L’IFACI vient de publier une prise de position sur le concept des trois lignes de maîtrise des risques au sein des entreprises. Ce concept, que nous portons depuis plus de 10 ans, implique d’optimiser la coopération entre les différents dispositif de la « deuxième ligne » : contrôle interne, qualité, contrôle de gestion, continuité d’activité… Au travers d’une analyse documentée, publiée dans le numéro 89 de la revue Risques, Tuillet Risk & Management a identifié 5 pistes opérationnelles pour répondre à cette problématique et transformer la contrainte en opportunité.
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Gestion des risques opérationnels : quelle coopération entre les acteurs ?
1. Urbanisation de la gestion des risques opérationnels :
quelle coopération des acteurs clés ?
La gestion des risques opérationnels recouvre
un ensemble de dispositifs de natures et de
formes extrêmement variées. Le spectre des
systèmes mis en œuvre par les organismes
d’assurances est contraint, d’une part, par des
exigences réglementaires croissantes (Solva-
bilité II, contrôle interne, continuité d’activité,
conformité, fraudes, RSE, etc.) et, d’autre part,
par la stratégie de l’organisme (qualité, en-
vironnement, etc.).
Si la mise en œuvre de ces dispositifs ren-
voie nécessairement à des référentiels et
normes intégrant une dimension technique
forte, elle implique également, comme le
terme « opérationnel » le laisse pressentir,
une dimension à la fois organisationnelle
et managériale essentielle à l’efficacité du
système.
Or, l’expérience met en évidence que les
entreprises, pour répondre à ces exigences
réglementaires et aux objectifs, sont confron-
tées à un ensemble de problématiques et
d’enjeux pouvant rapidement dégrader les
conditions de fonctionnement de ces dispo-
sitifs, voire remettre en cause leur efficacité.
Face à ce constat, le concept d’urbanisation,
historiquement développé dans l’entreprise
par les directions des systèmes d’information
(DSI), constitue une voie permettant une
approche globale de la gestion des risques
opérationnels, contribuant ainsi à son opti-
misation et à un renforcement de son effi-
cience.
« La gestion des risques
opérationnels recouvre un
ensemble de dispositifs de
natures et de formes
extrêmement variées. »
2. « Une implémentation,
insuffisamment articulée,
ressemble in fine
à un mille-feuille »
Contexte la diversité, de cette problématique qui Une approche réglementaire et
s’étend bien au-delà des seuls sujets du normative
La réflexion sur l’articulation et les contrôle interne et de la qualité.
complémentarités entre les différents Dans le prolongement du point pré-
dispositifs de gestion des risques opé- Enjeux et problématiques cédent, la mise en place étant déclen-
rationnels, ou dispositifs de maîtrise chée par la survenance d’une nouvelle
de l’activité, selon que l’on préférera Notre expérience nous a conduits, au fil exigence réglementaire, la méthodologie
considérer l’envers ou l’endroit de la de nos interventions tant dans le sec- d’implémentation se résume souvent
problématique, est relativement récente teur de l’assurance que dans les autres à une approche réglementaire et/ou
et connaît des évolutions fortes. secteurs d’activité, à identifier trois pro- normative du sujet, c’est-à-dire à la mise
blématiques à l’origine des principaux en place d’une réponse point par point,
Alors qu’un travail d’intégration a depuis dysfonctionnements dans l’articulation au détriment souvent d’une approche plus
longtemps été engagé, surtout dans le des dispositifs de gestion des risques globale et systémique.
secteur industriel, sur l’intégration des opérationnels.
dispositifs qualité, hygiène, sécurité, en-
vironnement (QHSE), d’autres systèmes
étaient volontiers mis en opposition L’émergence de nouvelles fonctions
L’effet mille-feuille
par leurs experts respectifs, notamment La mise en place de ces différents dis-
entre le contrôle interne et la qualité. Beaucoup d’organismes adoptent une positifs s’accompagne généralement de
Sur ces sujets, qui intéressent directe- attitude plus réactive que proactive en l’émergence de fonctions ad hoc incluant
ment le secteur de l’assurance, les prises matière de gestion des risques opéra- la responsabilité de la construction, du
de position ont considérablement évolué tionnels. De ce fait, ils s’engagent dans déploiement et du pilotage du dispo-
au cours des dernières années. la mise en place de ces derniers au gré sitif considéré. Ces nouvelles fonctions
de la publication de nouvelles exigences ont bien souvent tendance, et cela peut
Ainsi, l’Institut français de l’audit et du réglementaires.
