Table Of ContentLa maîtrise des risques,
entre
ambitions
&
réalités
Editorial
F
aire des affaires, c’est prendre des risques. Pas toujours bien calculés ? La plupart des dirigeants et de leurs collabo-
rateurs ont pu expérimenter, peu ou prou, la survenance de certains risques dans leur environnement proche.
Mais survenance n’est pas un terme positif : c’est un euphémisme pour parler de dommages, voire de sinistres.
Or, la plupart d’entre eux peuvent être anticipés au moyen d’un dispositif de maîtrise adapté.
Ce dispositif de maîtrise des risques, pour être et rester pertinent, doit évoluer au même rythme que les enjeux
stratégiques et opérationnels qu’il couvre. Dans un contexte économique toujours plus incertain, son ajustement
continu assure l’efficience des processus de l’organisation et une meilleure protection de ses investissements et de
sa réputation – c’est à dire, in fine, son utilité. Pourtant, la mise à jour de tels dispositifs est rarement la priorité des
décideurs, qui attendent souvent d’être confrontés aux conséquences néfastes d’un sinistre pour remettre à plat les
moyens de protection et débloquer les ressources nécessaires.
C’est donc pour mieux comprendre la réalité de ces dispositifs au sein des organisations importantes en France, et
identifier les initiatives les plus créatrices de valeur, que le cabinet Crowe Horwath Global Risk Consulting et l’Institut
Français de l’Audit et du Contrôle Internes se sont associés pour organiser la troisième édition des Trophées de la
Maîtrise des Risques. Au-delà du recensement des pratiques de marché, un jury d’experts indépendants et représen-
tatifs a aussi eu l’occasion d’examiner les bénéfices apportés par ce dispositif afin d’établir un palmarès distinguant les
meilleures contributions.
Ce livre blanc a pour objectif d’afficher les convictions de décideurs et leaders d’opinion sur ce qu’est, ou ce que doit
être à moyen terme, un dispositif efficace et efficient de maîtrise des risques. Il est en particulier l’occasion d’illustrer
les bénéfices issus du modèle des trois lignes de maîtrise, grâce à la clarification des rôles et responsabilités des acteurs
concernés, leur meilleure collaboration, la synergie des moyens nécessaires, l’accompagnement des différents métiers
de l’organisation, et leur adaptation adéquate aux éléments exogènes.
Vous trouverez également un aperçu des attentes des Comités d’Audit, grâce aux échanges que nous avons eus avec
les présidents et membres de certains comités de la place : vous connaîtrez leur éclairage sur le suivi de l’efficacité du
dispositif par une des instances de gouvernance les plus importantes au sein des organisations.
Nous remercions toutes les entreprises et administrations qui ont pris le temps de répondre à notre questionnaire en
ligne et de nous accueillir pour de nombreux entretiens et échanges. Nous félicitons chaleureusement tous les lauréats
qui ont, résolument, mis en place des dispositifs concrets leur permettant de construire un modèle de maîtrise des
risques adapté aux enjeux actuels et de servir la performance durable de leur organisation.
Jonathan Burnett Farid Aractingi
Crowe Horwath Institut Français de l’Audit
Global Risk Consulting et du Contrôle Internes
Président Directeur Général Président
3
Sommaire
3
EDITORIAL
6
1. L’INTÉGRATION : UN INCONTOURNABLE
1.1. UN RAPPROCHEMENT DES ACTEURS
Le modèle des trois lignes de maîtrise, un socle commun
Le regroupement des acteurs historiques
La deuxième ligne de maîtrise resserre ses rangs
L’Audit Interne : un périmètre élargi
1.2. VERS UNE ASSURANCE « INTÉGRÉE »
Un besoin accru d’informations pertinentes
Une priorité : les enjeux humains
16
2. LA PERFORMANCE AVANT TOUT
2.1. UN COMITÉ EXÉCUTIF DE PLUS EN PLUS SENSIBILISÉ
Une implication renforcée
Le risque : un levier de profitabilité
2.2. LES OPÉRATIONNELS PLUS INVESTIS
Le Comité Managérial des Risques, un interlocuteur clé du middle management
Des référentiels adaptés à la réalité des opérations
Un dispositif aligné avec les attentes
25
3. S’ADAPTER AUX NOUVEAUX ENVIRONNEMENTS
3.1. UN PÉRIMÈTRE ÉTENDU
La prise en compte progressive des risques tiers
Face à la diversité, un pragmatisme nécessaire
3.2. DES CONTRAINTES À NE PAS SOUS-ESTIMER
Une pression sur les ressources…
… et une rationalisation de la démarche
30
UN REGARD SUR LES ATTENTES DU COMITÉ D’AUDIT
32
MÉTHODOLOGIE
34
LE JURY ET LES LAURÉATS DE LA 3ÈME ÉDITION
Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013
4
3
QUESTIONS À JEAN-MARTIN FOLZ
Président du Jury de cette 3ème édition
des Trophées de la Maîtrise des Risques
1
Par quels éléments, selon vous, se différencient
les entreprises les plus matures ?
