FICHE DE LECTURE : Gestion des risques et contrôle interne

(1)

« L’université de Tours, Faculté de Droit, d’Economie et des Sciences Sociales n’entend donner aucune approbation ni improbation aux opinions émises dans ce document : ces opinions doivent être considérées comme propres à leurs auteurs »

FICHE DE LECTURE : Gestion des risques et contrôle interne

1 – IDENTIFICATION DE L’AUTEUR : I.1- Nom : CORDEL

I.2- Prénom : Frédéric

I.3- Titres ou fonctions : Fondateur de la société de conseil FCconsulting, Frédéric CORDEL dispose d’une expérience de plus de quinze ans en audit externe/interne au sein de grands groupes internationaux. Ancien enseignant à l’université Paris-Dauphine, il intervient également auprès de différents organismes de formation.

II – IDENTIFICATION DE L’OUVRAGE II.1 Année de publication : 2016

2-2 Titre complet de l’ouvrage : Gestion des risques et contrôle interne, de la conformité à l’analyse décisionnelle.

2-3 Titre de la série (facultatif) 2-4 Ville de publication : Paris 2-5 Editeur : Vuibert

2-6 Nombre de pages : 293 2-7 Numéro d’édition : 2e édition 2-8 Nom(s) du ou des traducteurs 2-9 N° d’ISBN : 978-2-311-40299-5

III – METHODE DE TRAVAIL :

Sur quelles bases a-t-il rédigé son livre (notes de cours, expérience professionnelle, étude de cas, interviews, archives publiques ou privées, dérivé d’une thèse, récit biographique, compilation de textes et sources déjà existantes, enquête, etc. ?

Préciser s’il existe une bibliographie et qualité de celle-ci

Ce livre relèvera davantage d’un partage d’expérience sur la gestion des risques et le contrôle interne. Le propos est illustré par une vingtaine d’étude de cas, de nombreux exemples et des compléments numériques permettant ainsi d’enrichir la lecture.

A la fin de l’ouvrage, on trouve une bibliographie bien référencée et classée en partie thématique : Ouvrages, Articles et communication, Rapports et cadre de référence.

4 – PROBLEMATIQUE DE L’OUVRAGE :

4 – 1 : A quel(s) types de lecteur est-il destiné ?

Cet ouvrage est destiné aux étudiants (Universités et IAE), aux élèves des écoles de management et d’ingénieurs et aux professionnels de l’audit, du contrôle interne et de la gestion des risques et cadres en formation continue.

(2)

4 – 2 : Quelle est la finalité ou les finalités de l’ouvrage (apport théorique et explicitation de concepts, manuel opératoire, plaidoyer, pamphlet, témoigner de pratiques

d’entreprises, vulgarisation, transmettre des connaissances, des compétences, à caractère normatif (voici la bonne solution, voilà les bonnes pratiques, y-a-qu’à faire comme çà,...), travail historique, faire le point des méthodes et outils sur une problématique, décrire et analyser une stratégie, un processus, la mise en œuvre d’un changement

Tout d’abord, l’auteur cherche à nous apporter à travers une vision historique, critique et comparative des connaissances sur les méthodes de la gestion des risques et du contrôle interne. Il rappelle ensuite au travers de références historiques détaillées que la gestion des risques et le contrôle interne sont des disciplines anciennes. L’auteur s’appuie sur des cas d’entreprise pour traiter la question des rôles et responsabilités de chacun dans la définition, la mise en œuvre et le pilotage de ces dispositifs de contrôle. Fréderic CORDEL aborde aussi la question de l’impact des facteurs humains sur le processus de gestion des risques. Et enfin, il nous présente les outils rénovés pour une meilleure gestion des risques.

Quelles sont les démarches de la gestion des risques ? Quelles sont ses évolutions ? Et quels sont les limites de la gestion des risques ?

III. Résumé : Introduction :

La gestion des risques et le contrôle interne occupent depuis longtemps une place

prépondérante au sein des banques et des sociétés d’assurances. Pour faire face aux risques, les entreprises ont développé depuis plusieurs décennies des techniques sophistiquées d’identification et d’évaluation ainsi que des nombreux outils de traitement.

