Maîtrise des risques : utiliser un nouvel outil et identifier les risques

Pratique
ratique
comptable
Comptes
consolidés
IFRS
Information
financière
Juridique
uridique
et fiscal
Finance/
gestion
Audit
Profession
Maîtrise des risques : utiliser
un nouvel outil et identifier
les risques émergents
À l’occasion de sa 1re conférence annuelle qui s’est tenue en novembre dernier, l’IFACI (Institut
Français de l’Audit et du Contrôle Internes) a présenté le modèle « des trois lignes de maîtrise » et
ses modalités de mise en œuvre. Il a également attiré l’attention sur les risques émergents liés aux
systèmes d’information et ceux issus des troubles psychosociaux des salariés (www.ifaci.com). Nous vous
proposons d’en développer certains aspects.
LES TROIS LIGNES DE MAÎTRISE
Principes directeurs
La direction générale d’une entreprise, en tant
que garant de la pérennité de l’entreprise, se doit
d’être au cœur du dispositif de maîtrise globale
des risques. Afin d’optimiser le dispositif de maîtrise des activités, un nouveau modèle de gestion
globale des risques est apparu : les « trois lignes
de maîtrise » (The three lines of defense in effective risk management and control, Institute of Internal Auditors, 2013).
Ce modèle permet de clarifier le rôle et les responsabilités de chacun (voir schéma page suivante).
Il s’articule autour de trois pôles de maîtrise des
risques.
La première ligne de maîtrise des activités est
constituée par les managers opérationnels, responsables de l’évaluation et de la diminution des
risques dans les processus dont ils ont la charge.
La deuxième ligne, constituée par les services
fonctionnels (ou support) de l’entreprise, a pour
objectif de structurer et de coordonner le dispositif
de maîtrise de l’activité de l’organisation. Ces actions
comprennent :
– l’assistance aux opérationnels dans l’identification
et l’évaluation des principaux risques relevant de
leur domaine d’expertise ;
– l’élaboration de politiques et de procédures de
groupe par domaine d’activité ;
FÉVRIER 2014
– la contribution à la conception des contrôles
les plus pertinents ;
– le développement des meilleures pratiques ;
– le compte rendu du fonctionnement effectif des
processus.
Enfin, la dernière ligne de maîtrise concerne
l’évaluation globale et indépendante du dispositif de maîtrise des risques, effectuée par l’audit
interne. Son rôle est de donner à la direction
générale et aux organes de gouvernance l’assurance que la maîtrise des risques est efficace et
efficiente.
La mise en œuvre
Selon certains utilisateurs, ce modèle permet d’optimiser le temps passé par le management opérationnel, d’une part, et de rendre compréhensible
l’organisation pour les dirigeants et la gouvernance
de l’entreprise, d’autre part. En fonction de l’activité et des caractéristiques de l’entité, plusieurs
schémas sont possibles pour appliquer cette
méthode.
I
L
L
U
S
T
R
A
T
I
O
N
Chez ATOS
(SSII), la première ligne de maîtrise
comporte les différents lignes de services mondiales
(infogérance, conseil et intégration, paiements et
services transactionnelles à valeur ajoutée) ainsi
que les activités transactionnelles des fonctions
RFComptable
N°413 25
Pratique
ratique
comptable
Comptes
consolidés
IFRS
Information
financière
Audit
Finance/
gestion
Profession
LES RISQUES ÉMERGENTS
Risques liés aux systèmes d’information
Si les risques opérationnels liés à l’utilisation des
systèmes d’information (SI) et des nouvelles technologies au sein des entreprises sont en général
bien appréhendés, il n’en est pas de même des
risques juridiques qui y sont attachés. Les décisions en matière d’investissements de SI prises,
en général, par des personnes qui ne sont pas responsables au niveau juridique peuvent expliquer,
en partie, cet état de fait.
Sans caractère d’exhaustivité, trois risques majeurs
liés à l’utilisation des nouvelles technologies ont
été identifiés.
Source IFACI
support (achats, RH, ventes, finances, informatique,
communication, juridique-contrats).
La deuxième ligne de maîtrise comprend les
experts des fonctions support ainsi que les
fonctions d’assurance (qualité, risques, contrôle
interne, processus, sécurité, juridique-conformité,
développement durable et contrôle de gestion).
La troisième ligne regroupe l’audit interne.
Pour cette société, les principales difficultés se
sont concentrées sur la deuxième ligne de maîtrise
car elle a un rôle de coordination qu’il n’est pas
toujours facile de mettre en place. Par ailleurs, cette
ligne concentre les expertises de l’organisation et
un équilibre entre elles n’est pas toujours aisé à
trouver.
Juridique
uridique
et fiscal

