livre blanc de l'étude "la compliance : l'alliée insoupçonnée"

La Compliance : l’alliée insoupçonnée

AVEC LA COLLABORATION DE

4e ÉDITION

03

L‘ensemble des collaborateurs de Crowe Risk Consulting remercie tous les contributeurs

de la 4ème édition des Trophées de la Maîtrise des Risques :

Les membres du Jury,

Denis Ranque, Président du Conseil d’administration d’AIRBUS GROUP, Président du Jury

Alain Decombe, Vice-Chairman en charge des Opérations Internationales

et Managing Partner du bureau de Paris de Dechert LLP

Dominique Laymand, Senior Vice-President, Chief Ethics and Compliance Officer d’Ipsen

Didier Retali, Directeur de l’Audit, des Risques et du Contrôle Interne d’Engie

Florence Vincent, Directeur de la Qualité, de l’Audit et de la Maîtrise des Risques du Groupe Michelin

Farid Aractingi, Président de l’IFACI et Philippe Mocquard, Délégué général de l’IFACI

Jacques Sivignon, Associé Contentieux Complexes de Dechert LLP et Agnès Salfray, Directrice

Marketing et Business Development de Dechert LLP

Jonathan Burnett et Sébastien Duchesne de Crowe Risk Consulting,

pour la rédaction des résultats de cette étude.

REMERCIEMENTS

LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION

Remerciements

Table des matières

Éditorial

Trois questions à Denis Ranque

Chapitre I. La compliance, bête noire des comités d’audit

Un risque nouveau ?Un contexte international complexe et exigeant

Un conseil d’administration préoccupé

Le décalage entre dispositifs internes et exigences externes

La culture d’entreprise au révélateurLes freins à la mise en place d’une politique de conformité.

L’ambition de la quadrature du cercleL’impact de l’audit interne

Le mouton à cinq pattes

Éthique et cohérences interculturelles

Chapitre II. L’exhaustivité, nouvelle aspiration

De l‘art d‘être exhaustifLa fin des exceptions

Le grand écart du comité d’audit

Couverture des risques locaux

Quels outils face a cette ambition ?Intégration des fonctions

Inclusion de nouvelles problématiques

L’audit interne : vers plus de valeur ajoutée

Chapitre III. L’agilité, condition de la pérennité des organisations

Résilience et pérennité Le risque catastrophique

Le plan de continuité d’activité

Inévitables tests

L’appui du top managementMaîtrise des risques et prise de décision

Savoir décider vite

L’ organisation apprenanteAmélioration continue

Adaptabilité et survie

Conclusion

Jury et lauréats de la 4e édition

Méthodologie

Les organisateurs

3

4

5

6

7

88

8

9

1010

1212

12

13

15

1616

16

18

1818

19

20

24

25

25

25

27

2828

28

2929

29

32

34

37

39

04

TABLE DES MATIÈRES

LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4 e ÉDITION

05

ÉDITORIAL

Comment un Président s’assure-t-il que les orientations stratégiques du Conseil d’administration n’ont pas été

dénaturées par le dispositif de fixation des objectifs au sein de l’entreprise ? Comment une Direction Générale

s’assure-t-elle qu’elle est bien informée lorsqu’une filiale, une fonction ou un individu, ne suit pas les instructions

du groupe ?

Simples mais fondamentales, ces questions ont pris une importance nouvelle ces dernières années, sous la pression

croissante des régulateurs et des autres parties prenantes, qui interpellent directement les dirigeants de groupes

internationaux sur les défaillances de leurs filiales, voire de leurs partenaires. Interpellent ou bien accusent ?

Car si cette responsabilité est inhérente à la fonction, elle a augmenté avec la croissance des organisations et

l’ouverture des frontières, et s’est complexifiée avec les montages d’optimisation fiscale, les innovations des

partenariats, et l’externalisation des processus.

Dans un contexte de mondialisation de la concurrence, de confrontation des cultures et d’activisme de

l’actionnariat, le coût des dispositifs de protection, forcément ambitieux, s’envole, tout en étant naturellement et

systématiquement remis en cause.

La Compliance, c’est d’abord la conformité aux lois et aux régulations de toutes les juridictions où une entreprise exerce

son activité, ce qui est en soi un défi technique ambitieux. Mais c’est aussi la conformité interne, qui permet à un patron

de s’assurer de l’alignement de l’entreprise, et que les exceptions à ses instructions lui sont remontées promptement.

Cela est indispensable pour permettre à une organisation, dans un contexte mondialisé de plus en plus compliqué

et dangereux, de maîtriser les risques inhérents au monde des affaires et à la concurrence internationale. C’est la

qualité du dispositif de maîtrise des risques qui fera la différence entre les entreprises, et leur permettra soit de

pousser un avantage concurrentiel, soit d’être éliminées d’un marché.

C’est pourquoi, pour cette quatrième édition des Trophées de la Maîtrise des Risques, l’IFACI et Crowe Risk Consulting

ont décidé de se pencher non seulement sur les thèmes plus classiques des métiers de la maîtrise des risques –

indépendance et collaboration des fonctions, irruption du numérique –, mais plus particulièrement sur les dispositifs

de conformité, qui sont d’abord des organisations et des hommes, et ensuite des méthodes et des outils, dont

l’engagement et l’efficacité impactent directement la performance durable des entreprises.

Farid AractingiPrésident,IFACI

Jonathan Burnett Président-directeur général, Crowe Horwath Global Risk Consulting


06

Par quels éléments, selon vous, se différencient les entreprises les plus matures ?

Les entreprises les plus matures sont pour moi celles où les dirigeants arrivent à faire rentrer les meilleures pratiques

dans les processus opérationnels de l’entreprise et dans sa culture. À tous les échelons, quand un manager décide,

il le fait en prenant en compte les risques, même s’il ne documente pas formellement ces derniers.

Pour ce faire, l’alignement avec la stratégie de l’entreprise et les bénéfices opérationnels concrets nécessitent

d’être clairement explicités, entendus et acceptés. En matière de risque, de contrôle, de conformité ou d’audit, les

experts dans les organisations matures arrivent à se faire entendre et respecter.

Quelles évolutions majeures percevez-vous pour les années à venir ?

La maîtrise des risques implique nécessairement de nombreuses fonctions et doit répondre à beaucoup

d’exigences différentes dans un monde plus international, plus connecté et plus complexe ; en un mot, un monde

où les risques s’accroissent et où les défaillances ont des conséquences de plus en plus graves. L’évolution

majeure, pour moi, sera de rassembler ces fonctions, de simplifier et de fluidifier ces processus, plutôt que de

multiplier le poids sur les entreprises.

Par ailleurs, même si le jugement humain et l’expertise restent les ingrédients essentiels pour la bonne prise

de décision, on doit sans cesse apprendre à exploiter intelligemment des quantités de données de plus en plus

massives pour conforter l’expérience et l’intuition.

Comment évaluez-vous l’efficacité du dispositif ?

On reconnaît une entreprise qui maîtrise efficacement ses risques à son succès sur ses marchés dans la durée. Et

elle peut se doter de beaucoup de moyens techniques et humains pour y arriver.

De mon point de vue, la gouvernance d’une entreprise, l’attention que ses dirigeants portent à l’intégrité de son

management et de ses salariés, la culture de collaboration, sa motivation sur le long terme mais aussi son agilité

sont souvent les éléments déterminants.

Au final, un « dispositif » efficace se traduit par la capacité d’une entreprise à atteindre ses buts, en anticipant et

en contrôlant ses risques là où ses concurrents trébuchent voire échouent.

TROIS QUESTIONS À DENIS RANQUE


07

CHAPITRE N°1

LA COMPLIANCE, BÊTE NOIRE

DES COMITÉS D’AUDIT

L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S

4e É D I T I O N

Dans cette étude, nous entendons par Compliance le fait de s’assurer que le management et les collaborateurs suivent les directives données par le Conseil d’Administration tout en respectant les lois, les règlementations et les valeurs de l’organisation. La Compliance fait aujourd’hui partie d’une des principales préoccupations des comités d’audit. Les dispositifs de maîtrise des risques sont-ils pertinents face à ce sujet ? Quels freins peuvent empêcher le déploiement d’une

politique de conformité ?

UN RISQUE NOUVEAU ?

Un contexte international complexe et exigeant

L’actualité des cinq dernières années a montré aux multinationales françaises un univers des risques de plus en plus chargé et de plus en plus complexe.

Le « rétrécissement » de la planète porte maintenant à la connaissance immédiate des clients, des salariés et des régulateurs des incidents locaux qui peuvent faire surface à l’autre bout de la Terre. Là où ces incidents émergent, au sein des médias occidentaux dans leur

forme brute, les sièges des entreprises sont sommés d’expliquer la situation. Une situation qui met beaucoup plus longtemps à remonter au travers des différentes couches hiérarchiques internes – et nécessite souvent une enquête interne plus profonde et longue que celle dispensée par les journalistes amateurs ou professionnels à l’origine de l’information.

Par ailleurs, l’arrivée à maturité des sanctions internationales oblige les appareils législatifs nationaux à se comparer, non seulement dans leur conception, mais aussi dans leur application. Comme l’exemple de BNP Paribas a pu le démontrer en 2015, le pouvoir politique ne peut plus défendre d’exceptions nationales sans avoir à justifier sa propre absence d’investigations et de poursuites des cas de non-conformité des champions nationaux.

Un Conseil d’administration préoccupé

Sans réelle surprise, les risques de fraude et de corruption (65%), et de non-conformité (63%) sont les deux plus

surveillés par les comités d’audit (cf. Figure 1). Un risque de fraude entraînant un problème de Compliance, le niveau d’attention porté par le comité d’audit (ou des instances équivalentes) est donc similaire et important. Le risque de non-continuité des activités, bien que majeur, n’arrive qu’en troisième place (52%).

08

LA COMPLIANCE, BÊTE NOIRE DES COMITÉS D’AUDIT

FIG 1. RISQUES LES PLUS SUIVIS PAR LE COMITÉ D’AUDIT


Le risque de réputation, quant à lui, n’est que le reflet des conséquences, parfois exceptionnelles, des autres risques de l’organisation.

