Directeur de la Gestion des Risques et de la Sécurité Alain Gravier : Responsable du Département Management Central des Risques

2ème : Atos Daniel Milard : Group Senior Vice-President Internal Audit & ERM

2ème ex æquo : Gemalto Sophie Mauvieux : Corporate Risk & Internal Control Director

Prix spécial du Jury

Conseil général de la Seine-Saint-Denis

Stéphane Troussel : Président du Conseil généralYannis Wendling : Directeur de l’Audit et du Contrôle Internes et de la Gestion des Risques

35

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 35 27/11/13 19:42

Page 36: Livre blanc Crowe Howarth global risk

2

LES LAURÉATS DE LA 2ÈME ÉDITION

Grand Prix du Jury

DanoneEmmanuel Faber : Directeur Général DéléguéPierre André Terisse : Directeur Général FinancePhilippe Hellich : VP Ethique, Risques, Contrôle et Audit

Meilleure contribution du Contrôle Interne

1er : Pôle EmploiDominique-Jean Chertier : Président du Conseil d’AdministrationThierry Lemerle : Directeur Général Adjoint

2ème : Allianz Benedict Aucoin: Directeur du Contrôle des Risques

3ème : Thalès Marc Darmon : SVP Audit et Contrôle Interne

Meilleure cartographie des risques

1er : ThalèsLuc Vigneron : Président Directeur GénéralBruno Biguet : Directeur Risques et Contrôle Interne

2ème : ArcelorMittal Francis Lefevre : Head of Internal Assurance

3ème : Réseau Ferré de France

Xavier Roche: Directeur de l’Audit et des Risques

Meilleure contribution de l’Audit Interne

1er : SodexoPierre Bellon : PrésidentRobert Baconnier : Président du Comité d’AuditLaurent Arnaudo : Directeur Audit Interne

2ème : ArcelorMittal Francis Lefevre : Head of Internal Assurance

3ème : Dassault Systèmes Etienne Grobon : Directeur de l’Audit Interne

36

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 36 27/11/13 19:42

Page 37: Livre blanc Crowe Howarth global risk

37

La maîtrise des risques, entre ambitions et réalitésREMERCIEMENTS

Nous tenons à remercier tout particulièrement les collaborateurs du cabinet Crowe Horwath Global Risk Consulting :

• le comité de rédaction : Jonathan Burnett, Jérôme Soual, Muriel de Kerizouët, Gabriel Standley• les contributeurs : Bertrand Maccarini, Isabelle Hayat et Olivier Chaduteau

Nous remercions également Farid Aractingi, Président de l’IFACI et Philippe Mocquard, Délégué Général de l’IFACI pour leur soutien apporté lors de cette étude.

Merci aux experts externes Julien Badiola et Victoria Lorenz, de Korn Ferry.

Nous remercions chaleureusement le Président du jury Jean-Martin Folz pour son implication avant et après le jury de sélection.

Enfin, nous remercions les membres du jury ainsi que tous les candidats aux Trophées de la Maîtrise des Risques qui ont fait de cette 3ème édition un succès. ■

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 37 27/11/13 19:42

Page 38: Livre blanc Crowe Howarth global risk

Crowe Horwath Global Risk Consulting, c’est un cabinet unique spécialisé en Gouvernance Risque et Conformité. Avec 700 experts du risque situés dans les capitales économiques internationales et intégrés à un réseau de près de 29 000 spécialistes du domaine financier, notre équipe dispose d’une expérience significative en maîtrise des risques dans de multiples secteurs. Nos leaders participent activement aux missions et notre modèle s’appuie sur des recherches, des connaissances et l’analyse des pratiques que nous mettons ensuite au service de nos clients.

Notre mission : accompagner les groupes internationaux partageant nos valeurs dans la résolution de leurs enjeux stratégiques, en transformant leur gouvernance, en intégrant le risque dans la prise de décisions, et en définissant un dispositif de conformité efficient.

La maîtrise des risques, entre ambitions et réalitésA PROPOS

38

L’IFACI rassemble les professionnels de l’audit et du contrôle internes en France.L’Institut favorise la diffusion des normes internationales et des meilleures pratiques.Lieu de partage et d’accompagnement, il est l’organisme de référence en matière de formation professionnelle. L’IFACI est également le partenaire privilégié des organisations publiques et privées de toutes tailles souhaitant améliorer l’efficacité de l’ensemble de leurs dispositifs de contrôle interne.

L’IFACI est affilié à l’IIA (The Institute of Internal Auditors) qui bénéficie d’un réseau de 170 000 adhérents répartis dans plus de 160 pays.

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

Livre-Blanc-V.Final.indd 38 27/11/13 19:42

Page 39: Livre blanc Crowe Howarth global risk

39

La maîtrise des risques, entre ambitions et réalitésCONTACTS

Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013

CROWE HORWATH GLOBAL RISK CONSULTING

Jonathan BurnettPrésident Directeur GénéralTél : +33 1 53 53 03 [email protected]

Jean-Michel MathieuIT RiskTél : +33 1 53 53 03 [email protected]

Jérôme SoualBusiness RiskTél : +33 1 53 53 03 [email protected]

IFACI

Farid AractingiPrésidentTél : +33 1 40 08 48 [email protected]

Philippe MocquardDélégué GénéralTél : +33 1 40 08 47 [email protected]

Elisabeth WeissDirectrice de la communication et des évènementsTél : +33 1 40 08 48 [email protected]

Livre-Blanc-V.Final.indd 39 27/11/13 19:42

Page 40: Livre blanc Crowe Howarth global risk

La maîtrise des risques, entre ambitions et réalités

Livre-Blanc-V.Final.indd 40 27/11/13 19:42