Ces méthodes ont connu des développements théoriques et législatifs depuis les années 2000 et occupe aujourd’hui une place importante dans la majorité des organisations.

Suite à la survenance de scandales financiers majeurs (principalement aux USA) Plusieurs normes et référence relatifs à la gestion des risques ont été mis en place et qui avaient pour principaux objectifs de :

- Clarifier le périmètre du contrôle interne et de la gestion des risques,

- Rassurer les investisseurs quant au degré de mise en œuvre et de pilotage de ces dispositifs managériaux.

(3)

Chapitre 1 : Une brève histoire de la gestion des risques et du contrôle interne,

Au cours de ce chapitre, l’auteur donne une perspective historique des deux disciplines que sont la gestion des risques et le contrôle interne. Il décrit les évolutions des pratiques développées au cours de ces dernières années et invite à l’amélioration de la capitalisation des connaissances dans ces deux domaines clés du management.

Le contrôle interne est le fruit des réflexions menées par les professionnels de la comptabilité dans le cadre de la fiabilisation des états financiers. Le contrôle interne s’agit de l’ensemble des sécurités contribuant à la maitrise de l’entreprise (OEC,1977),

Le risque quant à lui, a fait l’objet de plusieurs définitions, notamment en fonction des domaines auxquels ces notions s’appliquent. L’auteur s’appuie sur la définition du référentiel COSO (COSOII) : « les évènements probables ayant un impact négatif sont des risques pouvant freiner la création de valeur ou détruire la valeur existante. Le risque est exprimé en multipliant sa probabilité d’occurrence et son impact ».

Chapitre 2 : Les référentiels

L’auteur présente les principaux référentiels actuellement en vigueur sur le plan international, dans une démarche à la fois historique, comparative et critique.

Les principaux référentiels de contrôle interne cités par l’auteur :

- Le COSO I : périmètre financier, première publication en 1992. Son influence sur les autres cadres élaborés au niveau international est incontestable et c’est le seul cadre reconnu dans de nombreux pays.

- L’AMF : périmètre financier et non financier, première publication en 2007. Comme le COSO a joué un rôle majeur dans l’établissement d’un référentiel de contrôle interne aux États-Unis, l’AMF s’est placé au premier plan en France.

Les principaux référentiels de gestion des risques cités par l’auteur :

- RISK IT, British standard BS 25999, Practice standard for risk management (PMI), … : Développés au cours de ces trente dernières années, offrent un éclairage différent, et moins uniforme sur la gestion des risques.

- Le COSO II : pour toutes les sociétés, première publication en 2004.

Chapitre 3 : le cadre réglementaire

Ce chapitre a pour objectif de dresser un panorama des principales réglementations ayant eu un impact significatif en matière de contrôle interne et de gestion des risques.

L’auteur rappel du contexte de leur adoption et analyse chacune de ces lois. A la dernière section de ce chapitre, l’auteur aborde les risques et la communication sur les risques et explique l’importance de communication interne et externe.

En effet, la communication interne facilite l’identification et le partage des informations relatives aux risques au sein de l’entreprise dans le but d’en permettre une gestion adéquate. Pour l’auteur, la communication externe dite de crise, s’agit des informations communiquées par les entreprises auprès d’une large audience. L’un des éléments les plus fondamentaux en matière de communication de crise est de bien comprendre qu’il existe

(4)

presque toujours un décalage significatif entre le risque tel qu’il est perçu par l’homme et le risque réel. Ce décalage entre perception et réalité se traduit par la célèbre équation, proposé en 1985 par Peter Sandman : Risque = Danger + Indignation.

Chapitre 4 : La gouvernance de la gestion des risques et du contrôle interne

La définition des rôles et des responsabilités de chacun au sein de l’entreprise (gouvernance), est un sujet complexe en matière de gestion des risques et de contrôle interne. Ces fonctions sont de plus en plus incarnées au sein des entreprises (Directeur des risques, Directeur de contrôle interne, etc.)

