La Compliance : l’alliée insoupçonnée 4e ÉDITION
AVEC LA COLLABORATION DE
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
REMERCIEMENTS L‘ensemble des collaborateurs de Crowe Risk Consulting remercie tous les contributeurs de la 4ème édition des Trophées de la Maîtrise des Risques : Les membres du Jury, Denis Ranque, Président du Conseil d’administration d’AIRBUS GROUP, Président du Jury Alain Decombe, Vice-Chairman en charge des Opérations Internationales et Managing Partner du bureau de Paris de Dechert LLP Dominique Laymand, Senior Vice-President, Chief Ethics and Compliance Officer d’Ipsen Didier Retali, Directeur de l’Audit, des Risques et du Contrôle Interne d’Engie Florence Vincent, Directeur de la Qualité, de l’Audit et de la Maîtrise des Risques du Groupe Michelin Farid Aractingi, Président de l’IFACI et Philippe Mocquard, Délégué général de l’IFACI Jacques Sivignon, Associé Contentieux Complexes de Dechert LLP et Agnès Salfray, Directrice Marketing et Business Development de Dechert LLP Jonathan Burnett et Sébastien Duchesne de Crowe Risk Consulting, pour la rédaction des résultats de cette étude.
03
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
TABLE DES MATIÈRES 3 4 5 6
Remerciements Table des matières Éditorial Trois questions à Denis Ranque
7
Chapitre I. La compliance, bête noire des comités d’audit
8
Un risque nouveau ?
8
Un contexte international complexe et exigeant
8
Un conseil d’administration préoccupé
9
Le décalage entre dispositifs internes et exigences externes
10
La culture d’entreprise au révélateur
10
Les freins à la mise en place d’une politique de conformité.
12
L’ambition de la quadrature du cercle
12
L’impact de l’audit interne
12
Le mouton à cinq pattes
13
Éthique et cohérences interculturelles
15
Chapitre II. L’exhaustivité, nouvelle aspiration
16
De l‘art d‘être exhaustif
16
La fin des exceptions
16
Le grand écart du comité d’audit
18
Couverture des risques locaux
18
Quels outils face a cette ambition ?
18
Intégration des fonctions
19
Inclusion de nouvelles problématiques
20
L’audit interne : vers plus de valeur ajoutée
24
Chapitre III. L’agilité, condition de la pérennité des organisations
25
Résilience et pérennité
25
Le risque catastrophique
25
Le plan de continuité d’activité
27
Inévitables tests
28
L’appui du top management
28
Maîtrise des risques et prise de décision
28
Savoir décider vite
29
L’ organisation apprenante
29
Amélioration continue
29
Adaptabilité et survie
32 34 37 39
Conclusion Jury et lauréats de la 4e édition Méthodologie Les organisateurs
04
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
ÉDITORIAL Comment un Président s’assure-t-il que les orientations stratégiques du Conseil d’administration n’ont pas été dénaturées par le dispositif de fixation des objectifs au sein de l’entreprise ? Comment une Direction Générale s’assure-t-elle qu’elle est bien informée lorsqu’une filiale, une fonction ou un individu, ne suit pas les instructions du groupe ? Simples mais fondamentales, ces questions ont pris une importance nouvelle ces dernières années, sous la pression croissante des régulateurs et des autres parties prenantes, qui interpellent directement les dirigeants de groupes internationaux sur les défaillances de leurs filiales, voire de leurs partenaires. Interpellent ou bien accusent ? Car si cette responsabilité est inhérente à la fonction, elle a augmenté avec la croissance des organisations et l’ouverture des frontières, et s’est complexifiée avec les montages d’optimisation fiscale, les innovations des partenariats, et l’externalisation des processus. Dans un contexte de mondialisation de la concurrence, de confrontation des cultures et d’activisme de l’actionnariat, le coût des dispositifs de protection, forcément ambitieux, s’envole, tout en étant naturellement et systématiquement remis en cause. La Compliance, c’est d’abord la conformité aux lois et aux régulations de toutes les juridictions où une entreprise exerce son activité, ce qui est en soi un défi technique ambitieux. Mais c’est aussi la conformité interne, qui permet à un patron de s’assurer de l’alignement de l’entreprise, et que les exceptions à ses instructions lui sont remontées promptement. Cela est indispensable pour permettre à une organisation, dans un contexte mondialisé de plus en plus compliqué et dangereux, de maîtriser les risques inhérents au monde des affaires et à la concurrence internationale. C’est la qualité du dispositif de maîtrise des risques qui fera la différence entre les entreprises, et leur permettra soit de pousser un avantage concurrentiel, soit d’être éliminées d’un marché. C’est pourquoi, pour cette quatrième édition des Trophées de la Maîtrise des Risques, l’IFACI et Crowe Risk Consulting ont décidé de se pencher non seulement sur les thèmes plus classiques des métiers de la maîtrise des risques – indépendance et collaboration des fonctions, irruption du numérique –, mais plus particulièrement sur les dispositifs de conformité, qui sont d’abord des organisations et des hommes, et ensuite des méthodes et des outils, dont l’engagement et l’efficacité impactent directement la performance durable des entreprises.
Farid Aractingi
Jonathan Burnett
Président, IFACI
Président-directeur général, Crowe Horwath Global Risk Consulting
05
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
TROIS QUESTIONS À DENIS RANQUE Par quels éléments, selon vous, se différencient les entreprises les plus matures ? Les entreprises les plus matures sont pour moi celles où les dirigeants arrivent à faire rentrer les meilleures pratiques dans les processus opérationnels de l’entreprise et dans sa culture. À tous les échelons, quand un manager décide, il le fait en prenant en compte les risques, même s’il ne documente pas formellement ces derniers. Pour ce faire, l’alignement avec la stratégie de l’entreprise et les bénéfices opérationnels concrets nécessitent d’être clairement explicités, entendus et acceptés. En matière de risque, de contrôle, de conformité ou d’audit, les experts dans les organisations matures arrivent à se faire entendre et respecter.
Quelles évolutions majeures percevez-vous pour les années à venir ? La maîtrise des risques implique nécessairement de nombreuses fonctions et doit répondre à beaucoup d’exigences différentes dans un monde plus international, plus connecté et plus complexe ; en un mot, un monde où les risques s’accroissent et où les défaillances ont des conséquences de plus en plus graves. L’évolution majeure, pour moi, sera de rassembler ces fonctions, de simplifier et de fluidifier ces processus, plutôt que de multiplier le poids sur les entreprises. Par ailleurs, même si le jugement humain et l’expertise restent les ingrédients essentiels pour la bonne prise de décision, on doit sans cesse apprendre à exploiter intelligemment des quantités de données de plus en plus massives pour conforter l’expérience et l’intuition.
Comment évaluez-vous l’efficacité du dispositif ? On reconnaît une entreprise qui maîtrise efficacement ses risques à son succès sur ses marchés dans la durée. Et elle peut se doter de beaucoup de moyens techniques et humains pour y arriver. De mon point de vue, la gouvernance d’une entreprise, l’attention que ses dirigeants portent à l’intégrité de son management et de ses salariés, la culture de collaboration, sa motivation sur le long terme mais aussi son agilité sont souvent les éléments déterminants. Au final, un « dispositif » efficace se traduit par la capacité d’une entreprise à atteindre ses buts, en anticipant et en contrôlant ses risques là où ses concurrents trébuchent voire échouent.
06
LA COMPLIANCE, BÊTE NOIRE DES COMITÉS D’AUDIT
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
CHAPITRE N°1
07
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
LA COMPLIANCE, BÊTE NOIRE DES COMITÉS D’AUDIT forme brute, les sièges des entreprises sont sommés d’expliquer la situation. Une situation qui met beaucoup plus longtemps à remonter au travers des différentes couches hiérarchiques internes – et nécessite souvent une enquête interne plus profonde et longue que celle dispensée par les journalistes amateurs ou professionnels à l’origine de l’information.
Dans cette étude, nous entendons par Compliance le fait de s’assurer que le management et les collaborateurs suivent les directives données par le Conseil d’Administration tout en respectant les lois, les règlementations et les valeurs de l’organisation. La Compliance fait aujourd’hui partie d’une des principales préoccupations des comités d’audit. Les dispositifs de maîtrise des risques sont-ils pertinents face à ce sujet ? Quels freins peuvent empêcher le déploiement d’une politique de conformité ?
Par ailleurs, l’arrivée à maturité des sanctions internationales oblige les appareils législatifs nationaux à se comparer, non seulement dans leur conception, mais aussi dans leur application. Comme l’exemple de BNP Paribas a pu le démontrer en 2015, le pouvoir politique ne peut plus défendre d’exceptions nationales sans avoir à justifier sa propre absence d’investigations et de poursuites des cas de non-conformité des champions nationaux.
UN RISQUE NOUVEAU ? Un contexte international complexe et exigeant
Un Conseil d’administration préoccupé Sans réelle surprise, les risques de fraude et de corruption (65%), et de non-conformité (63%) sont les deux plus surveillés par les comités d’audit (cf. Figure 1). Un risque de fraude entraînant un problème de Compliance, le niveau d’attention porté par le comité d’audit (ou des instances équivalentes) est donc similaire et important. Le risque de non-continuité des activités, bien que majeur, n’arrive qu’en troisième place (52%).
L’actualité des cinq dernières années a montré aux multinationales françaises un univers des risques de plus en plus chargé et de plus en plus complexe. Le « rétrécissement » de la planète porte maintenant à la connaissance immédiate des clients, des salariés et des régulateurs des incidents locaux qui peuvent faire surface à l’autre bout de la Terre. Là où ces incidents émergent, au sein des médias occidentaux dans leur
FIG 1. RISQUES LES PLUS SUIVIS PAR LE COMITÉ D’AUDIT
08
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
FIG 2. PRINCIPAUX FACTEURS DE NON-CONFORMITÉ
Le risque de réputation, quant à lui, n’est que le reflet des conséquences, parfois exceptionnelles, des autres risques de l’organisation.
