Atelier A20 Un pour tous, tout pour un (risque, audit, contrôle interne) : est-il compliqué de faire simple ? Intervenants Président de l’AMRAE Directeur Risques, Audit et Assurances Yves Rocher Gérard LANCNER Claude VIET Dominique PAGEAUD [email protected] Président de l’IFACI Directeur de l’Audit de Groupe La Poste [email protected] Associé, Responsable Business Risk Services Ernst & Young [email protected] Modérateur Pierre-Alexandre BAPST Directeur de l’Audit et des Risques Hermès International [email protected] Sommaire • Rappel de quelques définitions • Eléments de discussion 3 3 Rappel de quelques définitions Audit interne (IFACI) L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. 4 4 Rappel de quelques définitions Contrôle interne (AMF) Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité, qui vise à assurer : – La conformité aux lois et règlements ; – l’application des instructions et des orientations fixées par la Direction Générale ou le Directoire ; – le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; – la fiabilité des informations financières ; et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources. En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est fixés la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints. 5 5 Rappel de quelques définitions La gestion des risques (AMRAE) La gestion du risque, c’est le processus par lequel les organisations traitent méthodiquement les risques qui s’attachent à leurs activités. La gestion du risque est centrée sur l’identification et le traitement des risques. Elle a pour objectif d’ajouter le maximum de valeur durable à chaque activité de l’organisation. Elle mobilise la compréhension des aléas positifs ou négatifs qui dérivent de tous les facteurs qui peuvent affecter l’organisation. Elle augmente la probabilité de succès et réduit la probabilité d’échec et l’incertitude qui s’y attache. La gestion du risque devrait être un processus continu d’amélioration qui traite systématiquement de tous les risques qui entourent les activités de l’organisation, que celles-ci soient passées, présentes ou surtout futures. La gestion du risque doit faire partie intégrante de la culture de l’organisation et disposer d’une politique efficace et d’un programme d’actions soutenu et suivi par la direction au plus haut niveau. 6 6 Rappel de quelques définitions 8eme Directive Le comité d’audit est notamment chargé des missions suivantes : a/ suivi du processus d’élaboration de l’information financière ; b/ suivi de l’efficacité des systèmes de contrôle interne, d’audit interne, le cas échéant, et de gestion des risques de la société ; c/ suivi du contrôle légal des comptes annuels et des comptes consolidés ; d/ examen et suivi de l’indépendance du contrôleur légal des comptes ou du cabinet d’audit, en particulier pour ce qui concerne la fourniture de service complémentaire à l’entité contrôlée. 7 7 Rappel de quelques définitions Gouvernance Système par lequel une entreprise est dirigée et contrôlée. Il régule les pouvoirs et optimise la prise de décision, en précisant les rôles, responsabilités et droits des différents participants à la vie de la société tels que : conseil d’administration (conseil de surveillance le cas échéant), les dirigeants, les actionnaires …. Et ce afin d’assurer la pérennité de l’entreprise et la protection de son patrimoine. 8 8 Historique • 2005 (Biarritz) – Gestion des risques et Contrôle interne • 2006 (Deauville) & 2007 (Nantes) – Gestion des risques, audit interne et contrôle interne • 2008 (Deauville) – Audit interne, Contrôle interne et Risk Management : suite d’une histoire sans fin • 2009 : pause ! 9 9 Eléments de discussion 1/2 • Quel état des lieux peut-on faire (Ernst & Young): – Pourquoi relancer le débat – Panorama des pratiques – Coordination et rationalisation • La réalité de deux entreprises (La Poste, Yves Rocher) – Valeur ajoutée d’une approche intégrée compte tenu du contexte – Mode opératoire – Bonnes pratiques et difficultés rencontrées. 