1 - Gestion Des Risques Theorie - 1

Gestion des risques
INTRODUCTION
© 2013 Deloitte Belgium

Le risque
1 2
Sa Gestion
3
Son
déploiement

QU’EST CE QU’UN RISQUE
LE PROJET/ L’OBJECTIF

5
L’OPPORTUNITE

6
LE DANGER

7
LA GESTION DES RISQUES

8
“Le risque est comme le feu:
S’il est contrôlé, il vous aidera;
mais incontrôlé, il détruira”
Theodore Roosevelt
Définition du risque
Un risque est un
évènement incertain
et futur dont la
survenance prive
l’entreprise d’une
ressource et
l’empêche d’atteindre
un ou plusieurs de ses
objectifs

10
Qu’est-ce qu’un risque ?
Valeurs / objectifs de l’entreprise
Type d’impacts
Risque La Finance
La Qualité
Cause Effet
Cause Effet L’Image
Evenement
Cause Effet Les gens
Cause Effet
L’environnement
….
Une cause est un
Un évènement est Un effet est la
facteur interne ou
un incident qui a conséquence de
externe à
un impact sur l’évènement. Il
l’occurrence d’un
l’organisation. peut être mesuré.
évènement.
La cause influence L’effet mesuré

la probabilité du influence le niveau R ~ I et P
risque d’impact du risque
© 2016 Deloitte Belgium 10

Autres notions
Risque inhérent vs risque résiduel
Risque inhérent Contrôles Risque résiduel
Transférer, Accepter, Mitiger, Eviter

élevé • Définition du design du contrôle.
Evaluation du Risque
• Validation du progrès de remédiation

Contrôles Risque résiduel
Risque inhérent
faible
faible élevé
Niveau de contrôle
Autres notions

Autres notions
Risque inhérent Contrôles Risque résiduel
Mitigation
élevé • Définition du design du contrôle
Evaluation du Risque
• Validation du progrès de remédiation

Contrôles Risque résiduel
Assurance
• Evaluation des actions de mitigation
• Test des activités de contrôle interne
Risque inhérent
Redéploiement
• Rationalisation des contrôles
• Analyse coûts/bénéfices
faible
faible élevé
Niveau de contrôle
Qui gère les risques?
Il existe un certain nombre d'outils qui permettent de faciliter les discussions et l’analyse
de risque.
Toutefois, chaque entreprise est différente. Les sociétés n'ont pas les mêmes risques. La
tolérance aux risques et leur gestion sont parfois très différentes.
Board
Risk of
Governance Directors
Risk
Executive Management
Infrastructure
& Oversight
Risk Business Units & Supporting Functions

Ownership

Tester vos
connaissances

Test: Cause ou Risque?
• Formations animées par des instructeurs moins expérimentés / plus jeunes
(disposant de moins d'exemples concrets pour illustrer leur discours / étant
moins à même d'expliquer l'importance de respecter et d'appliquer les règles)
(cause)
• Avoir des difficultés à former les agents récemment recrutés. (risque)
• Nous avons réceptionné une même facture de fournisseur mais avec une
référence différente. (cause)
• Encoder deux fois la même facture. (risque)
• Acte de malveillance et absence de politique clairement définie sur la sûreté

des actifs (cause)
• Indisponibilité du réseau (risque)
• L’administration a un manque de budget dédié à la communication externe (cause)

• Communiquer de manière erronée/ inadaptée avec l’ extérieur . (risque)
• Plusieurs étapes du processus nécessitent une intervention manuelle (cause)

• Erreurs d'encodage. (risque)
LA GESTION DU RISQUE
“Je ne peux pas imaginer une situation susceptible
de faire sombrer un navire.
Je ne peux concevoir qu'un malheur puisse frapper
ce vaisseau.”
Le commandant
Edward Smith
“Le risque provient de
ne pas savoir ce que
l’on fait.”
Warren Buffet
Risk is like fire: If
controlled it will help
you; if uncontrolled it
will rise up and
destroy you
Pourquoi la gestion des risques?
Procédure légale pour marché

public: Jacqueline galant ‘s’est
assise dessus’
RTBF – Octobre 2015
Détournement par le comptable

de l’OWD: le montant pourrait
atteindre deux millions d’euros
RTBF – Février 2016
Des milliers de factures payées