Conjugué au poids de la culture de l’organisation et des règles ou procédures internes inadaptées (cf. Figure 2), ce facteur souligne la nécessité d’un dispositif bien conçu, soutenu par la direction et parfaitement communiqué dans l’organisation.
Contrairement à ce que l’activité médiatique des derniers mois pouvait laisser présager, l’évolution constante du cadre règlementaire est jugée comme un facteur de non-conformité plus important que l’augmentation du nombre d’enquêtes des autorités de régulation (cf. Figure 2) – on pense ici aux institutions américaines (SEC, DOJ) et européennes (Direction de la concurrence) – ou la hausse des sanctions.
Lorsqu’ils construisent (ou maintiennent) un dispositif de Compliance, les professionnels de la maîtrise des risques ont d’abord pour principal souci de produire un dispositif agile. Ce dernier doit être en permanence le miroir de lois et régulations évoluant avec les changements politiques de chaque pays dans lequel l’organisation est implantée.
Ce paradoxe peut s’expliquer par le fait que les répondants à l’enquête des Trophées sont en très grande majorité des professionnels des métiers de la maîtrise des risques. Si ces derniers sont plus inquiets de la capacité de leur organisation et de leur dispositif à suivre l’évolution des lois et règlements que de l’augmentation de la « menace » des autorités de régulation, c’est probablement la manifestation du respect fondamental qu’ont ces professionnels des cadres légaux et réglementaires auxquels leur organisation est assujettie.
Autre préoccupation, le fait que la culture d’entreprise et de sa direction puisse pousser à la faute (cf. Figure 2) amène plusieurs réflexions. Les menaces ainsi projetées sur les organisations françaises restent une question récente. Même si des lois comme le Foreign Corrupt Practices Act (FCPA) existent depuis 1977, le Department of Justice américain n‘en poursuit l’application que récemment. Du côté européen, les institutions se construisent et s’organisent par étape, en commençant par traiter certains sujets (comme la concurrence), avec pour ambition de développer leur bras armé sur d’autres sujets, au fur et à mesure que leurs moyens le permettront.
Le décalage entre dispositifs internes et exigences externes Première source d‘inquiétude des organisations : le décalage des dispositifs de contrôle et d’audit internes par rapport à l’évolution permanente des différents cadres règlementaires. À titre d’exemple, les problématiques de transfert de données entre l’Union Européenne et les États-Unis : après que la Cour de justice européenne ait invalidé le programme de Safe Harbor le 6 octobre 2015, un nouvel accord – le UE-US Privacy Shield – signé le 2 février 2016 vient à nouveau modifier les termes de la protection des données personnelles.
La troisième inquiétude de la place, des règles ou procédures internes inadaptées, trop complexes ou difficilement accessibles, est très proche de ce dernier point. Il s’agit là aussi d’obstacles à la bonne mise en pratique de programmes de contrôle interne, même lorsqu’ils sont très bien conçus. L’exercice est de rendre simples des réglementations complexes. Il s’agit surtout de trouver le dénominateur commun
09
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
FIG 3. PRINCIPAUX FREINS À LA MISE EN PLACE DU DISPOSITIF DE CONFORMITÉ
FIG 4. PENSEZ-VOUS QUE VOTRE ORGANISATION OU VOS DIRIGEANTS VONT ÊTRE EXPOSÉS À PLUS DE POURSUITES / SANCTIONS QU’ILS NE LE SONT ACTUELLEMENT ?
entre les lois et règlements de différents pays et des politiques internes. L’articulation des programmes de sensibilisation et de formation sur ces règles internes est là aussi un exercice difficile. Leur déclinaison dans différentes langues et cultures est non seulement longue et complexe, mais aussi coûteuse (cf. Belle Histoire Sonepar).
LA CULTURE RÉVÉLATEUR
D’ENTREPRISE
AU
Les freins à la mise en place d’une politique de conformité Les professionnels de la maîtrise des risques se heurtent aux deux difficultés principales à la mise en place d’une politique de Compliance (cf. Figure 3) : sa perception administrative (57%), et la disponibilité des opérationnels (55%). Ces deux obstacles reflètent des freins naturels de conduite du changement liés aux initiatives aussi larges et ambitieuses de la Compliance aux règles internes et externes.
L’accroissement du pouvoir des autorités de régulation représente un facteur de Compliance encore significatif mais reste logiquement en retrait par rapport aux autres facteurs, dans la mesure où le niveau de pouvoir des autorités ne change ni le contenu ni la validité des règles qu’elles font respecter. Seuls 7% des répondants à l’enquête estiment que l’exposition aux sanctions internationales va diminuer, 41% des répondants voient cette exposition rester stable et 52% pensent qu’elle pourrait augmenter (cf. Figure 4).
Pour convaincre les opérationnels de la valeur d’une politique de Compliance, et pour les encourager à y consacrer du temps, les experts du risque doivent créer les conditions propices au changement, à savoir :
Face à cet environnement plus exigeant, les professionnels des risques gardent en très grande majorité confiance en leur dispositif : 86% (cf. Figure 5) d’entre eux sont confiants ou très confiants dans le fait que leur Direction Générale soit rapidement informée de tout incident aux conséquences majeures.
• L’appui de la Direction Générale et l’intégration de la notion de Compliance dans la gestion de la performance ; • Les ressources nécessaires en temps, compétences et en argent ; • Les bénéfices du changement clairement explicités et communiqués.
10
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
Comme le notent près d’un professionnel de la maîtrise des risques sur deux (cf. Figure 3), la culture d’entreprise arrive en troisième place derrière ces deux éléments (pour 51% des répondants) : la perception que peut avoir le reste de l’entreprise et la disponibilité des opérationnels sur certains sujets plus que sur d’autres, reflètent des valeurs communes.
BELLE HISTOIRE Sonepar Du pragmatisme face à la décentralisation Sonepar, leader mondial de la distribution de matériel électrique et de services associés est un groupe familial, extrêmement décentralisé et en croissance internationale très forte. Or, le groupe a favorisé une démarche de conformité basée sur un investissement important et récent au niveau central. Compte-tenu de la culture d’entreprise, une approche pragmatique s’impose. Ce pragmatisme passe par une communication et une sensibilisation fortes, tout en privilégiant dans la gouvernance les structures légères et la subsidiarité.
La culture d’entreprise est ainsi une composante fondamentale du succès ou de l’échec de programmes (cf. Figure 2) aussi étendus qu’un dispositif de maîtrise des risques. Lorsque ce dernier exige de la direction et des collaborateurs de nouvelles attitudes, la résistance au changement est forte, surtout si cette résistance est relayée par des messages ou des attitudes contradictoires de la part de la direction. Même un silence sur ce sujet est souvent interprété par les collaborateurs comme un signe que le programme de Compliance est moins prioritaire face aux autres messages « concurrents » sur l’atteinte d’objectifs de vente ou de rentabilité.
Le Sonepar International Legal and Compliance Committee (SILCC) a pour objectif de suivre les thématiques de conformité, éthique, sécurité et gouvernance. Il regroupe les juristes à travers le monde, et il s’appuie sur le réseau social interne « Yammer » afin de partager les évolutions législatives des différents pays, de faciliter les formations et de favoriser les synergies.
Ce concept large, englobant les valeurs, les croyances, les attitudes, l’histoire, la stratégie et la personnalité des dirigeants, est le cadre dans lequel s’inscrit naturellement la maîtrise des risques. Ce dernier doit être en cohérence avec la culture de l’entreprise et s’appuyer sur ce qui en fait les points forts (cf. Belle Histoire Valeo).
Aussi, sous l’impulsion du SILCC, Sonepar dispense une solide formation et axe des communications sur la conformité, notamment sur le droit de la concurrence, de la sécurité et de la corruption. Vidéos, dépliants, directives, formations physiques et modules d’e-learning sont déployés à travers le monde. À titre d’exemple, deux serious games ont été déployés en 2015 (en 27 langues) pour sensibiliser le personnel sur la protection de l’information.
Sans surprise, la Compliance figure rarement parmi les objectifs stratégiques des organisations. Ces derniers sont plus souvent articulés autour de l’innovation, des parts de marché, du chiffre d’affaires ou du résultat, vecteurs de survie et de réussite de l’entreprise privée. La Compliance peut être perçue – et de fait est encore vue dans de nombreuses entreprises – comme un obstacle à passer dans la course concurrentielle, plutôt que comme le respect des règles du jeu de l’économie de marché.
Bien que pragmatique, la maîtrise des risques est aussi soutenue par l’implication forte du top management : le Sonepar Executive Committee suit des sujets de conformité à chaque réunion, le Directeur Général Groupe et le Directeur Général Délégué participent systématiquement à l’ensemble des Conseils d’administration des 20 Strategic Operating Areas (SOA) et des pays majeurs où les risques sont à l’ordre du jour de façon permanente.
Là où elle peut être une force motrice extraordinaire dans ses aspects positifs, une culture d’entreprise qui perçoit l’action des régulateurs comme des obstacles, courra toujours le risque de voir certains employés ou dirigeants contourner la haie plutôt que la sauter. La nature omniprésente de la culture d’entreprise rendra alors d’autant plus difficile l’installation d’une culture de la Compliance et les programmes du dispositif de maîtrise des risques qui y sont liés sont voués à l’échec sur le long terme tant que cette culture n’a pas changé.
Afin d’assurer une cohérence et une dynamique commune, les interactions sont nombreuses et régulières entre les différents spécialistes de risque et de contrôle. Mais l’entreprise privilégie l’agilité et le pragmatisme au formalisme, pour faire du contrôle des risques et de la conformité des sujets prioritaires pour ses managers entrepreneuriaux.
