La maitrise globale des risques dans les grands groupes industriels

11,603 views

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
11,603
On SlideShare
0
From Embeds
0
Number of Embeds
1,177
Actions
Shares
0
Downloads
420
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

La maitrise globale des risques dans les grands groupes industriels

  1. 1. La maitrise globale des risques dansles grands groupes industrielsIntroduction à l’atelier du 16 octobre,élaborée à partir d’un benchmarking associant des représentantsd’Air Liquide, CEA, CNES, EDF, GDF SUEZ, SNCF et Total. Jean Blouvac – CNES Laurent Magne – EDF Jean.Blouvac@cnes.fr laurent.magne@edf.fr
  2. 2. Introduction L’atelier vise deux objectifs : Présentation et partage sur les principes de la gestion globale des risques Débat et témoignages sur les conditions de succès, les facteurs d’échec, les choix organisationnels… Préparation de l’atelier La première partie (présentation et partage) a été élaborée sur la base de la mise en œuvre à EDF, afin que les concepts soient concrètement incarnés. Les éléments présentés ont été largement partagés lors d’un benchmarking au cours duquel des représentants d’Air Liquide, CEA, CNES, EDF, GdF Suez, SNCF et Total ont présenté leur démarche. La deuxième partie (introduction au débat) a été préparée au sein du groupe de travail « Méthodes de Management des Risques Industriels » de l’IMDR, dans le but d’identifier des questionnements cruciaux auxquels toute démarche de gestion globale des risques est nécessairement confrontée.2 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  3. 3. 1ÈRE PARTIE – PRÉSENTATION ET PARTAGE ---- GÉNÉRALITÉS SUR LA GESTION GLOBALE DES RISQUES (A PARTIR DE L’EXPÉRIENCE D’EDF)3 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  4. 4. Plusieurs catégories de risques La notion de risque englobe des catégories très diverses Selon les catégories de causes  Risques liés à la stratégie, l’organisation, ou le pilotage de la performance  Risques liés à l’environnement externe, politique, régulatoire, sociétal…  Risques opérationnels, eux-mêmes très différents selon qu’il s’agit de risques industriels, risques commerciaux, risques de marché… Selon la situation dans l’entreprise  Risques liés aux missions d’une entité  Risques liés aux projets Ces catégories appellent des stratégies de traitement différentes  Processus continu de mise sous contrôle  Plans d’actions d’amélioration ou de transformation  Recherche d’opportunités nouvelles La « maîtrise globale des risques » couvre toutes ces catégories dans une vue d’ensemble4 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  5. 5. Dispositifs « sectoriels » mis en place par EDF pour la maîtrise des risques et des activités Les dispositifs mis en place au fil du temps dans les principaux secteurs garantissent largement la maîtrise des risques et des activités du Groupe EDF : Risques technologiques ("risque de défaillance des systèmes ou des infrastructures")  Organisations pour la sûreté nucléaire, la sûreté hydraulique, la sureté du système électrique Risques naturels et climatiques  Organisation du Groupe pour la prévention et la protection face aux événements naturels Risques environnementaux et sanitaires  système de management de l’environnement, politique biodiversité, politique qualité de vie au travail, systèmes de management de la sécurité… Risques de malveillance, dagression terroriste  Politique sécurité, organisation spécifique Risques financiers  Principes de gestion des risques financiers (risques de marché, risques de contrepartie…) Risques de marchés d’énergie (incertitudes sur les volumes, prix)  Politique de gestion des risques de marché d’énergie. Risques de non-conformité  Politiques juridiques, organisation comptable et fiscale, politique marchés sensibles, etc. …5 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  6. 6. Dispositifs « généralistes » mis en place par EDF pour la maîtrise des risques et des activités Dispositifs mis en place dans les années 2000-2010 : Cartographie des risques (cadre de référence complet depuis 2003-04)  S’assurer que les « risques majeurs » sont identifiés et font l’objet d’actions de maîtrise pilotées au bon niveau de l’Entreprise  Rendre compte des risques majeurs à la Direction et aux organes de Gouvernance Contrôle interne (cadre de référence complet depuis 2006, rénové en 2010)  Obtenir une « assurance raisonnable » de maîtrise des activités dans tous les domaines (conformité aux lois et règlements, fiabilité des informations financières, préservation des actifs, respect des décisions de la direction)  Rendre compte de la maîtrise des activités à la Direction et aux organes de Gouvernance  Méthode s’appuyant sur des analyses de risques pour prioriser les actions de mise sous contrôle Ces dispositifs complètent les outils « sectoriels »… … et sont rendus nécessaires par la complexité (interne, externe), les enjeux nouveaux (concurrence, international), les exigences des parties prenantes et les lois / normes6 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  7. 