contrôle internes (Ifaci) en 2008 (1), puis se comprendre, à vouloir disposer de
Ainsi, cette implémentation, insuffi- « leur » système et ne sont pas spon-
l’Afnor en 2009 (2) ont engagé une ré- samment coordonnée, ressemble in
flexion sur les synergies existant entre le tanément volontaires pour le partager
fine à un mille-feuille, chaque dispositif avec d’autres fonctions, non seulement
contrôle interne et la qualité. correspondant à une « couche » supplé- dans un souci d’autonomie dans la
La transposition de ce concept d’urba- mentaire de procédures et de contrôles conception et le fonctionnement, mais
nisation à la gestion des risques opé- dans l’entreprise. Cette approche est également pour exister et être recon-
rationnels a été initiée notamment régulièrement expliquée, à défaut d’être nues dans l’entreprise. Ce phénomène
par l’Ifaci dans une « prise de position » justifiée, par les finalités différentes des peut se trouver renforcé par des lignes
du mois de septembre 2008 (3), et com- dispositifs. de rattachement hiérarchiques diffé-
plétée en avril 2010 (4) pour le secteur rentes, les acteurs du contrôle interne
bancaire plus particulièrement.
Plus récemment, une étude réalisée par
« Chacun son système, étant souvent affiliés aux fonctions
financières, les fonctions qualité ou
notre cabinet (5), auprès d’une ving- chacun chez soi ?» sécurité relevant d’autres domaines de
responsabilité.
taine d’entreprises d’assurances, nous a
confortés dans la réalité, mais aussi dans
3. Ces trois phénomènes ne sont pas sans approches en silo, ou du moins insuffi- part, les obligations en matière de ges-
conséquences sur l’efficacité de la ges- samment coordonnées et articulées, tion des risques liés à la sous-traitance
tion des risques opérationnels au sein peuvent limiter la capacité de l’orga- et, d’autre part, les exigences qualité
de l’entreprise. nisme à mettre en œuvre les synergies, en matière de relation avec les fournis-
pourtant réelles, existant entre les diffé- seurs…
Première conséquence, impactant
rents dispositifs. À nouveau, l’exemple le
directement la qualité de la gestion des Concernant la gestion des risques opé-
plus frappant réside dans l’analyse com-
risques opérationnels : il devient très rationnels en particulier, il est vrai que
parée des exigences sous-tendant les
difficile, dans un environnement où les la norme ISO 9001 n’impose pas la réa-
systèmes de management par la qua-
différents dispositifs sont parallélisés lisation d’une analyse des risques liés à
lité, telles que structurées par la norme
et pilotés chacun par un responsable l’insatisfaction des clients. Pour autant,
ISO 9001 v. 2008, et des dispositifs de
jaloux de ses prérogatives, d’avoir une deux éléments devraient inciter forte-
contrôle interne, tels que préconisés par
visibilité globale de l’exposition de l’or- ment les entreprises à intégrer cette di-
le Coso. La revue détaillée de ces deux
ganisme aux risques opérationnels et de mension dans leur système de manage-
référentiels, pour peu que l’on s’intéresse
la qualité des réponses apportées par ment qualité : le fait que les réflexions en
au fond et ne se restreigne pas à la forme
l’entreprise. L’autonomie des dispositifs cours sur les évolutions de la norme vont
– et notamment aux différences de vo-
conduit les différents acteurs à déve- dans ce sens et que, le risque se définis-
cabulaire –, fait apparaître une conver-
lopper des référentiels et méthodolo- sant comme tout événement suscep-
gence très forte que l’on peut estimer
gies qui, sans entrer nécessairement en tible d’empêcher l’atteinte des objectifs
entre 60 % et 80 %. Cette convergence
opposition, ne sont pour autant pas ali- de l’organisme, cette étude constituerait
porte ainsi à la fois sur les approches par
gnés : cette situation renforce la difficul- peut-être le meilleur moyen d’appro-
les processus, la gestion des incidents –
té d’agrégation et de consolidation des cher les actions préventives recherchées
également appelés « non-conformités
données et diminue donc la visibilité qui par la norme ISO. L’expérience montre
» –, la nécessité de gérer les ressources,
en résulte. Ceci est d’autant plus préjudi- que les organismes certificateurs recon-
le besoin d’une politique, les principes
ciable dans la perspective de Solvabilité naissent la valeur ajoutée de cette ap-
d’une amélioration continue, etc. La liste
II, qui requiert cette vision consolidée proche pour les systèmes qualité.
est trop longue pour pouvoir être citée
afin d’établir notamment le profil de
exhaustivement ici. Ces synergies sont autant d’opportuni-
risques. De ce fait, quelle garantie pour
tés pour l’entreprise qui, si elles ne sont
l’organisme d’avoir adressé l’ensemble
des risques opérationnels ? « Une convergence des pas saisies, constituent au mieux des
surcoûts, au pire des manques à gagner.