11
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
L’AMBITION DE LA QUADRATURE DU CERCLE Le mouton à cinq pattes
TROPHÉE DE LA MEILLEURE CONTRIBUTION DU CONTRÔLE INTERNE
BELLE HISTOIRE Valéo
Pour répondre aux enjeux liés à la forte croissance du groupe Valeo, plusieurs initiatives ont été lancées pour renforcer la valeur ajoutée du dispositif de contrôle interne et la culture “risques et conformité“. En s’appuyant sur un sponsorship jamais démenti du Directeur Général, mais aussi du Directeur Financier, le groupe dispose ainsi aujourd’hui en matière de contrôle interne :
• de comités de pilotage du contrôle interne pays présidés par les directeurs nationaux ;
• d’un processus d’auto-évaluation rigoureux, exigeant et largement relayé au travers d’un compliance rate présent au sein du dashboard du système central de reporting financier (GPS) ; • d’un Award contrôle interne remis tous les ans par le Directeur Général à l’occasion du séminaire réunissant les leaders du Groupe. Les interactions nombreuses entre le département Audit et Contrôle Interne, et le département Éthique et Conformité assurent une cohérence d’ensemble entre les campagnes de sensibilisation, les formations, le traitement des alertes, les référentiels et le suivi de leur efficacité (au travers du plan d’audit). Le tone at the top a ainsi permis d’insuffler une dynamique commune, à l’origine de l’adhésion des opérationnels aux exigences de conformité du groupe.
Les failles exposant à des sanctions internationales (cf. Figure 6) montrent bien la nécessité d’un dispositif de maîtrise des risques géographiquement exhaustif. Les deux premiers éléments remontés, protection des données (49%) et droit de la concurrence (29%) illustrent des problématiques très réglementées en Europe. Le troisième élément, la corruption (24%), bien que réglementé par de nombreuses institutions internationales, est majoritairement poursuivi par le ministère de la justice américain. La règlementation environnementale (24%), même si elle touche un thème très global, est surtout poursuivie localement, tout comme les questions de réglementation fiscale (22%) et de droit du travail (21%), qui restent très hétérogènes d’un pays à l’autre. La propriété intellectuelle, les embargos et le blanchiment d’argent sont quant à elles des problématiques régulées par des instances internationales. L’enquête reflète donc la nécessité d’un dispositif de conformité exhaustif, couvrant non seulement les exigences des juridictions locales, mais aussi celles des institutions américaines, européennes et internationales. Renforcer la protection des données sensibles de l’organisation, ses salariés, ses clients et ses parties prenantes, et à l’échelle internationale devient prioritaire !
L’impact de l’audit interne Il est important de lier les difficultés rencontrées dans l’établissement des programmes de Compliance à l’implication de l’audit interne. Si la revue du dispositif de Compliance est incluse dans le plan d’audit pour 77% des organisations (cf. Figure 8), seuls 43% des directeurs d’audit interne assistent aux comités de Compliance. Par ailleurs, le département d’audit n’est systématiquement informé des incidents signalés que dans 37% des organisations. De plus, seuls 29% des auditeurs internes suivent une formation dédiée à la Compliance. Ce dernier chiffre limite l’impact d’inclure de tels risques dans le plan d’audit : la capacité des auditeurs à détecter les anomalies, à les apprécier et à émettre des recommandations pertinentes ne peut qu’être limitée, et d’autant plus dans un contexte d’évolution constante du cadre réglementaire (cf. Figure 2). La collaboration des fonctions autour de la Compliance devient alors un enjeu majeur (cf. Belle Histoire Renault). Comme le confirme les axes d’amélioration de l’audit interne (cf. Figure 14), il est donc attendu une meilleure capacité à détecter la fraude, à réaliser des audits spécifiques, ainsi que plus de flexibilité et de diversité des missions d’audits.
12
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
FIG 5. QUEL EST VOTRE DEGRÉ DE CONFIANCE SUR LE FAIT QUE VOTRE DIRECTION GÉNÉRALE SOIT RAPIDEMENT INFORMÉE DE TOUT ÉVÈNEMENT DE NON-CONFORMITÉ MAJEUR ?
FIG 6. NON-CONFORMITÉS MAJEURES EXPOSANT À DES SANCTIONS INTERNATIONALES
FIG 7. NIVEAU DE MATURITÉ DES COMPOSANTES DU DISPOSITIF DE CONFORMITÉ
différences culturelles d’un pays à l’autre. C’est une complication qui est particulièrement ressentie dans les programmes de conformité, qui en suivant la législation d’une juridiction particulière, suivent aussi ses valeurs et sa culture. Lorsque cette réglementation doit être appliquée et suivie dans les opérations de l’entreprise dans un autre pays à la culture radicalement différente, le choc des cultures amène souvent à remettre en cause la pertinence des politiques et procédures.
En travaillant sur l’ensemble de ces points, l’audit interne est en mesure de démontrer un impact croissant dans l’efficacité des programmes de Compliance.
Éthique et cohérences interculturelles En soulignant la maturité de leurs composantes d’organisation et de méthodologie (cf. Figure 7), les entreprises françaises démontrent la bonne compréhension des enjeux des politiques de conformité. La communication et la technologie sont par contre deux composantes du dispositif dont la faiblesse relative illustre bien les difficultés de mise en place réelle des politiques choisies.
Si on étend cette difficulté à l’ensemble des procédures et aux instructions de la direction, qui sont elles aussi empreintes à des degrés variés de la culture du siège, la question se pose : est-il vraiment possible de développer une éthique internationale ?
Dans le cadre des organisations multinationales, la mise en place d’une culture d’entreprise et son « pilotage » sont souvent rendus difficiles par les
13
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
FIG 8. COUVERTURE DU RISQUE DE NON-CONFORMITÉ
Une charte éthique et un code de conduite ne peuvent être respectés dans tous les pays du monde qu’en choisissant une forme ou une autre d’adaptation : depuis la simple traduction du code sans le modifier jusqu’à l’adaptation de ce code à chaque pays.
La déclinaison de la politique de conformité, soutenue par un plan de communication efficace et son déploiement au travers d’outils pertinents, sont des efforts lourds, qui peuvent parfois être sous-estimés. Cependant, la prise en compte des valeurs locales assure un degré d’adhésion plus important des employés.
BELLE HISTOIRE Renault
La Direction juridique est associée à la démarche, en particulier pour l’identification des risques en cas de non-conformité. Elle apporte naturellement son support aux directions prescriptrices et localement dans les entités.
Le contrôle interne, au carrefour des enjeux de conformité
Le département Contrôle Interne se trouve ainsi au carrefour des expertises du groupe pour jouer pleinement son rôle : accompagner les opérationnels dans la maîtrise de leurs risques. La maturité des dispositifs est évaluée selon différents axes : l’organisation et la gouvernance, les réseaux de correspondants, les référentiels externes et internes, la communication et la formation, les contrôles. Les domaines où les risques sont les plus critiques en cas de nonconformité sont évalués plus fréquemment.
Comme dans beaucoup de secteurs soumis à de fortes contraintes réglementaires, Renault s’appuie sur la capacité de ses experts à travailler ensemble pour faire face aux nombreux enjeux de conformité règlementaire, qu’ils soient techniques, sociaux, environnementaux, commerciaux, ou administratifs et financiers. Un dispositif animé par la Direction de la Conformité réglementaire, rattachée à la Direction du Contrôle Interne, évalue la robustesse des dispositifs en place et relaie ainsi auprès d’un comité managérial dédié – le Comité Ethique et Conformité – les principaux risques de non-conformité.
Au-delà du Comité Ethique et Conformité, le partage du niveau d’exposition par la direction Contrôle Interne avec les directions du Management des risques et de l’Audit Interne est facilité par le regroupement de l’ensemble de ces directions au sein d’un même département – la DAMRO (la Direction de l’audit, du management des risques et de l’organisation).
Pour répondre à cet objectif, la directrice de la Conformité réglementaire peut compter sur un réseau d’une vingtaine de directions prescriptrices chargées d’organiser la veille réglementaire sur leur domaine, de développer les référentiels associés et de les déployer au sein des entités opérationnelles.
14
L’EXHAUSTIVITÉ, NOUVELLE ASPIRATION
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
CHAPITRE N°2
15
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
L’EXHAUSTIVITÉ, NOUVELLE ASPIRATION celui de responsabilité étendue. L’enjeu est identique pour les nouvelles acquisitions d’activités (cf. Belle Histoire d’Atos).
Les parties prenantes des entreprises exigent une maîtrise plus large et plus profonde de leurs activités. Il est devenu difficile pour les dirigeants de justifier leur ignorance d’une activité mineure à l’autre bout de la planète. Aussi, développer l’exhaustivité de son dispositif de maîtrise des risques est devenu incontournable.
De la même manière, le dispositif doit justifier les cas d’exception qui étaient tolérés auparavant pour des raisons de non-matérialité ou d’impératif stratégique : les responsables des lignes de maîtrise sont tenus d’avoir une connaissance suffisante de ces activités hors périmètre pour apprécier les risques qui y sont liés, les suivre et pouvoir alerter le management si nécessaire (cf. Belle Histoire Airbus).
Dans le contexte actuel de régulation internationale, et de partage mondial et instantané d’informations, les Directions Générales ont besoin de s’assurer qu’elles maîtrisent toutes leurs opérations, qu’il s’agisse de filiales très éloignées du siège, d’activités non significatives, de sociétés conjointes, de business units prometteuses sur des métiers nouveaux, ou même d’activités de recherche et développement. L’impact d’un acte de corruption, d’un produit défectueux, d’une décision managériale locale, ou de pratiques locales tolérées jusque-là, est devenu mondial et immédiat. Réputation entachée, perte de chiffre d’affaires, sanction internationale lourde, voire changement de direction sont autant de conséquences qui peuvent être évitées, ou diminuées avec un dispositif de maîtrise des risques adapté.
Le grand écart du comité d’audit Bien que les enjeux de Compliance transparaissent dans les deux risques les plus suivis par les comités d’audit (cf. Figure 2), il est intéressant de noter que cinq autres risques très différents sont aussi suivis : continuité d’activité (52%), réputation (44%), financement (41%), cybersécurité (40%), parties tierces (35%). Non seulement ces risques adressent des zones d’expertise pointues, comme la sécurité informatique ou les plans d’investissement, mais ils couvrent aussi toutes les activités de l’organisation et ses parties tierces ainsi que l’impact sur sa réputation.