en retard par la Région
bruxelloise
RTBF – Octobre 2015

Pourquoi la gestion des risques?
• Etre en conformité avec les

exigences règlementaires
• Mieux comprendre et réduire les

risques et les pertes
• Améliorer l’efficacité et l’efficience

des activités
• S’assurer de la conformité, de la
régularité des activités et de la
fiabilité des informations
• Protéger la réputation et l’image de

l’entreprise

Qu’est ce que la gestion des risques?
La Gestion des Risques d’Entreprise est une structure qui permet une
approche systématique pour identifier les risques, les évaluer et les gérer.
La Gestion des Risques d’Entreprise couvre l'ensemble des activités et permet à

toutes les fonctions et spécialisations, à travers une logique cohérente, de gérer
les risques et de faire rapport.
Elle fait partie intégrante de la culture d’entreprise et elle est présente de la

stratégie aux opérations quotidiennes, en passant par les divers processus
décisionnels de l’entreprise.
Chacun est partie prenante en fonction des rôles et des responsabilités en

matière de gestion des risques clairement définis, le tout supporté par un système
(informatique ou non) et par une formation adéquate.

Mettre en place un gestion des risques
On distingue 4 différentes phases dans la gestion des risques :
I. Identification et II. III.

IV.
Développement Implémentation
évaluation des Monitoring &
de mesures de des mesures &
risques Reporting
contrôles testing

PAUSE

Mettre en place un gestion des risques
On distingue 4 différentes phases dans la gestion des risques :
I. Identification et II. III.

IV.
Développement Implémentation
évaluation des Monitoring &
de mesures de des mesures &
risques Reporting
contrôles testing
Développer des
I.1 Identifier les risques II.1 Réponse au risque Implémenter les mesures méthodes de suivi des
actions
I.2 Valider la liste des

II.2 Design des Contrôles
risques
I.3 Evaluer les risques

Identification et évaluation des risques
Identifier les risques


1
Sessions d’identification des risques
Il faut veiller à prendre en

compte un large éventail
de risques…
A partir des objectifs (définis)

Top-down: les objectifs stratégiques (population 1)
Bottom-up: les objectifs opérationnels (population 2)
Posez-vous la question suivante:

Qu'est-ce qui pourrait empêcher cet objectif d'être
atteint?

Quels types de risques?
• Turn over important du personnel • Partage insuffisant de l’information • Faillite des banques et
• Manque de fiabilité des informations • La qualité des rapports donc incapacité d'avoir
financières accès à des financements
pour réaliser les activités
S G C
Stratégique Gouvernance Compliance
O R F
Opérationnels Reporting Facteurs
Externes
• Risque de taux intérêts • Prise de décision et délégation • Absence du suivi de la

impactant la gestion de la des pouvoirs inappropriés réglementation
dette

Exemples de risque Opérationnel
Difficulté de recrutement
Difficultés de rétention des

compétences
Inadéquation du dispositif de Gestion des

formation compétences
HR
Défaut de gestion des carrières
Défaut de gestion des compétences - rares

Résultat attendu
1 2
Session d’identification des risques Consolidation des informations
Captation des
risques
opérationnels
(OR)
4 3
Classer les risques dans les catégories du Traduire informations en risques
« Risk Map » (Création du Registre des risques)
Regroupement
des OR en
risques
d’entreprise
(BR)

Résultat attendu
3
Traduire les informations en risques (Création
du Registre des risques)
Echelle
Propriét Descripti Activité
Nature du Titre du Conséquenc Echelle de Echelle
Service aire du Causes on du de
risque risque es d’impact probab globale
risque risque contrôle
ilité
Conditions de La société
travail rencontre Impact financier:
difficiles: des Augmentation
Difficultés de difficultés à des coûts liée:
Rythmes de
RH Opérationnel Recruter rétention des travail retenir ses à l'augmentation
compétences décalés compétence des prix des
Pression s, entraînant prestations de
Forte des départs sous-traitance.
responsabilité non désirés

Valider la liste des risques
3
Traduire les informations en risques (Création
du Registre des risques)
• Rédiger le registre des risques: description de

la cause du risque, de son effet et de sa
classification en fonction des objectifs impactés
par le risque
• Valider le registre des risques
• Passer à l’évaluation des risques

Evaluer les risques
1 2 3
Heat map Sessions de quantification
Consolidation
Types d’Impact
Echelle d’Impact
Echelle de fréquence
• Objectif : générer le débat <> obtenir la mesure scientifique
• Multiplie les subjectivités pour tendre vers l’objectivité

