au risque

Transcription

au risque

Parlez-vous ERM ?
Ou comment démystifier
l’entreprise-wide risk management ?!
Professeur Jean-Paul Louisot
Université Paris 1 Panthéon/Sorbonne & ENSI Bourges
Directeur pédagogique – CARM_Institute
© AMRAE Formation - L’exploitation et la reproduction
de ce document sont strictement interdites
Qu’entend-on par ERM ?
ERM (Entreprise-wide Risk-Management) est
devenu le nouveau mantra de la gestion des
risques.
En réalité, elle se traduit concrètement sur le
terrain par une gestion globale et intégrée des
risques dans laquelle le rôle des responsables
opérationnels devient essentiel.
Comment implanter l’ERM ?
Il faut tout d’abord une volonté de la direction
générale en relais d’un choix sans équivoque du
conseil d’administration pour développer une
véritable culture de gestion des risques
En réponse aux …
5 Questions fondamentales ?

Quelle valeur crée l’ERM ?
Comment mesurer le succès ?
Qu’est-ce qui conduirait à un échec ?
Quelles ressources y consacrer ?
Quelles compétences sont nécessaires ?
Pour y répondre il faut envisager
l’ERM inscrit dans la G.R.C.
Le triangle d’or... Un nouveau paradigme
Risk-management
Licence
sociale
d’opérer
Gouvernance
Conformités
C’est ce cadre qui permet de répondre aux 5 questions des administrateurs…
Gouvernance d’entreprise
Le système
de direction et de contrôle d’un organisme
« La gouvernance d’entreprise ou corporate
gouvernance fait en général référence aux processus
par lesquels les organisations sont dirigées, contrôlées et
tenues de rendre des comptes. Elle recouvre l’autorité,
la responsabilisation, le pilotage, la direction et le
contrôle exercés au sein de l’organisation. »
SAA HB 254-2005
Governance, risk management and control assurance
Standards Australia. ISBN 0 7337 6892 X
La perspective du praticien
Frédéric LUCAS
Risk and Insurance Manager Groupe Publicis
‐> Retour d’expérience sur la Gouvernance des risques
ERM – Une des clés du succès ?
Il faut disposer d’ un cadre de référence
compris de tous et acceptable pour
l’ensemble des opérationnels impliqués,
les propriétaires de risque, comme de
l’ensemble des parties prenantes.
Mais alors…
ERM – Quel cadre de référence ?
Les standards sont des spécifications ou des
code de pratique qui définissent des
matériaux, des méthodes des processus ou
des manières de faire.
Ils servent de référence pour déterminer des
niveaux minimum acceptables de qualité, de
performance, de sécurité et de fiabilité.
Le dernier arrivé est ISO 31000:2009
PROCESSUS RM ISO 31000:2009
C
O
M
M
U
N
I
Q
U
E
R
ETABLIR LE CONTEXTE
P
I
L
O
T
E
R
APPRECIATION
IDENTIFICATION DES RISQUES
ANALYSE DES RISQUES
&
&
C
O
N
S
U
L
T
E
R
EVALUATION DES RISQUES
Faut-il traiter les risques résiduels ?
NON
OUI
DES RISQUES
TRAITEMENT DES RISQUES
R
E
V
O
I
R
ERM – Savoir optimiser la prise de risque !
Prendre des risques est positif, pas implicitement
négatif.
Prendre des risques ne vise pas à fuir les dangers,
mais à dégager des gains ou des avantages.
Prendre des risques de façon contrôlée et informée
est raisonnable et fait partie de la vie quotidienne.
La récompense est à la hauteur des risques pris.
Sans prise de risque, pas de progrès.
ERM
Gérer ou maîtriser les risques ? (1/2)
Si nous gérons tous des risques, consciemment ou inconsciemment,
nous le faisons rarement systématiquement .
Gérer les risques suppose de prendre en compte menaces &
opportunités.
Gérer les risques passe par une réflexion rigoureuse.
Gérer les risques suppose une vision d’avenir.
ERM
Gérer ou maîtriser les risques ? (2/2)
Gérer les risques suppose de rendre des comptes et de disposer de
l’autorité pour prendre les décisions.
Gérer les risques suppose de communiquer.
Gérer les risques suppose une réflexion équilibrée.
Gérer les risques procure un cadre pour faciliter une prise de
décision efficace.
‐> Retour d’expérience sur les référentiels et la norme ISO
Les défis de la mise en œuvre du RISK MANAGEMENT
Appui du PDG & des administrateurs :
Il est essentiel de démontrer les retombées favorables
de la gestion des risques pour recevoir l’appui
indispensable des parties intéressées « clés » pour
cette pratique de la gestion.
Le conseil d’administration doit percevoir la gestion
des risques comme un facteur d’économie
(« réduction » ou évitement de charge) et non pas
d’un centre de coût supplémentaire.
Responsabilisation/transparence :
Comment intégrer les activités de « l’assurance
raisonnable » avec les activités de la gestion des
risques et de la conformité ?
Comment impliquer les autres fonctions et leurs
compétences professionnelles dans le processus ?
Où situer la gestion des risques au sein de
l’organisation ?
Quel rôle pour le CRO (directeur des risques) ?
Quantification du risque :
Chaque organisation doit disposer
d’échelles spécifiques pour évaluer la
fréquence et la gravité des
événements aléatoires.
La transition de la mesure d’une
perspective qualitative à celle
d’approximations quantitatives.
Intégration avec la stratégie :
L’intégration avec la stratégie de l’organisation doit
être taillée sur mesure.
Gérer les risques est le moyen de prendre des
risques avec confiance et de gérer la situation de
façon à conduire au succès.
Les objectifs et/ou missions de l’organisation sont
fixés pour de bonnes raisons, mais trop souvent sans
une prise en compte suffisante des capacités
opérationnelles.
Mandat et engagement
ISO 31000:2009
Cadre organisationnel
Conception du cadre organisationnel de mangement des risques
- Compréhension de l’organisme et de son contexte
- Politique de management des risques
- Intégration dans les processus organisationnels
- Responsabilité financière
- Ressources
- Établissement des mécanismes de communication et de consignation Internes /
externes
Amélioration
continue du
cadre
organisationnel
Mise en œuvre du
management des risques
-Mise en ouvre du cadre
organisationnel du risque
- Mise en œuvre du processus
de management des risques
Surveillance et revue du
cadre organisationnel
Bruno DUNOYER de SEGONZAC
Directeur du Management des risques Bouygues Telecom
‐> Retour d’expérience sur l’intégration du RM dans la stratégie
Liaison avec la gouvernance
et l’impact du changement :
Le cadre de référence de la gestion
des risques est pro actif et permet aux
administrateurs de remplir leurs
responsabilités en matière de
gouvernance d’entreprise.
Parler risque - une même langue :
Il est impératif de trouver un langage et d’un
cadre de référence cohérents pour
communiquer et rendre compte et pour
mettre en œuvre la gestion des risques
(application de méthodes).
Rappel : nous gérons tous des risques
consciemment ou inconsciemment – mais
rarement systématiquement !
Engagement de la direction :
Réduire la résistance au changement :
l’appui de la hiérarchie à tous les niveaux
contribuera à l’acceptation de la
responsabilité et à une participation pro
active à l’effort.
Confier la gestion aux propriétaires des
risques : Ceux qui génèrent et prennent les
risques DOIVENT être ceux qui les gèrent; ce
sont eux les risk managers.
Le processus de gestion des risques :
La politique sera mise en œuvre par chaque unité en :
Tenant à jour un profil de risque adapté en utilisant
les outils d’analyse pour identifier, évaluer, et gérer
les risques en suivant le standard de référence.
Communiquant sur les problématiques de gestion
des risques, de façon appropriée, avec toutes les
parties prenantes concernées.
La politique du RISK MANAGEMENT
Structure & Responsabilités :
Le conseil d’administration approuve la politique et la
stratégie de gestion des risques globale.
Le comité « risques » du C.A. revoit et analyse
l’efficacité de cette politique.
Tous les responsables opérationnels et les collaborateurs
doivent être en charge de la gestion des risques sur le
terrain.
Le « champion » de la gestion des risques est responsable
de la coordination des efforts de gestion des risques et
rend compte au comité « risques ».
Les comités du RISK MANAGEMENT
conseil d’administration
comité de risk management
administrateurs délégués/ dirigeants
directeurs de branche ou d’unités
Risques
au niveau
opérationnel
rapports d’incident
(y compris réclamations)
audit
conclusions
Jean‐Philippe RIEHL
VEOLIA Environnement
Directeur de la gestion des risques Groupe
‐> Retour d’expérience sur les défis du management des risques
Qui est le Chief Risk Officer ?
Un cadre dirigeant compétent qui :

