A Amsterdam….

24/10/12

Septembre 2012, c’est la conférence européenne annuelle de l’IIA. Elle se tient à Amsterdam, à quelques heures de Paris, j’y assiste. Le centre-ville expose l’architecture de cette ancienne grande puissance européenne. Le choix des lieux, et en particulier l’ancienne bourse d’Amsterdam pour le déroulé du programme, et les locaux de l’ancienne compagnie des Indes pour le dîner de gala, nous renvoient à l’époque d’une Europe de conquêtes, d’aventures et d’entreprises.

Retour au 21ième siècle et à l’actualité des activités et des métiers de l’audit et du contrôle. D’abord je trouve l’association professionnelle IIA, extrêmement bien organisée et très bien structurée au travers le monde. Parmi les 400 participants et les 30 speakers, de nombreux représentants de l’IIA sont présents et je m’attends à des exposés de grande qualité. J’assiste à toutes les présentations des key note speakers et je ne suis pas déçu. Au-delà de la qualité formelle, je ressens une grande cohérence dans les messages que j’entends des orateurs qui se succèdent.

J’ai un sentiment de course engagée entre la dangerosité d’un monde en expansion, et une volonté politique et sociétale de régulation et de plus grande protection. C’est l’enjeu du risk management qui est au centre des débats. On réaffirme d’abord que la nature, le nombre et les conséquences des risques associés à nos modèles économiques modernes peuvent prendre des proportions simplement gigantesques. Jules Muis rappellera sa prédiction ancienne vis-à-vis de la crise économique actuelle, qu’il met au crédit de sa prédiction d’aujourd’hui d’un plus grand besoin de pouvoir pour les structures de contrôle en général et pour l’audit interne en particulier. Nombreux sont les intervenants qui ont rappelé la vertu du ‘three lines of defense model’ mis conjointement au point par l’association des risques managers et celle des auditeurs internes. Carolyn Dittmeier détaillera son programme de travail avec la commission européenne pour que ce qui n’est aujourd’hui encore qu’une bonne pratique de gouvernance, deviennent une directive Bruxelloise.

J’ai en tête la conclusion de notre livre blanc et le pari fait sur l’audit interne. Plus que jamais à Amsterdam, je pense que ces professionnels du contrôle vont jouer un rôle déterminant dans la surveillance et l’amélioration continue de leurs organisations. La compréhension des opérations et leur proximité avec le board sont des atouts qui ne vont que se renforcer.

Néanmoins une interrogation demeure. Chaque exposé, si ce n’est l’intégralité de certains d’entre eux, met en évidence le besoin de légitimité de l’Audit, du soutien de l’entreprise et de son management. Une telle fréquence de ce message collatéral, finit par en faire un message essentiel. Alors, à l’occasion de cet aparté, je partage avec vous mon interrogation. Pourquoi le management aurait-il peur des recommandations de l’audit ? Je crois, et l’un des intervenants l’a confirmé, que la transformation est aussi une science de l’humain. Parier sur l’audit, c’est sans doute certainement investir dans ce domaine avec eux.

Gartner Summit in Washington

20/06/12

Du 10 au 16 juin, semaine Américaine. C’est le congrès annuel du Gartner Group sur la sécurité informatique et la gestion des risques. MEGA US participe évidemment, j’ai fait le déplacement, en particulier pour assister aux conférences.

Un peu circonspect sur la cohérence du regroupement des problématiques de sécurité et de gestion de risques d’entreprise, je suis éclairé après l’intervention des deux premières ‘guest stars’ : Michael Dell (PdG fondateur en 1984 de l’entreprise informatique qui porte son nom) et Howard Schmidt (Cyber-Security Coordinator of the Obama Administration). Aucun doute pour eux, la dématérialisation de l’entreprise et l’introduction de la mobilité, transforment les technologies associées en autant de portes ouvertes à la cyber criminalité. Dans un monde devenu malveillant, le pronostic de croissance du marché de la sécurité informatique est à deux chiffres, pour représenter plusieurs dizaines de milliards de dollars dans les années qui viennent. Un point essentiel pourtant : convaincre le board de l’intérêt d’investir préventivement dans la sécurité. Décidément anticiper des risques, même de ce côté de l’atlantique, reste une démarche pour laquelle il faut convaincre. Il faudra tout le talent de Mark Jeffries qui expliquera les principes de base de la communication, pour que les responsables sécurité maximisent leurs chances d’être entendus par le board. Il me semble bien avoir partagé avec vous un sentiment comparable début mai !