Contrairement à ce que l’activité médiatique des derniers mois pouvait laisser présager, l’évolution constante du cadre règlementaire est jugée comme un facteur de non-conformité plus important que l’augmentation du nombre d’enquêtes des autorités de

régulation (cf. Figure 2) – on pense ici aux institutions américaines (SEC, DOJ) et européennes (Direction de la

concurrence) – ou la hausse des sanctions.

Ce paradoxe peut s’expliquer par le fait que les

répondants à l’enquête des Trophées sont en très

grande majorité des professionnels des métiers

de la maîtrise des risques. Si ces derniers sont plus

inquiets de la capacité de leur organisation et de leur

dispositif à suivre l’évolution des lois et règlements

que de l’augmentation de la « menace » des autorités

de régulation, c’est probablement la manifestation

du respect fondamental qu’ont ces professionnels

des cadres légaux et réglementaires auxquels leur

organisation est assujettie.

Le décalage entre dispositifs internes et exigences externes

Première source d‘inquiétude des organisations : le

décalage des dispositifs de contrôle et d’audit internes

par rapport à l’évolution permanente des différents cadres

règlementaires. À titre d’exemple, les problématiques de

transfert de données entre l’Union Européenne et les

États-Unis : après que la Cour de justice européenne ait

invalidé le programme de Safe Harbor le 6 octobre 2015,

un nouvel accord – le UE-US Privacy Shield – signé le 2

février 2016 vient à nouveau modifier les termes de la

protection des données personnelles.

Conjugué au poids de la culture de l’organisation et des

règles ou procédures internes inadaptées (cf. Figure 2), ce

facteur souligne la nécessité d’un dispositif bien conçu,

soutenu par la direction et parfaitement communiqué

dans l’organisation.

Lorsqu’ils construisent (ou maintiennent) un dispositif

de Compliance, les professionnels de la maîtrise des

risques ont d’abord pour principal souci de produire

un dispositif agile. Ce dernier doit être en permanence

le miroir de lois et régulations évoluant avec les

changements politiques de chaque pays dans lequel

l’organisation est implantée.

Autre préoccupation, le fait que la culture d’entreprise

et de sa direction puisse pousser à la faute (cf. Figure 2)

amène plusieurs réflexions. Les menaces ainsi

projetées sur les organisations françaises restent

une question récente. Même si des lois comme le

Foreign Corrupt Practices Act (FCPA) existent depuis

1977, le Department of Justice américain n‘en poursuit

l’application que récemment. Du côté européen, les

institutions se construisent et s’organisent par étape,

en commençant par traiter certains sujets (comme la

concurrence), avec pour ambition de développer leur

bras armé sur d’autres sujets, au fur et à mesure que

leurs moyens le permettront.

La troisième inquiétude de la place, des règles ou

procédures internes inadaptées, trop complexes

ou difficilement accessibles, est très proche de ce

dernier point. Il s’agit là aussi d’obstacles à la bonne

mise en pratique de programmes de contrôle interne,

même lorsqu’ils sont très bien conçus. L’exercice est

de rendre simples des réglementations complexes.

Il s’agit surtout de trouver le dénominateur commun

09

FIG 2. PRINCIPAUX FACTEURS DE NON-CONFORMITÉ


10

entre les lois et règlements de différents pays et des

politiques internes. L’articulation des programmes de

sensibilisation et de formation sur ces règles internes

est là aussi un exercice difficile. Leur déclinaison dans

différentes langues et cultures est non seulement

longue et complexe, mais aussi coûteuse (cf. Belle Histoire Sonepar).

L’accroissement du pouvoir des autorités de régulation représente un facteur de Compliance encore significatif mais reste logiquement en retrait par rapport aux autres facteurs, dans la mesure où le niveau de pouvoir des autorités ne change ni le contenu ni la validité des règles qu’elles font respecter. Seuls 7% des répondants à l’enquête estiment que l’exposition aux sanctions internationales va diminuer, 41% des répondants voient cette exposition rester stable et 52% pensent qu’elle pourrait augmenter (cf. Figure 4).

Face à cet environnement plus exigeant, les professionnels des risques gardent en très grande majorité confiance en leur dispositif : 86% (cf. Figure 5) d’entre eux sont confiants ou très confiants dans le fait que leur Direction Générale soit rapidement informée de tout incident aux conséquences majeures.

LA CULTURE D’ENTREPRISE AU RÉVÉLATEUR

Les freins à la mise en place d’une politique de conformité

Les professionnels de la maîtrise des risques se heurtent aux deux difficultés principales à la mise en place d’une politique de Compliance (cf. Figure 3) : sa perception administrative (57%), et la disponibilité des opérationnels (55%). Ces deux obstacles reflètent des freins naturels de conduite du changement liés aux initiatives aussi larges et ambitieuses de la Compliance aux règles internes et externes.

Pour convaincre les opérationnels de la valeur d’une politique de Compliance, et pour les encourager à y consacrer du temps, les experts du risque doivent créer les conditions propices au changement, à savoir :

• L’appui de la Direction Générale et l’intégration de la notion de Compliance dans la gestion de la performance ;• Les ressources nécessaires en temps, compétences et en argent ;• Les bénéfices du changement clairement explicités et communiqués.

FIG 3. PRINCIPAUX FREINS À LA MISE EN PLACE DU DISPOSITIF DE CONFORMITÉ

FIG 4. PENSEZ-VOUS QUE VOTRE ORGANISATION OU VOS DIRIGEANTS VONT ÊTRE EXPOSÉS À PLUS DE

POURSUITES / SANCTIONS QU’ILS NE LE SONT ACTUELLEMENT ?


Comme le notent près d’un professionnel de la

maîtrise des risques sur deux (cf. Figure 3), la culture

d’entreprise arrive en troisième place derrière ces deux

éléments (pour 51% des répondants) : la perception que

peut avoir le reste de l’entreprise et la disponibilité des

opérationnels sur certains sujets plus que sur d’autres,

reflètent des valeurs communes.

La culture d’entreprise est ainsi une composante

fondamentale du succès ou de l’échec de programmes

(cf. Figure 2) aussi étendus qu’un dispositif de maîtrise

des risques. Lorsque ce dernier exige de la direction et

des collaborateurs de nouvelles attitudes, la résistance

au changement est forte, surtout si cette résistance

est relayée par des messages ou des attitudes

contradictoires de la part de la direction. Même un

silence sur ce sujet est souvent interprété par les

collaborateurs comme un signe que le programme

de Compliance est moins prioritaire face aux autres

messages « concurrents » sur l’atteinte d’objectifs de

vente ou de rentabilité.

Ce concept large, englobant les valeurs, les croyances,

les attitudes, l’histoire, la stratégie et la personnalité

des dirigeants, est le cadre dans lequel s’inscrit

naturellement la maîtrise des risques. Ce dernier doit

être en cohérence avec la culture de l’entreprise et

s’appuyer sur ce qui en fait les points forts (cf. Belle

Histoire Valeo).

Sans surprise, la Compliance figure rarement parmi les

objectifs stratégiques des organisations. Ces derniers

sont plus souvent articulés autour de l’innovation, des

parts de marché, du chiffre d’affaires ou du résultat,

vecteurs de survie et de réussite de l’entreprise privée.

La Compliance peut être perçue – et de fait est encore

vue dans de nombreuses entreprises – comme un

obstacle à passer dans la course concurrentielle, plutôt

que comme le respect des règles du jeu de l’économie

de marché.

Là où elle peut être une force motrice extraordinaire

dans ses aspects positifs, une culture d’entreprise qui

perçoit l’action des régulateurs comme des obstacles,

courra toujours le risque de voir certains employés ou

dirigeants contourner la haie plutôt que la sauter. La

nature omniprésente de la culture d’entreprise rendra

alors d’autant plus difficile l’installation d’une culture

de la Compliance et les programmes du dispositif de

maîtrise des risques qui y sont liés sont voués à l’échec

sur le long terme tant que cette culture n’a pas changé.

11


Du pragmatisme face à la décentralisation

Sonepar, leader mondial de la distribution de matériel électrique et de services associés est un groupe familial, extrêmement décentralisé et en croissance internationale très forte. Or, le groupe a favorisé une démarche de conformité basée sur un investissement important et récent au niveau central. Compte-tenu de la culture d’entreprise, une approche pragmatique s’impose. Ce pragmatisme passe par une communication et une sensibilisation fortes, tout en privilégiant dans la gouvernance les structures légères et la subsidiarité.

Le Sonepar International Legal and Compliance Committee (SILCC) a pour objectif de suivre les thématiques de conformité, éthique, sécurité et gouvernance. Il regroupe les juristes à travers le monde, et il s’appuie sur le réseau social interne « Yammer » afin de partager les évolutions législatives des différents pays, de faciliter les formations et de favoriser les synergies.

Aussi, sous l’impulsion du SILCC, Sonepar dispense une solide formation et axe des communications sur la conformité, notamment sur le droit de la concurrence, de la sécurité et de la corruption. Vidéos, dépliants, directives, formations physiques et modules d’e-learning sont déployés à travers le monde. À titre d’exemple, deux serious games ont été déployés en 2015 (en 27 langues) pour sensibiliser le personnel sur la protection de l’information.

Bien que pragmatique, la maîtrise des risques est aussi soutenue par l’implication forte du top management : le Sonepar Executive Committee suit des sujets de conformité à chaque réunion, le Directeur Général Groupe et le Directeur Général Délégué participent systématiquement à l’ensemble des Conseils d’administration des 20 Strategic Operating Areas (SOA) et des pays majeurs où les risques sont à l’ordre du jour de façon permanente.

Afin d’assurer une cohérence et une dynamique commune, les interactions sont nombreuses et régulières entre les différents spécialistes de risque et de contrôle. Mais l’entreprise privilégie l’agilité et le pragmatisme au formalisme, pour faire du contrôle des risques et de la conformité des sujets prioritaires pour ses managers entrepreneuriaux.

