Résilience du Controle Interne

~ « Venir ensemble est un commencement; rester ensemble est un progrès; travailler ensemble est un succès. (Henry Ford) »

Résilience du Controle Interne

Archives de Tag: objectifs

IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !

14 jeudi Juin 2018

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Contrôle Interne, Ethique, Formation (KM), Gestion des risques, Gestion des risques, Points de vue et Perspectives, R&D, R&D, R&D, Référentiels de risques

≈ 12 Commentaires

Étiquettes

AMRAE, appeler, appliquer, approche, échec, établie, banque, code d'éthique, code de déontologie, collaborateurs, communication, complexité, comportements, concept, conduite, confiance, conformité, contrôle interne, corruption, culture, culture d'entreprise, culture du risque, décréter, définir, déontologie, efficacité, efficience, entreprise, ERM, Ethique, ETI, fast fail, fast track, fédérer, former, fraude, gestion, Gestion des risques, gestion intégrée, gouvernance, iimplanter, implantation, incertitude, indécision, indétermination, informer, instabilité, intelligence collective, intelligence des risques, irrésolution, management, morale, motiver, normatif, notion, objectifs, occurrence, organisation, perplexité, perspectives, PME, PMI, précaution, prévention, principes, privé, protection, Public, règles, réaction, réactivité, réalités, réflexion, réflexive, responsabilisation, responsabilité, risque, RSE, savoir-être, savoir-faire, secteur, sensibilisation, société, stratégie, variabilité, vertu

dice-586123_12801.jpg

Afin de tenter une approche nouvelle à propos de la culture du risque, dont les objectifs sont la sensibilisation et un apport de base à la réflexion des lecteurs, ce billet porte sur les points suivants :
1. Principe d’incertitude et notion de risque.
2. Implantation d’une culture du risque.
3. Éthique.
4. Réalité et perspectives.
5. Synthèse.

I – PRINCIPE D’INCERTITUDE ET NOTION DE RISQUE :

L’incertitude, comme ce terme le sous-entend, définit un événement incertain ou imprévisible. Elle peut aussi être interprétée au sens d’instabilité ou de mouvant, c’est-à-dire ayant une proportion à la variabilité.

Le risque, ou danger plus ou moins prévisible, exprime une conséquence survenant en référence à des actions personnelles ou à des effets externes à notre pouvoir de précaution, voire à une combinaison de ces deux facteurs : interne et externe.

Incertitude et risque sont de ce fait des notions liées entre elles.

Comme nous le savons, il n’existe pas de risque « zéro ». Même si toutes les précautions sont prises, un infime phénomène peut survenir et remettre en cause notre protection préventive ou gêner l’immédiateté de notre réaction et l’accomplissement de la bonne correction ou de la bonne réaction.

Un degré plus ou moins conséquent d’indécision, d’indétermination, de perplexité ou d’irrésolution participe à cet écart entre survenance des faits et réactions effectives.

Réfléchissons à combien d’organisations, de collectivités ou d’entreprises, ont été prises en défaut, soit qu’elles aient ignoré les risques, soit qu’elles en aient sous-estimé la probabilité et la portée.

En revanche, la détermination du degré d’incertitude d’occurrence des nouveaux risques, et de la prévention de leur survenance, tel que le risque de catastrophe naturelle, le risque sanitaire, le risque de fraude, le risque d’informations mensongères ou le risque social sont beaucoup moins aisés à appréhender. Nous évoluons dans un univers complexe et nous ne disposons pas forcément d’exemples et de données historiques permettant d’affiner notre analyse.

« Aussi ne saurions-nous trop engager l’homme mûr, trop confiant en lui-même, à veiller toujours, car le péril est insidieux et les risques sont grands. »
Charles Burlureaux, la Lutte pour la santé, Projet Gutenberg

« D’autant que la complexité des facteurs qui entrent en ligne de compte et les éléments d’incertitude sont plus nombreux qu’avant. »
Jean-Jacques Bourque et François Lelord, l’Âme de l’organisation, Québec Amérique

Selon les périodes, les variables du couple incertitude / risque ont évolué de façon concomitante, mais pas forcément de manière égale. D’un contexte de proximité, nous sommes passés à un environnement départemental, puis régional et national, pour arriver à une semi-mondialisation.
À l’heure actuelle, nous sommes en totale mondialisation par l’ouverture de chacun au monde et par la survenance des pays émergents.

De ce fait, les degrés d’incertitudes et de risques sont de plus en plus élevés en fonction des zones géographiques d’intervention, mais aussi en raison d’une concurrence accrue venant de l’extérieur.

D’où la nécessité d’aller d’une gestion courante des risques vers une intelligence des risques ou, pour certains, vers l’ERM (Entreprise Risk Management).

Notons qu’appliquer une méthodologie de gestion / de management des risques sans la présence d’une culture d’entreprise, et au sein de celle-ci, sans l’implantation d’une culture du risque, fera que l’entité ne sera pas entièrement protégée.

team-1697902_1280

II – IMPLANTATION D’UNE CULTURE DU RISQUE :

En règle générale, dans le passé, mais encore à l’heure actuelle, la gestion des risques s’exerce selon une hiérarchie verticale descendante.
Cette façon de faire n’a pas totalement disparu et elle est toujours appliquée dans certaines grandes entreprises, ETI et PME/PMI, voire d’autres entités.

Les dirigeants pratiquent, selon les organisations, par l’application d’une des méthodes suivantes :

1. Décrètent la méthodologie et les processus de gestion des risques et les imposent pour application au travers de procédures organisationnelles et de guides opérateurs.

2. Définissent un cadre général qu’ils diffusent au sein des départements/services de l’entreprise, à charge pour le management opérationnel de compléter ce cadre au plus près de leur activité et de le retourner pour validation. Cette méthodologie favorise la participation du management opérationnel, mais pas celle des collaborateurs qui en sont souvent exclus.

3. Établissent un cadre général et organisent des ateliers de travail, communément appelés dans la pratique « workshop », où se côtoient différents collaborateurs et managers opérationnels et des représentants des fonctions support (attention à la composition des workshops, car l’essentiel est que chacun puisse exprimer son point de vue sans subir la « peur » ou la « pression » d’autres collaborateurs ou managers. Par ailleurs, l’animateur d’un workshop doit faire preuve d’empathie, c’est-à-dire avoir la capacité de se mettre intuitivement à la place des participants, de ressentir la même chose qu’eux, de s’identifier à eux).Les résultats de ces travaux sont ensuite validés par une instance désignée, suivie d’une réunion d’information (feed back) afin que les participants puissent avoir connaissance des motifs des choix retenus et des raisons de non prise en compte de certains éléments.

4. Appellent un cabinet de conseil, un consultant membre d’une association spécialisée (AMRAE…) ou un consultant free-lance présentant une expérience prouvée sur ces sujets.

5. Appliquent un mixte des méthodes énoncées ci-devant.

6. …

Nous sommes plus en présence de méthodologies influentes que réellement participatives et responsabilisantes.

Une gestion des risques n’est efficace et efficiente que si elle prend en compte ses propres expériences passées et les données correspondantes en sa possession (bases de données, informations comptables et financières…), mais aussi celles connues d’autres entités (benchmark ou veille).

Ce principe est toujours d’actualité, mais il n’est plus suffisant.
La présence d’une culture d’entreprise doit être recherchée, tout comme le style de management, et ils doivent être analysés.

À ce stade de la démonstration, n’y a-t-il pas confusion entre la notion de « gestion » et la notion de « culture » ?
Il est souvent évoqué une culture de la gestion du risque et, non pas, une culture du risque.