Second point, directement lié au pre- référentiels Qualité et Troisième effet, peut-être le plus pro-
mier : l’approche en silo des dispositifs
de gestion des risques opérationnels Contrôle Interne com- blématique pour l’entreprise : la diffi-
culté pour les équipes opérationnelles
conduit inévitablement les organismes
d’assurances à un manque d’optimi- prise entre 60 et 80% » à s’approprier les dispositifs. Un constat
simple : un opérationnel ne fait son tra-
sation dans l’utilisation des ressources
vail qu’une fois, et il n’est pas possible
consacrées au dispositif, ce qui est d’au-
Ces synergies existent également parmi de lui demander d’arbitrer les différents
tant plus préjudiciable que le niveau de
d’autres aspects relevant des risques référentiels à son niveau. Il n’est pas en
ces ressources s’est fortement accru au
opérationnels, par exemple entre, d’une position de faire la synthèse entre les
cours des dernières années. En effet, ces
demandes du contrôle interne, celles de
4. « Développer une vision
globale supportée par un
référentiel socle partagé »
la qualité, celles de la conformité… Si Les réponses possibles rel, tous les systèmes de management
les fonctions centrales en charge de la répondent à une architecture commune
conception et du déploiement des diffé- Face à ces constats et à leurs consé- résumée en quatre points :
rents dispositifs ne font pas cet effort, le quences sur l’efficacité des dispositifs,
quelles réponses peuvent être appor- • un premier domaine d’exigences
plus probable sera que chacun choisira
tées par l’urbanisation de la gestion des correspondant à la stratégie et à la
le référentiel dans lequel il se reconnaît
risques opérationnels ? Quels sont les politique de l’entreprise (les objec-
ou celui auquel il a été formé en premier
facteurs clés de succès de cette urbani- tifs poursuivis, le rôle des différents
ou, pis, rejettera l’ensemble des disposi-
sation ? acteurs, leurs interactions) ;
tifs, ne sachant pas comment les mettre
en œuvre de manière satisfaisante. En Notre expérience nous a conduits à • un second domaine relatif à l’inté-
témoigne cette intervention, menée à identifier cinq éléments de réponse gration du dispositif dans la réalisa-
la demande d’une direction métier d’un principaux. tion des activités, dans l’exécution
groupe international pour l’aider à faire des processus ;
ce travail de synthèse et rendre opéra-
• un troisième portant sur le contrôle,
tionnelle l’accumulation de directives Une approche globale des systèmes la supervision et la surveillance du
émises par non moins de cinq fonctions
Cette approche globale ne réside pas dispositif ;
centrales (direction des risques, direc-
tion du contrôle interne, direction quali- nécessairement dans une approche • un dernier touchant au pilotage et
té, direction environnement et direction unique des dispositifs, par une fusion à l’amélioration continue du dispo-
sécurité), qui oscillaient entre l’indiffé- des systèmes et des équipes en charge sitif.
rence polie et les mesures contradic- de leur développement et de leur dé-
Rien d’autre finalement que la fameuse
toires ! ploiement. Elle implique en revanche
boucle d’amélioration PDCA (plan, do,
une réflexion approfondie sur les com-
Or, comme nous l’avons vu plus haut, check, act) chère aux qualiticiens, égale-
posantes de ces systèmes qui, si elles
une des clés du succès des dispositifs ment connue sous le nom de « roue de
ne répondent effectivement pas à des
de gestion des risques opérationnels Deming ».
objectifs identiques, nécessitent la mise
réside justement dans la capacité du en place d’organisations, de procédures Le fait de repositionner les exigences et
management intermédiaire à s’appro- ou de systèmes d’information similaires. pratiques des divers dispositifs dans ces
prier ces mesures et à les porter auprès Cette réflexion est grandement facilitée différents domaines facilite largement la
de ses équipes. Il est d’ailleurs frappant dès lors que l’on prend conscience que, mise en commun d’un grand nombre de
de constater à quel point, au cours des d’une part, ces différents dispositifs sont modules.
dernières années, la gestion des risques tous conçus pour permettre à l’orga-
opérationnels est passée, dans les for- Bien entendu, certains aspects reste-
nisme de mieux maîtriser ses activités en
mations supérieures proposées tant ront spécifiques (l’écoute du client, par
prenant en compte les attentes de par-
par les écoles que par les universités, du exemple, pour la qualité), sans pour au-
ties prenantes différentes (le contrôle
statut de spécialité réservée à quelques tant entrer en opposition avec les autres.