Ensuite ce sont les conférences thématiques, et évidemment je choisi celles qui parlent des risques associés aux opérations. Le thème de l’excellence opérationnelle est largement exposé, sous ce nom et sous les angles que nous connaissons : la continuité d’activités, la mitigation des risques d’entreprise, ou les outils de la gouvernance. Je retiens quelques idées qui me semblent essentielles : le lien entre l’Enterprise Risk Management et l’Architecture d’Entreprise (sujet de John Wheeler), ou la nécessité de rapprocher les indicateurs de performance (KPI) de ceux des risques (KRI). C’est le sujet du Risk-Adjusted Value Management développé par Paul E. Proctor.

Bien sûr, je suis impressionné par une forme de gigantisme Américain. Le complexe hôtelier, la logistique, le nombre de participants…. Mais au bout du compte, les entreprises que l’on rencontre, dans les conférences ou sur le stand de MEGA, expriment néanmoins les mêmes préoccupations, recherchent les mêmes types de solutions que celles dont on discute en Europe. De ce point de vue, MEGA à Washington était certainement l’une des solutions crédibles de ce marché mondial.

« Serious Gaming »

10/05/11

Voilà un titre bien contradictoire, tel que me le faisait remarquer un professionnel de l’industrie de la défense, en même temps qu’il m’expliquait ce nouveau concept. “Jouer sérieusement”, c’est utiliser les techniques du jeu vidéo pour simuler, dans un mode réaliste, des systèmes ou des situations actuelles ou futures du monde réel.

Depuis nos domaines d’activités respectifs, nos points de vue convergeaient rapidement sur le fait que le monde de demain serait d’abord virtuel. La complexité et le coût croissant des systèmes que l’homme met en œuvre, associés à l’augmentation de son aversion aux risques, imposent une capacité de simulation préalable à toute implémentation. Il n’est de capacité de simulation qui ne soit fondée sur une capacité de modélisation du système à simuler. De la qualité du modèle dépendra évidemment la qualité de la simulation et donc finalement la qualité de la couverture du risque.

Souvent associées à une spécificité de la culture française, les sciences et les techniques de la modélisation se développent partout dans le monde, comme le support majeur des projets de conception et de transformation de systèmes. Ainsi peut-on voir émerger aux quatre coins du nouveau monde communautaire, des cadres d’architecture dédiés à des projets dont la nature varie de la conception de systèmes industriels, à la transformation ou à la gouvernance d’entreprise.

Compte tenu des enjeux associés à de tels projets, il serait erroné de considérer la mise en œuvre de cadres d’architecture fondés sur de bonnes pratiques de modélisation comme un luxe divertissant. Bien au contraire, c’est aujourd’hui une science de l’ingénieur dont l’usage justifie la plus grande rigueur et le plus grand sérieux. Ne nous privons pas néanmoins du plaisir de sa mise en œuvre, puisse cet Aparté vous en donner envie !

Contradiction et opportunité

23/11/10

Au gré des lectures et des journaux télévisés, l’actualité se remplit de nouvelles affaires de recherche de responsabilités. Laboratoires pharmaceutiques contre tenants de santé publique, patients contre chirurgiens,  familles contre compagnies aériennes, …. La liste est longue pour démontrer l’aversion croissante de nos sociétés au risque. L’idée que la maîtrise de notre destin individuel serait une conséquence de l’évolution, s’installe progressivement. Ce constat discutable n’est pourtant pas la source de la contradiction qui m’interpelle aujourd’hui.

De ces mêmes médias, on apprend également la bonne tenue des places boursières dans le monde et du CAC 40 en particulier. C’est dans l’opposition de ces deux natures d’information que je perçois une contradiction Sociétale.
D’un côté le refus du risque et l’exigence de systèmes de couverture coûteux, de l’autre l’objectif de profitabilité et de rentabilité financière qui engage à en éviter la prise en compte.