Ce sont à mon avis celles qui parviennent à ce que tous leurs acteurs considèrent
la maîtrise des risques non plus seulement comme un simple moyen de maîtrise
contre les menaces actuelles mais comme un outil prospectif d’évaluation et de
contrôle des menaces futures, au service de la stratégie de l’entreprise.
2
Quelles évolutions majeures percevez-vous
pour les années à venir ?
Si la maîtrise des risques est maintenant clairement reconnue comme une néces-
sité et si les outils du contrôle interne sont aujourd’hui bien identifiés et largement
employés, les années à venir devraient voir la progression de l’automatisation de
ces outils au sein des systèmes d’information. Mais au-delà des procédures et des
outils, le facteur clé de progrès est et demeurera l’éthique individuelle et collective
des dirigeants et de l’ensemble du personnel.
3
Faut-il évaluer un dispositif et comment
le feriez-vous ?
Le dispositif de maîtrise des risques ne saurait échapper aux règles de bonne
gestion et doit donc faire l’objet d’une évaluation objective de son coût pour
l’entreprise et des avantages qu’il apporte ; si les coûts sont relativement faciles à
cerner, les avantages, qui sont des risques évités, sont certes identifiables mais par
essence difficiles à estimer. Quoi qu’il en soit, la capacité de l’entreprise à prévoir et
maîtriser ses risques apparaît bien comme un élément constitutif de son goodwill.
Jean-Martin Folz, X- Mines, a occupé depuis 1978 des fonctions successives à la direction de plusieurs grands groupes,
notamment à la présidence du directoire du groupe PSA Peugeot Citroën. Il est aujourd’hui administrateur au sein d’Alstom,
Axa, Saint-Gobain, Société Générale et Solvay.
Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013
5
L’intégration :
un incontournable
La maîtrise des risques, entre ambitions et réalités
1. L’INTÉGRATION : UN INCONTOURNABLE
1.1 UN RAPPROCHEMENT DES ACTEURS
Le modèle des trois lignes de maîtrise, +50%
un socle commun des entreprises interrogées
De nombreuses entreprises ont fait le choix d’un modèle ont opéré un rapprochement organisationnel*
de gouvernance organisé autour des 3 lignes de maîtrise*,
chaque ligne ayant un périmètre, une mission et des acti-
vités formellement définis (cf. figure 1). Le regroupement des acteurs historiques
Ce modèle détermine ainsi les rôles et responsabilités de Une nouvelle tendance se confirme cette année :
l’ensemble des parties prenantes au dispositif global de le rapprochement des fonctions sous la supervision d’un
maîtrise des risques. Constituée des opérationnels, la même département.
première ligne de maîtrise met en œuvre la stratégie de
l’entreprise et les moyens nécessaires à la maîtrise de ses Sans compromettre l’indépendance de l’Audit Interne,
activités. En deuxième ligne, les experts animent, struc- le regroupement des fonctions Gestion des Risques,
turent et coordonnent le dispositif. Enfin, la fonction Contrôle Interne et Audit Interne est effectif dans 37%
d’Audit Interne, représentant la troisième ligne se focalise des organisations interrogées (cf. figure 2). Il se traduit
sur l’évaluation indépendante de celui-ci. généralement par un partage élargi des référentiels et des
plans correctifs.
Les bénéfices recherchés d’un tel modèle : responsabili-
ser les acteurs à tous les niveaux de l’organisation, clari- Le rapprochement entre l’Audit Interne et la Gestion des
fier leurs rôles et responsabilités dans le fonctionnement Risques, comme dans 26% des entreprises, favorise princi-
du dispositif, garantir la prise en compte des spécificités palement l’exploitation de la cartographie des risques par
de chacun et démontrer l’importance d’une approche l’Audit Interne.
globale. Le rôle des fonctions support devient prépondé-
rant : souvent en première ligne (le choix adopté par le
modèle américain de l’IIA), elles peuvent en fonction de
l’organisation être positionnées en seconde ligne.