BELLE HISTOIRESonepar

12

L’AMBITION DE LA QUADRATURE DU CERCLE

Le mouton à cinq pattes

Les failles exposant à des sanctions internationales

(cf. Figure 6) montrent bien la nécessité d’un dispositif de

maîtrise des risques géographiquement exhaustif. Les deux

premiers éléments remontés, protection des données (49%)

et droit de la concurrence (29%) illustrent des problématiques

très réglementées en Europe. Le troisième élément, la

corruption (24%), bien que réglementé par de nombreuses

institutions internationales, est majoritairement poursuivi

par le ministère de la justice américain. La règlementation

environnementale (24%), même si elle touche un thème

très global, est surtout poursuivie localement, tout comme

les questions de réglementation fiscale (22%) et de droit du

travail (21%), qui restent très hétérogènes d’un pays à l’autre.

La propriété intellectuelle, les embargos et le blanchiment

d’argent sont quant à elles des problématiques régulées

par des instances internationales.

L’enquête reflète donc la nécessité d’un dispositif de

conformité exhaustif, couvrant non seulement les

exigences des juridictions locales, mais aussi celles des

institutions américaines, européennes et internationales.

Renforcer la protection des données sensibles de

l’organisation, ses salariés, ses clients et ses parties

prenantes, et à l’échelle internationale devient prioritaire !

L’impact de l’audit interne

Il est important de lier les difficultés rencontrées dans l’établissement des programmes de Compliance à l’implication de l’audit interne. Si la revue du dispositif de Compliance est incluse dans le plan d’audit pour 77%

des organisations (cf. Figure 8), seuls 43% des directeurs d’audit interne assistent aux comités de Compliance. Par ailleurs, le département d’audit n’est systématiquement informé des incidents signalés que dans 37% des organisations. De plus, seuls 29% des auditeurs internes suivent une formation dédiée à la Compliance. Ce dernier chiffre limite l’impact d’inclure de tels risques dans le plan d’audit : la capacité des auditeurs à détecter les anomalies, à les apprécier et à émettre des recommandations pertinentes ne peut qu’être limitée, et d’autant plus dans un contexte d’évolution constante

du cadre réglementaire (cf. Figure 2). La collaboration des fonctions autour de la Compliance devient alors un

enjeu majeur (cf. Belle Histoire Renault).

Comme le confirme les axes d’amélioration de l’audit interne

(cf. Figure 14), il est donc attendu une meilleure capacité à détecter la fraude, à réaliser des audits spécifiques, ainsi que plus de flexibilité et de diversité des missions d’audits.

Pour répondre aux enjeux liés à la forte croissance du groupe Valeo, plusieurs initiatives ont été lancées pour renforcer la valeur ajoutée du dispositif de contrôle interne et la culture “risques et conformité“.En s’appuyant sur un sponsorship jamais démenti du Directeur Général, mais aussi du Directeur Financier, le groupe dispose ainsi aujourd’hui en matière de contrôle interne :

• de comités de pilotage du contrôle interne pays présidés par les directeurs nationaux ;

• d’un processus d’auto-évaluation rigoureux, exigeant et largement relayé au travers d’un compliance rate présent au sein du dashboard du système central de reporting financier (GPS) ;

• d’un Award contrôle interne remis tous les ans par le Directeur Général à l’occasion du séminaire réunissant les leaders du Groupe.

Les interactions nombreuses entre le département Audit et Contrôle Interne, et le département Éthique et Conformité assurent une cohérence d’ensemble entre les campagnes de sensibilisation, les formations, le traitement des alertes, les référentiels et le suivi de leur efficacité (au travers du plan d’audit).

Le tone at the top a ainsi permis d’insuffler une dynamique commune, à l’origine de l’adhésion des opérationnels aux exigences de conformité du groupe.

BELLE HISTOIREValéo


TROPHÉE DE LA MEILLEURE

CONTRIBUTION DU CONTRÔLE INTERNE

FIG 6. NON-CONFORMITÉS MAJEURES EXPOSANT À DES SANCTIONS INTERNATIONALES

13

En travaillant sur l’ensemble de ces points, l’audit interne est en mesure de démontrer un impact croissant dans l’efficacité des programmes de Compliance.

Éthique et cohérences interculturelles

En soulignant la maturité de leurs composantes

d’organisation et de méthodologie (cf. Figure 7), les entreprises françaises démontrent la bonne compréhension des enjeux des politiques de conformité. La communication et la technologie sont par contre deux composantes du dispositif dont la faiblesse relative illustre bien les difficultés de mise en place réelle des politiques choisies.

Dans le cadre des organisations multinationales, la mise en place d’une culture d’entreprise et son « pilotage » sont souvent rendus difficiles par les

différences culturelles d’un pays à l’autre. C’est une complication qui est particulièrement ressentie dans les programmes de conformité, qui en suivant la législation d’une juridiction particulière, suivent aussi ses valeurs et sa culture. Lorsque cette réglementation doit être appliquée et suivie dans les opérations de l’entreprise dans un autre pays à la culture radicalement différente, le choc des cultures amène souvent à remettre en cause la pertinence des politiques et procédures.

Si on étend cette difficulté à l’ensemble des procédures et aux instructions de la direction, qui sont elles aussi empreintes à des degrés variés de la culture du siège, la question se pose : est-il vraiment possible de développer une éthique internationale ?

FIG 7. NIVEAU DE MATURITÉ DES COMPOSANTES DU DISPOSITIF DE CONFORMITÉ

FIG 5. QUEL EST VOTRE DEGRÉ DE CONFIANCE SUR LE FAIT QUE VOTRE DIRECTION GÉNÉRALE SOIT

RAPIDEMENT INFORMÉE DE TOUT ÉVÈNEMENT DE NON-CONFORMITÉ MAJEUR ?


14

FIG 8. COUVERTURE DU RISQUE DE NON-CONFORMITÉ


Une charte éthique et un code de conduite ne peuvent

être respectés dans tous les pays du monde qu’en

choisissant une forme ou une autre d’adaptation :

depuis la simple traduction du code sans le modifier

jusqu’à l’adaptation de ce code à chaque pays.

La déclinaison de la politique de conformité, soutenue par un plan de communication efficace et son déploiement au travers d’outils pertinents, sont des efforts lourds, qui peuvent parfois être sous-estimés. Cependant, la prise en compte des valeurs locales assure un degré d’adhésion plus important des employés.

Le contrôle interne, au carrefour des enjeux de conformité

Comme dans beaucoup de secteurs soumis à de fortes contraintes réglementaires, Renault s’appuie sur la capacité de ses experts à travailler ensemble pour faire face aux nombreux enjeux de conformité règlementaire, qu’ils soient techniques, sociaux, environnementaux, commerciaux, ou administratifs et financiers.

Un dispositif animé par la Direction de la Conformité réglementaire, rattachée à la Direction du Contrôle Interne, évalue la robustesse des dispositifs en place et relaie ainsi auprès d’un comité managérial dédié – le Comité Ethique et Conformité – les principaux risques de non-conformité.

Pour répondre à cet objectif, la directrice de la Conformité réglementaire peut compter sur un réseau d’une vingtaine de directions prescriptrices chargées d’organiser la veille réglementaire sur leur domaine, de développer les référentiels associés et de les déployer au sein des entités opérationnelles.

La Direction juridique est associée à la démarche, en particulier pour l’identification des risques en cas de non-conformité. Elle apporte naturellement son support aux directions prescriptrices et localement dans les entités.

Le département Contrôle Interne se trouve ainsi au carrefour des expertises du groupe pour jouer pleinement son rôle : accompagner les opérationnels dans la maîtrise de leurs risques.La maturité des dispositifs est évaluée selon différents axes : l’organisation et la gouvernance, les réseaux de correspondants, les référentiels externes et internes, la communication et la formation, les contrôles. Les domaines où les risques sont les plus critiques en cas de non-conformité sont évalués plus fréquemment.

Au-delà du Comité Ethique et Conformité, le partage du niveau d’exposition par la direction Contrôle Interne avec les directions du Management des risques et de l’Audit Interne est facilité par le regroupement de l’ensemble de ces directions au sein d’un même département – la DAMRO (la Direction de l’audit, du management des risques et de l’organisation).

BELLE HISTOIRERenault

1515

CHAPITRE N°2


4e É D I T I O N

L’EXHAUSTIVITÉ, NOUVELLE ASPIRATION

16

Les parties prenantes des entreprises exigent une maîtrise plus large et plus profonde de leurs activités. Il est devenu difficile pour les dirigeants de justifier leur ignorance d’une activité mineure à l’autre bout de la planète. Aussi, développer l’exhaustivité de son dispositif de maîtrise des risques est devenu incontournable.

Dans le contexte actuel de régulation internationale, et de partage mondial et instantané d’informations, les Directions Générales ont besoin de s’assurer qu’elles maîtrisent toutes leurs opérations, qu’il s’agisse de filiales très éloignées du siège, d’activités non significatives, de sociétés conjointes, de business units prometteuses sur des métiers nouveaux, ou même d’activités de recherche et développement. L’impact d’un acte de corruption, d’un produit défectueux, d’une décision managériale locale, ou de pratiques locales tolérées jusque-là, est devenu mondial et immédiat. Réputation entachée, perte de chiffre d’affaires, sanction internationale lourde, voire changement de direction sont autant de conséquences qui peuvent être évitées, ou diminuées avec un dispositif

de maîtrise des risques adapté.

DE L‘ART D‘ÊTRE EXHAUSTIF

La fin des exceptions

La première qualité attendue d’un dispositif de

maîtrise des risques est son exhaustivité et sa

capacité à couvrir l’ensemble de son périmètre. Et

ce, pour chaque activité de sa chaîne de valeur, du

siège jusqu’aux implantations les plus éloignées. Le

dispositif doit prévoir comment apporter à la direction

l’assurance dont elle a besoin sur les activités qu’elle

ne contrôle pas entièrement, voire qu’elle n’opère pas,

mais qu’elle finance en partie ou dans lesquelles elle

a un intérêt. Au concept d’entreprise étendue répond

celui de responsabilité étendue. L’enjeu est identique

pour les nouvelles acquisitions d’activités (cf. Belle

Histoire d’Atos).

De la même manière, le dispositif doit justifier les cas

d’exception qui étaient tolérés auparavant pour des

raisons de non-matérialité ou d’impératif stratégique : les

responsables des lignes de maîtrise sont tenus d’avoir

une connaissance suffisante de ces activités hors

périmètre pour apprécier les risques qui y sont liés, les

suivre et pouvoir alerter le management si nécessaire

(cf. Belle Histoire Airbus).