Peu à peu et dans tous les domaines, la règlementation apparait comme la solution d’arbitrage de ces antagonismes. Son respect devient progressivement une préoccupation de premier ordre.  C’est certainement vrai pour les automobilistes (alcool, ceinture, vitesse, contrôle technique…..) ça l’est également pour des dirigeants d’entreprise (source étude Mega – Science Po Paris).  Alors comment voir positivement ce qui se vit de fait souvent comme une contrainte ?

Avec le recul et d’un point de vue strictement sociétal, comment trouver inopportunes les règlementations sur la non discrimination, le travail des enfants, ou la protection des seniors ? Est-on choqué par les règlementations sur les polluants, ou la sécurité des installations industrielles ? Voudrait-on remettre en cause les procédures de mise sur le marché des médicaments ? Même si tout cela a un coût,  accordons aux ‘régulateurs’ la prise en compte d’intérêts supérieurs dans la règlementation du fonctionnement de l’humanité.

Il y a fort à parier alors que les règles d’aujourd’hui régiront les grands équilibres de demain, et que leur adoption ne sera pas remise en cause. Est-ce que la conformité dans son ensemble n’est pas tout simplement un problème de développement et de gouvernance durable, bien au-delà des quelques règles qui y sont prétendument consacrées ? C’est la question que je partage avec vous dans cet Aparté.

Quelle Gouvernance ?

14/05/10

J’avais décidé de changer un peu de sujet. J’avais suffisamment développé de points de vue sur la gouvernance d’entreprise dans mes derniers billets. J’avais donc envie de vous parler un peu plus de système d’information, quand l’actualité me fournit les illustrations de mes précédents propos. Encore un billet donc sur la dépendance entre la gestion des risques et les choix de gouvernance d’entreprise.

Dans cette actualité, ce n’est pas tant ‘le talent’ de Jérôme Kerviel ou de Fabrice Tourre à faire trembler l’économie mondiale qui a retenu mon attention, mais bien d’avantage l’effondrement de la plate-forme pétrolière de BP. Cette catastrophe industrielle est d’ailleurs certainement plus parlante pour illustrer la limite de la seule gouvernance financière dans une politique de gestion de risque, que tout autre exemple. Si nous étions dans l’hypothèse de la survenance d’un tel évènement, quel mixte de fonds propres et d’assurance aurait-on simulé ? Nous sommes ici dans le cas typique du risque ‘peu fréquent’ mais ‘très sévère’. Comme pour ‘l’affaire Kerviel’, il y a fort à parier que quelle que soit la rigueur probable de BP dans la modélisation de ses risques, l’ampleur des conséquences ait largement dépassé les capacités des modèles.

La réponse rétrospective à ce qui s’annonce comme une catastrophe écologique majeure, est une fois encore la prévention par les techniques de l’assurance qualité. La future règlementation que l’on évoque conduira à la mise en place de sévères procédures de contrôle sur des instruments de mitigation de risques opérationnels (vannes, tests, essais, …). Ces dispositifs qui visent à réduire la probabilité de survenance et l’ampleur du sinistre, font partie du dispositif d’excellence opérationnelle, qui ne peut être que l’instrument principal de maîtrise des risques.

Dans cet Aparté, et en vous renvoyant à la lecture de mon white paper sur ce thème, je voudrais juste partager avec vous l’idée que , face à son exposition aux risques aucune entreprise n’est assez riche pour faire l’économie d’un sérieux dispositif de mitigation opérationnel. Ne faites pas comme 80% de nos concitoyens, n’attendez pas d’être cambriolé pour vous doter d’un système anti effraction…

White paper - Gestion des risques - F.Tabourot

Quand la finance s’occupe des opérations !

26/03/10

J’avais pourtant décidé de ne pas trop partager mes interrogations sur ce thème. J’avais assisté à suffisamment de conférences, où aucun des spécialistes intervenants n’avait manifesté la moindre réserve sur la pertinence de couvrir des risques opérationnels avec des fonds propres. La chose était donc entendue, pouvoir ‘se payer’ la défaillance des opérations rentrait désormais dans les bonnes pratiques de gouvernance.