Evaluer les risques
Il est
impossible
de traiter R=I&P
tous les
risques

Evaluer les risques
Evaluer un risque signifie

lui attribuer des critères
d’importance , afin de
classer le risque par ordre de
priorité.
Pour mesurer un risque il

faut tenir compte de 2
critères:
• La gravité qui mesure
l’importance des impacts
envisagés en cas de
survenance du risque.
• La probabilité que ce
risque survienne

Evaluer les risques – exemple d’échelle
Type Impact
Financier Capacité Compliance (Légal) Image - Réputation
Génère des sur-coûts (en euros) Service rendus aux citoyens, aux entreprises et aux autres Réputation vis-à-vis des parties prenantes
Lois, Règlements, Circulaires, Bonnes pratiques, …. Non
ou des impacts financiers de l'ordre administrations. Impact négatif sur la capacité à exécuter les (citoyens, entreprises, autres administrations, …).
respect des lois, règlements, bonnes pratiques, …
de … activités. La réputation de BFB est endommagée …
Blocage structurel des processus cœurs de métier liés aux

Des actions (avec impact potentiellement financier) sont
paiements, aux recettes du pot commun et aux recettes des fonds
prises au niveau de la Commission Européenne (e.g. ...pendant une très longue période.
organiques. L’exécution des activités de BFB sur ces processus
6 plus de 25 Millions euros
est interrompue pendant plusieurs jours ou très fortement
interruption des paiements pour le feder). BFB ne respecte Communication négative fréquente dans la presse
pas, de manière grave, les délais légaux d'exécution de ses nationale et/ou régionale
perturbée. Incapacité totale d'atteindre les objectifs stratégiques
activités sur les processus cœur de métier (eg budget)
de manière structurelle
Blocage structurel des processus cœurs de métier liés aux
Des actions (recommandations, "rappel à l'ordre", ...) sont
paiements et aux recettes des fonds organiques. L’exécution des … pendant une longue période. Des questions ou
prises au niveau de la Cour des Comptes et/ou du Conseil
Entre 5 Millions et 25 Millions activités de BFB sur ces processus est interrompue pendant des interpellations parlementaires en session
5 d'euros quelques jours ou fortement perturbée. Des projets importants ne
d'Etat. BFB ne respecte pas, de manière significative, les
plénière publique sont adressées au Ministre,
délais légaux d'exécution de ses activités sur les processus
peuvent pas être exécutés. Incapacité d'atteindre plusieurs avec couverture presse nationale et/ou régionale.
cœur de métier (eg budget)
objectifs stratégiques .
Blocage structurel des processus cœurs de métier liés aux … pendant une certaine période. Des questions
Des actions sont prises au niveau des Gouvernements
paiements et aux recettes du pot commun. L’exécution des ou des interpellations parlementaires sont
Fédéraux et/ou du Gouvernement Régional. BFB ne respecte
4
Gravité
Entre 800 keur et 5 Millions d'euros activités de BFB sur ces processus est interrompue pendant adressées au Ministre en commission avec
pas, pour quelques jours, les délais légaux d'exécution de
quelques jours ou fortement perturbée. Retard dans l'atteinte des potentiellement une couverture presse ou la Cour
ses activités sur les processus cœur de métier (eg budget)
objectifs stratégiques des comptes publie un cahier thématique.
Contraintes dans l'exécution (e.g. retards) des processus cœurs Des actions sont prises au niveau des tribunaux compétents
de métier liés aux paiements, aux recettes du pot commun et des (e.g. cas de délais de paiement non respectés par … pendant une courte période. Communication
3 Entre 250 keur et 800 keur fonds organiques. L’exécution des activités de BFB sur ces l'administration). BFB ne respecte pas, pour 1 jour, les délais négative régulière dans la presse nationale et/ou
processus est perturbée. Retard dans l'atteinte de plusieurs légaux d'exécution de ses activités sur les processus cœur régionale
objectifs stratégiques de métier (eg budget)
Contraintes dans l'exécution (e.g. retards) des processus cœurs Des plaintes légitimes de plusieurs citoyens, entreprises ou
de métier liés aux paiements et aux recettes des fonds administrations sont adressées directement à BFB. BFB ne … pendant une courte période. Des questions de
2 Entre 150 keur et 250 keur organiques. L’exécution des activités de BFB sur ces processus respecte pas, pour qqs heures, les délais légaux d'exécution la Cour des comptes sont adressées au Ministre
est perturbée. Des projets importants peuvent être impactés. de ses activités sur les processus cœur de métier (eg (sans publication)
Retard dans l'atteinte de certains objectifs stratégiques budget)
Contraintes dans l'exécution (e.g. retards) des processus cœurs Des plaintes légitimes d'agents internes sont adressées à
… pendant une très courte période.
de métier liés aux paiements et aux recettes du pot commun. BFB. BFB ne respecte pas, pour qqs minutes, les délais
1 Moins de 150 keur
L’exécution des activités de BFB sur ces processus est perturbée. légaux d'exécution de ses activités sur les processus cœur
Communication ponctuelle négative dans la
presse nationale / régionale
Retard dans l'atteinte d'un objectif stratégique de métier (eg budget)
38
Evaluer les risques – Heat Map
Heat Map - FR
TYPES Catastrophi
que
3,5 4 4,5 5 5,5 6
D’IMPACTS
Très
important
3 3,5 4 4,5 5 5,5
Niveau du risque
ECHELLE DE
GRAVITE 2,5 3 3,5 4 4,5 5
Gravité
Grand
Significatif 2 2,5 3 3,5 4 4,5
ECHELLE DE
PROBABILITE Modéré 1,5 2 2,5 3 3,5 4
Faible 1 1,5 2 2,5 3 3,5
NIVEAU DU Très faible Faible Raisonnable Réelle Grande Très grande
RISQUE
Survient
Survient maximum 1 Survient 1 à Survient 1 à Survient 1 à
annuellement (ou 5 Survient 1 à plusieurs fois
fois tous les 5 ans plusieurs fois par plusieurs fois par plusieurs fois par
fois sur la par semestre
(une législature). trimestre mois semaine
législature)
1 2 3 4 5 6
Probabilité
Evaluer les risques – Calcul du niveau de risque
“r” = le niveau de risque