Le grand écart du comité d’audit

Bien que les enjeux de Compliance transparaissent dans les deux risques les plus suivis par les comités

d’audit (cf. Figure 2), il est intéressant de noter que cinq autres risques très différents sont aussi suivis : continuité d’activité (52%), réputation (44%), financement (41%), cybersécurité (40%), parties tierces (35%).

Non seulement ces risques adressent des zones d’expertise pointues, comme la sécurité informatique ou les plans d’investissement, mais ils couvrent aussi toutes les activités de l’organisation et ses parties tierces ainsi que l’impact sur sa réputation.

Ces réponses témoignent de la multiplicité des risques suivis par les comités d’audit, confirmant ainsi l’évolution sur le long terme de la mission de ces organes de gouvernance. Très financière et comptable il y a quelques dizaines d’années, elle est aujourd’hui beaucoup plus large et axée sur les risques de l’organisation.

Cette évolution est connue mais il est important de renforcer sa signification pour les dispositifs, qui doivent faire écho à cette multiplication des risques en tendant vers la couverture la plus exhaustive possible.

L’EXHAUSTIVITÉ, NOUVELLE ASPIRATION



FIG 9. PILOTAGE DU RISQUE DE NON-CONFORMITÉ LOCAL

Atos est un leader mondial des services numériques dont l’expertise s’articule autour du conseil et de l’intégration de systèmes, de l’infogérance, du Big Data, de la cyber-sécurité, du cloud et des services transactionnels de paiement.

La gestion des risques a permis d’accompagner le développement d’Atos en renforçant l’intégration entre les opérations et les fonctions support autour des risques projets. Porté par la Direction « Bid control & Business Risk Management » et renforcé depuis l’arrivée de son PDG Thierry Breton en 2008, le dispositif Rainbow (Risk Assessment in Named Business Opportunity Worldwide) couvre l’ensemble du cycle de vie du contrat, depuis la qualification de l’opportunité commerciale, la contractualisation jusqu’à la réalisation finale des projets. Ce processus global est déployé de manière homogène dans l’ensemble des activités et des géographies du Groupe.

Rainbow conduit les fonctions support à assister les managers opérationnels dans l’identification et l’évaluation des principaux risques et permet à ces derniers de prendre, en temps opportun, les décisions appropriées quant à l’évolution d’une opportunité ou d’un contrat. Peter Pluim, COO Global Managed Services, déclare : « Rainbow a permis d’améliorer la qualité du travail livré aux clients, en la rendant moins dépendante des individus, grâce à une démarche structurée ».

Par ailleurs, pour faciliter l’intégration des sociétés acquises, le département « Bid control & Business Risk Management » a mis au point un programme de transition permettant de déployer Rainbow le jour de la prise de contrôle de l’acquisition (incluant des analyses comparatives des processus, une adaptation de la matrice d’autorisation, un programme de formation sur mesure, et la revue post- acquisition des contrats majeurs).

Les résultats atteints par la gestion du risque chez Atos ont conduit la Direction à augmenter son niveau d’attente et d’exigence, et à considérer les outils et processus mis en place comme de véritables avantages concurrentiels au service de la qualité.

BELLE HISTOIREAtos


CONTRIBUTION EN GESTION DES

RISQUES

17

18

En ce sens, par exemple, le rattachement de certains départements d’audit à la direction financière, n’est pas seulement un problème d’indépendance, c’est aussi une limitation du champ d’action de la « troisième ligne de maîtrise »1 qui va à l’encontre de cette multiplication des risques couverts par les comités d’audit.

Couverture des risques locaux

Ce souci d’exhaustivité de l’appareil de maîtrise des risques est aussi reflété dans la question du pilotage des risques locaux.

Ce type de risques est particulièrement difficile à appréhender par un dispositif souvent centralisé, car les risques sont multiples, différents par nature selon les implantations, et passent souvent sous le radar pour des questions de matérialité ou d’inactivité : certains peuvent néanmoins avoir des conséquences civiles ou pénales mettant en danger les ressources et la réputation de l’entreprise.

Il est ici intéressant d’observer les pratiques de la place sur le pilotage de ces risques locaux (cf. Figure 9) : établissement de réseau de correspondants locaux (44%), formations (44%) et responsabilisation des managers sur le terrain (39%) démontrent l’angle humain sous lequel les organisations françaises

appréhendent ces risques.

QUELS OUTILS FACE À CETTE AMBITION ?

Intégration des fonctions

Afin de pouvoir couvrir tous les risques de l’organisation,

les dispositifs doivent reposer sur l’intégration ou la bonne

coordination des fonctions et peuvent prendre plusieurs

formes (cf. Figure 12) : comités et réunions de coordination

entre les différents acteurs, outils de gestion des risques,

actions de communication conjointes, reporting commun,

etc. Près de deux organisations sur trois effectuent un

reporting au conseil d’administration intégrant au moins

deux acteurs (cf. Figure 10).

Un reporting coordonné nécessite le partage des

référentiels. On constate à ce titre un point d’évolution

intéressant entre 2013 et 2016 : dans la continuité du

rapprochement des fonctions, le partage des référentiels

entre les acteurs du dispositif déjà à 47% en 20132, a

poursuivi sa croissance pour atteindre 54% en 2016

(cf. Figure 11).

Détecter les risques qui passent sous le radar

Airbus est le leader mondial des secteurs

aéronautique et spatial civil et militaire. Avec

près de 140 000 salariés dans des centaines

d’entités dans plus de 63 pays, suivre les

risques émergents et allouer correctement les

ressources d’audit disponibles est un facteur

clé de succès pour fournir une assurance

raisonnable au Conseil et à la Direction.

L’année dernière, l’équipe Corporate Audit

& Forensic du Groupe a conçu un dispositif

innovant pour adresser les enjeux de cette

organisation mondiale et décentralisée, sans

faire l’impasse sur ses petites filiales éloignées,

sujet à de gros risques : Subscan !

Subscan apporte à l’équipe d’audit du groupe

l’agilité nécessaire pour concentrer ses ressources

sur les risques mondiaux. L’idée est simple – une

approche d’audit « flash » standardisée, déployée

sur plusieurs entités au sein d’un même pays

pour détecter les problèmes majeurs en

termes de gouvernance ou de conformité. Ces

audits « flash » se concentrent uniquement

sur les procédures destinées à couvrir :

• le risque de conformité (déontologie, cadeaux

et hospitalité, sponsoring et dons)

• le risque de gouvernance (les règles de

gouvernance, le contrôle interne financier, la

trésorerie).

Depuis l’année dernière, Subscan a déjà porté

ses fruits : la couverture de l’audit a quadruplé,

la supervision des filiales a été renforcée,

un nombre important de recommandations

de contrôle ont été émises et des synergies

potentielles ont été identifiées.

Les filiales du Groupe, ainsi que leurs alliances

et leurs partenaires, ont aussi compris qu’Airbus

prend très au sérieux la conformité avec ses

politiques d’entreprise.

BELLE HISTOIREAirbus


19

LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4 e ÉDITIONLES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION

Pour être effective, cette intégration des fonctions,

passe par le choix d’un modèle1 organisé autour

des trois lignes de maîtrise, chaque ligne ayant un

périmètre, une mission et des activités formellement

définis. Le choix du modèle est simple : intégrer les

fonctions au sein de la même direction ou assurer

la coordination des acteurs. Quel que soit le choix,

la réussite passe par la capacité et la volonté de

collaboration entre les fonctions clés de la maitrise

des risques (cf. Belle Histoire Sanofi).

De nombreuses organisations ont ainsi fait ce choix de

collaboration : 71% d’entre elles participent aux réunions

et aux comités transverses pour favoriser le partage. Et

presque une sur deux a mis en place un outil commun

afin de structurer et étendre la collaboration (cf. Figure 12).

Ces interactions sont soutenues (43%) par des actions

spécifiques de communication. Elles revêtent ainsi

deux enjeux particulièrement importants.

D’abord en s’exprimant d’une seule voix, pour faire

comprendre au reste de l’organisation qu’ensemble,

les lignes de maîtrise ont vocation à couvrir tous les

risques. Ensuite, avec une coordination réfléchie des

demandes aux opérationnelles et des interventions

planifiées sur le terrain, les professionnels du risque

évitent la maladie chronique de « l’audit fatigue » et

de donner ainsi l’impression qu’ils travaillent ensemble

avec unique objectif de ralentir le business !

Inclusion de nouvelles problématiques

Le développement d’un dispositif exhaustif passe aussi

par l’extension de son périmètre à des activités et

des problématiques nouvelles, plus éloignées des

terrains de la finance, de la comptabilité et du contrôle

de gestion. L’exemple de Sodexo (cf. Belle Histoire

Sodexo) en est une illustration intéressante : en

intégrant de manière profonde et pérenne les risques

environnementaux et sociétaux dans son dispositif,

FIG 10. LE REPORTING AU CONSEIL D’ADMINISTRATION INTÈGRE-T-IL TOUTES LES FONCTIONS

DU DISPOSITIF DE MAÎTRISE DES RISQUES ?

FIG 11. INTÉGRATION DES RÉFÉRENTIELS DES PROCESSUS OU DE CONTRÔLE ENTRE

LES ACTEURS DE LA MAÎTRISE DES RISQUES

1 tel que défini par l’IFACI et l’AMRAE 2 cf. livre blanc de la 3e édition des Trophées de la Maîtrise

20

cette entreprise a fait de cet enjeu un avantage

concurrentiel réel.

Les enjeux de développement durable arrivent

d’ailleurs progressivement à maturité (cf. Figure 13). Bien que présente dans l’univers des risques depuis plusieurs années, cette problématique a aujourd’hui atteint un degré de maturité suffisant pour intégrer plus de la moitié des référentiels de contrôle interne (54%). La prise en compte de cette problématique dans les critères d’évaluation des risques (38%) est aussi le témoin de cette importance croissante.