Et voila qu’un de mes collaborateurs rentre d’une conférence dans les Emirats et m’annonce que quelques spécialistes occidentaux auraient avoué que ce type de modèles ‘dits avancés’ pourrait bien se révéler être une impasse. Soudainement je me sens rassuré, non pas de ne plus être le seul à avoir douté, mais de ne jamais entendre une hôtesse de l’air nous annoncer que nous pouvons voyager en toute quiétude, puisque que la compagnie dispose bien des fonds propres pour indemniser nos familles en cas d’accident. Qu’aucun concessionnaire automobile ne me parle des liquidités de son constructeur pour répondre à mes questions sur la fiabilité du freinage.

Dans ces règlementations, la première idée qui m’interroge, c’est celle qui consiste à approcher le problème d’abord par la logique financière, c’est l’ordre des facteurs selon lesquels on pousse le management à réfléchir.  La prise en compte de la défaillance des opérations, c’est d’abord une question de qualité de l’exécution des process. C’est une science de l’ingénieur et non des financiers. C’est le calcul de la résistance des matériaux, les contrôles de la fabrication et de sa conformité, pratiqués dans les ateliers qui garantissent l’efficacité du freinage, pas les réserves au bilan. Ensuite, puisque le zéro risque n’existe pas, il convient effectivement de traiter le risque résiduel par une couverture assurantielle.

Sur ce point qui est mon deuxième sujet d’étonnement, qui peut se convaincre que les méthodes de calcul par extrapolation mises au point pour les risques de grands échantillons, s’appliquent aux risques opérationnels ? Que ces simulations sur quelques incidents peu normés dans la déclaration de leur survenance et leur coût auraient le moindre sens ?

Cette fois c’est une question qui est sortie de cet Aparté puisqu’à Dubaï elle était visiblement franchement débattue. Une nouvelle fois, ne ratons pas l’occasion de faire des fonctions support de l’entreprise, et en particulier de l’audit et du contrôle interne, de belles fonctions pour l’excellence opérationnelle. Car si les opérations portent du risque, c’est d’abord et surtout parce qu’elles créent de la vraie valeur.

Attention au bébé !

12/03/10

Que les débuts d’années passent vite ! Trop tard donc pour les bonnes résolutions, et tant pis pour l’année du Tigre. De toute façon, prévisions et planifications ne font plus tellement partie des pratiques à la mode dans le contexte actuel.

Ce qui attire mon attention pour ce billet, c’est la montée au créneau des assureurs, Henri de Castries en tête, contre l’évolution des méthodes de calcul de fonds propres associées à la future réglementation Solvabilité 2. En synthèse le message ‘grand public’ est simple. Les assureurs jouent de l’argent sur les marchés financiers. Avec Solvabilité 2, ils devront augmenter leurs réserves en fonds propres pour couvrir les risques associés. Ces réserves vont réduire leur capacité de présence sur le marché dont les équilibres risquent de se déstabiliser. In fine leur rentabilité étant moins bonne, les assureurs seront contraints à une augmentation significative des primes.

De quoi s’agit-il ? De résister à la volonté du législateur de mieux maîtriser les risques financiers et le risque systémique associé, par extension de la règlementation bancaire Bâle 2 au secteur assurance. C’est l’objet de la règlementation dédiée Solvabilité 2.

Il y aura donc débat sur ce sujet, certainement entre spécialistes reconnus (ou opportunistes), et là n’est finalement pas mon propos. Dans ces règlementations, et dans Solvabilité 2 en particulier, on distingue deux piliers relativement indépendants l’un de l’autre. Au titre du pilier 1, on met en évidence des règles de calcul de réserves en fonds propres pour couvrir les risques. Au titre du pilier 2, on met en place et l’on documente le dispositif de contrôle interne au regard de la cartographie des risques.

