La maitrise globale des risques dans les grands groupes industriels

La maitrise globale des risques dans

les grands groupes industriels Introduction à l’atelier du 16 octobre,

élaborée à partir d’un benchmarking associant des représentants

d’Air Liquide, CEA, CNES, EDF, GDF SUEZ, SNCF et Total.

Jean Blouvac – CNES Laurent Magne – EDF [email protected] [email protected]

mailto:[email protected]

mailto:[email protected]

2

Introduction

La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012

L’atelier vise deux objectifs :

Présentation et partage sur les principes de la gestion globale des risques

Débat et témoignages sur les conditions de succès, les facteurs d’échec,

les choix organisationnels…

Préparation de l’atelier

La première partie (présentation et partage) a été élaborée sur la base de la

mise en œuvre à EDF, afin que les concepts soient concrètement incarnés.

Les éléments présentés ont été largement partagés lors d’un

benchmarking au cours duquel des représentants d’Air Liquide, CEA,

CNES, EDF, GdF Suez, SNCF et Total ont présenté leur démarche.

La deuxième partie (introduction au débat) a été préparée au sein du

groupe de travail « Méthodes de Management des Risques Industriels » de

l’IMDR, dans le but d’identifier des questionnements cruciaux auxquels

toute démarche de gestion globale des risques est nécessairement

confrontée.

3

1ÈRE PARTIE – PRÉSENTATION

ET PARTAGE

---- GÉNÉRALITÉS SUR LA

GESTION GLOBALE DES RISQUES

(A PARTIR DE L’EXPÉRIENCE D’EDF)


4

Plusieurs catégories de risques

La notion de risque englobe des catégories très diverses

Selon les catégories de causes

Risques liés à la stratégie, l’organisation, ou le pilotage de la performance

Risques liés à l’environnement externe, politique, régulatoire, sociétal…

Risques opérationnels, eux-mêmes très différents selon qu’il s’agit de risques industriels,

risques commerciaux, risques de marché…

Selon la situation dans l’entreprise

Risques liés aux missions d’une entité

Risques liés aux projets

Ces catégories appellent des stratégies de traitement différentes

Processus continu de mise sous contrôle

Plans d’actions d’amélioration ou de transformation

Recherche d’opportunités nouvelles

La « maîtrise globale des risques » couvre toutes ces catégories

dans une vue d’ensemble


5

Dispositifs « sectoriels » mis en place par EDF pour la

maîtrise des risques et des activités

Les dispositifs mis en place au fil du temps dans les principaux secteurs

garantissent largement la maîtrise des risques et des activités du Groupe EDF :

Risques technologiques ("risque de défaillance des systèmes ou des infrastructures")

Organisations pour la sûreté nucléaire, la sûreté hydraulique, la sureté du système électrique

Risques naturels et climatiques

Organisation du Groupe pour la prévention et la protection face aux événements naturels

Risques environnementaux et sanitaires

système de management de l’environnement, politique biodiversité, politique qualité de vie au travail,

systèmes de management de la sécurité…

Risques de malveillance, d'agression terroriste

Politique sécurité, organisation spécifique

Risques financiers

Principes de gestion des risques financiers (risques de marché, risques de contrepartie…)

Risques de marchés d’énergie (incertitudes sur les volumes, prix)

Politique de gestion des risques de marché d’énergie.

Risques de non-conformité

Politiques juridiques, organisation comptable et fiscale, politique marchés sensibles, etc.

…


6

Dispositifs « généralistes » mis en place par EDF pour la

maîtrise des risques et des activités

Dispositifs mis en place dans les années 2000-2010 :

Cartographie des risques (cadre de référence complet depuis 2003-04)

S’assurer que les « risques majeurs » sont identifiés et font l’objet d’actions de maîtrise

pilotées au bon niveau de l’Entreprise

Rendre compte des risques majeurs à la Direction et aux organes de Gouvernance

Contrôle interne (cadre de référence complet depuis 2006, rénové en 2010)

Obtenir une « assurance raisonnable » de maîtrise des activités dans tous les domaines

(conformité aux lois et règlements, fiabilité des informations financières, préservation des

actifs, respect des décisions de la direction)

Rendre compte de la maîtrise des activités à la Direction et aux organes de Gouvernance

