Upload
reeistia
View
6.961
Download
7
Embed Size (px)
Citation preview
La maitrise globale des risques dans
les grands groupes industriels Introduction à l’atelier du 16 octobre,
élaborée à partir d’un benchmarking associant des représentants
d’Air Liquide, CEA, CNES, EDF, GDF SUEZ, SNCF et Total.
Jean Blouvac – CNES Laurent Magne – EDF [email protected] [email protected]
2
Introduction
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
L’atelier vise deux objectifs :
Présentation et partage sur les principes de la gestion globale des risques
Débat et témoignages sur les conditions de succès, les facteurs d’échec,
les choix organisationnels…
Préparation de l’atelier
La première partie (présentation et partage) a été élaborée sur la base de la
mise en œuvre à EDF, afin que les concepts soient concrètement incarnés.
Les éléments présentés ont été largement partagés lors d’un
benchmarking au cours duquel des représentants d’Air Liquide, CEA,
CNES, EDF, GdF Suez, SNCF et Total ont présenté leur démarche.
La deuxième partie (introduction au débat) a été préparée au sein du
groupe de travail « Méthodes de Management des Risques Industriels » de
l’IMDR, dans le but d’identifier des questionnements cruciaux auxquels
toute démarche de gestion globale des risques est nécessairement
confrontée.
3
1ÈRE PARTIE – PRÉSENTATION
ET PARTAGE
---- GÉNÉRALITÉS SUR LA
GESTION GLOBALE DES RISQUES
(A PARTIR DE L’EXPÉRIENCE D’EDF)
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
4
Plusieurs catégories de risques
La notion de risque englobe des catégories très diverses
Selon les catégories de causes
Risques liés à la stratégie, l’organisation, ou le pilotage de la performance
Risques liés à l’environnement externe, politique, régulatoire, sociétal…
Risques opérationnels, eux-mêmes très différents selon qu’il s’agit de risques industriels,
risques commerciaux, risques de marché…
Selon la situation dans l’entreprise
Risques liés aux missions d’une entité
Risques liés aux projets
Ces catégories appellent des stratégies de traitement différentes
Processus continu de mise sous contrôle
Plans d’actions d’amélioration ou de transformation
Recherche d’opportunités nouvelles
La « maîtrise globale des risques » couvre toutes ces catégories
dans une vue d’ensemble
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
5
Dispositifs « sectoriels » mis en place par EDF pour la
maîtrise des risques et des activités
Les dispositifs mis en place au fil du temps dans les principaux secteurs
garantissent largement la maîtrise des risques et des activités du Groupe EDF :
Risques technologiques ("risque de défaillance des systèmes ou des infrastructures")
Organisations pour la sûreté nucléaire, la sûreté hydraulique, la sureté du système électrique
Risques naturels et climatiques
Organisation du Groupe pour la prévention et la protection face aux événements naturels
Risques environnementaux et sanitaires
système de management de l’environnement, politique biodiversité, politique qualité de vie au travail,
systèmes de management de la sécurité…
Risques de malveillance, d'agression terroriste
Politique sécurité, organisation spécifique
Risques financiers
Principes de gestion des risques financiers (risques de marché, risques de contrepartie…)
Risques de marchés d’énergie (incertitudes sur les volumes, prix)
Politique de gestion des risques de marché d’énergie.
Risques de non-conformité
Politiques juridiques, organisation comptable et fiscale, politique marchés sensibles, etc.
