Risques opérationnels et le système de

contrôle interne:

définitions et les limites d’un tel système

Maria Tootell

26 septembre 2018

http://www.oprisko.ch/

Présentation d’Intervenants

2

Jean-Jaques KOHLER

Vice-président OPRISKO, expérience de plus de 10 ansdans le domaine des risques opérationnels bancaires(banque privée).

Maria TOOTELL

Membre active et auditrice OPRISKO, plus de 15 annéesd'expérience internationale en qualité d’expert en financedans les domaines différents, notamment, les servicesfinanciers, l'aérospatiale, les sciences de la vie, latechnologie de l'information.

Présentation Oprisko

3

• Nous sommes une association non-lucrative

d’expert(e)s regroupant des « risk managers »

d’entreprises privées, publiques, des personnes

intéressées par la gestion des risques opérationnels,

ainsi que des chercheurs ou des étudiants.

• Nous menons des études de terrain d’intérêt public,

qui une fois terminées, font l’objet d’une publication

dans des journaux ou sont présentées lors d’une

conférence publique.

• Ces études sont menées par notre association en

collaboration permanente avec les secteurs public, privé

et universitaire.

Présentation du Groupe de

travail

4

• Le groupe d’étude est constitué de 8 à 10 personnes qui sont tous

des professionnels pluridisciplinaires motivés ou des étudiants.

• Le sujet d’étude annuel est choisi par les membres de

l’association.

• Les sujets d’études passées: cybercriminalité (2017), fraude interne

(2016), risque humain (2015).

• En 2018, nous avons choisi comme sujet « La gestion des risques

dans un contexte d’externalisation de service ».

Nous menons cette étude dans le cadre d’une formation

universitaire post-grade en gestion des risques d’entreprise.

Nous explorons le thème au travers d’une enquête de terrain

anonyme. Dès lors que les propos auront été analysés, un

article de synthèse sera publié dans la presse et sur le site

Oprisko.

Définition générale du

risque

5

Les dispositions internationales en vigueurdéfinissent le risque comme «effet d’incertitudepar rapport à l'objectif» - ISO 31000 (2018)

TRADUCTION: Pas d’objectif = Pas de risque.Par conséquent, le risque devrait toujours êtreévalué en fonction de l'établissement et de laréalisation des objectifs d’une organisation.

Risque Opérationnel

6

La définition du «risque opérationnel» la plus utiliséeest celle publiée par le Comité de Bâle sur le contrôlebancaire (2004):

Le risque de pertes provenant de l’inadéquation oude la défaillance des procédures internes, depersonnes, de systèmes ou suite à des événementsexternes.

TRADUCTION: C'est le risque inhérent pourn’importe quelle organisation.

Caractéristiques du Risque

Opérationnel

7

• Les risques opérationnels sont endogènes, ils sont spécifiquesaux aspects et circonstances de chaque société.

• Les risques opérationnels sont dynamiques, ils évoluent avecla stratégie commerciale, les processus, la technologie, laconcurrence, etc.

• Même s’ils ne sont pas d’origine financière, les risquesopérationnels ont cependant des conséquences financières.

• Les risques opérationnels ne supposent pas un rapport directentre le risque et le revenu.

IMPLICATION

• Si le risque n’a pas lieu, il n'est pas possible d'être certain del'impact qu’il aura.

• Les stratégies les plus efficaces pour diminuer les risquesopérationnels impliquent des changements dans les processus,les technologies, l'organisation et le personnel.

Sources du Risque

Opérationnel

8

Personnes Soit: fraude; violation des lois sur l'emploi;activité non autorisée; perte/manque depersonnel clé; formation inadéquate;supervision inadéquate.

Procédures Soit: échecs de paiement ou de règlement;documentation inadéquate; erreurs dans lesmodèles et les processus d'évaluation et de prix;échecs dans la gestion de projets; établissementde rapports internes /externes.

Systèmes Soit: échecs dans le développement et la miseen œuvre de systèmes techniques ainsiqu’échecs du système lui-même; ressourcesinadéquates.