Méthode s’appuyant sur des analyses de risques pour prioriser les actions de mise sous

contrôle

Ces dispositifs complètent les outils « sectoriels »…

… et sont rendus nécessaires par la complexité (interne, externe), les

enjeux nouveaux (concurrence, international), les exigences des

parties prenantes et les lois / normes


7

Les objectifs de la « démarche risques » d’EDF

Objectifs "Management"

permettre l'identification et la hiérarchisation des risques dans tous les domaines

en vue d'en assurer une maîtrise de plus en plus robuste

responsabiliser et mobiliser les entités du Groupe et leur management sur

l’identification, l’évaluation et le traitement des risques

en vue de contribuer à sécuriser la trajectoire stratégique et opérationnelle du

Groupe,

Objectifs "Gouvernance"

Permettre aux dirigeants et aux organes de gouvernance d’EDF d’avoir une vision

consolidée, régulièrement mise à jour, des risques majeurs et de leur niveau de

contrôle,

pour répondre aux besoins croissants d'information des parties prenantes quant

au management des risques de l'entreprise vis-à-vis de l'externe

et pour répondre aux exigences croissantes imposées par les lois et guidées par

les normes


8

Les liens Risques / Audit / Contrôle Interne


Audit

interne

Gestion des risques / Maîtrise des activités

Mis en œuvre par les métiers, entités fonctionnelles, filiales

Fournir une assurance raisonnable

de la maîtrise des risques et des activités du Groupe EDF

Mise sous contrôle des risques majeurs

Aide à l’identification

des risques majeurs

Contrôle

interne

Prioriser les actions

de maîtrise des

activités selon les

risques (métier &

« compliance »)

Cartographie

des risques

Se réinterroger

régulièrement

sur les risques

majeurs

9

Organisation Risques / Audit / Contrôle interne au niveau

« corporate » d’EDF


Autres missions - Gestion de Crise, - Risques partenaires, - Contrôle des risques financiers, - Contrôle des risques de marché d’énergie

Veille : risques

émergents / stratégiques

Secrétaire Général

Président

Directeur délégué en charge des risques et de l’audit

Direction de l'Audit Direction des

Risques

Cartographie

des risques

Analyse des risques

associés aux Investissements

Programme d’audit

-------

Missions d’audit

Animation du contrôle interne

10

Autres

utilisations

de la

cartographie

Programme d’audits internes

Cartographie des risques

"élémentaires"

(~ 800 à 900 risques)

Vue hiérarchisée des risques (~ 90 « méta-risques » de niveau groupe)

Rapport semestriel Comex / Comité d’Audit présenté en même temps que les arrêtés des comptes

Résumés, synthèses

Autres utilisations de la Cartographie :

Chapitre Facteurs de risques du DDR, Présentation aux

CAC, Assurances, …

Réinterrogation « informelle » par Direction des risques - Croisement risques fonctionnels & opérationnels - Croisement avec risques émergents - Croisement avec analyses risques projets

Organisation pour la cartographie des risques (EDF)


Analyses risques Directions

opérationnelles

Filiales, Dir° fonctionnelles

Contrôle interne

Management

Des entités

Bottom-up entités + Analyse critique et synthèse DCRG + Bouclage par l’audit

Collecte Synthèse

Boucle

d’amélioration

« informelle »

Boucle

d’amélioration

« formelle »

11

Principes généraux de l’organisation « cartographie des

risques »

Implication et responsabilisation des acteurs du Groupe

Entités et filiales sont responsables :

de leur gestion des risques identification, hiérarchisation, efficacité du traitement…

de la déclaration de leurs risques à la Tête de Groupe (choix de déclarer, contenu des descriptions)

Processus impliquant toutes les entités :

Directions opérationnelles, principales filiales, directions fonctionnelles

Permettant une vision croisée

Examen critique des risques par la DCRG lors de l'exercice de cartographie

Analyse de tous les types de risques

Risques opérationnels, financiers, marchés, stratégiques, réglementaires, naturels…

C’est à dire tous les risques qui pèsent potentiellement sur l’atteinte des objectifs du Groupe

Méthode partagée au sein du Groupe ("langage commun")

Consolidation et présentation semestrielle au Comex et aux organes de

gouvernance (comité d'audit)


12

Identification / évaluation / maîtrise des risques majeurs :

une méthode partagée au sein du Groupe EDF

Un risque est un « événement redouté » susceptible de gêner la réalisation des objectifs

de l’entité ou du Groupe

Le propriétaire d’un risque est la personne ou l’entité portant la responsabilité des

objectifs et de leur maîtrise, décideur de la gestion des risques

L'identification des risques est réalisée en fonction des enjeux et objectifs du Groupe / de l’Entité

grâce une typologie partagée au sein du Groupe EDF visant à « ne rien oublier » (opérationnel, externe, stratégie)

en s'appuyant sur le REX (événements, indicateurs, veille, alertes..)

et en veillant à caractériser les risques de façon factuelle

L’évaluation des risques est réalisée selon une méthode partagée dans le Groupe

Mesure du risque selon 3 critères : Impact / Probabilité / Niveau de Contrôle (= maîtrise)

Chaque critère est coté sur une échelle de 1 à 5 [voir Annexe 2]

L'impact est analysé en détail selon 7 catégories d'impact :

Financier – Environnemental – Sanitaire – Image – Stratégie – Satisfaction client – Social.