Il est nécessaire d’apporter une précision sur la notion de « culture » : Ensemble des connaissances acquises dans un ou plusieurs domaines par un individu ; mais aussi : Savoir — acquis (bagage de) connaissances, compétence, expérience, instruction, notions, savoir.
Étymologiquement « culture » est un emprunt au latin classique cultura, ‘soin’, signifiant ‘dont on a pris soin’, participe passé de colere, ‘prendre soin’ (principe de gestion du care anglo-saxon ou du principe de précaution).

Nous sommes en présence d’une première approche ou, plus précisément, d’un premier lien avec la notion de risque, grâce au sens de « prendre soin », ou plus communément, l’application du principe de précaution.

Mais le principe de précaution n’équivaut pas à la prévention.
La prévention s’intéresse aux risques avérés (ceux dont l’existence est démontrée ou connue empiriquement sans toutefois qu’on puisse en estimer les fréquences d’occurrence), alors que la précaution, forme de prudence dans l’action, s’intéresse aux risques potentiels (risques dont ni l’ampleur ni la probabilité d’occurrence ne peuvent être calculés avec certitude, compte tenu des connaissances du moment). Elle recouvre les dispositions mises en œuvre de manière préventive afin d’éviter un mal ou d’en réduire les effets, avant qu’il ne soit trop tard.

Enfin, il me semble que dans le langage professionnel courant, voire au sein de la plupart des entités, nous nous trouvons en présence d’un amalgame entre les notions de culture du risque et de culture d’entreprise.

Pour apporter un peu de clarté, il existe trois niveaux de culture interférant entre eux, sachant que chacun comprend différentes composantes.

1. La culture de la conformité.
2. La culture du risque : Environnement de contrôle, appétence aux risques, communication sur les risques, sensibilisations et formations, indicateurs.
3. La culture organisationnelle.

Parallèlement, la perception des risques est liée à la dimension culturelle des zones d’intervention (géographique…) de l’entité concernée.

La culture du risque se décrète-t-elle ou s’impose-t-elle ? Ni l’une, ni l’autre ; elle découle du bon sens dans la mesure où il est souhaité la pérennité de l’entité.

Quel est le moteur, ou plutôt le « véhicule », favorisant la diffusion, l’enseignement et l’application de cette culture du risque ?
La réponse est la communication. Terme vaste et peu parlant en matière de méthodologie au stade de cet exposé.

Partons de la base pour expliquer son fonctionnement.

La communication est un processus qui doit être inclus dans les « flux » organisationnels, opérationnels et fonctionnels de l’entreprise.
Elle est un élément important de cohésion au sein de ses équipes et elle a pour objet de renforcer le sentiment d’appartenance des collaborateurs (former, informer, motiver, fédérer).

La communication interne est une valeur ajoutée pour l’organisation. La valeur ajoutée que peut apporter la communication interne dans une organisation est donc étroitement liée au type de management qui se pratique.

Nous évoquons constamment l’instauration d’une culture du risque au sein d’une entreprise, mais cette notion n’est-elle pas devenue en partie obsolète ? Nous devons tenir compte des parties prenantes, car beaucoup d’entreprises font intervenir des prestataires de services ou pratiquent l’externalisation de fonctions n’appartenant pas à leur cœur de métier.

La culture du risque au sein d’une entité publique par exemple, « c’est la connaissance par tous les acteurs (élus, techniciens, citoyens, etc) des phénomènes naturels et l’appréhension de la vulnérabilité. En faisant émerger toute une série de comportements adaptés lorsqu’un événement majeur survient, la culture du risque permet une meilleure gestion du risque. » (www.georisques.gouv.fr>glossaire>culture)

D’un point de vue entreprise, développer une culture du risque, c’est pour un directeur d’entité ou un manager, un risk-manager, un responsable ou un acteur du management des risques de mettre en place des pratiques performantes afin de faire évoluer les comportements, d’anticiper et de maîtriser les risques.

Écrire sur l’implantation d’une culture du risque au sein d’une entreprise implique parallèlement à connoter les concepts d’éthique.

ethics-2110590_1280

III – ETHIQUE :

La définition de l’éthique est la suivante : « Ensemble des règles de conduite propres à une société, à un groupe. Éthique professionnelle ».
L’étymologie de ce mot provient du latin « ethica », ce qui est relatif aux mœurs.
Nous pouvons la rapprocher de quelques synonymes, à savoir : conscience, déontologie, prescription, principes au sens moral de ces termes.

Quelle est la distinction entre l’éthique et la morale :
• L’éthique est relative à chaque individu, et même au vécu actuel de chaque individu, puisqu’elle concerne la préférence d’un individu à un moment donné entre un nombre limité de possibilités.

• La morale signifie qu’il peut y avoir, parmi les lignes de conduite ouvertes à un individu à un moment donné, certaines qui lui soient obligées, et d’autres qui lui soient interdites.

La voie de l’éthique professionnelle axée sur les valeurs partagées se développe dans différents modèles à l’heure actuelle pour répondre aux insuffisances des modes précédents. L’Encyclopédie de L’Agora

Le changement est devenu la règle, et non l’exception. Par conséquent, chacun de nous doit constamment apprendre, s’adapter et mettre ses connaissances à jour. Et il semble que nous manquions toujours de temps, d’information ou de soutien pour ce faire.
Ce phénomène crée un dénivelé entre l’existant (habitudes) et la nouveauté (l’inconnu).

De nombreuses entreprises plaident ainsi pour une éthique compatible avec le profit et affichent le recueil de leurs valeurs phares qui peuvent reprendre les normes existantes, mais peuvent également les illustrer ou les prolonger. Les Échos

Par contre, la locution Code d’éthique exprime l’idée d’un code non directif qui reflète une morale, des valeurs. Contrairement au Code de déontologie qui définit par avance la conduite à tenir selon l’activité exercée.

« Ces travailleurs intellectuels devraient également élaborer et diffuser une éthique novatrice et pragmatique pour le XXIe siècle. Le Monde diplomatique.fr »

Parler ou écrire à propos de l’éthique, c’est souvent en corrélation avec les problématiques de fraude et de corruption.

La gestion de l’éthique entre dans le « catalogue » de mesures préventives du management des risques, mais l’éthique est également un risque en tant que tel.

Mais dans notre contexte, il faut prendre en considération le principe d’éthique de la responsabilité. Qu’entendons-nous par cette notion ?
Le principe de responsabilité permet au sujet de prendre des décisions raisonnables, de réaliser des actes lucides. Au passage, j’attire votre attention sur la présence d’un lien entre gestion des risques, contrôle interne et RSE (Responsabilité Sociale de l’Entreprise). L’ensemble participant à la performance durable.

La réactivité exigée des organisations modernes engendre souvent une perte de maîtrise sur l’organisation du travail.

Alors que l’appel à la responsabilité des employés sur l’efficience et l’efficacité de leur travail augmente le contrôle normatif, celui qu’ils ont sur leur travail décroît

A contrario, l’éthique réflexive consiste à construire avec l’équipe, en fonction des situations, ce que sont les comportements éthiques.

Par le soutien ou l’accompagnement à la prise de décision qu’elle permet, l’éthique réflexive (qui vise le « juste »*) contribue à rétablir cette responsabilité déficiente, de la redéployer en toute sécurité, tout en permettant aux directions des services d’assumer une maîtrise suffisante des risques.

Je n’irai pas jusqu’à dire que l’éthique réflexive prend un nouvel essor au sein des organisations, mais elle est le corolaire de la transition (et non du changement au sens de conduite du changement) vers le numérique et des possibilités (outils, activités…) y afférentes.

La pratique réflexive consiste à caractériser la manière dont l’action est organisée, à penser ce qui pousse à l’action, à formaliser ses savoirs pour les rendre lisibles et visibles par tous.

