livre blanc crowe howarth global risk

Click here to load reader

Post on 30-Oct-2014

33 views

Category:

Business

1 download

Embed Size (px)

DESCRIPTION

 

TRANSCRIPT

  • 1. La matrise des risques, entreambitions& ralitsLivre-Blanc-V.Final.indd 127/11/13 19:42

2. EditorialLivre-Blanc-V.Final.indd 227/11/13 19:42 3. Faire des affaires, cest prendre des risques. Pas toujours bien calculs ? La plupart des dirigeants et de leurs collaborateurs ont pu exprimenter, peu ou prou, la survenance de certains risques dans leur environnement proche. Mais survenance nest pas un terme positif : cest un euphmisme pour parler de dommages, voire de sinistres. Or, la plupart dentre eux peuvent tre anticips au moyen dun dispositif de matrise adapt. Ce dispositif de matrise des risques, pour tre et rester pertinent, doit voluer au mme rythme que les enjeux stratgiques et oprationnels quil couvre. Dans un contexte conomique toujours plus incertain, son ajustement continu assure lefficience des processus de lorganisation et une meilleure protection de ses investissements et de sa rputation cest dire, in fine, son utilit. Pourtant, la mise jour de tels dispositifs est rarement la priorit des dcideurs, qui attendent souvent dtre confronts aux consquences nfastes dun sinistre pour remettre plat les moyens de protection et dbloquer les ressources ncessaires. Cest donc pour mieux comprendre la ralit de ces dispositifs au sein des organisations importantes en France, et identifier les initiatives les plus cratrices de valeur, que le cabinet Crowe Horwath Global Risk Consulting et lInstitut Franais de lAudit et du Contrle Internes se sont associs pour organiser la troisime dition des Trophes de la Matrise des Risques. Au-del du recensement des pratiques de march, un jury dexperts indpendants et reprsentatifs a aussi eu loccasion dexaminer les bnfices apports par ce dispositif afin dtablir un palmars distinguant les meilleures contributions. Ce livre blanc a pour objectif dafficher les convictions de dcideurs et leaders dopinion sur ce quest, ou ce que doit tre moyen terme, un dispositif efficace et efficient de matrise des risques. Il est en particulier loccasion dillustrer les bnfices issus du modle des trois lignes de matrise, cest grce la clarification des rles et responsabilits des acteurs concerns, leur meilleure collaboration, la synergie des moyens ncessaires, laccompagnement des diffrents mtiers de lorganisation, et leur adaptation adquate aux lments exognes. Vous trouverez galement un aperu des attentes des Comits dAudit, grce aux changes que nous avons eu avec les prsidents et membres de certains comits de la place : vous connatrez leur clairage sur le suivi de lefficacit du dispositif par une des instances de gouvernance les plus importantes au sein des organisations. Nous remercions toutes les entreprises et administrations qui ont pris le temps de rpondre notre questionnaire en ligne et de nous accueillir pour de nombreux entretiens et changes. Nous flicitons chaleureusement tous les laurats qui ont, rsolument, mis en place des dispositifs concrets leur permettant de construire un modle de matrise des risques adapt aux enjeux actuels et de servir la performance durable de leur organisation.Jonathan BurnettCrowe Horwath Global Risk Consulting Prsident Directeur GnralFarid AractingiInstitut Franais de lAudit et du Contrle Internes Prsident3 Livre-Blanc-V.Final.indd 327/11/13 19:42 4. Sommaire3EDITORIAL61. LINTGRATION : UN INCONTOURNABLE 1.1. UN RAPPROCHEMENT DES ACTEURSLe modle des trois lignes de matrise, un socle commun Le regroupement des acteurs historiques La deuxime ligne de matrise resserre ses rangs LAudit Interne : un primtre largi1.2.VERS UNE ASSURANCE INTGRE Un besoin accru dinformations pertinentes Une priorit : les enjeux humains162. LA PERFORMANCE AVANT TOUT2.1. UN COMIT EXCUTIF DE PLUS EN PLUS SENSIBILIS Une implication renforce Le risque : un levier de profitabilit2.2. LES OPRATIONNELS PLUS INVESTIS Le Comit Managrial des Risques, un interlocuteur cl du middle management Des rfrentiels adapts la ralit des oprations Un dispositif align avec les attentes253. SADAPTER AUX NOUVEAUX ENVIRONNEMENTS 3.1. UN PRIMTRE TENDULa prise en compte progressive des risques tiers Face la diversit, un pragmatisme ncessaire3.2. DES CONTRAINTES NE PAS SOUS-ESTIMER Une pression sur les ressources et une rationalisation de la dmarche30 32 34UN REGARD SUR LES ATTENTES DU COMIT DAUDIT MTHODOLOGIE LE JURY ET LES LAURATS DE LA 3ME DITIONCopyright : Crowe Horwath Global Risk Consulting et IFACI, 20134 Livre-Blanc-V.Final.indd 427/11/13 19:42 5. 3QUESTIONS JEAN-MARTIN FOLZ Prsident du Jury de cette 3me dition des Trophes de la Matrise des Risques1 2 3Par quels lments, selon vous, se diffrencient les entreprises les plus matures ? Ce sont mon avis celles qui parviennent ce que tous leurs acteurs considrent la matrise des risques non plus seulement comme un simple moyen de matrise contre les menaces actuelles mais comme un outil prospectif dvaluation et de contrle des menaces futures, au service de la stratgie de lentreprise.Quelles volutions majeures percevez-vous pour les annes venir ? Si la matrise des risques est maintenant clairement reconnue comme une ncessit et si les outils du contrle interne sont aujourdhui bien identifis et largement employs, les annes venir devraient voir la progression de lautomatisation de ces outils au sein des systmes dinformation. Mais au-del des procdures et des outils, le facteur cl de progrs est et demeurera lthique individuelle et collective des dirigeants et de lensemble du personnel.Faut-il valuer un dispositif et comment le feriez-vous ? Le dispositif de matrise des risques ne saurait chapper aux rgles de bonne gestion et doit donc faire lobjet dune valuation objective de son cot pour lentreprise et des avantages quil apporte ; si les cots sont relativement faciles cerner, les avantages, qui sont des risques vits, sont certes identifiables mais par essence difficiles estimer. Quoi quil en soit, la capacit de lentreprise prvoir et matriser ses risques apparat bien comme un lment constitutif de son goodwill.Jean-Martin Folz, X- Mines, a occup depuis 1978 des fonctions successives la direction de plusieurs grands groupes, notamment la prsidence du directoire du groupe PSA Peugeot Citron. Il est aujourdhui administrateur au sein dAlstom, Axa, Saint-Gobain, Socit Gnrale et Solvay. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 20135 Livre-Blanc-V.Final.indd 527/11/13 19:42 6. Lintgration : un incontournableLivre-Blanc-V.Final.indd 627/11/13 19:42 7. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLE1.1 UN RAPPROCHEMENT DES ACTEURSLe modle des trois lignes de matrise, un socle commun+50% des entreprises interroges ont opr un rapprochement organisationnel*De nombreuses entreprises ont fait le choix dun modle de gouvernance organis autour des 3 lignes de matrise*, chaque ligne ayant un primtre, une mission et des activits formellement dfinis (cf. figure 1). Ce modle dtermine ainsi les rles et responsabilits de lensemble des parties prenantes au dispositif global de matrise des risques. Constitue des oprationnels, la premire ligne de matrise met en uvre la stratgie de lentreprise et les moyens ncessaires la matrise de ses activits. En deuxime ligne, les experts animent, structurent et coordonnent le dispositif. Enfin, la fonction dAudit Interne, reprsentant la troisime ligne se focalise sur lvaluation indpendante de celui-ci.Le regroupement des acteurs historiquesUne nouvelle tendance se confirme cette anne : le rapprochement des fonctions sous la supervision dun mme dpartement. Sans compromettre lindpendance de lAudit Interne, le regroupement des fonctions Gestion des Risques, Contrle Interne et Audit Interne est effectif dans 37% des organisations interroges (cf. figure 2). Il se traduit gnralement par un partage largi des rfrentiels et des plans correctifs.Les bnfices recherchs dun tel modle : responsabiliser les acteurs tous les niveaux de lorganisation, clarifier leurs rles et responsabilits dans le fonctionnement du dispositif, garantir la prise en compte des spcificits de chacun et dmontrer limportance dune approche globale. Le rle des fonctions support devient prpondrant : souvent en premire ligne (le choix adopt par le modle amricain de lIIA), elles peuvent en fonction de lorganisation tre positionnes en seconde ligne.Le rapprochement entre lAudit Interne et la Gestion des Risques, comme dans 26% des entreprises, favorise principalement lexploitation de la cartographie des risques par lAudit Interne.* Source : tude Crowe Horwath Global Risk Consulting - IFACIFigure 1Le modle des 3 lignes de matrise * Conseil dAdministration / Comit dAudit Direction Gnrale 1religne de matrise2me ligne de matriseFinance HSE Contrle de Gestion...*tel que dfini par lIFACI et lAMRAE (Association pour le Management des Risques et des Assurances de lEntreprise)Audit InterneRgulateurs Audit externeContrle InterneJuridiqueGestion des RisquesManagement oprationnelConformitR.H.AssuranceS.I.3me ligne de matriseCopyright : Crowe Horwath Global Risk Consulting et IFACI, 20137 Livre-Blanc-V.Final.indd 727/11/13 19:42 8. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLEEnfin, dans le cas dun regroupement du Contrle Interne avec la Gestion des Risques (13% des entreprises), la Gestion des Risques bnficie souvent dune meilleure lisibilit sur le niveau de matrise des risques, tandis que le Contrle Interne amliore la mise sous contrle des risques identifis par la cartographie.Gestion mise en avant par une rcente tude de lIFACI (voir prise de position IFACI / DFCG Pour une contribution conjointe et renouvele la performance des organisations ). Celles-ci mentionnent par exemple lintrt mutuel dune fiabilisation des donnes par le Contrle Interne et la mise en lumire de zones de vulnrabilits par le Contrle de Gestion. Toutefois, dautres opportunits restent concrtiser notamment en matire de tableau de bord commun capable dassocier les Key Performance Indicators aux Key Risk Indicators.La deuxime ligne de matrise resserre ses rangsCe rapprochement observ sur les fonctions historiques tend slargir aux autres acteurs de la seconde ligne de matrise. Ethique, Conformit, Qualit, Contrle de Gestion, Scurit les points de convergence sont nombreux. Ils appuient leurs dmarches sur une analyse transversale de lentreprise, participent la production de rfrentiels, et fournissent des lments de comparaison entre les entits oprationnelles. Llaboration dun rfrentiel de risques Projets chez GDF SUEZ en est la parfaite illustration (cf. Belle Histoire).Mais cette volont didentifier de nouvelles synergies au sein de la seconde ligne de matrise est surtout perceptible pour les fonctions dont les objectifs sinscrivent dans le long terme : Ethique, Conformit, Dveloppement Durable. Plusieurs rpondants mentionnent ainsi les attentes de leur organisation en matire dapproche environnementale (missions de gaz, consommation de matires premires, consommation dnergie, gestion des dchets, dpenses de protection de lenvironnement) et socitale (galit professionnelle, organisation du temps de travail, conditions dhygine et de scurit, emploi et insertion de travailleurs en situation de handicap). Les dispositifs globaux de matrise des risques sont alors confronts deux enjeux majeurs : mettre en uvre des actions concrtes pour tre conformes aux engagements pris par leur direction et communiquer efficacement sur leffort entrepris.Notre tude rvle ainsi que 16% des rpondants dveloppent une approche commune avec la Qualit (cf. figure 3). Oriente client , lapproche Qualit permet par exemple au Contrle Interne de mieux intgrer les activits oprationnelles de lentreprise et doptimiser le primtre de couverture de chacune des deux fonctions au profit dune meilleure couverture densemble. Certaines des organisations interroges confirment linteraction entre le Contrle Interne et le Contrle de Figure 2Regroupements des fonctions de la matrise des risques13% 24%37%Audit Interne, Gestion des Risques et Contrle Interne Audit Interne et Gestion des Risques Audit Interne et Contrle Interne Contrle Interne et Gestion des Risques26%Source : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 20138 Livre-Blanc-V.Final.indd 827/11/13 19:42 9. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLE15% des entreprisesrfrentiel avec soit interroges dclarent partager leurde nos changes avec un panel de membres de Comits dAudit (cf. Regard sur les attentes des Comits dAudit). Et au-del dun positionnement encore htrogne des acteurs sur ce sujet pineux de lindpendance, 75% des dpartements dAudit Interne assistent dj dautres dpartements dans leur dmarche doptimisation des processus et 34% dans les projets stratgiques de lentreprise (cf. figure 4).la Conformit, lEthique, la Qualit ou lEnvironnement, Sant et Scurit*Lvolution de la composition du Comit Managrial des Risques est un autre rvlateur du rapprochement au sein de la seconde ligne de matrise. En effet, lintgration dun plus grand nombre de reprsentants des fonctions de la seconde ligne de matrise contribue ce rapprochement. La vision sur les risques significatifs apprhender est largie et favorise une allocation plus pertinente des ressources disponibles.Les Directions de lAudit Interne sont donc en contact de plus en plus rgulier avec les oprationnels et malgr les avis divergents sur les conditions de ce rapprochement, la visibilit sur le degr de matrise des oprations en est alors amliore. Lvolution des profils des Auditeurs Internes illustre galement cette tendance. Ainsi, si 85% des entreprises disposent de profils gnralistes (cf. figure 5), une part significative est rserve des profils plus oprationnels. Cest une volont claire de disposer de spcialistes tout en conservant la rigueur et les fondamentaux mthodologiques de laudit comptable et financier.LAudit Interne : un primtre largiPar son rle, lAudit Interne dispose dune large connaissance de lorganisation, de ses collaborateurs et fait souvent office de rfrent. Mais si la tendance gnrale au rapprochement des fonctions de Gestion des Risques, Contrle Interne et Audit Interne est comprhensible, la ncessaire indpendance de la fonction continue de provoquer certaines apprhensions.Autre tendance forte : lintgration de spcialistes de la fraude dans 26% des cas (cf. figure 5). Thme dactualit depuis quelques annes, la spcificit des travaux mettre en uvre ncessite le recrutement de profils relativement rares ou la mise disposition de certaines ressources pour les programmes de certification internationaux (Certified Fraud Examiner). Au-del des conditions mettre en uvre pour la prserver, certaines qualits restent immuables : objectivit desprit, force de caractre et capacit dire non . Des critres qui semblent largement respects au vue* Source : tude Crowe Horwath Global Risk Consulting - IFACIFigure 3Partage des rfrentiels de matrise des risques entre dpartements 47%27% 14%13%avec la Conformitavec lEthique16%17%13%avec avec entre la Gestion entre lAudit entre lAudit Interne, la Qualit lEnvironnement des Risques et le Interne et la Gestion des la Sant Contrle Interne le Contrle Risques et et Scurit Interne le Contrle InterneSource : tude Crowe Horwath Global Risk Consulting - IFACICopyright : Crowe Horwath Global Risk Consulting et IFACI, 20139 2 Livre-Blanc-V.Final.indd 927/11/13 19:42 10. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLE Figure 4Primtre dintervention de lAudit InterneAudit de projets transverses81% 75% Assistance aux projets stratgiquesAssistance loptimisation des processus34%PERIMETRE DE LINTERVENTION DE LAUDIT INTERNE63% Audit pre-et post-acquisitionEvaluation de la maturit du dispositif de gestion des risques43%62% Audit de gouvernance ITSource : tude Crowe Horwath Global Risk Consulting - IFACIFigure 5Part des entreprises disposant de profils :62%15%Gouvernance15%Sant, Scurit et Gestion Environnementale26%75%Comptabilit et Finance85%Lutte contre la fraude et la corruption37%Provenant des OprationsGnralistesSystmes dinformationSource : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201310 Livre-Blanc-V.Final.indd 1027/11/13 19:42 11. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLEPlus dune vingtaine de rfrentiels de contrle interne, prenant appui sur lidentification des risques et sur les enseignements de lAudit Interne et cosigns avec les Directions des filires concernes Belle Histoire UNE COORDINATION RENFORCE AVEC LES OPRATIONNELS GDF SUEZRunies sous la supervision dun membre du Comit Excutif, les fonctions de Management des Risques, de Contrle Interne et dAudit Interne disposent dune direction propre, et travaillent de concert avec les oprationnels pour laborer des rfrentiels communs la fois pragmatiques et adapts aux enjeux et aux volutions du Groupe.Ainsi, depuis 2008, le Groupe a labor plus dune vingtaine de rfrentiels de contrle interne, prenant appui sur lidentification des risques et sur les enseignements de lAudit Interne. Ces rfrentiels sont cosigns avec les Directions des filires concernes (Finance, RH, Sant Scurit, Ethique, SI, Achats). Llaboration dun rfrentiel pour la gestion des projets de construction en est lillustration. Par ailleurs, le management des risques Projets ayant t identifi comme une action prioritaire dans la cartographie des risques du Groupe, un guide spcifique a t ralis, en troite collaboration avec la Direction des Grands Projets, des managers de projet et les Directions des filires concernes. Ce guide a t conu pour aider les managers identifier les risques ds le dmarrage dun projet et mettre en place le pilotage adquat. Il permet ainsi dtablir des principes, un cadre mthodologique et un vocabulaire communs au sein du Groupe. Ce guide sera enrichi rgulirement en intgrant les retours dexpriences, les enseignements tirs des audits internes et externes ainsi que les points de vigilance remonts par le programme Income du Contrle Interne. Le dispositif de matrise des risques de GDF SUEZ bnficie dun soutien fort : un sponsorship de la Direction Gnrale qui endosse lensemble des politiques et rfrentiels Groupe, et une forte attention du Comit dAudit en matire de Management des Risques, de Contrle Interne et dAudit Interne. Ce dispositif est fond sur une gouvernance structure entre le Corporate, les Branches et les entits du Groupe, qui organise la surveillance tous les niveaux (Comex, Revues de Branche, Revues dentit). Grce une dmarche pragmatique de dploiement et dadaptation des rfrentiels, le dispositif de matrise des risques favorise latteinte des objectifs du Groupe. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201311 Livre-Blanc-V.Final.indd 1127/11/13 19:42 12. Point de vuePar les experts de Korn Ferry LAgilit dApprentissage : catalyseur du succs du Directeur de lAudit InterneDans ces contextes changeants, les DAI, acteurs clef de ces mutations fonctionnelles sont donc rgulirement chahuts, au point que la lgitimit de certains pour relever ces dfis est remise en question. Depuis quelques annes, nombreux sont les groupes internationaux qui prennent le parti de considrer des profils aux parcours diversifis, souvent issus du srail financier, au risque bien sr davoir reconsidrer cette option en cas de nouvelle rupture. Dautres groupes en revanche font le choix de la continuit et de la confiance dans les experts de la filire, pourvu que ces derniers soient en capacit de grer efficacement ces situations nouvelles+[Matire premire The Right Stuff LAGILIT PERSONNELLE ET INTERPERSONNELLE Les DAI qui rpondent efficacement ces nouvelles attentes attachent de limportance leur dveloppement personnel et sont rceptifs aux feedback pour prendre conscience de leurs forces et faiblesses. Dans leurs rapports aux autres, ils ont la capacit dadapter leurs comportements aux personnes et situations, de communiquer avec efficacit, de grer les conflits de manire constructive et font preuve dempathie pour susciter la confiance des parties prenantes du dispositif global de gestion des risques. LAGILIT MENTALE Les DAI agiles mentalement savent sortir de leur zone de confort en dmontrant de la srnit dans leur apprhension des problmes nouveaux, complexes et ambigus. Ils aiment creuser les sujets en profondeur et cherchent lorigine des problmes avant de se proccuper de leurs consquences. LAGILIT AU CHANGEMENT Afin de proposer un service forte valeur ajoute et dassumer leurs responsabilits dans laccompagnement de la stratgie et la transformation de lentreprise, les DAI en russite refusent le status quo et se positionnent en rupture du sens commun dans lapport de solutions. Ils font preuveComptences acquises par lexprience]x chacune de ces tapes charnires, les entreprises et les professionnels des Ressources Humaines ont coutume de sinterroger sur les nouvelles comptences requises pour que ces collaborateurs soient en succs. Lors de la dernire rupture en date, savoir la crise conomique actuelle, nos homologues de Korn/Ferry aux Etats-Unis en collaboration avec Richard Chambers, Prsident de lInstitute of Internal Auditors (IIA), se sont dailleurs prts deux fois lexercice et ont livr leurs enseignements dans deux tudes rfrences ci-aprs (1).et ces changements de circonstances. Cette capacit, nous lappelons lAgilit dApprentissage que nous dfinissons au travers quatre attributs.de sens critique et de courage pour traiter les sujets et ont la capacit de rassurer et fdrer des collaborateurs potentiellement dstabiliss, autour dune approche de leur mtier nouvelle et diffrenciante. LAGILIT RSULTATS Les DAI qui dpassent les attentes, alors que leurs champs dapplication ont radicalement volu, disposent de ressources qui leur permettent de se dpasser. Ils font preuve dendurance pour ne pas perdre leur objectif de vue et daffirmation personnelle pour susciter ladhsion des dcideurs et de leurs collaborateurs leur projet de transformation. CONCLUSION LAgilit dApprentissage est une capacit relativement rare, majoritairement inne. Il nest donc pas tonnant que cette dernire soit aussi considre comme le catalyseur fondamental du potentiel (cf. schma ci-aprs). Elle peut cependant se dvelopper, puisquelle se nourrit des expriences. LAgilit dApprentissage constitue un facteur clef de succs indniable pour russir dans la dure face aux changements. La confrontation aux changements demeure une opportunit de la dvelopper. Julien Badiola & Victoria Lorenz Korn Ferry ParisAGILIT DAPPRENTISSAGE=En 15 ans, les Directeurs de lAudit Interne (DAI) ont travers plusieurs ruptures conjoncturelles, qui les ont contraints, plusieurs reprises, changer radicalement le champ de leurs applications, pour rpondre efficacement aux nouvelles attentes des Directions Gnrales.POTENTIEL Matire Premire : Intelligence exprimentale ( bon sens ) + stabilit motionnelle Exprience : Changement de poste, responsabilit, preuves, rencontres, feedback, formations, lectures, ... Agilit dapprentissage : Capacit et volont dapprendre partir des expriences (1) The relationship advantage: Maximizing CAE success (mars 2011) (1) License to Lead: Seven personal attributes that maximize the impact of the most successful CAE (juin 2010) (1) Ces tudes consultables et tlchargeables via le site : www.kornferryinstitute.com Copyright 2013.Korn/Ferry International, Inc. Tous droits rservs. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201312 2 Livre-Blanc-V.Final.indd 1227/11/13 19:42 13. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLE1.2. VERS UNE ASSURANCE INTGRE Un besoin accru dinformations pertinentesDvelopper une approche dAssurance Intgre, cest dabord identifier lensemble des acteurs contribuant au processus dassurance interne. Et cela ne concerne pas uniquement les acteurs de la deuxime et troisime ligne. Les Commissaires aux Comptes deviennent par exemple eux aussi des contributeurs. Une fois les contributeurs identifis, les organisations se concentreront avant tout sur le reporting intgr. Un seul objectif : la pertinence des informations transmises aux organes de gouvernance. En effet, le temps consacr au dispositif de matrise des risques voluant peu au sein de ces instances, la recrudescence observe des initiatives ne doit pas justifier une multiplication non coordonne des lments ports leur attention. Mais il ne faut pas pour autant ngliger les attentes de la premire ligne de matrise : les oprationnels. Nombreux sont ceux exprimer leurs frustrations devant la juxtaposition dinitiatives au dtriment de leurs activits quotidiennes. Combien de Directeurs dusine, ou de Directeurs comptables pointant du doigt une prsence simultane des quipes Qualit, de lorganisme de certification, des Auditeurs Internes et des Commissaires aux Comptes certaines priodes ? Chacun lorigine de leurs propres constats, rapports et futurs plans correctifs suivre.Au-del dune suppose allergie des oprationnels aux dispositifs de matrise, il devient primordial de dmontrer la cohrence globale de ces initiatives et surtout lutilit des informations collectes. Dans ces circonstances, mettre en exergue le lien entre la matrise des risques et les objectifs de lentreprise par des indicateurs synthtiques, pertinents, et partags par tous devient plus que jamais indispensable. Mais cet exercice est exigeant. Maintenir cette cohrence densemble dans la dure, entre diffrents acteurs et malgr lvolution constante des activits, est un objectif ambitieux. Contribuer fournir une Assurance Intgre est une dmarche audacieuse, exposant plus largement les individus et leurs dispositifs aux yeux de tous. Mais ceux qui y parviennent franchissent un pas : la mise disposition dinformations cls la prise dedcision stratgique ou oprationnelle. Et si la volont et la culture de lorganisation le permettent, lapproche dAssurance Intgre pourra ensuite stendre au volet organisationnel, la mise en commun des rfrentiels, des mthodologies et du systme dinformation. Cependant, ce niveau de maturit reste encore trs rare en France. Les politiques dAssurance Intgre font encore figure dexception alors que prs de 2/3 des entreprises dclarent pourtant lavoir mise en uvre (cf. figure 6). Une incomprhension certainement lie la difficult de distinguer une intgration des fonctions relativement mature sur le march franais et un modle dAssurance Intgre visant communiquer priodiquement et de faon concerte sur des indicateurs attestant de lefficacit du dispositif global.Figure 669%des organisations fournissent une Assurance IntgreSource : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201313 Livre-Blanc-V.Final.indd 1327/11/13 19:42 14. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLEUne priorit : les enjeux humainsOn peut facilement imaginer les freins comportementaux issus dune mise disposition collgiale dindicateurs, tant sur le niveau de transparence que sur linterprtation htrogne des donnes. Lenjeu de mise en uvre dune approche dAssurance Intgre ne se limite donc pas au seul protocole de collecte et de mise disposition dindicateurs. Il doit sappuyer sur deux pralables essentiels. Dabord, il doit tre le fruit dune volont exprime du Comit Excutif ou du Comit dAudit. Sans elle, il semble peu probable que des fonctions qui cherchent asseoir leur lgitimit par leurs propres expertises se tournent naturellement vers une intgration avec les pratiques dautres acteurs. Cest sans doute le facteur cl de russite du projet Combined Assurance Dashboard chez ArcelorMittal (cf. Belle Histoire). Ensuite, la mise en uvre doit tre confie un acteur reconnu et crdible au sein de lorganisation. Car porterce type dinitiative, cest aussi se confronter des leves de boucliers de la part de spcialistes trs prolifiques quand il sagit de justifier de la complexit de leurs expertises. Cest sans doute une des raisons pour lesquelles cette tche revient souvent lAudit Interne. Son indpendance, sa vision transversale, et son accs direct au Comit dAudit favorisent la prise de hauteur ncessaire face ce type de ractions. LAssurance Intgre est surtout le meilleur rempart contre lexistence de trou dans la raquette du dispositif global de matrise des risques. Certains dirigeants lont compris au regard dvnements survenus rcemment au sein de leur organisation. On pense notamment la fraude dont les indicateurs se trouvent diffrents niveaux de lorganisation selon que lon parle de prvention, de dtection ou dinvestigation. Chacun prsuppose des travaux des autres sans ncessairement avoir une vision des vritables drapeaux rouges lchelle du groupe. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201314 Livre-Blanc-V.Final.indd 1427/11/13 19:42 15. La matrise des risques, entre ambitions et ralits 1. LINTGRATION : UN INCONTOURNABLEUn tableau de bord labor pour fournir une vision synthtique, par business line et par processus dassurance, des indicateurs de performance Belle Histoire COMBINED ASSURANCE DASHBOARD ARCELORMITTALFort de plus de 170 auditeurs, le dpartement dInternal Assurance, qui regroupe la Gestion des Risques et lAudit Interne, se distingue la fois par lexpertise des profils, la diversit des parcours et la sniorit des collaborateurs qui le composent. Parmi les spcificits, nous pouvons citer un sponsorhip fort du CEO, lexistence dune quipe forensics rpartie sur lensemble des rgions du Groupe, une Internal Audit Academy, le Continuous Auditing (contrles automatiques sur les nombreux systmes dinformations) grce des auditeurs IT certifis, ou encore des benchmarks rguliers et formaliss avec les meilleures pratiques de la place. Mais linitiative qui se dmarque largement concerne le reporting unifi et synthtique des processus dassurance entre lensemble des lignes de matrise. Les quipes dInternal Assurance ont ainsi t lorigine dun tableau de bord labor pour fournir une vision synthtique, par business line et par processus dassurance, des indicateurs de performance. Mis jour mensuellement, ce tableau de bord permet de fournir au Top Management les indicateurs oprationnels suivre lors de ses nombreux dplacements dans les entits du Groupe. Au-del dune fiabilisation accrue au travers la rconciliation des diffrentes sources de donnes, cette initiative a permis de contribuer rationaliser de linformation fournie au Comit Excutif et au Comit dAudit. Au-del des enjeux techniques, le retour dexprience met bien sr en valeur la ncessit dun sponsorship capable de fdrer des acteurs aux enjeux distincts autour dune ambition commune. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201315 Livre-Blanc-V.Final.indd 1527/11/13 19:42 16. La performance avant toutLivre-Blanc-V.Final.indd 1627/11/13 19:42 17. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUT2.1. UN COMIT EXCUTIF DE PLUS EN PLUS SENSIBILISClient, sponsor, pilote, si le terme allou au rle jou par le Comit Excutif dans la matrise des risques est encore assez variable dune organisation lautre, son implication dans le dispositif est reconnue comme essentielle au dveloppement dune culture Risque.de responsabiliser les directions sur les risques ports par leurs activits mais aussi dassurer le lien entre des risques identifis un niveau stratgique et la ralit des activits de lentreprise.50%En 2011, des experts considraient la non adhsion du top management comme principal frein la mise en place du dispositif de matrise des risques, alors quils ne sont plus quePrs de des rpondants dclarent que laffectation du suivi des risques aux membres du Comit Excutif est un facteur diffrenciant pour garantir lexploitation oprationnelle du dispositif *Paralllement, les attentes du Comit Excutif envers le dispositif de gestion de risques ont volu pour ne plus se cantonner la conformit aux lois et rglements mais tendre vers une recherche de fiabilisation de la stratgie. Prendre des risques matriss et saisir des opportunits : un dfi lev pour le dispositif global de matrise des risques.Une autre tendance consiste largir cette approche vers les quipes dirigeantes des autres niveaux de lentreprise (branche, produits, pays, site), qui sont de la mme manire appeles se prononcer sur leurs risques majeurs. Cest notamment le cas pour les groupes aux modles dorganisation dcentraliss, voluant sur des marchs peu matures et o les contextes locaux diffrent des standards internationaux.41%31% en 2013 *Une implication renforceLe primtre dintervention du Comit Excutif sest ainsi longtemps limit lexercice annuel de cartographie des risques majeurs. Un exercice souvent peru comme administratif et restreint lidentification des risques. Et rarement suivi dorientations concrtes. Lvolution constante du primtre des organisations a depuis amen ces dernires faire du traitement des risques une de leurs nouvelles priorits. Lexercice didentification sinscrit ainsi de plus en plus dans un processus dynamique. Il intgre notamment une mise jour priodique de lunivers des risques pour le faire voluer au rythme de lenvironnement et des nouveaux enjeux de lentreprise. Lallocation des risques majeurs aux membres du Comit Excutif, tendance confirme par notre tude, confirme cette volont de renforcer lexploitation oprationnelle de lexercice didentification et de hirarchisation des risques. Cest ainsi que les oprationnels deviennent propritaires des risques, responsables de la mise en uvre des plans correctifs, et de leur suivi auprs des diffrents niveaux oprationnels. Lintrt est galementPour tre parfaitement efficace, lengagement de la Direction Gnrale doit tre vident aux yeux de tous. Bien sr, il doit prendre la forme dun engagement formel sur les politiques, les rfrentiels ou certains vecteurs de communication interne. Pourtant, la rptition et le rappel des fondamentaux, ainsi que lexemplarit de ceux qui incarnent lorganisation restent sans doute les leviers les plus efficaces pour mobiliser la premire ligne de matrise.2/3 principal le Prsident ou avoir comme des entreprises dclarent sponsor la Direction Gnrale ** Source : tude Crowe Horwath Global Risk Consulting - IFACICopyright : Crowe Horwath Global Risk Consulting et IFACI, 201317 Livre-Blanc-V.Final.indd 1727/11/13 19:42 18. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUTLe risque : un levier de profitabilitSi les rpondants lenqute reconnaissent une volution constante de la frquence de participation des experts du dispositif aux instances de prise de dcision (cf. figure 7), il existe nanmoins une frustration persistante sur ce sujet. Lvolution est-elle trop lente ? Certaines organisations, limage dATOS (cf. Belle Histoire), intgrent un reprsentant du dispositif de matrise au Comit Excutif pour garantir la prise en compte de ce volet dans les prises de dcisions stratgiques. Autre tendance observe : scuriser les projets. De la dcision dinvestissement la mise en uvre du projet, lclairage des experts de la matrise des risques est frquemment utilis. Ils bnficient la fois dune vision transversale et terrain leur permettant dapporter deslments objectifs ncessaires la prise de dcision oprationnelle cette fois-ci. Dautres passerelles avec les oprations existent limage du programme 8TICs lanc par Technicolor ou du Anti-Piracy et Compliance Program de Dassault Systmes (cf. Belle Histoire). On pense notamment lclairage fourni par un partage largi des risques identifis par le Comit Excutif avec les Comits dinvestissement ou les quipes commerciales. Mais la notion dapptence au risque reste dterminante et participe structurer les dbats sur les opportunits saisir : quel niveau de risque le groupe est-il prt accepter pour soutenir sa stratgie ? Ce niveau est-il partag et approuv par lensemble des directions du groupe ? Figure 7Participation des fonctions de la Matrise des Risques et de Contrle Interne la prise de dcision stratgique2011201344% 27% 32% 31% 15% 26% 9%16% Jamais Parfois Rgulirement ToujoursSource : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201318 Livre-Blanc-V.Final.indd 1827/11/13 19:42 19. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUTCombiner le respect des rgles de gouvernance, la gestion proactive des risques et la matrise des enjeux de conformit Belle Histoire LA FDRATION DES ACTEURS AU SERVICE DE LA GESTION DU RISQUE GLOBAL ATOSDepuis larrive de son Prsident Directeur Gnral et lacquisition des activits de Systmes dInformations de Siemens il y a 2 ans, Atos a considrablement renforc son dispositif de matrise des risques travers la fdration des fonctions Qualit, Scurit, Risques, Conformit, Dveloppement Durable et Contrle Interne, toutes places sous la coordination du Secrtaire Gnral qui prside le comit de conformit deux fois par mois. Lorganisation en 3 lignes de matrise est maintenant un processus solide qui, partir de la cartographie des risques majeurs intgre la gestion des diffrents risques et plus particulirement les risques projets. En effet, le groupe possde une approche spcifique pour grer les risques ds la rception de lappel doffres (processus Rainbow pilot par la Direction Financire). Revu en 2013 afin de mieux intgrer les risques de conformit et le contrle interne en amont de la contractualisation, celui-ci comprend des questionnaires cls, (rputation des clients et fournisseurs, partenaires commerciaux, clauses contractuelles) des niveaux dautorisation et dengagement, mais aussi une valuation dynamique du risque mtier depuis loffre jusqu la livraison du projet. Rainbow est donc un dispositif qui combine le respect des rgles de gouvernance, la gestion proactive des risques et la matrise des enjeux de conformit. Aller au-del de la seule protection vers la valorisation, pour transformer un risque en vritable opportunit Belle Histoire PLUS QUUN DISPOSITIF DE MATRISE DES RISQUES, UNE SOURCE DE REVENU ! DASSAULT SYSTMESLe monde du logiciel dans lequel volue Dassault Systmes reposant sur la valorisation dun capital immatriel, la mise en place dun dispositif de gestion des risques doit comporter un volet important de protection de sa proprit intellectuelle. Lapproche doit mme pouvoir aller au-del de la seule protection vers la valorisation, pour transformer un risque en vritable opportunit. En consquence, lAnti-Piracy and Compliance Program a t developp afin de protger la proprit intellectuelle et de gnrer des revenus supplmentaires. En effet, ce programme permet de traiter les risques de fraude lis lexploitation des licences de ses logiciels. Ainsi, une quipe ddie a pour objectif de convertir des utilisateurs illgitimes en clients lgitimes et de collecter ainsi les revenus logiciel perdus. Cette quipe fait partie du dpartement juridique, au sein du groupe proprit intellectuelle. Elle est dote de 20 personnes, et intervient dans 75 pays. Elle est aujourdhui considre comme un rel centre de profit pour lentreprise. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201319 Livre-Blanc-V.Final.indd 1927/11/13 19:42 20. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUTLe Top 12 des risques majeurs placs sous la surveillance rgulire des membres du Comit Excutif responsables du suivi des plans de mise sous contrleBelle Histoire UN DISPOSITIF DE CONTRLE PRAGMATIQUE ET INTGR TECHNICOLORAu-del de ses missions rgaliennes, la Direction de lAudit Interne du groupe Technicolor anime le processus TRM (Technicolor Risk Management) pour le compte du Comit Excutif. Celui-ci est en effet charg didentifier annuellement une vingtaine de risques majeurs parmi un univers des risques. Ces derniers sont ensuite classifis en 2 catgories : les Top 12 et ceux de la Watch List . Le Top 12 est ainsi sous la surveillance rgulire des membres du Comit Excutif qui porte la responsabilit du suivi des plans de mise sous contrle. Paralllement, la Direction du Contrle Interne anime le programme 8TICS lanc il y a 3 ans ( 8 pour 8me directive europenne, TIC pour Technicolor Internal Controls, et S pour Strategy). Elle est charge de maintenir et mettre jour le rfrentiel de risques et contrles 8TICS, et coordonne le processus dauto-valuation annuel. Lensemble des 400 risques du rfrentiel 8TICS peuvent tre rattachs la vingtaine de risques majeurs identifis dans le cadre du processus TRM. De la mme manire, ces derniers sont rattachs un des 14 processus (et 45 sous-processus) du rfrentiel 8TICS. Le sponsorship du Comit Excutif est donc concrtement illustr au quotidien au travers du rle central de ses membres dans les plans de mises sous contrle des risques du Top 12 . Le partage de rfrentiels de risques et de processus permet de garantir une vision commune et concerte. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201320 Livre-Blanc-V.Final.indd 2027/11/13 19:42 21. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUT2.2. LES OPRATIONNELS PLUS INVESTISLe Comit Managrial des Risques, un interlocuteur cl du middle managementLe Comit Managrial des Risques est un organe essentiel. Il relie le Comit Excutif aux enjeux mtiers du quotidien et assure ainsi la cohrence des actions. Sa composition est un indicateur probant de lappropriation par les oprationnels du dispositif de matrise des risques. Aujourdhui, 67% des Comits Managriaux des Risques sont prsids par des Directions autres que les experts de la matrise des risques (cf. figure 8). Un signe fortde limplication du top management sur ce sujet. Cette volution marque une double volont : largir le spectre du pilotage des risques lensemble des fonctions de lentreprise et renforcer le dialogue avec le middle management. Le Comit Managrial des Risques reste une instance privilgie pour homogniser les pratiques, rationaliser les efforts et travailler sur les points dintgration possibles entre les experts. Mais il devient surtout linstance destine recueillir les failles identifies par les oprationnels, et valuer avec eux la pertinence des actions mettre en place.Figure 8Qui prside le Comit Managrial des Risques (ou linstance excutive quivalente) ?40% Direction Gnrale / COMEX 33% Responsable du dispositif de matrise des risques 10% Responsable des Oprations 10% Responsable Financier 7% Secrtariat Gnral Source : tude Crowe Horwath Global Risk Consulting - IFACIDes rfrentiels adapts la ralit des oprationsSi la volont dintgrer et de sensibiliser les oprationnels est forte, les rfrentiels sont encore rarement adapts leur ralit. Certains leviers peuvent pourtant tre actionns facilement : construire le rfrentiel de contrles sur la base des processus mtiers ou de la chane de valeur de lorganisation, associer le lien avec les risques majeurs ouencore substituer les contrles manuels par des contrles automatiques grce quelques changes avec la Direction des Systmes dInformation. Dautres organisations comme Gemalto (cf. Belle Histoire) ont fait le choix de charger les oprationnels de la phase de dploiement. Le mode projet favorise alors lchange et chaque acteur de la premire ligne de matrise se sent propritaire du futur rfrentiel. Grce des contrles adapts la ralit des activits et aux procdures quotidiennes, la mise jour de celui-ci sen trouve nettement facilite. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201321 2 Livre-Blanc-V.Final.indd 2127/11/13 19:42 22. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUTPourtant, notre tude dmontre que limplication de certains acteurs mtiers doit aussi tre renforce. Le dpartement Ressources Humaines semble ainsi peu impliqu pour 66% des entreprises interroges (cf. figure 9). Il est pourtant un acteur cl du dispositifanti-fraude ou du dispositif dEthique (rappel des rgles, lments pouvant tre rcolts au cours des entretiens de dpart, gestion des objectifs, facteurs personnels favorisant certaines pratiques).Figure 9Implication des acteurs dans lactivit de la matrise des risques Peu impliqu Impliqu18% 82%Direction Financire26% 74%Direction Gnrale34% 66%Directions Oprationnelles35% 65%Direction des Systmes dInformation36% 64%Secrtariat Gnral36% 64%Direction Juridique66% 34%Direction des Ressources HumainesSource : tude Crowe Horwath Global Risk Consulting - IFACIUn dispositif align avec les attentes Malgr les initiatives associant les mtiers et les experts du dispositif de matrise, ce dernier ne semble pas encore offrir aux oprationnels les outils ncessaires la prise de dcision. Rapprocher le dispositif de la ralit des oprations et des projets reste donc un dfi permanent. 56% des entreprises souhaitent ainsi amliorer cette intgration (cf. figure 10). Concrtiser cette intgration, cest tre capable dtablir un lien avec le dispositif de pilotage de la performance, notamment au travers dindicateurs. Sur un site de production, un indicateur de suivi des variations des dlais de livraison dun fournisseur alertera le Directeur de production sur une potentielle rupture dapprovisionnement, pouvant occasionner la dgradation de la performance de la chane de production. Dans un autre cas, la rotation forte du personnel dun service, un changement dans lorganisation de lasparation des fonctions, une augmentation non explique des crances ges ou les retours de marchandises importants peuvent conjointement tre synonymes de fraude. Lambition est l : des indicateurs de risques au service des oprations. Mais au-del de la construction dindicateurs favorisant la prise de dcision oprationnelle, certains dispositifs, comme celui de La Franaise des Jeux (cf. Belle Histoire) ont fait le choix de rpondre plus directement encore au quotidien des activits. Au-del du pilotage de la performance, le dispositif de matrise des risques doit permettre de grer efficacement les crises de toute nature affectant lorganisation. On assiste ainsi la multiplication des exercices de gestion de crise et surtout, leur mise lpreuve. Ils ne font plus figure dexception aussi bien lchelle du groupe pour 36% des entreprises quau niveau local (47%) (cf. figure 11). Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201322 Livre-Blanc-V.Final.indd 2227/11/13 19:42 23. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUTPlus de 100 Crisis Management leaders et de 600 managers forms au travers de simulations de crise Belle Histoire UN PROGRAMME DE GESTION DES RISQUES ET DE GESTION DE CRISE BAS SUR LA FORCE DUN RSEAU GEMALTOLa Directrice du Risque et du Contrle Interne anime le dispositif de cartographie des risques, de gestion de crise et le plan de continuit dactivit. Elle sappuie sur des Sponsors (membres du senior management), des Risk Management champions (dsigns par chaque Sponsor pour animer le dispositif au niveau de leur segment, dpartement), des Risk owners et des Action owners . Les Risk owners sont slectionns pour leur capacit proposer et coordonner un plan dactions de faon transversale en faisant intervenir diffrents Action owners . Le dispositif de gestion de crise, formalis et mis lpreuve lchelle du Groupe et des entits oprationnelles, repose sur plus de 100 Crisis Management leaders et sur plus de 600 managers de toute lentreprise forms au travers de simulations de Crise. Ce programme global de formation initi ds 2009, sest achev en 2012. Les formations continuent, la demande, dans une dmarche damlioration continue et ce volet est depuis intgr au catalogue des formations du groupe. La prparation la gestion de crise est lobjet dune valuation systmatique de lAudit Interne lors des revues de conformit. A noter, le lancement dun programme similaire sur le Plan de Continuit (chance en 2014). Figure 10Amliorations souhaites pour lorganisation de la matrise des risques2011 2013 Responsabilisation des principaux acteurs de lorganisation54% 63% 57% 56%Intgration dans les dispositifs de pilotage de la performance61% 51%Suivi des plans daction et retours dexprience10% Source : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201323 Livre-Blanc-V.Final.indd 2327/11/13 19:42 24. La matrise des risques, entre ambitions et ralits 2. LA PERFORMANCE AVANT TOUT Figure 11Prsence du dispositif de gestion de crise 100%100%36%47%Formalis et mis lpreuve (simulation ou ralit) 29%36%29%A lchelle du groupeFormalis uniquement25%A lchelle localeInexistantSource : tude Crowe Horwath Global Risk Consulting - IFACIUne action tendue la prise en compte des risques dans le pilotage des projets majeurs et la mise en uvre dun plan de continuit dentreprise Belle Histoire LA GESTION DES RISQUES ET LA SCURIT AU CENTRE DES ACTIVITS DE LA FRANCAISE DES JEUXLa Direction de la Gestion des Risques et de la Scurit de FDJ est notamment en charge dassurer le pilotage centralis des risques du Groupe La Franaise des Jeux et den garantir la prise en charge dans les activits et les projets de lentreprise. Elle porte galement la responsabilit de lintgrit et la scurit des oprations de jeux dans les rseaux de distribution dans le cadre de la lutte contre la fraude et le blanchiment dargent. La premire mission est confie au dpartement Management Central des Risques. Le systme de gestion des risques de FDJ a la particularit davoir t bti dans une dmarche damlioration permanente. Ce dernier capitalise dune part sur le standard de scurit de la World Lottery Association, qui intgre une certification ISO 27001 relative la scurit de linformation, et dautre part, sur un dispositif descalade et de gestion des incidents et crises. Appuy sur un rseau fonctionnel de correspondants dans les diffrentes entits de lentreprise, il a ensuite tendu son action des sujets comme la prise en compte des risques dans le pilotage des projets majeurs ou la mise en uvre, en cours, dun plan de continuit dentreprise. Cette dualit entre des aspects trs concrets et dautres plus abstraits se retrouve aussi dans les activits du dpartement Scurit des Jeux, qui fait par exemple appel des algorithmes sophistiqus pour dtecter des comportements atypiques notamment sur les paris sportifs. Ce dpartement a diligent en 2012 prs de 23 000 inspections dans son rseau de points de vente. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201324 Livre-Blanc-V.Final.indd 2427/11/13 19:42 25. Sadapter aux nouveaux environnementsLivre-Blanc-V.Final.indd 2527/11/13 19:42 26. La matrise des risques, entre ambitions et ralits 3. SADAPTER AUX NOUVEAUX ENVIRONNEMENTS3.1. UN PRIMTRE TENDULa prise en compte progressive des risques tiersDepuis la fin des annes 90, les entreprises font de plus en plus appel des parties tierces dans le cadre de leurs activits. Phnomne qualifi d Extented Enterprise par les anglo-saxons, cette formulation apporte un clairage nouveau sur lvolution des frontires de lorganisation. Le risque nest plus un vnement que lon peut matriser en activant des dispositifs internes. Il ncessite une rflexion plus large sur le degr dexposition : supply chains intgres, contrats de sous-traitance, partenariats, ou encore joint-ventures. La rputation de lentreprise est dsormais entre les mains dun tiers. Le dveloppement de cette pratique est invitable. Les rglementations et la jurisprudence insistent sur le fait quune entreprise peut sous-traiter ses activits, mais pas ses responsabilits. Et le risque tiers peut prendre de nombreuses formes : perte de donnes informatiques, atteinte la proprit intellectuelle, conditions de travail et de scurit chez certains sous-traitants, pratiques commerciales de certains partenaires Le dfi des entreprises est donc de matriser ces risques alors quelles nont pas la main sur le dispositif au quotidien. Pour y faire face, elles doivent dvelopper des techniques en amont et des outils de suivi adapts. Certaines organisations ont par exemple mis jour les programmes de due diligence, ou les processus de recours un prestataire. Celles-ci partent du principe que les termes contractuels standards sont peu efficaces si le partenaire nest pas fiable.Les processus oprationnels apparaissent galement parfois comme complexes, spcifiques ou ncessitant une adaptation lourde et coteuse. L encore, cest la relation de confiance qui doit prendre le pas. Le contenu des rfrentiels prsents ncessite aussi une expertise qui est par dfinition peu prsente au sein de lentreprise puisquelle est externalise. Si les comptences ne sont pas ou plus prsentes, alors le recours une assistance technique se rvle tre un contrle prventif de premier ordre. Bien sr, ces cots de mise sous contrle sont intgrer dans lvaluation dune opportunit.Face la diversit, un pragmatisme ncessaireRorganisation, oprations de croissance externe ou implantations sur de nouveaux marchs : les mutations organisationnelles permanentes impactent les risques auxquels les entreprises sexposent. Certaines font le choix de laisser une marge de manuvre importante vis--vis de leurs standards, compte tenu de lADN de leur groupe. Cest par exemple le cas de CFAO qui a su adapter son Programme dAmlioration du Contrle Interne (cf. Belle Histoire) son environnement. Question de culture, de tolrance et de diversit. La culture, car certaines dentre elles ne souhaitent pas entraver lesprit entrepreneurial local. Elles intgrent certaines latitudes dans le rfrentiel de contrles et de procdures. La tolrance, car pour certains risques (thiques, comportementaux), les mmes procdures doivent sappliquer partout. Enfin, la diversit, car une entreprise voluant dans plusieurs pays et plusieurs mtiers ne peut disposer dun mme rfrentiel partout. plus long terme, dautres barrires peuvent rapidement se dresser. Dabord, une lgitimit oprationnelle que les reprsentants de la tierce partie peuvent facilement mettre en cause, mme si les rgles sont portes au contrat.Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201326 Livre-Blanc-V.Final.indd 2627/11/13 19:42 27. La matrise des risques, entre ambitions et ralits 3. SADAPTER AUX NOUVEAUX ENVIRONNEMENTSLAudit Interne propose, anime et dveloppe des outils contribuant amliorer la matrise quotidienne des oprations sur le terrainBelle Histoire UN DISPOSITIF DE CONTRLE INTERNE AU SERVICE DES OPRATIONS CFAOCFAO bnficie dune exprience de plus de 125 ans. Le Groupe intervient dans 32 pays dAfrique, sept Collectivits Territoriales franaises dOutre-mer et au Vietnam. Il opre dans la distribution automobile, pharmaceutique et de matriels dquipement ainsi que dans la production et la distribution de biens de consommation courante et de certains services technologiques. Son histoire et son ancrage territorial confrent au Groupe et ses 120 filiales une forte culture entrepreneuriale alliant dveloppement et matrise des risques. Cest dans cet environnement complexe, marqu par une diversit gographique, culturelle et dactivits, que la Direction de lAudit Interne et son quipe de cinq auditeurs expriments agissent. En charge de lexcution du plan daudit (environ 60 missions par an), le rle de lAudit Interne ne se limite pas la conduite de ces missions. Avec le soutien permanent de la Direction Gnrale, lAudit Interne propose, anime et dveloppe des outils contribuant amliorer la matrise quotidienne des oprations sur le terrain. Le contrle interne chez CFAO tant laffaire de tous, lAudit Interne sappuie rsolument sur une approche concrte et pragmatique des contrles : le Programme dAmlioration du Contrle Interne (PACI). Il sappuie sur trois piliers complmentaires : diffuser les bonnes pratiques, sensibiliser et former, valuer et corriger. LAudit Interne a tout dabord dvelopp le guide du contrle interne. Rfrence de contrle pour les filiales, ce guide propose des outils cls en main dans la matrise des process oprationnels et financiers en filiale (300 contrles). Disponible en ligne, son auto-valuation annuelle par les oprationnels permet de faire vivre les contrles. La sensibilisation du management en filiale (Directeurs Gnraux, Responsables dactivit et Directeurs Financiers) repose ensuite sur un programme de formation spcifique, cr et anim par lAudit Interne, Business Under Control . Cette formation permet danalyser les situations concrtes et relles de dysfonctionnement rencontres par le Groupe ces dernires annes. Ce programme a permis ce jour de former plus de 450 dirigeants. Enfin, CFAO sappuie sur une valuation de ses 50 standards prioritaires de contrle interne, ralise chaque anne par les Commissaires aux Comptes et coordonne par lAudit Interne dans plus de 100 filiales. Dautres actions mises en uvre par lAudit Interne contribuent faciliter le contrle des oprations au quotidien. Un kit passation prsente ainsi la checklist des points de contrles indispensables vrifier lors de la transmission de pouvoirs loccasion dun changement de direction. Par ailleurs, un kit start up permet dadapter la mise en place des contrles dans des entits de taille modeste ou en dmarrage dactivit. La remise des trophes PACI Awards lors des conventions du Groupe vient rcompenser les filiales les plus performantes en matire de contrle interne. Sappuyant sur un savoir-faire, le contrle interne chez CFAO est aussi une affaire de faire-savoir, preuve dun engagement partag entre les filiales et la Direction Gnrale du Groupe. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201327 Livre-Blanc-V.Final.indd 2727/11/13 19:42 28. La matrise des risques, entre ambitions et ralits 3. SADAPTER AUX NOUVEAUX ENVIRONNEMENTS3.2. DES CONTRAINTES NE PAS SOUS-ESTIMERUne pression sur les ressourcesactivits de suivi.On constate dans de nombreuses entreprises que les incertitudes lies lenvironnement conomique conduisent certaines dentre elles revoir les ressources alloues au dispositif de matrise des risques, tant au niveau financier (dplacements, nombre de missions) quau niveau des quipes ddies au pilotage et lanimation. Cette tendance induit un double dfi pour les responsables de la matrise des risques : assurer la fois lefficacit du dispositif et adapter les moyens mis en uvre aux nouvelles contraintes fixes par la Direction Gnrale. Pour rpondre ces enjeux, certains favorisent la dynamique dintgration entre fonctions. Pour faire autant voire plus avec moins de moyens, certaines organisations ont, notamment, fait le choix de passer par des systmes dinformations plus performants. Si deux tiers des entreprises utilisent un systme dinformation ddi la GRC, cest souvent pour allger les activits les plus chronophages (cf. figure12) : collecte de donnes etAutre moyen de diminuer les ressources alloues : renforcer limplication des oprationnels pour en faire des acteurs majeurs du dispositif et limiter de fait les ressources ddies exclusivement lanimation de celui-ci en central. Une pratique trs rpandue depuis plusieurs annes illustre cette dmarche : le processus dauto-valuation par les managers oprationnels. Il reprsente la fois un moyen de suivi et de gouvernance distance entre le Groupe et les entits, tout en renforant limplication de la premire ligne de matrise. Mais il a un intrt souvent moins affich : limiter ltendue des travaux de la deuxime ligne de matrise. Cette pratique de contrle interne sest tendue dautres activits, dispositifs ou projets. Ainsi de nombreuses entreprises utilisent un processus dautovaluation pour identifier et dvaluer les risques.Figure 12Fonctionnalits couvertes par les outils de matrise des risques61%Organiser le suivi des plans dactions54%valuer (ou auto valuer) le dispositif de contrle interne50%Grer les processus didentification des risques48%Grer la dmarche et le suivi de lAudit Interne39%Organiser larchivage