Rend compte directement à la direction générale,
Fait partie du comité exécutif/directoire
Intervient comme conseil et non comme décideur
Est un « consultant interne » à la disposition de tous
Son action doit s’inscrire dans le cadre
d’une délégation d’action
aux propriétaires de risques …
Lier contrôle et auto évaluation :
Mettre en place les moyens d’intégrer et de
comparer la stratégie (de haut en bas) et les
contrôles et auto évaluations nécessaires (de bas
en haut).
Valider les contrôles en places et la façon dont il
sont effectivement gérer et consolidés.
Vérifier qu’ils contribuent à l’efficacité de la gestion
des risques au sein de l’organisation, et ne la
paralyse pas au contraire.
Rendre compte sur les risques :
La nécessité de concevoir des contrôles,
« reporting », qui assistent l’encadrement avec
l’intégration de principes de la gestion des risques
dans la prise de décision.
Obtenir les outils de diagnostic appropriés pour
identifier et rendre compte des risques.
Veiller à ce que les données opérationnelles soient
disponibles dans un système d’information intégré
(Business Intelligence).
Business information systems :
Mettre en place les systèmes cohérents de
collecte et de stockage des informations et
données sur la gestion des risques collationnées
au sein de l’organisation,
Concevoir les types de rapports qui doivent être
publiés et quelles données doivent être
collectées pour les alimenter, veiller au suivi
des recommandations par tous avant de
divulguer les informations sur les marchés
concernés.
Les valeurs ajoutées
du risk management
Moins de surprises par l’anticipation
« Pro action » plutôt que « réaction » au risque
Meilleure connaissance et compréhension des
vulnérabilités,
Plus d’opportunités saisies
Meilleur contrôle des coûts,
Meilleures relations avec les parties prenantes
Meilleur service & réputation renforcée.
Prise de décision mieux informée,
Approche plus systématique & complète de la
prise de décision,
Meilleure transparence dans la prise de décision
Les retombées du risk management
Planification stratégique efficiente,
Amélioration de la performance.
Meilleure préparation aux contrôles
externes (Agence de notation).
Responsabilisation, & gouvernance.
« assurance raisonnable »
Résilience – Survie à long terme &
développement soutenable.
Gérer les risques est-ce obligatoire ?
Non, mais votre survie
non plus n’est pas
OBLIGATOIRE !
Le défi du risk management
Le risque majeur
serait de ne pas prendre de risques !
Donc il s’agit d’optimiser la
prise de risque en sachant
contenir les incertitudes !
En veillant à toujours garder à l’esprit les conseils
de deux sages de la gestion des risques :
«La gestion des risques est un voyage,
et non une destination.»*
&
«Ne faites jamais la même erreur une
seule fois !»*
* Kevin KNIGHT, Ancien Président RMIA (Australie), Pt. Commission ISO RM
* Dave FRANCIS, Risk Manager - Sunderland (UK)
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Parlez-vous ERM ?
Ou comment démystifier l’entreprise-wide risk management !
L'Enterprise-wide risk management (ERM), le nouveau mantra des professionnels de la gestion des
risques, a fait son entrée dans les comités de direction et les conseils d'administration à la faveur de
la crise. Il s'agit bien en effet de gérer l'incertitude, aussi bien potentiellement positive, les
opportunités, que négative, les menaces, pour optimiser la prise de risque. En clair, il s'agit
d'optimiser la création de valeur pour les actionnaires, les salariés, mais aussi pour l'ensemble de la
société. L'ERM est donc bien la pierre angulaire de la responsabilité des dirigeants et
administrateurs telle que résumée dans le triangle gouvernance, risques et conformité (GRC).
Comprendre et gérer l'incertitude est bien au cœur du développement et de l'exécution d'une
stratégie d'optimisation de la contribution de tout organisme à l'ensemble des parties prenantes. Les
dirigeants et les administrateurs, souvent encore incertains quant à la réalité de la gestion des
risques, se tournent tout naturellement vers ceux et celles qui devraient pourvoir concevoir et mettre
en œuvre un programme d'ERM pour permettre à l'organisme d'atteindre effectivement des objectifs
ou missions toujours plus ambitieux. En outre, l'ERM pourrait devenir la clé d'une bonne notation
car les agences de notation s'y intéressent de plus en plus dans leur quête d'une « assurance
raisonnable » des perspectives qui leur sont brossées par leurs clients.
Si un lecteur professionnel n'a pas encore eu la conversation sur l'ERM, il n'y a aucun doute que
cela arrivera très bientôt. Mais sera-t-il prêt ? Aura-t-il le langage que parlent les dirigeants ? Sans
compter qu'obtenir le soutien, et les ressources nécessaires, du conseil d'administration n'est que la
première étape. L'ERM, c'est avant tout une gestion globale et intégrée à tous les niveaux de
l'organisme, c'est-à-dire déléguée aux responsables opérationnels, les propriétaires de risques.
Encore faut-il les convaincre et les former pour qu'ils embrassent la culture de gestion des risques et
la communiquent à leurs équipes.
Cet atelier, en lever de rideau des Rencontres de l’AMRAE, est une mise en bouche pour le
nouveau séminaire pour lequel CARM_Institute et l’AMRAE ont mis leurs forces en commun pour
proposer un tout nouveau séminaire conçu par des professionnels pour tous les professionnels de la
gestion des risques : « Enterprise-wide risk management : concevoir et mettre en œuvre ».
Ce cours unique de haut niveau, conceptuel et pratique, vous sera proposé avec un séminaire
résidentiel intensif de trois jours organisé par AMRAE FORMATION, en association avec
CARM_Institute, de façon à approfondir et partager l'expérience que chacun pourra tirer de son
étude personnelle des documents conçus comme toujours par des professionnels pour les
professionnels pour faciliter l'assimilation des concepts et outils du cours.
1
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Ce module, entièrement nouveau, vient compléter l'ARM – Associé(e) en risk-management – ou le
CEFAR, mais peut être également suivi avec profit par tout professionnel, courtiers, assureurs, riskmanagers et dirigeants souhaitant apporter à leurs organismes ces quatre principaux avantages :