10 10 Eléments de discussion 2/2 • Quelle vision du futur pour l’AMRAE et l’IFACI – Groupe de place AMF – Actions conjointes. • Débat avec la salle 11 11 “Un pour tous, tout pour un (risque, audit, contrôle interne) : est-il compliqué de faire simple ?” Les présentations de cet atelier seront sur www.amrae.fr à partir du 1er fevrier 2010 Risk Management Le Risk Management dans le Groupe Yves Rocher Présentation du Groupe Activité • Intégration verticale de la conception à la distribution • De nombreuses marques : • dans l'univers cosmétique (Yves Rocher, Docteur Pierre Ricaud, Daniel Jouvance etc…), • dans le textile (Petit Bateau) • dans le parfum/maquillage (Isabel Derroisné, Galerie Noémie) • et dans l'entretien (Stanhome) •Trois métiers de distribution : VPC, VPM, VPR • Présence sur les 5 continents et dans 88 pays Présentation du Groupe Chiffres Clefs •2 milliards d'euros de chiffre d'affaires •8 marques au service de la beauté et du bien-être de la femme •Plus de 15 000 collaborateurs à travers le monde •Plus de 200 000 emplois indirects •2000 magasins et 40 millions de clientes •500 millions de produits et cadeaux délivrés chaque année Le Risk Management : Pourquoi? Dans un contexte de vulnérabilité accrue, le Groupe Yves Rocher a initié en 2001 une démarche visant à analyser et à gérer les risques majeurs du Groupe et de ses différentes activités Le développement du Groupe et l’environnement ont accru l’exposition du Groupe aux risques La gestion des risques a été identifiée comme un élément fondamental pour Sécuriser l’atteinte des objectifs et des Plans Stratégiques Le Risk Management : Environnement de risques La démarche aborde tous les types de risques majeurs auxquels peut être confronté le Groupe Yves Rocher Risques liés à l’infrastructure et aux processus Risques liés aux décisions stratégiques •Problème de diversification, perte de rentabilité •Échec de développement de nouvelles activités Risques liés aux produits vendus et à l'image • Inadaptation au marché, obsolescence des produits • Problèmes de qualité produit, qualité de service • Évolution défavorables des systèmes de vente • Mauvaise connaissance du client, problèmes d’image •Fraudes, détournements, intégrité, déontologie •Dérive process de fabrication, coûts, Non alignement de l’informatique ou de l’industriel •Risque de change, risque de taux et risques économiques Plan stratégique Yves Rocher Risques liés aux activités / événements ponctuels • Grands projets • Incendie, panne,inondations… • Législations Risques liés à la gestion des ressources humaines Risques liés aux clients / fournisseurs •Carences de fournisseurs •Risques de sourcing •Risques de contrepartie • Conflits, • Rétention, perte de savoir-faire • Adéquation culturelle, compétences, potentiel des collaborateurs versus besoins court terme et moyen terme du Groupe Le Risk Management : Sa raison d’être Partout dans le monde, aussi bien la Direction Générale que de chaque Direction de métiers ou d'activité, ont besoin de sécuriser l'atteinte des objectifs et la réalisation du plan stratégique. Dans le Groupe Yves Rocher cela se traduit par la mise en place d'un outil de gestion globale des risques permettant à chaque acteur du Groupe de maîtriser et de piloter de façon responsable et professionnelle les risques inhérents à son métier Le Risk Management : Organisation Conseil d'Administration Direction Générale Secrétariat Général Comité des Risques et d'Audit Direction des Risques et de l'Audit Interne Gestion des Risques Audit Interne Gestion des assurances Le Risk Management : Méthodologie Cette démarche devait mener en parallèle la mise en place d'un cadre méthodologique global et la réalisation de missions générant rapidement des résultats tangibles. Objectifs de la démarche • • • • Inscrire la gestion des risques dans le management et la culture du Groupe Yves Rocher Mobiliser le management autour d'un projet fédérateur de gestion de nos risques Donner à chaque Direction un outil opérationnel de gestion et de pilotage de ses risques Obtenir rapidement (2001) des résultats tangibles et stratégiques pour la vie du Groupe Le Risk Management : Méthodologie