Chaque entité peut compléter ces catégories pour affiner la description

La hiérarchisation est faite par le management à partir d’une combinaison de ces trois critères

Pour chaque risque majeur, le traitement du risque est défini et mis en œuvre

Définition d’une stratégie de traitement (réduction, protection, transfert, couverture, plan B…)

Si nécessaire, mise en œuvre d’un plan d’actions priorisé suivi au niveau du propriétaire


[Voir Annexe 2]

13

2ÈME PARTIE :

QUESTIONNEMENT

DÉBAT & TÉMOIGNAGES


14

Analyse critique – enjeux – difficultés : Introduction

Toutes les présentations sur la gestion des risques donnent une image

lisse d’un processus – y compris celle-ci ! – mais …

Y a-t-il des organisations préférables à d’autres ?

Quelles sont les conditions de succès ?

Quels sont les facteurs d’échec les plus importants ?

Quelles sont les relations entre la gestion globale des risques et d’autres

démarches de gouvernance ?

Comment mesurer l’efficacité d’un système de gestion des risques ?

Il n’y a pas de réponse toute faite à ces questions, mais on peut

identifier des questionnements cruciaux, auxquels toute démarche

de gestion globale des risques est nécessairement confrontée.

Appel au débat et aux témoignages


15

Quels choix organisationnels structurants ?

Identification des risques bottom-up ou top-down ?

Bottom-up : risques proches des préoccupations du terrain

Top down : adapté pour une vision des risques transverses et en lien avec les parties

prenantes de l’entreprise

Quel rôle des directions « fonctionnelles » vs directions « opérationnelles » ?

Qui porte la gestion globale des risques ? A qui rapporte-t-il ?

Un système centralisé ou décentralisé en réseau ?

Faut-il un « comité des risques » au sein de l’entreprise ?

Le Directeur des risques rapporte-t-il au directeur financier ? Au(x) directeur(s)

opérationnel(s) ? Au Président (ou Direction générale) ?

Quelle organisation pour Risques / Contrôle interne / Audit ?

Comment articuler la complémentarité des approches ?

Quels regroupements organisationnels ? Indépendance ou convergence ?

Articulation entre gestion globale des risques et autres approches risques

Risques industriels ? Sécurité au travail, sécurité face à la malveillance, HSE ? Crise ?


16

Quelles conditions de succès ?

La capacité à exercer la mission : les points clés

Porter une contradiction « pertinente, efficace et constructive », se faire entendre

De la description des risques jusqu’à la maîtrise (plans d’actions sous contrôle)

Articuler Contrôle / Animation / Conseil / Veille / Alerte

Pérenniser l’impulsion initiale, obtenir l’appui durable de la direction générale

Quelques leviers

Quelle implication managériale ? L’implication managériale est un facteur de succès sine qua non. Comment l’obtenir ?

Liens entre risques / contrôle / et performance ?

Des exemples concrets (success stories) qui démontrent l’utilité des démarches ?

Intégration des démarches

Système de management intégré ?

(intégrant l’atteinte des objectifs, le pilotage des processus, la gestion des risques, le contrôle interne

dans un système unique)

Rôle, positions et posture des « correspondants risques » de tous niveaux

Expertise, crédibilité, légitimité des correspondants risques ?

Position proche des managers (au sein des comités de direction) ?

Posture d’appui et de facilitation ?


17

Quels facteurs d’échec ?

Perte du sens de la démarche

Démarche « risque » plaquée sans intégration au système

Approches incomplètes et redondantes provoquant confusion et perte de sens

Approches cloisonnées entre les différents niveaux / fonctions / directions de l’entreprise

Débat insuffisant, routine, analyses superficielles

Cartographie des risques figée, insuffisamment évolutive

Pas suffisamment de débat, risque de manquer « les vrais sujets »

Risques décrits et évalués dont on ne fait rien (pas de maîtrise des risques)

Des outils qui peuvent prendre le pas sur le sens

Exercice administratif loin du terrain et des préoccupations du management

Démarche de spécialistes, focalisation exagérée sur les méthodes et outils au détriment du sens

Complexité des approches (méthodes / outils) difficiles à prendre en main

Acteurs insuffisamment formés / sensibilisés / mobilisés

Difficultés liées à la gouvernance interne

Conflits d’intérêts…

Approches non sincères, Instrumentalisation des cartographies de risques…


18

Quelles limites, quelles ouvertures de la mission de

maîtrise globale des risques ?

