QUELLE DÉMARCHE POUR

ÉVALUER LE DISPOSITIF DE
GESTION DES RISQUES ?
Chantal CARNEL
CEO et Co-fondatrice, DELTA RM

Olivier FURTAK
Senior Vice President Audit and Forensic, AIRBUS
Quelle démarche pour évaluer le dispositif
de gestion des risques

INTRODUCTION
Défi, Rappel des référentiels

ILLUSTRATION PAR AIRBUS

DES PROBLEMATIQUES DIFFERENTES EN FONCTION DES STRUCTURES

D’ENTREPRISE
Secteur d’activité, Taille de l’entreprise, Organisation Interne et Gouvernance
DISPOSITIF DE GESTION DES RISQUES
Rappel de modèle

UNE OU PLUSIEURS DEMARCHES ?

Risques opérationnels VS Risques Majeurs

LES OUTILS D’ÉVALUATION

Adapter l’évaluation à la maturité de la gestion des risques

DES OUTILS D’ ÉVALUATION ÉVOLUTIFS

Adapter les outils au contexte
Quelle démarche pour évaluer le dispositif
de gestion des risques le défi

Une des principales exigences du conseil d’administration ou son

équivalent est d’obtenir l’assurance que les procédés de risk
management fonctionnent de manière effective et que les
principaux risques sont gérés à un niveau adapté.
Cette assurance peut provenir de différentes sources. Parmi elles, la
garantie donnée par le management est fondamentale. Elle doit être
complémentée par la fourniture d’une assurance objective pour
laquelle l’audit interne est une source majeure.
Les éléments à évaluer comprennent les procédés de gestion des
risques, leur conception et la manière dont ils fonctionnent, la
gestion des risques classifiés comme majeurs, incluant l’effectivité
des contrôles et la fiabilité des rapports.
Quelle démarche pour évaluer le dispositif
de gestion des risques le défi

La confiance des parties prenantes.

Le périmètre augmente de manière exponentielle – globalisation,
connectivité et environnement.
L’audit est une fonction de contrôle typiquement réactive à la
manifestation de risques.
Suffit-il de se conformer aux exigences réglementaires ?
Comment ajouter de la valeur et éviter la manifestation du prochaine
risque ?
Capacité à réagir rapidement ?
Quelle démarche pour évaluer le dispositif
de gestion des risques rappels usuels

Utilisation d’un ou plusieurs

référentiels :
§ L’AMF Reference Framework
(basé sur COSO),
§ COSO ERM Integrated Framework,
§ ISO31000 Risk Management,
§ Autres – e. g. Dutch Code, SOX.
Quelle démarche pour évaluer le dispositif
de gestion des risques rappels usuels

Ce diagramme, extrait des

« Guides d’Implémentation
de l’IIA » montre un spectre
d’activités ERM et indique
quels rôles une activité
d’audit interne
professionnelle efficace doit
et, de manière tout aussi
importante, ne doit pas
entreprendre.
Ce modèle sert à
déterminer le rôle de l’audit
interne (plutôt à gauche) et
à déterminer le champ
d’action pour une
évaluation du dispositif de
gestion des risques (plutôt
au milieu et à droite).
Quelle démarche pour évaluer le dispositif
de gestion des risques rappels usuels

Les standards professionnels

requièrent :

L’évaluation spécifique de
l’efficacité des “processus de
management des risques” et,
par conséquent, du dispositif
global de gestion des risques.
Quelle démarche pour évaluer le dispositif
de gestion des risques illustration airbus

Les référentiels :
§ Dutch Corporate Governance Code,
§ COSO et ISO31000,
§ Standards IIA/IFACI.
Quelle démarche pour évaluer le dispositif
de gestion des risques rappels usuels

DISPOSITIF DE REDUCTION DES CAUSES

Le contrôle interne
La prévention des risques (qualité/sécurité..)
L’analyse des incidents
L’anticipation des enjeux règlementaires

DISPOSITIF DE REDUCTION DES CONSÉQUENCES

L’Assurance
Le Plan de Continuité d’Activité / Gestion de Crise

DISPOSITIF DE SUIVI DE L’EFFICACITÉ

La gouvernance, l’organisation, la documentation
L’Audit
Le suivi des indicateurs
Quelle démarche pour évaluer le dispositif
de gestion des risques rappels usuels

3/ Evitement
Stratégie de
1/ Identification 2/ Sélection des Compréhension Réduction des
gestion des
des risques risques majeurs des risques causes
risques Prévention
majeurs

Corporate Scenario 4/ Contrôle Interne

Maîtrise des
7/ Plans
Evaluation causes/conséquenc d’actions
Evènements es
5/ Audit Interne
redoutés

