GOVERNMENT

Les outils pour mettre en place le management du

risque
Expriences dans les collectivits publiques
AUDIT

Alain Guillaume
Senior manager
Neuchtel
Septembre 2006

Sommaire

1.

La gestion des risques dans le contexte suisse

2.

Outils de gestion des risques

3.

Particularits des collectivits publiques en matire de gestion des

risques

4.

La gestion des risques informatiques

5.

Autres apports de la gestion des risques

1. La gestion des risques dans le contexte suisse

Le contexte suisse

Art. 663b CO (complt)

Lannexe contient les informations suivantes : 12. des informations sur la
ralisation dune valuation du risque.
Limportance dune bonne gestion des risques au sein des entreprises
est reconnue par le lgislateur
La plupart des grandes socits cotes en Suisse ont mis en place une
structure de gestion des risques les autres suivent

Le contexte suisse

Les collectivits publiques sont soumises elles aussi des considrations

de bonne gouvernance :
Limportance dune bonne gestion des risques au sein des collectivits
publiques est reconnue
La plupart des collectivits publiques suisses considrent que la gestion
des risques est du ressort de la rvision interne

La gestion des risques et le contrle interne comme

lments intgrs de la gouvernance dentreprise
Corporate Governance

Environnement

Surveillance

Direction
Assurance

Systme de contrle interne

Rvision
interne

Gestion de la
qualit

66
3b

72
8a
CO

Gestion des
risques

CO

Rvision externe

En rfrence : Mnzel/Jenny
Riskmanagement fr kleine und mittlere
Unternehmen
6

2. Outils de gestion des risques

Un exemple

Enterprise Risk Management

Gestion des risques dentreprise

Enterprise Risk Management (ERM) est une solution base sur une
mthodologie prouve qui aide dfinir et mettre en place une approche
structure au niveau de lorganisation pour identifier, valuer et grer les
risques de manire efficace et un cot supportable

Processus ou contenu

Cration de contenu
Mettre en vidence vos
risques en mettant profit les
lments de gestion des
risques existants

Cration dun processus

Construire et maintenir un processus dynamique de
gestion des risques

En pratique, quest-ce qui nous est demand ?

ERM inclut de nombreuses activits, au travers de modles conceptuels,

pour intgrer et coordonner les activits de gestion des risques et de
contrle dans toute lorganisation

Contenu
Amliorer la
qualit et la
comparabilit des
informations en
matire de
gestion des
risques

Redfinir et consolider des valuations des

risques existants pour obtenir une vue
densemble au niveau de lorganisation
Intgrer des informations de toutes les
branches qui traitent de la gestion des risques
Prsenter linformation relative la gestion des
risques de manire comprhensible et
transparente

10

En pratique, quest-ce qui nous est demand ?

ERM inclut de nombreuses activits, au travers de modles conceptuels,

pour intgrer et coordonner les activits de gestion des risques et de
contrle dans toute lorganisation

Processus
Amliorer durablement le
processus de gestion des
risques

Lier les activits de contrles aux

risques dentreprise
Mettre en place de nouveaux
processus de gestion des risques
transversaux
Apporter une mthodologie / des
outils pour faciliter la mise en place
de la gestion des risques

11

Cadre conceptuel

Notre cadre conceptuel se compose de cinq lments :

Elment
Gouvernance des
risques
Evaluation des risques

Mesure des risques

Suivi et reporting des

risques
Optimisation des risques
et contrles

Description
Mise en place dune approche pour dvelopper, soutenir et diffuser la stratgie de
gestion des risques et les responsabilits
Identification, valuation et catgorisation des risques dans toute lorganisation
(approche transversale)
Mesure, analyse et consolidation des risques de lorganisation

Reporting, suivi et activits de contrle effectus pour fournir des informations

sur les forces et les faiblesses de la gestion des risques
Utilisation des informations sur les risques et les contrles pour amliorer la
performance de lorganisation en matire de gestion des risques

12

Le coeur de notre solution est la notion de maturit

ERM nest pas une solution prt--porter. La cl est de dterminer le
degr de maturit qui convient lorganisation
BASIQUE
Respecter les lois et
rglements

MATURE
Un processus directionnel

Gouvernance des
risques

Principes de gestion des risques

centralis
centraliss

Une structure de gestion des

risques avec des responsabilit
responsabilits
claires

La gestion des risques est

int
intgr
gre dans la mesure de la
performance

Evaluation des risques

Evaluation annuelle des risques

avec une analyse limit
limite

Analyse des risques r

rguli
gulire et
int
intgr
gre dans le reporting

Les activit
activits de gestion et
contrle des risques sont
int
intgr
grs dans les activit
activits
op
oprationnelles

