Urbanisme du contrôle interne
Thème : Urbanisme du contrôle interne
Problématique : Quelles sont les conditions essentielles pour mettre en œuvre un urbanisme de contrôle interne efficient en terme de gestion de risques ?
Plan
1.1- Concepts essentiels
1.1.1- Les objectifs du CI
1.1.1.1- Objectifs opérationnels
1.1.1.2- Objectifs d’informations
1.1.1.3- Objectifs de conformité
1.1.2- Les composantes du CI
1.1.2.1- Environnement de contrôle
1.1.2.2- Evaluation des risques
1.1.2.3- Activités de contrôle
1.1.2.4- Information et communication
1.2- Les acteurs du contrôle interne
1.2.1- Les différents acteurs et leurs rôles respectifs
1.2.1.1- Les organes de gouvernance
1.2.1.1.1- Le Conseil d’administration
1.2.1.1.2- La Direction
1.2.1.2- Les fonctions Contrôle et Risque
1.2.1.2.1- L’audit interne
1.2.1.2.2- Prévention/Gestion des risques
1.2.1.2.3- Contrôle permanent
1.2.1.2.4- Conformité
1.2.1.3- Les acteurs métiers
1.2.1.3.1- Système d’information
1.2.1.3.2- Ressources humaines
1.2.1.3.3- Responsables d’activités
1.2.1.3.4- Opérationnels
1.2.2- Synergie entre les différents acteurs
1.2.2.1- Participation de tous les acteurs
1.2.2.2- Définition de rôles et de relations
1.2.2.3- Bonne coordination et communication des acteurs
Partie 2 – Contrôle interne et gestion de risques
2.1- Gestion des risques
2.1.1- Les risques d’entreprise
2.1.2- Processus de gestion des risques
2.1.2.1- Définitions de gestion des risques
2.1.2.2- Les composantes du dispositif de gestion des risques
2.1.2.3- Processus de gestion des risques
2.1.2.2.1- Phase d’identification
2.1.2.2.2- Phase d’analyse
2.1.2.2.3- Phase de planification
2.1.2.2.4- Phase de suivi et contrôle
2.1.2.2.5- Phase de capitalisation des efforts
2.1.3- CI et Gestion des risques
2.1.3.1- Les managers
2.1.3.2- Les fonctions de gestion des risques et d’expertise
2.1.3.3- L’audit interne
2.2- Efficacité du contrôle interne
2.2.1- Conditions d’efficacité du CI
2.2.1.1- Supervision du Conseil d’administration
2.2.1.2- Rôles de la Direction
2.2.1.3- Bonne coordination des acteurs
2.2.1.4- Audit interne indépendant
2.2.2- Limites du CI
2.2.3- Efficacité du CI et de Gestion des risques
Partie 3 – Etudes de cas : SPIE
3.1- SPIE
3.1.1- Informations générales
3.1.2- Activités du Groupe et le marché de la concurrence
3.1.3- Objectifs, stratégie et perspectives
3.2- Les risques
3.2.1- Cadre organisationnel de la gestion des risques
3.2.1.1- Objectif des dispositifs de Gestion des risques et de CI
3.2.1.2- Structure organisationnelle
3.2.1.3- Information et Communication
3.2.2- Gestion des risques
3.1.2.1- Cartographie des risques « Top-down »
3.2.2.2- Analyse des risques « Bottom-up »
3.2.2.2.1- Analyse et évaluation des composantes des risques
3.2.2.2.2- Evaluation des actions de maîtrise déjà en place
3.2.2.2.3- Réévaluation des risques
3.2.2.2.4- Confirmation et hiérarchisation des plans d’action
3.2.2.2.5- Définition d’un dispositif de Gestion des risques
3.2.3- Surveillance et revue de la gestion des risques
3.3- Efficience de l’urbanisme du CI et les trois lignes de maîtrise
3.3.1- Le système de CI
3.3.2- Rôles des différents acteurs
Introduction
L’environnement contextuel de l’entreprise moderne ne permet plus à ses organes de décisions de négliger le concept de risques auxquels est exposée son organisation. Les grandes crises dont les fréquences de survenance s’accélèrent ont rendu l’entreprise très sensible à la nécessité d’une gestion efficace des risques. Désormais, il ne suffit pas de disposer des outils pour faire face aux incertitudes qui menacent l’atteinte des objectifs. La notion d’efficacité est donc d’actualité et primordiale.
Par ailleurs, les entrepreneurs avertis prendront en compte également la notion d’efficience, dépassant ainsi les seuls objectifs d’efficacité. L’efficience est souvent associée à l’optimisation de l’utilisation des ressources de l’entreprise (en vue d’atteindre un certain nombre de résultats probants). Tout cela implique une meilleure gestion des risques par les différents acteurs de l’organisation, notamment en matière de contrôle interne.
Quelles sont les conditions essentielles pour mettre en œuvre un urbanisme de contrôle interne efficient en terme de gestion de risques ? En d’autres termes, la présente étude cherche à déterminer les facteurs d’efficience du système de contrôle interne.
Dans cette optique, le présent document est structuré en trois grandes parties :
- La première partie mettra en place les bases de l’étude, c’est-à-dire les composantes et les acteurs du contrôle interne ;
- La seconde partie se focalisera sur l’univers de gestion des risques et les éléments conditionnant l’efficacité du système de contrôle interne et du dispositif de gestion des risques ;
- La troisième partie est consacrée à une étude de cas concernant la Société SPIE.
Partie 1 – L’Urbanisme du contrôle interne
Cette partie se focalise sur le cadre général de l’étude, c’est-à-dire sur les éléments constituant le contrôle interne lui-même. La recherche de moyens pour répondre au besoin d’efficience de l’urbanisme de contrôle interne doit passer par une bonne appréhension de l’urbanisme de CI.
1.1- Concepts essentiels
Pour mieux appréhender le cadre de l’étude, il est important d’avoir une bonne notion sur les concepts essentiels autour de l’environnement du contrôle interne. Concernant ce dernier, il pourrait exister plusieurs définitions suivant l’angle d’approche du concept en question. Ainsi, le contrôle interne (CI) peut être considéré comme un processus mis en œuvre par l’entreprise, à travers ses différents organes pour permettre de garantir raisonnablement l’atteinte des objectifs de l’organisation préalablement fixés. Dans un cadre plus étroit, le CI fait référence à toute mesure prise par les décideurs et les organes de direction de l’entreprise dans une optique de réduire à un seuil acceptable les probabilités de non-atteinte de ces objectifs.
Selon ces données, les objectifs assignés au CI (les détails seront analysés plus en détail dans la section suivante) sont :
- Réaliser et optimiser toutes les opérations entreprises par l’organisation ;
- Assurer la fiabilité des informations, nécessairement financières ;
- Garantir un respect des lois et règlementations en vigueur par tous les acteurs au sein de l’entreprise.
Le premier objectif cité (réalisation et optimisation des opérations) pourrait se traduire par des moyens visant à appliquer l’ensemble des directives élaborées par les organes de direction (direction générale, en l’occurrence), d’une part. D’une autre part, cela intègre aussi les manières devant assurer un fonctionnement acceptable des processus internes à l’entreprise, surtout concernant la protection des actifs de celle-ci. Par conséquent, la définition citée plus haut mérite d’être complétée pour permettre une prise en compte, une mise en évidence de la notion de gestion de risque dans le concept de CI.
Le CI ne devrait pas être appréhendé comme un simple processus relatif uniquement aux domaines comptables et financiers. Ainsi, le CI est un dispositif mis en place dans la société, muni de plusieurs éléments essentiels (moyens, dispositions, comportements) qui revêtent des modalités variables selon les caractéristiques de l’entreprise. Ce dispositif cherche à maîtriser les activités de la société en assurant une utilisation optimale des ressources pour des résultats probants, d’un côté. D’un autre côté, il est déployé pour prendre en considération les différents risques susceptibles de causer des désagréments jugés significatifs à l’organisation et remettre en question l’atteinte des objectifs de l’entreprise dans des conditions acceptables.
1.1.1- Les objectifs du CI
Le CI se propose de poursuivre plusieurs objectifs (dont les grandes lignes sont déjà citées plus haut) qui peuvent être classés dans trois grandes catégories :
- Objectifs opérationnels ;
- Objectifs d’informations ;
- Objectifs de conformité.
Il faut tout de même insister sur le chevauchement de ces catégories d’objectifs, c’est-à-dire qu’un objectif pourrait appartenir à plusieurs catégories. L’intérêt de cette classification réside dans la recherche d’une meilleure appréciation de ces objectifs relatifs à des différents besoins.
1.1.1.1- Objectifs opérationnels
La question est ici relative à des objectifs métiers de l’entreprise, des objectifs en forte relation avec les opérations qu’elle réalise. Sur ce point de vue, les objectifs opérationnels du CI dépendent étroitement de ceux de l’entreprise en général, bien que les seules décisions des managers et/ou des différents services opérationnels ne suffisent pas à garantir les meilleurs résultats escomptés. Il est par exemple question d’objectifs en matière de rentabilité des investissements, d’efficacité, de satisfaction de la clientèle, etc. Les objectifs opérationnels concernent essentiellement l’efficience des opérations, et donc la performance financière et opérationnelle ainsi que la protection des actifs de l’entreprise.
De par les moyens à la disposition du CI, il demeure une certaine limitation de son champ d’action, toujours en matière d’objectifs opérationnels. Ainsi, il serait impossible de prévenir d’une façon absolue un mauvais jugement (ou une décision erronée) effectué par un acteur, étant entendu l’influence incontournable de certains facteurs très subjectifs dans les opérations à réaliser. De même, il ne faut pas non plus oublier les impacts importants que les facteurs extérieurs à l’organisation pourraient entraver l’atteinte de la plupart de ces objectifs. Dans cet ordre d’idées, il est plutôt commode de parler d’assurance raisonnable : cela implique le déploiement des dispositifs visant à informer les acteurs concernés, au moment opportun, à propos d’évènements susceptibles d’impacter sur la capacité d’atteindre les objectifs préalablement fixés.
Le dispositif de CI vise alors à garantir que tous les acteurs de la société travaillent sans faille et avec droiture pour la réalisation des objectifs de l’organisation. Les opérations que l’ensemble du personnel de l’établissement exécute ne devraient pas occasionner d’excès de coûts ; le CI doit donc veiller à ce que chaque acteur œuvre à privilégier toujours les intérêts de l’entreprise avant ceux des autres.
1.1.1.2- Objectifs d’informations
Le CI cherche l’atteinte des objectifs relatifs à la fiabilité des informations financières. En fait, ce type d’objectifs se base généralement sur des normes établies par des tiers, c’est-à-dire des entités en dehors de l’organisation (de l’entreprise). La réalisation de ces objectifs est alors conditionnée par les modalités adoptées par l’entreprise dans l’exécution des activités opérationnelles.
Ces objectifs d’informations ne se limitent pas au seul domaine financier. Cela concerne alors toutes les informations destinées à la direction, impliquant ainsi la fiabilité des rapports qui devrait être sans ambiguïté et récents autant que possibles. Ces informations devraient permettre une prise de décision, d’où la rigueur sur la qualité et l’intégrité de ces rapports. Le CI vise alors à assurer ces caractéristiques d’informations, dont les exigences émanent parfois d’entités externes à l’entreprise, tels que des organes de régulation et/ou de normalisation.
1.1.1.3- Objectifs de conformité
Ces objectifs sont liés au respect des différentes lois et règlementations applicables à l’entreprise. Ce type d’objectifs est négligé alors qu’il conditionne la préservation des droits de l’entité ainsi que son image en interne et externe, auprès de son public. Cette négligence a conduit les responsables à intégrer le service juridique de la société dans le projet de mise en place de son système de contrôle interne.
Les risques liés à la négligence des objectifs de conformité sont multiples et susceptibles de fragiliser l’organisation toute entière. En guise d’exemples, l’entreprise pourrait être confrontée à une violation d’obligation de surveillance (en matière sanitaire, environnementale, de sécurité, etc.), à une diffusion de données personnelles classées comme sensibles, ou encore à une corruption.
1.1.2- Les composantes du CI
L’analyse d’efficacité du CI d’une organisation doit porter sur les éléments essentiels qui composent ce dispositif (de CI). Ces composantes du CI peuvent désormais être classées en 5 catégories :
- L’environnement de contrôle constitué nécessairement par la surveillance réalisée par les organes de direction et par une intense culture de contrôle ;
- L’évaluation des risques ;
- Les activités de contrôles ;
- L’information et la communication ; et
- Le pilotage impliquant des activités de surveillance.
Le succès dans ces différents objectifs du CI devrait dépendre des comportements de ces cinq éléments.
1.1.2.1- Environnement de contrôle
Le premier élément du CI représente la base même de ce dispositif dans l’entreprise : c’est l’ensemble de tous les éléments qui composent l’organisation en termes de structure, de règles et de processus permettant la mise en œuvre du CI. Le Conseil d’administration se situe en haut de la pyramide dans la mise en place et l’approbation du système de CI par la mission de gouvernance, de surveillance permanente et d’orientation qu’il est investi. La direction est ensuite chargée de mettre en œuvre les décisions approuvées par le Conseil d’administration. De plus, la direction devrait avoir un œil fixé en permanence sur cet environnement du CI pour en assurer l’efficacité.
Ces deux entités de l’entreprise (le Conseil d’administration et la direction) tiennent désormais des rôles très importants dans l’instauration d’un climat favorable au CI. Elles constituent les gages d’un environnement de contrôle accepté et respecté par tous les acteurs de la société. Elles devraient veiller sur l’efficacité du système de CI en élaborant les meilleurs processus adaptés à toutes les opérations à effectuer dans l’organisation et en définissant une structure optimale répondant à tous les besoins probants de tous les acteurs. Le Conseil d’administration et la direction doivent montrer aussi les bons exemples pour que chaque acteur ait toujours une conscience de l’importance de cet environnement de contrôle, notamment en matière de respect pour les normes imposées dans l’établissement.
Il faut insister sur l’intégration des valeurs culturelles, propres à l’entreprise, dans son environnement de contrôle. Ainsi, les valeurs éthiques constituent également un composant essentiel de cet environnement de par le fait que les comportements de chacun des acteurs de l’entreprise sont conditionnés par l’ensemble des valeurs morales de cette dernière. De même que tous les éléments devant aider les managers dans son rôle de surveillance, toute l’organisation de l’entreprise allant de la porte d’entrée (processus de recrutement) jusqu’à la gestion habituelle des ressources humaines (fidélisation du personnel, les dispositifs de motivation, etc.) font partie intégrante de l’environnement de contrôle.