La pratique réflexive permet de « résoudre un problème, comprendre une situation complexe, s’interroger sur sa pratique et imaginer de nouvelles façons d’améliorer sa performance » P. Perrenoud

Développer une pratique réflexive, c’est adopter une posture réflexive, de manière régulière et intentionnelle, dans le but de prendre conscience de sa manière d’agir, ou de réagir, dans les situations professionnelles ou formatives.

* Contrairement à l’éthique normative qui exprime le « bien ». En ce qui concerne le management, cela revient à guider l’équipe pour l’amener à adopter des comportements éthiques.

business-2042282_1280

IV – RÉALITÉ ET PERSPECTIVES :

Où en est l’expression du collectif et son organisation, qui sont une dimension essentielle de la vie en entreprise ? N’est-il pas le plus souvent employé le « je » au lieu du « nous » ?

Les méthodes de management, telles qu’« individualisation salariale », « partie variable de la rémunération », « valorisation des performances individuelles », « management par les compétences », « individualisation du contrat de travail », « … », n’ont-elles pas modifié sensiblement la vision et les réactions des collaborateurs d’entreprise ?

Et, même dans les cas de prédominance du « nous (collectif) », n’y a-t-il pas le risque de la présence d’une forte personnalité influençant parfois, dans un sens non conforme, la gouvernance ? Nos organisations ne comprennent-elles pas des individus au comportement négatif pouvant se manifester de deux manières différentes ou concomitantes :

• Ecarts systématiques (négligences, tromperies, sous-activité).
• Violation des normes relationnelles (agressivité, non-communication,     intimidation) ?

Ce que les anglo-saxons dénomment rotten apples (pommes pourries) ou bad apples (mauvaises pommes) (confère « Les décisions absurdes III de Christian Morel).

Comment créer le cadre qui permettra aux individus de prendre part à une gestion intégrée des risques ? Est-ce envisageable ou réaliste avec une addition de « je » ou en présence de fortes personnalités difficiles à gérer ?

Ne nous leurrons pas, et nous ne pouvons le leur reprocher, certains collaborateurs (tous niveaux) n’ont pas choisi une entreprise selon leurs critères, mais en fonction d’une recherche d’emploi, de ce qui a eu la chance de se présenter à eux et de réussir en matière d’embauche.

Vous me direz qu’une proche adéquation entre collaborateurs et une entreprise existe au travers de l’implication du DRH et de ses collaborateurs. Effectivement, mais est-ce durable ou éternel ?

Ce sont les principales questions qui viennent à l’esprit, dans le contexte actuel, et aussi en évitant de nier une réalité présente et qui ne cesse de se décupler : l’adéquation des volontés des collaborateurs internes avec la stratégie de l’entreprise et son organisation.

Beaucoup d’écrits spécialisés et d’interviews expriment la présence d’une culture du risque au sein d’entités diverses. Mais qu’en est-il vraiment ?
Où se situe-t-elle vraiment ? Qu’elle est sa place par rapport à la culture d’entreprise (imbrication, chevauchement ou complémentarité) ? S’inclue-t-elle dans la culture RSE (Responsabilité Sociétale de l’Entreprise) ou s’y ajoute-t-elle ? Le débat est ouvert tout en sachant que la gestion des risques est un enjeu majeur de management et qu’elle doit s’inscrire dans la culture globale d’entreprise.

Il faut admettre qu’il n’existe pas une communication parfaite sur le long terme, il s’agit d’une adaptation, voire d’une amélioration continue, en fonction de différents éléments internes et externes. Le principe de base est de s’approcher au plus près de la «perfection».
D’autant plus que sur le plan de la gestion des risques, il doit être également inclus les communications spécifiques (interne et externe) en cas de discontinuité de l’activité (PCA) ou de gestion de crise.

À l’instant présent, ce qui est au cœur des enjeux ce sont les principaux éléments ci-après :

> La protection des informations : ce qui semblait aisé dans le passé, devient nettement plus difficile dans un contexte de complexité des activités et des systèmes, accentué par la survenance du numérique et, plus tard, par l’implantation de l’intelligence artificielle.

> Le management organisationnel : intensifier la confrontation des valeurs, des croyances et des perceptions sociales en amenant différentes expériences à se croiser et à s’informer mutuellement en fonction des situations qu’elles ont déjà tenté de gérer ou qu’elles tentent de gérer actuellement.

> L’influence et l’implication des décideurs : ces deux points influent sur le comportement des salariés. Par comportement, il faut entendre les principes de motivation et d’implication. A cela, nous devons ajouter l’influence de l’éthique des managers sur les deux variables précédentes (motivation et implication).

> La communication : consiste à appliquer la démarche stratégique à l’activité de communication dans l’entreprise.
Afin d’être efficace et efficient, le communicant doit être pleinement au fait de la stratégie de l’entreprise.
Ce qui se traduit concrètement par deux axes concomitants : un savoir-faire et un savoir-être.

A – Savoir-faire :
1. Élaborer une charte et sa diffusion à tous les collaborateurs.
2. Recueillir un maximum d’informations qui multiplieront les éclairages possibles.
3. Se livrer à une analyse précise et fine du contexte dans lequel opérera la stratégie de communication.
4. Participer à la transmission d’un savoir (au plus grand nombre).
5. Organiser des journées événementielles et engageantes (sur un thème précis).

J’attire votre attention sur l’intérêt, mais surtout la nécessité d’une présence d’un lien entre la communication interne et la communication de l’audit interne. L’ensemble participant à la performance durable

B – Savoir-être :
1. Connaître les différents métiers de l’entité sur leurs problématiques spécifiques.
2. Identifier les besoins des composantes de l’entité.
3. S’impliquer fortement dans les activités de l’entreprise.
4. Savoir informer, fédérer, impliquer, tout en disposant d’un degré conséquent de convivialité.
5. Encourager l’innovation et la créativité.
6. Permettre l’anticipation et la mettre au service de l’aide à la décision.
7. Favoriser l’intégration des nouveaux arrivants.
8. Prendre en compte les autres dimensions du management : ressources humaines, analyse financière, gestion de l’information, marketing…
9. Encourager les mutations de poste.

C’est dans la psychologie de l’engagement qu’il convient de rechercher l’assise théorique sur laquelle reposent les principales techniques permettant d’obtenir sans imposer. Gardons en mémoire que c’est la situation qui, en fonction de ses caractéristiques objectives, engage ou n’engage pas l’individu dans ses actes.

L’intérêt de ces techniques est de conduire à la responsabilisation des acteurs qui en arrivent à prendre librement les engagements que l’on attend d’eux, à les assumer, et à intérioriser les traits ou les valeurs qui vont assurer la pérennité de leurs nouvelles conduites.

thought-2123970_1280

V – SYNTHÈSE :

La gestion du risque est un enjeu de management, elle doit être incluse dans le « cœur » de Métier.

Le développement de la culture du risque sera garanti par un savant cocktail qui associera une bonne gouvernance (légitimité des messages) et une révision des pratiques anciennes (amélioration de la forme et utilisation des technologies de communication).

Le prérequis consistera à prioriser les menaces et les dangers pour lesquels des actions de communication / sensibilisation doivent être menées. Face à la multitude et à la variété des risques, il est vital de cibler ceux pour lesquels les individus ont ou auront un rôle majeur et pratique à jouer.
Mais, même ciblée, la gestion des risques doit être aussi stratégique qu’opérationnelle,
D’où l’intérêt d’appliquer une méthode ERM ou de se diriger vers un nouveau concept : l’intelligence des risques.