* Source : étude Crowe Horwath Global Risk Consulting - IFACI
Figure 1
Le modèle des 3 lignes de maîtrise *
Conseil d’Administration / Comité d’Audit
Direction Générale
1ère ligne de maîtrise 2ème ligne de maîtrise 3ème ligne de maîtrise
S.I. G
e
s
A tio
R.H. s n
Mopaénraagtieomnneenlt JFuirnidainqcuee surance des Risques IAntuedrnit e Audit exterRégulateu
nr
es
C
HSE C on
on trô
fo le
dCeo Gnetrsôtlieo n rmité Intern
e
...
*tel que défini par l’IFACI et l’AMRAE Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013
(Association pour le Management des Risques et des Assurances de l’Entreprise)
7
La maîtrise des risques, entre ambitions et réalités
1. L’INTÉGRATION : UN INCONTOURNABLE
Enfin, dans le cas d’un regroupement du Contrôle Gestion mise en avant par une récente étude de l’IFACI
Interne avec la Gestion des Risques (13% des entreprises), (voir prise de position IFACI / DFCG « Pour une
la Gestion des Risques bénéficie souvent d’une meilleure contribution conjointe et renouvelée à la performance
lisibilité sur le niveau de maîtrise des risques, tandis que des organisations »). Celles-ci mentionnent par exemple
le Contrôle Interne améliore la mise sous contrôle des l’intérêt mutuel d’une fiabilisation des données par
risques identifiés par la cartographie. le Contrôle Interne et la mise en lumière de zones de
vulnérabilités par le Contrôle de Gestion. Toutefois,
d’autres opportunités restent à concrétiser notamment en
La deuxième ligne de maîtrise resserre matière de tableau de bord commun capable d’associer
ses rangs les Key Performance Indicators aux Key Risk Indicators.
Ce rapprochement observé sur les fonctions historiques
tend à s’élargir aux autres acteurs de la seconde ligne Mais cette volonté d’identifier de nouvelles syner-
de maîtrise. Ethique, Conformité, Qualité, Contrôle gies au sein de la seconde ligne de maîtrise est surtout
de Gestion, Sécurité… les points de convergence sont perceptible pour les fonctions dont les objectifs s’ins-
nombreux. Ils appuient leurs démarches sur une analyse crivent dans le long terme : Ethique, Conformité, Déve-
transversale de l’entreprise, participent à la production loppement Durable.
de référentiels, et fournissent des éléments de comparai-
son entre les entités opérationnelles. L’élaboration d’un Plusieurs répondants mentionnent ainsi les attentes de
référentiel de risques Projets chez GDF SUEZ en est la leur organisation en matière d’approche environnemen-
parfaite illustration (cf. Belle Histoire). tale (émissions de gaz, consommation de matières pre-
mières, consommation d’énergie, gestion des déchets,
Notre étude révèle ainsi que 16% des répondants dépenses de protection de l’environnement…) et
développent une approche commune avec la Qualité sociétale (égalité professionnelle, organisation du temps
(cf. figure 3). Orientée « client », l’approche Qualité de travail, conditions d’hygiène et de sécurité, emploi
permet par exemple au Contrôle Interne de mieux et insertion de travailleurs en situation de handicap…).
intégrer les activités opérationnelles de l’entreprise et Les dispositifs globaux de maîtrise des risques sont alors
d’optimiser le périmètre de couverture de chacune des confrontés à deux enjeux majeurs : mettre en œuvre des
deux fonctions au profit d’une meilleure couverture actions concrètes pour être conformes aux engagements
d’ensemble. pris par leur direction et communiquer efficacement sur
l’effort entrepris.