1.1.2.2- Evaluation des risques
Il est important de faire la distinction entre les risques appréciés dans un concept plus large, au niveau de l’entreprise dans son ensemble, et les risques relatifs à la notion de CI. La gestion des risques par une entité quelconque consiste, en premier lieu, en la détermination des objectifs de cette entité, puis il faut établir une liste des facteurs, des évènements qui pourront avoir des impacts défavorables sur l’atteinte de ces objectifs.
Il s’agit surtout, et de manière spéciale, d’évaluer les risques qui pourront entraver la réalisation des objectifs opérationnels, d’informations et de conformité. Cette délimitation permet d’affiner le champ d’évaluation, bien que la gestion des risques dans l’activité globale de l’entreprise se présente comme un élément qui s’associe fortement à l’efficacité d’un système de CI. Ainsi, la priorisation du traitement des risques relatifs au CI ne signifie pas que ce dernier (CI) soit indifférent sur le sort des autres risques, puisqu’il est à rappeler que le CI a pour principal raison (entre autres) de garantir (d’une façon raisonnable) la réalisation de tous les objectifs stratégiques de l’entreprise, dans sa globalité.
L’évaluation des risques implique alors le recensement et l’analyse des facteurs internes et externes susceptibles de compromettre la réalisation des objectifs. Sans dresser une liste exhaustive, les risques internes à l’organisation pourraient être liés à la nature des activités de l’entreprise, la qualité de son personnel, les changements éventuels au niveau de l’organisation, ou encore le mouvement d’effectifs. De même, parmi les facteurs de risques externes, il faut analyser l’évolution du contexte économique, les changements apportés par les innovations technologiques, la portée de toutes les nouvelles dispositions pouvant toucher l’entreprise, etc.
1.1.2.3- Activités de contrôle
Il s’agit des actions définies par les règles et procédures visant à suivre les directives de la direction en matière de maîtrise des risques identifiés par le processus d’évaluation décrit précédemment. Il faut s’assurer que les activités de contrôle soient réalisées dans tous les niveaux de la structure de l’entreprise, y compris le management et les employés qui sont directement en contact avec le marché. Entre autres, ces activités doivent inclure, quelques éléments essentiels :
- Examens réalisés au niveau supérieur : La plupart de ces examens pourraient s’effectuer (ou demander) régulièrement (en tant que contrôle permanent ou ponctuel) tandis que d’autres sont réalisés occasionnellement/exceptionnellement (inopiné).
- Contrôles d’activité pour les différentes unités (ou départements) de l’entreprise. Les responsables d’un département reçoivent systématiquement des comptes rendus exceptionnels ou normaux (journaliers, hebdomadaires, mensuels, …). Il s’agit alors d’examens fonctionnels qui sont réalisés avec des fréquences beaucoup plus élevé que les examens réalisés au niveau supérieur. De plus, ces contrôles s’effectuent de manière largement plus détaillée.
- Contrôles physiques concernant les accès à tous les actifs physiques de la société, qu’il s’agit de titres ou d’autres actifs financiers. Les restrictions physiques, les inventaires périodiques et la double conservation (sur les actifs meubles et immeubles) font également partie des activités de contrôle.
- Système d’approbation et d’autorisation qui mérite d’être mis en place particulièrement lorsque des opérations présentant des risques élevés, notamment pour les services en contact direct avec le marché.
Finalement, en matière d’activités de contrôle, les managers doivent s’assurer autant que possible qu’il y a une séparation des tâches. Certaines responsabilités conflictuelles ne doivent pas être confiées à une même personne, telles que les fonctions d’approbation de livraison et de livraison effective, par exemple.
1.1.2.4- Information et communication
L’information et la communication sont des éléments essentiels et de premier ordre pour le fonctionnement (voire l’existence) du système de contrôle interne, dans une entreprise. L’environnement de contrôle doit être nourri par des informations fiables, pertinentes, accessibles, les plus récentes possibles et présentées de manière cohérente. Ces informations pourraient provenir de sources diverses (internes ou externes à l’organisation), mais elles doivent aider tous les acteurs du CI à atteindre les différents objectifs dans ce domaine (objectifs opérationnel, d’informations dont financières, et de conformité).
Mais il faut souligner que les informations les plus fiables et crédibles pourraient devenir caduques s’il n’existe pas un système de communication efficace dans l’entreprise. Les informations utiles et pertinentes doivent parvenir à leur destinataire en empruntant les voies définies par la Direction de la façon la plus optimale possible. L’organisation structurelle de l’entreprise doit ainsi prévoir une libre circulation (verticale et horizontale) des informations. De cette manière, des données relatives à certains risques (opérationnels, par exemple) pourraient facilement remonter jusqu’au responsable, dont le Conseil d’administration et la direction. Dans l’autre sens, il faut s’assurer que les informations concernant les objectifs, les stratégies et politiques, les procédures et les attentes émanant des dirigeants parviennent à tous les niveaux de la structure organisationnelle de l’entreprise. Les dirigeants ont intérêt de tracer les meilleurs itinéraires que vont prendre les informations ascendantes et descendantes afin que tous les employés fassent des efforts équivalents dans les démarches vers les objectifs fixés.
1.1.2.5- Pilotage
Cette activité de pilotage tient surtout ses intérêts par la mission de surveillance permanente et ponctuelle investie au management. En effet, tous les autres composants du CI doivent être surveillés pour voir leurs réactions face à toute modification opérée en interne comme à l’extérieur de l’organisation. La fréquence des contrôles systématiques non permanents dépend des risques auxquels est exposée l’entreprise, mais varie également en fonction de la nature et du rythme des modifications influençant l’environnement. Les dispositifs de surveillance en continue devraient faciliter et accélérer les traitements nécessaires sur des failles du système de CI.
Les évaluations donnent des informations sur l’état d’un problème spécifique après la survenance des évènements qui l’a déclenché (ce problème). Les surveillances peuvent prendre la forme d’une autoévaluation, notamment si un acteur détermine l’efficacité des contrôles pour ses propres activités.
Le système de CI doit faire l’objet d’un audit interne régulièrement, conduit par des personnes bien formées et compétentes. La fonction d’audit interne offre une évaluation indépendante de l’environnement de contrôle. Les auditeurs rendent directement compte au Conseil d’administration et/ou à la direction, d’où l’importance de l’objectivité de leurs rapports. L’ampleur et la fréquence des contrôles d’audit devraient être proportionnelles aux risques inhérents à l’activité de l’entreprise et à la complexité de celle-ci. Les déficiences détectées par l’audit interne doivent être notifiées auprès des directions, départements et/ou services concernés pour traiter les problèmes dans le plus bref délai. Les problèmes graves doivent être portés à la connaissance de la direction générale et du Conseil d’administration.
Ces différentes composantes du CI insistent sur les missions et attributions des divers acteurs (du CI) et l’importance de la participation active de chacun d’eux à la garantie d’efficacité du système de CI.
1.2- Les acteurs du contrôle interne
Il faut admettre que le contrôle interne est l’affaire de tout acteur présent au sein de l’organisation, quel que soit le niveau hiérarchique où il se trouve et le service dans lequel il est attaché. Il n’est pas question alors de citer uniquement tous ces acteurs mais d’essayer de déterminer leurs rôles respectifs. Toutefois, force est de reconnaitre qu’il n’y a pas une recette toute faite aussi bien en termes de structures organisationnelles du CI que pour le partage de ces rôles. Chaque entreprise est presque spécifique de par ses caractéristiques uniques définies en fonction des différentes composantes de son environnement interne et externe. Il y a quand même des axes majeurs constatés en la matière au sein des entreprises françaises, notamment pour celles de tailles moyenne et grande.
L’IFACI a identifié, par exemple, des cas typiques lorsque les activités de contrôle et l’attribution des rôles sont clairement définies avec des systèmes de CI à 4 ou à 3 (voire 2) niveaux, selon le regroupement (des attributions et des acteurs). Mais dans tous les cas, le système doit toujours piloté par le Conseil d’administration, le management et le comité d’audit.
1.2.1- Les différents acteurs et leurs rôles respectifs
Il est possible d’apprécier les acteurs du CI selon trois familles complémentaires :
- Les organes de gouvernance de l’entreprise ;
- Les fonctions Contrôle et Risque ;
- Les acteurs métiers.
1.2.1.1- Les organes de gouvernance
Comme organes de gouvernance de l’entreprise, il y a nécessairement le Conseil d’administration et le management.
1.2.1.1.1- Le Conseil d’administration
Le Conseil d’administration doit reconnaitre ses rôles primaires en matière de CI de par sa mission de gouvernance, de surveillance et d’orientation en regard du management. Ce dernier a ainsi une vision globale lui permettant une appréhension de la stratégie, des résultats des choix d’investissement de l’entreprise. Il se place même dans une position délicate puisque l’approbation des stratégies politiques et la structure organisationnelle de l’entreprise concernant son environnement de contrôle reviennent au Conseil d’administration. In fine, la veille sur la mise en place et sur la mise en œuvre d’un système de CI adapté au contexte de l’entreprise est une responsabilité de cet organe de décision.
Parmi ses activités, cet organe devrait :
- discuter régulièrement avec le management sur l’efficacité du système de CI
- effectuer des examens systématiques des évaluations sur le CI réalisés par la direction ;
- réaliser des actions répétées (comme des demandes d’informations fréquentes sur certains points) afin de vérifier que le management prend en compte des recommandations émises par l’audit interne concernant le CI.
Il est ainsi concevable d’instaurer un comité d’audit indépendant qui aura l’attribution d’assister le Conseil d’administration dans les tâches susmentionnées. Dans cet ordre d’idée, le comité d’audit est classé parmi les organes de gouvernance de l’entreprise. Le cas échéant, ce comité peut solliciter les avis du responsable de l’audit interne et donner en retour ses recommandations sur l’organisation de celui-ci (audit interne). Le comité d’audit a également le droit de faire des requêtes d’informations concernant le fonctionnement du travail de l’audit interne et, en conséquence, les rapports de ce dernier ou ses quelconques rapports périodiques doivent aussi parvenir au comité d’audit.
Il est important de savoir que, par ses pouvoirs généraux, le Conseil d’administration dispose des compétences nécessaires pour effectuer les contrôles et vérifications qu’il juge indispensables. Il est habilité à prendre toute initiative dans ce sens.
1.2.1.1.2- La Direction
La direction de l’entreprise détient une responsabilité ultime par le fait qu’elle est la première responsable du système de CI au niveau de l’organisation. En fait, la confiance du Conseil d’administration aux managers dépend de la qualité du dispositif de CI qu’ils sont censés mettre en place, ainsi que la capacité du système de contrôle à maîtriser les risques. En quelque sorte, la Direction générale est le garant de l’existence d’un environnement de contrôle positif. Les yeux de tous les employés sont rivés la Direction, de manière à ce que ce dernier devient un modèle en termes de principes de conduite, impactant sur les éléments de cet environnement. Ainsi, la Direction est responsable de la supervision de la mise en place de tous les éléments de CI.
Il faut insister aussi sur le rôle de la Direction (générale) en terme de mise en œuvre des stratégies politiques de CI approuvées par le Conseil d’administration. Il est d’usage que la Direction générale délègue des responsabilités à certaines personnes chargées de fonctions particulières dans l’entreprise pour des actions particulières sur le plan du contrôle. Dans chaque division/unité de l’entreprise, les responsables gèrent l’élaboration et la mise en œuvre des procédures de CI visant à permettre l’atteinte des objectifs de leur division/unité. Il faut que ces procédures soient en parfaite cohérence avec les objectifs généraux de l’entreprise. De même et en fonction du nombre de niveaux hiérarchiques présents dans la société, les chefs de services fonctionnels pourraient être impliqués de manière directe dans l’application des procédures et normes relatives aux contrôles. L’attribution des pouvoirs nécessaires à l’exercice des fonctions en matière de CI à ces différents responsables est très importante pour favoriser leur implication dans le processus. Ils effectueront à leur tour des comptes rendus réguliers concernant le volet de contrôle dont ils ont la charge dans le but de garantir une bonne coordination des tâches.
La direction doit être toujours informée des dysfonctionnements, des insuffisances et des difficultés de mise en application du dispositif de CI de l’entreprise, mais également des éventuels excès. Ensuite, les actions correctives doivent être engagées dans les plus brefs délai, le cas échéant. En outre, la direction doit garantir :
- du bon fonctionnement des dispositifs d’évaluation des risques ;
- en termes d’activités de contrôle, de l’existence appropriée d’une séparation des tâches, notamment pour certaines responsabilités conflictuelles ;
- de l’exhaustivité, de l’adéquation et de la fiabilité des données internes et des informations externes circulant dans l’entreprise via les canaux de communication appropriés ; la direction veille alors à ce que le système d’information couvre toutes les activités de l’entreprise ;
- la surveillance permanente de l’efficacité globale du système de CI.
En matière de gestion des risques, la direction utilise le CI dans le but de confirmer les profils de risques de l’ensemble des activités de l’entreprise. De ce fait, la direction devrait être en mesure d’élaborer un profil stratégique et de déterminer son appétence aux risques. Il faut déjà comprendre que l’appétence aux risques peut se définir comme le niveau de risque que la Direction serait prête à accepter pour pouvoir atteindre les objectifs stratégiques.
1.2.1.2- Les fonctions Contrôle et Risque
Parmi les fonctions sur le Contrôle et Risque, il est principalement important de distinguer l’audit interne, la prévention des risques, et le contrôle permanent et la conformité, spécialement pour les établissements financiers.
1.2.1.2.1- L’audit interne
L’IIA (The institute of Internal Auditors) définit l’audit interne comme « une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée ». Etant définis le profil de risques de la société et l’appétence de la direction, l’audit interne oriente les travaux qu’il réalise périodiquement. Il a ainsi pour rôle d’assurer que les dispositifs de contrôle soient fiables et pertinents à partir des analyses sur la capacité de ceux-ci à prévenir les risques.
L’organe chargé de la prévention des risques communique les résultats de ses travaux à l’audit interne. En retour (et en direction de la direction), ce dernier émet ses propres constats en vue d’un ajustement de la cartographie des risques. La fonction d’audit interne représente un composant majeur dans la surveillance en continu du système de CI.