7. Les objectifs de la « démarche risques » d’EDF Objectifs "Management" permettre lidentification et la hiérarchisation des risques dans tous les domaines en vue den assurer une maîtrise de plus en plus robuste responsabiliser et mobiliser les entités du Groupe et leur management sur l’identification, l’évaluation et le traitement des risques  en vue de contribuer à sécuriser la trajectoire stratégique et opérationnelle du Groupe, Objectifs "Gouvernance" Permettre aux dirigeants et aux organes de gouvernance d’EDF d’avoir une vision consolidée, régulièrement mise à jour, des risques majeurs et de leur niveau de contrôle,  pour répondre aux besoins croissants dinformation des parties prenantes quant au management des risques de lentreprise vis-à-vis de lexterne  et pour répondre aux exigences croissantes imposées par les lois et guidées par les normes7 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  8. 8. Les liens Risques / Audit / Contrôle Interne Fournir une assurance raisonnable de la maîtrise des risques et des activités du Groupe EDF Audit interne Se réinterroger Mise sous contrôle des risques majeurs Prioriser les actions Cartographie Contrôle de maîtrise des régulièrement des risques Aide à l’identification interne activités selon les sur les risques des risques majeurs risques (métier & majeurs « compliance ») Gestion des risques / Maîtrise des activités Mis en œuvre par les métiers, entités fonctionnelles, filiales8 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  9. 9. Organisation Risques / Audit / Contrôle interne au niveau « corporate » d’EDF Président Secrétaire Général Directeur délégué en charge des risques et de l’audit Direction des Risques Direction de lAudit Analyse des Programme Animation du d’audit risques Cartographie contrôle ------- Autres missions associés aux des risques Missions interne - Gestion de Crise, Investissements d’audit - Risques partenaires, - Contrôle des risques financiers, Veille : - Contrôle des risques de marché risques d’énergie émergents / stratégiques9 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  10. 10. Organisation pour la cartographie des risques (EDF) Cartographie Vue hiérarchisée des risques (~ 90 « méta-risques » de niveau groupe) Collecte des risques Synthèse Analyses risques "élémentaires" Directions Rapport semestriel Comex / Comité d’Audit opérationnelles (~ 800 à 900 présenté en même temps que les arrêtés des comptes Filiales, risques) Résumés, synthèses Dir° fonctionnelles Boucle d’amélioration « informelle » Réinterrogation Management « informelle » par Direction des risques Autres Des entités Autres utilisations de la - Croisement risques Programme fonctionnels & Cartographie : utilisations d’audits Chapitre Facteurs de la opérationnels - Croisement avec internes de risques du DDR, cartographie Présentation aux risques émergents - Croisement avec CAC, analyses risques Assurances, … Boucle projets Contrôle d’amélioration interne « formelle » Bottom-up entités + Analyse critique et synthèse DCRG + Bouclage par l’audit10 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  11. 11. Principes généraux de l’organisation « cartographie des risques » Implication et responsabilisation des acteurs du Groupe Entités et filiales sont responsables :  de leur gestion des risques identification, hiérarchisation, efficacité du traitement…  de la déclaration de leurs risques à la Tête de Groupe (choix de déclarer, contenu des descriptions) Processus impliquant toutes les entités : Directions opérationnelles, principales filiales, directions fonctionnelles  Permettant une vision croisée Examen critique des risques par la DCRG lors de lexercice de cartographie Analyse de tous les types de risques Risques opérationnels, financiers, marchés, stratégiques, réglementaires, naturels…  C’est à dire tous les risques qui pèsent potentiellement sur l’atteinte des objectifs du Groupe Méthode partagée au sein du Groupe ("langage commun") Consolidation et présentation semestrielle au Comex et aux organes de gouvernance (comité daudit)11 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  12. 