…
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
6
Dispositifs « généralistes » mis en place par EDF pour la
maîtrise des risques et des activités
Dispositifs mis en place dans les années 2000-2010 :
Cartographie des risques (cadre de référence complet depuis 2003-04)
S’assurer que les « risques majeurs » sont identifiés et font l’objet d’actions de maîtrise
pilotées au bon niveau de l’Entreprise
Rendre compte des risques majeurs à la Direction et aux organes de Gouvernance
Contrôle interne (cadre de référence complet depuis 2006, rénové en 2010)
Obtenir une « assurance raisonnable » de maîtrise des activités dans tous les domaines
(conformité aux lois et règlements, fiabilité des informations financières, préservation des
actifs, respect des décisions de la direction)
Rendre compte de la maîtrise des activités à la Direction et aux organes de Gouvernance
Méthode s’appuyant sur des analyses de risques pour prioriser les actions de mise sous
contrôle
Ces dispositifs complètent les outils « sectoriels »…
… et sont rendus nécessaires par la complexité (interne, externe), les
enjeux nouveaux (concurrence, international), les exigences des
parties prenantes et les lois / normes
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
7
Les objectifs de la « démarche risques » d’EDF
Objectifs "Management"
permettre l'identification et la hiérarchisation des risques dans tous les domaines
en vue d'en assurer une maîtrise de plus en plus robuste
responsabiliser et mobiliser les entités du Groupe et leur management sur
l’identification, l’évaluation et le traitement des risques
en vue de contribuer à sécuriser la trajectoire stratégique et opérationnelle du
Groupe,
Objectifs "Gouvernance"
Permettre aux dirigeants et aux organes de gouvernance d’EDF d’avoir une vision
consolidée, régulièrement mise à jour, des risques majeurs et de leur niveau de
contrôle,
pour répondre aux besoins croissants d'information des parties prenantes quant
au management des risques de l'entreprise vis-à-vis de l'externe
et pour répondre aux exigences croissantes imposées par les lois et guidées par
les normes
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
8
Les liens Risques / Audit / Contrôle Interne
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
Audit
interne
Gestion des risques / Maîtrise des activités
Mis en œuvre par les métiers, entités fonctionnelles, filiales
Fournir une assurance raisonnable
de la maîtrise des risques et des activités du Groupe EDF
Mise sous contrôle des risques majeurs
Aide à l’identification
des risques majeurs
Contrôle
interne
Prioriser les actions
de maîtrise des
activités selon les
risques (métier &
« compliance »)
Cartographie
des risques
Se réinterroger
régulièrement
sur les risques
majeurs
9
Organisation Risques / Audit / Contrôle interne au niveau
« corporate » d’EDF
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
Autres missions - Gestion de Crise, - Risques partenaires, - Contrôle des risques financiers, - Contrôle des risques de marché d’énergie
Veille : risques
émergents / stratégiques
Secrétaire Général
Président
Directeur délégué en charge des risques et de l’audit
Direction de l'Audit Direction des
Risques
Cartographie
des risques
Analyse des risques
associés aux Investissements
Programme d’audit
-------
Missions d’audit
Animation du contrôle interne
10
Autres
utilisations
de la
cartographie
Programme d’audits internes
Cartographie des risques
"élémentaires"
(~ 800 à 900 risques)
Vue hiérarchisée des risques (~ 90 « méta-risques » de niveau groupe)
Rapport semestriel Comex / Comité d’Audit présenté en même temps que les arrêtés des comptes
Résumés, synthèses
Autres utilisations de la Cartographie :
Chapitre Facteurs de risques du DDR, Présentation aux
CAC, Assurances, …
Réinterrogation « informelle » par Direction des risques - Croisement risques fonctionnels & opérationnels - Croisement avec risques émergents - Croisement avec analyses risques projets
Organisation pour la cartographie des risques (EDF)
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
Analyses risques Directions
opérationnelles
Filiales, Dir° fonctionnelles
Contrôle interne
Management
Des entités
Bottom-up entités + Analyse critique et synthèse DCRG + Bouclage par l’audit
Collecte Synthèse
Boucle
d’amélioration
« informelle »
Boucle
d’amélioration
« formelle »
11
Principes généraux de l’organisation « cartographie des
risques »
Implication et responsabilisation des acteurs du Groupe
Entités et filiales sont responsables :
de leur gestion des risques identification, hiérarchisation, efficacité du traitement…
de la déclaration de leurs risques à la Tête de Groupe (choix de déclarer, contenu des descriptions)
Processus impliquant toutes les entités :
Directions opérationnelles, principales filiales, directions fonctionnelles
Permettant une vision croisée
Examen critique des risques par la DCRG lors de l'exercice de cartographie
Analyse de tous les types de risques
Risques opérationnels, financiers, marchés, stratégiques, réglementaires, naturels…
C’est à dire tous les risques qui pèsent potentiellement sur l’atteinte des objectifs du Groupe
Méthode partagée au sein du Groupe ("langage commun")
Consolidation et présentation semestrielle au Comex et aux organes de
gouvernance (comité d'audit)
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
12
Identification / évaluation / maîtrise des risques majeurs :
une méthode partagée au sein du Groupe EDF
Un risque est un « événement redouté » susceptible de gêner la réalisation des objectifs
de l’entité ou du Groupe
Le propriétaire d’un risque est la personne ou l’entité portant la responsabilité des
objectifs et de leur maîtrise, décideur de la gestion des risques
L'identification des risques est réalisée en fonction des enjeux et objectifs du Groupe / de l’Entité
grâce une typologie partagée au sein du Groupe EDF visant à « ne rien oublier » (opérationnel, externe, stratégie)
en s'appuyant sur le REX (événements, indicateurs, veille, alertes..)
et en veillant à caractériser les risques de façon factuelle
L’évaluation des risques est réalisée selon une méthode partagée dans le Groupe
Mesure du risque selon 3 critères : Impact / Probabilité / Niveau de Contrôle (= maîtrise)
Chaque critère est coté sur une échelle de 1 à 5 [voir Annexe 2]
L'impact est analysé en détail selon 7 catégories d'impact :
Financier – Environnemental – Sanitaire – Image – Stratégie – Satisfaction client – Social.