Il faut insister sur l’indépendance de l’audit interne vis-à-vis des activités qu’il est chargé de contrôler. Dans ce sens, il ne devrait pas être responsable du système de CI et de l’analyse des risques de l’entreprise. Par souci d’objectivité et d’impartialité, son jugement ne devrait être soumis à aucune subordination à celui d’un acteur quelconque de l’entreprise. C’est pourquoi cet organe de contrôle doit aussi conserver une indépendance au regard même de la direction, et cela devrait être manifestement exprimé dans l’organigramme de l’entreprise. Les auditeurs ne devraient pas non plus assumer une quelconque responsabilité opérationnelle et, par conséquent, ils ne devraient pas être affectés au contrôle des activités opérationnelles au sein desquelles ils ont exercé dans un passé récent.
1.2.1.2.2- Prévention/Gestion des risques
Plus simplement, cette fonction est chargée de concevoir et de développer/faire évoluer les méthodologies dans l’identification, l’évaluation et l’analyse des risques. Au regard des activités de l’entreprise, la gestion des risques devrait veiller à utiliser les meilleures pratiques tout en maintenant à jour le référentiel de risques. Pour que les acteurs opérationnels soient bien formés sur les enjeux et les outils de gestion des risques, cet organe travaille en collaboration avec le département des ressources humaines.
La prévention des risques coordonne et anime périodiquement la cartographie des risques en apportant les recommandations conséquentes sur les risques significatifs et les axes de renforcements assimilés.
1.2.1.2.3- Contrôle permanent
Un contrôle au deuxième niveau (par rapport à l’audit interne), le contrôle permanent est indépendant des activités (opérationnelles) de l’entreprise et il ne devrait réaliser aucune opération financière/comptable ou commerciale. Il a un rôle de vérification si les points de contrôles clés dans les opérations réalisées dans l’entreprise sont mis en œuvre de manière effective.
Au sujet du système d’information, le contrôle permanent des risques collabore avec les responsables opérationnels pour trouver les points d’amélioration quant aux fonctionnalités et procédures dans un souci d’efficience des contrôles. Il contribue aussi sur l’amélioration des dispositifs de maîtrise des risques suivant l’évolution du contexte de l’entreprise et les axes prioritaires définis à partir de la cartographie des risques.
1.2.1.2.4- Conformité
L’existence d’un organe de Conformité est surtout exigée pour les institutions financières (mais non pas uniquement pour celles-ci) puisque c’est lui essentiellement qui s’occupe des dispositifs de lutte contre la délinquance financière telle que le blanchiment d’argent, la corruption, le financement du terrorisme, etc. La Conformité se préoccupe des questions de déontologie et du respect des obligations en matière d’éthiques. Cet organe devrait s’assurer que l’entreprise (et donc tous les acteurs internes à l’organisation) respecte les normes professionnelles. La Conformité est également chargée de gérer les intérêts dans les relations avec l’environnement externe à l’entreprise.
La direction de Conformité pourrait aussi faire office d’interface entre l’entreprise et les autorités de régulation et d’investigation. Il est important que la Conformité collabore avec les autres fonctions Contrôle et Risque pour assurer une cohérence des missions et des tâches. Ainsi, elle travaille avec la fonction Prévention/Gestion des risques en ce qui concerne l’évaluation des risques de non-conformité, mais également avec le Contrôle permanent pour renforcer les outils et processus de maîtrise assimilés.
1.2.1.3- Les acteurs métiers
Les acteurs métiers peuvent être regroupés selon leurs fonctions respectives dans le cadre du CI :
- Système d’information ;
- Ressources humaines ;
- Responsables d’activités ;
- Opérationnels.
1.2.1.3.1- Système d’information
L’efficience du système de CI repose en grande partie sur la direction de Système d’information de sorte à la désigner comme un acteur métier clé. Le Système d’information est un outil puissant censé de réduire l’exposition aux risques de par son expertise technique qui devrait permettre d’automatiser la plupart des opérations de contrôle. De telle automatisation constitue d’énorme avantage dans la mesure où elle libère certains acteurs du CI (dont les responsables des ressources humaines) des tâches de contrôle à faible valeur ajoutée mais d’une grande importance. Ces acteurs pourront alors focaliser leurs efforts dans l’analyse et le traitement des éléments à risques.
En conséquence, le système d’information de l’entreprise dans son ensemble et chaque application et éléments le composant de manière spécifique doivent montrer une certaine robustesse et sans faille. En tant qu’acteur métier clé du CI, les composantes du système d’information devant offrir des atouts considérables à l’organisation pourraient constituer à son tour des menaces potentiellement dangereuses. Ainsi, la direction du Système d’information doit être en mesure de maîtriser les risques inhérents à ses propres activités. Cette direction doit accorder des attentions particulières sur :
- La sécurité des données ;
- La continuité des activités de l’entreprise utilisant le système ;
- L’intégrité du système et des données ;
- La maintenance du système sur le plan opérationnel et des compétences techniques clés.
1.2.1.3.2- Ressources humaines
La Direction des Ressources Humaines (DRH) doit s’impliquer logiquement dans le processus de CI étant donné qu’elle est le gestionnaire des effectifs, des acteurs dans l’organisation. Elle est censée collaborer étroitement avec les organes de contrôle dans le sens où elle est la mieux placée pour diffuser et faire adhérer les pratiques du CI dans l’entreprise. En fait, le rôle de chaque employé dans le dispositif de CI devrait être intégré dans les descriptions des fonctions. La formation et l’évaluation des acteurs concernant leur responsabilité sur ces rôles sont des attributions de la DRH.
Il ne faut pas non plus oublier que le processus de recrutement de l’entreprise a de sérieux rôles à jouer dans l’adhésion de tous les acteurs à l’environnement de contrôle. En tant que porte d’entrée, le recrutement doit favoriser des profils motivés, intègres et qui satisfont aux besoins métiers de l’organisation. Aussi, la DRH a une responsabilité élevée concernant la répartition des fonctions des employés et est tenue d’observer les normes et procédures en matière de contrôle, dont la séparation des tâches. Désormais, cet organe doit veiller au respect de cette dernière vis-à-vis des différents rôles tenus par les acteurs dans l’entreprise où il devrait y avoir de distinction autant que possible entre les décideurs, les exécutants et les contrôleurs (séparer les tâches de manipulation, d’enregistrement et de vérification, par exemple).
1.2.1.3.3- Responsables d’activités
Les responsables d’activités dans les différentes sections/unités apportent des précieuses contributions à la mise à jour de la cartographie des risques, notamment pour les périmètres qui les concernent respectivement. Les opérations d’identification et d’évaluation des risques nécessitent leur coopération de par leur connaissance des activités dont ils sont les responsables. Ils sont également les rapporteurs de la mise en œuvre des dispositifs de maîtrise de risques par leurs équipent.
Les contrôles par le niveau (hiérarchique) supérieur sont d’ailleurs des tâches qui incombent à ces responsables d’activités. Avec des contrôles hiérarchiques de premier niveau, ces acteurs devraient participer activement à l’amélioration des dispositifs et des procédures de maîtrise des risques.
1.2.1.3.4- Opérationnels
Les opérationnels sont, en quelque sorte, la force productive de la société, et de ce fait, ils exécutent chaque opération de leurs ressorts en conformité aux usages professionnels et aux procédures définies dans l’entreprise. L’autocontrôle, c’est-à-dire le contrôle opérationnel de premier niveau devrait être réalisé en permanence et ponctuellement par ces acteurs.
Chaque employé doit être en mesure de savoir les points de contrôle dont il a la charge ; du coup, il faut régulièrement sensibiliser et motiver ces acteurs sur les risques inhérents à leurs tâches. En outre, les opérationnels sont les meilleurs outils de veille que dispose l’entreprise en matière de collecte d’incidents, étant donné qu’ils sont des acteurs de terrain.
1.2.2- Synergie entre les différents acteurs
Il ne suffit pas que tous les acteurs nécessaires à un système de CI sain et efficace soient présents. Faut-il insister sur l’importance d’avoir une bonne synergie entre ces acteurs et leurs actions respectives.
1.2.2.1- Participation de tous les acteurs
Dans un premier temps, il faut admettre que le CI est une responsabilité qui incombe à tous les acteurs de l’entreprise, en partant des opérationnels, en passant par les différentes entités qui se spécialisent dans les fonctions de contrôle, et surtout jusqu’aux organes de gouvernance. En fait, les opérationnels se placent pratiquement à la première ligne défensive de l’entreprise, ce qui confirme d’ailleurs la participation de tous et non pas seulement les spécialistes à l’efficacité du système de CI. Plus les opérationnels s’impliquent davantage dans le dispositif de CI, plus les organes experts dans ce domaine auront des informations sur la qualité de l’environnement de contrôle.
Toutes les actions entreprises par tous ces acteurs demandent ainsi à être organisées et pilotées par les organes de gouvernance. Les éventuelles défaillances des outils de contrôles dans les lignes défensives et les entités spécialisées tiennent parfois leur source au niveau des organes suprêmes d’exécution (la Direction), voire de l’organe de délibération (le Conseil d’administration).
1.2.2.2- Définition de rôles et de relations
Outre les normes imposées dans certains secteurs (banque, assurance, …), les rôles de chacun des organes de gouvernement de l’entreprise doivent être explicités et connus de tous les acteurs du CI (donc de tous). Il faut également définir clairement les éléments qui lient entre eux chacun de ces organes et les différentes fonctions Contrôle et Risque. En effet, il est important d’offrir une deuxième voie d’accès de l’organe délibérant à ces entités spécialisées dans le contrôle et la gestion des risques, outre celle déjà habituellement en vigueur via l’organe exécutif de gouvernement. Cette disposition devrait favoriser aussi l’indépendance de certains organes de contrôle. Comme relation entre ces différentes entités, il y a lieu de déterminer la nature de ces liens et les modalités de reporting à utiliser (assurant ainsi une qualité acceptable du reporting, dont la transparence).
Dans les grands groupes, il est nécessaire que le Conseil d’administration se fasse aider par un Comité d’audit qui a vocation de se focaliser beaucoup plus au contrôle interne, notamment concernant l’audit. La qualité et la quantité de la communication entre le Président du Comité d’audit et le premier responsable de l’audit interne est alors d’une importance grandissante. Il serait même recommandé que le responsable de l’audit interne ait une certaine autonomie en termes d’initiatives concernant les modalités de cette communication. Cela n’implique pas que le Comité d’audit doit sous-estimer l’intérêt de discuter systématiquement avec l’organe exécutif, notamment en cas de crise. En outre, de par ses attributions plus orientées vers le contrôle, le Comité d’audit peut jouer le rôle d’intermédiaire entre le Conseil d’administration et l’audit interne.
La mise en place d’un système de CI doit considérer à la fois, l’indépendance des fonctions de contrôle, d’une part, et la possibilité de leur insertion au niveau opérationnel, d’une autre part. En effet, la nécessité d’une indépendance totale de l’audit interne (par exemple) ne devrait pas être un sujet de discussion. Toutefois, il faut que l’entreprise jouisse aussi des contrôles de premier niveau, qui sont parfaitement intégré dans les métiers. Ces derniers peuvent être réalisés par les opérationnels eux-mêmes (autocontrôles) ou par des personnels spécialisés en la matière mais intégralement insérés dans les activités de ces opérationnels. Certaines fonctions de contrôle comme la Conformité peuvent se positionner dès le premier niveau dans la prévention et dans les contrôles à posteriori.
1.2.2.3- Bonne coordination et communication des acteurs
Etant donnée la multiplicité des acteurs et de leurs rôles, il faut une bonne coordination de la part du management. Il faut assurer que tous les acteurs vont dans les mêmes directions et sens au regard des stratégies définies en matière de CI, dont concernant les plans et la méthodologie de contrôle. Aussi, pour garantir l’efficience du système de CI, il faut définir les procédures et normes de façon à obtenir des résultats complémentaires et optimaux et non redondants.
Pour arriver à une telle coordination, il faut définir les rôles de chaque acteur du contrôle interne. Mais il faut aussi que l’ensemble du personnel de l’entreprise sache et comprenne cette répartition de rôles. Une autre condition de l’existence même de cette coordination est la prise de responsabilité de chacun des acteurs tout en respectant la limite de son propre champ d’action. Finalement, la coordination de tous les acteurs du CI devrait être assurée par un haut-responsable indépendant, soit par le Directeur général lui-même, soit par un comité de coordination (du CI).
Une structure de contrôle dont les rôles des acteurs sont bien définis devrait réduire, voire neutraliser les duplications, et devrait permettre une couverture de risque optimale. Cela mettrait en évidence les attributions de chaque couche de contrôle exigeant par la suite les efforts nécessaires à l’accomplissement des tâches de chaque acteur. Les éventuelles carences d’une couche de contrôle se manifesteront sans ambiguïté, étant données la relative distinction entre les rôles de chaque acteur et la complémentarité de ces derniers.
La synergie du CI demande l’utilisation d’un langage commun entre les acteurs dont l’usage de cartographie des risques unique et une définition commune des risques. Il faut qu’un acteur collabore avec les autres, c’est-à-dire que chacun doit profiter et utiliser les résultats de contrôle des autres. Ainsi, les défaillances sur un point de contrôle quelconque doivent être traitées plus rapidement par les acteurs concernés qui émettront par la suite des rapports que les responsables prendront en compte dans leurs actions futures.
Partie 2 – Contrôle interne et gestion de risques
Il faut déjà admettre que les dispositifs de CI et de gestion de risques sont mis en œuvre de façon complémentaire en vue d’une bonne maîtrise des activités de l’entreprise. Cette partie cherche à apprécier les interventions conjointes de ces deux dispositifs dans le cadre de la maîtrise des risques d’entreprise.
2.1- Gestion des risques
La gestion des risques relève de la nécessité même de la prise de certains risques par l’entreprise avec les mesures d’accompagnement que cela exige. Toutefois, il y a lieu également de modérer cette appétence aux risques (notion d’aversion aux risques).
2.1.1- Les risques d’entreprise
2.1.1.1- Définitions
Il existe plusieurs définitions du risque selon l’acteur ou l’entité le définissant, selon l’environnement et l’angle d’appréciation du phénomène, ou même au regard des objectifs de l’entreprise. Dans un cadre global, le risque est un évènement faisant obstacle à l’atteinte des objectifs (stratégiques) de l’entreprise. Plus précisément, c’est la menace qu’un évènement, une action ou une absence d’action constitue un facteur nuisant la capacité de l’entreprise à atteindre ses objectifs et compromettant à la création de richesse (valeur ajoutée).
Dans un cadre contractuel (entre une entreprise et un tiers, par exemple), le risque pourrait ne pas dépendre des parties (contractantes). Il concerne l’éventualité d’un évènement susceptible d’entrainer la perte d’un objet ou causer tout autre dommage à l’entreprise. Dans cet ordre d’idées, le risque est un évènement contre la réalisation duquel l’entreprise a besoin de protection (un recours à l’assurance, essentiellement).