Risques émergents, signaux faibles – ou faiblement entendus –

Risques et opportunités

Savoir examiner menaces et opportunités

En particulier pour les risques externes ou stratégiques, avoir une posture

plus large que « prévention / protection », mais aussi identification

d’opportunités, exploration de « plans B »…

Echanges « risques » et « stratégie » au service de la Direction

Relations « risques » et autres fonctions supports indispensables à

la gouvernance (RH, finances, juridique)

––––––––––––––––––

… Quelle évaluation de l’efficacité de la gestion des risques ?


19

ANNEXE 1

LES « FONDAMENTAUX »


20

Risque : définition

ISO 31000:2009 :

"Risque : effet de l'incertitude sur l'atteinte des objectifs"

Cadre de référence AMF (2010)

"Le risque représente la possibilité qu’un événement survienne et dont les

conséquences seraient susceptibles d’affecter les personnes, les actifs,

l’environnement, les objectifs de la société ou sa réputation."

EDF (2004) :

"Un risque est un événement ou une séquence d’événements susceptible de

gêner la réalisation des objectifs (…)"

En résumé : Un risque est un événement potentiel indésirable…

… en sachant aussi que :

Il n’y a pas d’entreprise sans risque,

la face « positive » du risque est l’opportunité

Nota : Cette définition est parfois controversée… Mais cette controverse

n’est pas l’objet de cet atelier


21

Comment caractériser un risque ?

Caractériser un risque c’est :

Préciser sa compréhension Quelle est la nature de l’événement que l’on redoute ?

Quelles sont les causes possibles – réelles ou potentielles ? (on dit aussi « facteurs » de risques)

Quelles sont les conséquences, selon diverses dimensions ? (opérationnelles, financières, environnementales, etc.)

Préciser sa « mesure » (« l'estimer ») Peut-on mesurer la possibilité de son occurrence ? Probabilité si possible ?

Peut-on caractériser sa gravité ?

Préciser le traitement du risque et la « mise sous contrôle » Indiquer les parades existantes

Bonne pratique d’EDF de « mesurer » le niveau de contrôle

Nota : Probabilité / Gravité sont rarement intrinsèques, mais dépendent des parades déjà en place


Risque (événement) Conséquences Causes

Probabilité Gravité Parades

Mise sous contrôle

22

Qu’est-ce que la gestion des risques ?

1. Les principes de base de la démarche

Identifier l’ensemble des risques En fonction des objectifs, du REX, des « parties prenantes », grâce à des check-lists…

Mesurer, évaluer et prioriser les risques Mesurer doit être le plus objectif possible (probabilité, gravité selon une analyse factuelle)

Evaluer ou prioriser traduit un choix (ce qu’on accepte / ce qu’on n’accepte pas)

Nota : l’acceptation ne porte pas sur un risque en soi, mais sur tout un ensemble : une vision et des perspectives

stratégiques, des impacts potentiels (apports, nuisances) aux plans économique, social, environnemental…

L'ensemble sur quoi porte le choix est donc associé à un panorama d’incertitudes , de menaces et d’opportunités)

Décider d’une stratégie de traitement selon les priorités Agir sur les causes : les supprimer, les diminuer (prévention), externaliser, etc.

Agir sur les conséquences : barrières (protection), couvrir, assurer le « risque résiduel », etc.

Surveiller, faire des contrôles ou des audits

Tolérer (accepter le « risque résiduel »)

Rechercher des opportunités nouvelles, des « plans B »

Agir, contrôler, reboucler Mettre en œuvre un plan d’actions et de contrôles selon la stratégie de traitement

Tirer les enseignement des actions et des contrôles : analyser les résultats et l’efficacité des actions,

analyser les écarts, remonter aux « causes profondes »

alimenter l’analyse de risques de ces enseignements


23

Qu’est-ce que la gestion des risques ?