Evénements

externes

Soit: crime; risque d’externalisation des services(et de sous-traitance); catastrophes naturellesou pas; risque réglementaire; risque politique;échecs des services publics; compétition.

Contrôle Interne

9

Le Contrôle Interne est défini comme un processusdéterminé par le conseil d'administration, la direction et lepersonnel, conçu pour fournir une assurance acceptablequant aux objectifs dans les domaines suivants:

Efficacité et efficience des opérations

Fiabilité des rapports financiers

Conformité aux lois et aux règlements

Le Contrôle Interne est l'un des principaux moyens degérer les risques:

Anticiper et maîtriser les risques prévisibles

Accompagner la prise de risque stratégique de manièrevolontaire

Réduire l’impact des risques incontrôlables

Cadre du Système de

Contrôle Interne

10

• Le cadre de contrôle le plus largement reconnu et misen œuvre est celui du “Committee Of SponsoringOrganizations” (COSO).

• Alors que le modèle COSO a été créé en 1992, sarenommée est née suite à la publication de la loi Sarbanes-Oxley de 2002 (qui a confié aux administrateurs et auxdirigeants de nouvelles responsabilités de supervision),ceci après l'effondrement de plusieurs entreprises commeEnron (géant américain de l'énergie) et WorldCom (la plusgrande entreprise de télécommunications aux États-Unis).

• En 2013, en réponse aux changements des modèlesd'affaires des entreprises et pour répondre aux attentesaccrues des organismes de réglementation et autresintervenants en matière de gouvernance, de gestion desrisques et de prévention des fraudes, le COSO a publié unemise à jour du cadre de contrôle.

Contrôle Interne – Cadre

Intégré du COSO

11

QUOI,

COMMENT?

PROCESSUS DE

CONTRÔLE

Que fait l'organisation

pour atteindre ses

objectifs et comment

elle procède

QUI?

L'ensemble de

l'organisation est

responsable de

l’entreprise et du

fonctionnement de

celui-ci

POURQUOI?

Dans l'intérêt de

la réalisation des

objectifs des

organisations

COSO Cube (2013 Édition)

Limites du Système de

Contrôle Interne

12

Il existe plusieurs restrictions inhérentes à tout systèmequi réduisent le taux de contrôle. Ces limites sont lessuivantes:

• La collusion. Deux ou plusieurs personnes censéescontrôler et surveiller les unes les autres pourraient à laplace s'entendre pour contourner le système.

• L’erreur humaine. Une personne impliquée dans unsystème de contrôle pourrait simplement faire une erreur,par exemple en oubliant une étape de contrôle. Ou bien,une personne qui ne comprend pas comment un systèmeinformatique doit être utilisé ou ne comprend pas lesinstructions du système.

Limites du Système de

Contrôle Interne (suite)

13

• Le passer outre de la direction. Quelqu'un dans ladirection qui a l'autorité de le faire, pourrait annulern'importe quelle étape d'un système de contrôle pourson avantage personnel.

• Absence de séparation des tâches. Un système decontrôle pourrait avoir été conçu avec une séparationdes tâches insuffisante, de sorte qu'une personnepourrait intervenir dans son bon fonctionnement.

Conclusion

14

• Le cadre de contrôle est conçu pour fournir uneassurance raisonnable quant à la réalisation desobjectifs liés aux opérations, aux rapports et à laconformité. Une assurance raisonnable équivaut à unniveau de confiance satisfaisant compte tenu descoûts et des bénéfices liés aux risques.

• Le management devrait prendre en considérationces limites inhérentes lors de la sélection, dudéveloppement et de la mise en place des contrôles.

• L'organisation doit évaluer le système de contrôleinterne sur la base des aspects formels ainsiqu’informels tel que des relations personnelles, laculture organisationnelle, etc..

Merci pour votre attention

Questions?

15

Cas pratiques issus de la gestion des risques,

applicables au secteur public ou privé.