En dépit de l’absence de norme internationale unique, des organismes reconnus développent en effet des référentiels de reporting de facteurs non-financiers, environnementaux et opérationnels (au sens large). Par exemple, l’Integrated Reporting (<IR>), rassemble ces éléments de manière transverse, à côté des éléments financiers, et le Sustainability Accounting Standards Board (SASB) propose quant à lui des critères de reporting non-financiers par secteur d’activité. Au-delà de la transparence externe, l’adoption de ces normes internationales présente une opportunité

importante pour les organisations leaders de fournir une assurance interne plus pertinente sur la maitrise de leurs activités dans le long terme.

L’audit interne : vers plus de valeur ajoutée

À travers leurs systèmes transactionnels, les organisations disposent de quantités gargantuesques d’informations. Les stratégies Big Data des entreprises visent à extraire la valeur de ces trésors dont elles sont propriétaires, ou auxquels elles ont accès. L’analyse de données n’est que la suite logique du tout-informatique vers lequel l’immense majorité des grandes organisations tend aujourd’hui.

Aussi, les avis des professionnels de la maîtrise des risques sur les axes d’amélioration de la fonction d’audit interne apportent une vision informée et plus indépendante que celle des audités (cf. Figure 14). Logiquement, l’utilisation des méthodes quantitatives de data mining dans les audits apparaît comme le premier axe d’amélioration, pour presque la moitié des répondants (49%). Si cette difficulté – et cette opportunité – n’est pas nouvelle, elle démontre ici sa complexité d’application dans le cadre d’audit à réaliser dans des contraintes

FIG 12. INTÉGRATION ENTRE LES DIFFÉRENTES FONCTIONS DE LA MAÎTRISE DES RISQUES

FIG 13. INTÉGRATION DES ENJEUX DE DÉVELOPPEMENT DURABLE DANS LE DISPOSITIF

DE MAÎTRISE DES RISQUES

FIG 11. INTÉGRATION DES RÉFÉRENTIELS DES PROCESSUS OU DE CONTRÔLE

ENTRE LES ACTEURS DE LA MAÎTRISE DES RISQUES

21


Une dynamique de coopération transverse pour une maîtrise renforcée

Sanofi est une entreprise française, leader mondial de la santé, qui développe des solutions pour prévenir et traiter les maladies, et accompagner les patients dans le monde. Présent dans plus de 100 pays, Sanofi est notamment le premier acteur du secteur de la santé dans les pays émergents. Avec une telle dimension, Sanofi et ses 110 000 collaborateurs doivent faire preuve d’une agilité permanente. Dans un environnement complexe et particulièrement régulé, les fonctions de l‘assurance interne doivent démontrer la même agilité. Depuis deux ans, les équipes se sont engagées dans le renforcement de leur coopération pour suivre le développement et les évolutions de l’entreprise et toujours maintenir la même assurance de maîtrise des risques.

Insufflée par les responsables globaux de l’audit interne, du contrôle et process internes, ainsi que du responsable de la Compliance, cette dynamique de coopération transverse s’est largement diffusée à l’ensemble de leurs équipes à tous les niveaux de l‘organisation (global, régional et local). Pour entretenir cet état d’esprit, ils se réunissent mensuellement au cours d’un comité de coordination qui donne l’impulsion pour un alignement des référentiels et des méthodes de travail, mis en œuvre par une collaboration étroite entre les trois équipes. L‘échange sur les risques permet également d’affiner et de coordonner les priorités des trois fonctions, en coopération avec la fonction Gestion des risques.

Enfin, les rapports d‘activité et les points de vue sont confrontés, enrichissant ainsi la compréhension des résultats. Ces échanges permettent notamment d‘ajuster le périmètre et le ciblage des missions à venir. Les rapports soumis aux organes de gouvernance gagnent ainsi en cohérence et le niveau d‘assurance fourni est renforcé.

Ainsi, c’est grâce aux apports spécifiques de chacun que cette contribution transverse bénéficie à l’ensemble de l’entreprise :

- Le département Contrôle Interne et Processus a étendu récemment sa couverture aux enjeux non-financiers. À côté des contrôles financiers répondant aux exigences de la loi Sarbanes Oxley (SOX) cohabitent dorénavant les contrôles obligatoires couvrant l’ensemble des processus du groupe (y compris la R&D). Ce département dispose par ailleurs d’une équipe dédiée à l’accompagnement des entités dans le déploiement de ce référentiel élargi.

- L’équipe Ethique & Intégrité des affaires porte la charge du déploiement du programme de conformité pour le compte du Comité Compliance présidé par le Directeur Général du Groupe et composé de membres du comité exécutif. Réunissant près de 115 collaborateurs, l’équipe dispose d’un système de recueil des alertes disponible en 28 langues, 24 heures sur 24 et 7 jours sur 7, de compétences informatiques dans le domaine des investigations et d’un dispositif d’évaluation des risques s’appuyant sur les principaux scénarios de fraude des cas investigués sur les trois dernières années.

- Le département d’Audit Interne rassemble plus de 70 collaborateurs répartis sur trois hubs (Paris, New Jersey et Singapour), au plus près des opérationnels. La diversité des profils, combinant auditeurs de métier, informaticiens, ingénieurs, médecins, pharmaciens, etc. assure la crédibilité de la fonction vis à vis des opérationnels, qui apprécient cette équipe forte de plus de 70 collaborateurs pour sa bonne compréhension

du business et des enjeux opérationnels.

BELLE HISTOIRESanofi

GRAND PRIX DU JURY

© H

ors

che

/iS

tock

22


de temps et de périmètre s’accommodant mal des impératifs de retraitement de données (fréquents au sein des organisations dont les ERP ne sont pas intégrés). Le manque de formation et de pratique des équipes sur les outils de data mining est aussi une barrière évoquée de manière récurrente au cours des entretiens qualitatifs menés auprès des répondants.

Deuxième axe d’amélioration, la détection de fraude par l’audit interne (42 % des répondants) est une attente forte de la direction de l’organisation. Et c’est paradoxalement une attente encore difficile à combler.Le dernier rapport d’ACFE (Report to the Nations on Occupational Fraud and Abuse, 2014) note que l’audit interne n’est que la troisième source initiale de détection de fraude : seuls 14% des cas de fraude sont détectés, contre 42% par les lignes d’alerte et 16% lors de revue par la ligne hiérarchique du fraudeur. Là où certaines étapes des programmes de travail étaient simplement marquées comme couvrant un risque de fraude, ces derniers incluent maintenant

des procédures complètes destinées à la détection de fraude. Le développement de l’analyse de données fournit également à l’audit interne des transactions suspectes à revoir. Certains départements d’audit interne intègrent, à la formation de tous les auditeurs, des modules sur la détection des indices comportementaux de fraude.

Le troisième axe d’amélioration (cf. Figure 14), la capacité à réaliser des audits spécifiques (33%), souligne l’exigence développée en première partie de ce livre blanc sur l’importance d’élargir le champ d’intervention, en ligne avec les attentes du Comité d’audit. Il se veut plus exhaustif et inclut des problématiques « nouvelles », comme la continuité des activités, le développement responsable et social, la cyber sécurité, les parties tierces ou encore tout risque menaçant la réputation de l’organisation.

FIG 14. AXES D’AMÉLIORATION DES DÉPARTEMENTS D’AUDIT INTERNE

23

La qualité de la vie, le développement durable et l’audit interne : une équipe inattendue.

Sodexo est le leader mondial des Services de Qualité de Vie. Sa démarche de responsabilité sociale, le « Better Tomorrow Plan » (BTP), est un critère différenciant de ses offres et un avantage compétitif. Leurs clients attachent une importance croissante à ces éléments de développement durable tels que le développement des communautés locales, la lutte contre la malnutrition dans les 80 pays où Sodexo opère, et le respect des droits sociaux fondamentaux.

Cette démarche s’articule autour de trois piliers :- We Are : les principes fondamentaux qui constituent le socle du développement responsable de Sodexo, à savoir : la vocation de Sodexo, les valeurs défendues et les principes éthiques.- We Do : les actions actuelles, organisées en quatre priorités et dix huit engagements.- We Engage : le dialogue et les actions partagées avec les parties-prenantes, ainsi que les engagements futurs.

Mais comment savoir si cette vocation noble se traduit concrètement par des actions quotidiennes à travers le monde ? Ou s’agit-il seulement d’une communication soignée ? C’est là que l’audit interne joue un rôle déterminant pour apporter de la valeur, en apportant une assurance indépendante aux dirigeants de l’entreprise et à ses clients majeurs.

Le café équitable l’est-il vraiment ? Le gaspillage de nourriture ou d’énergie est-il réellement maîtrisé ? La politique de recrutement est-elle respectée localement ? L’audit interne de Sodexo est en mesure aujourd’hui de formuler un avis indépendant sur ces sujets, dans les pays les plus pertinents. Sa contribution au BTP prend ainsi trois formes :

- Audit des indicateurs extra-financiers communiqués à l’externe (Grenelle II) sur les sites de Sodexo,- Audit des contrats clients, à la demande des clients ou pour donner du confort en interne, notamment dans le domaine du développement durable, de la facturation des coûts, et du respect des droits sociaux fondamentaux sur lessites de ses clients,- Audit du respect des droits sociaux fondamentaux dans les pays à risques.

Très actif au Business Integrity Committee, l’Audit Interne est devenu le garant du pilier « We Are » du BTP, et l’assurance d’une démarche de responsabilité sociale pérenne et durable !

BELLE HISTOIRESodexo



CONTRIBUTION DE L’AUDIT INTERNE

1524

CHAPITRE N°3


4e É D I T I O N

L’AGILITÉ, CONDITION DE LA

PÉRENNITÉDES ORGANISATIONS

La maîtrise des risques a pour objectif d’assurer la résilience de l’organisation face aux crises potentielles et son développement pérenne.Mais la pérennité est aussi un enjeu pour la maîtrise des risques. Dans un monde économique dont les changements sont fréquents, rapides et majeurs, une des clés réside l’agilité.

RÉSILIENCE ET PÉRENNITÉ

Le risque catastrophique

Si les univers des risques des organisations françaises ont toujours inclus les risques d’évènements catastrophiques, ils leur donnent aujourd’hui plus de poids. Les raisons à cela sont nombreuses. Tout d’abord, l’augmentation de la probabilité de ces risques est devenue un fait. Le contexte géopolitique mondial instable amène le risque d’interruption des opérations dans des zones géographiques qui semblaient stables, comme ont pu le prouver les évènements de novembre 2015 à Paris.