préparer l'organisme à répondre aux exigences des agences de notations en utilisant la
trousse à outils pratiques qui facilite la mise en œuvre d'un programme stratégique d'ERM;
procurer aux décideurs à tout niveau les éléments qui permettent de prendre des décisions
mieux informées et ainsi d'optimiser la prise de risques en alignant l'ERM sur les objectifs
stratégiques;
mettre le programme d'ERM sur de bons rails en informant et formant les propriétaires de
risques sur les responsabilités nouvelles qui leur incombent en matière de gestion des
risques et en les équipant avec les outils nécessaires dérivés du standard ISO 31 000 :2009;
communiquer avec et consulter plus efficacement les parties prenantes clés de l'organisme
en échangeant avec elles sur la base de cadres de références internationaux reconnus pour
l'ERM.
Le support de cours sera disponible dès le début du mois de juillet pour les inscrits à la session de
septembre 2010. (Il sera remis également aux participants de la session proposée en avant
première en septembre 2009).
Pour ceux qui souhaiteront acquérir une reconnaissance par les pairs, un examen sera proposé les
sessions d'examen ne débuteront pas avant février 2011 pour laisser aux apprenants le temps de se
familiariser avec le contenu, et se préparer.
Il s'agira d'une toute nouvelle forme d'examen écrit où les candidats, évalués par des pairs, devront
faire montre de leur capacité à concevoir et mettre en œuvre un programme d'ERM pour un
organisme. Un suivi personnalisé assurera la préparation intensive à la soutenance.
Paris, le 17 janvier 2010
Professeur Jean-Paul Louisot,
Université Paris 1 – Panthéon Sorbonne
Directeur pédagogique de CARM_Institute
2
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Un Business intelligence System : la clé de l’ERM
Si le futur n’est jamais connu avec certitude, « Qui sait ce que demain apportera ? », la gestion des
organismes, quelle qu’en soit la nature, implique de prendre des décisions, autant que possible des
décisions éclairés par un ensemble d’informations d’origines diverses visant à éclairer ce futur. Au
cours de la dernière décennie du vingtième siècle, les progrès de la gestion des risques, comme
science du management, se sont appuyés sur le développement de modèle de prévisions, plus ou
moins sophistiqués, avec pour objectif l’optimisation de la prise de risque mais en restant encore
trop focalisée sur le volant négatif du risque, les menaces. C’est à la première décennie du vingt et
unième siècle qu’est revenue d’intégrer aussi le volant positif les opportunités ; en effet, l’absence
d’information transversale et fiable sur l’ensemble des activités de l’organisme elle-même, de son
réseau de partenaire, et pus généralement de son contexte externe, limitait sa capacité à voir au
travers du « nuage de l’inconnaissance ».
« Le risque ce n’est pas uniquement le danger; c’est surtout ne pas connaître ce que l’avenir
apportera »
Peter L. Bernstein
La disparition récente de Peter L. Bernstein ne fait que rappeler encore cette idée forte qui doit
demeurer au cœur de la gestion des risques de toute organisme, que ce soit pour prendre en compte
l’ensemble des retombées d’un investissement, lorsque l’on choisir d’aller de l’avant, ou de prendre
du recul avant de prendre un engagement stratégique irréversible. Le cadre de référence ISO
31000:2009 qui sera publié courant octobre met bien en lumière la nécessité de relier trois volets de
la gestion Gouvernance/Gestion des Risques/Conformité, ce que certains professionnels visualisent
comme le triangle GRC. Il illustre la nécessité de fonder la performance sur des pratiques de gestion
des risques solides et un système de gestion globale de l’information au sein de l’organisme, ce que
l’on appelle un Business Intelligence System. Le succès dans l’implantation d’un ERM au sein de
l’organisme est à ce prix ; il est critique pour garantir que les processus de décision rationnels et
transparents prenant en compte les attentes de l’’ensmble des parties prenantes exigés pour une
gouvernance moderne. En effet, elle suppose d’apporter « l’assurance raisonnable » que les
standards internationaux pour l’évaluation de la performance, la transparence dans le reporting et
l’intégrité de l’audit sont enracinées solidement dans la culture de l’organisme.
Quelle valeur peut-on espérer créer si on investit dans la mise en œuvre du cadre ISO 31000:2009 ?
A tout le moins, on peut escompter une meilleure notation au moment même où les agences qui les
délivrent ont compris le parti à tirer de l’ERM pour redresser leur image mise à mal dans le
processus de la crise financière. En particulier, les agences de notation vont être attentives à
l’assurance raisonnable que les données de l’évaluation des risques sont fiables et cohérentes dans
l’ensemble de l’organisme.
3
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Pour le secteur de l’assurance européen, une étude récente de BDO Stoy Hayward 1 révèle que plus
de 60% des assureurs britanniques s’attendent à une enveloppe d’environ € 600,000 pour leur mise
en conformité Solvency 2 tandis que 19% pensent plutôt le double. Toutefois, lorsque l’on
rapproche ces montants de ceux exposés par les banques pour la mise en œuvre de Bâle 2 et des
entreprises cotées sur les bourses américaines pour la conformité SOX, on reste sceptique sur le
montant de l’addition finale. A n’en pas douter, il convient que les assureurs et les réassureurs, en
particulier ceux installés sur le territoire de l’U.E., soient vigilants et prudents dans leurs
investissements pour créer de la valeur dans leurs efforts d’ERM grâce à la mise en place de
« business intelligence systems » conçus à l’économie.
L’ERM (Enterprise-wide Risk Management) et le Triangle GRC
Le triangle d’or développé par les professionnels pourrait devenir la pierre angulaire d’une gestion
des risques moderne en cours de reconstruction. En vérité, cette nouvelle mantra de la gestion des
risques « GRC », pour Gouvernance-Risques-Conformité, souligne l’objectif d’atteindre des
résultats mesurables en matière de performance « GRC ». L’ERM est bien au Cœur de ce dispositif
et c’est lui qui est la clé de voûte qui donne la résonance pour une approche intégrée et globale pour
l’optimisation de la prise de risque.
Le défi de la performance en GRC peut être résumé dans cette illustration : « Dans un culture de
conformité, un piéton arrivant à un feu rouge clignotant s’arrête sans se poser de question ; dans
une culture de gestion de risque il doit aussi regarder à droite et à gauche avant de s’engager et
traverser s’il n’y a aucun véhicule à l’horizon.» 2
C’est en novembre 2007 lors de la conférence annuelle du RMIA 3 que j’ai pour la première fois eu
un exposé clair de ce que le rapprochement des trois disciplines impliquait. De leur liaison
organique. L’évolution que connaît l’Australie peut s’étendre à l’ensemble de la planète et voici de
quelle façon l’orateur s’exprimait. Avant même que les retombées de la crise financière de
septembre 2008 ne se fassent sentir, Marianne Robinson 4 précisait :
« Le vent des réformes réglementaires qui souffle dans le monde entier depuis le début du siècle a
un impact considérable sur la façon de gérer les risques dans les organismes publics ou privés en
particulier du fait des duplications, voire contradictions, des réformes et réglementations nouvelles.
Ces réformes ont induit des modifications sur la gouvernance et la portée de la gestion des risques
qui forcent les organismes à repenser leurs approches pour se mettre en conformité avec des cadres
de référence imposés par les code de conduite, les standards prudentiels, ainsi que les législations
diverses.
.
Si la gestion des risques a gagné des galons dans la hiérarchie des organismes, c’est le plus
souvent sous l’angle de la gouvernance et de la conformité. Le resserrement de la nasse légale et
1
Business Insurance 14/07/09
2
Jeanette Ward, Primary Credit Analyst at Standard & Poor’s in The Analyst number 1 2007 p.6 published by AON Australia, www.aon.com.au
RMIA is the Risk Management Institution of Australasia
4
“Why is governance suddenly so popular with risk managers?”; RMIA Conference, November 25, 2007
3
4
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 réglementaire a en effet éveillé un niveau d’intérêt, voire d’inquiétude, des mandataires sociaux et
dirigeants, qui n’existaient pas autrefois. Les conseils d’administration s’impliquent davantage
dans la gestion des risques mais cette attention n’est pas sans effets pervers. En effet, trop
d’administrateurs se contentent d’une analyse des risques juridiques, en particulier ceux pouvant
entraîner pour eux un engagement de responsabilité, ce qui les rend plutôt frileux face aux risques.
La conséquence la plus malheureuse de cet état de fait est que de trop nombreux organisme sont
englués dans des programmes lourds de conformité, style « cocher les cases » et finissent par
perdre de vue l’essentiel, la définition et l’exécution dune stratégie « gagnante » et optimisant la
prise de risque.
Le défi à relever par les organismes tant privés que publics est de gérer ces risques juridiques, de
mettre en place des processus de conformité et de gouvernance, sans tuer l’initiative, c’est à dire
sans créer un environnement tellement frileux face au risque qu’il conduise à la paralysie. Pour ce
faire, une des clés est que les administrateurs et les dirigeants définissent des seuil de tolérance en
même temps que des niveaux d’appétit de risque en gardant à l’esprit l’évolution des esprits et des
attentes de parties prenantes. Dans l’ère post Sptizer on peut penser que des pratiques autrefois
courantes ne seraient plus acceptables aujourd’hui !
C’est dans ce contexte que l’acronyme GRC doit demeurer la perspective dans laquelle les
organismes tant publics que privés inscrivent leurs efforts pour développer des solutions intégrées
tricotant ensemble les exigences de ces trois pôles, distincts mais similaires. Bien entendu, dans
cette approche, les risques juridiques doivent être portés à l’attention des dirigeants pour qu’ils
puissent mesurer leur impact sur les relations à établir entre les équipes « risk management » et
« conformité » qui ont en général des compétences et des cultures très différentes, mais
complémentaires. La question est de savoir si un nouveau type de professionnel hybride de la
gestion des risques émergera pour rendre compte de façon cohérente des trois pointes du triangle
de GRC. »
De nombreux analystes ont voulu voir dans la crise financière de l’automne 2008, la preuve de
l’incapacité de la gestion des risques de prévenir la catastrophe ; certains ont même cru pouvoir
s’aventurer à prédire la fin de la gestion des risques. Mais n’est-ce pas plutôt l’échec d’une gestion
morcelée, en silos, des risques sans véritable intégration ? Certains auteurs blâment même la GRC
pour ces événements et on pouvait lire récemment sous la plume de Michael Moody le jugement
suivant : « A l’initiative des directeurs de conformité, une tendance récente s’est fait jour dans les
organismes d’intégrer dans un même ensemble le risk-management, la gouvernance et la
conformité. Cette fusion connue sous l’acronyme GRC à conduit trop souvent à une mentalité de
5
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 « checklist ». C’est pour cela que les dirigeants et mandataires sociaux ont commencé de
s’interroger sur le bien fondé des investissements consentis pour relever ces défis de la conformité.
Ne percevant pas très bien la valeur ajoutée de ces efforts, ils les remettent en question et
s’interrogent pour savoir si les intérêts de l’organisme ne seraient pas mieux servis par des
initiatives visant à renforcer sa compétitivité. Certains observateurs pensent même que l’approche
dite GRC n’est pas soutenable à long terme et qu’il faut dégager la gestion des risques de la tutelle
de la conformité. » 5
S’il convient de garder à l’esprit le piège décrit par Michael Moody, il n’en est pas moins vrai que
de puissants vecteurs poussent à une approche intégrée, si autonome, des trois pointes du triangle
GRC :
1. La relation intrinsèque entre gouvernance et risques:
L’espace des vulnérabilités d’un organisme comprend un grand nombre de risques très divers ;
toutefois un nombre plus limité peut effectivement remettre en cause l’atteinte de ses objectifs
stratégiques. Certains de ces risques sont directement liés à la gouvernance. La philosophie de
gouvernance d’un organisme, ainsi qu’il ressort de son cadre de gouvernance, des es politiques,
de ses pratiques et de la mise en œuvre de ces politiques, peut soutenir ou non l’atteinte de ses
objectifs.
Mais, à l’inverse, le cadre de gouvernance de l’organisme constitue également un outil de
gestion des risques adopté par le conseil d’administration sous mandat des actionnaires.
2. Les éléments fondamentaux d’un cadre de gouvernance :
Bien entendu, on peut imaginer différents cadre de gouvernance qui permettrait à l’organisme
de respecter ses obligations de conformité. Il revient à chaque organisme de concevoir le cadre
hybride qui répond le mieux à ses besoins propres. Dans tous les cas, il devra répondre aux
attentes de performance des autorités de contrôle et du marché. Un modèle de gouvernance doit
être construit sur les prémices suivantes. La gouvernance :

