Le présentateur parlera du processus de management du risque et des exigences de cette mise en œuvre, également vous allez comprendre la documentation nécessaire afin de pouvoir gérer le risque dans une organization
Ce webinar abordera les points suivants :
• De quoi faut-il disposer pour mettre en place le processus de management des risques ?
• Comment préparer la feuille de route de la mise en place du management des risques ?
• Les parties prenantes dans le processus de management des risques
• Le socle documentaire du management des risques en entreprise
• Les écueils à éviter
Presenter:
Zied Boudriga est: Directeur des risques opérationnels et Marchés au sein de l’Arab Tunisian Bank, formateur accrédité par PECB, directeur du « Tunisia GARP chapter » (Global Association Of Risk Profesionals), président de l’Association Tunisienne du Management des Risques et du Contrôle Interne.
Link of the recorded session published on YouTube: https://youtu.be/mCOqsOe4LBY
L’organisation et la formalisation du management des risques selon l’ISO 31000
1.
2. Zied BOUDRIGA
Zied Boudriga est: Directeur des risques opérationnels et Marchés au sein de
l’Arab Tunisian Bank, formateur accrédité par PECB, directeur du « Tunisia
GARP chapter » (Global Association Of Risk Profesionals), président de
l’Association Tunisienne du Management des Risques et du Contrôle Interne
Contact Information
+ 216 97 348 931
boudriga.zied@hotmail.com
linkedin.com/in/zied-boudriga-06131412/en
3. 3
De quoi faut-il disposer pour mettre en place le processus de
management des risques ?
Comment préparer la feuille de route pour la mise en place du
management des risques ?
Les parties prenantes dans le processus de management des risques.
Le socle documentaire du management des risques en entreprise.
Les clés de réussite.
Au cours de ce webinar
4. 4
Le risque majeur
c’est de ne pas mettre en place un processus
de management des risques efficace
6. La famille ISO 31000
6
ISO 31000
ISO 31004
ISO 31010
Management du risque – Principes et lignes directrices:
fournit des principes, un cadre et des lignes directrices
pour gérer toute forme de risque. Cette norme peut
être utilisée par tout type d'organisme sans distinction
de taille, d'activité ou de secteur
ISO 73
Management des risques – vocabulaires: fournit les
définitions de termes génériques relatifs au
management du risque
Management du risque -- Lignes directrices pour
l'implementation de l'ISO 31000: propose aux
organismes des lignes directrices de management
efficace du risque par la mise en oeuvre de l'ISO
31000:2009.
Management des risques – Techniques d‘appréciation
des risques norme d'accompagnement de l'ISO 31000 et
fournit des lignes directrices permettant de choisir et
d'appliquer des techniques systématiques d'évaluation
des risques
7. La norme ISO 31000 - 2009
C’est un cadre générique d’ISO pour toutes les normes liées au management
du risques (environnement, santé, sécurité et qualité etc.).
7
Fournit des principes et des lignes directrices générales sur le management des
risques.
Peut s’appliquer à tout type de risque, quelle que soit sa nature.
N’a pas pour vocation de servir de base de certification.
8. La ISO relative au risque
o ISO 73 – 2009 : Management du risque - Vocabulaire
8
o ISO 31000 - 2009 : Principes et lignes directrices de mise en œuvre.
o ISO 31010 – 2009 : Gestion du risques – techniques d’évaluation du risque.
o ISO 31004 – 2013 : Management du risque - Lignes directrices pour
l’implémentation de l’ISO 31000 .
9. C’est un cadre générique d’ISO pour toutes les normes liées au management
du risques (environnement, santé, sécurité et qualité etc.).
9
Fournit des principes et des lignes directrices générales sur le management des
risques.
Peut s’appliquer à tout type de risque, quelle que soit sa nature.
N’a pas pour vocation de servir de base de certification.
La norme ISO 31000 - 2009
10. o ISO 73 – 2009 : Management du risque - Vocabulaire
10
o ISO 31000 - 2009 : Principes et lignes directrices de mise en œuvre.
o ISO 31010 – 2009 : Gestion du risques – techniques d’évaluation du risque.
o ISO 31004 – 2013 : Management du risque - Lignes directrices pour
l’implémentation de l’ISO 31000 .
o ISO 27005 – 2011 : Technologies de l'information -- Techniques de sécurité --
Gestion des risques liés à la sécurité de l’information.