Dans le domaine marketing et opérationnel le risque est associé à tout évènement pouvant faire perdre de l’argent à une société. Ainsi, un accident (incendie, par exemple) dans un atelier, perdre une part de marché, des situations stratégiquement inconfortables susceptibles d’affecter la santé financière de l’entreprise sont des risques. Aussi, le risque peut être assimilé à un danger identifié, associé au cas d’un évènement (ou série d’évènement) descriptible susceptible de se produire, même si la mesure de la probabilité rattachée à la survenance (de cet évènement) n’est pas parfaitement déterminable.
2.1.1.2- Appréhension des risques par l’entreprise
Sans encore aborder les questions sur les dispositifs de gestion des risques, il faut dire qu’il existe plusieurs manières de classer les risques, selon le contexte et les besoins de l’entreprise. Il est ainsi possible de les classer selon leur nature :
- Risques stratégiques, en liaison essentiellement avec le marché, la concurrence et la responsabilité des gouvernants de l’entreprise ;
- Risques de nature économique qui est générés par des chocs importants dans l’environnement économique de l’entreprise ;
- Risques relatifs à la sécurité de l’information ;
- Risques opérationnels, relatifs à un fonctionnement anormal (ou dysfonctionnement) dans les opérations associées aux activités de l’entreprise (liées aux systèmes de production, par exemple) ;
- Risques liés à d’évènement naturel, etc.
Dans le cadre du CI, il convient de classer les risques selon leurs points d’impact probables sur les objectifs visés. Par exemple, il y a :
- les risques financiers (donc liés aux actifs financiers) : risques de contrepartie, de marché, de change, de liquidité, etc.
- les risques opérationnels qui se trouvent en plein milieu de la question de gestion quotidienne de la société dont les risques à l’environnement, aux personnes (les risques professionnels, par exemple) et aux biens (le risque d’incendie, par exemple),
- les risques de conformité (surtout pour les établissements financiers) incluant les risques de réputation et d’image, sur le plan réglementaire, etc.
Ainsi, cela met en évidence la considération des risques venant de l’intérieur même de l’organisation. Cela pourrait concerner, par exemple, tout élément pouvant compromettre la performance de l’entreprise et altérer sa capacité à satisfaire les besoins de ses clients, ses actionnaires, ses fournisseurs, ses salariés, …
Il est important de souligner que le risque est une notion essentiellement subjective, c’est-à-dire que le risque objectif n’existerait pas. D’abord, le risque est perçu selon la vulnérabilité de l’entreprise et certaines informations dont elle dispose. Il est également construit socialement, ce qui veut dire que certains risques qui seraient objectivement faibles pourraient être socialement inacceptables. Un risque pour une organisation n’est pas toujours considéré comme tel pour d’autres (organisations) ; aussi, au fil du temps, il est possible de voir un presque non-risque requalifié en risque majeur, suivant la circonstance.
Prendre des risques serait même une condition d’existence d’une société, puisqu’il n’y aurait pas de croissance, de création de valeur sans prise de risque. Il est intéressant de savoir que les risques sont parfois concurrents, c’est-à-dire que les procédés devant permettre la réduction des uns pourraient accroître les autres. Autant qu’il est pratiquement impossible dans plusieurs cas de traiter les risques de manière indépendante, il convient également de définir les priorités.
Plusieurs facteurs peuvent expliquer cet intérêt accru du risque, notamment pour les grandes firmes :
- suivant l’aversion ou l’appétence au risque de la société, le périmètre d’incertitude entourant l’organisation s’élargit ;
- il existe une certaine prudence des assureurs à prendre en charge certains risques nouveaux : risques de l’environnement, risques technologiques, risques sanitaires, risque terroriste, etc. ;
- les affermissements des dispositions réglementaires modifiant les pratiques de gestion de l’entreprise.
Toutes ces données s’accordent à confirmer que disposer une gestion efficace des risques est une nécessité pour l’entreprise.
2.1.2- Processus de gestion des risques
De manière analogue au CI, la gestion des risques est aussi l’affaire de tous les acteurs de l’entreprise. Cette dernière a intérêt à ce que cette gestion soit globale et couvre toutes ses activités, ses processus et ses actifs. C’est un véritable dispositif dynamique défini et mis en application sous la responsabilité de la société.
2.1.2.1- Définitions de gestion des risques
La gestion des risques peut être définie comme le fait d’évaluer avec un maximum de précision du rapport entre la rentabilité d’une activité et les risques inhérents à cette activité. Ainsi, le déploiement de l’organisation et de l’infrastructure qui sont indispensables pour le maintien d’un ratio acceptable entre cette rentabilité et ces risques fait partie également de cette définition de la gestion des risques. Il faut reconnaitre que cette dernière est une responsabilité du management ; très souvent, « gestion » ou encore « maîtrise » des risques sont les traductions habituelles de « risk management ».
Plus techniquement, la gestion des risques est la manière concrète dont le management exerce le contrôle dans l’entreprise, en respectant les normes et procédures en vigueur. C’est alors une question de prévision optimale (à moindre coût) des moyens (financiers essentiellement) nécessaires et suffisants des éventuelles réalisations des risques considérés. Cela implique donc le contrôle (et la neutralisation si possible) de ces risques en réduisant leur ampleur ou en les transférant à une tierce entité (ce équivaut à l’optimisation des ressources mobilisées dans ce sens). En d’autres mots, la gestion des risques est une question de prévision et d’organisation des possibles conséquences de ces risques de manière à ce que le bouleversement qu’ils engendrent (sur les facteurs humain, financier, matériel et commercial) soit le moins traumatisant possible.
La gestion des risques intègre les actions des dirigeants pour maintenir les risques à un certain niveau (aversion et appétence aux risques). Cela n’est possible qu’en utilisant un certain nombre d’éléments essentiels à cette gestion dont des moyens, des comportements, des procédures et des actions qui varieraient selon les caractéristiques de l’entreprise.
La gestion des risques vise principalement quelques objectifs majeurs :
- La création et la préservation de la valeur, des actifs et de l’image de l’entreprise : ainsi, la gestion des risques conduit à l’identification et l’analyse des principales opportunités et menaces qui se présentent à l’entreprise. Cela dit, il y a lieu d’anticiper plutôt que de subir les risques pour préserver la valeur, les actifs et l’image de l’entreprise.
- Une prise de décision et des processus sécurisés en faveur de l’atteinte des objectifs de l’entreprise : identifier et maîtriser les éléments susceptibles de faire obstacles à l’atteinte de ces objectifs.
2.1.2.2- Les composantes du dispositif de gestion des risques
Il faut toujours insister sur le caractère presque subjectif de quelques aspects de la gestion des risques, c’est-à-dire que le dispositif associé nécessite une certaine personnalisation en tenant compte des caractéristiques propres de l’entreprise. Toutefois et de manière analogue au CI, il convient de préciser les grands axes principaux, dont les éléments essentiels à prévoir.
Un dispositif de gestion des risques doit disposer :
- d’un cadre organisationnel répondant aux besoins évoqués par les objectifs cités plus haut. Ce cadre est composé :
- d’une organisation définissant les rôles et les responsabilités de chaque acteur de la société en ce qui concerne la gestion des risques. Les procédures et les normes nécessaires au dispositif doivent être établies de façon claire et cohérente dans cette organisation.
- d’une politique de gestion des risques formalisant les objectifs du dispositif. Cette politique devrait être élaborée en fonction de la valeur culturelle de la société, du langage communément utilisé dans l’organisation, de la démarche adoptée en terme d’indentification, d’analyse et de traitement des risques. La politique de gestion des risques devrait aussi considérer l’aversion et l’appétence aux risques.
- d’un système d’information, étant donnée l’importance de l’information et la communication dans la gestion des risques.
- d’un processus (de gestion des risques). Ce processus comprend, entre autres étapes :
- l’identification (recensement et centralisation des principaux risques menaçant l’atteinte des objectifs),
- l’analyse (examens des conséquences probables de ces risques en termes financières, humaines, juridiques et d’images)
- le traitement (choix du ou des plans d’actions les plus adaptés à l’entreprise) des risques.
Le dispositif de gestion des risques doit également faire l’objet d’une surveillance et de contrôle régulier pour assurer son amélioration continue. En fait, des leçons devraient être prises à partir des expériences de la société concernant les risques identifiés, analysés et acceptés ou refusés dans le passé.
2.1.2.3- Processus de gestion des risques
Ce processus comprend quelques grandes étapes successives au fil du temps : cela représente, en quelque sorte un cycle qui se renouvelle autant que besoin pour un projet, une activité ou ensemble d’activités.
2.1.2.2.1- Phase d’identification
Cela cherche à repérer les menaces potentielles avant qu’elles se transforment en problèmes réels, d’où l’importance d’intégrer ces informations dans la gestion quotidienne des activités de l’entreprise. Cette phase devrait permettre une formulation des énoncés de risques et ainsi une identification des informations les concernant. Il faudrait préciser un énoncé des risques et leurs informations contextuelles suivant les actions ci-après :
- Identification d’un problème potentiel qui attend seulement que soient remplies certaines conditions pour se matérialiser ;
- Détermination des impacts probables de ce risque, ce qui nécessite d’estimer également les points d’impacts pour en imaginer les scenarios pouvant survenir significativement ;
- Trouver la ou les sources du risque en question, c’est-à-dire les causes des symptômes qui sont déjà observés.
Cette identification devrait se faire en continu de sorte à réaliser une investigation des problèmes susceptibles de compromettre l’atteinte des objectifs au fur et à mesure qu’ils sont détectés par les opérationnels essentiellement. L’établissement (de manière périodique) d’un référentiel devrait permettre le partage des informations concernant les risques identifiés qui seront complétées, dans le cadre d’une identification continue.
2.1.2.2.2- Phase d’analyse
Cette phase consiste à la conversion des informations sur les risques identifiés (dans la phase précédente). L’analyse chercherait avant tout la détermination de stratégie d’atténuation et de contingence de chaque risque pour ensuite prendre les dispositions appropriées en conséquence. Les trois activités ci-après doivent être intégrées dans cette phase d’analyse des risques :
- Les attributs de chaque risque devraient être évalués, dont la probabilité et/ou fréquence de réalisation, l’impact probable (la perte probablement occasionnée) et le délai à la disposition des responsables avant de réagir (un délai faible équivaut alors à une gravité élevée du risque) ;
- Les risques identifiés devraient être classifiés dans le but d’élaborer un ensemble de mesures homogènes dans leur maîtrise ;
- Les risques sont triés suivant leur priorité de manière à agencer les actions à entreprendre.
L’analyse des risques devrait être détaillée autant que possible pour s’assurer qu’aucune faille ne vienne biaiser les étapes suivantes.
2.1.2.2.3- Phase de planification
Cette phase se focalise donc sur la planification des mesures de mitigation devant permettre de réduire les risques identifiés. Plus précisément, il s’agit de responsabiliser chaque acteur en vue de diminuer la probabilité (et/ou la fréquence) de réalisation et l’impact de chaque risque. Dans ce sens, il est important de déterminer l’implication de chaque acteur et les contributions que ce dernier devrait apporter. Plusieurs stratégies s’offrent aux décideurs dans cette phase de planification, telles que l’acceptation d’un risque et de ses conséquences s’il survient, l’évitement visant la neutralisation du risque, la protection en concevant des mesures menant à la redondance et à la tolérance aux conséquences envisagées, la réduction de la probabilité ou la fréquence de survenance du risque, le transfert du risque nécessairement à un tiers, la recherche plus approfondie sur le risque et ses composantes pour réagir conséquemment.
Une planification de mesure de contingence est opérée lorsque le risque prend de l’ampleur malgré les mesures de mitigation prises, ou qu’il se matérialise en problème concret, ou encore s’il est nécessaire de réaliser des actions connexes à prévoir en parallèle aux mesures de mitigation.
2.1.2.2.4- Phase de suivi et contrôle
Les fiches de risque ont besoin d’être mises à jour par des informations pertinentes recueillies et communiquées (de façon claire et intelligible) aux responsables. Ces informations seront la base de chaque prise de décision dans ce sens. La phase de suivi devrait ainsi comprendre la collecte des informations requises concernant le risque considéré, la compilation et la communication de ces informations.
Il s’agit également de procéder à de vérification sur les actions déjà entreprises, comme l’évaluation du rapport entre le coût et le bénéfice de chaque action, par exemple. Cette vérification pourrait ensuite donner lieu à d’éventuel réajustement. Il y a lieu aussi d’évaluer l’adaptation de l’organisation interne aux enjeux du moment. Finalement, cette phase inclut la gestion des risques résiduels, c’est-à-dire ceux qui subsistent malgré les actions réalisées.
2.1.2.2.5- Phase de capitalisation des efforts
Cette phase revient à la mise en place d’un système de CI efficace en matière de gestion des risques. Les responsables devraient promouvoir un apprentissage organisationnel sur les risques identifiés (ou non), les actions engagées dans leur prise en compte (ou non) et les conséquences de celles-ci.
2.1.3- CI et Gestion des risques
De manière combinée, le CI et la gestion des risques viseraient un triple objectif majeur :
- Identification des évènements potentiels pouvant remettre en cause l’atteinte des objectifs de l’organisation : définition des contours du portefeuille de risques ;
- Maîtrise des risques acceptés par l’organisation ;
- Fourniture d’une assurance raisonnable concernant la réalisation des objectifs de l’entreprise.
Une surveillance en continu du système de CI et de gestion des risques devrait être faite par les organes de gouvernance de l’entreprise pour préserver l’intégrité et apporter les améliorations nécessaires face aux évolutions de l’organisation et de son environnement. Les actions correctives sont menées afin de ne pas sortir du périmètre des risques acceptés. Les informations requises par le Conseil d’administration et/ou le comité d’audit doivent être communiquées en temps voulu.
Ainsi, la structure de défense de l’entreprise face à divers risques peut être appréciée selon trois niveaux (l’IIA et l’IFACI parlent de trois lignes de maîtrise). Ces derniers peuvent être complétés par une ligne supplémentaire de maîtrise assurée par les auditeurs externes, commissaires aux comptes, organes extérieurs de régulation ou tout autre partenaire (externe). Les interventions de ces acteurs viennent renforcer les dispositifs de CI et de gestion des risques déjà existants au sein de l’organisation, procédant ainsi des évaluations ponctuelles de la robustesse des trois lignes de maîtrise de l’entreprise. Il faut tout de même remarquer que les données en sortie des actions de ces entités extérieures à l’entreprise ne seraient pas aussi complètes que celles fournies par les trois lignes de défense de l’organisation.
