Analyse et gestion des risques
Note de Recherches : Analyse et gestion des risques. Rechercher de 53 000+ Dissertation Gratuites et Mémoiress et Frédéric LAU, chargé de mission au CIGREF
Ce rapport a bénéficié des apports de l’activité « Gestion des risques » du Comité de Pilotage « performance durable du SI ». Il a été rédigé en s’appuyant sur les contributions des personnes et entreprises suivantes :
Christine MILLET Agence Informatique pour les Finances de l’Etat Cyrille ROY AGF-I Alain DELBOY Air Liquide Pascal BUFFARD AXA France Service Robert ZEITOUNI Crédit Agricole SA François-Xavier TUAL DCNS Jean-Yves BIGNON Euro Disney Associés S.C.A. Yves SPIELMANN Euro Disney Associés S.C.A. Eric VERTOUT Groupe Les Mousquetaires Alain BOUILLE Informatique CDC Jean-Pierre VUILLERME Michelin Jean-Jacques CASSE Pfizer France Rachelle BALMADIER Renault SA Muriel ROI SAFRAN Bruno BIGUET THALES
3
Analyse et gestion des risques dans les grandes entreprises
Impacts et rôle pour la DSI
Sommaire
Préambule .................................................................................................................................. 7 1 Quelques notions avant toutes choses… .............................................................................. 9 1.1 Qu’est-ce qu’un risque ?................................................................................................ 9 1.2 Qu’est-ce que la gestion des risques ? ......................................................................... 10 1.3 Qui est le risk manager ? ............................................................................................. 11 1.4 Comment peut-on classer les risques ?........................................................................ 11 2 Une nouvelle ère : le « risk management » ........................................................................ 13 2.1 La prégnance nouvelle du risk management dans les entreprises françaises .............. 13 2.2 Cultures d’entreprise en matière de gestion des risques.............................................. 16 2.3 Organisation et méthodes pour la gestion des risques ................................................. 18 2.4 Les outils de gestion des risques ................................................................................. 29 3 Le rôle de la DSI dans la démarche de gestion des risques de l’entreprise ........................ 37 3.1 La contribution directe de la DSI dans la gestion des risques ..................................... 37 3.2 La contribution indirecte de la DSI dans la gestion des risques .................................. 41 Conclusion ............................................................................................................................... 47 Annexes ................................................................................................................................... 49 Synthèse des normes portant sur les risques (ISO, BS…) ................................................ 49 Méthodes ........................................................................................................................... 51
Listes des figures
Figure 1 : Organisation globale ............................................................................................... 20 Figure 2 : Organisation centrale réduite .................................................................................. 22
5
Analyse et gestion des risques dans les grandes entreprises
Impacts et rôle pour la DSI
Préambule
En 2006, les DSI membres du CIGREF se sont interrogés sur la gestion des risques dans les grands groupes. En effet, il ressortait de leurs réflexions que la notion de risque n’était pas comprise de la même façon suivant la stratégie de l’entreprise, son secteur d’activité, l’organisation dans laquelle la DSI se trouve …. De ces visions différentes ressortaient des méthodes de management différentes : les DSI venant du monde de l’assurance sont naturellement très au fait de la gestion des risques parce c’est leur cœur de métier, d’autres DSI, comme par exemple ceux du secteur industriel ont une sensibilité différente vis-à-vis de la gestion des risques. Pour répondre à ce besoin d’investigation, le comité de pilotage du CIGREF « Performance durable des SI » a mis en place une activité autour de ce thème. Afin d’avoir une vision opérationnelle des pratiques, la méthode de l’entretien a été retenue. Ces derniers ont été majoritairement réalisés avec des gestionnaires de risque1 d’entreprise et des DSI d’entreprises membres du CIGREF. La réflexion s’est structurée autour de deux aspects : le rôle de la DSI dans la démarche globale de gestion des risques de l’entreprise et l’impact de cette démarche sur le fonctionnement de la DSI.
1
Dans la suite de ce document nous pourrons utiliser aussi le terme anglais risk manager ou l’abréviation RM
7
Analyse et gestion des risques dans les grandes entreprises
Impacts et rôle pour la DSI
1 Quelques notions avant toutes choses…
Le risk management au sens moderne du terme est une matière assez nouvelle en France. Suivant qu’il est utilisé par la doctrine, dans le monde de l’entreprise, ou dans le langage courant, il ne revêt pas la même signification. Il est donc important de définir les termes de risque, gestion des risques et risk manager avant de poursuivre. Le vocabulaire propre à cette discipline n’est pas encore standardisé voici donc quelques définitions tirées de la littérature sur ce sujet.
1.1 Qu’est-ce qu’un risque ?
« [Le risque est l’] Éventualité d’un événement ne dépendant pas exclusivement des parties et pouvant causer la perte d’un objet ou tout autre dommage ; par extension, [le risque est un] événement contre la survenance duquel on s’assure. » Le Petit Robert « Le risque est constitué par tout événement susceptible de faire perdre de l’argent à l’entreprise. Un incendie dans un atelier, la perte de parts de marché, un mauvais positionnement stratégique sont des risques qui peuvent affecter la santé financière d’une entreprise. » « Les risques sont les évènements qui empêchent [l’entreprise] d'atteindre ses objectifs stratégiques : la gestion des risques ou risk management doit être une logique d'entreprise. » Ecole des Mines «[Le risque est la] probabilité qu'un effet spécifique se produise dans une période donnée ou dans des circonstances déterminées. » Directive n° 96/82 du Conseil de l’Europe2. «[Le risque est la] combinaison de la probabilité et des conséquence(s), de la survenue d'un événement dangereux spécifié. » OHSAS 180013 « [Le risque est] la menace qu’un événement , une action, ou une inaction affecte la capacité de l’entreprise à atteindre ses objectifs stratégiques et compromette la création de valeur ». Cabinet Ernst & Young4
2
Directive n° 96/82 du Conseil de l’Europe du 9 décembre 1996 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses. 3 OHSAS ou Occupational Health and Safety Assessment, certification qui précise les règles pour la gestion de la santé et la sécurité dans le monde du travail. Elle a une valeur internationale.
9
Analyse et gestion des risques dans les grandes entreprises
Impacts et rôle pour la DSI
1.2 Qu’est-ce que la gestion des risques ?
« The culture, processes and structures that are directed towards the effective management of potential opportunities and adverse effects. (La culture, les processus et structures qui sont dirigés vers la gestion efficace d’opportunités potentielles ou d’effets défavorables). » Standard australien et néo-zélandais de risk management AS/NZS 4360 :1999 « [Le risk management] vise à identifier et anticiper les évènements, actions ou inactions susceptibles d’impacter la mise en œuvre de la stratégie dans un horizon donné, définir les options de traitements et s’assurer qu’une option optimale est choisie, mettre en œuvre cette option et contrôler l’efficacité de la solution retenue par rapport aux attentes ». Cabinet Ernst & Young Plus généralement appliquée aux entreprises, la gestion des risques s'attache à identifier les risques qui pèsent sur les actifs (financiers ou non), les valeurs ainsi que sur le personnel de l'entreprise. La gestion des risques dans l'entreprise passe par l’identification du risque résiduel5, son évaluation, le choix d'une stratégie de maîtrise et un contrôle. Aujourd’hui en 2007, l’attention portée à la gestion des risques dans l'entreprise s’est accrue. Ceci se traduit simultanément par un cadre réglementaire renforcé et par une pression grandissante des marchés pour une prise de conscience des entreprises de la nécessité de maîtriser leurs risques.
_____________________________________
4
Cette
...