Le management des risques vise à diffuser une culture et à mettre en oeuvre un système de management, qui va des risques opérationnels à ceux pouvant affecter les objectifs stratégiques. En sorte que la culture soit aussi diffuse que les responsabilités sont ciblées.

La gestion du risque soulève la question du contrôle ante et post operandi.

La culture d’entreprise, facteur d’implication des salariés, est un ensemble de valeurs, de principes partagés par tous les membres d’une entreprise et qui se traduit par une homogénéisation des comportements, des façons d’agir et de penser. Elle résulte de l’histoire, de la personnalité des fondateurs et des facteurs environnementaux de l’entreprise.

“The values are an important part of the board’s discussion of the risk appetite – the values are an integral part of this – and in turn risk appetite is part of the culture”.
António Horta-Osório Chief Executive Lloyds Banking Group

L’Institut du Risk-Management (Institut of Risk Management) définit la “culture du risque” selon les croyances en les valeurs suivantes :

• Connaissance et compréhension à propos des risques.
• Partage, par un groupe de personnes, d’un but (objectif) intentionnel commun, en particulier par les dirigeants (management) et les collaborateurs d’une organisation.

En parallèle, il convient de surmonter les « égos » et les échecs précédents, qu’ils soient collectifs ou personnels, de manière à prendre en compte de façon la plus réaliste possible les incidents et catastrophes survenus en termes de risques. Ce concept revient à transformer l’échec en vertu (« La vertu de l’échec » – Charles Pépin).

Le lien avec la réalité peut s’effectuer par l’abandon du « fast track » français et par l’adoption du « fast fail » des pays anglo-saxons et des pays nordiques qui veut que l’échec soit vu comme une expérience, un signe de maturité, une assurance que le même type d’erreur ne se reproduira pas.

Pour ce faire, une réflexion collective doit être organisée au sein de l’entité tout en y incluant le questionnement : comment faire face à la complexité ?

Enfin, apprenons à oser et dirigeons-nous vers la « confiance en soi ».
C’est d’ailleurs ce que nous dit Socrate : cessez d’écouter les traditions, vous avez en vous de quoi répondre aux grandes questions.

 

A consulter également :

LA COMMUNICATION SUR LES RISQUES | AMRAE

La culture du risque constitue-t-elle un risque majeur pour l’entreprise ?

Augmentation du nombre de PDG congédiés pour des manquements à l’éthique

Des PDG encore peu conscients des risques qu’ils font courir à leur entreprise

2017 : Disruption – Stratégie de disruption et innovation par la maîtrise des risques

 

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Les 5 piliers de la gouvernance de l’information

04 vendredi Août 2017

Posted by Belin Olivier Consultant (B.O.C.) in Audit Interne, Conformité, Contrôle Interne, Contrôle Interne, Formation (KM), Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Repère, Risques Opérationnels

≈ 2 Commentaires

Étiquettes

approche, atout, audit interne, collecte, composante, confidentialité, conformité, connexion, contrôle, contrôle interne, contrôle périodique, contrôle permanent, cybersécurité, décisionnel, délégation, démarche, dérivé, diffusion, disponibilité, données, efficacité, ERM, fax, finance, flux, flux informationnels, format, gestion, Gestion des risques, gestion intégrée, globalisation, gouvernance, humain, identification, IE, immatériel, impact, indépendance, information, intégrité, intelligence économique, levier d'efficacité, maîtrise, management, métiers, messagerie, mobilité, moyens, objectifs, opérationnel, outils, papier, parties prenantes, périodique, PCA, permanent, personnalisation, pilier, pilotage, PRA, prix, projet, propriété intellectuelle, protection, protection des données, protection des informations, PSI, règlementation, réduction, redondance, Risques, sauvegarde, sécurité, spécificités, stratégie, système, système d'information, systémique, technology, transmission, transversalité, valeur, vecteur, veille

crash-62281_1280

Le système d’information et ses « dérivés » (y compris les éléments accompagnant la mobilité), les messageries, le fax, le smartphone et assimilé, le papier, l’être humain sont des vecteurs des flux informationnels. La sécurité et le contrôle se focalisent sur ces éléments, tout comme la réglementation. A l’évidence, ils doivent être pris en compte, mais nous oublions souvent qu’il ne s’agit pas d’un risque premier. En effet, à ce stade nous parlons « d’outils » ou de « moyens ». Et ce, même lorsque nous intervenons en termes de cybersécurité.

La « matière première » de toute entité (privée et publique), outre les éléments participants à la conception de produits, est l’information au sens large, se décomposant en flux d’informations lors de sa transmission.

Si vous prenez le temps de consulter attentivement la figure représentative des cinq piliers de la gouvernance de l’information accompagnant le billet cité ci-après, vous constaterez qu’un de ces piliers est dénommé « Risque ». Ce dernier est défini comme suit: « Elle couvre les données comme les documents. Elle s’affranchit des formats en se concentrant sur l’information que les métiers utilisent ».

Ces constats démontrent la nécessité de la mise en place d’une gestion transversale des risques au sein de toute entité, tout en tenant compte des spécificités informationnelles attachées à certains métiers et à certaines fonctions demandant des actions personnalisées, au lieu de se focaliser uniquement, ou de manière plus importante, sur les accès au sens large.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme en-dehors de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

  1. L’identification des besoins.
  2. La veille informationnelle.
  3. La collecte des informations.
  4. La protection et la sauvegarde.
  5. La diffusion de l’information.

La maîtrise de l’information est le préalable incontournable de la gestion des risques.

Ce dernier commentaire s’applique de la même manière à l’intelligence économique (IE), bien que la vision de l’entreprise en soit différente. Il a d’ailleurs été constaté une redondance dans les travaux pratiqués par les fonctions dédiées à l’intelligence économique et au risk-management en termes de gestion de l’information.

Le contrôle interne intervient pour partie dans la réduction d’exposition aux risques retenus.  Une confusion peut provenir du fait que certains risk-managers se voient confier la responsabilité du contrôle interne, des assurances et, parfois, de l’audit interne. Ceci est un autre débat en termes d’indépendance et de délégation.

Nous venons de parler de la réduction du risque, mais quels sont les véritables connexions entre le management de l’information et le contrôle interne?

Les informations numériques et les documents (informatisés ou non) traitant :

  1. de la stratégie,
  2. de la propriété intellectuelle,
  3. des finances,
  4. des projets transversaux incluant des parties prenantes,

sont principalement concernés.

 

“Les connexions, ou plutôt les interactions, se situent principalement au niveau du trio permanent

Risques – Conformité – Contrôle Interne

auquel il faut joindre la touche périodique complémentaire, à  savoir

l’Audit Interne”

 

La 1ère connexion est à la fois réglementaire et organisationnelle : les principaux acteurs en sont la Conformité, le management et les opérationnels. Il s’agit de :

  • Confidentialité : respect des règles de protection de la clientèle (Loi informatique et libertés, CNIL…) : la collecte d’informations personnelles nécessite l’accord de la personne ou de la structure intéressée
  • Structuration des données et continuité d’activité (PCA/PRA) afin d’éviter :
  1.  Une forte augmentation du volume d’informations, mais une baisse de la qualité des données
  2. Un tri nécessaire et une  identification des données sensibles, impliquant des changements organisationnels.
  • Protection des données (les données sont les composantes des informations et, par delà, des flux d’informations) .

 

La 2ème connexion est le management des risques (selon le principe  ERM), interdépendant du contrôle interne. Les principaux acteurs en sont le gestionnaire des risques et le management. Nous devons nous interroger à ce sujet si nous avons intérêt à nous diriger vers une gestion intégrée de tous les risques dans un système unique ? Prenons-nous en compte et utilisons-nous suffisamment le  principe du « retour d’expérience » ? Une réalité est à retenir : un impact dommageable = un objectif compromis. 