Mesure des risques

Quantification de risques
slectionn
lectionns

Quantification des risques

op
oprationnels; quantification
anticip
anticipe de risques s
slectionn
lectionns

Cumul des risques au travers

de toute l
lorganisation

Suivi et reporting des

risques

Reporting des risques destin

destin
fournir l

information
requise
l

Optimisation des
risques et contrles

Moins de surprises grce la

gestion des risques cl
cls

Reporting complet au Conseil

dadm.
adm. et au Comit
Comit daudit sur
les niveaux de risques existants
et les risques futurs
Renforcement de la confiance
des stakeholders et am
amlioration
des strat
stratgies de r
rduction des
risques

Alignement de tous les

reporting sur le risque pour
donner une vision d
densemble
des risques
La strat
valuation de la
stratgie, l
lvaluation
performance et l
lallocation des
ressources sont ajust
ajustes aux
risques

El
Elment du cadre
conceptuel

AVANCE
Un outil strat
stratgique

13

Une approche simple comprendre

Quatre tapes
Dvelopper une information de qualit sur les risques

1. Planification

2. Evaluation du profil
de risque actuel
Contenu

Processus

Contenu

Construire un processus de gestion des risques durable

3. Evaluation du
processus de
gestion des risques
existants

Processus
Contenu

4. Dfinition des
objectifs et dun
plan dactions

Processus
Contenu

Processus
14

Evaluation ERM : 1re tape

1. Planification

Contenu

Dfinir la structure du projet, le planning et la

documentation
Se mettre daccord sur le catalogue des risques,
les catgories et les critres
Dvelopper des fiches dinformation
Rassembler les informations et la documentation
existantes

Processus

Documentation :
Planning du projet dtaill
Dfinitions des risques, des catgories, des critres de classement, etc.
Fiches dinformation sur le projet

15

Evaluation ERM : 2ee tape

2. Evaluation du
profil de risque
actuel

Contenu

Conduire les entretiens sur les risques

Identifier, cumuler et analyser les risques
Conduire des sances pour valider et classer les
risques
Conduire lanalyse de sensibilit
Se mettre daccord sur le profil de risque actuel

Processus

Documentation :
Profil de risque
Analyse de sensibilit
Analyse des activits de gestion des risques

16

Exemple de documentation : Profil de risque

Risk Consequence

4d

Moderate

Insignificant

5a

1b

Major

Minor

(R Sam
an p
do le
m Ri
Pl sk
ot s
tin
g)
1c

3j

Catastrophic

1d

3a
1e

3f

2b

4g
4b

5c

5b

3g 4e 1f
4f 1a 2a
3e
2c
4j 4i
4c

Unlikely

4h

Possible

Likely

Almost
certain

3j Loss of building, together with key

staff or technology infrastructure
1c Adverse changes in law and
government affecting the companys
business model

5a Loss of market share or revenue

through competition or regulation

5b Introduction of competing products

and technologies by other
companies

5c Inability to attract and retain key

employees

1b Failure to develop global

management and information
systems

4d Exposure to litigation related to the

companys products/services

3h Deficient products/services provided,

resulting in loss of reputation

3i
3d

Top 10 Risks

4a

3c
3b

Remote

3h

Likelihood of Risk Occurrence

9

10

4a Inability to react to changes in

overseas legal, economic, or
regulatory environment
3i Increased pricing pressure from
competitors and/or customers

17

Exemple de documentation : Utiliser linformation sur la

gestion des risques pour planifier lactivit de contrle
interne
SA

MP

LE

18

Evaluation ERM : 3ee tape

3. Evaluation du
processus de
gestion des
risques existant

Contenu

Conduire des entretiens sur le processus de gestion

des risques
Analyser le processus et positionner lorganisation en
terme de maturit
Conduire des sances pour valider lvaluation et le
positionnement
Se mettre daccord sur lvaluation

Processus

Documentation :
Evaluation du processus de gestion des risques existants
Observations et recommandations

19

Evaluation de la maturit en matire de gestion des

risques : Dfinir ltat actuel et souhait
Une base de travail pour se poser les bonnes questions
Risk Maturity Continuum
Today

Basic

Mature

Advanced

Remain in
Compliance

A Management
Process

A Strategic Tool

Target:

1
Risk Governance
Risk Assessment
Risk Quantification & Aggregation

Ex
am
ple

Risk Monitoring & Reporting

Risk & Control Optimization

Et une approche sur mesure, incluant :