n’est pas seulement un outil pour satisfaire une législation ou une réglementation, elle vise à
faire ce qui est le mieux pour les actionnaires.
ne se limite pas à la mise en place de comités et de conseils, elle s’applique à l’ensemble de
l’organisme, inclut les fonctions de contrôle interne et de conformité, en particulier la
gestion des risques, l’audit interne, et l’audit externe.
repose sur la transparence ; une communication effective, une métrique définie et la
responsabilisation des acteurs sont des composantes essentielles d’une bonne gouvernance.
Le fondement d’un modèle de gouvernance efficace pour tout organisme privé est la structure
qui comprend les propriétaires, ou actionnaires qui confient la gestion à des mandataires,
administrateurs, dont le rôle est de veiller au bon développement de l’organisme et à nommer
les dirigeants qui conçoivent les stratégies, déploient les ressources, conçoivent et contrôle la
mise en œuvre de processus, pour générer des surplus, bénéfices, et créer de la valeur, pour les
5
Rough Notes (06/09) Vol. 152, No. 6, P. 46; Moody, Michael J.
6
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 actionnaires.
3. L’impact de la culture de l’organisme sur la gouvernance et la gestion des risques :
Au cours de cette décennie, les organismes tant publics que privés ont fait des efforts
considérables pour développer de robuste structure pour la gouvernance et la gestion des risques
pour s’apercevoir in fine que l’équilibre entre les deux leur échappe encore. Une enquête
récente auprès d’opérateurs importants du secteur minier 6 a permis de dégager une conclusion
importante : les responsables estiment que greffer la gestion des risques sur la culture existante
de leur organisme est un défi à relever, une des clés de leur futur.
Sous réserve qu’il soit légitime d’étendre ces résultats à l’ensemble des secteurs on pourrait
conclure que la greffe de la gestion des risques et de la gouvernance dans les cultures
d’entreprise existante n’est pas chose aisée. Il se pourrait que les dirigeants n’aient pas tout à
fait saisi l’importance du changement qu’implique l’alignement des objectifs de l’ERM et les
pratiques effectives des dirigeants, en un mot, leur rôle majeur d’exemple et d’agent du
changement.
La greffe de la gestion des risques sur la culture existante de l’organisme ne peut prendre que si
elle s’appuie sur la formation de tous les collaborateurs de façon à ce qu’ils acquièrent les
compétences indispensables à l’appropriation du processus de gestion des risques par les
opérationnels, les propriétaires de risques. Il faut en outre qu’ils puissent comprendre pourquoi
d’évolutions qui pourraient les inquiéter et la nécessité d’embrasser les nouveaux processus. Il
pourrait être « confortable » pour certains de s’affranchir de certaines étapes dans le processus
de décision, de préférer la politique de l’autruche à un réalisme trop cru, dérangeant surtout
quand il faut informer et consulter des parties prenantes internes ou externes. Donner le ton de
la culture de gestion des risques relève de l’exemple au sommet, avec des références se prêtant à
la mesure, des métriques reliant politiques et pratiques.
Certes la culture est immatérielle, mais rien n’interdit d’introduire des instruments de mesure
concrets pour en valider l’évolution. C’est indispensable pour influencer les comportements et
assurer l’alignement de la gouvernance et des objectifs de performances de la gestion des
risques au travers des indices de risques clés (KRI – key risk indicators-) et indices de
performances clés (KPI – key performance indicators). Toutefois, en matière de changement
dans les organismes, il faut se garder de la précipitation, l’évolution d’une culture est toujours
un processus lent, exigeant des délais de maturation.
Enterprise-wide Risk Management et Business Intelligence Systems :
L’ERM – Enterprise-wide risk management – est suppose une approche globale and intégrée de la mise en
œuvre de la gestion des risques :
•
6
Globale : C’est à dire qu’elle prend en compte tous les risques, positifs comme négatifs, de façon
transversale sur l’ensemble des fonctions et processus pour assurer l’optimisation de la prise de
risque, contenir les menaces et favoriser les opportunités.
Ernst & Young, Attitudes to risk in the Global Mining Sector, 2007
7
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 •
Intégrée : C’est à dire que l’ensemble des fonctions et processus de l’organisme sont impliqués
dans la gestion des risques ; les propriétaires de risques sont responsabilisé et comptable de la
gestion des risques qu’ils contrôlent pour l’organisme. Bien entendu, cela suppose que la culture de
l’organisme ne rejette pas le greffon de la gestion des risques.
C’est pour cela qu’un organisme améliore ses processus de décision, stratégique ou tactique, en mettant en
place un système cohérent de recueil, de gestion, et de production d’informations, un BIS – business
intelligence information systems – qui produit de l’information utile et pertinente à partir de l’ensemble des
données recueillies et traitées.
Un « Business intelligence (BIS) system » rassemble l’ensemble des flux de données qui circulent à
l’intérieur de l’organisme pour la prise de décision, pour les contrôles internes, comme pour la notation. Le
BIS est donc la clé de voûte d’un reporting transparent. Il soutient les objectifs de la gouvernance pour la
responsabilisation des acteurs au travers d’un suivi de la performance, de la conformité légale et
réglementaire, et de l’intégrité des processus d’audit.
Définition des Business intelligence Systems
Ce sont les processus des systèmes d’information d’un organisme qui extraient,
transforment, et charge les données pertinentes de l’organisme dans une structure intégrée
qui planifie et contrôle les flux d’information de la prise de décisions, affectant l’arbitrage
entre les différents risques, menaces et opportunités.
Définition dérivée de “Enterprise-Wide Risk Management: Developing and implementing” – IIA
Octobre 2009
Le BIS extrait, transforme, et charge les données en provenance de diverses sources, internes et
externes, dans un cadre intégré de mesure de la performance pour garantir que la cohérence des
définitions et des calculs qui sous-tendent l’analyse de l’organisme et les éléments du reporting.
Alors, les principales fonctions d’un BIS peuvent être résumées ici. Le BIS procure :
•
•
•
•
•
•
les indices de performance de la gestion
les informations pour le suivi des responsabilités
les indices de performance pour les responsabilités
La recherche des données pour les contrôles ponctuels
la notification des alertes sur les risques, « clignotants »
la gestion des données pour la gouvernance des systèmes d’information.
Les sociétés d’assurance et de réassurances implantées sur le territoire de l’Union Européenne, y
compris les captives, doivent se mettre en conformité avec Solvency 2 c’est à dire de mettre en
place des mécanismes de contrôle interne et des processus de risk-management efficaces pour
contenir les menaces sur leurs capitaux propres pour en assurer l’adéquation. Par ailleurs, les
critères d’évaluation de la gestion des risques définis par les agences de notation, et tout
particulièrement Standard & Poor's (S&P) proposent un cadre générique compatible avec le
standard international ISO 31000 : 2009 qui sera publié en décembre 2009. Ils donnent une base
pour l’évaluation de l’efficacité des programmes d’ERM des organismes. Les organismes qui
8
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 auront su développer et mettre en œuvre des programmes d’ERM appuyés sur des BIS pour intégrer
la dimension risque dans leurs processus de décision à tout niveau devraient obtenir des notes
supérieures, et donc un accès plus aisé et moins onéreux aux marchés financiers.
Les responsabilités liées à la culture de risk–management se reflètent dans l’usage du BIS pour la
mise en place et la gestion des rôles d’encadrement en matière de gestion des risques. Le P.D.G. et
le directeur financier dans les entreprises cotées en bourse, en particulier aux Etats-Unis, ont une
responsabilité non transférable de certifier annuellement non seulement la sincérité des comptes,
mais également l’intégrité des contrôles internes des risques. La mise en place d’un ERM appuyé
sur un BIS apporte aux organismes de contrôle l’assurance raisonnable que les principes de gestion
des risques sont bien générés et contrôlés au plus haut niveau dans l’entreprise. C’est ainsi que
l’exemple venu d’en haut entraîne bien l’implication de tous dans une démarche qui s’étend donc
ainsi à tout l’organisme. Le BIS, la gouvernance informatique et les documents produits par un
système intègre démontrent que l’organisme soutient les efforts et est comptable de l’atteinte des
objectifs de la gestion des risques.
Lorsque les contrôles internes sont importés dans la base de données du BIS, ils deviennent le point
central de l’alignement des activités de la gestion des risques avec le reporting. Les dimensions du
BIS en ce qui concerne les risques, les politiques, les comptes généraux, et les choix de l’organisme
servent de pierres angulaires pour l’approfondissement de la recherche sur la qualité des contrôle
des risques en place et des moyens de mitigation nichés dans les rapports quotidiens, ou mensuels
de pilotage de l’activité. .
Pour préparer le dossier de justification de l’ERM devant les dirigeants, une fonction spécifique ou
un jeu de rôle peut être utilisée pour filtrer le compte-rendu pour illustrer le fonctionnement des
responsabilités en matière de risque. On peut ainsi filtrer les résultats par propriétaire de risque,
responsable financier ou ligne de management. Les dirigeants sont alors en mesure de visualiser la
contribution et la performance de chacun ainsi que la cohérence de la répartition des responsabilités
en matière de risque. Ces vérifications et contre vérifications confirment la qualité de l’intégrité
financière et des pratiques de recueil et de traitement de l’information.
Pour valider l’atteinte des objectifs du programme de gestion des risques, il faut définir un indice
d’ERM pour montrer comment chaque responsable, chaque propriétaire de risques, est comptable
du diagnostic et du traitement des risques de son “centre de risques” et cet indice est intégré dans
son évaluation globale qui détermine les primes de performance. Il faut pouvoir descendre dans
l’analyse de façon à valider que le processus d’ERM est bien continu et revient sans cesse sur les
évaluations, en particulier des risques résiduels pour les rapprocher des seuils de tolérance u risques
définis, voire pour les assureurs et réassureurs, valider les différents types de provisions, et les
montants en clôture (les entreprises industrielles et commerciales se trouvent confrontées à des
problématiques similaires lorsqu’elles gèrent des captives).
Présenter et défendre le projet ERM/BIS devant les administrateurs
Bien entendu la cause semble entendue pour les sociétés d’assurances et de réassurances soumises à
une approche ERM pour se mettre en conformité avec Solvency 2, mais même pour elles, et sans
9
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 parler de toutes les autres formes d’organismes, publics ou privés, le conseil d’administration doit
être convaincu que l’approche retenue est bien créatrice de valeur. En particulier, ils voudront
comprendre pourquoi la démarche d’ERM et le BIS sont interconnectés, et s’ils peuvent attendre un
rendement raisonnable d’un tel investissement.
L’ERM ou Enterprise-wide risk management figure aujourd’hui au plus haut niveau des priorités
dans les agendas des conseils d’administration. La gestion des incertitudes du futur, positives, les
opportunités, comme négatives, les menaces, sont indéniablement au cœur de la responsabilité
fiduciaire des administrateurs telle qu’elle ressort du triangle GRC pour le suivi des principes de
gouvernance, de gestion des risques et de conformité.
Si entreprendre c’est prendre des risques, comprendre et gérer l’incertitude est essentiel tant pour
définir que pour exécuter une stratégie assez souple pour répondre et s’adapter aux changements,
c’est à dire aux événements inattendus qui ne manquent pas de survenir au cours de la vie de tout
organisme. C’est seulement ainsi qu’il y aura création de valeur à long terme, pour les actionnaires,
pour les parties prenantes et plus généralement pour la société, selon l’objet et la mission de
l’organisme concerné.
L’encadré qui suit résume les avantages à attendre d’un BIS efficace.
Les retombées des Business Intelligence Systems (BIS)