DE L‘ART D‘ÊTRE EXHAUSTIF La fin des exceptions
Ces réponses témoignent de la multiplicité des risques suivis par les comités d’audit, confirmant ainsi l’évolution sur le long terme de la mission de ces organes de gouvernance. Très financière et comptable il y a quelques dizaines d’années, elle est aujourd’hui beaucoup plus large et axée sur les risques de l’organisation.
La première qualité attendue d’un dispositif de maîtrise des risques est son exhaustivité et sa capacité à couvrir l’ensemble de son périmètre. Et ce, pour chaque activité de sa chaîne de valeur, du siège jusqu’aux implantations les plus éloignées. Le dispositif doit prévoir comment apporter à la direction l’assurance dont elle a besoin sur les activités qu’elle ne contrôle pas entièrement, voire qu’elle n’opère pas, mais qu’elle finance en partie ou dans lesquelles elle a un intérêt. Au concept d’entreprise étendue répond
Cette évolution est connue mais il est important de renforcer sa signification pour les dispositifs, qui doivent faire écho à cette multiplication des risques en tendant vers la couverture la plus exhaustive possible.
16
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
FIG 9. PILOTAGE DU RISQUE DE NON-CONFORMITÉ LOCAL
BELLE HISTOIRE Atos Atos est un leader mondial des services numériques dont l’expertise s’articule autour du conseil et de l’intégration de systèmes, de l’infogérance, du Big Data, de la cyber-sécurité, du cloud et des services transactionnels de paiement. La gestion des risques a permis d’accompagner le développement d’Atos en renforçant l’intégration entre les opérations et les fonctions support autour des risques projets. Porté par la Direction « Bid control & Business Risk Management » et renforcé depuis l’arrivée de son PDG Thierry Breton en 2008, le dispositif Rainbow (Risk Assessment in Named Business Opportunity Worldwide) couvre l’ensemble du cycle de vie du contrat, depuis la qualification de l’opportunité commerciale, la contractualisation jusqu’à la réalisation finale des projets. Ce processus global est déployé de manière homogène dans l’ensemble des activités et des géographies du Groupe.
TROPHÉE DE LA MEILLEURE CONTRIBUTION EN GESTION DES RISQUES
Par ailleurs, pour faciliter l’intégration des sociétés acquises, le département « Bid control & Business Risk Management » a mis au point un programme de transition permettant de déployer Rainbow le jour de la prise de contrôle de l’acquisition (incluant des analyses comparatives des processus, une adaptation de la matrice d’autorisation, un programme de formation sur mesure, et la revue post- acquisition des contrats majeurs).
Rainbow conduit les fonctions support à assister les managers opérationnels dans l’identification et l’évaluation des principaux risques et permet à ces derniers de prendre, en temps opportun, les décisions appropriées quant à l’évolution d’une opportunité ou d’un contrat. Peter Pluim, COO Global Managed Services, déclare : « Rainbow a permis d’améliorer la qualité du travail livré aux clients, en la rendant moins dépendante des individus, grâce à une démarche structurée ».
Les résultats atteints par la gestion du risque chez Atos ont conduit la Direction à augmenter son niveau d’attente et d’exigence, et à considérer les outils et processus mis en place comme de véritables avantages concurrentiels au service de la qualité.
17
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
En ce sens, par exemple, le rattachement de certains départements d’audit à la direction financière, n’est pas seulement un problème d’indépendance, c’est aussi une limitation du champ d’action de la « troisième ligne de maîtrise »1 qui va à l’encontre de cette multiplication des risques couverts par les comités d’audit.
BELLE HISTOIRE Airbus Détecter les risques qui passent sous le radar Airbus est le leader mondial des secteurs aéronautique et spatial civil et militaire. Avec près de 140 000 salariés dans des centaines d’entités dans plus de 63 pays, suivre les risques émergents et allouer correctement les ressources d’audit disponibles est un facteur clé de succès pour fournir une assurance raisonnable au Conseil et à la Direction.
Couverture des risques locaux Ce souci d’exhaustivité de l’appareil de maîtrise des risques est aussi reflété dans la question du pilotage des risques locaux. Ce type de risques est particulièrement difficile à appréhender par un dispositif souvent centralisé, car les risques sont multiples, différents par nature selon les implantations, et passent souvent sous le radar pour des questions de matérialité ou d’inactivité : certains peuvent néanmoins avoir des conséquences civiles ou pénales mettant en danger les ressources et la réputation de l’entreprise.
L’année dernière, l’équipe Corporate Audit & Forensic du Groupe a conçu un dispositif innovant pour adresser les enjeux de cette organisation mondiale et décentralisée, sans faire l’impasse sur ses petites filiales éloignées, sujet à de gros risques : Subscan !
Il est ici intéressant d’observer les pratiques de la place sur le pilotage de ces risques locaux (cf. Figure 9) : établissement de réseau de correspondants locaux (44%), formations (44%) et responsabilisation des managers sur le terrain (39%) démontrent l’angle humain sous lequel les organisations françaises appréhendent ces risques.
Subscan apporte à l’équipe d’audit du groupe l’agilité nécessaire pour concentrer ses ressources sur les risques mondiaux. L’idée est simple – une approche d’audit « flash » standardisée, déployée sur plusieurs entités au sein d’un même pays pour détecter les problèmes majeurs en termes de gouvernance ou de conformité. Ces audits « flash » se concentrent uniquement sur les procédures destinées à couvrir :
QUELS OUTILS FACE À CETTE AMBITION ? Intégration des fonctions
• le risque de conformité (déontologie, cadeaux et hospitalité, sponsoring et dons) • le risque de gouvernance (les règles de gouvernance, le contrôle interne financier, la trésorerie).
Afin de pouvoir couvrir tous les risques de l’organisation, les dispositifs doivent reposer sur l’intégration ou la bonne coordination des fonctions et peuvent prendre plusieurs formes (cf. Figure 12) : comités et réunions de coordination entre les différents acteurs, outils de gestion des risques, actions de communication conjointes, reporting commun, etc. Près de deux organisations sur trois effectuent un reporting au conseil d’administration intégrant au moins deux acteurs (cf. Figure 10).
Depuis l’année dernière, Subscan a déjà porté ses fruits : la couverture de l’audit a quadruplé, la supervision des filiales a été renforcée, un nombre important de recommandations de contrôle ont été émises et des synergies potentielles ont été identifiées.
Un reporting coordonné nécessite le partage des référentiels. On constate à ce titre un point d’évolution intéressant entre 2013 et 2016 : dans la continuité du rapprochement des fonctions, le partage des référentiels entre les acteurs du dispositif déjà à 47% en 20132, a poursuivi sa croissance pour atteindre 54% en 2016 (cf. Figure 11).
Les filiales du Groupe, ainsi que leurs alliances et leurs partenaires, ont aussi compris qu’Airbus prend très au sérieux la conformité avec ses politiques d’entreprise.
18
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
FIG 10. LE REPORTING AU CONSEIL D’ADMINISTRATION INTÈGRE-T-IL TOUTES LES FONCTIONS DU DISPOSITIF DE MAÎTRISE DES RISQUES ?
FIG 11. INTÉGRATION DES RÉFÉRENTIELS DES PROCESSUS OU DE CONTRÔLE ENTRE LES ACTEURS DE LA MAÎTRISE DES RISQUES
Pour être effective, cette intégration des fonctions, passe par le choix d’un modèle 1 organisé autour des trois lignes de maîtrise, chaque ligne ayant un périmètre, une mission et des activités formellement définis. Le choix du modèle est simple : intégrer les fonctions au sein de la même direction ou assurer la coordination des acteurs. Quel que soit le choix, la réussite passe par la capacité et la volonté de collaboration entre les fonctions clés de la maitrise des risques (cf. Belle Histoire Sanofi).
D’abord en s’exprimant d’une seule voix, pour faire comprendre au reste de l’organisation qu’ensemble, les lignes de maîtrise ont vocation à couvrir tous les risques. Ensuite, avec une coordination réfléchie des demandes aux opérationnelles et des interventions planifiées sur le terrain, les professionnels du risque évitent la maladie chronique de « l’audit fatigue » et de donner ainsi l’impression qu’ils travaillent ensemble avec unique objectif de ralentir le business !
Inclusion de nouvelles problématiques
De nombreuses organisations ont ainsi fait ce choix de collaboration : 71% d’entre elles participent aux réunions et aux comités transverses pour favoriser le partage. Et presque une sur deux a mis en place un outil commun afin de structurer et étendre la collaboration (cf. Figure 12). Ces interactions sont soutenues (43%) par des actions spécifiques de communication. Elles revêtent ainsi deux enjeux particulièrement importants.
1 2
Le développement d’un dispositif exhaustif passe aussi par l’extension de son périmètre à des activités et des problématiques nouvelles, plus éloignées des terrains de la finance, de la comptabilité et du contrôle de gestion. L’exemple de Sodexo (cf. Belle Histoire Sodexo) en est une illustration intéressante : en intégrant de manière profonde et pérenne les risques environnementaux et sociétaux dans son dispositif,
tel que défini par l’IFACI et l’AMRAE cf. livre blanc de la 3e édition des Trophées de la Maîtrise
19
FIG 12. INTÉGRATION ENTRE LES DIFFÉRENTES FONCTIONS DE LA MAÎTRISE DES RISQUES
FIG 13. INTÉGRATION DES ENJEUX DE DÉVELOPPEMENT DURABLE DANS LE DISPOSITIF DE MAÎTRISE DES RISQUES
importante pour les organisations leaders de fournir une assurance interne plus pertinente sur la maitrise de leurs activités dans le long terme.
cette entreprise a fait de cet enjeu un avantage concurrentiel réel. Les enjeux de développement durable arrivent d’ailleurs progressivement à maturité (cf. Figure 13). Bien que présente dans l’univers des risques depuis plusieurs années, cette problématique a aujourd’hui atteint un degré de maturité suffisant pour intégrer plus de la moitié des référentiels de contrôle interne (54%). La prise en compte de cette problématique dans les critères d’évaluation des risques (38%) est aussi le témoin de cette importance croissante.