Stratégie 6/ Assurances
d’optimisation
8/
financière des Indicateurs
impacts Plan de continuité KRI
d’activité
Quelle démarche pour évaluer le dispositif de gestion des risques
des problématiques différentes en fonction des structures d’entreprise

L’organisation des entreprises et

des fonctions de gestion des risques
L’existence des fonctions
Le partage entre ces fonctions
La culture de l’entreprise,
la « gestion » des silos
La taille des entreprises
Le nombre d’activités, de filiales
Le type de filiale, leur niveau d’indépendance

Le secteur d’activité
Réglementé (bancaire, assurances…)
Pharmacie, industrie de pointe
Quelle démarche pour évaluer le dispositif de gestion des risques
Illustration Airbus - police
Quelle démarche pour évaluer le dispositif de gestion des risques
illustration Airbus – Gouvernance ERM

• Fonction ERM Centre de Compétence dédiée.

• Rapportant directement au CFO.
• Indépendant de l’Audit Interne, de la gestion des risques par la finance et les
opérations.
• Un réseau de ‘risk officers’.
• Des réunions systématiques dédiées au risque et des rapports.
• Un outil de référence.
• Des objectifs et des axes d’amélioration.
Quelle démarche pour évaluer le dispositif de gestion des risques
illustration Airbus – modèle de processus

• Modèle de
base fondé
sur COSO et
ISO31000.
• Quatre sous-
processus
majeurs avec
les éléments
du COSO et
ISO31000.
Quelle démarche pour évaluer le dispositif de gestion des risques
Illustration Airbus – les éléments d’ évaluation par l’Audit interne

Contrôle continu
• Procédures standardisées basées sur les exigences des référentiels appliquées
systématiquement pour chaque audit.
• Recommandations sur la gestion de risque avec catégorisation systématique de chaque
audit par rapport au processus couvert par l’ERM.
• Suivi des actions et de la clôture des actions d’audits précédents y compris celles liées à
la gestion des risques (suivi basé à son tour sur la carte de couverture de l’audit et plan
d’audit élaborés par rapport au risque).
• Cycle d’audit pluriannuel basé sur les risques (partie d’un processus de planification de
l’audit).
• Coopération avec les auditeurs externes et la 2ème ligne de défense (échange de
rapports, briefings trimestriels).
Contrôle annuel
• Audits dédiés et cycle des années précédentes.
• Analyse de la base de données des risques.
• Évaluation de la contribution de la 2ème ligne de défense.
Quelle démarche pour évaluer le dispositif de gestion des risques
Illustration Airbus – les LIVRABLES d’ évaluation

Livrables
• Rapports d’audit et suivi des
actions.
• Analyse des résultats du
testing systématique et
analyse de données.
• Opinion sur le système de
gestion des risques et sur les
actions de suivi.
• Rapports à la direction et au
comité d’audit.
Quelle démarche pour évaluer le dispositif de gestion des risques
une ou plusieurs démarches ? risques opérationnels vs risques majeurs

APPROCHE GLOBALE ET INTEGRÉE DELTA RM

Approche ERM Indicateurs de
Qu’est ce qu’un Indicateurs
Externes
Objectifs
- stratégiques
suivi
risque majeur ? - opérationnels Indicateurs
d’alertes
Quelles sont les Scenarii
dispositifs de maitrise Risques majeurs Plans d’actions
des risques majeurs ? Consolidation

Approche Process/Conformité
Risques « unitaires »
Risques « unitaires »
Risques élémentaires

Prévention Audit Interne Activités

Assurance
QHSE
Contrôle Interne
Sinistres Sécurité SI/IT Processus
Niveau de
Couvertures
Niveau de maitrise
des risques maitrise
Recomma Entités
assurables Recomma ndations
ndations

Moyens d’atténuation (maitrise des risques)

Transfert des impacts Réduction des causes
Quelle démarche pour évaluer le dispositif
de gestion des risques les outils d’évaluation

Il existe plusieurs outils d’évaluation , Indispensable MAIS s’assure t-on de

exemple AMF: l’exhaustivité ?
- Notre méthode
Quelle démarche pour évaluer le dispositif
de gestion des risques les outils d’évaluation
Quelle démarche pour évaluer le dispositif
de gestion des risques les outils d’évaluation
Quelle démarche pour évaluer le dispositif de gestion des risques
des outils d’évaluation évolutifs

Modification du périmètre de la société

Acquisition, Fusion La démarche doit donc être :
Modification du profil de risque -Pérenne
-Reproductible
Nouvelle activité -Mesurable
Nouvelle règlementation -Formalisé
Modification de la gouvernance
LBO è la communication et l’adhésion des
Modification de l’appétence aux risques
parties prenantes est la clé de voute
de toute démarche
Nouveau éléments
Incidents majeurs interne
Ou dans le secteur d’activité