De plus, les impacts de certains risques

catastrophiques commencent à être mieux mesurés,

ce qui, par voie de conséquence, amène les

organisations à planifier leur survenance potentielle

de manière plus structurée. Le réchauffement

planétaire, la surpopulation, les flux migratoires ou

la raréfaction de certaines ressources minérales font

l’objet de plans de transition qui ne sont plus regardés

comme des scénarios de science-fiction mais comme

des business plans.

Le plan de continuité d’activité (PCA)

La construction et le maintien d’un plan de continuité,

structuré mais agile, est un des éléments pour rassurer

l’entreprise sur ses capacités à faire face à une

interruption majeure et soudaine d’activité.

Les plans de continuité d’activité (PCA) ne sont pas

une chose nouvelle mais le contexte économique

et général actuel fait de cet élément du dispositif de

maîtrise de risques une obligation.

L’AGILITÉ, CONDITION DE LA PÉRENNITÉ DES ORGANISATIONS

FIG 15. CAPACITÉ À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE


25

Si les répondants font preuve d’une forte confiance envers leur capacité à faire face à une interruption d’activité majeure et soudaine (59% l’estiment acceptable et 29% bonne), 41% des organisations reconnaissent ne pas l’avoir testée ni lors de cas réels ni lors de simulations (cf. Figures 15 et 16).

Utiliser le plan de continuité d’activité pour développer

la pérennité de l’entreprise signifie être en mesure de

hiérarchiser les scenarios de risques les plus probables

et coûteux. Parmi ces évènements rares, certains

sont plus improbables. Leur rareté a priori n’est pas

une raison pour tous les traiter, bien au contraire. En

se fondant sur l’expérience des concurrents, de la

filière, ou du tissu économique local, il est préférable

de concentrer ses ressources sur les incidents les

plus probables, plutôt que sur ceux qui pourraient

avoir le plus d’impact. En effet, mieux vaut se donner

l’opportunité de tester en réel un plan achevé plutôt

que s’engager dans les planifications incomplètes de

tous les incidents possibles – et n’avoir au final pas de

FIG 16. AVEZ-VOUS TESTÉ LA CAPACITÉ DE VOTRE

ORGANISATION À FAIRE FACE À UNE INTERRUPTION

D’ACTIVITÉ MAJEURE ET SOUDAINE ?

FOCUS

LES 5 FACTEURS CLÉS DE SUCCÈS D’UN PCA

Pour être efficace et performant, un dispositif de Plan Continuité d‘Activité

(PCA) doit répondre aux 5 objectifs suivants :

1. Avoir le soutien de la Direction Générale – obtenir son appui garantit l’implication

de l’ensemble des directions opérationnelles et ainsi la prise en compte

exhaustive des risques de l’entreprise.

2. Être pragmatique – adapter le périmètre du dispositif et le niveau de formalisation

à la culture et aux spécificités de l’entreprise est clé pour concentrer les efforts

et les ressources sur les enjeux prioritaires.

3. Intégrer l’existant – recenser les initiatives menées, comme par exemple les

Plans de Reprise d’Activité ou les Plans d’Urgence et les intégrer à la démarche

évite les redondances et favorise des réponses coordonnées.

4. Être testé – éprouver le dispositif sur des simulations de grande ampleur

impliquant des parties prenantes multiples est essentiel pour vérifier leur

capacité à réagir de façon collective et garantir la viabilité technique des

dispositifs de secours.

5. S’adapter – faire preuve d’agilité dans la recherche d’alternatives appropriées est

capital pour maintenir un dispositif à jour des nouveaux risques de l’entreprise.

26


+

27

plan de réponse complet quand l’évènement survient.

Faire preuve d’agilité dans l’action nécessite un travail

rigoureux et soutenu de préparation.

Et d’accepter la survenance d’un incident et la perte de

contrôle conséquente, en admettant de fonctionner en

mode dégradé le temps que les opérations reprennent

de manière satisfaisante.

Enfin, avoir un PCA structuré mais pragmatique, c’est

aussi le reprendre et le faire évoluer en fonction des

transformations internes de l’organisation. Aussi,

lorsque la stratégie oriente l’organisation vers une

décentralisation de ses opérations, elle doit s’assurer,

en cas d’incidents, d’une meilleure réactivité et

connaissance des environnements locaux.

Inévitables tests

Développer la pertinence et l’agilité de son dispositif

de maîtrise des risques passe aussi par la mise

en pratique des scénarios de continuité. Tester un

scénario de reprise d’activité permet de le roder, tout

en appréhendant ce que le plan a pu oublier et en

préparant tous les acteurs de l’organisation impliqués

dans ces situations de crise. Et de mesurer la capacité

de ses managers à faire face à une situation de stress.

L’exercice a tout autant de valeur pour la gestion de

crise. Cette dernière est souvent différenciée d’un

exercice de continuité d’activité par sa durée, le court

terme, et par son impact, la sphère publique.

Parmi les 59% des répondants à avoir effectué ces

tests, 78% l’ont fait au cours d’exercices de simulation

et 56% lors de cas réels (cf. Figure 17). Cette réponse

fait écho à une réalité de terrain : si la plupart des

entreprises ont un plan de continuité d’activité, c’est

l’épreuve des cas réels qui les amène à approfondir et

développer un PCA.

Si la simulation « en réel » d’un scénario d’incident

autorise à revoir et à compléter un PCA, les entreprises

doivent se garder de vouloir le parfaire : trop de

formalisme est inutile car chaque incident est différent.

L’expérience réelle de ce type d’évènement force à

accepter la dose d’imprévisible et d’inconnu qui ne

sera jamais dans le plan parfait.

Cette importance des hommes lors d’évènements

graves, lors de cas réels ou lors d’exercices, a aussi

été l’occasion de reconnaître l’impact majeur de la

culture d’entreprise et en particulier de la fidélité des

ressources à leur organisation. Ainsi, une organisation

n’ayant pas développé de lien social et pour laquelle

les salariés ont une très faible fidélité, ne sera pas en

mesure de mobiliser ses ressources dans ces temps

difficiles, et échouera de manières répétées. Lorsque

la réussite de l’organisation et celle des salariés sont

décorrélées, les interruptions d’activité majeures

et soudaines cristallisent cette séparation. Et les

salariés envisagent l’interruption de l’entreprise avec

détachement.


FIG 17. SI OUI, COMMENT AVEZ-VOUS TESTÉ LA CAPACITÉ DE VOTRE ORGANISATION À FAIRE

FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE ?


L’APPUI DU TOP MANAGEMENT

Maîtrise des risques et prise de décision

Pour rester pérenne, la maîtrise des risques doit démontrer sa valeur aux fonctions exécutives de l’organisation. Et le succès du dispositif se mesure quand le Président prend conseil auprès des professionnels du risque avant de prendre une décision d’affaires. Ce risk-based decision making est la reconnaissance de la valeur ajoutée des fonctions du risque : il marque l’inscription de la maîtrise des risques au cœur du quotidien de l’entreprise et promet ainsi sa pérennité. L’implication de la Direction générale de Solvay ou de Roquette (cf. Belles Histoires Solvay et Roquette) dans le développement du dispositif en est une excellente illustration.

Il est donc intéressant de suivre la contribution des fonctions de la maîtrise des risques aux décisions stratégiques de l’entreprise (cf. Figure 18) : en 2016, il est fréquent qu’une fonction de la maîtrise des risques participe de manière régulière aux instances de décision stratégique, là où encore en 20131, pour la majorité des répondants, ces mêmes fonctions ne participaient que rarement aux mêmes instances.

Cette évolution montre à quel point les attentes des organisations françaises ont augmenté vis-à-vis de ces fonctions. La participation des acteurs incontournables de la maîtrise des risques (le contrôle interne, l’audit interne, la gestion des risques, la Compliance, de la Qualité, Développement Durable, l‘EHS,…) aux décisions stratégiques de manière régulière (ou systématique) impliquent plus qu’un simple rôle de consultation des experts sur leurs sujets traditionnels. Elle nécessite aussi une participation de ces fonctions sur des sujets larges, nécessitant de considérer l’organisation dans son ensemble, au-delà des périmètres fonctionnels, des seuils de matérialité ou des expertises.

Savoir décider vite

La nature stratégique de ces décisions exige une vision sur le long terme, de plus en plus corrélée aux problématiques de pérennité et de résilience.

Si elle veut apporter de la valeur sur le long terme, la maîtrise des risques doit donc s’inviter dans la prise de décision stratégique. L’apport du risque à cette décision est aussi crucial dans la mise en œuvre opérationnelle des plans de continuité d’activité.

Roquette, groupe familial de dimension internationale, a pour activité la transformation de matières premières végétales. Figurant parmi les cinq leaders mondiaux de son secteur, il offre à ses clients une large gamme de produits et solutions dans les domaines de l’alimentation, de la nutrition, de la pharmacie et d’autres secteurs industriels.

Sa dynamique de croissance a fait de la gestion globale des risques une priorité des actionnaires et de la Direction Générale pour garantir la protection de ses résultats et la pérennité du Groupe. Depuis plusieurs années, Roquette a fortement fait évoluer son dispositif pour concentrer ses efforts sur les risques prioritaires à l’échelle du Groupe. Auparavant orientée bottom-up, l’approche de gestion de risques est devenue davantage top-down. L’avancée des plans d’actions est suivie trimestriellement au regard du budget alloué. Le pilotage de ce dispositif est assuré par une gouvernance générale forte favorisant le partage d’une vision commune de la gestion des risques. Par son pragmatisme, cette initiative participe à la responsabilisation concrète des directions opérationnelles.

BELLE HISTOIRERoquette

28

PRIX SPÉCIAL

DU JURY

1 cf. livre blanc de la 3e édition des Trophées de la Maîtrise

FIG 18. PARTICIPATION DES FONCTIONS DU DISPOSITIF DE MAÎTRISE DES RISQUES

AUX INSTANCES DE DÉCISION STRATÉGIQUE

29

L’ ORGANISATION APPRENANTE

Amélioration continue

Les axes d’amélioration des fonctions de la maîtrise des risques (cf. Figure 19) soulignent l’enjeu de pérennisation des dispositifs : 51% des répondants souhaitent voir les principaux acteurs de l’organisation responsabilisés, 48% attendent que la maîtrise des risques soit intégrée dans les dispositifs de pilotage de la performance et 46% veulent un meilleur suivi des plans d’action et retours d’expérience. Ces trois points marquent bien la volonté d’inscrire la maîtrise des risques dans les opérations et les décisions de l’entreprise sur le long terme, au-delà de la simple gestion de projet.