Un plan de travail pour la mise en place des amliorations en matire
de gestion des risques
Lexpression claire du niveau de maturit souhait par lorganisation
20

Evaluation ERM : 4ee tape

4. Dfinition des
objectifs et dun
plan dactions

Contenu

Revoir et confirmer le profil de risques existants et le

processus de gestion des risques
Conduire des sances pour identifier le niveau
souhait (profil et processus)
Participer la dfinition des priorits et du plan
dactions
Prparer la documentation

Processus

Documentation :
Evaluation de ltat actuel et souhait du profil des risques et du
processus de gestion des risques
Observations et recommandations
Priorits et plan dactions pour la mise en place

21

Le profil de risque peut tre utilis pour dfinir des

priorits dans les propositions damlioration
Priorisation en utilisant des facteurs tels que rapidit, impact sur les cots et
la qualit et lamlioration de lefficacit des processus oprationnels
Elev
Ne pas faire Faire absolument

1 7

NIVEAU D EFFORT

Amlioration
Amlioration no
no 44

Amlioration
Amlioration no
no 11

6
3

Amlioration
Amlioration no
no 33

Pas ncessaire
Quick wins

Amlioration
Amlioration no
no 55

10
Bas

Amlioration
Amlioration no
no 22

Quels sont les

avantages
potentiels?
Que faire en
premier?
Comment
mettre en place
chaque
proposition?
Quel est lavis
de la direction?
Dfinir les
tapes

Elev

IMPACT SUR LA REDUCTION OU LOPTIMISATION DES RISQUES

22

Elments cls pour la russite dun projet ERM

Implication de la direction qui doit soutenir le projet activement

Approche coordonne top-down
Dfinir le cadre de travail puis nommer le responsable du projet
Passer du temps sur la formation :
Na pas besoin dtre trs long
Doit tre complte au niveau de la direction et du conseil
dadministration

23

3. Particularits des collectivits publiques en

matire de gestion des risques

24

Particularits des collectivits publiques en matire de

gestion des risques
Les collectivits publiques effectuent des tches :
trs diverses
dans un environnement complexe
avec des ressources limites
Les responsabilits en matire de gestion des risques ne sont souvent pas
clairement attribues
Le lgislatif ragit mais anticipe peu

25

La gestion des risques et le contrle interne comme

lments intgrs de la gouvernance dune collectivit
publique
Environnement

Corporate Governance

Electorat

Conseil dEtat
Assurance

Systme de contrle interne

Rvision
interne

Gestion de la
qualit

Gestion des
risques

Grand-conseil?
Commission?

En rfrence : Mnzel/Jenny
Riskmanagement fr kleine und mittlere
Unternehmen
26

Particularits des collectivits publiques en matire de

gestion des risques
Les rponses / nos expriences :
Des valuations de risques (profil de risques) commencent tre
ralises au niveau des dpartements ou des directions
Gestion des risques fractionne (au niveau des services) car activits
trs diverses
Pas de reporting global des risques
Pas de gouvernance des risques

27

Particularits des collectivits publiques en matire de

gestion des risques
Les rponses / nos expriences (suite) :
La rvision interne (contrle interne) effectue une analyse des risques
(financiers) lors de ses vrifications
La plupart des collectivits publiques considrent que la gestion des
risques est du ressort de la rvision interne celle-ci a-t-elle les
comptences et les ressources disponibles ?
Elle utilise cette analyse pour la planification de son travail (plan pluriannuel)
Pas de consolidation des risques, ni souvent de quantification des
impacts
La rvision interne teste rgulirement le contrle interne donc vrifie
le bon fonctionnement de certains contrles internes destins rduire
certains risques
Recours frquent la dlgation de tches des entits semi-autonomes
qui grent leurs risques elles-mmes
28

Le coeur de notre solution est la notion de maturit

ERM nest pas une solution prt--porter. La cl est de dterminer le
degr de maturit qui convient lorganisation
BASIQUE
Respecter les lois et
rglements

MATURE
Un processus directionnel

Gouvernance des
risques

Principes de gestion des risques

centralis
centraliss

Une structure de gestion des

risques avec des responsabilit
responsabilits
claires

La gestion des risques est

int
intgr
gre dans la mesure de la
performance

Evaluation des risques

Evaluation annuelle des risques

avec une analyse limit
limite

Analyse des risques r

rguli
gulire et
int
intgr
gre dans le reporting

Les activit
activits de gestion et
contrle des risques sont
int
intgr
grs dans les activit
activits
op
oprationnelles