 

 La 3ème connexion est l‘incorporation des éléments de contrôle interne (contrôle permanent) dans les processus et les procédures internes à l’entité, y compris ceux liés à l’information. A ce sujet, ne devrions-nous pas évoluer de l’individuel au collectif (cette notion ou ce concept sera l’objet d’un billet spécifique) ? Les principaux acteurs en sont le management et les opérationnels. Le contrôle interne n’est pas une simple contrainte ou « posture » réglementaire, voire une « modeste » assurance que « tout est sous contrôle », il doit être considéré comme un levier d’efficacité. En osant extrapoler, le contrôle interne peut se transformer en un des atouts stratégiques offert à la gouvernance au travers du pilotage de l’entité. Ce qui implique d’évoluer d’une démarche interne vers une approche systémique.

 

La 4ème connexion est le contrôle périodique, l’audit interne, qui ne doit pas seulement se focaliser sur la protection physique (cybersécurité…).

 

“Disponibilité – Intégrité – Confidentialité” 

 

En définitive, qu’apporte ce billet en dehors de ce qui est déjà énoncé précédemment ?

La combinaison et la coordination des trois axes suivants :

  1. Disponibilité.
  2. Intégrité.
  3. Confidentialité.

sont le fondement d’un système de protection de l’information.

Outre son utilité en termes de stratégie et de décisionnel, l’information n’a pas qu’une valeur immatérielle, mais également un « prix » intrinsèque.

 

Depuis quelques années la notion de flux Information est de plus en plus considérée comme étant un domaine à regarder attentivement.

Seulement voilà, l’information, ce n’est pas simple à appréhender, elle a un cycle de vie et porte des caractéristiques souvent très changeantes. Des fois sensible, des fois engageante, des fois futile, des fois personnelle, … .

Alors lorsque que l’on commence à parler de mieux maîtriser cette information, cela devient vite comme certaines frites, on en parle beaucoup, et on en mange beaucoup moins. Non pas que je veuille pousser à la consommation de pommes de terre, mais c’est important de plonger sérieusement dans ce qui donnera demain, à nos entreprises des moyens d’évoluer plus vite que d’autres.

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

13 jeudi Juil 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Contrôle Interne, Cyberactivité, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D

≈ 12 Commentaires

Étiquettes

ANSSI, applications, architecture, audit interne, banque, bouleversement, coûts, collecte, collectivités, collectivités territoriales, contrôle, contrôle interne, COSO2, COSO3, cybercriminalité, cyberespace, délégation, diffusion, dispositif, données, enseignement, entreprise, finance, flux, formation, gestion, Gestion des risques, holistique, identification, IHEDN, indépendance, informations, informatique, instailité, intégré, intelligence, intelligence économique, intelligence collective, interactions, Internet, maîtrise, Net, numérique, objectifs, organisation, outils, pertinence, processus, protection, rencontre, risk-management, Risques, sauvegarde, sécurité, sécurité informatique, secteur privé, Secteur public, SI, stratégie, système, système d'information, système de contrôle interne, systémique, transversalité, veille

Préambule :

Votre première réaction peut-être « mais il mélange tout », il présente une rencontre de l’IHEDN (regardez la vidéo insérée au § III de ce billet)  qui se rapporte en premier lieu aux Armées et, ensuite, à l’Intelligence Economique (incluant la sécurité, le cyberespace et la cybersécurité).

Ne sommes-nous pas loin du contrôle interne, et de son corollaire la gestion des risques, applicables au sein des entreprises et du secteur public, objet principal de ce blog?

Toute entité, quelle soit du secteur privé ou de l’univers public, gère des informations dont certaines sont considérées comme privilégiées et très sensibles.

De plus en plus, deux éléments ont pris la primauté par rapport aux marchés et aux produits : l’information et son « véhicule » l’informatique ou système d’information au sens large.

Information : En langage courant – Renseignement, ensemble de renseignements. Chercher des informations, de l’information sur quelque chose. Information confidentielle, privilégiée. Nous entendons aussi parler d’autoroute de l’information, d’autoroute électronique ou d’autoroute informatique : ensemble des techniques et des dispositifs qui visent à diffuser l’information au moyen de réseaux d’ordinateurs.
Regroupement de réseaux d’ordinateurs permettant de diffuser l’information.

Informatique : Science du traitement automatique et rationnel de l’information (traitement de l’information ou traitement des données : Ensemble des opérations que l’on fait subir à des données en vue de les exploiter). Informatique théorique, appliquée. Informatique formelle, analytique. Informatique et micro-ordinateurs. Informatique documentaire, linguistique, juridique.

I – De la maîtrise de l’information à la maîtrise des risques :

Tout dirigeant souhaite obtenir une information la plus complète, transverse et pertinente possible.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme à l’extérieur de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

  1. L’identification des besoins.
  2. La veille informationnelle.
  3. La collecte des informations.
  4. La protection et la sauvegarde.
  5. La diffusion de l’information.

A qui revient initialement cette organisation ? A l’humain, les NTIC n’étant à considérer que comme des outils de gestion.

 

II – Maîtrise de l’information et Contrôle Interne :

  1. Lorsque nous évoquons le contrôle interne, il est souvent question de bonne gouvernance et de respect de la conformité de l’entreprise.
  2. Lorsque nous parlons du flux Information d’une entreprise, il est question d’information sensible, engageante, structurante, personnelle, patrimoniale.

Comment les deux peuvent se rejoindre de façon complète, surtout en intégrant la vue globale de ce flux Information ? Qu’en pensez-vous, cela est il du ressort du contrôle interne que de s’assurer que ces familles d’informations soient bien maîtrisées ?

 Dans l’état actuel de « l’art », il y a bien une dissociation entre les notions et les concepts d’information et de contrôle interne.

L’ambiguïté est qu’il est souvent évoqué la prise en compte de l’information lors de la mise en place d’un système de contrôle interne, mais il s’agit d’éléments participatifs à la gestion des processus et des risques, …, d’informations comptables et de données informatives contenues dans les différents reportings réalisés pour le management, les différents comités et la gouvernance.

Nous sommes plus dans une optique de gestion organisationnelle que dans une application complète de maîtrise de la stratégie définie par l’entité.

Si nous imaginons un lien entre ces deux notions/concepts, il ne peut être direct et, ce, même si nous parlons de protection. Dans les grandes entreprises, cette dernière fonction est souvent assurée par la fonction élargie de la sécurité.

C’est en premier le risk-manager ou le responsable des processus de gestion des risques qui doit disposer de toutes les informations internes et externes afin de les identifier, mais surtout de les évaluer, de déterminer des mesures de contrôle et de simuler différents scénarios d’incidents à analyser.

La maîtrise de l’information est le préalable incontournable de la gestion des risques.

Ce dernier commentaire s’applique de la même manière à l’intelligence économique (IE), bien que la vision de l’entreprise en soit différente. Il a d’ailleurs été constaté une redondance dans les travaux pratiqués par les fonctions dédiées à l’intelligence économique et au risk-management en termes de gestion de l’information.

Une autre confusion peut provenir du fait que certains risk-managers se voient confier la responsabilité du contrôle interne, des assurances et, parfois, de l’audit interne. Ceci est un autre débat en termes d’indépendance et de délégation.

Comme il a été dit plus haut, le contrôle interne intervient pour partie dans la réduction d’exposition aux risques retenus.

Toute l’information n’est pas contenue dans le système d’information.

Par exemples, certaines informations glanées lors de négociations par les acheteurs, vis-à-vis des fournisseurs, et par les commerciaux, en relation avec les revendeurs, ne sont pas forcément répercutées. Même si un reporting existe, qui peut être sûr que les informations y sont toutes retranscrites et en termes adéquats ?