La famille ISO relative au risque
11. Etablissement du contexte
Identification des risques
Analyse des risques
Évaluation des risques
Traitement des risques
Surveillance
Communicationetconcertation
Appréciation des risques
11
Le processus de management des risques selon l’ISO 31000
12. 12
Pour avoir un management des risques efficace, il convient qu'un
organisme respecte, à tous les niveaux, les 11 principes énoncés par la
norme ISO 31000:2009.
Les principes
13. 13
Les principes -suite-
Le principe Le comment
Le management du risque crée de la
valeur et la préserve.
Le management du risque contribue
de façon tangible à l'atteinte des
objectifs et à l’amélioration des
performances.
Le cadre organisationnel de
management des risques.
14. 14
Les principes -suite-
Le principe Le comment
Le management du risque est
intégré aux processus
organisationnels.
Le management du risque n'est pas
une activité indépendante séparée
des principales activités et
principaux processus de l'organisme.
La formalisation du processus de
management des risques.
15. 15
Les principes -suite-
Le principe Le comment
Le management du risque est
intégré au processus de prise de
décision.
Le management du risque aide les
décideurs à faire des choix
argumentés, à définir des priorités
d’actions et à choisir entre différents
plans d'action.
Les tableaux de bords de
management des risques.
La cartographie des risques.
16. 16
Les principes -suite-
Le principe Le comment
Le management du risque traite
explicitement de l’incertitude.
Le management du risque tient
compte, de manière explicite, des
incertitudes, de la nature de ces
incertitudes, et de la façon dont elles
peuvent être traitées.
Les bases données des incidents.
Les analyses statistiques.
Les simulations.
17. 17
Les principes -suite-
Le principe Le comment
Le management du risque est
systématique, structuré et utilisé en
temps utile.
Une approche systématique, en
temps utile et structurée du
management du risque contribue à
L’efficacité de la démarche et à la
cohérence de résultats comparables
et fiables.
La cartographie des processus.
La technique hélicoptère.
18. 18
Les principes -suite-
Le principe Le comment
Le management du risque s’appuie
sur la meilleure information
disponible.
Les données d’entrée du processus
de management du risque reposent
sur des sources d’information,
comme des données historiques,
l’expérience, les retours
d’information des parties prenantes,
les observations, les prévisions et les
avis d’experts.
Le processus de communication.
Les bases de données.
19. 19
Les principes -suite-
Le principe Le comment
Le management du risque est
adapté.
Le management du risque s’aligne
sur le contexte externe et interne de
l’organisme et son profil de risque.
Déterminer le périmètre
d’application du processus de
management des risques.
20. 20
Les principes -suite-
Le principe Le comment
Le management du risque intègre
les facteurs humains et culturels.
Le management du risque permet
d’identifier les aptitudes, les
perceptions et les intentions des
personnes externes et internes
susceptibles de faciliter ou de gêner
l’atteinte des objectifs de
l’organisme.
Réaliser les actions de formation
et de sensibilisation à tout de
l’organisation.
21. 21
Les principes -suite-
Le principe Le comment
Le management du risque est
transparent et participatif.
L’implication appropriée et en temps
voulu des parties prenantes, et
notamment des décideurs à tous les
niveaux de l’organisme, garantit que
le management du risque reste
pertinent et actuel.
Identification des parties
prenantes et des parties
intéressées.
22. 22
Les principes -suite-
Le principe Le comment
Le management du risque est
dynamique, itératif et réactif au
changement.
Le management du risque perçoit
continuellement les changements et
y répond.
Identifier les changements au
niveau du contexte interne et
externe de l’organisation.
La mise à jour de l’organisation
relative au management des
risques.
La mise à jour du cycle
documentaire.
23. 23
Les principes -suite-
Le principe Le comment
Le management du risque facilite
l’amélioration continue de
l’organisme.
Il convient que les organismes
élaborent et mettent en œuvre des
stratégies visant à améliorer leur
maturité en matière de
management du risque, comme
pour tous les autres aspects de leur
organisation.
La grille de maturité des
processus.
L’adoption de la roue de Deming.
24. 24
De quoi faut-il disposer pour mettre en place le
processus de management des risques ?
26. 26
Le postulat
Il faut tout d’abord une volonté de la Direction
Générale en relais d’un choix sans équivoque du
Conseil d’Administration pour développer une
véritable culture de management des risques.
28. 28
Définition processus
Ensemble d'activités corrélées ou en interaction qui transforme des
éléments d’entrée en éléments de sortie en utilisant de moyen apportant
de valeur ajoutée.