Adaptabilité et survie

Certaines entreprises traditionnelles ont vu l’arrivée soudaine de nouveaux modèles économiques remettre en cause leurs fondements.On peut bien sûr penser au cas Uber, AirBnB, Amazon, Alibaba ou Facebook. En prenant un peu de recul, de nombreuses entreprises s’inquiètent aujourd’hui de la possibilité qu’un entrepreneur innovant en Californie ou en Chine développe une technologie venant bouleverser les fondamentaux de leur secteur et leur

position concurrentielle. Il y a quelques décennies, les cours de marketing développaient les concepts de « barrières à l’entrée » des marchés : oligopoles locaux, relations avec les distributeurs, capacité logistique, longue présence de champions nationaux, etc. Ces barrières existent-elles encore ? Comment protéger une organisation bien établie, et de taille importante, face à une telle menace ?

La réponse est dans la capacité de l’organisation non seulement à muter rapidement et efficacement, mais aussi à connaître, comprendre, accompagner et anticiper ces changements. Comme le développait Darwin dans “De l’origine des espèces“, la sélection naturelle n’a pas seulement démontré la survie de l’espèce qui s’adapte, mais de celle qui s’adapte le mieux et la première.

Que penser des innovations en cours de développement comme le remplacement des cartes SIM physiques par des cartes SIM virtuelles, le remplacement d’activités humaines par l’intelligence artificielle, la robotique avancée, les véhicules autonomes, ou les thérapies annulant le processus de vieillissement ? Quand ces innovations apparaîtront-elles sur nos marchés ? Comment changeront-elles les règles du jeu pour les entreprises existantes sur ces marchés ?


FIG 19. SUGGESTIONS DE MODIFICATIONS DES FONCTIONS EN CHARGE DU DISPOSITIF

DE MAÎTRISE DES RISQUES

1 cf. livre blanc de la 3e édition des Trophées de la Maîtrise


Les risques au plus près de la prise de décision

Premier chimiste en France depuis l‘acquisition de Rhodia en 2011, le groupe Solvay a décidé de transformer et de renforcer son dispositif en regroupant ses activités d’audit interne et de gestion des risques au sein d’une même direction, rattachée à la Direction Générale et au Comité d’audit.

La démarche, lancée par le Directeur Général est aujourd’hui totalement intégrée dans le système de management de l’entreprise. Tous les risques sont couverts : les risques Groupe ou transverses, les risques opérationnels (business et fonctions), et les risques liés aux projets et à la transformation. Le Comité exécutif du Groupe aborde régulièrement le suivi des risques majeurs en séance. Parallèlement, l’évaluation des risques est intégrée à la Business Strategic Review de chacune des Global Business Units (GBU) et au dossier de chaque projet d’investissement. Un dashboard des risques majeurs, présenté régulièrement au Comité exécutif et au Comité d’audit, permet de maintenir le dispositif sous tension.

Le dispositif de maîtrise des risques a rapidement gagné en maturité et en pertinence grâce à un travail soutenu d’intégration et de coordination de l’ensemble de ses acteurs. Ce travail se traduit par la mise en place de comités transverses dédiés au dispositif, comme le Group Risk Committee (composé de tous les membres du Comité exécutif et de

certains directeurs de fonctions) et l’Internal Control Steering Committee (présidé par le Directeur Général Finances), ainsi que par le développement d’un langage commun et par des référentiels partagés entre les spécialistes du risque.

Un réseau structuré de Risk Sponsors au niveau du Comité exécutif, Risk Owners au niveau du Leadership Council (Top 40), et Risk Coordinators, membres des comités de direction GBU ou fonction est le garant du bon traitement opérationnel. Concernant les risques sur les processus, l’alignement avec le contrôle interne est assuré par un réseau parallèle de Process Risk Advisors, de Corporate Process Managers et de Local Process Contacts.

L’objectif de Solvay est tout simplement de transformer le risk management en un outil de management.

BELLE HISTOIRESolvay

Dans un environnement où les changements s’accélèrent et où la survie de certains modèles économiques est menacée, il est intéressant de noter que seuls 40 des sociétés du Fortune 500 ont plus de cinquante ans d’existence. Les vingt dernières années ont vu la disparition de sociétés établies, comme Kodak, Swissair ou Lehmann Brother. Certaines compagnies ont revu de manière fondamentale leur modèle opérationnel, par exemple lorsqu’IBM a vendu son activité de construction de micro-ordinateurs à Lenovo.

Ces changements obligent les dispositifs de maîtrise des risques de telles entreprises à évoluer avec eux. On peut voir des multinationales changer entièrement leur équipe d’audit interne pour réorienter l’activité de la troisième ligne de maîtrise sur d’autres enjeux, plus stratégiques pour l’entreprise.

Ce contexte ne pousse pas seulement les dispositifs de maîtrise des risques à se former, mais aussi à gagner en agilité : anticiper les évolutions de l’entreprise, et composer leurs équipes des ressources capables de s’adapter en permanence aux changements, d’assurer l’adéquation durable du dispositif aux enjeux de l’entreprise.

De plus, hausser le niveau de la communication, et mieux exploiter les outils et la technologie sont des vecteurs de progrès pour les organisations françaises à la quête d’un dispositif de Compliance équilibré et harmonieux.

30

31


AVIS D‘EXPERTJacques SivignonAssocié Contentieux Complexes, Dechert LLP

Comprendre et appliquer les programmes de conformité : le facteur humain, clé.

L’un des défis majeurs pour les entreprises est de pouvoir s’assurer que le dispositif, les politiques et les procédures de conformité sont compris et appliqués par l’ensemble des salariés, quelles que soient leurs fonctions ou leur localisation géographique. Or au sein d’un groupe international, les différences culturelles et les difficultés de communication peuvent en pratique être sources d’incompréhension et donc de risques, a fortiori lorsque les habitudes locales bien établies contreviennent directement aux politiques de compliance édictées. Les formations en ligne sont en général des outils insuffisants pour combler ce fossé culturel, beaucoup de groupes l’ont compris. Il est donc essentiel de mettre en place des formations régulières en face à face et en langue locale de préférence, avec les dirigeants des filiales concernées et leurs salariés.

Une des clés de la réussite de ce type de démarches réside dans la capacité à apprécier la compréhension par les salariés de ce qu’est un comportement approprié et inapproprié au regard de la réglementation internationale anti-corruption(1). Si la connaissance des règles par tous les salariés est une condition nécessaire de l’efficacité des politiques de compliance, elle n’est pas suffisante et il convient de s’assurer que ces règles sont également comprises. Ces audits préliminaires du facteur humain permettront notamment de réaliser une cartographie des risques au sein de l’entreprise plus fine, d’adapter les procédures de conformité aux risques réels et de mieux allouer les ressources en identifiant les zones de faiblesses sur lesquelles les efforts de mise en conformité doivent être concentrés.

(1) Fort de son expérience en matière de conformité, Dechert a développé conjointement avec Cognisco, société leader

en matière de sciences cognitives et du comportement, le logiciel d’audit Comprehend®, qui permet d’évaluer le

niveau de compréhension des collaborateurs en matière de corruption et les risques associés.

1532

CONCLUSION


4e É D I T I O N

Cette 4ème édition des Trophées de la Maîtrise des Risques confirme quelques grandes tendances des premières éditions : intégration des fonctions, participation du risque à la prise de décision stratégique, inclusion des problématiques environnementales et sociales.

Dans ce contexte d’accélération de la complexité des règles et d’importance croissante du numérique, la Compliance, la fraude et la corruption sont désormais les premières préoccupations des Comités d’audit. La problématique n’est pas nouvelle mais la menace de sanctions internationales de plus en plus lourdes, associées aux moyens accrus des régulateurs, amènent les organisations à chercher la meilleure assurance afin que les instructions des dirigeants et les valeurs de l’organisation soient systématiquement suivies.

Les organisations françaises soulignent l’importance de la culture dans un dispositif efficace. La capacité d’une entreprise ou d’une organisation à instaurer une culture d’intégrité, adaptée aux aspects interculturels, ferait la différence entre une Compliance de valeur et un simple exercice de conformité.

Les répondants révèlent aussi l’importance pour l’expert du risque d’améliorer sa communication pour changer la perception de la Compliance, d’une fonction administrative vers un partenaire apporteur de valeur. Ce n’est pas simple face à un triple défi d’exhaustivité (des pays et des problématiques), d’agilité (de l’adaptation quasi-permanente du business model) mais aussi de pérennité (la protection de l’organisation à long terme).

Chaque entreprise a un choix de modèle organisationnel pour la maîtrise de ses risques. Mais quel que soit le modèle retenu, la réussite passe par le partage et la coordination de toutes ces fonctions contribuant à la protection de l’organisation et à la maitrise de ses risques. Une approche en silo multiplie la probabilité de passer à travers une faille importante

et les interventions non-coordonnées ralentissent le business sans amener de valeur ajoutée. Si le travail collectif est incontournable, il ne suffit pas seul. La maîtrise des risques doit aussi savoir s’adapter aux évolutions des entreprises et organisations.

Ces dernières s’orientent vers des stratégies à très long terme de développement durable. Elles traitent et exploitent davantage dans leur quotidien le Big Data. Ces tendances changent l’approche, les outils et les compétences nécessaires pour qu’un auditeur, un contrôleur, un risk manager ou un compliance officer restent pertinents.

Soucieux de la pérennité de leur organisation dans un contexte dynamique, les Conseils d’administration et les spécialistes du risque portent une attention particulière aux plans de continuité de l’activité. L’enquête révèle que ces plans ne sont pas toujours mis à l’épreuve. L’expérience nous montre que les meilleurs plans sont fragiles en réelle situation de crise car il manque aux collaborateurs clés l’expérience et l’agilité nécessaires. Pour réussir, il faut être prêt à accepter un niveau de formalisme parfois réduit, et pouvoir s’appuyer sur une très bonne communication et des outils performants – les deux composantes du dispositif sur lesquelles les organisations françaises déclarent être les moins matures.