2.1.3.1- Les managers
En première ligne de maîtrise, les managers représentent les fonctions qui « endossent et gèrent les risques ». Responsables du déploiement du système de CI censé être efficace, les managers sont aussi tenus d’appliquer dans les activités habituelles ou non de l’entreprise les procédures de gestion des risques. Ainsi et de manière plus exhaustive, ils assurent le dispositif de gestion des risques, supervisent la détermination et la mise en application des normes et procédures internes de sorte à ce que chaque opération respecte les engagements pris au regard des objectifs fixés. Les managers supervisent l’élaboration même du système de contrôle et l’intégration de celui-ci dans le cadre global du CI et de gestion des risques.
Ces managers opérationnels devraient alors assurer la maîtrise des activités quotidiennes de la société en appliquant au niveau de chaque processus les pratiques efficaces en terme de gestion des risques. Ces acteurs devraient donc communiquer à la deuxième ligne de maîtrise les informations appropriées.
2.1.3.2- Les fonctions de gestion des risques et d’expertise
Ces services fonctionnels apportent de forte contribution dans la mise au point et une veille en permanence sur les contrôles effectués au niveau de la première ligne de maîtrise. Variant selon l’organisation, cette deuxième ligne est composée des différentes fonctions Contrôle et risque (cf. supra – 1.2.1.2- Les fonctions Contrôle et Risque) : Gestion des risques surveillant et favorisant l’application d’un dispositif efficace dans son domaine, Conformité veillant sur des risques spécifiques (de non-conformité), Contrôle de gestion qui se focalise sur les risques financiers.
Il existe une relative indépendance de chacune de ces fonctions vis-à-vis de la première ligne de maîtrise. Ces fonctions supports du management ont des accès directs dans des nécessaires changements des systèmes de contrôles et de gestion des risques. Toutefois, elles n’ont pas vocation d’émettre des analyses totalement indépendantes concernant les dispositifs sur ces systèmes. Entre autres activités, cette deuxième ligne aide les opérationnels dans la maîtrise des risques inhérents à leurs champs d’actions respectifs, collabore avec ces opérationnels dans l’élaboration de dispositif de contrôle efficient, surveille et rapporte auprès des responsables appropriés du fonctionnement des processus de CI et de gestion des risques, et en propose les orientations adéquates.
2.1.3.3- L’audit interne
En troisième ligne de maîtrise, l’audit interne devrait offrir une assurance sur l’efficacité de l’ensemble des systèmes de CI et de gestion des risques de l’organisation. Il s’assure également que les deux premières lignes de maîtrise convergent réellement dans les objectifs de contrôle et de maîtrise des risques. Désormais, cette assurance concerne les éléments composant le CI et la gestion des risques, tous les objectifs spécifiques à ceux-ci, ainsi que la quasi-totalité des entités de l’organisation.
L’existence de l’audit interne est d’autant indispensable pour s’assurer de l’efficience des processus de gouvernance et de gestion des risques. Cette nécessité d’existence ne concerne pas seulement les grandes entreprises, mais également les structures de taille modeste, notamment lorsque leur environnement est composé d’éléments complexes. Il faut tout de même insister sur le caractère indépendant de cet organe, garantissant l’efficacité du dispositif de gouvernance. A cet effet, il est très important que l’audit interne dispose des ressources et compétences suffisantes, et qu’il est rattaché au niveau suffisamment élevé de l’organisation.
2.2- Efficacité du contrôle interne
Un système de CI est qualifié d’efficace dès lors qu’il est capable de permettre l’atteinte des objectifs (par l’expression d’une assurance raisonnable) pour lesquels ce système a été développé. Autrement dit, les risques que chacun de ces objectifs (opérationnels, d’information et de conformité) ne soit pas atteint devraient être réduits à un niveau jugé acceptable (étant données l’appétence et l’aversion aux risques définies par le management). Cette efficacité n’est pas acquise systématiquement à la suite du déploiement d’un système de CI, l’existence de ce dernier n’en constitue qu’une seule condition (d’efficacité).
Un système efficace implique une certaine assurance (raisonnable) du Conseil d’administration et de la Direction que son utilisation permet à l’organisation de réaliser ses activités de manière efficace et efficiente. Il faut noter que l’efficience insiste surtout sur la notion d’optimisation, de gestion meilleure des ressources et/ou moyens pour obtenir des résultats probants. L’efficacité du système de CI se traduirait alors par une meilleure prévision sur les évènements susceptibles de nuire à l’atteinte des objectifs de l’organisation :
- soit parce que le système offre une bonne estimation que ces menaces sont faiblement probables pour l’entreprise,
- soit puisque le système permet de prévoir raisonnablement les composants de ces évènements (nature, date et points d’impact) et est apte à les maîtriser en les ramenant à un niveau acceptable.
Un système de CI efficace suppose également que l’organisation peut prévoir et s’adapter aux conditions dans lesquelles les activités de l’entreprise devront être réalisées si des risques significatifs surviendraient. L’organisation devrait également être apte à produire des rapports conformes aux exigences internes (respectant les principes et les procédures définies par les différents responsables du système de CI) et externes (les normes et dispositions règlementaires). D’une manière générale, un système efficace vit dans une organisation respectant les lois, règlements et normes externes applicables dans son domaine d’activités.
Il ne faut pas non plus oublier l’importance de la subjectivité qui touche le CI quant au jugement des responsables dans la conception, le déploiement et le pilotage du système (de CI). La qualité de ce jugement, et donc celle des différents responsables, conditionnent l’efficacité du système.
2.2.1- Conditions d’efficacité du CI
En fait, il faut d’abord que toutes les cinq composantes du CI ainsi que leurs principes soient correctement déployés et fonctionnent normalement (cf. supra – 1.1.2- Les composantes du CI). Le management doit toujours maintenir toutes ces composantes fixées sur les objectifs en matière de contrôle, et cela dès la conception du système de CI de l’organisation. La capacité de répondre à ces objectifs à travers ces composantes et principes ne devrait pas faiblir au fil du temps.
Tous les acteurs devraient travailler (notamment les organes décisionnels et exécutifs au niveau du gouvernement de l’entreprise) en concert pour assurer le fonctionnement conjoint de ces composantes du CI. Cela implique la cohérence entre ces cinq composantes dans la réduction des risques de non-atteinte des objectifs, c’est-à-dire qu’il ne faudrait pas prendre en considération de manière isolée chaque composante. Une réelle synergie doit émaner de l’ensemble de ces composantes qui devraient être appréhendées par leur caractère interdépendant. Les interactions entre les différents principes du CI constituent d’emblée des liens entre ces cinq éléments. En conséquence, la défaillance détectée au niveau d’une partie (même un seul) de ces derniers, même si les restes semblent être en bonne santé, entrave leur fonctionnement conjoint et intégré, et cela affecte ainsi l’efficacité de l’ensemble du système de CI.
2.2.1.1- Supervision du Conseil d’administration
Bien que le Conseil d’administration ne doive pas se mêler directement dans le champ d’intervention du management (y compris celui de la Direction générale), il faut que le premier ait une assurance raisonnable sur l’atteinte des objectifs via un CI efficient. En fait, cet organe décisionnel est responsable de la définition des objectifs de la société et des orientations pour atteindre ces derniers ; il est ensuite tenu de mettre en place la structure organisationnelle et les processus visant à l’optimisation de la gestion des risques sur l’atteinte de ces objectifs. Le Conseil d’administration (directement ou par le biais du comité d’audit lorsque celui-ci existe, ou de tout autre comité équivalent) devrait alors examiner en détail le dispositif de CI et de gestion des risques de l’organisation. Désormais, les trois lignes de maîtrise ne peuvent apporter aux organes de gouvernance (Conseil d’administration et Comité d’audit) que des soutiens nécessairement informationnels.
Des entretiens fréquents avec le premier responsable de l’audit interne s’avèrent intéressants pour s’assurer que les analyses soient les plus exhaustives possibles. Il est souhaitable que ces deux parties (Conseil d’administration et responsable de l’audit interne) aient la compétence nécessaire d’initier ce dialogue autant que cela est nécessaire, mais il faut tout de même clarifier les règles formalisant les modalités de cet échange. Le Conseil doit ensuite émettre ses observations auprès de la direction et exercer avec attention ses rôles en matière de surveillance en continue et régulière.
2.2.1.2- Rôles de la Direction
C’est la Direction qui conçoit et met en œuvre les éléments du dispositif de CI en donnant les forces et impulsion que ce dernier a besoin pour fonctionner correctement. La direction doit également veiller à ce que tout dysfonctionnement lui soit informé de manière appropriée et que les actions correctives en conséquence soient réellement engagées dans les meilleures conditions. Dans ce sens, il serait important que la Direction (générale) considère le dispositif de CI comme un composant indispensable conditionnant l’atteinte de tous les objectifs de l’organisation. L’expression de la volonté de la direction dans ce sens devrait se matérialiser sur ses directives qu’il doit communiquer de manière claire de sorte à requérir la même attitude auprès de tous les collaborateurs de l’entreprise.
La Direction devrait, non seulement définir les rôles de chaque acteur au niveau du CI, mais ceux-ci devraient être clairement exposés de manière à ce que tous les acteurs puissent travailler en parfaite cohérence. Il serait plus efficient que la nature et l’intensité de chaque activité de contrôle soient proportionnelles aux enjeux propres à la circonstance et au contexte.
2.2.1.3- Bonne coordination des acteurs
Comme le CI est l’affaire de tous dans l’entreprise, la coordination de tous les acteurs est d’une importance à ne point négliger. En effet, d’un côté, les opérationnels pourraient subir une très forte pression de contrôle de la part de plusieurs autres acteurs, et cela conduit souvent à un excès de contrôle. D’un autre côté, il se peut qu’un certain processus de contrôle et de maîtrise de risque ne soit pas réalisé comme il faudrait, seulement suite à un malentendu ou une confusion, par exemple.
La coordination se base sur la garantie que le dispositif de CI est correctement déployé comme le management l’a défini. De ressources suffisantes devraient être allouées à ce dispositif ainsi qu’à son évaluation régulière (périodique et permanente). Cette allocation devrait tenir compte de la circonstance, des caractéristiques et des enjeux de la société. D’ailleurs, il faut une maîtrise des coûts sur ce domaine, mais également un équilibre entre les contrôles et les procédures engagés, d’une part, et les risques en question, d’une autre part.
Aussi, les informations concernant les orientations stratégiques en matière de CI devraient emprunter les canaux de communication adéquats pour parvenir à tous les niveaux. De ce fait, les échanges des données relatives aux risques sont facilités : les nouveaux risques identifiés sont connus de tous et chacun serait en mesure de réagir conséquemment. Tous les acteurs devraient être amplement formés, ce qui demande un programme de formation convenablement mis en œuvre. Les programmes d’auto-évaluation du CI devraient être promus et développés pour pouvoir réagir plus rapidement et avec des coûts moindres aux éventuelles défaillances du système.
Dans les opérations de contrôle et de maîtrise de risque réalisées par chaque acteur, il est important que ce dernier prenne en compte les grandes menaces déjà identifiées ainsi que les actions entreprises en conséquence. Les données sur les programmes de contrôle ou d’audit effectué (ou à effectuer) devraient être échangées entre les différents acteurs. Par ailleurs, les contrôles redondants ou jugés inutiles sont à éliminer.
2.2.1.4- Audit interne indépendant
Cette indépendance est nécessaire pour que l’audit interne puisse opérer objectivement, d’où l’importance du rattachement de cet organe au plus haut niveau hiérarchique, idéalement à la Direction générale. Un dialogue permanent devrait aussi entretenu entre l’audit interne et le comité d’audit, pour garantir cette indépendance, d’une part, mais également pour offrir à ce dernier une seconde vue sur le dispositif de CI.
2.2.2- Limites du CI
Il faut souligner qu’un système de CI efficace n’est toutefois pas infaillible, de par le caractère limité même du CI (ce qui n’implique pas nécessairement l’inefficacité). Sans établir une liste exhaustive des faits caractérisant cette limite, il est convient quand même de parler quelques points significatifs. Ainsi, même les dispositifs les mieux conçus et appliqués ne sont pas en mesure de garantir absolument l’atteinte des objectifs de l’entreprise, d’autant plus que cette atteinte n’est pas le résultat des seuls facteurs internes à l’entreprise. Aussi, outre l’incertitude qui plane surtout sur l’environnement externe à l’organisation, il faut également prendre en compte le facteur humain (dont la subjectivité des jugements) et des défaillances techniques, en l’occurrence. Il ne faut donc pas oublier de tenir compte de ces limites du CI dans le déploiement d’un système censé être efficace.
2.2.3- Efficacité du CI et de Gestion des risques
Afin de maîtriser les risques, le système de CI et le dispositif de gestion des risques doivent fonctionner de façon intégrée et cohérente. De manière synthétique, pour disposer alors d’une efficacité maximale au niveau de ces outils, les principes ci-après devraient être respectés selon le contexte de l’entreprise :
- La détermination de façon claire de l’appétence et l’aversion aux risques par l’organe de gouvernance ;
- La définition et la diffusion des responsabilités de tous les acteurs avec les éventuelles mesures de dérogation (délégation de responsabilité, par exemple) ;
- Le recensement de tous les risques potentiels avec des mises à jour régulières ;
- L’analyse des risques majeurs de telle sorte qu’ils sont évalués (avec leurs incidences) et traités (en même temps que les risques résiduels) ;
- La mise en œuvre, l’évaluation (ou auto-évaluation) et supervision de toutes les activités de contrôle ;
- La revue (indépendante) de l’évaluation des activités de contrôle ;
- La définition et le suivi des indicateurs d’efficacité du dispositif de gestion des risques ;
- Le recensement et l’analyse des incidents avérés ;
- La mise à jour des objectifs et des orientations stratégiques concernant le dispositif.
En somme, l’efficacité du système de CI et du dispositif de gestion des risques se base sur le suivi de l’atteinte ou non des objectifs. Tout cela implique des méthodes d’évaluation adéquate afin d’apprécier (voire mesurer) la performance de ces outils de contrôle et de maîtrise des risques.
Partie 3 – Cas du Groupe SPIE
3.1- SPIE
A la date d’élaboration du présent document, la Société étudiée prend la dénomination sociale de « SPIE SAS ». La Société en question est en passe de devenir une Société Anonyme (SA), ce qui aura, entre autres, deux conséquences majeures dès que l’Autorité des marchés financiers accorde son visa :
- La dénomination sera changée en « SPIE SA » ;
- Les actions de la Société seront ainsi négociées sur la place d’Euronext Paris.