Les Audits résultant de l’utilisation de BIS permette une validation en temps réel de la
TRANSPARENCE de l’information et la confirmation que les responsables comptables
des décisions sont informés en temps et heures via les systèmes informatiques des
éléments indispensables pour prendre des décisions éclairées. Cela apporte en
particulier pour les assureurs et réassureurs européens la preuve de la mise en place
d’une conformité Solvency 2 en matière de test…
Le cadre de référence des « meilleures pratiques » pour évaluer les pratiques en cours
dans l’organisme au niveau de l’ERM et des cibles de performance.
Suivre l’exécution du calendrier arrêté en accord avec le comité risques du conseil
d’administration et de descendre au niveau de la responsabilité et de la transparence qui
soutient l’atteinte des objectifs stratégiques de l’organisme.
Evaluer les déficits d’information qui peuvent affecter la performance de la gestion des
risques et qui pourraient induire des sous provisionnements, voire des poursuites
judiciaires.
Contribuer à la réalisation d’un consensus sur les priorités du programme d’ERM au
sommet de l’entreprise et dans les fonctions clés qui sont directement rattachées au
directeur général.
Il serait naturel que les mandataires sociaux et dirigeants se tournent vers les sachants de leur
organisme, les professionnels de la gestion des risques pour passer la vitesse supérieure de la
mission en intégrant la gestion des risques dans toute la vie de l’organisme. Encore faut-il que ces
professionnels du risque sache acquérir les compétences qui leurs manquent encore trop souvent
10
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 pour avoir cette vision globale et stratégique indispensable pour concevoir et mettre en œuvre un
programme de gestion globale et intégrée de tous les risques.
En toute hypothèse, par delà la qualité du projet, il se pourrait que l’incitation la plus forte pour les
dirigeants de se lancer dans l’aventure ERM vienne des agences de notation. En effet, si leur intérêt
pour l’ERM se confirme, elles intégreront une évaluation des efforts en ERM dans leur note
globale, et le maximum ne pourra jamais être attribué aux organismes qui failliront dans ce
domaine. C’est dans doute une bonne nouvelle pour le risk manager alors même que les conditions
d’accès aux marchés des capitaux sont plus sensible que jamais à la qualité de la note. Il faudra faire
attention tout de même à ne pas ramener une fois de plus la gestion stratégique des risques à un
exercice de conformité qui mettrait de nouveau les organismes à la merci d’agents extérieurs privés.
Un dernier conseil aux professionnels de la gestion des risques actuellement en fonction dans un
organisme. A supposer que la discussion autour de l’ERM n’ait pas été amorcée encore, ou que
vous n’y soyez pas encore impliqué, cela ne saurait tarder. Il est encore temps de vous y préparer
mais il faut garder la tête froide. Le feu vert et l’implication du conseil et des dirigeants n’est que la
première étape, peut être finalement la plus facile du fait des pressions externes exercées sur eux
pour se plier à l’exercice. Le plus dur restera à faire avec la conduite du changement pour former
tous les propriétaires à la gestion de risques. S’ils sont responsabilisés, en effet, encore faut-il leurs
donner les compétences pour exercer ces nouvelles missions efficacement.
C’est pour cela que CARM_Insitute, toujours appuyé sur ses correspondants internationaux propose
un nouveau module qui pourra être décliné en stratégie pour les mandataires sociaux, et en tactique
pour les opérationnels, pour accompagner les risk-managers dans leurs nouvelles missions de
coaching et de vision stratégique. Les objectifs pédagogiques visent à équiper les professionnels de
la gestion des risques pour leur permettre de :
•
•
•
•
Préparer l’organisme à répondre aux attentes des agences de notation en matière d’ERM avec
une trousse à outils pour les aider à développer et à mettre en œuvre un programme d’ERM
efficient;
Mettre leur organisme en mesure de prendre des décisions mieux informées en matière de
risques et ainsi d’optimiser la prise de risque en alignant les objectifs stratégiques et les objectifs
de l’ERM;
Positionner le programme d’ERM pour en assurer le succès en apprenant à former et coacher les
responsables opérationnels sur la base des préconisations du standard ISO 31000 :2009;
Communiquer et consulter plus efficacement les principales parties prenantes, internes et
externes, en s’appuyant sur un cadre de référence internationalement reconnu.
Dr. Richard Connelly, PHD
Chairman, Business Intelligence, International
Université Paris 1 Panthéon/Sorbonne & ENSI Bourges
Vincennes, 17 septembre 2009
11
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Conduire l’ERM vers de nouveaux sommets !
La sixième édition annuelle du sommet de l’ERM a réuni à New-York vingt six professionnels de la
gestion des risques dont les entreprises sont à des degrés divers de maturité dans la mise en œuvre
de la démarche globale et intégrée de gestion des risques qu’il est convenu d’appeler désormais
Entreprise-wide Risk Management (ERM).
Il ressort des discussions que les formes que revêt cette démarche varient énormément d’un
organisme à un autre en tenant compte de son histoire, de sa culture propre, de celles de ses
dirigeants que de la branche d’activité dans laquelle il opère. Deux représentants des « utilities »,
distributeurs d’électricité, nous ont montré deux visions très différentes de leurs risques même si
leur objectif stratégique fondamental est le même : assurer l’énergie sans (trop) coupure à
l’ensemble de leur clientèle.
Une leçon se dégage de ce « sommet » c’est que l’ERM ne peut pas se développer sans un
engagement ferme des dirigeants, en parole mais aussi en acte. Il faut les ressources financières et
humaines nécessaires à la prise de greffe des compétences en gestion de risques sur la culture
d’entreprise existante; en particulier, la confrontation des expériences éclaire encore l’importance
du placement hiérarchique du principal professionnel de la gestion des risques. Quelque soit le titre
retenu, Chief Risk Officer, Directeur Central des risques, ou tout autre titre approprié, il est clair
que rien ne change si le rattachement n’est pas en N-1, ou au N-2, par rapport au principal dirigeant.
En effet, l’implantation d’une démarche d’ERM, impose que tous les risques soient approchés
comme un portefeuille d’actifs potentiels, les opportunités, et de passifs potentiels, les menaces
pour optimiser la prise de risque dans l’ensemble de l’organisme ; c’est donc bien un changement
qu’il faut conduire, un changement dans les façons de faire, de prendre des décisions, en intégrant
systématiquement la dimension risque dans tous les processus de réflexion. Le CRO est le principal
agent de changement et il doit donc savoir développer un plan pour mener à bien un projet : au
départ de l’entreprise, l’ERM est un projet dont l’objectif est de transformer les modes de pensée
pour intégrer la démarche de gestion des risques comme un processus « naturel » de l’entreprise
dans tous ses processus. Mais cette avancée suppose qu’il soit aussi un « facilitateur » à l’écoute des
risk-managers véritables, les opérationnels de tout niveau.
Bien entendu, dans cette perspective il va falloir imaginer des métriques pour mesurer la
performance de chacun en matière de gestion des risques car la greffe ne prendra que si chacun y
trouve un intérêt plus direct que celui de « garder son emploi à long terme ». C’est un des
problèmes qui devra être abordé avec les ressources humaines et le comité « rémunération » du
conseil d’administration car les récompenses sont accordées sur la base des résultats à court terme,
le plus souvent en termes financiers et auditables.
