Maîtrise des risques : utiliser un nouvel outil et identifier les risques ...

(infogérance, conseil et intégration, paiements et services transactionnelles à valeur ajoutée) ainsi que les activités transactionnelles des fonctions. Finance/.
Télécharger le PDF
879KB taille 6 téléchargements 160 vues
commentaire
Report
Pratique ratique comptable

Comptes consolidés

IFRS

Information financière

Juridique uridique et fiscal

Finance/ gestion

Audit

Profession

Maîtrise des risques : utiliser un nouvel outil et identifier les risques émergents À l’occasion de sa 1re conférence annuelle qui s’est tenue en novembre dernier, l’IFACI (Institut Français de l’Audit et du Contrôle Internes) a présenté le modèle « des trois lignes de maîtrise » et ses modalités de mise en œuvre. Il a également attiré l’attention sur les risques émergents liés aux systèmes d’information et ceux issus des troubles psychosociaux des salariés (www.ifaci.com). Nous vous proposons d’en développer certains aspects.

LES TROIS LIGNES DE MAÎTRISE Principes directeurs La direction générale d’une entreprise, en tant que garant de la pérennité de l’entreprise, se doit d’être au cœur du dispositif de maîtrise globale des risques. Afin d’optimiser le dispositif de maîtrise des activités, un nouveau modèle de gestion globale des risques est apparu : les « trois lignes de maîtrise » (The three lines of defense in effective risk management and control, Institute of Internal Auditors, 2013). Ce modèle permet de clarifier le rôle et les responsabilités de chacun (voir schéma page suivante). Il s’articule autour de trois pôles de maîtrise des risques. La première ligne de maîtrise des activités est constituée par les managers opérationnels, responsables de l’évaluation et de la diminution des risques dans les processus dont ils ont la charge. La deuxième ligne, constituée par les services fonctionnels (ou support) de l’entreprise, a pour objectif de structurer et de coordonner le dispositif de maîtrise de l’activité de l’organisation. Ces actions comprennent : – l’assistance aux opérationnels dans l’identification et l’évaluation des principaux risques relevant de leur domaine d’expertise ; – l’élaboration de politiques et de procédures de groupe par domaine d’activité ; FÉVRIER 2014

– la contribution à la conception des contrôles les plus pertinents ; – le développement des meilleures pratiques ; – le compte rendu du fonctionnement effectif des processus. Enfin, la dernière ligne de maîtrise concerne l’évaluation globale et indépendante du dispositif de maîtrise des risques, effectuée par l’audit interne. Son rôle est de donner à la direction générale et aux organes de gouvernance l’assurance que la maîtrise des risques est efficace et efficiente.

La mise en œuvre Selon certains utilisateurs, ce modèle permet d’optimiser le temps passé par le management opérationnel, d’une part, et de rendre compréhensible l’organisation pour les dirigeants et la gouvernance de l’entreprise, d’autre part. En fonction de l’activité et des caractéristiques de l’entité, plusieurs schémas sont possibles pour appliquer cette méthode. I

L

L

U

S

T

R

A

T

I

O

N

Chez ATOS

(SSII), la première ligne de maîtrise comporte les différents lignes de services mondiales (infogérance, conseil et intégration, paiements et services transactionnelles à valeur ajoutée) ainsi que les activités transactionnelles des fonctions

RFComptable

N°413 25

Pratique ratique comptable

Comptes consolidés

IFRS

Information financière

Audit

Finance/ gestion

Profession

LES RISQUES ÉMERGENTS Risques liés aux systèmes d’information Si les risques opérationnels liés à l’utilisation des systèmes d’information (SI) et des nouvelles technologies au sein des entreprises sont en général bien appréhendés, il n’en est pas de même des risques juridiques qui y sont attachés. Les décisions en matière d’investissements de SI prises, en général, par des personnes qui ne sont pas responsables au niveau juridique peuvent expliquer, en partie, cet état de fait. Sans caractère d’exhaustivité, trois risques majeurs liés à l’utilisation des nouvelles technologies ont été identifiés.

Source IFACI

support (achats, RH, ventes, finances, informatique, communication, juridique-contrats). La deuxième ligne de maîtrise comprend les experts des fonctions support ainsi que les fonctions d’assurance (qualité, risques, contrôle interne, processus, sécurité, juridique-conformité, développement durable et contrôle de gestion). La troisième ligne regroupe l’audit interne. Pour cette société, les principales difficultés se sont concentrées sur la deuxième ligne de maîtrise car elle a un rôle de coordination qu’il n’est pas toujours facile de mettre en place. Par ailleurs, cette ligne concentre les expertises de l’organisation et un équilibre entre elles n’est pas toujours aisé à trouver.

Juridique uridique et fiscal



26 N°413

RFComptable

FÉVRIER 2014

Pratique ratique comptable

Comptes consolidés

IFRS

Information financière

Le premier concerne le risque de non-respect de la protection des données personnelles. L’utilisation de fichiers clients, salariés, de systèmes de géolocalisation, du cloud etc. qui ne sont pas conformes à la réglementation « Informatique et libertés » peut donner lieu à des sanctions pénales, la CNIL disposant à ce titre d’un pouvoir de sanction. Par ailleurs, le projet de règlement européen sur la protection des données personnelles (CE, projet 2012/0011 du 25 janvier 2012) envisage un renforcement des obligations des entreprises en la matière, avec un pouvoir accru des autorités de contrôle des pays membres. Le deuxième risque réside dans la cybercriminalité, avec, à la clé, des potentielles pertes de données et la possibilité de divulgation d’informations de nature confidentielle. Enfin, la circulation de plus en plus rapide de l’information sur Internet (réseaux sociaux) avec la possibilité de toucher un large public peut plus facilement qu’auparavant porter atteinte à l’image de l’entreprise, telle la société Fedex qui en a fait malheureusement les frais récemment. Dans cette situation, l’existence d’une procédure de gestion de crise permet d’être plus réactif.