3.1.1- Informations générales
Le Groupe a son siège en France (Cergy-Pontoise) et est présent sur quasiment tous les continents à travers ses différentes filiales (470 établissements sur une vingtaine de pays). Initialement, l’origine de la Société remonte au début du XXè siècle avec la Société Parisienne pour l’Industrie des Chemins de Fer et des Tramways qui fut ensuite renommée en SPIE vers la moitié du siècle. SPIE Batignolles a été, par la suite, le résultat de la fusion de SPIE et de la Société de Construction des Batignolles, en 1968. Redevenue SPIE en 1998, puis AMEC SPIE en 2003, le fonds PAI partners l’a repris en 2006 sous la dénomination SPIE. Finalement, un consortium (géré par Clayton, Dubilier & Rice, LLC, Ardian, et la Caisse de dépôt et placement de Québec) a racheté SPIE en 2011.
Voulant conserver son rang parmi les leaders sur le marché (français et européen, essentiellement), notamment concernant les services multi-techniques, le Groupe a décidé de se libérer de quelques-unes de ses importantes activités (génie civil, construction, projets énergétiques, pipelines, et les chemins de fer. La Société entend poursuivre cette option (de cession) quant à ses activités trop éloignées de son métier central. Parallèlement, dans une optique de croissance dans le secteur de services multi-techniques, SPIE a préféré acquérir certaines firmes (de ce secteur) comme Matthew Hall (Royaume-Uni), Controlec, Klotz BV et Gebr. Van der Donk (Pays-Bas). Pendant trois ans, le Groupe a réalisé 32 acquisitions, dont 14 en 2011 (125 millions d’euros), 11 en 2012 (167 millions) et 7 en 2013 (921 millions).
SPIE est une multinationale de quelques 37 000 collaborateurs avec une production consolidée de 4 562.6 millions d’euros (et de 298 millions d’euros d’EBITA). Parmi les piliers sur lesquels se base le business model du Groupe, il est intéressant de savoir que la rigueur des procédures de contrôle en fait partie, visant à garantir une performance élevée des équipes de managements au niveau local. Les activités de SPIE sont organisées en 4 grands segments :
- Le marché français représentant 53.6 % de la production ;
- Le marché de l’Europe du Nord-Ouest avec 23.1 % de la production ;
- Le marché allemand et de l’Europe Central qui concerne 6.5 % de la production ;
- Le marché du Pétrole, du Gaz et du Nucléaire qui représente 16.8 % de la production.
3.1.2- Activités du Groupe et le marché de la concurrence
Généralement, SPIE offre des services multi-techniques intégrant principalement le génie électrique, mécanique et climatique ainsi que les systèmes de communication. Sa clientèle est composée surtout d’entreprises industrielles et celles œuvrant dans le secteur tertiaire ; le Groupe satisfait également des besoins émanant des collectivités publiques. La Société est aussi très présente dans les secteurs énergétiques, dont l’industrie pétrolière, gazière et nucléaire. Les activités du Groupe pour ses clients dans ces secteurs (des importantes firmes pétrolières et gazières) concernent l’ingénierie, l’approvisionnement, la construction, les travaux dans les installations, l’exploitation et la maintenance de ces installations, quasiment tout service énergétique (civil) concernant le nucléaire.
SPIE serait le leader indépendant sur le marché européen des services multi-techniques qui présente d’ailleurs des disparités suivant les pays. En France, le groupe se positionne en tête de liste sur ce segment en tant qu’acteur indépendant, et les cinq plus grands opérateurs (de ce secteur des services multi-techniques) accaparent 39% de part de marché. Mais le Groupe est également en forte position dans d’autres pays européens (occidentaux), dont l’Allemagne (5ème avec 8% de part de marché), le Pays-Bas (5ème, 4%), le Belgique (3ème, 6%) et le Royaume-Uni (6ème, 2%).
En ce qui concerne le marché de services de communication, le chiffre d’affaires de SPIE (dans ces branches d’activités) a atteint 10 milliards d’euros en 2013. Dans ce marché assez fragmenté où environ la moitié du marché est détenue par les 6 plus importants acteurs, SPIE se placerait juste après le leader. Quant au marché du Pétrole et Gaz, le Groupe a essentiellement déployé ses filiales en Afrique, en Moyen-Orient et en Asie-Pacifique, avec un chiffre d’affaires avoisinant les 12 milliards d’euros, en 2013. SPIE occuperait près de 10% du marché (les 4 premiers acteurs de ce secteur totalisent 28% de part de marché). Pour le marché des services multi-techniques dédiés à l’industrie nucléaire, SPIE a pu générer 2 milliards d’euros de chiffre d’affaires en 2013. Il se positionnerait à la 3ème place sur ce secteur avec 14% de part de marché (66% sont détenus par les 5 premiers acteurs).
3.1.3- Objectifs, stratégie et perspectives
SPIE focalise sa stratégie de développement autour de 4 segments :
- Le « Smart City » (aménagement intelligent des villes) qui représente d’ailleurs 35% de sa production (2013) ;
- Le « e-fficient buildings » (services de performance énergétique dans les bâtiments) avec 24% de la production ;
- Les « Energies » (incluant les énergies nucléaires, les énergies renouvelables, et le pétrole et le gaz) couvrant 23% de la production ;
- Le « Industry services » (services à l’industrie) concernant 18% de la production.
Le Groupe entend poursuivre les actions suivantes dans sa politique stratégique :
- Concentration sur les éléments structurels permettant une croissance dans une optique de long terme de sorte à dépasser la croissance du PIB à travers les cycles : cela devrait être atteint en maintenant un niveau d’activités récurrentes élevé, en misant sur les opportunités de croissance relatives aux principaux métiers du Groupe, en intégrant « l’économie verte » dans ses stratégies de développement, etc. ;
- Poursuite des mesures rigoureuses en matière de gestion opérationnelle ;
- Affirmation et extension de la présence de SPIE sur le marché, participant ainsi à la consolidation du secteur ; et (et non de moindre importance)
- Intégration large des collaborateurs à la performance du Groupe.
En fait, le Groupe se fixe comme objectif de croissance un taux annuel moyen entre 2.5% et 3.5% pour la période 2015-2018. Concernant la dimension externe de la croissance, SPIE estime continuer sa politique d’acquisition de manière à accroître la densité de son réseau de proximité. Pour cela, le Groupe serait prêt à consacrer environ 200 millions d’euros de production dans le cadre de cet objectif d’acquisition dans la même période susmentionnée.
3.2- Les risques
Il est presque impensable d’établir la liste exhaustive de tous les risques auxquels la Société est exposée, bien que cela reste essentiel, voire impératif. Le document de base de SPIE évoque également cette difficulté de dresser cette liste exhaustive. Ce document parle ainsi des risques « dont la Société estime que la réalisation est susceptible d’avoir un effet défavorable significatif sur le Groupe, son activité, sa situation financière, ses résultats ou ses perspectives et qui sont importants pour la prise de décision d’investissement ».
Les risques majeurs considérés dans ce document de base concernant la Société SPIE sont classés en cinq catégories :
- D’abord, il y a les risques relatifs aux secteurs d’activités de SPIE : neuf (9) familles de risques sont identifiées dans cette catégorie, telles que les risques inhérents à l’environnement économique (cycle économique, conjoncture, etc.), ceux liés à l’évolution des dépenses publiques, ceux inhérents à la concurrence, etc. ;
- Ensuite et de manière logique, les risques liés aux activités du Groupe sont parmi les plus nombreux : vingt (20) familles de risques sont répertoriés dont les risques de réputation, ceux associés à la gestion de projets, les risques professionnels (liés nécessairement à la sécurité et à la santé sur les lieux de travail), etc. ;
- Il y a également les risques liés à la Société elle-même qui regroupent cinq (5) familles de risques : les risques relatifs à la structure de société holding, ceux concernant les éventuels départs des équipes dirigeantes, ceux associés à l’endettement et aux conditions restrictives des financements, ceux sur la difficulté future à maintenir un besoin en fonds de roulement négatif, et ceux liés au goodwill et aux autres actifs incorporels (de montant très élevé) figurant dans le bilan de la Société ;
- Très pesants sont aussi les risques de marché dont, essentiellement, les risques de liquidité, de taux d’intérêt, de taux de change, et de crédit ou de contrepartie ;
- Finalement, à surveiller de très près les risques juridiques qui peuvent être regroupés en six (6) familles : les risques concernant les évolutions des dispositions réglementaires, des droits de la concurrence plus spécifiquement, de la fiscalité, ainsi que les risques relatifs aux contentieux, aux réclamations et aux assurances.
Les risques assurables sont négociés par la Direction juridique du Groupe auprès des assureurs et/ou réassureurs afin de déployer les couvertures adéquates répondant aux besoins de chaque établissement. Ce dernier est, par ailleurs, tenu d’apporter à cette Direction (juridique) les données sur les risques identifiés et qualifiés d’assurables. Il y a cependant des risques non assurés résultant du fait qu’il n’existe pas d’offre de couverture adaptée et jugée optimale pour ces risques, tant au niveau du coût qu’au niveau de la protection demandée. Les établissements sont également habilités à souscrire des polices d’assurance locales en complément des polices maîtresses, surtout pour des spécificités législatives locales ou concernant certains pays. Principalement, sont souscrites auprès d’assureurs de forte notoriété :
- La responsabilité civile générale, jusqu’à hauteur de 300 millions d’euros de garantie ;
- Les dommages sur les biens et les pertes d’exploitation avec un montant limite de 20 millions d’euros ;
- La responsabilité des dirigeants et des mandataires sociaux.
3.2.1- Cadre organisationnel de la gestion des risques
Il est à rappeler que le dispositif de Gestion des risques doit être composé d’un cadre organisationnel comprenant :
- Une politique de gestion des risques ;
- Une organisation ;
- Un système d’information.
3.2.1.1- Objectif des dispositifs de Gestion des risques et de CI
Le dispositif de Gestion des risques et celui du CI sont d’ailleurs déployés pour permettre au Groupe d’atteindre un double objectif essentiel :
- D’une part, l’atteinte de ses objectifs, la réalisation de ses missions, le repérage de toutes les opportunités de développement, tout cela en restant en conformité avec les valeurs et l’éthique de la Société ainsi que les normes et dispositions réglementaires régissant les activités ;
- D’autre part, la protection de ses principaux actifs sur lesquels se basent ses activités et l’identification des seuils nécessaires (concernant ces actifs) permettant le bon déroulement de ces activités.
3.2.1.2- Structure organisationnelle
Du point de vue organisationnel, ces dispositifs sont pilotés par la Direction Audit et Maîtrise des risques de l’ensemble du Groupe. Avec la réorganisation de SPIE (en « SPIE SA »), cette Direction devrait regrouper trois fonctions :
- La Gestion des risques ;
- Le Contrôle interne ;
- L’Audit interne
Par ailleurs, il est possible d’apprécier les dispositifs de Gestion des risques et de CI selon trois niveaux :
- D’abord, les organes de gouvernance qui est essentiellement responsable de la validation de la stratégie et des outils en matière de Gestion des risques et de CI, ainsi que de la supervision des dispositifs associés.
- Ensuite, la Direction Audit et Maitrise des risques qui devrait définir le cadre de la Gestion des risques et du CI dans lequel les filiales sont tenues d’évoluer ; cette Direction coordonne ainsi le fonctionnement de tout le système défini dans ce cadre. La Direction Audit et Maitrise des risques est rattachée hiérarchiquement au PDG du Groupe, et fonctionnellement au Comité d’audit.
- Au niveau des filiales, les Directions opérationnelles sont les responsables de la Gestion des risques et du CI.
Dans la définition et la mise en application des normes en matière de Gestion des risques et de CI, il est également intéressant d’apprécier la hiérarchie suivante :
- La Direction Audit et Maîtrise des risques se trouve au niveau supérieur, c’est elle qui coordonne l’ensemble des dispositifs (Gestion des risques et CI) ;
- Un Process Manager (Directeur du CI Fonctionnel ou encore Responsable Fonctionnel du Groupe) est responsable de la mise en application de ces normes à l’ensemble du Groupe suivant le périmètre défini par processus (exemple : pour la Fonction Achat) ;
- Un Process Owner concernant ce même processus est responsable au niveau de chaque filiale. C’est le Directeur général de la filiale qui est le premier responsable du déploiement et de la mise en œuvre du dispositif concernant l’ensemble des processus de cette filiale.
Cette structure organisationnelle met en évidence la forte intégration des opérationnels dans le dispositif de Gestion des risques et de CI.
Dans l’élaboration du référentiel de CI, le Groupe a opté pour une expertise centralisée qui nécessite, en revanche lors du déploiement en filiale, un correspondant CI (dans chaque filiale). La stratégie adoptée penche sur le réseau de QSE (Qualité Sécurité Environnement) composé d’environ 200 responsables sur l’ensemble du Groupe. D’ailleurs, chaque filiale dispose d’une Direction QSE et des équipes intégrées au niveau opérationnel. Le processus de CI cherche une meilleure coordination des dispositifs de maîtrise des risques qui s’appuie surtout sur le dispositif QSE (les méthodes de la fonction QSE se confondent souvent avec celles de l’audit interne et le CI). L’élargissement des attributions des équipes QSE à celles (attributions) du CI se présente alors comme un défi à relever compte tenu des adaptations nécessaires.
3.2.1.3- Information et Communication
Il y a lieu de préciser l’existence de flux importants d’informations (communications) entre les différents acteurs principaux suivants concernant la gestion des risques :
- Les différents niveaux hiérarchiques ;
- Les différents responsables fonctionnels par processus, dont entre les process managers et les process owners ;
- Les équipes QSE dans le cadre du CI ;
- La Direction Audit et Maitrise des risques et ses différentes fonctions.
En toute évidence, il y a alors des informations qui devraient circuler suffisamment de bas en haut (remontées d’informations sur les risques identifiés, les priorités, etc.), dans l’autre sens (les directives, les normes et dispositions à suivre), et transversalement (entre les différentes fonctions supports, en l’occurrence).
3.2.2- Gestion des risques
La cartographie des risques est un outil précieux pour le Comité de direction générale de la Société et au Comité d’audit pour avoir une meilleure appréciation des risques majeurs. En d’autres termes, la cartographie des risques est à la fois un outil servant à définir la politique de risque du Groupe et un outil résultant de cette définition (de politique de risque) : à la fois des données en entrée et en sortie.