documentaire des guidesSource : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201328 Livre-Blanc-V.Final.indd 2827/11/13 19:42 29. La matrise des risques, entre ambitions et ralits 3. SADAPTER AUX NOUVEAUX ENVIRONNEMENTSCertains diteurs de la place ont bien compris lintrt dune exploitation largie des formulaires auto-dclaratifs pouvant facilement apparatre comme de nouvelles fonctionnalits pour la gestion des risques avec un investissement minimum.Le dfi est alors de russir rduire le volume des contrles en place sans augmenter la vulnrabilit aux risques. Le premier effort rside dans lidentification puis la suppression de contrles redondants. Dans une deuxime phase, les animateurs du dispositif cherchent gnralement se rapprocher des objectifs fixs par lentreprise pour en extraire une liste de contrles incontournables conserver. Enfin, de nombreux dispositifs cherchent aujourdhui automatiser une grande part des contrles au sein des systmes dinformations. Et une fois de plus, les diteurs ont bien compris les opportunits issues de ces dmarches. Ils sengagent de plus en plus ouvertement lors des phases davant-vente sur des retours sur investissement loquents. Mais sans mme faire appel un prestataire externe, un simple travail men en collaboration avec les Directions Informatiques sur les systmes existants permet dquilibrer contrles manuels et contrles automatiques. ... et une rationalisation de la dmarcheLes exigences rglementaires et les objectifs fixs par les Directions Gnrales en matire de matrise des risques ont souvent conduit les entreprises investir sur la mise en place de nouveaux contrles. Or, la difficult identifier leur retour sur investissement, la survenue de dfaillances majeures malgr leur existence couple la pression conomique sur leurs ressources conduit de plus en plus dentreprises revoir leur approche pour rationaliser la liste de ceux quils souhaitent conserver. Un exercice ralis avec succs par le Conseil gnral de la SeineSaint-Denis (cf. Belle Histoire).Amliorer la matrise des dpenses et la qualit du service offert Belle Histoire UN DISPOSITIF UNIQUE POUR UN DPARTEMENT CONSEIL GENERAL DE LA SEINE-SAINT-DENISSeule collectivit territoriale de France runir les fonctions de Gestion de Risques, Contrle Interne et Audit Interne au sein dune direction commune et ddie (DACIGR), le Conseil gnral de la Seine-SaintDenis se distingue par sa volont de mettre en place un dispositif de matrise des risques pragmatique, adapt ses enjeux et ses moyens. Limplication des managers oprationnels est la cl de vote du dispositif, notamment pour lidentification des risques. Une cartographie par domaine dintervention est ralise et mise jour annuellement sur la base dune rconciliation des cartographies top-down et bottom-up. De plus, cette matrice de risques et des contrles cls met laccent sur les implications budgtaires. Sa prsentation lexcutif est articule avec la prparation des orientations budgtaires, ce qui concourt notamment amliorer la matrise des dpenses et la qualit du service offert, par exemple pour ce qui concerne lexcution des marchs de travaux ou les dpenses dhbergement dans le cadre de laide sociale lenfance. Cest sur ces apports du contrle interne la matrise des activits que repose lextension de la dmarche dautres processus et prestations. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201329 Livre-Blanc-V.Final.indd 2927/11/13 19:42 30. La matrise des risques, entre ambitions et ralits UN REGARD SUR LES ATTENTES DU COMIT DAUDITExtrait dun rapport ddi spcifiquement aux attentes des Comits dAudit et un regard crois avec les experts du risque et du contrle interne, publis prochainement. Notre rle est de nous assurer que la stratgie de lentreprise telle quelle est dfinie par le Conseil, est mise en uvre par la Direction Gnrale en toute scurit LE VRAI COMIT STRATGIQUE ? Ainsi, le Comit dAudit doit dabord se soucier de la bonne comprhension de la stratgie de lentreprise et du partage des responsabilits dfinies avec le Conseil. Tout en reconnaissant limportance des lments financiers, certains membres des Comits dAudit expriment une volont de sloigner parfois des chiffres afin de mieux comprendre leur pertinence compte tenu des enjeux stratgiques de lentreprise. Dautres remettent en cause lexistence mme dun comit stratgique du Conseil et insistent sur la ncessit dadministrateurs communs aux deux comits.Ils attendent des experts du risque une capacit synthtiser et valuer les risques lis au dploiement oprationnel de la stratgie de lentreprise, les actions prises ou prendre pour les matriser et une opinion sur la maturit du dispositif. CONNAITRE LES MARCHS (MERGENTS) Une stratgie de croissance ncessite aujourdhui une prsence de plus en plus forte dans les pays mergents notamment tels que la Chine, lInde, le Brsil, la Russie, certains pays africains, sud-amricains ou de lEst de lEurope. Pour le Comit dAudit, le suivi de lefficacit du dispositif de gestion des risques et du contrle interne sur un primtre gographique aussi large devient complexe compte tenu de certaines lacunes sur les pratiques de ces marchs. Il attend ds lors des experts du risque quils soient en mesure de leur fournir une lecture de la culture et des pratiques. Cela implique notamment une prsence locale, ainsi quune diversit culturelle et linguistique des quipes quils animent.Sur ces marchs mergents, le Comit dAudit est particulirement sensible un autre sujet : la fraude. Les indices de corruption y sont gnralement assez levs et les experts du risque sont ainsi largement mis contribution notamment au travers de la mise disposition de comptences en matire de prvention, dtection et parfois, investigation de la fraude. Il faut nanmoins noter quune minorit (essentiellement issue des secteurs non-rglements) dentre eux considre que la fraude est un risque comme un autre, et ne mrite pas plus dattention compte tenu du caractre souvent limit des montants en jeu. ATTENTION LA TRANSFORMATION La poursuite de la stratgie passe invitablement par des transformations significatives. Une transformation majeure est souvent synonyme de modification de lorganisation, impactant parfois les hommes qui la composent.Figure 13Les sujets traits par les Comits dAudit 90%La prise de connaissance des travaux de lAudit Interne85%La prise de connaissance des travaux des Commissaires aux Comptes65%Lexistence et le dploiement des systmes de contrle interne et gestion des risques63%Lexamen des risques identifis par les dispositifs mis en place par la Direction Gnrale60%Le suivi des actions correctrices de faiblesses identifies31%Lvaluation de risques significatifs non identifis qui viendraient sa connaissanceSource : tude Crowe Horwath Global Risk Consulting - IFACICopyright : Crowe Horwath Global Risk Consulting et IFACI, 201330 Livre-Blanc-V.Final.indd 3027/11/13 19:42 31. La matrise des risques, entre ambitions et ralits UN REGARD SUR LES ATTENTES DU COMIT DAUDITCest l o les Comits dAudit sont trs vigilants : les experts du risque (la deuxime et la troisme ligne de matrise) sont souvent les premires cibles des managers en qute de rductions de cots. Leur choix se justifie par la difficult de dmontrer la valeur concrte de ces dispositifs et le lien direct avec la performance de lentreprise. Pourtant, et paradoxalement, cest bien au cours de cette phase de transformation que le profil de risque dune organisation volue le plus. Le dispositif de gestion des risques, de contrle et audit internes devient alors un lment cl de la prennit dun tel programme de transformation. Le Comit dAudit est clair : chacun doit contribuer aux conomies ncessaires au maintien de la comptitivit de lentreprise, mais celles qui coupent trop profondment dans le dispositif de protection risquent, terme, den payer le prix fort. QUELLE CRISE ? Un lment important dans le dispositif de gestion de risques et de contrle interne est la capacit dune organisation prvoir et grer des crises de toute nature. Dans leur rle de suivi du dispositif, les Comits dAudit sont pour linstant assez diviss. Pour certains, la gestion de crise est mature, mise lpreuve rgulirement (en simulation ou en situation relle), les alertes systmatiquement suivies et traites. Cest un point constamment port lordre du jour et un maillon important de la protection de lentreprise. Pour dautres, le sujet nest abord quen cas de besoin. Le comit estime que la probabilit dun vnement donnant lieu une crise menaant la survie dune entreprise est trs faible et ne peut donc justifier linvestissement ncessaire se prmunir de lensembledventualits improbables. Avec un certain pragmatisme, ils sont nombreux considrer quil suffit de constituer un portefeuille diversifi de clients, marchs, produits et services. Peut-tre suffira-t-il dun vnement inattendu pour que ces entreprises changent dapproche? UN PEU MOINS VAUT PLUS La communication entre les Comits dAudit et les experts du risque, contrle et audit internes passe essentiellement par des runions formelles (entre 4 et 6 par an en moyenne) avec relativement peu dchanges en dehors de cette sphre. Le vecteur de communication principal sur le dispositif reste ainsi le rapport formel et priodique au comit. En gnral, les membres du comit apprcient le temps et leffort consacr la prparation de celui-ci (et leur prsentation en sance). Seuls 17% des experts de la matrise des risques concdent une qualit perfectible de linformation transmise au Comit dAudit, alors quil sagit du principal reproche formul par les membres de notre panel leur encontre. Cependant, lattente dune vision la fois plus synthtique et plus prcise reste plus que jamais dactualit. Plusieurs comits reoivent entre 100 et 120 pages de rapport quelques jours ou quelques heures seulement avant la runion. Le sujet tant souvent complexe, ils sentent la volont de la part des experts de couvrir