12. Identification / évaluation / maîtrise des risques majeurs : une méthode partagée au sein du Groupe EDF Un risque est un « événement redouté » susceptible de gêner la réalisation des objectifs de l’entité ou du Groupe Le propriétaire d’un risque est la personne ou l’entité portant la responsabilité des objectifs et de leur maîtrise, décideur de la gestion des risques Lidentification des risques est réalisée  en fonction des enjeux et objectifs du Groupe / de l’Entité  grâce une typologie partagée au sein du Groupe EDF visant à « ne rien oublier » (opérationnel, externe, stratégie)  en sappuyant sur le REX (événements, indicateurs, veille, alertes..) [Voir Annexe 2]  et en veillant à caractériser les risques de façon factuelle L’évaluation des risques est réalisée selon une méthode partagée dans le Groupe Mesure du risque selon 3 critères : Impact / Probabilité / Niveau de Contrôle (= maîtrise)  Chaque critère est coté sur une échelle de 1 à 5 [voir Annexe 2]  Limpact est analysé en détail selon 7 catégories dimpact : Financier – Environnemental – Sanitaire – Image – Stratégie – Satisfaction client – Social.  Chaque entité peut compléter ces catégories pour affiner la description La hiérarchisation est faite par le management à partir d’une combinaison de ces trois critères Pour chaque risque majeur, le traitement du risque est défini et mis en œuvre Définition d’une stratégie de traitement (réduction, protection, transfert, couverture, plan B…) Si nécessaire, mise en œuvre d’un plan d’actions priorisé suivi au niveau du propriétaire12 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  13. 13. 2ÈME PARTIE : QUESTIONNEMENT DÉBAT & TÉMOIGNAGES13 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  14. 14. Analyse critique – enjeux – difficultés : Introduction Toutes les présentations sur la gestion des risques donnent une image lisse d’un processus – y compris celle-ci ! – mais … Y a-t-il des organisations préférables à d’autres ? Quelles sont les conditions de succès ? Quels sont les facteurs d’échec les plus importants ? Quelles sont les relations entre la gestion globale des risques et d’autres démarches de gouvernance ? Comment mesurer l’efficacité d’un système de gestion des risques ? Il n’y a pas de réponse toute faite à ces questions, mais on peut identifier des questionnements cruciaux, auxquels toute démarche de gestion globale des risques est nécessairement confrontée. Appel au débat et aux témoignages14 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  15. 15. Quels choix organisationnels structurants ? Identification des risques bottom-up ou top-down ? Bottom-up : risques proches des préoccupations du terrain Top down : adapté pour une vision des risques transverses et en lien avec les parties prenantes de l’entreprise Quel rôle des directions « fonctionnelles » vs directions « opérationnelles » ? Qui porte la gestion globale des risques ? A qui rapporte-t-il ? Un système centralisé ou décentralisé en réseau ? Faut-il un « comité des risques » au sein de l’entreprise ? Le Directeur des risques rapporte-t-il au directeur financier ? Au(x) directeur(s) opérationnel(s) ? Au Président (ou Direction générale) ? Quelle organisation pour Risques / Contrôle interne / Audit ? Comment articuler la complémentarité des approches ? Quels regroupements organisationnels ? Indépendance ou convergence ? Articulation entre gestion globale des risques et autres approches risques Risques industriels ? Sécurité au travail, sécurité face à la malveillance, HSE ? Crise ?15 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  16. 16. Quelles conditions de succès ? La capacité à exercer la mission : les points clés Porter une contradiction « pertinente, efficace et constructive », se faire entendre De la description des risques jusqu’à la maîtrise (plans d’actions sous contrôle) Articuler Contrôle / Animation / Conseil / Veille / Alerte Pérenniser l’impulsion initiale, obtenir l’appui durable de la direction générale Quelques leviers Quelle implication managériale ? L’implication managériale est un facteur de succès sine qua non. Comment l’obtenir ?  Liens entre risques / contrôle / et performance ?  Des exemples concrets (success stories) qui démontrent l’utilité des démarches ? Intégration des démarches  Système de management intégré ? (intégrant l’atteinte des objectifs, le pilotage des processus, la gestion des risques, le contrôle interne dans un système unique) Rôle, positions et posture des « correspondants risques » de tous niveaux  Expertise, crédibilité, légitimité des correspondants risques ?  Position proche des managers (au sein des comités de direction) ?  Posture d’appui et de facilitation ?16 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  17. 