L’audit interne : vers plus de valeur ajoutée À travers leurs systèmes transactionnels, les organisations disposent de quantités gargantuesques d’informations. Les stratégies Big Data des entreprises visent à extraire la valeur de ces trésors dont elles sont propriétaires, ou auxquels elles ont accès. L’analyse de données n’est que la suite logique du tout-informatique vers lequel l’immense majorité des grandes organisations tend aujourd’hui.
En dépit de l’absence de norme internationale unique, des organismes reconnus développent en effet des référentiels de reporting de facteurs non-financiers, environnementaux et opérationnels (au sens large). Par exemple, l’Integrated Reporting (<IR>), rassemble ces éléments de manière transverse, à côté des éléments financiers, et le Sustainability Accounting Standards Board (SASB) propose quant à lui des critères de reporting non-financiers par secteur d’activité. Audelà de la transparence externe, l’adoption de ces normes internationales présente une opportunité
Aussi, les avis des professionnels de la maîtrise des risques sur les axes d’amélioration de la fonction d’audit interne apportent une vision informée et plus indépendante que celle des audités (cf. Figure 14). Logiquement, l’utilisation des méthodes quantitatives de data mining dans les audits apparaît comme le premier axe d’amélioration, pour presque la moitié des répondants (49%). Si cette difficulté – et cette opportunité – n’est pas nouvelle, elle démontre ici sa complexité d’application dans le cadre d’audit à réaliser dans des contraintes
20
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
FIG 11. INTÉGRATION DES RÉFÉRENTIELS DES PROCESSUS OU DE CONTRÔLE
© Horsche/iStock
BELLE HISTOIRE Sanofi
ENTRE LES ACTEURS DE LA MAÎTRISE DES RISQUES
Enfin, les rapports d‘activité et les points de vue sont confrontés, enrichissant ainsi la compréhension des résultats. Ces échanges permettent notamment d‘ajuster le périmètre et le ciblage des missions à venir. Les rapports soumis aux organes de gouvernance gagnent ainsi en cohérence et le niveau d‘assurance fourni est renforcé.
GRAND PRIX DU JURY
Ainsi, c’est grâce aux apports spécifiques de chacun que cette contribution transverse bénéficie à l’ensemble de l’entreprise :
Une dynamique de coopération transverse pour une maîtrise renforcée
- Le département Contrôle Interne et Processus a étendu récemment sa couverture aux enjeux nonfinanciers. À côté des contrôles financiers répondant aux exigences de la loi Sarbanes Oxley (SOX) cohabitent dorénavant les contrôles obligatoires couvrant l’ensemble des processus du groupe (y compris la R&D). Ce département dispose par ailleurs d’une équipe dédiée à l’accompagnement des entités dans le déploiement de ce référentiel élargi.
Sanofi est une entreprise française, leader mondial de la santé, qui développe des solutions pour prévenir et traiter les maladies, et accompagner les patients dans le monde. Présent dans plus de 100 pays, Sanofi est notamment le premier acteur du secteur de la santé dans les pays émergents. Avec une telle dimension, Sanofi et ses 110 000 collaborateurs doivent faire preuve d’une agilité permanente. Dans un environnement complexe et particulièrement régulé, les fonctions de l‘assurance interne doivent démontrer la même agilité. Depuis deux ans, les équipes se sont engagées dans le renforcement de leur coopération pour suivre le développement et les évolutions de l’entreprise et toujours maintenir la même assurance de maîtrise des risques.
- L’équipe Ethique & Intégrité des affaires porte la charge du déploiement du programme de conformité pour le compte du Comité Compliance présidé par le Directeur Général du Groupe et composé de membres du comité exécutif. Réunissant près de 115 collaborateurs, l’équipe dispose d’un système de recueil des alertes disponible en 28 langues, 24 heures sur 24 et 7 jours sur 7, de compétences informatiques dans le domaine des investigations et d’un dispositif d’évaluation des risques s’appuyant sur les principaux scénarios de fraude des cas investigués sur les trois dernières années.
Insufflée par les responsables globaux de l’audit interne, du contrôle et process internes, ainsi que du responsable de la Compliance, cette dynamique de coopération transverse s’est largement diffusée à l’ensemble de leurs équipes à tous les niveaux de l‘organisation (global, régional et local). Pour entretenir cet état d’esprit, ils se réunissent mensuellement au cours d’un comité de coordination qui donne l’impulsion pour un alignement des référentiels et des méthodes de travail, mis en œuvre par une collaboration étroite entre les trois équipes. L‘échange sur les risques permet également d’affiner et de coordonner les priorités des trois fonctions, en coopération avec la fonction Gestion des risques.
- Le département d’Audit Interne rassemble plus de 70 collaborateurs répartis sur trois hubs (Paris, New Jersey et Singapour), au plus près des opérationnels. La diversité des profils, combinant auditeurs de métier, informaticiens, ingénieurs, médecins, pharmaciens, etc. assure la crédibilité de la fonction vis à vis des opérationnels, qui apprécient cette équipe forte de plus de 70 collaborateurs pour sa bonne compréhension du business et des enjeux opérationnels.
21
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
FIG 14. AXES D’AMÉLIORATION DES DÉPARTEMENTS D’AUDIT INTERNE
de temps et de périmètre s’accommodant mal des impératifs de retraitement de données (fréquents au sein des organisations dont les ERP ne sont pas intégrés). Le manque de formation et de pratique des équipes sur les outils de data mining est aussi une barrière évoquée de manière récurrente au cours des entretiens qualitatifs menés auprès des répondants.
des procédures complètes destinées à la détection de fraude. Le développement de l’analyse de données fournit également à l’audit interne des transactions suspectes à revoir. Certains départements d’audit interne intègrent, à la formation de tous les auditeurs, des modules sur la détection des indices comportementaux de fraude.
Deuxième axe d’amélioration, la détection de fraude par l’audit interne (42 % des répondants) est une attente forte de la direction de l’organisation. Et c’est paradoxalement une attente encore difficile à combler. Le dernier rapport d’ACFE (Report to the Nations on Occupational Fraud and Abuse, 2014) note que l’audit interne n’est que la troisième source initiale de détection de fraude : seuls 14% des cas de fraude sont détectés, contre 42% par les lignes d’alerte et 16% lors de revue par la ligne hiérarchique du fraudeur. Là où certaines étapes des programmes de travail étaient simplement marquées comme couvrant un risque de fraude, ces derniers incluent maintenant
Le troisième axe d’amélioration (cf. Figure 14), la capacité à réaliser des audits spécifiques (33%), souligne l’exigence développée en première partie de ce livre blanc sur l’importance d’élargir le champ d’intervention, en ligne avec les attentes du Comité d’audit. Il se veut plus exhaustif et inclut des problématiques « nouvelles », comme la continuité des activités, le développement responsable et social, la cyber sécurité, les parties tierces ou encore tout risque menaçant la réputation de l’organisation.
22
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
BELLE HISTOIRE Sodexo
TROPHÉE DE LA MEILLEURE CONTRIBUTION DE L’AUDIT INTERNE
Le café équitable l’est-il vraiment ? Le gaspillage de nourriture ou d’énergie est-il réellement maîtrisé ? La politique de recrutement est-elle respectée localement ? L’audit interne de Sodexo est en mesure aujourd’hui de formuler un avis indépendant sur ces sujets, dans les pays les plus pertinents. Sa contribution au BTP prend ainsi trois formes :
La qualité de la vie, le développement durable et l’audit interne : une équipe inattendue. Sodexo est le leader mondial des Services de Qualité de Vie. Sa démarche de responsabilité sociale, le « Better Tomorrow Plan » (BTP), est un critère différenciant de ses offres et un avantage compétitif. Leurs clients attachent une importance croissante à ces éléments de développement durable tels que le développement des communautés locales, la lutte contre la malnutrition dans les 80 pays où Sodexo opère, et le respect des droits sociaux fondamentaux.
Audit des indicateurs extra-financiers communiqués à l’externe (Grenelle II) sur les sites de Sodexo, - Audit des contrats clients, à la demande des clients ou pour donner du confort en interne, notamment dans le domaine du développement durable, de la facturation des coûts, et du respect des droits sociaux fondamentaux sur lessites de ses clients, - Audit du respect des droits sociaux fondamentaux dans les pays à risques.
Cette démarche s’articule autour de trois piliers : - We Are : les principes fondamentaux qui constituent le socle du développement responsable de Sodexo, à savoir : la vocation de Sodexo, les valeurs défendues et les principes éthiques. - We Do : les actions actuelles, organisées en quatre priorités et dix huit engagements. - We Engage : le dialogue et les actions partagées avec les parties-prenantes, ainsi que les engagements futurs.
Très actif au Business Integrity Committee, l’Audit Interne est devenu le garant du pilier « We Are » du BTP, et l’assurance d’une démarche de responsabilité sociale pérenne et durable !
Mais comment savoir si cette vocation noble se traduit concrètement par des actions quotidiennes à travers le monde ? Ou s’agit-il seulement d’une communication soignée ? C’est là que l’audit interne joue un rôle déterminant pour apporter de la valeur, en apportant une assurance indépendante aux dirigeants de l’entreprise et à ses clients majeurs.
23
L’AGILITÉ, CONDITION DE LA PÉRENNITÉ DES ORGANISATIONS
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
CHAPITRE N°3
24 15
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
L’AGILITÉ, CONDITION DE LA PÉRENNITÉ DES ORGANISATIONS De plus, les impacts de certains risques catastrophiques commencent à être mieux mesurés, ce qui, par voie de conséquence, amène les organisations à planifier leur survenance potentielle de manière plus structurée. Le réchauffement planétaire, la surpopulation, les flux migratoires ou la raréfaction de certaines ressources minérales font l’objet de plans de transition qui ne sont plus regardés comme des scénarios de science-fiction mais comme des business plans.
La maîtrise des risques a pour objectif d’assurer la résilience de l’organisation face aux crises potentielles et son développement pérenne. Mais la pérennité est aussi un enjeu pour la maîtrise des risques. Dans un monde économique dont les changements sont fréquents, rapides et majeurs, une des clés réside l’agilité.
RÉSILIENCE ET PÉRENNITÉ
Le plan de continuité d’activité (PCA)
Le risque catastrophique
La construction et le maintien d’un plan de continuité, structuré mais agile, est un des éléments pour rassurer l’entreprise sur ses capacités à faire face à une interruption majeure et soudaine d’activité.
