Cartographie des risques :

Convaincre et faire participer sa Direction Gnrale cet exercice de management

Rencontres Amrae - Nice Rencontres Amrae - Nice 15 janvier 2004 15 janvier 2004

Frdric DHERS,, Corporate Risk Management, Groupe Thales Corporate Risk Management, Groupe Thales Pierre-Alexandre BAPST,, Associ, Ernst & Young BRS Associ, Ernst & Young BRS
1

Sommaire
Dfinition Thales Convaincre Faire participer Exemple de projet Feedback Conclusion : positionnement du Risk Manager

Dfinition
Document permettant de recenser les principaux risques dune organisation et de les prsenter synthtiquement sous une forme hirarchise Par extension, dmarche globale dvaluation des risques Sous-jacent : point de dpart/dancrage daction de gestion des risques (et non fin en soi)
3

CONVAINCRE

Objectifs naturels
Identification des risques
Dfinition de risques , lien avec les objectifs et la valeur de lentreprise Primtre des travaux Normalisation du vocabulaire (langage commun, dfinitions, )

Mesure et hirarchisation
Nature (dobjective subjective), prcision, mode de mesure, faut-il quantifier ? Quels critres de tri (impact, probabilit, volatilit, niveau de matrise, .) Seuils de significativit Possibilits de suivi et de traabilit

Analyse et sourcing
Diagnostic sur les causes ou sur les consquences ? Possibilit de pooling

Aider engager des actions

Plans daction oprationnels (dont cartographies plus dtailles) Plan daudit Risk Management Reporting, contraintes lgales

Objectifs managriaux
Organiser la transversalit : les changes dinformations, la confrontation des points de vue (oprationnels, fonctions transverses) sont un des aspects majeurs de la dmarche La formalisation dun langage commun et consensus sur une vision globale des enjeux Avoir une approche managriale et pas seulement technique (la subjectivit ne doit pas tre un frein pour ne pas faire ) Sensibilisation et appropriation par le management dun tat desprit risque (orient plans daction et balance risque/opportunit) Focalisation sur les plans dactions sur les sujets majeurs (approche par exception et complmentaire de ce qui existe : pas une couche de plus)
6

Incitations externes
Attention croissante la corporate governance Sarbanes Oxley Act (USA => mais tous les foreign registers) :
404 : valuation par les dirigeants des contrles internes sur ltablissement des tats financiers (tous les risques pouvant avoir un impact sur les tats financiers, dclinaison fine par processus). Formalisation des dispositifs (dont procdures), analyses de lefficacit : valuation et tests. Rapport de la DG. Attestation annuelle des auditeurs externes. 302 : attestation par les dirigeants sur lefficacit des disclosure controls and procedures par le PDG et le DAF.

Loi de Scurit Financire (Toutes les SA, France)

Rapport du Prsident qui rend compte des procdures de contrle interne mises en place par la socit (tous les risques ?) Rapport du CAC sur le rapport du Prsident pour celles des procdures de contrle interne qui sont relatives llaboration et au traitement de linformation comptable et financire .

Exigence de communication sur les risques de lmetteur (recommandation COB)

7

Attentes de la place en matire de communication sur le dveloppement durable (et le traitement des risques lis).

THALES EN PARTICULIER

Changement dactionnariat Croissance externe: Racal, Magellan - JV: ADI, Samsung

BESOIN DUN OUTIL DIDENTIFICATION DES Mgt multiculturel. Comptences cls: matrise duvre, Mgt de projet, RISQUES
Expansion gographique (USA, Core du Sud, Australie, R.U.)