17. Quels facteurs d’échec ? Perte du sens de la démarche Démarche « risque » plaquée sans intégration au système  Approches incomplètes et redondantes provoquant confusion et perte de sens  Approches cloisonnées entre les différents niveaux / fonctions / directions de l’entreprise Débat insuffisant, routine, analyses superficielles  Cartographie des risques figée, insuffisamment évolutive  Pas suffisamment de débat, risque de manquer « les vrais sujets »  Risques décrits et évalués dont on ne fait rien (pas de maîtrise des risques) Des outils qui peuvent prendre le pas sur le sens  Exercice administratif loin du terrain et des préoccupations du management  Démarche de spécialistes, focalisation exagérée sur les méthodes et outils au détriment du sens  Complexité des approches (méthodes / outils) difficiles à prendre en main Acteurs insuffisamment formés / sensibilisés / mobilisés Difficultés liées à la gouvernance interne Conflits d’intérêts… Approches non sincères, Instrumentalisation des cartographies de risques…17 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  18. 18. Quelles limites, quelles ouvertures de la mission de maîtrise globale des risques ? Risques émergents, signaux faibles – ou faiblement entendus – Risques et opportunités Savoir examiner menaces et opportunités En particulier pour les risques externes ou stratégiques, avoir une posture plus large que « prévention / protection », mais aussi identification d’opportunités, exploration de « plans B »… Echanges « risques » et « stratégie » au service de la Direction Relations « risques » et autres fonctions supports indispensables à la gouvernance (RH, finances, juridique) –––––––––––––––––– … Quelle évaluation de l’efficacité de la gestion des risques ?18 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  19. 19. ANNEXE 1 LES « FONDAMENTAUX »19 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  20. 20. Risque : définition ISO 31000:2009 : "Risque : effet de lincertitude sur latteinte des objectifs" Cadre de référence AMF (2010) "Le risque représente la possibilité qu’un événement survienne et dont les conséquences seraient susceptibles d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa réputation." EDF (2004) : "Un risque est un événement ou une séquence d’événements susceptible de gêner la réalisation des objectifs (…)" En résumé : Un risque est un événement potentiel indésirable… … en sachant aussi que :  Il n’y a pas d’entreprise sans risque,  la face « positive » du risque est l’opportunité Nota : Cette définition est parfois controversée… Mais cette controverse n’est pas l’objet de cet atelier20 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  21. 21. Comment caractériser un risque ? Causes Risque (événement) Conséquences Probabilité Gravité Parades Mise sous contrôle Caractériser un risque c’est : Préciser sa compréhension Quelle est la nature de l’événement que l’on redoute ? Quelles sont les causes possibles – réelles ou potentielles ? (on dit aussi « facteurs » de risques) Quelles sont les conséquences, selon diverses dimensions ? (opérationnelles, financières, environnementales, etc.) Préciser sa « mesure » (« lestimer ») Peut-on mesurer la possibilité de son occurrence ? Probabilité si possible ? Peut-on caractériser sa gravité ? Préciser le traitement du risque et la « mise sous contrôle » Indiquer les parades existantes Bonne pratique d’EDF de « mesurer » le niveau de contrôle Nota : Probabilité / Gravité sont rarement intrinsèques, mais dépendent des parades déjà en place21 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  22. 22. Qu’est-ce que la gestion des risques ? 1. Les principes de base de la démarche Identifier l’ensemble des risques  En fonction des objectifs, du REX, des « parties prenantes », grâce à des check-lists… Mesurer, évaluer et prioriser les risques  Mesurer doit être le plus objectif possible (probabilité, gravité selon une analyse factuelle)  Evaluer ou prioriser traduit un choix (ce qu’on accepte / ce qu’on n’accepte pas) Nota : l’acceptation ne porte pas sur un risque en soi, mais sur tout un ensemble : une vision et des perspectives stratégiques, des impacts potentiels (apports, nuisances) aux plans économique, social, environnemental… Lensemble sur quoi porte le choix est donc associé à un panorama d’incertitudes , de menaces et d’opportunités) Décider d’une stratégie de traitement selon les priorités  Agir sur les causes : les supprimer, les diminuer (prévention), externaliser, etc.  Agir sur les conséquences : barrières (protection), couvrir, assurer le « risque résiduel », etc.  Surveiller, faire des contrôles ou des audits  Tolérer (accepter le « risque résiduel »)  Rechercher des opportunités nouvelles, des « plans B » Agir, contrôler, reboucler  Mettre en œuvre un plan d’actions et de contrôles selon la stratégie de traitement  Tirer les enseignement des actions et des contrôles : analyser les résultats et l’efficacité des actions, analyser les écarts, remonter aux « causes profondes »  alimenter l’analyse de risques de ces enseignements22 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  23. 23. Qu’est-ce que la gestion des risques ? 