une large partie du primtre et de dmontrer leur expertise sur celui-ci.Pour y rpondre, les experts doivent se doter dune mthode permettant dvaluer, de hirarchiser et de mettre en lumire les points impactant le plus la direction stratgique de lentreprise. Une chose est certaine, la russite de la communication entre le Comit dAudit, les experts du risque et le management repose normment sur la stabilit des interlocuteurs et leurs expriences de collaboration. ce jour, nos entretiens avec les prsidents et les membres du Comit dAudit ont soulev limportance stratgique des comits et la ncessit pour les experts de squiper afin daccompagner les larges transformations de lentreprise. Les nouveaux marchs, les nouvelles cultures, les partenariats de plus en plus tendus et la lutte contre la fraude sont les sujets de proccupation en matire de risque. Et le Comit dAudit compte sur les experts de lentreprise pour sinformer efficacement sur la maturit du dispositif permettant dy faire face. Ils sont plusieurs nous indiquer que la capacit adopter un dispositif de gestion des risques et de contrle interne efficace est devenue un outil managrial incontournable. Avec un peu de recul, cette capacit diffrencie les bons managers des excellents managers capables de dvelopper lentreprise dans la dure, en toute scurit.Mais les Comits dAudit disposent dun temps limit et attendent ainsi des experts une capacit de synthse leur permettant didentifier les sujets prioritaires. Et a contrario, sur ces sujets prioritaires, le comit a besoin de dtails et dillustrations concrtes afin de pouvoir remplir son obligation de suivi. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201331 Livre-Blanc-V.Final.indd 3127/11/13 19:42 32. MthodologieLivre-Blanc-V.Final.indd 3227/11/13 19:42 33. La matrise des risques, entre ambitions et ralits MTHODOLOGIELes Trophes de la Matrise des Risques ont pour objectif de recueillir, danalyser et de rcompenser les meilleures pratiques observes chez les directions de lAudit Interne, du Contrle Interne et de la Gestion des Risques. Pour cela, ltude sest droule en trois tapes : 1. La rponse un questionnaire en ligne par les experts des diffrentes entreprises (davril aot 2013), 2. La rencontre en face--face avec les experts souhaitant concourir aux Trophes de la Matrise des Risques et jugs comme suffisamment matures, 3. La slection des laurats par un Jury dexperts indpendants. 79 entreprises/organisations ont complt le questionnaire en ligne, 36 se sont portes candidates aux Trophes de la Matrise des Risques, 22 ont t rencontres en entretien et 13 dossiers de candidature ont t prsents au jury. Description globale des entreprises / organisations ayant rpondu au questionnaire en ligne : Secteurs dactivitChiffre daffaires (millions )11%16% 24%20%45%Services Industries Banques / Assurances / Services Financiers Administrations20% 50%Nombre demploys14%Moins de 500 Entre 500 & 2000 Entre 2000 & 5000 Suprieur 5000Cotation en bourse 19%31%19%32%18%Moins de 2500 Entre 2500 & 10000 Entre 10000 & 50000 Suprieur 50000Secteur public Non cote Cote46% 35%Source : tude Crowe Horwath Global Risk Consulting - IFACI Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201333 Livre-Blanc-V.Final.indd 3327/11/13 19:42 34. Le jury et les laurats me de la 3 ditionLivre-Blanc-V.Final.indd 3427/11/13 19:42 35. LE JURY DE LA 3ME DITION Jean-Martin Folz, Prsident du Jury, Administrateur dAlstom, AXA, Saint-Gobain, Socit Gnrale et Solvay Farid Aractingi, Directeur Audit, Matrise des Risques, et Organisation du groupe Renault ; Prsident de lIFACI Didier Kling, Commissaire aux Comptes ; Prsident de Didier Kling et associs ;Vice-Prsident trsorier de la CCIP Sylvie Le Damany, Associe au cabinet Jeantet, Avocat la cour Pierre-Andr Terisse, Directeur Gnral Finance de DanoneLES LAURATS DE LA 3ME DITION Grand Prix du Jury GDF SUEZGrard Mestrallet : Prsident Directeur Gnral Didier Retali : Membre du Comit Excutif, Directeur de lAudit et des Risques Xavier Bedoret : Directeur de lAudit Interne Michel Dennery : Directeur du Management des Risques Jean-Christophe Kypriotis : Directeur du Contrle InterneMeilleure contribution de lAudit Interne 1er : ArcelorMittalAditya Mittal : Chief Financial Officer Francis Lefevre : Head of Internal Assurance Andreas Trogsch : General Manager Internal Assurance2me : CFAOEmmanuel Rozier : Directeur de lAudit Interne3me : Dassault SystmesEtienne Grobon : Corporate Audit DirectorMeilleure contribution du Contrle Interne 1 : TechnicolorStphane Rougeot : Directeur Financier et Stratgie Vincent Lagadou : Secrtaire du Comit dInvestissement Guillaume Litvak : Directeur de lAudit et du Contrle Internes2me : CFAOOlivier Marzloff : Secrtaire GnralerMeilleur pilotage des risques 1er : La Franaise des JeuxChristophe Blanchard-Dignac : Prsident Directeur Gnral Thierry Pujol : Directeur de la Gestion des Risques et de la Scurit Alain Gravier : Responsable du Dpartement Management Central des Risques2me : AtosDaniel Milard : Group Senior Vice-President Internal Audit & ERM2me ex quo : GemaltoSophie Mauvieux : Corporate Risk & Internal Control DirectorPrix spcial du Jury Conseil gnral de la Seine-Saint-DenisStphane Troussel : Prsident du Conseil gnral Yannis Wendling : Directeur de lAudit et du Contrle Internes et de la Gestion des RisquesCopyright : Crowe Horwath Global Risk Consulting et IFACI, 201335 Livre-Blanc-V.Final.indd 3527/11/13 19:42 36. LES LAURATS DE LA 2ME DITION Grand Prix du Jury DanoneEmmanuel Faber : Directeur Gnral Dlgu Pierre Andr Terisse : Directeur Gnral Finance Philippe Hellich : VP Ethique, Risques, Contrle et AuditMeilleure contribution du Contrle Interne 1er : Ple EmploiDominique-Jean Chertier : Prsident du Conseil dAdministration Thierry Lemerle : Directeur Gnral Adjoint2me : AllianzBenedict Aucoin: Directeur du Contrle des Risques3me : ThalsMarc Darmon : SVP Audit et Contrle InterneMeilleure cartographie des risques 1er : ThalsLuc Vigneron : Prsident Directeur Gnral Bruno Biguet : Directeur Risques et Contrle Interne2me : ArcelorMittalFrancis Lefevre : Head of Internal Assurance3me : Rseau Ferr de FranceXavier Roche: Directeur de lAudit et des RisquesMeilleure contribution de lAudit Interne 1er : SodexoPierre Bellon : Prsident Robert Baconnier : Prsident du Comit dAudit Laurent Arnaudo : Directeur Audit Interne2me : ArcelorMittalFrancis Lefevre : Head of Internal Assurance3me : Dassault SystmesEtienne Grobon : Directeur de lAudit InterneCopyright : Crowe Horwath Global Risk Consulting et IFACI, 201336 2 Livre-Blanc-V.Final.indd 3627/11/13 19:42 37. La matrise des risques, entre ambitions et ralits REMERCIEMENTSNous tenons remercier tout particulirement les collaborateurs du cabinet Crowe Horwath Global Risk Consulting : le comit de rdaction : Jonathan Burnett, Jrme Soual, Muriel de Kerizout, Gabriel Standley les contributeurs : Bertrand Maccarini, Isabelle Hayat et Olivier Chaduteau Nous remercions galement Farid Aractingi, Prsident de lIFACI et Philippe Mocquard, Dlgu Gnral de lIFACI pour leur soutien apport lors de cette tude. Merci aux experts externes Julien Badiola et Victoria Lorenz, de Korn Ferry. Nous remercions chaleureusement le Prsident du jury Jean-Martin Folz pour son implication avant et aprs le jury de slection. Enfin, nous remercions les membres du jury ainsi que tous les candidats aux Trophes de la Matrise des Risques qui ont fait de cette 3me dition un succs. Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201337 Livre-Blanc-V.Final.indd 3727/11/13 19:42 38. La matrise des risques, entre ambitions et ralits A PROPOSCrowe Horwath Global Risk Consulting, cest un cabinet unique spcialis en Gouvernance Risque et Conformit. Avec 700 experts du risque situs dans les capitales conomiques internationales et intgrs un rseau de prs de 29 000 spcialistes du domaine financier, notre quipe dispose dune exprience significative en matrise des risques dans de multiples secteurs. Nos leaders participent activement aux missions et notre modle sappuie sur des recherches, des connaissances et lanalyse des pratiques que nous mettons ensuite au service de nos clients. Notre mission : accompagner les groupes internationaux partageant nos valeurs dans la rsolution de leurs enjeux stratgiques, en transformant leur gouvernance, en intgrant le risque dans la prise de dcisions, et en dfinissant un dispositif de conformit efficient.LIFACI rassemble les professionnels de laudit et du contrle internes en France. LInstitut favorise la diffusion des normes internationales et des meilleures pratiques. Lieu de partage et daccompagnement, il est lorganisme de rfrence en matire de formation professionnelle. LIFACI est galement le partenaire privilgi des organisations publiques et prives de toutes tailles souhaitant amliorer lefficacit de lensemble de leurs dispositifs de contrle interne. LIFACI est affili lIIA (The Institute of Internal Auditors) qui bnficie dun rseau de 170 000 adhrents rpartis dans plus de 160 pays.Copyright : Crowe Horwath Global Risk Consulting et IFACI, 201338 Livre-Blanc-V.Final.indd 3827/11/13 19:42 39. La matrise des risques, entre ambitions et ralits CONTACTSCROWE HORWATH GLOBAL RISK CONSULTING Jonathan Burnett Prsident Directeur Gnral Tl : +33 1 53 53 03 92 [email protected] Jean-Michel Mathieu IT Risk Tl : +33 1 53 53 03 92 [email protected] Jrme Soual Business Risk Tl : +33 1 53 53 03 92 [email protected] Farid Aractingi Prsident Tl : +33 1 40 08 48 00 [email protected] Philippe Mocquard Dlgu Gnral Tl : +33 1 40 08 47 92 [email protected] Elisabeth Weiss Directrice de la communication et des vnements Tl : +33 1 40 08 48 14 [email protected] : Crowe Horwath Global Risk Consulting et IFACI, 201339 Livre-Blanc-V.Final.indd 3927/11/13 19:42 40. La matrise des risques, entre ambitions et ralitsLivre-Blanc-V.Final.indd 4027/11/13 19:42