Si les univers des risques des organisations françaises ont toujours inclus les risques d’évènements catastrophiques, ils leur donnent aujourd’hui plus de poids. Les raisons à cela sont nombreuses. Tout d’abord, l’augmentation de la probabilité de ces risques est devenue un fait. Le contexte géopolitique mondial instable amène le risque d’interruption des opérations dans des zones géographiques qui semblaient stables, comme ont pu le prouver les évènements de novembre 2015 à Paris.
Les plans de continuité d’activité (PCA) ne sont pas une chose nouvelle mais le contexte économique et général actuel fait de cet élément du dispositif de maîtrise de risques une obligation.
FIG 15. CAPACITÉ À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE
25
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
Si les répondants font preuve d’une forte confiance envers leur capacité à faire face à une interruption d’activité majeure et soudaine (59% l’estiment acceptable et 29% bonne), 41% des organisations reconnaissent ne pas l’avoir testée ni lors de cas réels ni lors de simulations (cf. Figures 15 et 16).
FIG 16. AVEZ-VOUS TESTÉ LA CAPACITÉ DE VOTRE ORGANISATION À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE ?
Utiliser le plan de continuité d’activité pour développer la pérennité de l’entreprise signifie être en mesure de hiérarchiser les scenarios de risques les plus probables et coûteux. Parmi ces évènements rares, certains sont plus improbables. Leur rareté a priori n’est pas une raison pour tous les traiter, bien au contraire. En se fondant sur l’expérience des concurrents, de la filière, ou du tissu économique local, il est préférable de concentrer ses ressources sur les incidents les plus probables, plutôt que sur ceux qui pourraient avoir le plus d’impact. En effet, mieux vaut se donner l’opportunité de tester en réel un plan achevé plutôt que s’engager dans les planifications incomplètes de tous les incidents possibles – et n’avoir au final pas de
+
FOCUS LES 5 FACTEURS CLÉS DE SUCCÈS D’UN PCA Pour être efficace et performant, un dispositif de Plan Continuité d‘Activité (PCA) doit répondre aux 5 objectifs suivants : 1.
Avoir le soutien de la Direction Générale – obtenir son appui garantit l’implication de l’ensemble des directions opérationnelles et ainsi la prise en compte exhaustive des risques de l’entreprise.
2. Être pragmatique – adapter le périmètre du dispositif et le niveau de formalisation à la culture et aux spécificités de l’entreprise est clé pour concentrer les efforts et les ressources sur les enjeux prioritaires. 3. Intégrer l’existant – recenser les initiatives menées, comme par exemple les Plans de Reprise d’Activité ou les Plans d’Urgence et les intégrer à la démarche évite les redondances et favorise des réponses coordonnées. 4. Être testé – éprouver le dispositif sur des simulations de grande ampleur impliquant des parties prenantes multiples est essentiel pour vérifier leur capacité à réagir de façon collective et garantir la viabilité technique des dispositifs de secours. 5. S’adapter – faire preuve d’agilité dans la recherche d’alternatives appropriées est capital pour maintenir un dispositif à jour des nouveaux risques de l’entreprise.
26
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
FIG 17. SI OUI, COMMENT AVEZ-VOUS TESTÉ LA CAPACITÉ DE VOTRE ORGANISATION À FAIRE FACE À UNE INTERRUPTION D’ACTIVITÉ MAJEURE ET SOUDAINE ?
plan de réponse complet quand l’évènement survient.
Parmi les 59% des répondants à avoir effectué ces
Faire preuve d’agilité dans l’action nécessite un travail
tests, 78% l’ont fait au cours d’exercices de simulation
rigoureux et soutenu de préparation.
et 56% lors de cas réels (cf. Figure 17). Cette réponse fait écho à une réalité de terrain : si la plupart des
Et d’accepter la survenance d’un incident et la perte de
entreprises ont un plan de continuité d’activité, c’est
contrôle conséquente, en admettant de fonctionner en
l’épreuve des cas réels qui les amène à approfondir et
mode dégradé le temps que les opérations reprennent
développer un PCA.
de manière satisfaisante.
Si la simulation « en réel » d’un scénario d’incident
Enfin, avoir un PCA structuré mais pragmatique, c’est
autorise à revoir et à compléter un PCA, les entreprises
aussi le reprendre et le faire évoluer en fonction des
doivent se garder de vouloir le parfaire : trop de
transformations internes de l’organisation. Aussi,
formalisme est inutile car chaque incident est différent.
lorsque la stratégie oriente l’organisation vers une
L’expérience réelle de ce type d’évènement force à
décentralisation de ses opérations, elle doit s’assurer,
accepter la dose d’imprévisible et d’inconnu qui ne
en cas d’incidents, d’une meilleure réactivité et
sera jamais dans le plan parfait.
connaissance des environnements locaux.
Cette importance des hommes lors d’évènements
Inévitables tests
graves, lors de cas réels ou lors d’exercices, a aussi été l’occasion de reconnaître l’impact majeur de la
Développer la pertinence et l’agilité de son dispositif
culture d’entreprise et en particulier de la fidélité des
de maîtrise des risques passe aussi par la mise
ressources à leur organisation. Ainsi, une organisation
en pratique des scénarios de continuité. Tester un
n’ayant pas développé de lien social et pour laquelle
scénario de reprise d’activité permet de le roder, tout
les salariés ont une très faible fidélité, ne sera pas en
en appréhendant ce que le plan a pu oublier et en
mesure de mobiliser ses ressources dans ces temps
préparant tous les acteurs de l’organisation impliqués
difficiles, et échouera de manières répétées. Lorsque
dans ces situations de crise. Et de mesurer la capacité de ses managers à faire face à une situation de stress.
la réussite de l’organisation et celle des salariés sont
L’exercice a tout autant de valeur pour la gestion de
et soudaines cristallisent cette séparation. Et les
crise. Cette dernière est souvent différenciée d’un
salariés envisagent l’interruption de l’entreprise avec
exercice de continuité d’activité par sa durée, le court
détachement.
décorrélées, les interruptions d’activité majeures
terme, et par son impact, la sphère publique.
27
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
L’APPUI DU TOP MANAGEMENT Maîtrise des risques et prise de décision Pour rester pérenne, la maîtrise des risques doit démontrer sa valeur aux fonctions exécutives de l’organisation. Et le succès du dispositif se mesure quand le Président prend conseil auprès des professionnels du risque avant de prendre une décision d’affaires. Ce riskbased decision making est la reconnaissance de la valeur ajoutée des fonctions du risque : il marque l’inscription de la maîtrise des risques au cœur du quotidien de l’entreprise et promet ainsi sa pérennité. L’implication de la Direction générale de Solvay ou de Roquette (cf. Belles Histoires Solvay et Roquette) dans le développement du dispositif en est une excellente illustration.
PRIX SPÉCIAL DU JURY
BELLE HISTOIRE Roquette Roquette, groupe familial de dimension internationale, a pour activité la transformation de matières premières végétales. Figurant parmi les cinq leaders mondiaux de son secteur, il offre à ses clients une large gamme de produits et solutions dans les domaines de l’alimentation, de la nutrition, de la pharmacie et d’autres secteurs industriels.
Il est donc intéressant de suivre la contribution des fonctions de la maîtrise des risques aux décisions stratégiques de l’entreprise (cf. Figure 18) : en 2016, il est fréquent qu’une fonction de la maîtrise des risques participe de manière régulière aux instances de décision stratégique, là où encore en 20131, pour la majorité des répondants, ces mêmes fonctions ne participaient que rarement aux mêmes instances. Cette évolution montre à quel point les attentes des organisations françaises ont augmenté vis-à-vis de ces fonctions. La participation des acteurs incontournables de la maîtrise des risques (le contrôle interne, l’audit interne, la gestion des risques, la Compliance, de la Qualité, Développement Durable, l‘EHS,…) aux décisions stratégiques de manière régulière (ou systématique) impliquent plus qu’un simple rôle de consultation des experts sur leurs sujets traditionnels. Elle nécessite aussi une participation de ces fonctions sur des sujets larges, nécessitant de considérer l’organisation dans son ensemble, au-delà des périmètres fonctionnels, des seuils de matérialité ou des expertises.
Sa dynamique de croissance a fait de la gestion globale des risques une priorité des actionnaires et de la Direction Générale pour garantir la protection de ses résultats et la pérennité du Groupe. Depuis plusieurs années, Roquette a fortement fait évoluer son dispositif pour concentrer ses efforts sur les risques prioritaires à l’échelle du Groupe. Auparavant orientée bottom-up, l’approche de gestion de risques est devenue davantage top-down. L’avancée des plans d’actions est suivie trimestriellement au regard du budget alloué. Le pilotage de ce dispositif est assuré par une gouvernance générale forte favorisant le partage d’une vision commune de la gestion des risques. Par son pragmatisme, cette initiative participe à la responsabilisation concrète des directions opérationnelles.
Savoir décider vite La nature stratégique de ces décisions exige une vision sur le long terme, de plus en plus corrélée aux problématiques de pérennité et de résilience. Si elle veut apporter de la valeur sur le long terme, la maîtrise des risques doit donc s’inviter dans la prise de décision stratégique. L’apport du risque à cette décision est aussi crucial dans la mise en œuvre opérationnelle des plans de continuité d’activité.
1
cf. livre blanc de la 3e édition des Trophées de la Maîtrise
28
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
FIG 18. PARTICIPATION DES FONCTIONS DU DISPOSITIF DE MAÎTRISE DES RISQUES AUX INSTANCES DE DÉCISION STRATÉGIQUE
FIG 19. SUGGESTIONS DE MODIFICATIONS DES FONCTIONS EN CHARGE DU DISPOSITIF DE MAÎTRISE DES RISQUES
position concurrentielle. Il y a quelques décennies, les cours de marketing développaient les concepts de « barrières à l’entrée » des marchés : oligopoles locaux, relations avec les distributeurs, capacité logistique, longue présence de champions nationaux, etc. Ces barrières existent-elles encore ? Comment protéger une organisation bien établie, et de taille importante, face à une telle menace ?