La démarche couvre toutes les activités et toutes les zones géographiques du Groupe Yves Rocher Groupe Yves Rocher Cosmétique VPC YR VPM YR VPR YR Textile LECC Dr P. D. LMP Ricaud Jouvance Fonctions Support Stratégie Marketing Achats Production Logistique Distribution Finance / Trésorerie DRH Gestion / comptabilité Systèmes d’information Juridique / Secrétariat Générale Assurance qualité Recherche et Moyens Techniques KIOTIS Petit Bateau Françoise Saget Produits d’entretien Stanhome Le Risk Management : Méthodologie La méthode retenue favorise les entretiens privilégiés et le partage progressif de la gestion des risques avec les différentes directions et s'est donc appuyée sur une approche « Top-down » Personnes impliquées • • Top 25 - Principales directions opérationnelles et fonctionnelles - Principaux dirigeants Yves Rocher - Dirigeants des filiales Chaque responsable pouvant se faire aider par quelques uns de ses collaborateurs les plus proches s’il le souhaite Avantages de l’approche • • Approche fondée sur la compréhension globale des risques et l’appropriation par activité Concentration sur les risques majeurs du Groupe Le Risk Management : Méthodologie Plans d’action Métier Support Cartographie Métier Distributeur •Des risques pour le Groupe, par métier et par activité •Du couple Rentabilité / Risques Groupe Q4 - 2001 Q1 - 2002 Q2 - 2002 Q3 - 2002 Q4 - 2002 Amélioration qualité Kdo Cadrage des promotions Cartographie des risques par activité Rajeunissement ligne bio cure Développement nouvelle ligne maquillage Cartographie des risques par métier Présentation DG Modernisation atelier vrac Re organisation lignes production Cartographie des risques du Groupe Négociations fournisseurs Forte Remplacement départ Formation métier 35 MF 10 MF Probabilité d'occurren ce (%) Actions curatives immédiates 20 MF 5 MF Faible Faible Montant en MF (enjeux) Montant pour se redresser Forte Stratégiques : investissement ou désinvestissement dans une activité, stratégie de renouvellement de gammes, … Opérationnelles : sécurisation du portefeuille produits, nouvelle méthodologie de gestion de projet, prise d’assurance, … Études approfondies Exemples : zone géographique, fonction ou processus à étudier dans le détail Le Risk Management et Audit Interne COMPLEMENTARITE DES APPROCHES AUDITS Approche par Processus DETECTION DES RISQUES RISQUES MACRO RISQUES OPERATIONNELS RISQUES PROJETS ANALYSES RM Approches Top Down Approches Bottom Up ANALYSE Cartographie CONTROLE INTERNE QUANTIFICATION HIERARCHISATION COUVERTURE DES RISQUES Cartographie Suivi ASSURANCES PLANS D'ACTION OPÉRATIONNELS Campagnes d'auto-evaluation Audits de Ci Suivi Prévention Suivi FINANCEMENT DE CERTAINS RISQUES RESIDUELS REPORTING COMITÉ DES RISQUES ET D'AUDIT RISQUES MAJEURS DG Négociation et mise en place des assurances La démarche de gestion des risques Une vision synthétique objectivée et partagée des Risques Majeurs Sauf indication (explicitement) contraire tous les points présentés sont considérés comme approuvés par le Risk Management. L'appréciation donnée doit être le reflet de l'évolution de l'exposition du Groupe au risque (et non de l'avancement des plans d'actions). L'appréciation de l'exposition au risque et son évolution par le propriétaire du risque doit être mise à l'épreuve. Si le risque est toujours présent et en cas de blocage du plan d'actions des solutions alternatives concrètes doivent être présentées par le dirigeant et le RM Ne pas se limiter à une approche "relevé de compteur" des actions engagées 18ème Conférence Annuelle de l’AMRAE Deauville, le 28 janvier 2010 Support de l’intervention de Claude VIET Directeur de l’Audit et des Risques du Groupe La Poste Président de l’ Institut Français de l’Audit et du Contrôle Interne IFACI Le contenu : trois présentations rapides • Le Groupe La Poste • L’organisation de la gestion des risques et de l’Audit Interne au sein du Groupe LA POSTE • L’IFACI 28 PRÉSENTATION GÉNÉRALE DU GROUPE LA POSTE L’évolution du Statut • En 1991, La Poste, qui était une administration, est devenue une entreprise publique dont les relations avec l’Etat-actionnaire, initialement régies par un contrat de plan, s’appuient désormais sur un contrat de service public 2008-2012. • La Poste doit passer du statut d’établissement public à celui de société anonyme (SA), avec des capitaux 100 % publics au 1° mars 2010. 