L’auteur a classé les principaux acteurs en trois grandes catégories :

- Les acteurs ayant un rôle défini dans la loi : le conseil et le comité d’audit, le président du conseil, la direction générale, les commissaires aux comptes (CAC),

- Les acteurs ayant un rôle défini par des normes professionnelles : les auditeurs internes, les risk managers les qualiticiens/auditeurs qualité,

- Les acteurs ayant un rôle de fait : le directeur administratif et financier, le directeur juridique, le directeur de la sécurité des systèmes d’information, le directeur du contrôle de gestion, le directeur du contrôle interne, l’acteur clé : le salarié.

L’auteur a rappelé que la responsabilisation réglementaire de parties prenantes identifiées ne doit pas faire oublier que chaque salarié a un rôle important à jouer dans la mise en œuvre quotidienne de ces deux dispositifs.

Chapitre 5 : L’identification et l’évaluation des risques

Ce chapitre présente les techniques qui peuvent être mises en œuvre tout au long des différentes étapes du processus de gestion des risques. L’auteur présente ainsi les méthodes et les outils permettant de faciliter les étapes clés du processus de gestion des risques : l’identification et l’évaluation. L’auteur introduit le cas d’une société CloudIT, ses caractéristiques et ses objectifs.

Les techniques d’identification des risques citées par l’auteur sont : les groupes de travail, les questionnaires, les entretiens individuels, la méthode d’analyse préliminaire des risques (APR), la méthode HAZOP. Ces outils ont des approches soit inductive : on part des causes pour identifier les effets ou déductive on part des effets pour remonter aux causes.

Pour la phase d’évaluation, on peut employer des méthodes qualitatives, semi-quantitatives ou quantitatives. A l’inverse de méthodes qualitatives, les méthodes quantitatives sont très précises et sont utilisées dans des activités plus complexes,

Le choix entre ces méthodes dépend de l’application, de la disponibilité de données fiables et des besoins de prise de décision de l’organisation.

(5)

Chapitre 6 : Le traitement des risques

L’auteur aborde dans ce chapitre les techniques mises à la disposition des employés pour traiter les risques : diminuer l’impact ou la fréquence d’occurrence.

Selon F. Cordel, il existe quatre grandes stratégies pour traiter les risques : - Stratégie d’acceptation,

- Stratégie de réduction,, - Stratégie d’évitement,

- Stratégie de transfert/partage,

Les risques qui ont un impact et une occurrence faibles mais qui sont également

relativement prévisibles et pour lesquels l’assurance est soit impossible font l’objet d’une stratégie d’acceptation, les risques dont l’impact et la probabilité sont extrêmes ne doivent en général pas être pris : stratégie d’évitement, les risques dont l’impact est fort, mais dont la fréquence d’occurrence est faible sont en général propices au transfert à un tiers.

Enfin, les risques dont l’impact est faible, mais dont la fréquence d’occurrence est forte font en général l’objet d’une stratégie de réduction, qui se traduit la plupart du temps par la mise en place de dispositifs de contrôle de portée préventive ou corrective.

Chapitre 7 : Les limites du processus de gestion des risques

Si les principales étapes du processus de gestion des risques ainsi que les techniques mises à la disposition des managers pour les mener à bien sont bien présentées et mises en places. La place qu’occupe le jugement à chacune de ces étapes est très importante.

Dans ce chapitre, l’auteur cite les facteurs affectant la qualité du jugement et qui peuvent avoir un impact sur l’ensemble du processus de gestion des risques.

Il les classes ainsi en facteurs sociales, cognitifs et psychologiques tels que le framing.

Les sections de ce chapitre présentent les phases du processus de GDR impactés qui peuvent être impacté par chaque facteur, il illustre cela par des nombreux exemples tirés d’ouvrages et de l’univers de la gestion de projet.

Chapitre 8 : des outils rénovés pour une meilleure gestion des risques

L’auteur présente dans ce chapitre, les techniques permettant de limiter l’impact des biais cognitifs et qui contribue à la améliorer la qualité des décisions prises au niveau du traitement des risques. Il présente également d’autres outils permettant de hiérarchiser les objectifs et sélectionner les alternatives les plus favorables.