3.1.2.1- Cartographie des risques « Top-down »
Initiée et réalisée en fin de l’année 2010 (et surtout à partir de l’année 2011), l’approche « Top-down » permet d’établir la cartographie des risques dans l’ensemble du Groupe. Cette approche comporte quelques grandes phases :
- Entretiens avec des acteurs-clés du Groupe, notamment avec le Comité de direction générale ainsi que les principaux directeurs fonctionnels et les directeurs de processus de la Société. Sur leurs périmètres d’actions respectifs, ces acteurs devraient apporter des informations précieuses sur les éléments susceptibles de compromettre la réalisation des objectifs, bouleverser les activités, nuire à l’image et affecter le processus clé de fonctionnement de la Société.
- Identifications des risques, le plus exhaustivement possible, à partir des informations obtenues lors des entretiens susmentionnés.
- Synthèse des risques identifiés qui sont alors consolidés et catégorisés par grandes thématiques.
- Evaluation et hiérarchisation des risques suivant une échelle d’importance et le niveau de maîtrise de chaque risque considéré. En fait, le résultat de la synthèse (de la phase précédente) est communiqué au Comité de direction générale qui discute alors de la gravité potentielle de ces risques et la capacité des dispositifs en place (que dispose la Société) à les maîtriser. L’Audit interne est un interlocuteur privilégié dans ces débats, en se basant essentiellement sur les incidents récents, les résultats des audits et des évaluations du dispositif de CI. Le Comité de direction générale hiérarchise alors les risques considérés et définit les priorités concernant les plans d’action à mettre en œuvre. Les traitements des risques considérés comme prioritaires sont ensuite confiés à certains acteurs, membres spécifiques du Comité.
- Des plans d’actions sont proposés et discutés en Comité de direction générale, des plans qui devraient s’appliquer à l’ensemble du Groupe.
La cartographie des risques est régulièrement mise à jour (annuellement) par la Direction Audit et Maîtrise des risques qui est tenue de la présenter au Comité d’audit une fois par an au minimum. Ce dernier communique ensuite ses propres recommandations au Conseil d’administration.
A titre d’exemple, le risque d’inadéquation de l’effectif (en termes de nombre et de compétences) aux besoins de l’organisation quant à ses perspectives de développement sur le moyen terme est alors identifié comme (un risque) majeur. Ce risque est ensuite classé parmi les risques relatifs au recrutement et à la fidélisation de personnels-clés et techniques, cette famille de risques étant alors consolidée et catégorisée dans les risques liés aux activités du Groupe. Les plans d’action sont ainsi composés de gestion des besoins, gestion des ressources et des actions pour fidéliser les collaborateurs.
3.2.2.2- Analyse des risques « Bottom-up »
L’analyse des risques est effectuée selon une approche dite « Bottom-up » est utilisée essentiellement pour :
- La validation des évaluations des risques résultants de l’élaboration de la cartographie (des risques) ;
- La précision et la hiérarchisation des actions devant être menées pour la maîtrise des risques considérés ;
- L’élaboration du dispositif de suivi des risques.
A la suite de l’analyse, une fiche par risque identifié est donc établie qui contient les principales sources, les incidences majeures, quelques exemples d’illustration et les actions de maîtrise. L’analyse des risques comporte cinq (5) grandes phases :
- Analyse et évaluation des composantes des risques
- Evaluation des actions de maîtrise déjà en place
- Réévaluation des risques
- Confirmation et hiérarchisation des plans d’action
- Définition d’un dispositif de Gestion des risques
Les explications et analyses qui suivent seront illustrées par l’exemple réel du risque d’inadéquation de l’effectif aux besoins décrit dans le paragraphe précédent.
3.2.2.2.1- Analyse et évaluation des composantes des risques
Il y a lieu d’identifier les experts, les responsables fonctionnels et tous les utilisateurs concerné par chaque risque considéré. Le risque d’inadéquation de l’effectif aux besoins implique alors, entre autres, le Comité de rémunération, le Comité de nomination, les responsables en Ressources humaines, le Comité Diversité Groupe, les responsables de la Gestion Prévisionnelle des Emplois et des Compétences (GPEC), les Comités carrières, le Centre de Développement des compétences.
Les éléments susceptibles d’amplifier la probabilité de réalisation et/ou l’intensité du risque sont ensuite identifiés. Cette identification s’appuie sur les travaux déjà effectués, sur un référentiel éventuel en considération des risques relatifs au processus concerné, ainsi que sur la vision des acteurs impliqués. Pour l’exemple du risque d’inadéquation effectif/homme, est alors considérée l’évolution rapide des métiers et des exigences qui pourrait se traduire par une hausse des exigences en termes de compétences, une nouvelle demande d’expertise non-encore disposée par le Groupe, ou une multiplication des qualifications requises dont les détenteurs sont difficiles à fidéliser. Ces éléments composants le risque en question sont évalués à partir d’entretiens avec les acteurs impliqués en se basant d’une échelle d’incidence et d’occurrence. A mettre en évidence alors les principaux impacts potentiels du risque, tels que des difficultés opérationnelles qui se manifesteront par des tâches mal réalisées dans les chantiers, la perte ou le manque de motivation qui se traduit souvent par des démissions, etc. pour ce qui concerne l’exemple traité.
3.2.2.2.2- Evaluation des actions de maîtrise déjà en place
Le dispositif de maîtrise déjà engagé pour chaque risque à analyser est réévalué par les acteurs impliqués. Pour l’exemple considéré, sont alors réévalués la démarche prospective métiers, la politique de rémunération, etc. Cette réévaluation devrait confirmer ou apporter des éventuelles corrections sur ces actions de maîtrise de risque. La réévaluation se base sur une échelle de niveau de maîtrise matérialisée par des couleurs de niveaux d’intensité différents, allant de verte (« significatif », « rare ») à rouge (« critique », « quasi-certain »), en passant par des couleurs intermédiaires.
3.2.2.2.3- Réévaluation des risques
Les composantes des risques (les éléments mentionnés dans la première phase) sont identifiées et évaluées en risque brut et risque net sur la base de l’échelle précédemment utilisée. Sont ensuite analysées ces évaluations, puis consolidées et homogénéisées afin de réaliser une comparaison avec au risque cible défini par la Direction générale. Pour l’exemple retenu, à considérer alors les niveaux définis en matière de gestion prévisionnelle des emplois et compétences, l’aisance de recrutement et la qualité de la gestion opérationnelle, par rapport aux critères définis par la Direction Générale.
3.2.2.2.4- Confirmation et hiérarchisation des plans d’action
Il est important de définir la priorité en ce qui concerne les plans d’actions ; l’objectif étant de ramener chaque risque considéré au niveau défini par le Groupe. Ainsi, concernant l’exemple d’inadéquation effectif/homme, la gestion des besoins (identification des besoins en RH, suivi de la réalisation des recrutements, analyse des écarts entre programme d’action d’amélioration de la capacité à prévoir et la réalisation effective, etc.) est considérée comme prioritaire par rapport à la gestion des ressources (affinage des prévisions de départs, création d’un workforce planning, établissement de plans de remplacement).
3.2.2.2.5- Définition d’un dispositif de Gestion des risques
Quelques actions sont indispensables dans cette phase :
- Définir une organisation devant garantir la gestion des risques ;
- Définition des indicateurs de suivi des risques ;
- Choisir un format synthétique de restitution pour faciliter le suivi ;
- Effectuer une réévaluation annuelle des risques ;
- Identifier et évaluer les nouveaux risques.
La Direction des RH et le management opérationnel sont les premiers responsables concernant les actions de maîtrise du risque d’inadéquation effectif/homme, traité dans l’exemple choisi.
Il en ressort avec ces explications, analyses et exemples que :
- Le dispositif de Gestion des risques fait intervenir (pratiquement) tous les acteurs de l’entreprise, allant des dirigeants jusqu’aux opérationnels, selon le périmètre de responsabilité de chacun de ces acteurs ;
- Il existe une métrologie bien définie à suivre qui demande un programme de suivi-évaluation systématique compte tenu de l’incertitude qui plane sur l’environnement et de la forte intervention des facteurs humains dans les processus (de gestion des risques).
- Il est important de compléter les actions déjà menées en matière d’identification des risques majeurs pour étoffer la cartographie des risques. Cela dit, il serait préférable d’accroître la fréquence de mise à jour de cette cartographie.
3.2.3- Surveillance et revue de la gestion des risques
Concernant le dispositif de Gestion des risques opérationnels, les décisions à prendre dans les différents contrats conclus par la Société sont délicates à prendre, et représentent ainsi l’essentiel de la politique de risque du Groupe. Cette politique étant d’abord définie au niveau du Comité d’évaluation des risques (au niveau) du Groupe qui est désormais composé de quatre membres, à savoir : le PDG de la Société, le Directeur Administratif et Financier, le Directeur général adjoint responsable de la Stratégie et Développement, et le Directeur juridique et assurances. Tout projet/contrat d’une valeur supérieure à 30 millions d’euros doit alors passer par ce Comité, à partir du moment où le projet fait l’objet d’une étude de faisabilité (ou préfaisabilité). Au niveau de chaque filiale, il existe aussi un Comité des risques composé, en principe, du Directeur Général (de l’établissement en question) et d’autres hauts-responsables de la filiale, dont le Directeur financier. En outre, tout projet dont la valeur excède les 6 millions d’euros doit généralement obtenir l’aval du PDG du Groupe ou du Directeur général délégué France.
Toujours en matière de structure organisationnelle de la Gestion des risques et du CI, il faut considérer également la délégation de pouvoir concernant ces contrats, étant donnée la décentralisation des activités. Dorénavant, il existe une liste des responsabilités des différents acteurs autorisés à prendre des décisions selon les niveaux des risques relatifs à ces dernières. Cette liste prévoit ainsi les délégations de pouvoir possibles en partant du PDG de la Société jusqu’aux responsables d’affaires.
Les rôles joués par le Département de Contrôle de Gestion sont également très importants quant aux activités de contrôle. Ce Département coordonne au niveau du Groupe l’ensemble des actions des contrôleurs de gestion (au nombre de 200, en 2014) répartis dans les différentes filiales. Il définit la méthodologie à suivre, coordonne les systèmes d’information, et effectue de manière indépendante les revues de la gestion au niveau de chaque filiale. Chaque contrôleur de gestion est hiérarchiquement indépendant du périmètre qu’il doit superviser.
Il existe dans chaque processus opérationnel au moins un correspondant QSE, surtout concernant la sécurité qui est considérée comme une valeur clé de la Société. Ces acteurs interviennent dès l’appel d’offre jusqu’aux mises en œuvre des projets dans le but de prévenir les risques professionnels sur les lieux de travail et assurer une sécurité pour tous les activités de la Société. Aussi, au niveau opérationnel (de premier niveau), les fonctions supports réalisent une veille de risques en utilisant les données fournies par des interlocuteurs en charge de faire le suivi des entités au niveau de chaque filiale (risque de crédit, risques informatiques, risques ressources humaines, etc.).
Il est important également de mentionner la revue annuelle des Directions opérationnelles ainsi que des processus et des enjeux des entités au sein de la Société. Cela devrait permettre d’identifier les risques stratégiques, opérationnels, de conformité et financiers du Groupe. Les données relatives à cette revue aident le Comité de Direction Générale de la Société à prendre les décisions adéquates quant à la politique de risque. Toutes les actions de surveillance et d’évaluation de la Gestion des risques sont pilotées par la Direction Audit et Maitrise des risques ; les résultats des évaluations sont reportés aux organes de gouvernance.
3.3- Efficience de l’urbanisme du CI et les trois lignes de maîtrise
3.3.1- Le système de CI
L’environnement de contrôle du Groupe se base sur un référentiel de CI, déjà déployé depuis 2013, appelé « normes SPIE ». Ce référentiel (qui s’appuie sur le référentiel COSO 2013) constitue ainsi le socle du système de CI du Groupe, devant permettre la formalisation, la normalisation et l’harmonisation des pratiques de gestion des risques. Un outil spécifique dédié est en cours de déploiement (attendu jusqu’en 2015, au plus tard), constituant un moyen puissant pour piloter le dispositif de contrôle. Entre autres bénéfices apportés par cet outil, la documentation et la traçabilité des tâches réalisées devraient être facilitées, et le reporting vers la Direction Audit et Maitrise des risques et les organes de gouvernance serait automatisé.
Le système de CI du Groupe (en prenant en compte les états des lieux au moment de l’élaboration du présent document et les perspectives après réorganisation du Groupe en SPIE SA) devrait avoir un état de santé acceptable, étant donné que :
- Les décideurs et surtout les dirigeants n’ont pas hésité à affirmer la priorisation du CI et de la Gestion des risques, au moins dans leurs communiqués officiels à l’interne comme à l’extérieur ;
- Il y a une relative indépendance des organes décisionnels par rapport aux organes exécutifs, ces premiers semblent réaliser un niveau de surveillance assez suffisant de la mise en place et du bon fonctionnement du système de CI : entre autres, le Comité d’audit est toujours informé par le Comité de direction de la stratégie de CI, de toute validation et de toute évolution subséquente du référentiel, et des décisions concernant le processus et les modalités d’évaluation du CI.
- Le Groupe dispose de normes, processus et structures essentiels pour entretenir l’environnement et les activités de contrôle dans l’ensemble de son organisation : charte éthique, programme de conformité (revu en 2013), plans de succession.
- L’organisation démontre son engagement à atteindre les objectifs : des efforts pour définir les structures, les rattachements, les pouvoirs et les responsabilités (délégation de pouvoirs, les séparations des tâches, etc.), des efforts pour attirer, former et fidéliser les personnes compétentes.
- Le Groupe définit les objectifs à poursuivre et dispose des outils nécessaires pour l’identification, l’analyse et les traitements des risques susceptibles d’affecter ces objectifs.
- L’équipe centrale (Direction Audit et Maitrise des risques, essentiellement) établit la méthodologie de CI et définit les contrôles-clés. Les fonctions Support et filiales communiquent ensuite les procédures qui intègrent les points de contrôle. Les activités de contrôle visent ainsi à maîtriser et à ramener à un certain niveau les risques majeurs identifiés.