Chaque entité peut compléter ces catégories pour affiner la description
La hiérarchisation est faite par le management à partir d’une combinaison de ces trois critères
Pour chaque risque majeur, le traitement du risque est défini et mis en œuvre
Définition d’une stratégie de traitement (réduction, protection, transfert, couverture, plan B…)
Si nécessaire, mise en œuvre d’un plan d’actions priorisé suivi au niveau du propriétaire
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
[Voir Annexe 2]
13
2ÈME PARTIE :
QUESTIONNEMENT
DÉBAT & TÉMOIGNAGES
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
14
Analyse critique – enjeux – difficultés : Introduction
Toutes les présentations sur la gestion des risques donnent une image
lisse d’un processus – y compris celle-ci ! – mais …
Y a-t-il des organisations préférables à d’autres ?
Quelles sont les conditions de succès ?
Quels sont les facteurs d’échec les plus importants ?
Quelles sont les relations entre la gestion globale des risques et d’autres
démarches de gouvernance ?
Comment mesurer l’efficacité d’un système de gestion des risques ?
Il n’y a pas de réponse toute faite à ces questions, mais on peut
identifier des questionnements cruciaux, auxquels toute démarche
de gestion globale des risques est nécessairement confrontée.
Appel au débat et aux témoignages
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
15
Quels choix organisationnels structurants ?
Identification des risques bottom-up ou top-down ?
Bottom-up : risques proches des préoccupations du terrain
Top down : adapté pour une vision des risques transverses et en lien avec les parties
prenantes de l’entreprise
Quel rôle des directions « fonctionnelles » vs directions « opérationnelles » ?
Qui porte la gestion globale des risques ? A qui rapporte-t-il ?
Un système centralisé ou décentralisé en réseau ?
Faut-il un « comité des risques » au sein de l’entreprise ?
Le Directeur des risques rapporte-t-il au directeur financier ? Au(x) directeur(s)
opérationnel(s) ? Au Président (ou Direction générale) ?
Quelle organisation pour Risques / Contrôle interne / Audit ?
Comment articuler la complémentarité des approches ?
Quels regroupements organisationnels ? Indépendance ou convergence ?
Articulation entre gestion globale des risques et autres approches risques
Risques industriels ? Sécurité au travail, sécurité face à la malveillance, HSE ? Crise ?
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
16
Quelles conditions de succès ?
La capacité à exercer la mission : les points clés
Porter une contradiction « pertinente, efficace et constructive », se faire entendre
De la description des risques jusqu’à la maîtrise (plans d’actions sous contrôle)
Articuler Contrôle / Animation / Conseil / Veille / Alerte
Pérenniser l’impulsion initiale, obtenir l’appui durable de la direction générale
Quelques leviers
Quelle implication managériale ? L’implication managériale est un facteur de succès sine qua non. Comment l’obtenir ?
Liens entre risques / contrôle / et performance ?
Des exemples concrets (success stories) qui démontrent l’utilité des démarches ?
Intégration des démarches
Système de management intégré ?
(intégrant l’atteinte des objectifs, le pilotage des processus, la gestion des risques, le contrôle interne
dans un système unique)
Rôle, positions et posture des « correspondants risques » de tous niveaux
Expertise, crédibilité, légitimité des correspondants risques ?
Position proche des managers (au sein des comités de direction) ?
Posture d’appui et de facilitation ?
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
17
Quels facteurs d’échec ?
Perte du sens de la démarche
Démarche « risque » plaquée sans intégration au système
Approches incomplètes et redondantes provoquant confusion et perte de sens
Approches cloisonnées entre les différents niveaux / fonctions / directions de l’entreprise
Débat insuffisant, routine, analyses superficielles
Cartographie des risques figée, insuffisamment évolutive
Pas suffisamment de débat, risque de manquer « les vrais sujets »
Risques décrits et évalués dont on ne fait rien (pas de maîtrise des risques)
Des outils qui peuvent prendre le pas sur le sens
Exercice administratif loin du terrain et des préoccupations du management
Démarche de spécialistes, focalisation exagérée sur les méthodes et outils au détriment du sens
Complexité des approches (méthodes / outils) difficiles à prendre en main
Acteurs insuffisamment formés / sensibilisés / mobilisés
Difficultés liées à la gouvernance interne
Conflits d’intérêts…
Approches non sincères, Instrumentalisation des cartographies de risques…
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
18
Quelles limites, quelles ouvertures de la mission de
maîtrise globale des risques ?