Comme l’illustre l’actuel débat médiatique, on comprend que les enjeux associés à chacun de ces piliers ne sont pas exactement du même ordre de grandeur. Pourtant on aurait tort de ‘jeter le bébé avec l’eau du bain’, et de sacrifier la mise en place d’un dispositif de contrôle et d’amélioration permanente des opérations, sur l’éternel autel du débat financier. Cette vision me ramène une nouvelle fois aux enjeux de l’excellence opérationnelle de nos entreprises, et de l’impératif de faire de leurs capacités d’innovation et d’exécution les principaux leviers de création de valeur dans un contexte de spéculation financière incertain.

Au moment où les cycles de retour sur investissement s’allongent, en particulier pour l’actionnaire, la mise en place d’une politique de contrôle interne est une bonne pratique de management qui s’inscrit elle-même dans une politique de développement durable.

J’aurai toujours autant de plaisir en 2010 pour débattre avec vous de ce thème au-delà de cet Aparté.

Tant qu’il y aura des hommes

21/12/09

Je crois que ce sera mon dernier billet de cette année 2009. Quel bilan faire de l’année qui ne soit pas d’abord celui de projets de GRC ?

En 2009, comme nos concurrents et confrères, éditeurs ou consultants, nous avons répondu à une forte sollicitation du marché sur les thèmes de la gestion des risques opérationnels et du contrôle interne. Réponse à de longs questionnaires, démonstrations de solutions, proof of concepts, projets pilotes, sont les activités récurrentes qui ont rempli les calendriers de nos collaborateurs en France. Au bout du compte que reste t-il de toute cette énergie investie au service de cette louable cause ?

Si l’on fait abstraction de tous les projets reportés ou de ceux qui ont tout simplement disparu durant leur cycle d’instruction, le bilan est mitigé. Lorsqu’il s’agit de mettre en place un dispositif de contrôle de l’information financière, un budget pour la compliance est mis en évidence. Mais comme le projet est systématiquement abordé sous l’angle de la contrainte règlementaire, le plus petit est ce budget, le moins douloureux est la « punition ». Lorsqu’il s’agit de mettre sous contrôle les risques opérationnels, donc l’exécution des opérations, l’idée de devoir convaincre dans des contextes de compression budgétaire limite souvent l’ambition du projet.

Il y a néanmoins là une vraie question de fond. Si les comités de Direction et les structures supports qui les assistent, ont du mal à entendre ou à vendre que le point de vue que les opérations et les hommes qui les portent, sont des agents économiques majeurs vis-à-vis de la vraie production de valeur, il faut intensifier nos efforts.

Il faut convaincre les Dirigeants de dégager les budgets qui permettent de responsabiliser les hommes et les femmes de l’entreprise dans des processus d’amélioration permanente en profitant des possibilités offertes par la technologie d’aujourd’hui. Ils doivent savoir tout le profit qu’ils pourraient tirer de tableaux de bord qui leur fournissent des vues simples des points de vue de ceux qui portent le business modèle et l’exécution de la stratégie. Tant qu’il y aura des hommes dans les entreprises –et pour longtemps encore- il y aura un enjeu de compétitivité majeur dans la précision de leur management.

Engager ces budgets c’est maximiser la contribution de l’homme à son entreprise, c’est redonner du sens au rôle même de  l’entreprise. En 2010, avec notre équipe de Directeurs, nous serons à vos cotés pour convaincre vos dirigeants, et aux cotés des dirigeants pour convaincre les actionnaires si nécessaire.

Vive 2010 et excellentes fêtes de fin d’année.

Le temps de la réappropriation de l’organisation

12/11/09

Depuis quelques temps une pensée occupe mon esprit, lorsque j’entends qu’au sein de grandes organisations, des cadres se suicident au bureau. Loin de moi l’idée de produire un billet opportuniste sur un sujet aussi sensible, mais il y a là une concordance de temps qui me pousse à formuler plus précisément la réflexion qui s’élabore en moi.

Pour mon plus grand plaisir, je travaille plusieurs fois par semaine, avec des opérationnels comme des décideurs économiques, sur des sujets de gestion de risques et de contrôle interne. J’entends le poids de la règlementation, parfois le spectre de son risque pénal associé, les contraintes de calendrier, l’absence d’alternative et le passage obligé … et d’une manière générale, que la principale motivation des projets de Gouvernance Risque et Conformité, c’est la contrainte légale.