Les éléments d'entrée d’un processus sont généralement les éléments
de sortie d'autres processus.
Les moyens utilisés peuvent inclure le personnel, les finances les
installations, les équipements, les techniques et méthodes etc.
30. 30
Approche processus
Comprendre et piloter des processus en interaction comme un
système.
Maîtriser les interactions et interdépendances entre les processus du
système de telle sorte que les performances globales de l’organisme
puissent être améliorées.
Le management des processus et du système dans son ensemble peut
être réalisé en appliquant le cycle PDCA.
32. 32
Etape de l’approche processus
Identification / classification des processus.
Formalisation / Description de chaque processus.
Adapter à l’organisation.
Piloter, Surveiller, Mesurer, Améliorer les processus.
33. 33
Maturité processus
Capability Maturity Model (CMM) Modèle de maturité de la capacité
Le modèle CMM s’applique à l’industrie du logiciel et décrit les éléments
clefs d'un processus efficace de développement logiciel. La dernière
version ajoute la notion d'intégration pour donner le CMMI.
Dans les années 1980, le DoD (Department of Defense) américain a
demandé l’élaboration d’un référentiel de critères lui permettant d’évaluer
ses fournisseurs de logiciel.
34. 34
Maturité processus
Après une lente maturation, le SEI (Software Engineering Institute) financé
par le DoD a présenté en 1991 le Capability Maturity Model (CMM). Ce
modèle de référence ne concerne que les bonnes pratiques du génie
logiciel.
En 2001, le SEI a proposé une nouvelle version de son modèle, le CMMI
(Capability Maturity Model Integration). La version actuelle du modèle a
été réactualisée en 2006 (version 1.2).
36. 36
Maturité processus -suite-
0. Inexistant : Absence totale du processus. L’organisation n’a pas
conscience qu’il s’agit d’un problème à étudier.
1. Initialisé : L’organisation a conscience de l’existence du problème et de
la nécessité de l’étudier. Il n’existe toutefois aucun processus formalisé,
mais des approches dans ce sens tendent à être appliquées
individuellement ou au cas par cas. L’approche globale du management
des risques n’est pas organisée.
37. 37
Maturité processus -suite-
2. Reproductible : Un processus de management des risques s’est
développé. Il n’y a pas de communication formalisées, on se repose
beaucoup sur les connaissances individuelles et l’engagement de certaines
personnes, d'où une probabilité d’erreurs.
3. Défini : Le processus de management des risques est formalisé et
communiqué via des session de formation. Il existe des lignes directrices et
une planification de l’amélioration du processus en ligne avec les objectifs
d'affaire de l'organisation. Les parties intéressées sont conscients de leurs
responsabilités.
38. 38
Maturité processus -suite-
4. Manager : Le processus de management des risques est en constante
amélioration et correspond aux bonnes pratiques.
5. Optimisé : Le processus a atteint le niveau des meilleures pratiques
suite à une adoption des cadres de références tels que la norme ISO 31000
ou le COSO II.
40. 40
Définition projet
Selon l’ISO 21500:
« Ensemble unique de processus, constitués d’activité coordonnées et
maîtrisées ayant des dates de début et de fin et entreprises pour atteindre
les objectifs du projet »
Management projet:
« Ensemble unique de processus, constitués d’activité coordonnées et
maîtrisées ayant des dates de début et de fin et entreprises pour atteindre
les objectifs du projet »
41. 41
Définitions -suite-
Chef de projet:
Le Chef de Projet est au service d’un projet et à la tête d’une équipe : il est
le responsable et le garant de l’atteinte des objectifs et du respect des
contraintes de coûts, qualité, délais, du projet qui lui est confié.
42. 42
Les processus d’un projet
L'ISO 21500 répartit les processus d’un projet en cinq groupes :
Initiation Planification
Maîtrise
Exécution
Clôture
43. 43
Management projet
Management projet l’application des:
- connaissances,
- compétences,
- outils,
- méthodes,
aux projet pour atteindre les exigences et les objectifs fixées.
L’ISO 21500:2012 fournit des recommandations en matière de
management de projet et peut être utilisée par tout type d’organisation,
qu’elle soit publique, privée ou sous forme associative, ainsi que pour tout
type de projet, quelle que soit sa complexité, sa taille ou sa durée.
50. 50
Feuille de route
Feuille retraçant l’itinéraire d’un parcours.
Elles décrit les actions nécessaires à la mise en place du dispositif de
management des risques.