Mesure des risques

Quantification de risques
slectionn
lectionns

Quantification des risques

op
oprationnels; quantification
anticip
anticipe de risques s
slectionn
lectionns

Cumul des risques au travers

de toute l
lorganisation

Suivi et reporting des

risques

Reporting des risques destin

destin
fournir l

information
requise
l

Optimisation des
risques et contrles

Moins de surprises grce la

gestion des risques cl
cls

Reporting complet au Conseil

dadm.
adm. et au Comit
Comit daudit sur
les niveaux de risques existants
et les risques futurs
Renforcement de la confiance
des stakeholders et am
amlioration
des strat
stratgies de r
rduction des
risques

Alignement de tous les

reporting sur le risque pour
donner une vision d
densemble
des risques
La strat
valuation de la
stratgie, l
lvaluation
performance et l
lallocation des
ressources sont ajust
ajustes aux
risques

El
Elment du cadre
conceptuel

AVANCE
Un outil strat
stratgique

29

4. La gestion des risques informatiques

30

La gestion des risques informatiques

Les processus fonctionnels sont fortement dpendants des systmes

dinformation
Tendance au regroupement des services informatiques
La plupart des administrations cherchent faciliter laccs aux
informations via internet (guichet informatique)
Certaines informations sont confidentielles (loi sur la protection des
donnes)

31

La gestion des risques informatiques

Principaux risques informatiques :

Organisation et efficience du dpartement informatique en charge de
supporter les systmes en termes de ressources et de comptences
et notamment si ce service est partag entre plusieurs entits (ville,
canton, cole, hpitaux)
Adquation des systmes en place vis--vis des besoins fonctionnels
des utilisateurs (environnement complexe, interfaces manuelles)
Support aux utilisateurs et gestion des problmes non efficient car
soit dlocalis soit partag

32

La gestion des risques informatiques

Principaux risques informatiques (suite) :

Contrles informatiques en terme de scurit, de continuit et de
monitoring des systmes (sparation des tches, accs)
Manque de communication (dparts ou changement de fonction)
Priorisation, gestion des projets internes et des changements peu
claire

33

La gestion des risques informatiques

Domaines cls
Gouvernance de lIT
Scurit des systmes et des informations
Continuit des systmes et plan de secours
Gestion des changements et des dveloppements

Assurance que
les donnes sont
intgres, fiables
et confidentielles
Assurance que
les contrles en
place sont en
adquation avec
les meilleures
pratiques,
standards et
lgislation en
vigueur

34

La gestion des risques informatiques

Outils de gestion des risques

Mthodologie de gestion des risques oprationnels (ERM)
Audit informatique (interne ou externe)
Standards ISO 1799/27001 pour les aspects scurit
CoBit
NAS 402 pour les services outsourcs

Avoir une bonne connaissance des

risques et des enjeux pour adopter des
contrles efficients

35

5. Autres apports de la gestion des risques

Un exemple

36

Autres apports de la gestion des risques

GESORBE gestion intgre de la plaine de lOrbe

Groupe de travail multidisciplinaire
Slection entre plusieurs variantes possibles
Calcul des impacts potentiels des dbordements de cours deau en
termes financiers
Evaluation des scnarios en terme de rapport rduction du risque / cot
des travaux

37

Autres apports de la gestion des risques

GESORBE mthodologie
Estimation des dgts potentiels :
Mthodologie OFEV
Surfaces utilises * valeur des biens
Avant et aprs mesures proposes
Estimation du cot des travaux :
Calculs par les diffrents groupes dtudes
Calcul du ratio defficacit :
Si rductions des dgts potentiels > cot des travaux => efficacit conomique

38

Autres apports de la gestion des risques

GESORBE Illustration des rsultats

80,000,000
70,000,000
60,000,000
50,000,000
40,000,000
30,000,000
20,000,000
10,000,000
0
Talent /
Thielle

Bey / Mujon
Sanitaire
Cots

Nozon /
Orbe

Oriental

Impacts positifs
39

Discussion

40

Contacts
Alain Guillaume
Senior manager

Armin Haymoz
Sous-directeur

KPMG Fides Peat

Rue du Seyon 1
2000 Neuchtel

KPMG Fides Management AG

Hofgut
3073 Guemligen-Berne

Tl.
+41 32 727 61 38
Mobile
+41 79 202 21 64
Fax
+41 32 727 61 58
aguillaume@kpmg.com

Tl.
+41 31 384 76 84
Mobile
+41 79 416 29 40
Fax
+41 31 384 76 17
ahaymoz@kpmg.com

41