Jean-Jaques Kohler

26 septembre 2018

http://www.oprisko.ch/

Cadre de gestion des risques

Environnement Risques opérationnels

Gouvernance

Scénarios et modélisation

Reporting

Indicateurs

Plans d’actions

Identifier

les

indicateurs

-clé de

risques et

contrôles

Spécifier

l’appétit du

risque

Evaluation Risques et Contrôles

Plans d’actions

Identifier les

risques et les

responsables

Evaluer la

probabilité et

l’impact

Identifier les

contrôles et les

responsables

Evaluer le

design et la

performance

Evénements

Plans d’actions

Identifier

les

événement

s internes

et externes

Analyser

les causes

17

Qu’est-ce que le risque ?

• Selon ISO 31000:2018o Risque = effet de l’incertitude sur les objectifs

o Un risque est généralement exprimé en termes de sources de risque,

événements potentiels avec leurs conséquences et leur vraisemblance

Sources / Eléments• Stratégie• Environnement

Risques• Se traduisent en

incidents si se réalisent

Impacts• Financiers, non

financiers, réputation

Contrôles Gestion des incidents

18

Définition du risque opérationnel

• Selon le Comité de Bâle

o Risque de pertes directes ou indirectes dues à une inadéquation ou à une

défaillance des procédures, du personnel, des systèmes internes ou à des

événements extérieurs.

o Les risques juridiques sont inclus dans cette définition

19

Risque inhérent et Risque résiduel

• Risque inhérent (ou brut)

Risque brut = Probabilité x Impact

• Définition selon Gilbert de Mareschal :

o «on appelle risque inhérent le risque «brut» considéré

sans les éventuels moyens de protection ou de

contrôle mis en place par l’organisation. Le risque

résiduel est celui qui résulte du risque brut en tenant

compte des protections et des contrôles mis en

place».

20

Cas pratique : Département Police

• Rappel des objectifs :

Créer les conditions favorables pour garantir la sécurité des personnes et des biens.

o Assurer un taux de criminalité bas

o Assurer l’ordre et la tranquilité publiques

o Prévenir les infractions

o Assurer le respect des lois

o …

21

Départment Police : Appétit du risque

• “Assurer un taux de criminalité bas”

• Définition : “Le taux de criminalité est le rapport entre le nombre de crimes et délits constatés par les services de police et de gendarmerie et la population considérée.” source : INSEE

• Fixation des seuilso Vert : Réduction de X% du nombre d’infractions par rapport à l’année passée

o Orange : Si aucune amelioration ou faible dégradation constatée par rapport àl’année passée

o Rouge : Si dégradation de la situation par rapport à l’année passé

• Dans notre commune/canton, l’objectif est de rester à“Vert”

22

Suivi des risques

• Identifier les potentielles sources d’augmentation du taux de criminalité.o Environnement ? Les personnes se baladant dans la rue avec des couteaux,

changement dans l’éducation des enfants, etc.

o Interne ? Baisse du nombre de policiers par habitant, etc.

• Implémenter des indicateurs-clé permettant de suivre ou d’anticiper les risques

23

Baisse du nombre de policiers par habitant

• Principales causes :o Recrutement difficile

o Absentéisme

o Maladie / burn-out

o Budget alloué par les autorités

o Difficultés de planification des ressources

o Récupération des heures supplémentaires

o Etc.

o Vous constatez une augmentation de l’absentéisme, maladie, burn-out. Que faire ?

24

Surveillance du risque

• Baisse du nombre de policiers, prendre en considération le facteur humain dans la mise en place du dispositif.

• Elaborer une palette d’indicateurs qui anticipent les problèmes avant qu’ils ne surviennent.

25

Exemple : Recenser les problèmes par employé

• indicateur 1 : Qui de mes employés sur le 6 derniers mois, a effectué plus de 300h supplémentaires ?

• indicateur 2 : Qui de mes employés n'a pas pris 15 jours de vacances consécutives sur l’année écoulée ?

• indicateur 3 : Qui sont les employés qui ont eu un accident sur l’année écoulée.(ceci peut démontrer une fatigue) ?

• indicateur 4 : Qui de mes employés n’est pas tombé malade sur l’année écoulée. (trop de stress = donc pas d’absence) ?

• indicateur 5 : Qui de mes employés est tombé malade 20j consécutivement ou 30j de manière perlée sur l’année ?