Avec la gestion des risques responsabilité de tous, il faut donner l’autorité pour prendre les
décisions qui s’imposent, et récompenser les « bonnes décisions » et non plus uniquement les
« bons résultats » en se déplaçant d’un horizon de court terme, au maximum annuel, à un horizon
pluriannuel, idéalement entre cinq et dix ans. C’est une véritable révolution, non seulement pour les
« traders », mais plus généralement pour tous les responsables et dirigeants. Ce changement de
12
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 discipline devrait s’accompagner de révisions déchirantes pour plus d’un « cadre supérieur et
dirigeants » : Sont-ils prêts pour une telle discipline ?
Les enquêtes menées par le RIMS et les expériences des participants se rejoignent : un des blocages
les plus difficiles à surmonter est la définition d’un seuil d’appétit de risque, ou de tolérance au
risque, quantifié et ensuite décliné précisément pour confier à chaque propriétaire de risque
l’autorité nécessaire pour la gestion optimale des risques à tous les étages, ce qui veut dire contenir
les menaces mais aussi saisir les opportunités.
C’est pourquoi, il apparaît que ceux qui ont une expérience dans la gestion de projet, dans la qualité
peuvent être utile si on sait dépasser la contrainte de rigueur pour laisser un peu de place à
l’imagination car il est de plus en plus clair que la montée de l’aberrant est une réalité à laquelle
nous sommes tous confrontés. Il nous faut bien admettre que certains des cygnes noirs ne sont pas
toujours perceptibles, non pas tant parce que nous ne cherchons que des cygnes blancs, mais plus
simplement parce que la mécanique du monde est si complexe que c’est bien la théorie du chaos
seule qui nous permettrait peut-être d’imaginer l’inimaginable.
C’est dans cette perspective que l’ERM ne peut se contenter du retour d’expérience, certes il serait
impardonnable de ne pas conduire une analyse des causes racines, ou une approche AMDEC pour
la sûreté de fonctionnement, mais il faut toujours être prêt pour l’imprévisible. Pour s’y préparer, il
faut bien entendu se doter des moyens d’assurer la résilience à tout moment et pour tout scénario,
mais dans les fait même les tenant des plans de continuité « tout événement » savent bien que les
plans sont construits avec des hypothèses, qui seront on respectées lors de l’événement redouté. En
fait, la notion d’événement sentinelles, issu du monde de la santé, gagne du terrain et l’on comprend
bien que des « vigies risques » sont indispensables pour accélérer la réaction avant même que la
menace arrive, ou que l’opportunité se présente.
Une des remarques qui s’imposent à la suite de ce séminaire c’est la modification profonde du
monde de la gestion des risques vis à vis du cadre de référence proposé par le standard ISO
31000:2009. L’acharnement de Kevin Knight, aidé d’une poignée de pionniers, à conduire le navire
à bon port semble finalement payé et à quelques jours de sa publication officielle, le standard est à
tout le moins accepté comme une réalité. Certains s’inquiètent encore de sa transformation
éventuelle en standard certifiable, son préambule exclut une telle évolution, ou regrettent que l’ISO
9000 n’ait pas été étendu à la gestion des risques, mais le processus me paraît plus adapté aux
risques de fréquence, qui sont souvent en effet des défauts de qualité, qu’au risques exceptionnels.
Bien sur, il reste l’hypothèque canadienne avec leur propre standard mais la nécessité pour les
réseaux d’approvisionnement d’avoir une cohérence de gestion des risques chez l’ensemble des
acteurs devrait permettre de trouver un terrain d’entente.
Tous les professionnels reconnaissent que l’ISO 31000:2009 apporte en fait une référence et un
ensemble de recommandations de bon sens reliant la gouvernance, la conformité et la gestion des
risques dans un tout cohérent reposant finalement comme l’ensemble des standards de management
ISO sur la boucle d’amélioration permanente (PDCA en anglais Plan, Do, Check, Act) ; la boucle
appliquée au processus de gestion des risques donne :
1. Planifier – Concevoir le cadre organisationnel pour gérer les risques.
2. Faire – Mettre en œuvre la gestion des risques.
13
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 3. Contrôler – Assurer le suivi et la revue du cadre organisationnel de la gestion des risques.
4. Agir – Amélioration continue du cadre organisationnel de la gestion des risques.
En fait si on passe en revue les problématiques rencontrées par les professionnels sur le terrain, on
retrouve bien plus ou moins formalisés les sept attributs proposés par le RIMS dans son modèle de
maturité qui invite ses membres à mesurer le chemin parcouru par leur organisme vers le but d’un
ERM parfaitement implanté et efficient :
1. Adoption d’une approche ERM : Cette étape doit s’accompagner du soutien des dirigeants,
d’une vision à long terme, de la définition d’une méthode et de l’enrôlement des propriétaires de
risques.
2. Processus de Management ERM : Définition d’un processus répétable, d’une boucle de retour
pour l’amélioration continue et l’audit des progrès.
3. Gestion de l’appétit de risque : La nécessité d’un approche « portefeuille » et la définition
claire des relations entre risque et récompense.
4. Processus de retour d’expérience : L’analyse systématique des événements doit s’inspirer de
ce qui se fait dans l’industrie aéronautique ; mais il faut dépasser l’analyse du passé, même des
incidents, pour avoir une vision du futur.
5. Recherche des risques émergents : Mise en place de vigie et faire des exercices systématiques
de recherche de scénarios nouveaux, des nouvelles menaces et des nouvelles opportunités.
6. Gestion de la performance : La définition de métriques pour mesurer la gestion des risques, la
communication avec les propriétaires de risques et la récompense des bonnes performances.
7. Soutenabilité et résilience de l’organisme : Planification pour les événements probables ou
possibles (Plan de Continuité d’Activité), et formation à la réaction proactive aux ruptures pour
les dirigeants (Plan de redéploiement stratégique).
Ce compte-rendu des discussions en petits groupes, en réunion plénière et pendant le partage d’un
excellent dîner dans un restaurant italo-argentin, un des métissages si fréquents à New-York, est
bien entendu biaisée et personnelle. Toutefois, il reflète bien les principales défis à relever lorsqu’il
s’agit de convaincre les dirigeants de la nécessité de la démarche, et d’investir les ressources
nécessaires pour espérer obtenir la création de valeur que génère la gestion des risques
essentiellement en améliorant l’information disponible pour la prise de décisions rationnelles et
optimales en fonction des objectifs stratégiques.
Pour intéressantes qu’ils aient été, les échanges entre les participants ont été aussi alimentés par les
exposés d’orateurs qu’il convient de citer ici, en oubliant celui de Marc Siegel d’ASIS international
sur l’ISO 31000 :2009 puisque nous avons déjà rendu compte des travaux et des résultats du groupe
de travail qui l’a préparé.
« La planification stratégique et les risques émergents » par Charles Jones, Project Manager chez
United Illuminating Company
L’intérêt de la présentation est d’illustrer l’idée que la plus sévère menace pourrait bien offrir aussi
la meilleure opportunité. UI est une société réglementée de transport et de distribution d’électricité
installée dans l’état du Connecticut. En décembre 2006, du fait du changement de la réglementation
de l’état, UI a du remplacé son contrat de trois ans par de nouveaux contrats accompagnés d’une
augmentation de 40% ce qui n’améliorerait pas la réputation de l’entreprise auprès de ses clients !
Ceci est à rapprocher des trois menaces stratégiques recensées par UI :
14
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 •
•
•