Risques émergents, signaux faibles – ou faiblement entendus –
Risques et opportunités
Savoir examiner menaces et opportunités
En particulier pour les risques externes ou stratégiques, avoir une posture
plus large que « prévention / protection », mais aussi identification
d’opportunités, exploration de « plans B »…
Echanges « risques » et « stratégie » au service de la Direction
Relations « risques » et autres fonctions supports indispensables à
la gouvernance (RH, finances, juridique)
––––––––––––––––––
… Quelle évaluation de l’efficacité de la gestion des risques ?
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
19
ANNEXE 1
LES « FONDAMENTAUX »
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
20
Risque : définition
ISO 31000:2009 :
"Risque : effet de l'incertitude sur l'atteinte des objectifs"
Cadre de référence AMF (2010)
"Le risque représente la possibilité qu’un événement survienne et dont les
conséquences seraient susceptibles d’affecter les personnes, les actifs,
l’environnement, les objectifs de la société ou sa réputation."
EDF (2004) :
"Un risque est un événement ou une séquence d’événements susceptible de
gêner la réalisation des objectifs (…)"
En résumé : Un risque est un événement potentiel indésirable…
… en sachant aussi que :
Il n’y a pas d’entreprise sans risque,
la face « positive » du risque est l’opportunité
Nota : Cette définition est parfois controversée… Mais cette controverse
n’est pas l’objet de cet atelier
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
21
Comment caractériser un risque ?
Caractériser un risque c’est :
Préciser sa compréhension Quelle est la nature de l’événement que l’on redoute ?
Quelles sont les causes possibles – réelles ou potentielles ? (on dit aussi « facteurs » de risques)
Quelles sont les conséquences, selon diverses dimensions ? (opérationnelles, financières, environnementales, etc.)
Préciser sa « mesure » (« l'estimer ») Peut-on mesurer la possibilité de son occurrence ? Probabilité si possible ?
Peut-on caractériser sa gravité ?
Préciser le traitement du risque et la « mise sous contrôle » Indiquer les parades existantes
Bonne pratique d’EDF de « mesurer » le niveau de contrôle
Nota : Probabilité / Gravité sont rarement intrinsèques, mais dépendent des parades déjà en place
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
Risque (événement) Conséquences Causes
Probabilité Gravité Parades
Mise sous contrôle
22
Qu’est-ce que la gestion des risques ?
1. Les principes de base de la démarche
Identifier l’ensemble des risques En fonction des objectifs, du REX, des « parties prenantes », grâce à des check-lists…
Mesurer, évaluer et prioriser les risques Mesurer doit être le plus objectif possible (probabilité, gravité selon une analyse factuelle)
Evaluer ou prioriser traduit un choix (ce qu’on accepte / ce qu’on n’accepte pas)
Nota : l’acceptation ne porte pas sur un risque en soi, mais sur tout un ensemble : une vision et des perspectives
stratégiques, des impacts potentiels (apports, nuisances) aux plans économique, social, environnemental…
L'ensemble sur quoi porte le choix est donc associé à un panorama d’incertitudes , de menaces et d’opportunités)
Décider d’une stratégie de traitement selon les priorités Agir sur les causes : les supprimer, les diminuer (prévention), externaliser, etc.
Agir sur les conséquences : barrières (protection), couvrir, assurer le « risque résiduel », etc.
Surveiller, faire des contrôles ou des audits
Tolérer (accepter le « risque résiduel »)
Rechercher des opportunités nouvelles, des « plans B »
Agir, contrôler, reboucler Mettre en œuvre un plan d’actions et de contrôles selon la stratégie de traitement
Tirer les enseignement des actions et des contrôles : analyser les résultats et l’efficacité des actions,
analyser les écarts, remonter aux « causes profondes »
alimenter l’analyse de risques de ces enseignements
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
23
Qu’est-ce que la gestion des risques ?