• indicateur 6 : Nous avons une case à cocher dans les évaluations de fin d’année « ma charge de travail est trop élevée » : qui de mes employés à coché cette case dans son formulaire d’évaluation ?

• indicateur 7 : Qui de mes employés est en charge d’un projet majeur pour l’entreprise/département/service, qui l’occupe plus de 30% de son temps de travail en plus de sa charge habituelle. (exemple : absence d’un collègue pour burn-out = souvent projet majeur pour l’équipe qui reste) ?

Exemple : Si je prends l’employé Cyrille REYNARD combien d’indicateurs s’allument parmi la liste qui précède ? 1, 2, 3, 4, 5, 6, 7

26

Exemple : Analyser les données par employé

• indicateur 1 : Qui de mes employés sur le 6 derniers mois, a effectué plus de 300h supplémentaires ? OUI• Indicateur 2 : Qui de mes employés n'a pas pris 15 jours de vacances consécutives sur l’année écoulée ?

OUI• indicateur 3 : Qui sont les employés qui ont eu un accident sur l’année écoulée.(ceci peut démontrer une

fatigue) ? NON• indicateur 4 : Qui de mes employés n’est pas tombé malade sur l’année écoulée. (trop de stress = donc pas

d’absence) ? OUI• Indicateur 5 : Qui de mes employés est tombé malade 20j consécutivement ou 30j de manière perlée sur

l’année ? NON• Indicateur 6 : Nous avons une case à cocher dans les évaluations de fin d’année « ma charge de travail est

trop élevée » : qui de mes employés à coché cette case dans son formulaire d’évaluation ? OUI• Indicateur 7 : Qui de mes employés est en charge d’un projet majeur pour

l’entreprise/département/service, qui l’occupe plus de 30% de son temps de travail en plus de sa charge habituelle. (exemple : absence d’un collègue pour burn-out = souvent projet majeur pour l’équipe qui reste) ? OUI

1, 2, 3, 4, 5, 6, 7

Exemple : Cyrille REYNARD = 5 indicateurs positifs. Cet employé est presque dans le rouge.

27

Exemple : Traitement du risque

• Cette étape consiste à prévoir directement un plan d’action pour les personnes dans le rouge. Analyser les charges par départements / entités également pour éviter les absences en cascade.

Exemple :

• - forcer l’éloignement et la prise de vacances si applicable.- décharger la personne de certaines activités.- traiter l’équipe si le problème est plus générale dans l’équipe.

Objectif : Eviter la réduction d’effectif de policier pour garantir un service à la population adéquat et un taux de criminalité en ligne avec l’objectif de l’état.

28

Récapitulatif – Conclusion 1/2

Qu’est que le contrôle interne ?

Dans le contexte d’une organisation qui dispose d’objectifs (stratégique, opérationnel, etc.), le contrôleinterne est un dispositif au sein de l’organisation qui vise à maitriser au mieux l'ensemble desprocessus mis en œuvre par l'entreprise pour réaliser ses objectifs.

Plus value du système de contrôle interne pour l’organisation ?

• Anticiper et maîtriser les risques prévisibles - > Mieux maîtriser les budgets.

• Accompagner la prise de risque stratégique - > Réduire la probabilité et l’impact du risque de manière efficace.

• Réduire l’impact des risques incontrôlables -> Prévenir, entraîner l’organisation et ses dirigeants par la mise en place de scénario, stress test, etc.

• Un système de contrôle de risque efficace permet d’améliorer le service public au citoyen. Attirer de nouveaux contribuables et éviter des problèmes de réputation.

29

Conclusions 2/2

• Risk management dynamique (processus continu de gestion des risques).

• Qu’importe le dispositif en place pour gérer les risques la responsabilité de la maîtrise des risques incombe aux dirigeants.

30

Merci pour votre attention

• Poser la première pierre … par où commencer ?

• N’hésitez pas à nous solliciter, nos experts se tiennent à votre disposition.

www.oprisko.chm.tootell@oprisko.ch – mob.: (41) 79 705 21 87jj.kohler@oprisko.ch – mob.: (41) 79 486 72 76

c.reynard@oprisko.ch – mob.: (41) 79 203 60 89

31