- Concernant l’information et la communication : les organes décisionnels sont bien informés de toute action d’élaboration, de mise en œuvre et d’évaluation du dispositif de CI réalisée par les organes exécutifs (notamment le Comité de direction générale) et par les organes de contrôles (la Direction Audit et Maitrise des risques, en l’occurrence). De même, ces organes (exécutifs et de contrôle) semblent être amplement informés par les remontées d’informations, les résultats d’évaluation (ou d’auto-évaluation) et de veille effectués par les responsables opérationnels et fonctionnels ainsi que les correspondants (notamment les QSE) répartis dans l’ensemble du Groupe. Pour la communication descendante, à part les communiqués officiels (venant du « top management » et les procédures diffusées par les fonctions Support et filiales, tous les collaborateurs sont informés et sensibilisés par les comités de direction des filiales (objectifs et attentes liés à la mise en œuvre du référentiel, par exemple) et formés par le réseau de correspondants (homogénéisation des pratiques de CI).
- Les « normes SPIE » devraient constituer une garantie en matière de surveillance et d’évaluation du CI. Par exemple, tout émetteur de procédure doit informer impérativement la Direction de CI du Groupe lorsqu’il est constaté une divergence entre les procédures et le référentiel de CI.
3.3.2- Rôles des différents acteurs
L’efficience de l’urbanisme du contrôle interne pourrait être appréciée à travers les rôles des différents acteurs et en comparant le système de CI du Groupe avec le modèle des trois lignes de maîtrise. D’abord, étant donné que les organes de Direction effectuent une surveillance acceptable de l’ensemble du dispositif de CI et sont entièrement responsables de toute stratégie (notamment en termes de gestion des risques et de CI) définie, le modèle des trois lignes de maîtrise devrait être applicable et efficace si ces organes soutiennent activement son déploiement.
Le management devrait constituer la première ligne de défense de la Société, puisqu’il est constitué de « fonctions qui endossent et gèrent les risques ». Etant donné que le dispositif de CI du Groupe est encore récent, se trouvant dans une phase de déploiement pendant la préparation à la réorganisation, les rôles des responsables opérationnels situés aux plus bas niveaux ne sont pas encore clairement et formellement définis. En tout cas, chaque Process Owner (dans chaque filiale) est tenu responsable de la mise en œuvre du dispositif de CI concernant son propre périmètre. Il reste alors des efforts à réaliser dans ce sens concernant le cadre référentiel et le suivi du dispositif déployé.
Désormais, pour une efficience de l’urbanisme du CI, il faut une pleine implication de tous les acteurs de l’entreprise, à commencer par tous les opérationnels. L’augmentation de la taille de la Société, compte tenu des nombreuses acquisitions qui devraient se poursuivre dans le futur, est un des facteurs qui complexifient le pilotage du dispositif de CI du Groupe. Certes que tous les managers opérationnels dans les filiales sont engagés à contribuer au déploiement et à la mise en œuvre de ce dispositif, notamment de manière implicite. Mais il est très important de coordonner et de formaliser les responsabilités de chaque acteur pour éviter les ambiguïtés, sources de confusion.
Il faudrait alors penser à matérialiser la volonté manifeste des dirigeants d’instaurer une culture de contrôle (dans leurs communiqués officiels : la maîtrise des risques est une des 10 valeurs du Groupe, le CI est une priorité pour le « top management ») dans le déploiement (attendu au plus tard pour 2015) de l’outil devant servir à piloter le dispositif de contrôle. Des outils importants déjà déployés (dont la charte éthique signée par tous les collaborateurs, les descriptions de poste, les différentes formations et sensibilisations élaborées par les responsables de CI dans les filiales) devraient servir de support pour renforcer cette culture de contrôle et l’intégrer dans les valeurs éthiques et bonnes pratiques dans toute l’organisation. En somme, le CI n’est pas seulement l’affaire des experts, et des directives explicites (élaborées et diffusées par l’équipe centrale de CI) devraient guider les démarches effectuées par tous les acteurs dans la Société, jusqu’aux bas niveaux de la hiérarchie. Il est important d’accorder une certaine marge de manœuvre aux responsables du CI dans les filiales mais il est recommandé de définir les grands axes, notamment en matière de responsabilité des acteurs.
La deuxième ligne de maîtrise est ensuite constituée par les fonctions de Gestion des risques, dont l’organe central (la fonction Gestion des risques de la Direction Audit et Maitrise des risques), le Comités de risques, les fonctions supports et filiales, le Contrôle de gestion, le QSE, etc. Ces différentes fonctions devraient constituer un soutien pour le management dans la définition des rôles et responsabilités. Cette deuxième semble disposer d’effectif important intégré au niveau des opérationnels (équipes QSE qui sont de véritables correspondants CI, contrôleurs de gestion, ainsi que de nombreux interlocuteurs dédiés pour réaliser une veille de risques). Les actions de ces experts couplés avec celles des responsables opérationnels devraient ainsi permettre des évaluations du CI à différents niveaux (autoévaluation essentiellement par les opérationnels, évaluation de deuxième niveau par ces acteurs de la deuxième ligne de défense). Les fonctions Support du Groupe qui rédigent et diffusent les procédures devraient davantage expliciter les évolutions de la politique de risque de l’organisation auprès de tous les acteurs suivant leurs périmètres d’action respectifs. Ces fonctions Support et filiales alerte la Direction du CI dès qu’elles détectent une éventuelle incohérence entre les directives et le référentiel de CI ; cette action (d’alerte) devrait être également réalisée par les acteurs des fonctions Gestion des risques auprès du management à chaque enjeu émergent et évolution de la réglementation.
La troisième ligne de maitrise est constituée par l’audit interne qui devrait fournir aux organes de gouvernance une assurance basée sur l’indépendance organisationnelle et l’objectivité. La fonction Audit interne du Groupe est rattachée d’abord à la Direction Audit et Maitrise des risques qui, à son tour, rattachée au PDG (et fonctionnellement au Comité d’audit). A ce titre, l’audit interne devrait pouvoir assurer ses responsabilités de façon relativement indépendante. Le niveau de rattachement de l’Audit interne semble démontrer une relation suffisamment étroite entre cet organe et le Comité d’audit qui se communiquent régulièrement à l’initiative de l’un ou de l’autre.
Par ailleurs, les acteurs du CI sont coordonnés par (la fonction CI de) la Direction Audit et Maîtrise des risques. Cette coordination conditionne l’efficience du CI pour que le système (de CI) soit exhaustif, qu’il y ait une parfaite cohérence entre ces acteurs et « que l’addition de ces derniers conduit à un résultat optimal et non redondant ». Les rôles de chacun de ces acteurs devraient alors être clairement explicités et connus de l’ensemble de tous les collaborateurs du Groupe, d’autant plus que le déploiement du dispositif de CI nécessite certains changements et adaptations (adaptation des équipes QSE aux fonctions de CI, par exemple). Dans des organisations complexes (non loin de celle du Groupe), telles que les établissements financiers, il est recommandé que le premier responsable du CI soit membre du comité exécutif de la Société pour ne pas affaiblir l’indépendance du contrôle.
Finalement, certains autres acteurs externes (dont le Commissaire aux comptes titulaire et Auditex) devraient composer une ligne de défense supplémentaire pour le Groupe. Pour l’efficacité du CI, il est important que ces acteurs restent effectivement externes à l’organisation (l’Audit interne ne doit pas être utilisé comme sous-traitant de ces acteurs). Il est recommandé également qu’il y ait une rencontre régulière entre le Comité d’Audit, l’Audit interne et les commissaires aux comptes pour discuter des résultats d’audits et renforcer en conséquence la solidité du dispositif de Gestion des risques.
Conclusion
L’existence et la santé des cinq composantes du contrôle interne (CI) est une condition nécessaire (et non encore suffisante) de l’efficacité du système de contrôle interne dans une entreprise. L’urbanisme du CI étant l’ensemble de ses différents acteurs, une bonne synergie entre ces derniers est une autre condition d’efficacité et d’efficience. Principalement, cette synergie implique :
- la participation active de tous les acteurs,
- la détermination (et la diffusion auprès de tous) des rôles de chacun avec les relations qui interagissent entre ceux-ci (ces rôles),
- et la bonne coordination et communication entre ces différents acteurs.
Généralement, la gestion des risques consiste en l’identification de tous les facteurs potentiellement nuisibles à l’atteinte des objectifs de l’entreprise. Les risques majeurs devront ensuite faire l’objet d’analyse, de traitement, de suivi et de contrôle (notamment concernant les risques résiduels). Les différents acteurs pourraient être organisés selon trois familles assimilées à des ensembles de lignes de défenses et de maîtrise des activités de l’entreprise : les managers, les fonctions Contrôle et Risque, l’audit interne. Pour une efficacité conjointe du système de CI et du dispositif de gestion des risques (condition d’efficience de l’urbanisme du CI), il faut que :
- les organes décisionnels (Conseil d’administration et Comité d’audit) assument correctement ses responsabilités en matière de supervision ;
- la Direction met en place et met en œuvre ce système et ce dispositif, en veillant à ce que tous les acteurs respectent les normes et principes y afférents ;
- les tous les acteurs participent à la mise en œuvre de ce système et ce dispositif sous la bonne coordination de la Direction ;
- l’audit interne puisse travailler avec une certaine indépendance et ait une relation privilégiée avec les organes décisionnels.
Pour le cas de la Société SPIE, il s’avère que les composantes du CI se comportent de manière efficace. Etant donné que le Groupe se situe encore dans une phase de déploiement de son système de CI, c’est l’occasion d’intégrer dans ce système les éléments devant permettre l’efficience de ce dispositif. Entre autres et principalement, plus d’efforts devraient faits pour :
- assurer la participation de tous les acteurs de la Société dans le déploiement et la mise en œuvre des dispositifs de Gestion des risques et de CI ;
- conserver et renforcer la culture de contrôle dans l’organisation, notamment par la formalisation des rôles et responsabilités de chacun, jusqu’aux bas de la hiérarchie ;
- permettre aux responsables de la gestion des risques d’apporter les soutiens dont le management a besoin dans le cadre de la maîtrise des risques ;
- coordonner avec plus d’efficience les acteurs du CI, surtout à travers la définition explicite des rôles de ces derniers, de sorte à renforcer la cohérence et la complémentarité des actions.
La tendance incessante à la complexification de l’environnement interne et externe (devenant de plus en plus incertain pour les entreprises) a de sérieuse influence sur leurs organisations (internes). Les règles et les normes ont besoin d’être mises à jour avec des fréquences plus accélérées. D’un côté, la place occupée par le système d’information dans l’organisation s’élargit au fil du temps, faisant en sorte que le nombre d’acteurs dans l’entreprise diminue progressivement vite (les machines remplaçant les hommes). Il serait intéressant d’élaborer des modèles d’urbanisme de CI répondant à cette forte mutation permettant d’aider les décideurs d’entreprises d’adopter les stratégies les plus efficientes. Cette perspective dépasse le cadre de la présente étude et nécessite des analyses plus approfondies des différents facteurs d’efficience du système de CI en tenant compte des paramètres externes.
Bibliographie
– AMF, Le dispositif de Contrôle Interne : Cadre de référence, AMF, Paris, 2007.
– AMF, Les dispositifs de gestion des risques et de contrôle interne – Cadre de référence, AMF, Paris, juillet 2010.
– AUBRY C, « Comment définir la fonction de risk-manager ? Proposition d’un projet d’étude terrain des pratiques managériales en matière de risques opérationnels », Comptabilité et environnement, 2007 (version 1 – novembre 2010).
– BRESSAC A, « La relation culture de l’organisation / Contrôle interne », Mieux appréhender l’environnement et la culture de contrôle de l’organisation pour un dispositif de contrôle interne plus efficace, Actes du colloques, Paris, 17 octobre 2011.
– BRESSAC A, HUOT de LUZE B, « Rôles respectifs des responsables d’audit interne et des risk managers dans le processus de management des risques », Comment les acteurs de la maitrise des risques contribuent–ils ensemble a la valeur ajoutée des organisations ? (Acte du colloque), IFACI/AMRAE, 17 mai 2011.
– CFF, Mise en place d’un système de contrôle interne, Contrôle Fédéral des Finances, Berne, octobre 2007.
– COMITE DE BALE, Cadre d’évaluation des systèmes de contrôle interne, Comité de Bâle sur le contrôle bancaire, Bâle, janvier 1998.
– COREUM, Guide Mémo sur le Contrôle Interne, COREUM SAS, Saint-Ismier, mars 2013.
– COSO, Le management des risques de l’entreprise – Cadre de Référence (Synthèse), COSO – IFACI, Paris, 2006.
– COSO, Le management des risques de l’entreprise – Cadre de Référence (Synthèse), COSO, septembre 2006.
– CRIM, Processus de gestion des risques, CRIM, juin 2000.
– HOTTIN J-P, BERGE F, et al, COSO 2013 – Une opportunité pour optimiser votre contrôle interne dans un environnement en mutation – Pocket Guide, PWC – IFACI, Paris, janvier 2013.
– IFA, Le suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques – Guide méthodologique, IFA, Paris, novembre 2010.
– IFACI, Des clés pour la mise en œuvre du contrôle interne – Les cahiers de recherches, IFACI, Paris, février 2008.
– IFACI, L’urbanisme du contrôle interne – Comment en améliorer l’efficacité ? Quelle place pour l’audit interne ?, Paris, septembre 2008.
– IFACI, Pour un urbanisme du contrôle interne efficient – Sept prises de position du Groupe Professionnel Banque, IFACI, Paris, avril 2010.
– IFACI, Pour un urbanisme du contrôle interne efficient, Paris, avril 2010.
– IFACI, Référentiel intégré de Contrôle interne, IFACI, Paris, avril 2014.
– IFACI, Trois lignes de Maîtrise pour une meilleure performance – Fiabiliser la stratégie par une gestion organisée des risques, Institut Français de l’Audit et du Contrôle Interne, Paris, 2013.
– IFACI, Urbanisme du contrôle interne – Prise de position, Paris, octobre 2008.
– IIA, « Des clés pour la mise en œuvre du contrôle interne », Les cahiers de la recherche, IFACI, Paris, février 2008.
– IIA, Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficaces – Prise de position, The Institute of Internal Auditors, Paris, janvier 2013.
– LACROIX J, Analyse et gestion des risques dans les grandes entreprises – Impacts et rôle pour la DSI, CIGREF, Paris, 2007.
– PUISSANT, « L’environnement de contrôle : socle du dispositif de contrôle interne », Mieux appréhender l’environnement et la culture de contrôle de l’organisation pour un dispositif de contrôle interne plus efficace – Actes du colloque, IFACI, 17 octobre 2011.
– SPRP, Evaluation des Risques Professionnels dans le Bâtiment et les Travaux Publics, Service Prévention des Risques Professionnels, Lyon, avril 2004.
Nombre de pages du document intégral:62
€24.90