L’ ORGANISATION APPRENANTE Amélioration continue Les axes d’amélioration des fonctions de la maîtrise des risques (cf. Figure 19) soulignent l’enjeu de pérennisation des dispositifs : 51% des répondants souhaitent voir les principaux acteurs de l’organisation responsabilisés, 48% attendent que la maîtrise des risques soit intégrée dans les dispositifs de pilotage de la performance et 46% veulent un meilleur suivi des plans d’action et retours d’expérience. Ces trois points marquent bien la volonté d’inscrire la maîtrise des risques dans les opérations et les décisions de l’entreprise sur le long terme, au-delà de la simple gestion de projet.
La réponse est dans la capacité de l’organisation non seulement à muter rapidement et efficacement, mais aussi à connaître, comprendre, accompagner et anticiper ces changements. Comme le développait Darwin dans “De l’origine des espèces“, la sélection naturelle n’a pas seulement démontré la survie de l’espèce qui s’adapte, mais de celle qui s’adapte le mieux et la première.
Adaptabilité et survie
Que penser des innovations en cours de développement comme le remplacement des cartes SIM physiques par des cartes SIM virtuelles, le remplacement d’activités humaines par l’intelligence artificielle, la robotique avancée, les véhicules autonomes, ou les thérapies annulant le processus de vieillissement ? Quand ces innovations apparaîtront-elles sur nos marchés ? Comment changeront-elles les règles du jeu pour les entreprises existantes sur ces marchés ?
Certaines entreprises traditionnelles ont vu l’arrivée soudaine de nouveaux modèles économiques remettre en cause leurs fondements. On peut bien sûr penser au cas Uber, AirBnB, Amazon, Alibaba ou Facebook. En prenant un peu de recul, de nombreuses entreprises s’inquiètent aujourd’hui de la possibilité qu’un entrepreneur innovant en Californie ou en Chine développe une technologie venant bouleverser les fondamentaux de leur secteur et leur
29
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
Dans un environnement où les changements s’accélèrent et où la survie de certains modèles économiques est menacée, il est intéressant de noter que seuls 40 des sociétés du Fortune 500 ont plus de cinquante ans d’existence. Les vingt dernières années ont vu la disparition de sociétés établies, comme Kodak, Swissair ou Lehmann Brother. Certaines compagnies ont revu de manière fondamentale leur modèle opérationnel, par exemple lorsqu’IBM a vendu son activité de construction de micro-ordinateurs à Lenovo.
Ce contexte ne pousse pas seulement les dispositifs de maîtrise des risques à se former, mais aussi à gagner en agilité : anticiper les évolutions de l’entreprise, et composer leurs équipes des ressources capables de s’adapter en permanence aux changements, d’assurer l’adéquation durable du dispositif aux enjeux de l’entreprise. De plus, hausser le niveau de la communication, et mieux exploiter les outils et la technologie sont des vecteurs de progrès pour les organisations françaises à la quête d’un dispositif de Compliance équilibré et harmonieux.
Ces changements obligent les dispositifs de maîtrise des risques de telles entreprises à évoluer avec eux. On peut voir des multinationales changer entièrement leur équipe d’audit interne pour réorienter l’activité de la troisième ligne de maîtrise sur d’autres enjeux, plus stratégiques pour l’entreprise.
BELLE HISTOIRE Solvay certains directeurs de fonctions) et l’Internal Control Steering Committee (présidé par le Directeur Général Finances), ainsi que par le développement d’un langage commun et par des référentiels partagés entre les spécialistes du risque.
Les risques au plus près de la prise de décision Premier chimiste en France depuis l‘acquisition de Rhodia en 2011, le groupe Solvay a décidé de transformer et de renforcer son dispositif en regroupant ses activités d’audit interne et de gestion des risques au sein d’une même direction, rattachée à la Direction Générale et au Comité d’audit.
Un réseau structuré de Risk Sponsors au niveau du Comité exécutif, Risk Owners au niveau du Leadership Council (Top 40), et Risk Coordinators, membres des comités de direction GBU ou fonction est le garant du bon traitement opérationnel. Concernant les risques sur les processus, l’alignement avec le contrôle interne est assuré par un réseau parallèle de Process Risk Advisors, de Corporate Process Managers et de Local Process Contacts.
La démarche, lancée par le Directeur Général est aujourd’hui totalement intégrée dans le système de management de l’entreprise. Tous les risques sont couverts : les risques Groupe ou transverses, les risques opérationnels (business et fonctions), et les risques liés aux projets et à la transformation. Le Comité exécutif du Groupe aborde régulièrement le suivi des risques majeurs en séance. Parallèlement, l’évaluation des risques est intégrée à la Business Strategic Review de chacune des Global Business Units (GBU) et au dossier de chaque projet d’investissement. Un dashboard des risques majeurs, présenté régulièrement au Comité exécutif et au Comité d’audit, permet de maintenir le dispositif sous tension.
L’objectif de Solvay est tout simplement de transformer le risk management en un outil de management.
Le dispositif de maîtrise des risques a rapidement gagné en maturité et en pertinence grâce à un travail soutenu d’intégration et de coordination de l’ensemble de ses acteurs. Ce travail se traduit par la mise en place de comités transverses dédiés au dispositif, comme le Group Risk Committee (composé de tous les membres du Comité exécutif et de
30
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
AVIS D‘EXPERT Jacques Sivignon Associé Contentieux Complexes, Dechert LLP Comprendre et appliquer les programmes de conformité : le facteur humain, clé. L’un des défis majeurs pour les entreprises est de pouvoir s’assurer que le dispositif, les politiques et les procédures de conformité sont compris et appliqués par l’ensemble des salariés, quelles que soient leurs fonctions ou leur localisation géographique. Or au sein d’un groupe international, les différences culturelles et les difficultés de communication peuvent en pratique être sources d’incompréhension et donc de risques, a fortiori lorsque les habitudes locales bien établies contreviennent directement aux politiques de compliance édictées. Les formations en ligne sont en général des outils insuffisants pour combler ce fossé culturel, beaucoup de groupes l’ont compris. Il est donc essentiel de mettre en place des formations régulières en face à face et en langue locale de préférence, avec les dirigeants des filiales concernées et leurs salariés. Une des clés de la réussite de ce type de démarches réside dans la capacité à apprécier la compréhension par les salariés de ce qu’est un comportement approprié et inapproprié au regard de la réglementation internationale anti-corruption(1). Si la connaissance des règles par tous les salariés est une condition nécessaire de l’efficacité des politiques de compliance, elle n’est pas suffisante et il convient de s’assurer que ces règles sont également comprises. Ces audits préliminaires du facteur humain permettront notamment de réaliser une cartographie des risques au sein de l’entreprise plus fine, d’adapter les procédures de conformité aux risques réels et de mieux allouer les ressources en identifiant les zones de faiblesses sur lesquelles les efforts de mise en conformité doivent être concentrés. (1) Fort de son expérience en matière de conformité, Dechert a développé conjointement avec Cognisco, société leader en matière de sciences cognitives et du comportement, le logiciel d’audit Comprehend®, qui permet d’évaluer le niveau de compréhension des collaborateurs en matière de corruption et les risques associés.
31
CONCLUSION
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
32 15
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
CONCLUSION et les interventions non-coordonnées ralentissent le business sans amener de valeur ajoutée. Si le travail collectif est incontournable, il ne suffit pas seul. La maîtrise des risques doit aussi savoir s’adapter aux évolutions des entreprises et organisations.
Cette 4ème édition des Trophées de la Maîtrise des Risques confirme quelques grandes tendances des premières éditions : intégration des fonctions, participation du risque à la prise de décision stratégique, inclusion des problématiques environnementales et sociales.
Ces dernières s’orientent vers des stratégies à très long terme de développement durable. Elles traitent et exploitent davantage dans leur quotidien le Big Data. Ces tendances changent l’approche, les outils et les compétences nécessaires pour qu’un auditeur, un contrôleur, un risk manager ou un compliance officer restent pertinents.
Dans ce contexte d’accélération de la complexité des règles et d’importance croissante du numérique, la Compliance, la fraude et la corruption sont désormais les premières préoccupations des Comités d’audit. La problématique n’est pas nouvelle mais la menace de sanctions internationales de plus en plus lourdes, associées aux moyens accrus des régulateurs, amènent les organisations à chercher la meilleure assurance afin que les instructions des dirigeants et les valeurs de l’organisation soient systématiquement suivies.
Soucieux de la pérennité de leur organisation dans un contexte dynamique, les Conseils d’administration et les spécialistes du risque portent une attention particulière aux plans de continuité de l’activité. L’enquête révèle que ces plans ne sont pas toujours mis à l’épreuve. L’expérience nous montre que les meilleurs plans sont fragiles en réelle situation de crise car il manque aux collaborateurs clés l’expérience et l’agilité nécessaires. Pour réussir, il faut être prêt à accepter un niveau de formalisme parfois réduit, et pouvoir s’appuyer sur une très bonne communication et des outils performants – les deux composantes du dispositif sur lesquelles les organisations françaises déclarent être les moins matures.
Les organisations françaises soulignent l’importance de la culture dans un dispositif efficace. La capacité d’une entreprise ou d’une organisation à instaurer une culture d’intégrité, adaptée aux aspects interculturels, ferait la différence entre une Compliance de valeur et un simple exercice de conformité. Les répondants révèlent aussi l’importance pour l’expert du risque d’améliorer sa communication pour changer la perception de la Compliance, d’une fonction administrative vers un partenaire apporteur de valeur. Ce n’est pas simple face à un triple défi d’exhaustivité (des pays et des problématiques), d’agilité (de l’adaptation quasi-permanente du business model) mais aussi de pérennité (la protection de l’organisation à long terme).
Ainsi, les entreprises sont préoccupées par le bon suivi des politiques internes et règles externes, par l’intégrité de leurs dirigeants, par la complexité internationale de leur environnement et par la communication immédiate. Dans un contexte de développement durable, les meilleures organisations ont trouvé des clés pour une Compliance efficace : la prise en compte de la culture, une communication soutenue, un sponsorship au plus haut niveau, une organisation favorisant le partage et l’agilité. La Compliance s’avère un allié assez insoupçonné.