interne adresse plus particulièrement
experts à celui d’une composante à part les propriétaires de l’organisme, la qua-
entière du rôle de manager ! lité ses clients, la sécurité son personnel,
la conformité le régulateur…) et que,
d’autre part, d’un point de vue structu-
5. Un référentiel socle semble de leurs obligations : analyses Un accompagnement renforcé des
de risques, reporting, réalisation et suivi managers
Même pilotées par des équipes diffé-
des plans de contrôle, déclaration d’inci-
rentes, l’élaboration et la mise à dispo- Comme nous avons déjà eu l’occasion de
dents…
sition d’un référentiel socle et partagé le dire à plusieurs occasions, la ligne de
constituent le second point clé d’une Des fonctions articulées management opérationnel est au cœur
approche intégrée. Il s’agit ainsi d’ap- des différents dispositifs de gestion du
La mise en œuvre d’une approche glo-
porter une réponse globale et unifiée risque opérationnel. Or, les résultats de
bale de la gestion des risques nécessite
aux attentes des opérationnels en leur notre baromètre Solvabilité II pour 2011
la réalisation d’une cartographie à la fois
délivrant non plus un référentiel de (6) montrent clairement, dans la lignée
des acteurs et des instances intervenant
contrôle interne ou un référentiel qua- de l’édition 2010, un net décrochage des
dans les différents dispositifs. Il s’agit
lité, mais bien un référentiel d’entreprise équipes opérationnelles dans la com-
ainsi de déterminer les missions de cha-
explicitant les processus et procédures préhension et donc dans l’appropriation
cun mais également ses interfaces avec
retenus par l’entreprise pour la réalisa- de cette problématique par rapport aux
les autres.
tion des missions et activités. équipes fonctionnelles en charge de
Ce travail doit porter tant sur les ins- leur pilotage.
Ainsi, lorsque les équipes opération-
tances (comité d’audit, comité des
nelles mettent en œuvre ce référentiel, Il est donc essentiel de proposer un
risques, revue de direction, comité
elles répondent de fait aux exigences dispositif d’accompagnement à desti-
sécurité, revue de processus, etc.) que
des différents règlements ou normes nation de cette population, au travers
sur les fonctions centrales (direction
mais surtout elles contribuent au dé- notamment d’un programme de forma-
des risques, contrôle interne, qualité,
ploiement de la stratégie et des objectifs tion et de sensibilisation, lui permettant
sécurité, conformité, RSSI, etc.), mais
opérationnels de l’entreprise. à la fois de comprendre les fondements
également sur les fonctions déconcen-
trées (correspondant qualité, référents théoriques des différents dispositifs
contrôle interne, contrôleurs, etc.). mais surtout d‘implémenter ces derniers
Un système d’information partagé de manière efficace.
Outre les missions et interactions, un
Corollaire direct du point précédent, la travail sur le séquencement des travaux
recherche d’un système d’information s’avérera nécessaire afin de garantir « Mettre le dispositif
partagé par les différents dispositifs per-
mettra aux acteurs d’avoir accès à la fois
notamment le respect des échéances
réglementaires en matière de reporting
cible au service des
à une source d’information unique (pro-
cédures, formulaires, fiches de fonction,
et aussi la tenue des obligations nor-
matives en termes de cycle de manage-
managers »
etc.) mais aussi à une « boîte à outils » ment.
globale leur permettant de remplir l’en-
Nicolas Guillaume
Associé
Tuillet Risk & Management
Note s
1. « Contrôle interne et qualité. Pour un management intégré de la performance », unité de recherche Ifaci, mai 2008.
2. Qualité et management. Lignes directrices pour le développement de synergies entre systèmes de management au
sein des organismes. Cas particulier du système de management de la qualité et du contrôle interne, FD X50-198, Afnor,
mai 2009.
3. « L’urbanisme du contrôle interne : comment en améliorer l’efficacité ? quelle place pour l’audit interne ? », prise de
position, Ifaci, septembre 2008.
4. « Pour un urbanisme du contrôle interne efficient. Sept prises de position du groupe professionnel banque », prises de
position, Ifaci, avril 2010.
5. « Le point sur… qualité et contrôle interne en assurance. Quelle intégration des systèmes ? », Sinequa Risk & Manage-
ment (désormais Tuillet Risk & Management), juin 2011.
6. Baromètre national Solvabilité II, réalisé par le groupe Tuillet auprès de 40 organismes et publié en juillet 2011.