Une donnée peut ne pas être jugée essentielle par ces populations, alors qu’elle le sera par un risk-manager ou un responsable de veille (IE).

Nous sommes entrés dans l’ère de l’instabilité et de bouleversements de structures organisationnelles, ce qui nous amène à une gestion holistique et intégrée des risques, voire un concept innovant : l’intelligence des risques (management des risques selon les méthodes de l’intelligence économique).

En corollaire, le contrôle interne se doit d’évoluer dans le même sens. En se dirigeant vers un concept novateur : l’intelligence collective du contrôle interne.

« L’intelligence collective désigne les capacités cognitives d’une communauté résultant des interactions multiples entre ses membres. La connaissance des membres de la communauté est limitée à une perception partielle de l’environnement. Ils n’ont pas conscience de la totalité des éléments qui influence le groupe. Des membres aux comportements très simples peuvent ainsi accomplir des tâches apparemment très complexes grâce un mécanisme fondamental appelé synergie ou stigmergie¹. » (dixit Wikipédia).

Enfin, une nouvelle démarche est apparue : la prise en compte par l’audit interne des risques associés à l’atteinte des objectifs stratégiques. Ce qui inclut la gestion des risques stratégiques par le risk-manager et, de ce fait, une éventuelle prise en compte par le contrôle interne.

En conclusion, les évolutions évoquées doivent amener le contrôle interne à assurer la maîtrise des familles d’informations citées. Ceci sous réserve d’une organisation transversale et, pour les entreprises appliquant le référentiel COSO 2, de l’actualisation vers le COSO 3.

  ¹ Stigmergie : C’est une méthode de communication indirecte dans un environnement émergent auto-organisé, où les individus communiquent entre eux en modifiant leur environnement. Application de principes issus de la stigmergie à la collaboration dans des grands groupes et comme une méthode de gouvernance alternative à mi-chemin entre les organisations fonctionnant sur un modèle de compétition et celles fonctionnant sur un modèle de coopération.

 

III – Rencontres IHEDN du 20 mai 2017 :

Pour faire suite à ce qui est énoncé dans le préambule, l’intérêt des éléments évoqués lors de cette rencontre, et objet de ce billet, repose sur trois principes de base :

  1. La modification de paradigme.
  2. La prévention.
  3. La sécurité.

Ce constat est basé sur les éléments ci-après :

  • Les mises à jour de toutes les applications des systèmes d’information ne sont pas systématiquement réalisées de « peur » de créer des dysfonctionnements (au travers des interactions) dans le système de l’entité.
  • L’apparition d’un nouveau risque systémique (différent de celui des mondes bancaire et financier) : la plus grande majorité des entités privées et publiques disposent des mêmes architectures informatiques, des mêmes applications de gestion, à configurations identiques, et d’une similitude d’action dans leur emploi. Ce qui « facilite » l’élaboration de scénarios d’attaques.
  • Cyberguerre et Internet : les mots employés et les définitions apportées ne sont pas toujours adéquats et détournent l’attention de la réalité. Pour parler de cyberguerre, il faut avoir au moins un ennemi connu et visible (au sens de détecté), ce qui n’est pas le cas lors de la survenance des attaques (difficultés à remonter jusqu’à l’origine d’une attaque, « aporie » au sujet des commanditaires, absence de preuves juridiques, matériels…). La réalité  entrepreneuriale se nomme plutôt : « bataille » de l’information.
  • Entreprise/industrie/collectivités… :  nous sommes en face d’une criminalité du XXI ème siècle (cybercriminalité…) dont les réponses juridiques actuelles ne sont pas encore pertinentes. A ce propos devons-nous parler de cyberespace ou de champ numérique interplanétaire?

Que convoitent les prédateurs : toutes les données qu’elles appartiennent au secteur marchand ou qu’elles soient la propriété du secteur public.  Pour cela, ils s’attaquent de différentes manières aux systèmes d’information, et à leurs extensions, des entreprises. Ils se situent à la frontière entre la cyberguerre (au sens militaire) et l’espace numérique interplanétaire.

En France, pour répondre en partie à ces nouveaux risques, il a été créée l’ANSSI (Agence Nationale de la Sécurité Informatique) http://www.ssi.gouv.fr/agence/missions/ledito-du-dg/  dont une de ses missions est « la promotion d’une culture de la cyber sécurité auprès des entreprises de toutes tailles et des particuliers, souvent moins au fait de ces problématiques. Ce positionnement se traduit par une politique ambitieuse de sensibilisation et d’accompagnement ainsi que par des actions relatives à la formation’.

 

Que nous précise également cette rencontre?

 

Comme pour les autres risques, il n’existe pas de risque zéro. La seule façon de prévenir et de réduire ces nouveaux risques consiste en la création d’un lien fort entre le monde de la sécurité intérieure et le monde de la Défense (sous forme de R&D). Les services d’enquêtes doivent travailler ensemble et mutualiser leurs informations.

Un autre volet de sécurisation, qui permettrait de réduire certains cyberrisques, serait « d’édifier » une filière industrielle nationale  (les objectifs principaux sont les maîtrises du hardware et du software) Un équilibre sera à trouver en matière de coûts.

En parallèle, il convient de créer des formations adaptées, et non pas seulement des masters spécialisés, en vue de disposer, en termes de ressources humaines, de différents degrés de compétences afin de répondre aux besoins des nouveaux métiers liés à la gestion des cyberrisques. Ceci passe par un enseignement au sein d’une filière académique.

Enfin, en termes budgétaires, la sécurité numérique ne doit pas être la variable d’ajustement. Dans un avenir proche, elle représentera une part importante de la continuation de l’activité, au sens large et, donc, de la pérennité de l’entreprise.

La méthode résumée : Faire exploser les limites entre monde privé et monde public afin de mettre en oeuvre les meilleures solutions et d’accomplir une véritable coopération.

via Rencontres IHEDN du 20 mai 2017 – Guerre pas net — Cybercriminalité

 

A consulter également :

Cyberattaques : une montée en puissance depuis dix ans

La cybersécurité doit devenir l’affaire de tous

L’Europe n’est toujours pas prête à affronter une cyberattaque majeure

WannaCry : « essentiel de se mette en ordre de bataille, collectivement » pour l’Anssi

La traque des pirates de la cyberattaque mondiale commence

Check Point : En 2017, a quoi ressemblera le paysage des cybermenaces ? — La cybercriminalité

Pourquoi les banques françaises sont vulnérables aux cyberattaques

Survey : 66% of IT pros think their companies’ cyberincident response plans are ineffective

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Un ancien salarié sur trois pourrait toujours avoir accès au réseau de l’entreprise

06 jeudi Juil 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Audit Interne, Conformité, Contrôle Interne, Gestion des risques, Points de vue et Perspectives, Protection des données, R&D, Risques Opérationnels

≈ 6 Commentaires

Étiquettes

accès, accréditation, achats, activités, appétence, applications, architecture, banque, bottom-up, collaborateurs, collectivités, communication, composants, confiance, continuation, contrôle, contrôle interne, culture, cyber-activité, détection, entité, entreprise, exposition, finance, fonctionnement, fonctions, fournisseur, gouvernance, habilitations, informatique, infrastructure, intervention, management, mobiles, numérique, objectifs, organisation, outil, pérennité, personnel, plan de continuité de l'activité, politique, procédures, processus, règles, résiliation, ressources humaines, risque opérationnel, Risques, Secteur public, stratégie, support, technology, top-down, transformation, transition, valeurs, verification

internet-1952019_1280

La confiance n’exclut pas le contrôle. La principale difficulté est de découvrir le juste milieu et de le maintenir, tout en le faisant évoluer, au cours des périodes futures. 