25 postes européennes sur 27 sont des sociétés anonymes ou sont en passe de le devenir. 19 d’entres elles sont entièrement détenues par l’Etat ou un acteur public. • Cette transformation sera suivie d’une augmentation de capital de 2,7 milliards d’euros apportée par l’Etat et la Caisse des Dépôts et Consignations. Un groupe unitaire multi-métiers de taille européenne Chiffres Clés 2008: CA 21Mds€, 300 000 collaborateurs, 17000 bureaux de Poste Un intégrateur de services Courrier, Colis et Express, Services Financiers s’appuyant sur un réseau de proximité très dense (l’ Enseigne La Poste) et sur trois holding : Sofipost, Geopost, La Banque Postale regroupant au total 300 filiales Deuxième opérateur européen de Courrier. Troisième opérateur européen du Colis et de l’Express. 29 Les quatre grands métiers de La Poste : Le Courrier Chiffre d’affaires 11,4 milliards d’euros en 2008 . Les entreprises représentent 88 % du chiffre d’affaires du Courrier. Effectifs du Courrier 191 000 collaborateurs (21 500 dans les filiales), dont 44,3 % de femmes et 55,7 % d’hommes. Nombre de documents acheminés dans l’année Adressés : 18,3 milliards Non adressés : 8,7 milliards Au total, 27 milliards de documents ont été acheminés et distribués en 2008 par le groupe La Poste. 91 millions de courriers (adressés et non adressés) et documents ont été distribués quotidiennement par les facteurs et les distributeurs de Mediapost en 2008. 90 % des volumes de courrier ont été émis par les entreprises en 2008. Qualité de service A l’aube de la libéralisation du marché postal au 1° janvier 2011, le Courrier poursuit sa modernisation au service de ses clients. Le programme Cap Qualité Courrier a permis d’atteindre de hauts niveaux de qualité en 2008. Ainsi, 83,9% des lettres ont été distribuées le lendemain de leur dépôt, soit une progression de 1,4% par rapport à 2007. 30 Les quatre grands métiers de La Poste : Le Colis/Express Sur un marché en totale concurrence, le métier Colis-Express du Groupe La Poste représente, avec près de 4,7 milliards d’euros de chiffre d’affaires Pour ce métier, le groupe La Poste est numéro un en France, numéro deux en Allemagne et numéro quatre au R.U. ColiPoste, est l’opérateur Colis de La Poste. ColiPoste offre une gamme complète de services en B to C avec des livraisons en 48h. ColiPoste alerte ses clients en temps réel par courriel ou SMS de l’arrivée de leur colis qu’ils peuvent aussi choisir de retirer 7j/7 et 24h/24 dans un Cityssimo. GeoPost, la filiale Express du groupe La Poste, est spécialiste des envois de colis express en B to B. GeoPost bénéficie d’une forte implantation en Europe et dans le monde. 31 Les quatre grands métiers de La Poste : La Banque Postale La Banque postale a été créée le 1 janvier 2006; depuis elle a été autorisée à offrir ses services dans les domaines du crédit à la consommation et de l’assurance dommages, qu’elle proposera à ses clients en 2010. L’année 2008 en chiffres • 4,815 milliards d’euros de produit net bancaire (PNB) • 11,2 millions de comptes courants postaux • 9,53 millions de clients en banque principale • 480 000 clients Entreprises, Collectivités et Associations • 5 191 distributeurs automatiques de billets / guichets automatiques bancaires (DAB / GAB) en France • 270,6 milliards d’euros d’encours clientèle • Plus de 6 millions de cartes bancaires, soit 11 % du marché • 17 000 points de contact 32 Les quatre grands métiers de La Poste : L’Enseigne L’Enseigne est le métier qui à en charge le réseau des bureaux de poste, c’est à dire: • 17000 points de contacts, dont 6000 en partenariats • 60 000 collaborateurs dont - 35 000 guichetiers, - 10 000 conseillers financiers, - 7 000 encadrants en bureaux de poste dont 3500 chefs d’établissement • 52 millions de personnes vont au moins deux fois par