2. Le sens des démarches
Une mission au service du management :
Sécuriser dans la durée l’atteinte des objectifs
Deux démarches complémentaires
Maîtriser en continu les risques et les activités
Identifier et hiérarchiser les risques, les difficultés réelles et potentielles (dangers, menaces)
Choisir les « parades », les « points de contrôle » , les « indicateurs de surveillance »
Agir, tirer les enseignements, reboucler
S’interroger sur les risques et enjeux majeurs : anticiper et prendre du recul
S’interroger sur les événements potentiels qui peuvent peser sur les objectifs / activités
S’interroger sur les facteurs externes, organisationnels, stratégiques…
S’interroger sur l’efficacité des actions engagées, et sur les nouvelles opportunités créées, re-prioriser
Quelques principes guidant la réflexion : Pas d’entreprise sans risque
Le management est responsable de la maîtrise des risques et des activités
Maîtriser les risques = sécuriser la trajectoire, mais aussi parfois proposer un « plan B »
Ne pas oublier la dimension « opportunités »
Rechercher les opportunités existantes au sein d’un panorama de risques et de menaces
Etudier les risques « à faire », mais aussi « à ne pas faire »
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
24
Pourquoi faire une analyse de risques ? Qui fait ?
On ne fait pas une cartographie des risques seulement pour un reporting !
Pourquoi faire une analyse de risques ?
D'abord parce que le management des risques est entièrement de la
responsabilité du management. Mais c'est aussi :
une occasion de prise de recul et de réinterrogation du management sur
« ce qui peut mettre en danger les objectifs de l’entité »
une hiérarchisation des activités / domaines à « mettre sous contrôle »
un outil structurant pour définir les priorités d’actions
un bon outil de revue de processus (partage au sein d'un « codir »)
un outil de dialogue entre l’entité n et le management n+1
…et aussi un reporting contribuant à la cartographie des risques Groupe
Qui fait l’analyse de risque et quand ?
A chaque niveau managérial décisionnel d’une entité (Direction, Division,
Unité…)
Au niveau d’une Direction N-1 Comex, le rythme semestriel est requis pour
la cartographie des risques groupe
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
25
ANNEXE 2
QUELQUES POINTS-CLÉS DES MÉTHODES EDF POUR LA
CARTOGRAPHIE DES RISQUES
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
26
Typologie des risques utilisée – « check list » pour identifier les risques
La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
Risques liés à l’environnement externe du groupe
Efficacité de l’organisation
Conformité
Éthique et Développement durable
RESSOURCES HUMAINES
AUTRES PROCESS SUPPORTS
Système d’information
Communication externe
Appros – Achats – Fournisseurs
INSTITUTIONNEL ET SOCIETE
Politique /
Législation
Positionnement des acteurs
Mutation sociétale
Sensibilité au contexte économique
Marché de gros de l’énergie (prix, disponibilité, …)
Concurrence
Mutation technologique
MARCHES
Contrepartie
Demande clients
Taux de change
CATASTROPHE
Accident d’origine externe / Attentat
Catastrophe naturelle
Taux d’intérêt
TRANSVERSES
COEUR DE METIER
Opérations sur marché énergie / Optimisation amont-aval
Commercial
Technique
Atteinte à l’environnement naturel ou humain
Conduite de projets
Management des hommes
Compétences - Gestion du savoir
Gestion du changement
Conflit social - Grève
Santé et sécurité
Rémunération de la performance
Intégrité
Valeur des actifs
FINANCE
Fonds propres
Niveau d’endettement
Liquidité – Cash Flow
Engagements financiers
Opérations sur marchés financiers
Crédibilité financière
Recherche et Développement
Risques opérationnels
Stratégie et pilotage STRATEGIE
Business model / Processus décision
Mode de gouvernmt / Mise en œuvre stratégie
Développement externe
Maîtrise des partenariats / JV
PILOTAGE DE LA PERFORMANCE
Maîtrise du pilotage de la performance
Méconnaissance d’engagements contractuels
Contrôle des participations
Actionnaires
Régulation
Facturation / Recouvrement
27 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012
Les échelles d’évaluation des risques
1 2 3 4 5
Impact faible
(incident de
parcours)
moyen
(affectant
l'activité de
l'entité sur une
année)
fort
(affectant
l'activité de
l'entité sur
environ 3 ans)
majeur
(affectant
durablement
l'activité de
l'entité)
capital
(mettant en jeu
la survie de
l'entité)
Probabilité 1%
(très peu
probable)
5%
(à ne pas
écarter)
25%
(possible)
50%
(tout à fait
possible)
75%
(très probable)
Niveau de
contrôle
élevé ;
appréciation
fondée sur des
bases
objectives :
audits, …
correct ;
appréciation à
dire de
manager ou
d'expert
incertain et/ou
suscite des
inquiétudes
faible très faible
voire inexistant