Risques liés aux troubles psychosociaux Les constats – De plus en plus, il est constaté une grande porosité entre vie professionnelle et vie personnelle du fait de l’évolution des conditions de travail, l’octroi de mobiles et/ou d’ordinateurs portables aux salariés étant l’un des facteurs de réduction de la frontière entre vie privée et vie professionnelle. Par ailleurs, en raison de la crise économique et d’un environnement de plus en plus concurrentiel, certains salariés, particulièrement les cadres, subissent de plus en plus de pressions générant une situation de stress au travail. Les risques psychosociaux (RPS) susceptibles d’être engendrés par les conditions de travail sont d’ailleurs reconnus dans notre droit du travail. En effet, l’employeur a une obligation de résultat relative à la sécurité et à la protection de la santé physique et mentale des travailleurs (c. trav. art. L. 4121-1). Dans ce cadre, il doit mener les actions suivantes : FÉVRIER 2014

Juridique uridique et fiscal

Finance/ gestion

Audit

Profession

– prévention des risques professionnels et de la pénibilité au travail ; – information et formation des salariés ; – mise en place d’une organisation et de moyens adaptés. L’employeur est également tenu de transcrire les résultats de son évaluation des risques dans un document unique (c. trav. art. R. 4121-1). Plus spécifiquement, l’employeur doit prévenir le harcèlement et la violence au travail (c. trav. art. L. 11524 et L. 1153-5). Il existe donc une contrainte forte pesant sur l’employeur, qui souvent n’en a pas conscience. Pourtant, la jurisprudence est là pour lui rappeler les conséquences d’un manquement à ses obligations. E

X

E

M

P

L

E

– Condamnation pour faute inexcusable de l’employeur pour non-respect des obligations de sécurité (cass. civ. 2e ch., 18 novembre 2010, n° 09-17275) ;. – Condamnation de l’employeur pour l’altération de la santé d’un salarié résultant de la dégradation des conditions de travail suite à une restructuration de l’entreprise (cass. soc. 17 février 2010, n° 08-44298) ; – Condamnation de l’employeur pour n’avoir pas pris les mesures nécessaires en vue de prévenir des actes de harcèlement moral (cass. soc. 6 juin 2012, n° 10-27694 FSPB).

La non-prise en compte des RPS peut donc avoir des conséquences importantes pour l’entreprise tant au niveau pécunier que pour la productivité de l’entreprise, voire en terme d’image. Pour réduire ces risques, il convient de mener les actions appropriées. Les actions – Elles peuvent être scindées selon trois niveaux : –1) primaire : réduire en amont les causes et les conséquences ; – 2) secondaire : réagir le plus précocement possible à l’incident ; – 3) tertiaire : prendre en charge les salariés en difficulté. Quant à l’audit de la gestion des risques psychosociaux, il peut s’orienter selon trois axes : – l’audit des méthodes et processus d’évaluation des risques (études des situations de stress et des RFComptable

N°413 27

Pratique ratique comptable

Comptes consolidés

IFRS

Information financière

rapports de la médecine du travail, identification et suivi des incidents...) ; – l’ audit des mesures et actions correctives (formation, organisation du travail, gestion des incidents) ; – l’audit du suivi des actions et des indicateurs. Les deux derniers points sont importants car les salariés en souffrance s’attendent à ce que les choses changent et demandent des actions concrètes. Pour illustrer ces propos, une direction d’audit de la place a présenté ses dispositifs de prévention des RPS et son évaluation par l’audit interne. Ainsi, au niveau de l’organisation, des études ont été réalisées sur les conditions de vie et de santé au travail, dans le cadre d’une démarche participative des parties prenantes. Des grilles d’analyse des risques associés à un changement d’organisation ont été établies, avec comme conséquence la mise en œuvre d’un plan d’actions préventif. Quant aux managers et cadres dirigeants, ils ont bénéficié de modules de formation spécifiques. Enfin, un dispositif d’écoute et d’accompagnement a été mis en place : une équipe formée détecte, reçoit, informe et oriente les salariés en difficulté et un consultant psychologue, présent sur le site ou joignable, est là pour soutenir le salarié en difficulté. Il conseille également l’employeur sur le plan collectif.

28 N°413

RFComptable

Juridique uridique et fiscal

Audit

Finance/ gestion

L’ e s s e nt i e l

Profession

La direction générale d’une entreprise se doit d’être au cœur du dispositif de maîtrise globale des risques.  Le modèle « des 3 lignes de maîtrise » permet de clarifier le rôle et les responsabilités de chacun.  Dans ce modèle, la première ligne repose sur les managers opérationnels, la seconde sur les services fonctionnels et la troisième sur l’audit interne.  De nouveaux risques liés aux nouvelles technologies et aux conditions de travail apparaissent.  Dans tout système d’information et dans l’octroi d’outils technologiques aux salariés, une attention particulière sera portée à la protection des données personnelles.  En raison des modifications des conditions de travail, les troubles psychosociaux des salariés engendrent des risques de plus en plus importants pour les entreprises. 

FÉVRIER 2014