an en bureau de poste 33 L’organisation de la gestion des risques et de l’Audit Interne au sein du Groupe LA POSTE DIRECTEUR DE L’AUDIT ET DES RISQUES DU GROUPE Claude Viet DIRECTION DES RISQUES DU GROUPE AUDIT DE GROUPE Gilles Maindrault CCOONNSSEEIL IL DD’A ’ADDMMIN INIS ISTTRRAATTIO IONN CCOOMMIT É D ’A U D IT IT É D ’A U D IT P R É S ID E N T A U D IT D E GROUPE C O M IT É E X É C U T IF DU GROUPE C O U R R IE R LA BANQ UE PO STALE L ’E N S E IG N E LA PO STE A U D IT S M É T IE R S GEO PO ST P O S T E IM M O RESSOURCES H U M A IN E S IN F O R M A T IQ U E A U D IT S D O M A IN E S 34 La Gestion des Risques Comité des Risques COMEX Comité d’Audit Cartographie des risques majeurs du Groupe Risques majeurs mé métiers Risques majeurs transverses (identifiés par les audits métiers et la direction des risques de La Banque Postale) (identifiés par la DAG, les audits transverses, la DSI et la DJA) Courrier Systèmes d’information Colis/Express Ressources humaines L’Enseigne La Poste La Banque Postale Risques juridiques Poste Immo 35 L’audit interne MISSIONS D’AUDIT SPECIFIQUES .. Evalue Evalue la la qualité qualité du du contrôle contrôle interne interne àà l’échelon l’échelon du du Groupe (mise en œuvre des projets stratégiques, Groupe (mise en œuvre des projets stratégiques, dispositifs dispositifs de de gouvernement gouvernement d’entreprise d’entreprise …) …) et et procède, à la demande du Président, à des enquêtes procède, à la demande du Président, à des enquêtes sur sur des des faits faits de de nature nature àà porter porter atteinte atteinte àà l’image l’image du du Groupe. Groupe. AUDIT de GROUPE ANIMATION DU RESEAU D’AUDIT INTERNE INTERFACE AVEC LE COMITE D’AUDIT DE LA POSTE .. Coordonne Coordonne la la mise mise au au point point et et le le suivi suivi des des plans plans d’audit, s’assure du respect des normes d’audit, s’assure du respect des normes professionnelles professionnelles et et de de la la diffusion diffusion des des bonnes bonnes pratiques et veille au professionnalisme pratiques et veille au professionnalisme des des auditeurs. auditeurs. .. Fournit Fournit àà cette cette instance instance de de gouvernance gouvernance les les éléments lui permettant de s’acquitter de ses éléments lui permettant de s’acquitter de ses responsabilités responsabilités en en matière matière de de supervision supervision de de la la fonction audit. fonction audit. .. Ordonnance Ordonnance du du 88 décembre décembre 2008. 2008. .. Evolution Evolution du du statut statut de de La La Poste. Poste. 10 36 L’organisation de la planification des missions Cartographie des risques majeurs du Groupe Cartographies des risques mé métiers Cartographies des risques transverses Courrier Ressources humaines Colis/Express Systèmes d’information Banque Postale Juridique Enseigne La Poste Poste Immo PROGRAMMES D’AUDIT Dirigeants Commissaires aux comptes Comité Comité d’audit Plans d’ d’audit mé métiers Plan d’ d’audit Groupe Plans d’ d’audit domaines Plan d’audit consolidé 37 L’IFACI en quelques chiffres….. • • • • 4200 adhérents (auditeurs internes, professionnels du contrôle interne, étudiants) 900 organismes (du secteur public et du secteur privé, entreprises du CAC 40….) 7 antennes régionales (Lille, Strasbourg, Nantes, Lyon, Bordeaux, Toulouse, Marseille IFACI fait partie de l’IIA qui regroupe près de 200 000 adhérents provenant de plus de 160 pays, au plan européen de l’ECIIA (37 pays) et a créé l’UFAI, Union Francophone de l’Audit Interne à laquelle adhèrent 22 pays Les trois grandes missions de l’IFACI • Représenter les professions de l’audit et du contrôle internes auprès des décideurs économiques et des relais d’opinion (ex Groupe AMF sur les missions des Comités d’audit, prises de position sur l’urbanisme du contrôle interne et sur le rôle de l’audit interne dans le gouvernement d’entreprises…..) • Partager les bonnes pratiques (groupes professionnels, recherche, colloques…) • Professionnaliser les acteurs e les départements d’audit et de contrôle internes (application des normes professionnelles, formation, partenariats avec les grandes écoles et les universités, CIA, DPAI, Certification IFACI…..) 