2. Le sens des démarches

Une mission au service du management :

Sécuriser dans la durée l’atteinte des objectifs

Deux démarches complémentaires

Maîtriser en continu les risques et les activités

Identifier et hiérarchiser les risques, les difficultés réelles et potentielles (dangers, menaces)

Choisir les « parades », les « points de contrôle » , les « indicateurs de surveillance »

Agir, tirer les enseignements, reboucler

S’interroger sur les risques et enjeux majeurs : anticiper et prendre du recul

S’interroger sur les événements potentiels qui peuvent peser sur les objectifs / activités

S’interroger sur les facteurs externes, organisationnels, stratégiques…

S’interroger sur l’efficacité des actions engagées, et sur les nouvelles opportunités créées, re-prioriser

Quelques principes guidant la réflexion : Pas d’entreprise sans risque

Le management est responsable de la maîtrise des risques et des activités

Maîtriser les risques = sécuriser la trajectoire, mais aussi parfois proposer un « plan B »

Ne pas oublier la dimension « opportunités »

Rechercher les opportunités existantes au sein d’un panorama de risques et de menaces

Etudier les risques « à faire », mais aussi « à ne pas faire »


24

Pourquoi faire une analyse de risques ? Qui fait ?

On ne fait pas une cartographie des risques seulement pour un reporting !

Pourquoi faire une analyse de risques ?

D'abord parce que le management des risques est entièrement de la

responsabilité du management. Mais c'est aussi :

une occasion de prise de recul et de réinterrogation du management sur

« ce qui peut mettre en danger les objectifs de l’entité »

une hiérarchisation des activités / domaines à « mettre sous contrôle »

un outil structurant pour définir les priorités d’actions

un bon outil de revue de processus (partage au sein d'un « codir »)

un outil de dialogue entre l’entité n et le management n+1

…et aussi un reporting contribuant à la cartographie des risques Groupe

Qui fait l’analyse de risque et quand ?

A chaque niveau managérial décisionnel d’une entité (Direction, Division,

Unité…)

Au niveau d’une Direction N-1 Comex, le rythme semestriel est requis pour

la cartographie des risques groupe


25

ANNEXE 2

QUELQUES POINTS-CLÉS DES MÉTHODES EDF POUR LA

CARTOGRAPHIE DES RISQUES


26

Typologie des risques utilisée – « check list » pour identifier les risques


Risques liés à l’environnement externe du groupe

Efficacité de l’organisation

Conformité

Éthique et Développement durable

RESSOURCES HUMAINES

AUTRES PROCESS SUPPORTS

Système d’information

Communication externe

Appros – Achats – Fournisseurs

INSTITUTIONNEL ET SOCIETE

Politique /

Législation

Positionnement des acteurs

Mutation sociétale

Sensibilité au contexte économique

Marché de gros de l’énergie (prix, disponibilité, …)

Concurrence

Mutation technologique

MARCHES

Contrepartie

Demande clients

Taux de change

CATASTROPHE

Accident d’origine externe / Attentat

Catastrophe naturelle

Taux d’intérêt

TRANSVERSES

COEUR DE METIER

Opérations sur marché énergie / Optimisation amont-aval

Commercial

Technique

Atteinte à l’environnement naturel ou humain

Conduite de projets

Management des hommes

Compétences - Gestion du savoir

Gestion du changement

Conflit social - Grève

Santé et sécurité

Rémunération de la performance

Intégrité

Valeur des actifs

FINANCE

Fonds propres

Niveau d’endettement

Liquidité – Cash Flow

Engagements financiers

Opérations sur marchés financiers

Crédibilité financière

Recherche et Développement

Risques opérationnels

Stratégie et pilotage STRATEGIE

Business model / Processus décision

Mode de gouvernmt / Mise en œuvre stratégie

Développement externe

Maîtrise des partenariats / JV

PILOTAGE DE LA PERFORMANCE

Maîtrise du pilotage de la performance

Méconnaissance d’engagements contractuels

Contrôle des participations

Actionnaires

Régulation

Facturation / Recouvrement

27 La maitrise globale des risques dans les grands groupes industriels - Atelier Lambda-mu 18 du 16/10/2012

Les échelles d’évaluation des risques

1 2 3 4 5

Impact faible

(incident de

parcours)

moyen

(affectant

l'activité de

l'entité sur une

année)

fort

(affectant

l'activité de

l'entité sur

environ 3 ans)

majeur

(affectant

durablement

l'activité de

l'entité)

capital

(mettant en jeu

la survie de

l'entité)

Probabilité 1%

(très peu

probable)

5%

(à ne pas

écarter)

25%

(possible)

50%

(tout à fait

possible)

75%

(très probable)

Niveau de

contrôle

élevé ;

appréciation

fondée sur des

bases

objectives :

audits, …

correct ;

appréciation à

dire de

manager ou

d'expert

incertain et/ou

suscite des

inquiétudes

faible très faible

voire inexistant

La maitrise globale des risques dans les grands groupes industriels

Education

Transcript of La maitrise globale des risques dans les grands groupes industriels