insatisfaction de la clientèle
augmentation des réclamations des clients,
impact sur la planification financière.
Pour répondre UI doit travailler sur le court, moyen et long terme et a du travailler avec le
législateur pour être autorisée à entrer dans des contrats pluriannuels (pour stabiliser les prix) et à
construire des capacités de génération d’électricité (pour éviter les délestages en cas de défaillance
réseau).
C’est ainsi que UI a cherché un partenaire pour partager l’opportunité de façon à trouver des sites
déjà autorisés pour l’installation de capacités, et une expérience sur la construction de centrales
d’appoint. Pour résumer, la triple menace a pu être commuée en opportunité grâce au recensement
systématique de l’ensemble des incertitudes pesant du l’entreprise.
On notera que le risk manager de UI a une expérience de gestion de projet et de gestion de qualité
ce qui lui a donné l’occasion de contacts positifs avec les propriétaires de risques et d’établir des
relations de confiance avec eux qui lui servent pour l’extension de la gestion des risques, des projets
à l’ensemble des processus de la société.
« Qu’est ce qui rend un organisme intelligent en matière de risques ? » par une équipe de
Crockett Technologies, avec son président Bruce Croquett et de MARSH représentée par son le
PDG de MARSH Inc. Daniel S. Glaser et l’ERM practice leader, Mat Allen.
Alors que les gestionnaires d’actifs financiers ont été largement « brûlés » en 2008, une société est
restée pratiquement en dehors du phénomène, c’est INVESCO dont on peut résumer les forces de
l’ERM en quatre points :
• Gouvernance des risques : La prise en compte du risque est effectivement incorporée à la
gestion normale de l’organisme,
• Cadre organisationnel de la gestion globale et intégrée des risques (ERM) : Il y a plus de 30
comités centrés autour de la gestion des risques et 300 cadres engagés directement dans le
dialogue et l’action sur les risques,
• Conscience et engagement des administrateurs : Le conseil d’administration est régulièrement
informé sur les risques et un comité est chargé du suivi sur les risques critiques pour assurer que
le conseil reste en alerte,
• Cadre et processus établis pour la gestion des risques : L’ensemble de l’organisme partage un
langage commun sur les risques et un cadre de référence pour assurer la cohérence de
l’ensemble de l’exercice.
Il est difficile de résumer en quelques phrases le riche exposé des responsables de Marsh conclu
avec la distribution d’un ouvrage récent rédigé par un consultant maison sur la gestion des risques
de la chaîne logistique 7 . Toutefois, on peut reprendre la citation de Brian Duperreault, PDG de
Marsh MMC : « Ce qui est pour moi vraiment fondamental c’est que le PDG de l’entreprise soit
vraiment le patron de l’ERM. Si ERM et direction sont synonymes, alors c’est la bonne approche :
l’ERM est bien intégré intimement au cœur de la stratégie. »
En appui de cette citation, les intervenants nous ont donné les principaux éléments de l’ERM chez
7
Lynch Gary S. – Single point of failure, John Wiley & Sons, NY 2009
15
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 Marsh :
• Identification en continue des risques critiques, identification et classement par priorité des
risques critiques, entretiens et ateliers d’évaluation avec les propriétaires de risques et leurs
équipes, registre des risques à impact significatif.
• Evaluation des initiatives en matière d’ERM, fréquence et gravité, matrice de contrôle,
identification et correction des possibles « trous » de gestion,
• Exécution des plans d’action et protocoles de gestion des risques, y compris les retours
d’expérience, attributions des risques critiques à des propriétaires identifiés, suivi des
traitements pour valider leur efficacité, reporting et mise à jour.
L’ensemble des efforts développés au sein de MARSH ont pour but d’assurer au client le meilleur
service « sans couture » tout en permettant une utilisation optimale des ressources pour l’efficience
économique du groupe. Cette veille est aussi appliquée aux assureurs auxquels Marsh confie les
risques de ses clients mais Daniel Glaser a tenu à souligner en substance que, au milieu de la
tourmente, le secteur de l’assurance s’est révélé un pôle de résistance puisque les assureurs et
réassureurs ont continué à souscrire sans aggraver substantiellement les termes ou les conditions
alors même que leurs actifs se contractaient. Ils ne se sont par réfugiés dans une attitude frileuse,
continuant d’apporter aux entrepreneurs les couvertures dont ils ont besoin pour continuer leurs
opérations.
« La gestion du changement – Créer une culture d’ERM dans votre organisme. » par Grace
Crickett, CRO de l’Université de Californie et Sally Sproat, Senior VP, Swiss Re America
Sans doute est-ce injuste pour le brillant duo qu’on interprété devant nous les deux oratrices mais
on peut tout de même résumer la démarche suivi depuis six ans dans le complexe de l’Université de
Californie, sans doute le plus important dans le monde en terme d’étudiants, de corps enseignant, de
budget et de distinctions honorifiques. Le résumé c’est un « octologue » :
1.
2.
3.
4.
5.
6.
7.
8.
Etablir un sens d’urgence
Créer une coalition pour conduire l’effort,
Développer une vision et une stratégie
Communiquer la nouvelle vision
Déléguer l’action à une base large avec l’autorité nécessaire
Borner le chemin avec des « petits succès »
Consolider les succès et les utiliser comme leviers de changement
Ancrer les nouvelles approches dans la culture de l’organisme
Grace n’a pas oublié de rappeler que la mise en place de processus et de « contraintes » sur une
équipe de divas est particulièrement délicate : chaque professeur titulaire d’une chaire est une
vedette susceptible de s’auto-exonérer des obligations pesant sur le bas peuple...
« Les sciences de la décision et la gestion des risques » par Carl Spetzler, PDG du Stategic
Decision Group
Une des clés de la maturité de l’ERM est son intégration dans le processus de décision stratégique
pour que les menaces et les opportunités soient prises en compte lors de la définition d’objectifs
stratégiques « soutenables ».
« ...Tout cela peut se résumer simplement, à la prise de décision en avenir incertain et les
16
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 implications de ce statut. Nous sommes tous soumis à nos propres préjugés et nous devons les
prendre en compte lorsque nous prenons des décisions. Cela peut nous poser un problème avec
« l’expérience ». En effet, l’expérience créer la crédibilité, mais elle ancre aussi notre perspective.
Les risques qui vous atteignent sont ceux que l’on n’attend pas, et c’est précisément votre
expérience qui fait que vous ne les attendez pas 8 . »
Mais alors où est l’essentiel du message de Carl Spetzler ? Il comprend trois volets essentiels :
Le rapprochement des sciences de la décision avec les trois volets, les aspects comportementaux
de la prise de décision (comment les individus prennent des décisions naturellement), la prise de
décision prescriptive ou rationnelle (comment les individus devraient prendre des décisions), et
les outils et cadres appliqués des « meilleures pratiques » (les pratiques professionnelles des
consultants et des dirigeants qui ont développé des compétences en matière de décision.)9
L’existence de préjugés jointe à l’absence de données historiques fiables et/ou pertinentes pour
éclairer l’avenir implique l’utilisation d’outils « hybrides » tels que les diagrammes d’influence
et les réseaux bayésiens pour quantifier « l’inquantifiable. »
La nécessité de distinguer dans une entreprise ceux charger des volatilités « naturelles », les
responsables opérationnelles avec les procédures de qualité (EFQM ou TQM) et les
responsables des variations inhabituelles ou extrêmes, côté positif, les opportunités, confiées au