Parmi ces outils, l’auteur nous parle de la culture d’entreprise et les techniques d’animation de groupes. En effet, cela joue un rôle fondamental dans la manière dont les décisions en général sont appréhendées au sein de l’entreprise. A cet égard, l’auteur nous présente quelques techniques pour réussir l’animation de groupes et diminuer les effets parfois négatifs de la dynamique de groupe.

(6)

La difficulté majeure est, selon lui, maintenir la cohésion du groupe sans que cette dernière ne génère d’externalités négatives (Groupthink,..).

COMMENTAIRE CRITIQUE

Impression globale : 4/5

Ouvrage très intéressant, il présente les différentes étapes du processus de la gestion des risques et du contrôle interne. L’auteur détaille les différentes techniques, leurs

avantages et leurs inconvénients.

Malgré l’efficacité, la simplicité et la clarté de ces techniques. Le processus des gestions des risques ne pourrait pas être appliqué et pérennisé sans l’implication des différents

managers, acteurs, et employés (notamment). L’auteur met en exergue les méthodes ainsi que les critères des choix de celle-ci sans répondre à la question : comment pérenniser un tel processus et le rendre efficace ?

7 – LES “ BONNES PAGES ” :

Page 60 : Le concept d’assurance raisonnable,

Page 132 : les avantages et inconvénients des différents types de réunions de groupe Page 136 : les méthodes alternatives d’identification des risques,

Page 203 : les quatre stratégies de traitement des risques, Page 211 : défaillances dans la communication des objectifs, Page 237 : astuces d’animation de groupes

9 – SOMMAIRE

Introduction P.1

Chapitre I : Une brève histoire de la gestion des risques et du contrôle interne P.5

1 Bref rappel étymologique et historique P.5

2 Les différentes définitions du contrôle interne P.11 3 Les différentes définitions du risque et de la gestion des risques P.18

Chapitre II : Les référentiels P.27

1 Les facteurs de développement des référentiels P.27 2 Les principaux référentiels de contrôle interne P.29 3 Les principaux référentiels de gestion des risques P.53

4 Les limites des référentiels P.60

Chapitre III : Le cadre réglementaire P.65

(7)

1 Dispositifs des gestions des risques P.65

2 Les principaux déterminants du cadre réglementaire P.66

3 Soft law vs Hard law P.68

4 L’interaction entre les lois et les cadres de référence P.68

5 Le cadre réglementaire américain : la loi SOX P.72

6 Le cadre réglementaire français P. 87

7 La communication règlementée P. 94

Chapitre IV : La gouvernance de la gestion des risques P.113

1 Les acteurs ayant un rôle défini par la loi française P.114 2 Les acteurs ayant un rôle défini par les normes P.117

3 Les acteurs ayant un rôle de fait P.119

Chapitre V : L’identification et l’évaluation des risques P.125

1 L’identification des objectifs P.126

2 L’évaluation du risque P.137

Chapitre VI : Le traitement du risque P.151

1 Les stratégies de traitement du risque P.151

2 Les méthodes standard de gestion des risques P.153

3 Les stratégies alternatives de transfert des risques P.192 4 De la définition de la stratégie à la prise de décision P.202

Chapitre VII : Les limites du processus de gestion des risques P.205

1 Les limites du processus de définition des objectifs P.206

2 Les influences sociales P.211

3 Les heuristiques et les biais cognitifs P.216

4 Les limites inhérentes à la cartographie P.232

Chapitre VIII : Des outils rénovés pour une meilleure gestion des risques P.235

1 Culture d’entreprise et techniques d’animation P.235

2 Les techniques issues du monde de l’analyse décisionnelle P.249

Chapitre 9 : Les techniques de contrôle interne P.269

1 La revue managériale P.266

2 La séparation des tâches P.267

3 La revue analytique P.268

(8)

4 La réconciliation P.270

Références bibliographiques P.285

Table des matières P.292