26 N°413
RFComptable
FÉVRIER 2014
Pratique
ratique
comptable
Comptes
consolidés
IFRS
Information
financière
Le premier concerne le risque de non-respect de la
protection des données personnelles. L’utilisation
de fichiers clients, salariés, de systèmes de
géolocalisation, du cloud etc. qui ne sont pas
conformes à la réglementation « Informatique et
libertés » peut donner lieu à des sanctions pénales, la CNIL disposant à ce titre d’un pouvoir
de sanction. Par ailleurs, le projet de règlement
européen sur la protection des données personnelles (CE, projet 2012/0011 du 25 janvier 2012) envisage
un renforcement des obligations des entreprises
en la matière, avec un pouvoir accru des autorités
de contrôle des pays membres.
Le deuxième risque réside dans la cybercriminalité,
avec, à la clé, des potentielles pertes de données
et la possibilité de divulgation d’informations de
nature confidentielle.
Enfin, la circulation de plus en plus rapide de l’information sur Internet (réseaux sociaux) avec la
possibilité de toucher un large public peut plus
facilement qu’auparavant porter atteinte à l’image
de l’entreprise, telle la société Fedex qui en a fait
malheureusement les frais récemment. Dans cette
situation, l’existence d’une procédure de gestion
de crise permet d’être plus réactif.
Risques liés aux troubles psychosociaux
Les constats – De plus en plus, il est constaté une
grande porosité entre vie professionnelle et vie
personnelle du fait de l’évolution des conditions
de travail, l’octroi de mobiles et/ou d’ordinateurs
portables aux salariés étant l’un des facteurs de
réduction de la frontière entre vie privée et vie
professionnelle.
Par ailleurs, en raison de la crise économique et
d’un environnement de plus en plus concurrentiel, certains salariés, particulièrement les cadres,
subissent de plus en plus de pressions générant
une situation de stress au travail.
Les risques psychosociaux (RPS) susceptibles
d’être engendrés par les conditions de travail sont
d’ailleurs reconnus dans notre droit du travail. En
effet, l’employeur a une obligation de résultat relative à la sécurité et à la protection de la santé physique et mentale des travailleurs (c. trav. art. L. 4121-1).
Dans ce cadre, il doit mener les actions suivantes :
FÉVRIER 2014
Juridique
uridique
et fiscal
Finance/
gestion
Audit
Profession
– prévention des risques professionnels et de la
pénibilité au travail ;
– information et formation des salariés ;
– mise en place d’une organisation et de moyens
adaptés.
L’employeur est également tenu de transcrire les
résultats de son évaluation des risques dans un
document unique (c. trav. art. R. 4121-1).
Plus spécifiquement, l’employeur doit prévenir le
harcèlement et la violence au travail (c. trav. art. L. 11524 et L. 1153-5).
Il existe donc une contrainte forte pesant sur
l’employeur, qui souvent n’en a pas conscience.
Pourtant, la jurisprudence est là pour lui rappeler
les conséquences d’un manquement à ses obligations.
E
X
E
M
P
L
E
– Condamnation pour faute inexcusable de
l’employeur pour non-respect des obligations de
sécurité (cass. civ. 2e ch., 18 novembre 2010, n° 09-17275) ;.
– Condamnation de l’employeur pour l’altération
de la santé d’un salarié résultant de la dégradation
des conditions de travail suite à une restructuration
de l’entreprise (cass. soc. 17 février 2010, n° 08-44298) ;
– Condamnation de l’employeur pour n’avoir pas
pris les mesures nécessaires en vue de prévenir des
actes de harcèlement moral (cass. soc. 6 juin 2012, n° 10-27694
FSPB).
La non-prise en compte des RPS peut donc avoir
des conséquences importantes pour l’entreprise
tant au niveau pécunier que pour la productivité de
l’entreprise, voire en terme d’image. Pour réduire
ces risques, il convient de mener les actions
appropriées.
Les actions – Elles peuvent être scindées selon
trois niveaux :
–1) primaire : réduire en amont les causes et les
conséquences ;
– 2) secondaire : réagir le plus précocement possible
à l’incident ;
– 3) tertiaire : prendre en charge les salariés en
difficulté.
Quant à l’audit de la gestion des risques psychosociaux, il peut s’orienter selon trois axes :
– l’audit des méthodes et processus d’évaluation
des risques (études des situations de stress et des
RFComptable
N°413 27
Pratique
ratique
comptable
Comptes
consolidés
IFRS
Information
financière
rapports de la médecine du travail, identification
et suivi des incidents...) ;
– l’ audit des mesures et actions correctives (formation, organisation du travail, gestion des incidents) ;
– l’audit du suivi des actions et des indicateurs.
Les deux derniers points sont importants car les
salariés en souffrance s’attendent à ce que les choses changent et demandent des actions concrètes.
Pour illustrer ces propos, une direction d’audit
de la place a présenté ses dispositifs de prévention des RPS et son évaluation par l’audit interne.
Ainsi, au niveau de l’organisation, des études
ont été réalisées sur les conditions de vie et de
santé au travail, dans le cadre d’une démarche
participative des parties prenantes. Des grilles
d’analyse des risques associés à un changement
d’organisation ont été établies, avec comme conséquence la mise en œuvre d’un plan d’actions préventif. Quant aux managers et cadres dirigeants, ils
ont bénéficié de modules de formation spécifiques.
Enfin, un dispositif d’écoute et d’accompagnement
a été mis en place : une équipe formée détecte,
reçoit, informe et oriente les salariés en difficulté
et un consultant psychologue, présent sur le site
ou joignable, est là pour soutenir le salarié en difficulté. Il conseille également l’employeur sur le plan
collectif.
28 N°413
RFComptable
Juridique
uridique
et fiscal
Audit
Finance/
gestion
L’ e s s e nt i e l
Profession
La direction générale d’une entreprise se doit d’être au cœur
du dispositif de maîtrise globale
des risques.
 Le modèle « des 3 lignes de maîtrise » permet de clarifier le rôle et
les responsabilités de chacun.
 Dans ce modèle, la première ligne
repose sur les managers opérationnels, la seconde sur les services
fonctionnels et la troisième sur
l’audit interne.
 De nouveaux risques liés aux nouvelles technologies et aux conditions
de travail apparaissent.
 Dans tout système d’information
et dans l’octroi d’outils technologiques aux salariés, une attention particulière sera portée à la protection
des données personnelles.
 En raison des modifications des
conditions de travail, les troubles
psychosociaux des salariés engendrent des risques de plus en plus
importants pour les entreprises.

FÉVRIER 2014