responsables de la stratégie, le CRO se trouvant en charge des menaces, côté négatif.
Alors, Carl sonne-t-il la fin de l’ERM comme l’entend ISO 31000, non si l’on retient qu’il parle des
organismes d’une taille telle qu’il serait déraisonnable d’attendre d’une seule personne de maîtriser
tous les volets de la courbe de probabilités. Bien entendu, l’approche globale et intégrée suppose
que les trois volets parlent entre eux et que leur concertation assure la vision globale au niveau des
dirigeants et du conseil d’administration.
« L’évaluation de l’ERM par Standard & Poor’s » par Steve Dreyer, Responsable des notations
pour les entreprises d’infrastructure et d’électricité.
Nous avons déjà souligné que la réputation des agences de notation était une des principales
victimes de la crise financière et économique que nous traversons. Les participants ont exprimé leur
inquiétude quant à l’évaluation de leur démarche ERM par des consultants jeunes et le plus souvent
sans formation spécifique, ce qui s’est passé au niveau des institutions financières dont la démarche
de gestion des risques était analysée depuis plusieurs années ne renforce pas le sentiment de
sécurité.
Steve Dreyer a rappelé l’objectif de la notation qui est avant tout d’évaluer la capacité de
l’entreprise à faire face à ses engagements financiers à l’égard des porteurs d’obligations. Pour ce
faire, l’engagement de l’entreprise sur une stabilité à long terme est une donnée essentielle, et tout
facteur qui pourrait la remettre en cause doit être suivi avec attention ; par exemple le départ d’un
directeur financier peut être un acte normal de gestion ou de carrière, mais il peut dans certaines
circonstances être un signal d’alarme.
8
Michael Hoffmann, professeur à Stanford, Harvard Business Review Octobre 2009
Les lecteurs familiers de l’hyperespace des dangers développé par Georges-Yves Kervern il y a plus de vingt ans verrons les
similitudes et la fusion « visionnaire » qu’il effectuait alors de toutes ces sciences humaines pour offrir un cadre de réflexion et de
décisions sur les risques prémonitoire de l’ERM.
9
17
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 En ce qui concerne l’ERM, S&P conduit une enquête auprès de ses clients en dehors du secteur
financier. A ce jour, des entretiens ont eu lieu avec environ 300 entreprises, soit 10% de la clientèle,
issu de 15 branches industrielles. Avant de rédiger un papier blanc sur l’avenir, l’équipe pense
interroger entre 150 et 250 entreprises supplémentaires, ce qui lui permettra d’avoir une peinture
plus précise de l’état de l’ERM chez ses clients. L’échantillon est surtout dirigé vers les notations
d’investissements et celles à la limite, à savoir AAA, AA, A, BBB et BB, ce qui représente 50 %
des notes accordées par S&P tandis que les notes B et CCC, représentent l’autre moitié. Enfin,
l’intérêt de S&P porte essentiellement sur la culture et le processus de décision stratégique.
Cet objectif peut être résumé ainsi : Evaluer dans quelle mesure un ERM fort (faible) procure à
l’entreprise un avantage (un handicap) compétitif, améliore (détériore) sa résilience et sa capacité
à honorer ses emprunts.
Pour ce faire les entretiens sont articulés autour de sept questions envoyés à l’avance pour permettre
aux clients de se préparer :
1. Quels sont les risques critiques de l’entreprise, quel est leur impact potentiel, quelle est leur
vraisemblance ou fréquence, quel est le rythme de mise à jour de la liste ?
2. Quelles sont les mesures prises par les dirigeants en ce qui concerne ces risques critiques ?
3. Quelle est la perte maximum, sur le fonctionnement ou en trésorerie, que les dirigeants el les
administrateurs estiment « tolérable ? »
4. Quelle est la structure et le positionnement du service de gestion des risques ? Comment est
mesurée la performance de la gestion des risques ?
5. Quel serait l’impact de la réalisation d’un risque critique sur la rémunération des dirigeants, sur
la planification et sur le budget ?
6. Quelles sont les discussions qui ont lieu au niveau des dirigeants ou des administrateurs sur les
risques à l’occasion de la prise de décisions stratégiques ?
7. Quel exemple de réaction à une « surprise » dans votre industrie pouvez-vous donner, en
précisant si l’impact sur l’entreprise est différent de celui des autres acteurs de l’industrie ?
Alors quel est l’agenda de S&P en matière d’ERM 10 :
• Poursuivre l’enquête en cours avec les clients
• Consolider les outils d’évaluation de la gestion en tant que de besoin
• Dresser un rapport d’étape vers la fin de l’année
• Incorporer les évaluations mises à jour dans les rapports 2010
La remarque de Brian Duperreault fait écho et justifie la remarque de Carl Spetzler : c’est bien au
niveau de la direction générale que l’intégration de tous les risques doit se faire. Toutefois, une
autre tendance se fait jour alors même que, enfin, les organismes entreprennent une démarche de
portefeuille intégrant l’ensemble des éléments d’incertitudes qui brouillent le futur des organismes,
une nouvelle démarche centrifuge tend à recréer des silos sur les impacts et leur traitement, pour
remplacer ceux sur les catégories de risques de l’approche traditionnelle.
En effet, on voit jaillir des directeurs de conformité qui veulent intégrer la gestion des risques dans
10
Les lecteurs qui souhaiteraient plus d’information sur les intentions de S&P peuvent se rendre sur le site réservé :
www.erm.standardandpoors.com
18
« Parlez‐vous ERM ? » Séminaire ouverture Rencontres AMRAE 2010 leur démarche, des directeur de continuité qui se pose en protecteur de la résilience, à côté des riskmanagers, et enfin la dernière invention le BIA (Business Impact Analysis). Ces derniers voudraient
même tout simplement remplacer la phase diagnostic. Mais comment trouveraient-ils les scénarios
d’impact à analyser si l’on ne fait plus l’exercice d’identification ? De plus pensent-ils vraiment que
les risk-managers, même dans une approche traditionnelle, ont attendu un nouveau sigle pour faire
leur travail correctement. Bien entendu, l’analyse des conséquences d’un événement redouté a
toujours compris trois volets, les dommages directs aux biens, les pertes de revenus induites et les
dommages aux tiers, corporels, matériels et « immatériels ».
Bien entendu dans le cadre de l’analyse des pertes induites par les ruptures dans les chaînes
d’approvisionnement sont envisagées toutes les conséquences sur les membres de la chaine, voire
du réseau.
Devant ce nouveau danger de scission au sein de la profession, et avant de donner rendez-vous pour
le septième « ERM Summit » en novembre 2010, il est tentant d’emprunter la conclusion à Kevin
Knight bien qu’il ne fut pas présent : Elle replace les éléments du puzzle dans une vision qui
marque bien la nécessité d’une approche « sans couture » :
« Sans prise de risque, pas de récompense et pas de progrès. Si les organismes ne gèrent pas leur
risques efficacement, elles ne peuvent ni saisir les opportunités, ni contenir les menaces. Le risque,
c’est l’incertitude, ou plus précisément l’effet de l’incertitude sur l’atteinte des objectifs. C’est en
cela que l’ISO 31000:2009 diffère clairement des autres guides ou cadres de référence proposés
pour la gestion des risques : il déplace l’accent de l’événement, ce qui pourrait arriver, sur
l’impact de ces événements sur les objectifs stratégiques. »
Philadelphie, 09 novembre 2009
Université Paris 1 Panthéon Sorbonne
Directeur Pédagogique de CARM_Institute
Consultant en ERM de l’IIA
19

au risque

Transcription

Documents pareils

PARTENARIAT PARTENARIAT MULTILATÉ

ASSEMBLEE GENERALE 15 juin 2006

LA CArtogrAphie des risques

Gestion des risques de l`entreprise Tirer profit des avan

ODJ KLESIA_Commission ERM ASSMUIP 12 mai 2015

Catalogue Formation Amrae2013bis_ok.indd

Oeuvres complètes