 R = (I+P) / 2
Impact = 6,0
R = (I+P) / 2
Probabilité = 4,0
R = 5,0
Impact = 4
Probabilité = 5
R = 4,5
Impact
Impact = 2
Probabilité = 5
R = 3,5
Probabilité d’occurrence

Evaluer les risques – Résultat attendu
1 Résultats des sessions
de quantification:
Definition de la matrice des risques
Types d’Impact
Echelle d’Impact
Echelle de fréquence
2 3
Réalisation des sessions de quantification Consolidation des informations /
synthèse des résultats

Evaluer les risques - Exemple
Catastrophique
Risque
élevé
Risque moyen
Impact Moyen
Risque faible
Faible
Très faible Raisonnable Très grande
Probabilité
Développement de mesures de contrôles
Réponse au risque
MITIGER ELIMINER
RISQUE
TRANSFERER ACCEPTER

Design des contrôles
Les activités de contrôles sont des mesures de gestions qui sont développées et
mises en œuvre pour réduire les risques.
L’objectif principal est de réduire leur gravité (protection) et leur fréquence
(prévention)

Design des contrôles
Il faut faire la distinction entre les mesures préventives, curatives et correctives
Type Apparition Cible Influence
Préventive Avant l’incident Cause Fréquence
Curative Avant/après Le risque lui même Fréquence/Impact

l’incident
Corrective Après l’incident Conséquence Impact
Exemple: Risque que les médicaments soient périmés
Action Curative: jeter les médicaments

Action Préventive: mettre en place un système ERP dans lequel les dates de
péremptions de chaque produit sont mentionnées.
Action Corrective: mettre en place une procédure de gestion des stocks incluant
un contrôle périodique des produits.
Design des contrôles – Exemples
Risque de panne d’électricité
Acheter un générateur de
secours
Risque de crédit client
Mettre en place une limite de
crédit pour chaque client.
Risque de fraude
Implémenter la séparation
des fonctions
et des responsabilités dans le
processus d’achat.
Risque que les employés
soient payés alors qu’ils ont
quittés la société
Mettre en place une procédure de Risque d’attaque des
sortie et s’assurer que tous les accès systèmes IT
sont désactivés
Mettre en place un firewall et un
système de back up des données.
Risque que la machine

tombe en panne
Mettre en place un planning de
maintenance préventive.
Implémentation des mesures et
Monitoring
Implémentation des mesures Tester les mesures Monitor et reporting
Implémentation des mesures Tester les mesures Monitor
Mise en œuvre
du
Roadmap
Plan d’action
Rôles et
responsabilités