Certaines des organisations interrogées confirment
l’interaction entre le Contrôle Interne et le Contrôle de
Figure 2
Regroupements des fonctions de la maîtrise des risques
13%
Audit Interne, Gestion des Risques et Contrôle Interne
Audit Interne et Gestion des Risques
24% 37%
Audit Interne et Contrôle Interne
Contrôle Interne et Gestion des Risques
26%
Source : étude Crowe Horwath Global Risk Consulting - IFACI
Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013
8
La maîtrise des risques, entre ambitions et réalités
1. L’INTÉGRATION : UN INCONTOURNABLE
15% de nos échanges avec un panel de membres de Comités
des entreprises interrogées
d’Audit (cf. Regard sur les attentes des Comités
déclarent partager leur référentiel avec soit
d’Audit). Et au-delà d’un positionnement encore
la Conformité, l’Ethique, la Qualité
hétérogène des acteurs sur ce sujet épineux de l’indé-
ou l’Environnement, Santé et Sécurité*
pendance, 75% des départements d’Audit Interne
assistent déjà d’autres départements dans leur
démarche d’optimisation des processus et 34% dans les
L’évolution de la composition du Comité Managé-
projets stratégiques de l’entreprise (cf. figure 4).
rial des Risques est un autre révélateur du rapproche-
ment au sein de la seconde ligne de maîtrise. En effet,
Les Directions de l’Audit Interne sont donc en contact de
l’intégration d’un plus grand nombre de représentants
plus en plus régulier avec les opérationnels et malgré les
des fonctions de la seconde ligne de maîtrise contri-
avis divergents sur les conditions de ce rapprochement,
bue à ce rapprochement. La vision sur les risques
la visibilité sur le degré de maîtrise des opérations en est
significatifs à appréhender est élargie et favorise une
alors améliorée.
allocation plus pertinente des ressources disponibles.
L’évolution des profils des Auditeurs Internes illustre
L’Audit Interne : un périmètre élargi
également cette tendance. Ainsi, si 85% des entreprises
Par son rôle, l’Audit Interne dispose d’une large connais-
disposent de profils généralistes (cf. figure 5), une part
sance de l’organisation, de ses collaborateurs et fait
significative est réservée à des profils plus opérationnels.
souvent office de référent.
C’est une volonté claire de disposer de spécialistes tout
en conservant la rigueur et les fondamentaux méthodo-
Mais si la tendance générale au rapprochement des fonc-
logiques de l’audit comptable et financier.
tions de Gestion des Risques, Contrôle Interne et Audit
Interne est compréhensible, la nécessaire indépendance
Autre tendance forte : l’intégration de spécialistes de la
de la fonction continue de provoquer certaines appré-
fraude dans 26% des cas (cf. figure 5). Thème d’actua-
hensions.
lité depuis quelques années, la spécificité des travaux à
mettre en œuvre nécessite le recrutement de profils
Au-delà des conditions à mettre en œuvre pour la
relativement rares ou la mise à disposition de certaines
préserver, certaines qualités restent immuables : objecti-
ressources pour les programmes de certification inter-
vité d’esprit, force de caractère et capacité à dire « non ».
nationaux (Certified Fraud Examiner). ■
Des critères qui semblent largement respectés au vue
* Source : étude Crowe Horwath Global Risk Consulting - IFACI
Figure 3
Partage des référentiels de maîtrise des risques entre départements
47%
27%
17%
16%
14% 13% 13%
avec la avec avec avec entre la Gestion entre l’Audit entre l’Audit Interne,
Conformité l’Ethique la Qualité l’Environnement des Risques et le Interne et la Gestion des
la Santé Contrôle Interne le Contrôle Risques et
et Sécurité Interne le Contrôle Interne
Source : étude Crowe Horwath Global Risk Consulting - IFACI
Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013
29
La maîtrise des risques, entre ambitions et réalités
1. L’INTÉGRATION : UN INCONTOURNABLE
Figure 4
Périmètre d’intervention de l’Audit Interne
Audit de projets transverses
81%
Assistance à
75% l’optimisation
des processus
Assistance aux
34%
projets stratégiques
PERIMETRE DE L’INTERVENTION
DE L’AUDIT INTERNE
Evaluation de la maturité
63% du dispositif de gestion
des risques
Audit pre-et
43%
post-acquisition
62%
Audit de gouvernance IT
Source : étude Crowe Horwath Global Risk Consulting - IFACI
Figure 5
Part des entreprises disposant de profils :
15% Gouvernance 62% Provenant des Opérations
15% Santé, Sécurité et 75 % Comptabilité et Finance
Gestion Environnementale
2 6 % Lutte contre la fraude 8 5 % Généralistes
et la corruption
3 7 % Systèmes d’information
Source : étude Crowe Horwath Global Risk Consulting - IFACI
Copyright : Crowe Horwath Global Risk Consulting et IFACI, 2013
10
Description:Par les experts de Korn Ferry. L'Agilité d'Apprentissage : catalyseur du succès du Directeur de l'Audit Interne. 212. Matière première. The « Right Stuff