38 Septembre 2009 IFACI : Représenter – Partager ‐ Professionnaliser 38 Colloque Amrae Deauville 2010 Atelier A20 Pourquoi faut il lancer le débat ? Un environnement en forte évolution The future of risk – July 2009 Quel environnement de risques pour l’ entreprise ? Les attentes des administrateurs Les administrateurs, membres de comité d’audit, mettent en lumière la nécessité de faire évoluer l’approche de gestion des risques : ► L’approche des risques doit être plus globale : ► ► ► Les perspectives en terme de gestion des risques doivent être plus dynamiques : ► ► ► Les risques endogènes ne doivent pas se concentrer uniquement sur la finance et la conformité, Les risques exogènes, y compris les risques macro-économiques et systémiques, ont maintenant un impact critique sur le business model de l’entreprise. Les risques stratégiques clés peuvent évoluer rapidement, Les dirigeants doivent mieux cerner l’ampleur et la probabilité des risques. L’horizon des risques doit être appréhendé sur le long terme : ► ► Les risques doivent être appréciés dans un cadre économique mondialisé, Les risques et opportunités doivent être prévus à plus longue échéance. * Source : InSights for European Audit Committtee Members – Issue 7 – April 2009 (Tapestry Network) Page 41 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. La crise a renforcé la nécessité d’avoir une vision globale des risques et d’intégrer la gestion des risques dans le processus managérial de prise de décision : ► Stratégie ► Investissement ► Budget Le nouvel environnement réglementaire Application immédiate de la transposition des 4ème et 7ème Directives Européennes sur le gouvernement d’entreprise et le contrôle interne : ► ► ► Le rapport du Président sur le contrôle interne est approuvé par le Conseil ; Le rapport du Président doit désormais décrire les procédures de contrôle interne et la gestion des risques ; Les sociétés doivent se référer à un code de gouvernement d’entreprise et adopter une approche « appliquer ou s’expliquer. » Transposition de la Directive Européenne 2006/43/CE du 17 mai 2006 (abrogeant la 8ème Directive Européenne de 1984) ► ► ► ► ► L’ordonnance de transposition du 9 décembre 2008 est applicable 8 mois après la clôture du 1er exercice ouvert à compter du 1er janvier 2008 ; Les comités d’audit deviennent de fait obligatoires ; Les comités d’audit sont chargés (entre autres) « d’assurer le suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques » ; Les commissaires aux comptes portent à la connaissance du comité d’audit les faiblesses significatives de contrôle interne ; Un membre au moins du comité doit présenter des compétences particulières en matière financière et comptable et être indépendant. Page 42 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. ► ► ► ► ► ► ► Efficacité de la gestion des risques Intégration de la gestion des risques dans les processus Efficacité du contrôle interne Reporting financier et opérationnel plus fiables Plus de transparence Responsabilisation des administrateurs et du management Confiance accrue des investisseurs Les attentes des parties prenantes se renforcent ► Un nouvel acteur à prendre en compte, les agences de notation : ► En 2009, Standard & Poor’s (S&P) enrichit son processus de notation pour les entreprises non financières en y incluant notamment la qualité de l’Enterprise Risk Management (ERM) tel que : ► ► ► ► L’exactitude historique des éléments financiers fournis par le management La crédibilité des stratégies, prévisions et mise en oeuvre Les risques liés à la stratégie de la gouvernance et à sa structure D’autres agences, telle que Moody’s and Fitch, incluent dorénavant la dimension des risques dans leurs notations. ► ► ► ► ► Le contexte économique et réglementaire a fortement évolué ces derniers mois renforçant ainsi les attentes des parties prenantes. ► Une approche proactive pour une gouvernance efficace commence avec les administrateurs : ► ► ► Les conseils cherchent des administrateurs à la fois experts et