Focus sur le monitoring du risque
Exemple d’indicateur de risque clé (KRI):
augmentation des matières premières
KRI: Taux de change

Evolution des taux de change (USD, EUR, YEN, TAKA)
2 • Explication: ayant des activités dans plusieurs
parties du monde, l’entreprise est exposée au
1,5
EUR/USD risque de change pour plusieurs devises
1 EUR/YEN • Source: sites spécialisés
EUR/TAKA
0,5 • Calcul du KRI: devise / devise
TAKA/YEN
• Fréquence de calcul: biannuelle
0
1 2 3 4 5 6

Facteurs clés de
réussite

Facteurs clés de réussite de la gestion des risques
• Soutien du Conseil d’Administration et Senior Management

• Ressources allouées claires et suffisante
• Formuler une définition du risque claire et commune pour toute l’entreprise
• Créer un référentiel de gestion du risque solide pour assurer l’exhaustivité
(méthodologie)
• Responsabilité claire, également pour les risques qui transcendent plusieurs
fonctions et département (pas de zone grises)
• Travailler avec des KPI/KRI’s mesurables
• Etablir une bonne structure de reporting & de suivi des progrès
• Implémenter un outil de support qui répond aux besoins de la compagnie
• Evaluer une fois, satisfaire tout le monde

DEPLOIEMENT AU SEIN DE
L’ADMINISTRATION

1 - Gestion Des Risques Theorie - 1

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

1 - Gestion Des Risques Theorie - 1

Hochgeladen von

Copyright:

Verfügbare Formate

Gestion des risques

© 2013 Deloitte Belgium

© 2016 Deloitte Belgium

© 2016 Deloitte Belgium

© 2016 Deloitte Belgium

© 2016 Deloitte Belgium

© 2016 Deloitte Belgium

© 2016 Deloitte Belgium

La cause influence L’effet mesuré

© 2016 Deloitte Belgium 10

Risque inhérent Contrôles Risque résiduel

Transférer, Accepter, Mitiger, Eviter

• Validation du progrès de remédiation

© 2016 Deloitte Belgium 13

Risque inhérent Contrôles Risque résiduel

• Validation du progrès de remédiation

Risk Business Units & Supporting Functions

© 2016 Deloitte Belgium 15

© 2016 Deloitte Belgium 16

• Acte de malveillance et absence de politique clairement définie sur la sûreté

• L’administration a un manque de budget dédié à la communication externe (cause)

• Plusieurs étapes du processus nécessitent une intervention manuelle (cause)

Procédure légale pour marché

Détournement par le comptable

Des milliers de factures payées

© 2016 Deloitte Belgium 21

• Etre en conformité avec les

• Mieux comprendre et réduire les

• Améliorer l’efficacité et l’efficience

• Protéger la réputation et l’image de

© 2016 Deloitte Belgium 22

La Gestion des Risques d’Entreprise couvre l'ensemble des activités et permet à

Elle fait partie intégrante de la culture d’entreprise et elle est présente de la

Chacun est partie prenante en fonction des rôles et des responsabilités en

© 2016 Deloitte Belgium 23

I. Identification et II. III.

© 2016 Deloitte Belgium 24

© 2016 Deloitte Belgium 25

I. Identification et II. III.

I.2 Valider la liste des

I.3 Evaluer les risques

© 2016 Deloitte Belgium 26

© 2016 Deloitte Belgium 27

© 2016 Deloitte Belgium 28

Sessions d’identification des risques

Il faut veiller à prendre en

A partir des objectifs (définis)

Posez-vous la question suivante:

© 2016 Deloitte Belgium 29

• Risque de taux intérêts • Prise de décision et délégation • Absence du suivi de la

© 2016 Deloitte Belgium 30

Difficultés de rétention des

Inadéquation du dispositif de Gestion des

Défaut de gestion des compétences - rares

© 2016 Deloitte Belgium 31

© 2016 Deloitte Belgium 32

© 2016 Deloitte Belgium 33

• Rédiger le registre des risques: description de

© 2016 Deloitte Belgium 34

• Objectif : générer le débat <> obtenir la mesure scientifique

• Multiplie les subjectivités pour tendre vers l’objectivité

© 2016 Deloitte Belgium 35

© 2016 Deloitte Belgium 36