2. Le sens des démarches Une mission au service du management : Sécuriser dans la durée l’atteinte des objectifs Deux démarches complémentaires Maîtriser en continu les risques et les activités  Identifier et hiérarchiser les risques, les difficultés réelles et potentielles (dangers, menaces)  Choisir les « parades », les « points de contrôle » , les « indicateurs de surveillance »  Agir, tirer les enseignements, reboucler S’interroger sur les risques et enjeux majeurs : anticiper et prendre du recul  S’interroger sur les événements potentiels qui peuvent peser sur les objectifs / activités  S’interroger sur les facteurs externes, organisationnels, stratégiques…  S’interroger sur l’efficacité des actions engagées, et sur les nouvelles opportunités créées, re-prioriser Quelques principes guidant la réflexion :  Pas d’entreprise sans risque  Le management est responsable de la maîtrise des risques et des activités  Maîtriser les risques = sécuriser la trajectoire, mais aussi parfois proposer un « plan B »  Ne pas oublier la dimension « opportunités » Rechercher les opportunités existantes au sein d’un panorama de risques et de menaces Etudier les risques « à faire », mais aussi « à ne pas faire »23 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  24. 24. Pourquoi faire une analyse de risques ? Qui fait ? On ne fait pas une cartographie des risques seulement pour un reporting ! Pourquoi faire une analyse de risques ? Dabord parce que le management des risques est entièrement de la responsabilité du management. Mais cest aussi : une occasion de prise de recul et de réinterrogation du management sur « ce qui peut mettre en danger les objectifs de l’entité » une hiérarchisation des activités / domaines à « mettre sous contrôle » un outil structurant pour définir les priorités d’actions un bon outil de revue de processus (partage au sein dun « codir ») un outil de dialogue entre l’entité n et le management n+1 …et aussi un reporting contribuant à la cartographie des risques Groupe Qui fait l’analyse de risque et quand ? A chaque niveau managérial décisionnel d’une entité (Direction, Division, Unité…) Au niveau d’une Direction N-1 Comex, le rythme semestriel est requis pour la cartographie des risques groupe24 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  25. 25. ANNEXE 2 QUELQUES POINTS-CLÉS DES MÉTHODES EDF POUR LA CARTOGRAPHIE DES RISQUES25 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  26. 26. Typologie des risques utilisée – « check list » pour identifier les risques Risques liés à l’environnement externe du groupe INSTITUTIONNEL ET SOCIETE MARCHES CATASTROPHE Marché de gros de Concurrence Catastrophe naturelle Politique / Sensibilité au contexte l’énergie (prix, économique disponibilité, …) Demande clients Législation Accident d’origine Mutation sociétale Taux d’intérêt Mutation externe / Attentat Régulation technologique Positionnement des Actionnaires acteurs Taux de change Contrepartie TRANSVERSES FINANCE Risques opérationnels Fonds propres Éthique et Développement durable Niveau d’endettement Efficacité de l’organisation RESSOURCES HUMAINES Valeur des actifs Conformité Liquidité – Cash Flow Management des hommes Engagements financiers COEUR DE METIER Compétences - Gestion du savoir Opérations sur marchés financiers Opérations sur marché énergie / Gestion du changement Optimisation amont-aval Crédibilité financière Commercial Conflit social - Grève Facturation / Recouvrement AUTRES PROCESS SUPPORTS Santé et sécurité Communication externe Technique Rémunération de la performance Système d’information Atteinte à l’environnement naturel ou humain Intégrité Appros – Achats – Fournisseurs Conduite de projets Recherche et Développement STRATEGIE Stratégie et pilotage PILOTAGE DE LA PERFORMANCE Business model / Processus décision Maîtrise du pilotage de la performance Mode de gouvernmt / Mise en œuvre stratégie Méconnaissance d’engagements Développement externe contractuels Maîtrise des partenariats / JV Contrôle des participations26 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
  27. 27. Les échelles d’évaluation des risques 1 2 3 4 5 Impact faible moyen fort majeur capital (incident de (affectant (affectant (affectant (mettant en jeu parcours) lactivité de lactivité de durablement la survie de lentité sur une lentité sur lactivité de lentité) année) environ 3 ans) lentité) Probabilité 1% 5% 25% 50% 75% (très peu (à ne pas (possible) (tout à fait (très probable) probable) écarter) possible) Niveau de élevé ; correct ; incertain et/ou faible très faible contrôle appréciation appréciation à suscite des voire inexistant fondée sur des dire de inquiétudes bases manager ou objectives : dexpert audits, …27 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012

×