Nous nous situons dorénavant dans un nouveau contexte, inimaginable au XXème siècle, en matière de risques et, plus particulièrement, en termes d’insécurité vis-à-vis de nos activités informatique, numérique et nos interactions dans le cyberespace. 

Ce constat étant posé,  il ne faut pas non plus nous voiler la face : nous subissons certains travers, qui nous sont dus, dans notre fonctionnement et notre organisation, quelle que soit la forme de notre entité. Cela est lié à différents facteurs indépendants ou interdépendants entre eux. A savoir :

  1. La méthode de gouvernance retenue en termes de réalisation de la stratégie au travers de la déclinaison des objectifs commerciaux et de l’approche managériale appliquée.
  2. La communication interne. Souvent « top-down« , elle devrait être organisée aussi de manière « bottom-up » sur certains sujets, afin de créer un véritable échange (les outils numériques peuvent favoriser celui-ci).
  3. Une véritable culture d’entreprise (valeurs partagées par l’ensemble du personnel). En tant qu’outil de management, elle passe par une stratégie des Ressources humaines qui doit prendre en compte les aspects collectifs du travail.
  4. Les niveaux de culture du risque et d’appétence de l’organisation à son exposition.
  5. L’architecture du système d’information interne et de ses composants mobiles. Il n’est pas envisageable de remettre tout à plat, mais certaines « interactions » doivent être améliorées, voire repensées (est-il raisonnable, par exemple, qu’il soit permis d’accéder à des données sensibles à partir de terminaux personnels?). De même, il convient de résoudre les problématiques antérieures et d’instituer un contrôle interne au sein de la fonction informatique, s’il n’est pas présent, avant toute transformation au numérique de l’entité. Sinon, il y aura une exposition à des risques opérationnels supplémentaires.
  6. La politique d’achats et les processus d’accréditation, de suivi et de contrôle des fournisseurs (incluant les accès à certaines données propres à l’entité).

Mais le véritable « nerf de la guerre » concourant à la pérennité de l’entité et à la continuation d’activité,

c’est particulièrement la gestion des accès

et les processus d’habilitation de tous les collaborateurs

 

Un outil, ou une application, de gestion d’accès n’est pas suffisant à lui seul. Le management opérationnel de tout niveau y a un rôle à jouer et des règles à respecter, tout comme certaines fonctions supports.

Cette gestion des accès ne serait pas complète, si elle n’incluait pas, d’une part une solution de détection des tentatives d’accès erronés, forcés, ne correspondants pas aux attributions d’un collaborateur et, d’autre part, l’analyse complète de toutes les anomalies détectées et leur reporting.

Ne devrait-elle pas être incluse dans toute intervention du contrôle périodique lors de l’exécution de missions d’audit interne auprès d’unités, de services et de départements de l’entité?

Enfin, les Ressources humaines, en liaison avec les managers de proximité et le contrôle interne au sein de la fonction informatique, doivent inclure dans leur stratégie d’intervention une procédure de vérification (d’assurance) que tous les accès attribués à un collaborateur soient bien résiliés avant toute signature et la remise de documents finaux antérieurement à son départ définitif de l’entité.

33% des décideurs interrogés à travers le monde avouent que d’anciens salariés pourraient toujours avoir accès au réseau interne ! Tel est le constat dressé par Bomgar, spécialiste des solutions sécurisées de gestion des accès, qui vient de publier les conclusions de son rapport 2017 « Secure Access Threat Report »*. Elle révèle que les accès de salariés et de tiers autorisés constituent une menace croissante pour la sécurité des entreprises et de leurs systèmes IT. Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

La culture du risque constitue-t-elle un risque majeur pour l’entreprise ?

21 dimanche Mai 2017

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Formation (KM), Gestion des risques, Gestion des risques, Points de vue et Perspectives, R&D

≈ 5 Commentaires

Étiquettes

acculturation, actionnaire, activités, apprentissage, appropriation, Cargo, changement, communauté, communication, compréhension, construction, culture, développement, dirigeant, entreprise, esprit, fusion, identité, investisseur, levier, mobilisation, modification, motivation, normes, objectifs, organisation, partage, perception, performance, personnel, résistance, restructuration, risk-management, Risques, sociologie, stratégie, valeurs

Gérer les risques

Riks – Risk-Management – Entreprise

Récemment, Jeff Bezos, le fondateur d’Amazon a adressé une lettre à ses actionnaires pour proclamer son amour du risque : « Nous voulons être une grande entreprise qui soit aussi une machine à invention ». Il y explique qu’il faut « faire des paris ambitieux, quitte à se planter ».

Cette prise de position n’est pas seulement une opération de communication vers les marchés. « Le message, c’est que le risque est gagnant », souligne Benoît Flamant, de Fourpoints IM. C’est également une façon de rappeler que « ceux qui ne partagent pas cette culture ne sont pas obligés de rester ».

  1. Mais qu’est-ce que la culture du risque ?
  2. Pourquoi développer une culture du risque ?
  3. S’affranchir du « culte du Cargo » pour incarner la culture

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Keep Your (Compliance) Eye on the Road

19 mercredi Avr 2017

Posted by Belin Olivier Consultant (B.O.C.) in Conformité, Points de vue et Perspectives, R&D

≈ 3 Commentaires

Étiquettes

approche, CCO, coûts, conformité, conformité réglementaire, efficacité, employés, gestion, leadership, management, objectifs, organisation, outils, programme, résilience, Risques, sous-traitance, stratégie, tâches

law-419057_1280

Lorsque vous conduisez votre voiture, votre moto, votre scooter, ou que vous soyez en vélo, vous devez être constamment attentif à ce qui se passe devant vous et autour de vous. Vous ne devez pas vous laisser distraire par des éléments secondaires, ou non prioritaires, qui mettraient votre vie en danger.

Le principe de base est de se focaliser en premier lieu sur ce que vous pouvez maîtriser et non agir tout de suite dans un esprit de globalisation d’une organisation. La précipitation est souvent source d’un manque d’efficacité en termes de gestion des risques.

Comme un CCO, vous devrez utiliser les outils que vous avez à portée de main. Si vous n’avez pas assez d’évaluation ou de budget (et qui le fait), utilisez ce que vous pouvez le plus efficacement. Vous pouvez même être en mesure de sous-traiter les tâches de conformité plus banales aux sociétés qui fournissent ces services à un coût très réduit par rapport au coût d’un employé. Le plus souvent, vous êtes seulement limité par votre imagination.

Synthétiquement, vous devez avoir :

  1. une approche du leadership.
  2. une stratégie vous permettant d’être gagnant et non en échec au final.
  3. une exécution, dans vos actions, en conformité avec la stratégie que vous avez définie, afin de conserver son efficacité.