Ainsi, les entreprises sont préoccupées par le bon suivi des politiques internes et règles externes, par l’intégrité de leurs dirigeants, par la complexité internationale de leur environnement et par la communication immédiate. Dans un contexte de développement durable, les meilleures organisations ont trouvé des clés pour une Compliance efficace : la prise en compte de la culture, une communication soutenue, un sponsorship au plus haut niveau, une organisation favorisant le partage et l’agilité. La Compliance s’avère un allié assez insoupçonné.

CONCLUSION

33


1534


4e É D I T I O N

JURY & LAURÉATS

35

Denis Ranque – Président du Jury

Denis Ranque est actuellement Président d’Airbus Group depuis 2013. Il préside

également le Haut Comité de Gouvernement d’Entreprise depuis 2013 et la Fondation

de l’École Polytechnique depuis 2014. Il est administrateur de Saint-Gobain, de CMA-

CGM et de Scilab Entreprise SAS.

Alain Decombe

Alain Decombe est Vice-Chairman en charge des Opérations Internationales de

Dechert LLP et Managing Partner du bureau de Paris.

Dominique Laymand

Dominique Laymand est Senior Vice-Président, Chief Ethics and Compliance Officer

d’Ipsen. Elle préside également le Comité Compliance de la Fédération Européenne des

Industries et Associations Pharmaceutiques (EFPIA) et de celui de l’Association Française

des Entreprises du Médicament (LEEM). Elle est la Présidente d’ETHICS, une association

regroupant des professionnels de l’éthique et de la Compliance, à l’international, dans le

secteur de la santé.

Didier Retali

Didier Retali est Directeur de l’Audit, des Risques et du Contrôle Interne de GDF Suez,

devenu Engie depuis juillet 2015. Engie a été lauréat du Grand Prix du Jury lors de la 3ème

édition des Trophées de la Maîtrise des Risques.

Florence Vincent

Florence Vincent est Directeur de la Qualité, de l’Audit et de la Maîtrise des risques et

membre du Comité Exécutif du groupe Michelin depuis 2014.

JURY DE LA 4e ÉDITIONDES TROPHÉES DE LA MAÎTRISE

DES RISQUES


36

SANOFI, Grand Prix du jury Olivier Brandicourt, Directeur Général

Suresh Kumar, EVP External Affairs Marc Esteva, SVP Internal audit Group

Dante Beccaria, SVP Global Compliance Jérôme Saillant, VP Internal Control and Processes

ATOS, Trophée de la meilleure contribution en gestion des risques Élie Girard, Directeur Financier

Daniel Milard, SVP Bid Control & Business Risk Management Bérénice Chassagne, VP Bid Control

VALEO, Trophée de la meilleure contribution du contrôle interne Jacques Aschenbroich, Président-directeur Général

Robert Charvier, Directeur Financier GroupeRodolphe Garnier, Directeur de l’Audit et du Contrôle Interne

Catherine Delhaye, Chief Ethics & Compliance Officer

SODEXO, Trophée de la meilleure contribution de l’audit interne Robert Baconnier, Président du Comité d’audit

Marc Rolland, Directeur FinancierLaurent Arnaudo, Directeur de l’Audit Interne

Neil Barrett, Group VP Sustainable Development

ROQUETTE, Prix Spécial du jury Édouard Roquette, Chairman (Président du Conseil d’Administration)

Emmanuel de Geuser, Head of Finance & Information SystemPierre-Arnaud Cresson, Head of Internal Audit & Control

Francis Van den Neste, Head of Enterprise Risk Management & Global Security

LAURÉATS DE LA 4e ÉDITION DES TROPHÉES DE LA MAÎTRISE

DES RISQUES


1537


4e É D I T I O N

MÉTHODOLOGIE

Organisés par Crowe Risk Consulting et l’IFACI, en collaboration avec Dechert, les Trophées de la Maîtrise des Risques ont pour objectif de mettre en lumière les dispositifs des métiers de la maîtrise des risques et de récompenser les meilleures initiatives en la matière au sein des grandes organisations.

La sélection des organisations lauréates se fait en trois temps :

1. Enquête en ligne : un questionnaire permet de collecter les éléments qualitatifs et quantitatifs d’une centaine d’organisations. Les résultats sont analysés et consolidés. Les organisations souhaitant se porter candidates s’identifient.

2. Entretiens : pour les organisations candidates, une vingtaine d’entretiens est réalisée afin d’aborder

les sujets de manière plus qualitative et de recueillir les détails permettant de mettre en valeur les initiatives et de les présenter au Jury.

3. Jury : le jury indépendant analyse et classe les résultats quantitatifs, qualitatifs et les initiatives qui lui sont présentés. Il distingue ainsi les organisations en leur attribuant des Trophées, le Grand Prix du Jury et des Trophées spécialisés.

• 125 organisations ont participé à l’enquête, parmi lesquelles 95 ont complété le questionnaire dans son ensemble.

• 20 organisations se sont portées candidates, parmi lesquelles 12 ont été nominées et présentées au jury.

• 5 organisations ont été récompensées par le jury.

MÉTHODOLOGIE

38

FIG 20. PROFIL DES 95 ORGANISATIONS SONDÉES


1539

LES ORGANISATEURS


4e É D I T I O N

40

Crowe Risk Consulting est un cabinet unique spécialisé en Gouvernance, Risque et Conformité avec plus de 1 000 experts du risque situés dans les capitales économiques internationales, intégré à Crowe Horwath International, un réseau de 31 000 spécialistes du domaine financier.

Nos leaders participent activement aux missions et notre modèle s’appuie sur des recherches, des connaissances et l’analyse des pratiques que nous mettons ensuite au service de nos clients. Notre mission : accompagner les groupes internationaux partageant nos valeurs dans la résolution de leurs enjeux stratégiques, en transformant leur gouvernance, en intégrant le risque dans la prise de décisions, et en définissant un dispositif de conformité efficient.

Au cœur de la maîtrise des risques pour une performance durable.

L’Institut Français de l’Audit et du Contrôle Internes (IFACI) rassemble plus de 5 600 professionnels de l’audit et du contrôle internes et, plus largement, de toutes les fonctions contribuant à la maîtrise des risques. L’Institut favorise la diffusion des normes internationales de l’audit interne et des meilleures pratiques des métiers de la maîtrise des risques. Lieu de partage et d’accompagnement, il est l’organisme de référence en matière de formation professionnelle dans ces domaines.

Ainsi, l’IFACI constitue le partenaire privilégié des organisations publiques et privées de toutes tailles souhaitant améliorer l’efficacité de leurs dispositifs de gouvernance, de maîtrise des risques et de contrôle interne.L’IFACI est affilié à The Institute of Internal Auditors (The IIA) qui bénéficie d’un réseau de 180 000 adhérents.

LES ORGANISATEURS


LES ORGANISATEURS

41

Dechert LLP est un cabinet d’avocats d’affaires international qui compte plus de 900 avocats répartis dans 27 bureaux. Nos équipes interviennent sur des dossiers à forts enjeux stratégiques en conjuguant expertises juridiques pointues et approche pragmatique. Nos clients nous choisissent pour notre capacité à les conseiller de façon rapide et claire, sans compromettre l’excellence. Nous privilégions les relations durables et de confiance, qui nous permettent de bien connaitre les enjeux de nos clients et de mieux les accompagner.

L’équipe de Dechert en France compte plus de 80 avocats, qui collaborent avec leurs collègues basés à travers l’Europe, aux États-Unis, en Asie et au Moyen-Orient :

• Arbitrage international

• Contentieux commerciaux

complexes

• Corporate/fusions et

acquisitions

• Droit de la concurrence

• Droit social

• Fiscalité

• Private equity

• Propriété intellectuelle

• Services financiers et

gestion d’actifs


© 2016 Crowe Horwath Global Risk ConsultingRéalisation : C‘est Extra !

58 bis rue de la Boétie 75008 Paris+33 (0)1 53 53 03 92www.masteringrisk.com

Pour les dispositifs de maîtrise des risques, la conformité de l‘organisation semble être une gageure :

leur connaissance des régulations transnationales et locales doit rester courante, et les efforts à

mettre en place immédiatement se heurtent parfois à des cultures d’entreprise qui, elles, n’évoluent

pas rapidement, et ne peuvent changer qu’avec la volonté de la direction exécutive.

Pour réussir, les dispositifs de conformité doivent relever trois défis : la couverture exhaustive des

activités de l’organisation, l’implication plus forte de l’audit interne, et la réconciliation des aspects

interculturels.

Face à la multiplicité des risques maintenant suivis par les Comités d’audit et la fin des « prés carrés »,

les métiers du risque retrouvent cet enjeu de l’exhaustivité de couverture sur tous les sujets qu’ils

traitent. L’intégration des fonctions est ici le levier principal du succès de cette mission, incluant de

nouvelles problématiques (RSE, etc.) dans le périmètre de la maîtrise des risques et élargissant le

champ d’action de l’audit interne.

La maîtrise des risques a plusieurs objectifs, dont le principal est la pérennité de l’organisation,

notamment à travers la gestion des risques catastrophiques, et plus généralement par la

préservation d’avantages concurrentiels. Mais la pérennité est aussi un enjeu pour le dispositif de

maîtrise des risques lui-même : comment peut-il s’assurer de s’inscrire dans le cœur de l’entreprise et

de survivre au-delà des changements internes et externes ? La clé de cette pérennité, dans un monde

économique dont les changements sont fréquents, rapides et majeurs, est l’agilité.

La 4e édition des Trophées de la Maitrise des Risques témoigne de l‘engagement des entreprises

dans ces chantiers à divers degrés. Dans un climat d’affaires internationales plus instable et plus

exigeant qu’auparavant, les fonctions de la maîtrise des risques permettent d‘anticiper les mutations

nécessaires et de construire le dispositif exhaustif, agile et pérenne indispensable à leur succès.

CROWE RISK CONSULTING FRANCE