Je partage le point de vue que l’application de règles de solvabilité, d’éthique ou de déontologie ne peut résulter que d’une obligation, et qu’au nom de l’équilibre économique mondial, il est essentiel de légiférer sur ces sujets. En revanche,  je pense que l’on commettrait une grave erreur, en essayant d’emporter dans le même élan, la gestion des risques opérationnels et leur contrôle interne. En la matière et à cet instant, les opérations et les opérationnels, ont bien d’avantage besoin de motivation que d’obligation.

De quoi s’agit-il en fait ? De cartographier les risques pouvant faire obstacle à l’exécution de la stratégie et d’imaginer les contrôles associés. De déployer, au sein de l’organisation un dispositif d’évaluation de l’efficacité, de proposition et de suivi de plans d’actions, dans le cadre d’une politique d’amélioration continue. Il s’agit donc de faire des collaborateurs de l’entreprise les gardiens de la bonne exécution des processus ainsi que les principaux promoteurs de l’excellence opérationnelle.

Entre les mains du top management des grandes organisations, ces projets de GRC doivent être vus comme une fantastique opportunité de réappropriation des processus, et plus généralement de l’entreprise par les opérationnels. Donner les moyens aux collaborateurs d’être réellement partie prenante de leur organisation, n’est-ce pas l’un des enjeux sociaux-économique majeur du capitalisme moderne ? C’est encore une question qui dépasse le cadre de cet Aparté

Bonnes résolutions

11/09/09

Fin des vacances, retour au bureau. Avant de replonger dans les bonnes résolutions pour le dernier tiers de l’année, je fais rapidement le bilan de mes objectifs d’été. J’avais quelques projets d’écriture et d’autres de lecture, objectifs tenus.

Je rentre avec la confirmation que la préoccupation dominante des pratiques de gestion des risques, telles qu’elles sont publiées dans les ouvrages de référence, ou débattues au sein des organisations professionnelles, est incontestablement, la garantie de solvabilité de l’entreprise face à son exposition aux risques (en particulier pour les entreprises financières). Toujours pas le moindre chapitre dédié à la gouvernance de l’excellence opérationnelle !

La méthode d’évaluation du risque et surtout de comptabilisation dans un contexte règlementaire, reste un exercice de spécialiste de la statistique, de la comptabilité et de la règlementation. A ce sujet et si vos congés vous ont été suffisamment profitables pour le moral, vous pouvez lire « la crise et après » de Jacques Attali qui explique simplement certains de ces mécanismes pourtant complexes. Dans cette vision, si les risques résultent de l’exécution des opérations, ils n’ont d’intérêt que pour l’évaluation de leur contrepartie en ‘capital at risk’ issue de leur modélisation mathématique. ‘Cartographie’ et ‘modélisation’ ne sont ici que des faux amis sémantiques qui ne font pas référence à des compétences d’organisateurs. En revanche, ce qu’il convient d’organiser et de doter d’un système d’information dédié, c’est si nécessaire, la collecte des incidents utiles à l’élaboration du modèle, et certainement le dispositif de contrôle qui garantit sa bonne mise en œuvre. Ce sont donc des problèmes bien différents en compétence comme en outillage et certains débats ‘GRC’ gagneraient en clarté en ne faisant pas l’économie de préciser les objectifs entre modélisation mathématique des risques et organisation du contrôle interne.

Cette écrasante vision courante qui ne justifie les pratiques de gestion de risques qu’au titre de la préservation du modèle économique mondial, ne laisse rien à ceux qui dans les opérations, chaque jour travaillent à l’excellence opérationnelle de l’entreprise. Si la domination de la culture du financier continue d’occuper tout l’espace y compris jusqu’au concept de gouvernance, qui réinventera le Taylorisme, le juste à temps, les flux tendus, la mise en ilots, l’agilité des processus…, pour faire que l’entreprise de demain réponde à sa nécessaire mission socio-économique ?

C’est un sujet qui doit sortir de cet Aparté, et je prends la nouvelle bonne résolution de tout faire pour y contribuer.