En conclusion, il est important d’avoir une vision stratégique pour votre programme de conformité http://fcpacompliancereport.com/2017/01/11304/# Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Control Risks : un retour en force des risques en Europe en 2017 | Assurance & Banque 2.0

26 lundi Déc 2016

Posted by Belin Olivier Consultant (B.O.C.) in Gestion des risques, Points de vue et Perspectives, R&D

≈ 1 Commentaire

Étiquettes

baleine, bastion, Big Data, externe, Gestion des risques, intégrité, interne, marrché, monde, objectifs, politique, requin, risque, sécuité, stratégie

dice-586123_1280

La RiskMap 2017 que réalise ce cabinet de conseil spécialisé dans la gestion de risques globaux (politiques, sécuritaires, et d’intégrité) identifie et analyse les principales tendances en termes de risques à l’échelle mondiale. Il détaille, en fonction des marchés, les champs dominants pour l’an prochain. Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Examining the future of regulatory reporting

07 jeudi Juil 2016

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Conformité, Contrôle Interne, Gestion des risques, Les référentiels, Points de vue et Perspectives, R&D, Réglementations

≈ Poster un commentaire

Étiquettes

ABE, évaluation des risques, banques, base de données, BCE, BDF, comparaison, COREP, CRD4, données, effet de levier, EFR, Europe, finance, FINREP, Gestion des risques, harmonisation, indicateurs, indicateurs de risques, information financière, informations, ITS, KRI, Lamfalussy, objectifs, outil, pertinence, rapports, règlementation, réglementation prudentielle, régulateur, régulation financière, reporting, reporting réglementaire, Risques, SREP, SSM, superviseurs, systémique, tableaux de bord, UE

Etablissements financiers

Finance – Banque – Organismes financiers

With the re enforcement of the European Union and the establishment of the Single Supervisory Mechanism (SSM), Regulatory Reporting has been a topic of attention.

…

Frederic Visnovsky – Secrétaire général adjoint chez Autorité de contrôle prudentiel et de résolution – Banque de France

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

En passant

Fraude : écarts de conduite des entreprises, responsabilité des individus

10 mardi Mai 2016

Posted by Belin Olivier Consultant (B.O.C.) in Actualités, Actualités, Conformité, Ethique, Fraude, Gestion des risques, Points de vue et Perspectives

≈ 2 Commentaires

Étiquettes

affaires, alerte, alerte éthique, analyse de données, évaluation, comportement, condamnation, connaissasnce client, contrôle, corruption, dispositif, données, efficacité, entreprise, Ethique, finance, fonctions, France, fraude, logiciels, logiciels spécialisés, objectifs, prévention, problématique, relations d'affaires

rules-1339917_1280

Conduite dans 62 pays, la 14ème édition de l’enquête internationale sur la fraude menée par IPSOS pour EY met un coup de projecteur sur les enjeux de la transparence dans les affaires, dans un environnement géopolitique et financier toujours instable.

Quelques chiffres clés :

  1. 32% des répondants affirment avoir déjà été confrontés dans le cadre de leurs fonctions aux problématiques de corruption et 39% considèrent la corruption comme répandue dans leur pays.
  2. 91% estiment important pour l’entreprise de connaître le détenteur réel des capitaux des entités avec lesquelles elles développent des relations d’affaires.
  3. 42% sont prêts à justifier des comportements non-éthiques pour atteindre les objectifs financiers. La majorité des répondants (83%)considère les poursuites judiciaires contre les individus comme un moyen de dissuasion efficace.
  4. 55% seulement des interrogés considèrent que leur organisation a suffisamment investi dans des logiciels spécialisés en analyse de données.
  5. 55% des entreprises interrogées disposent d’une ligne d’alerte éthique.Il revient au top management d’évaluer l’efficacité des dispositifs d’alertes ainsi que de s’assurer de la connaissance de leur existence par les collaborateurs.

Focus sur la France :

  1. 50% des répondants estiment que le gouvernement cherche activement à engager des poursuites judiciaires, mais quelles ne se traduisent pas par des condamnations.

  2. 18% estiment que les pratiquent de corruption sont répandues en France (vs. 39% dans le reste du monde).

  3. 78% reconnaissent la cybercriminalité comme un risque (vs.47% dans le reste du monde).

Lire la suite →

Partager :

  • Tweet
  • Email
  • Imprimer
  • Plus
  • Pocket

WordPress:

J'aime chargement…

Souscrire

  • Articles (RSS)
  • Commentaires (RSS)

Archives

  • août 2019
  • juillet 2019
  • juin 2019
  • mai 2019
  • avril 2019
  • mars 2019
  • février 2019
  • janvier 2019
  • décembre 2018
  • novembre 2018
  • octobre 2018
  • septembre 2018
  • août 2018
  • juillet 2018
  • juin 2018
  • avril 2018
  • mars 2018
  • février 2018
  • janvier 2018
  • décembre 2017
  • octobre 2017
  • septembre 2017
  • août 2017
  • juillet 2017
  • juin 2017
  • mai 2017
  • avril 2017
  • mars 2017
  • janvier 2017
  • décembre 2016
  • novembre 2016
  • octobre 2016
  • septembre 2016
  • août 2016
  • juillet 2016
  • juin 2016
  • mai 2016
  • avril 2016
  • mars 2016
  • février 2016
  • janvier 2016
  • décembre 2015
  • novembre 2015
  • octobre 2015

Catégories

  • A propos
  • Audit Interne
    • Actualités
    • Ethique
    • Référentiels de risques
    • Repère
    • Secteur Public
  • Confidentiel…qui ne l'est plus
  • Conformité
    • Actualités
    • Ethique
      • Best Practices
    • Fraude
    • Lutte contre le blanchiment des capitaux et le financement du terrorisme
    • Plan de Continuité de l'Activité (PCA)
    • Protection des données
    • R&D
  • Contrôle Interne
    • Actualités
    • R&D
    • Secteur public
  • Formation (KM)
    • Actualités
    • Conférences intéressantes
    • Contrôle Interne
    • Gestion des risques
    • Protection données
    • R&D
    • Sécurité
    • Terminologie
  • Gestion des risques
    • Actualités
    • Continuité de l'activité (PCA)
    • Cyberactivité
    • Public
    • R&D
    • Risques Opérationnels
  • Intelligence artificielle
  • Les référentiels
    • Audit Interne
    • Conformité
    • Contrôle Interne
    • ISO
    • Réglementations
    • Risques
  • Mes communications
  • Mes curations
    • Mes magazines professionnels personnels
  • Non classé
  • Points de vue et Perspectives

Méta

  • Inscription
  • Connexion

L’auteur

Belin Olivier Consultant (B.O.C.)

Belin Olivier Consultant (B.O.C.)

COSO, COSO II et COSO III, Contrôle Interne, AMF 2007-2008, Fraude, PCA, Conformité, AFCDP, Intelligence Economique, KM, Ingénierie de formation, Web2.0 http://www.belin-olivier.branded.me http://fr.linkedin.com/in/olivierbelin Paris Vous souhaitez échanger sur des sujets de ce blog, ou me rencontrer, n’hésitez pas à me contacter.

Liens Personnels

  • Mon Portfolio professionnel

Services Vérifiés

Afficher le Profil Complet →

Entrez votre adresse mail pour suivre ce blog et être notifié(e) par email des nouvelles publications.

Rejoignez 2 023 autres abonnés

Mots-clés

analyse ANSSI assurance attaque audit audit interne banque banques blanchiment de capitaux CIL CNIL compliance conformité conformité réglementaire contrôle contrôle interne contrôle permanent corruption cyber-attaque cyberattaque cybersécurité Data dispositif données données personnelles DPO DSI entreprise entreprises Ethique ETI Europe finance formation France fraude gestion Gestion des risques gouvernance hacker information informations informatique Internet juridique loi management normes numérique organisation outils PME processus procédures protection protection des données protection des informations prévention Public ransomware RGPD risk-management risque Risques règlementation règles sensibilisation stratégie système système d'information sécurité sécurité informatique technologie technology transparence
Follow Résilience du Controle Interne on WordPress.com

Propulsé par WordPress.com.

Annuler
loading Annuler
L'article n'a pas été envoyé - Vérifiez vos adresses email !
La vérification e-mail a échoué, veuillez réessayer
Impossible de partager les articles de votre blog par email.
Confidentialité & Cookies : Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez leur utilisation.
Pour en savoir davantage, y compris comment contrôler les cookies, voir : Politique relative aux cookies
%d blogueurs aiment cette page :