indépendants Les administrateurs consacrent plus de temps à leur rôle d’administrateurs Les administrateurs et les conseils se soumettent de plus en plus à des évaluations de performance rigoureuses Page 43 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. ► Processus de notation renforcé Comportement éthique Plus de transparence Nécessité de prendre en compte le risk management comme une compétence managériale et non un processus Importance d’une relation renforcée entre le management, le comité d’audit et les auditeurs externes État des lieux des organisations The future of risk – July 2009 Risk management, assurance et audit interne : plusieurs organisations possibles Risk management Assurance 62% 56% Risk management Risk management 65% 73% Audit interne Audit interne Risk management Audit interne Risk management Audit interne 18% 0812BP722 45 Risk management Assurance 11 décembre 2008 27% In collaboration with Coordination des différentes Fonctions Risques – Contrôle et Audit .. Est-ce un sujet ? The future of risk – July 2009 Quatre bonnes raisons d’ouvrir le débat ► Un radar des Risques à couvrir de plus en plus complexe et surtout une volatilité accrue ► Les dirigeants et les administrateurs attendent une convergence accrue des dispositifs en place ► ► Les différentes fonctions traitant de la gestion des risques se sont développées au sein des entreprises pour répondre à ces exigences réglementaires : ……73% des entreprises ont « 7 ou plus » fonctions traitant des risques. La recherche permanente d’un équilibre ; Risques- Coût – Valeur ► L’ensemble des fonctions liées aux risques est devenue de plus en plus difficile à coordonner : ► ► ► ► 67% des entreprises estiment qu’il existe un overlap entre « 2 ou plus » des fonctions traitant des risques ; 50% des entreprises estiment que certaines zones de risques ne sont couvertes par aucune fonction ; 96% des entreprises s’accordent pour dire qu’il existe des opportunités pour améliorer leurs effort en terme de gestion des risques. La huitième Directive Européenne Page 47 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. Quel environnement de risques pour les entreprises ? Le radar des risques évolue fortement Le top 10 des risques 2009 pour les entreprises (classement 2008 entre parenthèses) 1 Crise du crédit (2) 2 Conformité réglementaire (1) 3 Intensification de la récession (Nouveau) 4 Durcissement des considérations écologiques (9) 5 Nouveaux entrants (16) 6 Réduction des coûts (8) 7 Gestion des talents (11) 8 Consolidation et alliances sectorielles (7) 9 Obsolescence du modèle économique (Nouveau) 10 Risque de réputation (22) * Source : Ernst & Young’s 2009 Global Business Risk Report Page 48 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. Trouver le bon équilibre entre risques, coûts et valeur …une préoccupation croissante des dirigeants Risques Valeur Risques Valeur Coûts Coûts ► Connaissons-nous nos risques majeurs ? ► Sommes-nous concentrés sur les risques majeurs ? ► Disposons-nous d’un reporting efficace sur les risques auprès de la direction ? ► Nos fonctions de gestion des risques et de contrôle sont elles coordonnées ? ► Acceptons-nous le bon niveau de risques? ► ► Avons-nous l’assurance que nos risques sont correctement gérés? Avons-nous un processus de gestion des risques global ? ► Page 49 Risques Valeur Coûts ► Les risques pris sont-ils alignés avec la stratégie et les objectifs de l’organisation? ► Prenons-nous les bons risques pour obtenir un avantage compétitif ? Est-ce que nous privilégions les contrôles automatiques versus les contrôles manuels ? ► Quelle est la valeur perçue des investissements liés à la gestion des risques? ► Disposons-nous des meilleures compétences aux meilleurs coûts ? ► L’efficacité des processus est elle évaluée? ► Utilisons-nous de manière optimale la technologie pour piloter les risques ? ► La gestion des risques apporte t elle de la valeur aux différents métiers? ► Pouvons-nous avoir recours à des solutions de sous-traitance pour réduire les coûts ? The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. Une