Elle matérialise le plan du projet « mise en place dispositif management
des risques » .
55. 55
Conseil d’Administration
Supervise la maîtrise des
risques
Comité des Risques
Assiste le CA dans son rôle
de supervision
Comité d’Audit
Assiste le CA dans son rôle
de supervision
Direction Générale
Définit les orientations
Pilote les démarches et
contrôle
Management
Met en œuvre la gestion des
risques
Rapporte à la DG
Opérationnels
culture de risque
Gestion des risques
Structure Risk
Management
• Pilote le processus de
management des
risques
• Elabore la
cartographie des
risques
• Etablit les tableaux de
bords
• Anime la démarche
RCSA
• Prépare des
reportings
• Apporte un support
méthodologique
Structure Audit Interne
Donne l’assurance de
l’efficacité des processus
de contrôle interne et de
management des risques
et propose leur
amélioration
57. 57
Les documents nécessaires au management des risques
1. La formalisation du processus de management des risques.
2. Les notes internes de création des structures chargées de
management des risques.
3. La charte de contrôle interne.
4. La stratégie globale de management des risques.
5. La déclaration d’appétence pour les risques.
6. Les politiques spécifiques de management de chaque risque.
7. Les procédures.
8. Les tableaux de bord des risques.
9. Les reportings sur les risques.
58. 58
La formalisation du processus de management des risques
• Introduction
• Objectifs
• Référentiels
• Domaine d’application
• Termes et définitions
• Éléments d’entrée
• Éléments de sortie
• Facteurs clés de succès
• Indicateurs clés de performance
• Synoptique
• Descriptif
• Acteurs
59. 59
Les notes internes de création des structures chargées de
management des risques
• Le comité des risques au niveau du conseil d’administration
• Les comités pour chaque catégorie des risques au niveau de l’organisation
• La structure de management des risques
60. 60
La charte de contrôle interne
• Préambule
• Principes et instruments de contrôle interne
• Définitions
• Les activités de contrôle et ses typologies
• Les principes et les responsabilités
• Les acteurs du système de contrôle interne
• Le Conseil d’Administration, la Direction Générale et les Comités
61. 61
La stratégie globale de management des risques
• Préambule
• Principes de management des risques
• Objectifs de la stratégie globale des risques
• Stratégie de management de chaque catégorie des risques
• Stratégie de management de continuité d’activité
• La culture de risque
62. 62
La déclaration d’appétence pour les risques
• Définition et objectifs
• L’appétence au risque de crédit
• L’appétence aux risques des marchés
• L’appétence au risque opérationnel
• L’appétence au risque de liquidité
• Les politiques des risques
• Les risques autorisés
Les risques acceptés
Les risques non acceptés
63. 63
Les politiques spécifiques de management de chaque risque
« La politique de management des risques est une déclaration des
intentions et des orientations générales d’un organisme en relation avec le
management du risque. »
64. 64
Les procédures
• Procédure déclaration des incidents
• Procédure élaboration de la cartographie des risques
• Procédure RCSA
65. 65
Les tableaux de bord des risques
• Introduction
• Indicateurs clés de performance et indicateurs clés de risque
• Contribution du concept de tableau de bord au management des risques
• Démarche d’élaboration d’un tableau de bord des risques
66. 66
Les reportings sur les risques
• les analyses
• les rapports d’activités
• les plans d’action
• etc.
68. 68
Les clés de réussite
1. Donner du temps au temps
2. Adopter une approche systémique
3. Adopter une démarche participative
4. Savoir communiquer avec les parties prenantes
5. Gérer la résistance au changement
6. L’appui de la hiérarchie à tous les niveaux contribuera à l’acceptation
de la responsabilité et à une participation proactive
69. 69
Les clés de réussite -suite-
7. Confier la gestion des risques aux propriétaires des risques
Ceux qui génèrent et vivent avec les risques DOIVENT être ceux qui les
gèrent; ce DOIVENT sont eux les vrais risque managers.
8. Parler risque - une même langue
Il est impératif de trouver un langage et d’un cadre de référence
cohérents pour communiquer et rendre compte et pour mettre en
œuvre la gestion des risques.
9. Faire appel à des experts consultants externes pour
l’accompagnement dans la conception et la mise en place.
10. Etre certifier ISO 31000 – Risk Manager.
70. Merci pour votre attention
?
Contact Information
+ 216 97 348 931
boudriga.zied@hotmail.com
linkedin.com/in/zied-boudriga-06131412/en