Chaque entreprise a un choix de modèle organisationnel pour la maîtrise de ses risques. Mais quel que soit le modèle retenu, la réussite passe par le partage et la coordination de toutes ces fonctions contribuant à la protection de l’organisation et à la maitrise de ses risques. Une approche en silo multiplie la probabilité de passer à travers une faille importante
33
JURY & LAURÉATS
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
34 15
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
JURY DE LA 4e ÉDITION DES TROPHÉES DE LA MAÎTRISE DES RISQUES Denis Ranque – Président du Jury Denis Ranque est actuellement Président d’Airbus Group depuis 2013. Il préside également le Haut Comité de Gouvernement d’Entreprise depuis 2013 et la Fondation de l’École Polytechnique depuis 2014. Il est administrateur de Saint-Gobain, de CMACGM et de Scilab Entreprise SAS. Alain Decombe Alain Decombe est Vice-Chairman en charge des Opérations Internationales de Dechert LLP et Managing Partner du bureau de Paris. Dominique Laymand Dominique Laymand est Senior Vice-Président, Chief Ethics and Compliance Officer d’Ipsen. Elle préside également le Comité Compliance de la Fédération Européenne des Industries et Associations Pharmaceutiques (EFPIA) et de celui de l’Association Française des Entreprises du Médicament (LEEM). Elle est la Présidente d’ETHICS, une association regroupant des professionnels de l’éthique et de la Compliance, à l’international, dans le secteur de la santé. Didier Retali Didier Retali est Directeur de l’Audit, des Risques et du Contrôle Interne de GDF Suez, devenu Engie depuis juillet 2015. Engie a été lauréat du Grand Prix du Jury lors de la 3ème édition des Trophées de la Maîtrise des Risques. Florence Vincent Florence Vincent est Directeur de la Qualité, de l’Audit et de la Maîtrise des risques et membre du Comité Exécutif du groupe Michelin depuis 2014.
35
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
LAURÉATS DE LA 4e ÉDITION DES TROPHÉES DE LA MAÎTRISE DES RISQUES SANOFI, Grand Prix du jury Olivier Brandicourt, Directeur Général Suresh Kumar, EVP External Affairs Marc Esteva, SVP Internal audit Group Dante Beccaria, SVP Global Compliance Jérôme Saillant, VP Internal Control and Processes
ATOS, Trophée de la meilleure contribution en gestion des risques Élie Girard, Directeur Financier Daniel Milard, SVP Bid Control & Business Risk Management Bérénice Chassagne, VP Bid Control
VALEO, Trophée de la meilleure contribution du contrôle interne Jacques Aschenbroich, Président-directeur Général Robert Charvier, Directeur Financier Groupe Rodolphe Garnier, Directeur de l’Audit et du Contrôle Interne Catherine Delhaye, Chief Ethics & Compliance Officer
SODEXO, Trophée de la meilleure contribution de l’audit interne Robert Baconnier, Président du Comité d’audit Marc Rolland, Directeur Financier Laurent Arnaudo, Directeur de l’Audit Interne Neil Barrett, Group VP Sustainable Development
ROQUETTE, Prix Spécial du jury Édouard Roquette, Chairman (Président du Conseil d’Administration) Emmanuel de Geuser, Head of Finance & Information System Pierre-Arnaud Cresson, Head of Internal Audit & Control Francis Van den Neste, Head of Enterprise Risk Management & Global Security
36
MÉTHODOLOGIE
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
37 15
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
MÉTHODOLOGIE les sujets de manière plus qualitative et de recueillir les détails permettant de mettre en valeur les initiatives et de les présenter au Jury.
Organisés par Crowe Risk Consulting et l’IFACI, en collaboration avec Dechert, les Trophées de la Maîtrise des Risques ont pour objectif de mettre en lumière les dispositifs des métiers de la maîtrise des risques et de récompenser les meilleures initiatives en la matière au sein des grandes organisations.
3.
Jury : le jury indépendant analyse et classe les résultats quantitatifs, qualitatifs et les initiatives qui lui sont présentés. Il distingue ainsi les organisations en leur attribuant des Trophées, le Grand Prix du Jury et des Trophées spécialisés.
•
125 organisations ont participé à l’enquête, parmi lesquelles 95 ont complété le questionnaire dans son ensemble. 20 organisations se sont portées candidates, parmi lesquelles 12 ont été nominées et présentées au jury. 5 organisations ont été récompensées par le jury.
La sélection des organisations lauréates se fait en trois temps : 1.
2.
Enquête en ligne : un questionnaire permet de collecter les éléments qualitatifs et quantitatifs d’une centaine d’organisations. Les résultats sont analysés et consolidés. Les organisations souhaitant se porter candidates s’identifient.
•
•
Entretiens : pour les organisations candidates, une vingtaine d’entretiens est réalisée afin d’aborder
FIG 20. PROFIL DES 95 ORGANISATIONS SONDÉES
38
LES ORGANISATEURS
LES TROPHÉES DE LA MAÎTRISE DES RISQUES 4e É D I T I O N
39 15
LES TROPHÉES DE L A MAÎTRISE DES RISQUES - 4e ÉDITION
LES ORGANISATEURS
Crowe Risk Consulting est un cabinet unique spécialisé en Gouvernance, Risque et Conformité avec plus de 1 000 experts du risque situés dans les capitales économiques internationales, intégré à Crowe Horwath International, un réseau de 31 000 spécialistes du domaine financier. Nos leaders participent activement aux missions et notre modèle s’appuie sur des recherches, des connaissances et l’analyse des pratiques que nous mettons ensuite au service de nos clients. Notre mission : accompagner les groupes internationaux partageant nos valeurs dans la résolution de leurs enjeux stratégiques, en transformant leur gouvernance, en intégrant le risque dans la prise de décisions, et en définissant un dispositif de conformité efficient.
Au cœur de la maîtrise des risques pour une performance durable. L’Institut Français de l’Audit et du Contrôle Internes (IFACI) rassemble plus de 5 600 professionnels de l’audit et du contrôle internes et, plus largement, de toutes les fonctions contribuant à la maîtrise des risques. L’Institut favorise la diffusion des normes internationales de l’audit interne et des meilleures pratiques des métiers de la maîtrise des risques. Lieu de partage et d’accompagnement, il est l’organisme de référence en matière de formation professionnelle dans ces domaines. Ainsi, l’IFACI constitue le partenaire privilégié des organisations publiques et privées de toutes tailles souhaitant améliorer l’efficacité de leurs dispositifs de gouvernance, de maîtrise des risques et de contrôle interne. L’IFACI est affilié à The Institute of Internal Auditors (The IIA) qui bénéficie d’un réseau de 180 000 adhérents.
40
L E S T R O P H É E S D E L A M A Î T R I S E D E S R I S Q U E S - 4e É D I T I O N
LES ORGANISATEURS
Dechert LLP est un cabinet d’avocats d’affaires international qui compte plus de 900 avocats répartis dans 27 bureaux. Nos équipes interviennent sur des dossiers à forts enjeux stratégiques en conjuguant expertises juridiques pointues et approche pragmatique. Nos clients nous choisissent pour notre capacité à les conseiller de façon rapide et claire, sans compromettre l’excellence. Nous privilégions les relations durables et de confiance, qui nous permettent de bien connaitre les enjeux de nos clients et de mieux les accompagner. L’équipe de Dechert en France compte plus de 80 avocats, qui collaborent avec leurs collègues basés à travers l’Europe, aux États-Unis, en Asie et au Moyen-Orient : •
Arbitrage international
•
Droit de la concurrence
•
Contentieux commerciaux
•
Droit social
complexes
•
Fiscalité
Corporate/fusions et
•
Private equity
acquisitions
•
Propriété intellectuelle
•
41
•
Services financiers et gestion d’actifs
42
Pour les dispositifs de maîtrise des risques, la conformité de l‘organisation semble être une gageure : leur connaissance des régulations transnationales et locales doit rester courante, et les efforts à mettre en place immédiatement se heurtent parfois à des cultures d’entreprise qui, elles, n’évoluent pas rapidement, et ne peuvent changer qu’avec la volonté de la direction exécutive. Pour réussir, les dispositifs de conformité doivent relever trois défis : la couverture exhaustive des activités de l’organisation, l’implication plus forte de l’audit interne, et la réconciliation des aspects interculturels. Face à la multiplicité des risques maintenant suivis par les Comités d’audit et la fin des « prés carrés », les métiers du risque retrouvent cet enjeu de l’exhaustivité de couverture sur tous les sujets qu’ils traitent. L’intégration des fonctions est ici le levier principal du succès de cette mission, incluant de nouvelles problématiques (RSE, etc.) dans le périmètre de la maîtrise des risques et élargissant le champ d’action de l’audit interne. La maîtrise des risques a plusieurs objectifs, dont le principal est la pérennité de l’organisation, notamment à travers la gestion des risques catastrophiques, et plus généralement par la préservation d’avantages concurrentiels. Mais la pérennité est aussi un enjeu pour le dispositif de maîtrise des risques lui-même : comment peut-il s’assurer de s’inscrire dans le cœur de l’entreprise et de survivre au-delà des changements internes et externes ? La clé de cette pérennité, dans un monde économique dont les changements sont fréquents, rapides et majeurs, est l’agilité. La 4e édition des Trophées de la Maitrise des Risques témoigne de l‘engagement des entreprises dans ces chantiers à divers degrés. Dans un climat d’affaires internationales plus instable et plus exigeant qu’auparavant, les fonctions de la maîtrise des risques permettent d‘anticiper les mutations nécessaires et de construire le dispositif exhaustif, agile et pérenne indispensable à leur succès.
CROWE RISK CONSULTING FRANCE 58 bis rue de la Boétie 75008 Paris +33 (0)1 53 53 03 92 www.masteringrisk.com
© 2016 Crowe Horwath Global Risk Consulting Réalisation : C‘est Extra !