gestion des risques intégrée Le nécessaire alignement de la gouvernance et des fonctions de gestion des risques et de contrôle ► Une politique de gestion efficace se doit d’être structurée. Elle nécessite la coordination de l’ensemble des départements et fonctions internes traitant de la gestion des risques (gestion des risques opérationnels, de conformité, de marché, de crédit et de liquidité, gestion des processus et de la qualité, audit interne, …) et ce, quelle soit centralisée ou décentralisée : ► Ces fonctions de gestion des risques sont aujourd’hui peu alignées, connectées de manière informelle et utilisent différentes matrices et échelles de risques. ► Elles sont parfois indépendantes des unités opérationnelles et des directeurs de business unit et n’apportent pas suffisamment de valeur ajoutée aux opérationnels. ► Il peut y avoir un risque d’essoufflement de la part des directeurs de business unit en raison d’une mauvaise coordination avec les fonctions risques et audit. ► Il peut en résulter un reporting indépendant avec une faible coordination auprès du conseil d’administration et du management exécutif. Page 50 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. Une gestion des risques intégrée Vers une rationalisation de l’organisation ? Situation actuelle Page 51 The future of risk – Octobre 2009 © 2008 Property of Ernst & Young Advisory – Confidential, in compliance with the principles stated in the “Disclaimers”. This presentation, reserved for your internal use, is indissociable from the contextual elements used as a basis for its elaboration and from the spoken comments accompanying it. Situation cible Huitième Directive Européenne ..Une incitation à renforcer la cohérence des dispositifs Le suivi de l’efficacité nécessite que X Les objectifs soient définis, X Les moyens mis en œuvre par le management pour atteindre les objectifs soient adaptés et évalués régulièrement Le comité d’audit devra s’assurer que : X La politique de gestion des risques et de contrôle interne est définie (objectifs de la gestion des risques, stratégie de couverture, rôle de la gestion des risques et du contrôle interne dans la prise de décisions (plan stratégique, budget, investissements, fusions / acquisitions…), Le management a mis en place les dispositifs appropriés et dispose de moyens lui permettant de : X Vérifier le correct fonctionnement du contrôle interne et de la gestion des risques, X S’assurer de la remontée des dysfonctionnements, X Contrôler le correct traitement des problèmes rencontrés. 4 Novembre 2009 Page 52 Impacts opérationnels 1 L’environnement général de contrôle Les objectifs et la politique générale sont clairement définis et adaptés à la stratégie du groupe et à sa culture via notamment les chartes de « risk management » et de contrôle interne 2 La conformité des dispositifs aux normes en vigueur Les dispositifs opérationnels de gestion des risques et de contrôle interne ont été conçus en conformité avec les standards de place et/ou aux normes professionnelles ISO-Coso 2, etc. Club audit interne – 8ème directive © 2009 Propriété d’Ernst & Young et Associés – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent. Le fonctionnement effectif des dispositifs Les dispositifs de gestion des risques et de contrôle interne fonctionnent dans l’ensemble du groupe (i.e. sont appliqués, analysés et audités), et sont intégrés de manière adéquate dans les processus de management 3 Le pilotage des risques par le management Le management dispose d’outils de reporting sur la gestion des risques et le contrôle interne, lui permettant de prendre les mesures correctrices adaptées et d’alerter les administrateurs si nécessaire 4 Huitième directive Européenne La répartition des rôles va évoluer 4 Novembre 2009 Page 53 Club audit interne – 8ème directive © 2009 Propriété d’Ernst & Young et Associés – Confidentiel et ce dans le respect des principes énoncés dans les « Réserves/Disclaimers ». Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte qui ont permis de l’établir et des commentaires oraux qui l’accompagnent.