Après avoir présenté dans une note consacrée à l’identification et l’évaluation des risques stratégiques d’une entreprise, les éléments constituant le dispositif de maîtrise des risques (DMR), voici une note dont l’objet est de développer ce qui constitue ce dispositif et comment l’évaluer. Cette méthodologie peut s’appliquer à des risques opérationnels majeurs.

Lorsque vous avez réussi à identifier des risques bruts (stratégiques ou opérationnels majeurs), vous devrez les confronter au dispositif de maîtrise de risques en place dans votre entreprise. Vous testez ainsi la résistance de votre contrôle interne face aux risques auxquels est soumis votre organisme.

Dispositif de maîtrise des risques ou de contrôle interne sont des termes similaires. En effet, en France, le contrôle interne est perçu, à tort, comme des opérations de contrôle de 1er et de 2nd niveau. Or, l’acception anglo-saxonne du contrôle interne est plus large : on considère ainsi le cadre que sont l’existence et la revue régulière des processus et procédures, l’existence d’une organisation, d’une comitologie et de moyens humains, l’existence de systèmes d’informations, la production d’indicateurs, l’existence et l’effectivité de contrôles. Le dispositif de maîtrise des risques est similaire. Il comprend la gouvernance, l’organisation, la documentation, les systèmes d’informations, la conformité/réglementaire, le contrôle et l’audit, les indicateurs. Chaque entreprise décide de concevoir puis de mettre en oeuvre un dispositif de maîtrise des risques ou de contrôle interne. L’objectif est de s’assurer que les risques identifiés bénéficient d’une maîtrise suffisante et efficiente.

Alors, comment mesurer ce dispositif par rapport aux risques qui ont été identifiés et évalués en termes d’impact et de fréquence (et donc de criticité) ?

Vos risques bruts doivent être confrontés à un nombre limité d’axes. Vous pouvez définir cinq axes :

  • Hommes, organisation et comitologie
    On considère ici d’une part une organisation définie et effective avec des rôles et des responsabilités clairement définies, les moyens humains suffisants pour faire fonctionner cette organisation et le cas échéant l’existence de comités ou commissions régulières suivant ce risque et son traitement
  • Système d’informations
    On considère ici l’existence d’un système d’informations satisfaisant, capable d’évoluer au regard des besoins des utilisateurs ou des évolutions techniques ou réglementaires
  • Documentation et indicateurs : processus, procédures, modes opératoires
    On considère la formalisation de processus, procédures et modes opératoires, leur revue régulière (a minima annuelle ou en cas d’évolution majeure), leur mise à jour, mais aussi le fait qu’il ne génère pas de dysfonctionnements
  • Réglementaire et conformité
    Ici, ce sont les non-conformités réglementaires qui sont anticipées au fil de l’eau, et lorsqu’elles sont détectées de plans d’actions de mise en conformité sont mis en oeuvre

Pour chacun de ces critères, quatre niveaux d’efficacité peuvent servir à l’évaluation :

  • Efficacité faible : des organisations complexes, des ressources inadaptées ou insuffisantes, pas de système d’informations, pas de procédure, difficulté de traiter les non-conformités
  • Efficacité partielle : des bribes d’organisations ou une organisation inadéquate, un système d’informations défaillant, des procédures insuffisamment revues ou incomplètes, des non-conformités traitées tardivement
  • Efficacité suffisante : l’organisation n’est pas optimale, le système d’informations aussi, les procédures sont régulièrement revues mais présente quelques dysfonctionnements, les non-conformités sont identifiées et traitées
  • Efficacité cible : l’organisation est considéré comme efficiente, le système d’informations est pleinement satisfaisant, les procédures sont revues et mises à jour, elles présentent très peu de dysfonctionnements, les non-conformités sont anticipées et traitées

Pour chacun de ces critères le niveau d’efficacité doit reposer d’une part sur ce qui est ressorti des entretiens avec des directeurs, responsables ou managers mais aussi avec les éléments du terrain que vous avez en principe collecter dans le travail préparatoire d’identification ou de revue des risques. L’évaluation se fera à partir du critère ayant le niveau d’efficacité le plus faible.

Le croisement entre la criticité des risques bruts et l’évaluation du dispositif de maîtrise de ces risques permettra de répartir les risques sur une matrice de priorisation. Cette matrice permet de présenter à un Comité exécutif ou de direction les différents niveaux de risques à traiter. Elle est complémentaire d’une matrice de criticité des risques qui présente les risques selon leur niveau d’impact et de fréquence.

Aussi, dans votre traitement des risques, les actions ou projets pourront avoir pour objet de réduire la criticité du risque soit en termes d’impact, soit en termes de fréquence, soit les deux. Mais, les actions ou projets peuvent aussi avoir pour objet d’améliorer la maîtrise du risque selon les critères du dispositif retenu dans l’entreprise.

Jérôme Charré

Share This