Types de produits & activits: GPS, Smart cards, E-commerce, intgration systmes

Rglementation (Corporate Governance, thique - OCDD, SEC - Turnbull, KonTrag, NRE, LSF)
8

Freins
Objectifs peu clairs, non partags: besoin de comprendre et valider objectifs de chacun et de bien communiquer entre toutes les parties prenantes du projet. Cots/temps passer par les oprationnels: besoin doptimiser organisation, planning et mthodologie du risk mapping. Image du projet parachut Corporate . Clart des interfaces avec les autres actions en cours (audit, qualit, .): redondance et concurrence. A priori et disponibilits du sponsor en amont et pendant le projet. Gestion de la confidentialit. Capacit dune quipe projet interne, rticence faire participer des externes. Valeur ajoute finale (plan dactions) au mains des oprationnels (plus tard)
9

FAIRE PARTICIPER

10

Mthodes
Approches par auto-valuation (oprationnels et dirigeants)
Lien naturel objectifs / risques, connaissance des activits et donc des risques lis Par interviews, sondages/questionnaires, individuels ou en groupe Page blanche et/ou questionnement dirig Ateliers de travail, dynamique de groupe, validation et appropriation des rsultats

Approche par analyse et synthse rationnelle des risques

Comparaisons sectorielles, benchmarking , tude historique (accidents, ) Documentation existante (services daudit, assurances, risk managers, ) et analyses de donnes chiffres Experts par mtiers, par nature de risques Revue exhaustive de listes de risques types

Points dentre
par les objectifs et ple de valeur, par les processus Par natures de risques spcifiques

Macro-cartographie (stratgique), cartographies dployes (oprationnelles) : top down et bottom-up

11

Principe : 4 phases

> Organisation > Mthodologie > Communication

> Identification des risques >Construction du risk model

> Hirachisation

> Synthse > Plans daction

12

Exemple de plan de projet

Analyse prliminaire des risques
Preparation
E
Competitor

Validation et hirarchisation
Synthse Atelier

Customer Wants Legal

Technological Innovation Regulatory

Sensitivity

Shareholder Relations Capital Availability Financial Markets Catastrophic Loss

Sovereign/Political

Industry

P
OPERATIONS Customer Satisfaction Human Resources Knowledge Capital Product Development Efficiency Capacity Performance Gap Cycle Time Sourcing Channel Effectiveness Partnering Compliance Business Interruption Product/Service Failure Environmental Health and Safety Trademark/Brand Erosion

S S

K
FINANCIAL Interest Rate Price Currency Equity Commodity Financial Instrument

EMPOWERMENT Leadership Authority/Limit Outsourcing Performance Incentives Change Readiness Communications INFORMATION PROCESSING/ TECHNOLOGY Relevance Integrity Access Availability Infrastructure INTEGRITY Management Fraud Employee/Third Party Fraud Illegal Acts Unauthorized Use Reputation

Liquidity

Cash Flow Opportunity Cost Concentration

Business Risk Model et benchmarks Data bases

Credit

Default Concentration Settlement Collateral

IN FOR M ATIO N FO R DEC ISIO N MA K IN G RISK

PROCESS/OPERATIONAL Product/Service Pricing Contract Commitment Measurement (Operations) Alignment BUSINESS REPORTING Budget and Planning Accounting Information Financial Reporting Evaluation Taxation Pension Fund Investment Evaluation Regulatory Reporting ENVIRONMENT/STRATEGIC Environmental Scan Business Model Business Portfolio Valuation Organization Structure Measurement (Strategy) Resource Allocation Planning Life Cycle 2000 Arthur Andersen. All rights reserved.

Business Risk Model de lorganisation

correspondants de l'entreprise Questionnaires et interviews

Cartographie

13

EXEMPLE DE PROJET

Approche light Approche light Forte implication des managers :: en qualit, pas en temps Forte implication des managers en qualit, pas en temps quipe projet :: facilitateur, apport dexpertise et synthse quipe projet facilitateur, apport dexpertise et synthse NOTE // slides caches pour des motifs de confidentialit NOTE slides caches pour des motifs de confidentialit
14

Thales BG XX Risk Mapping Organisation

Goals & Objectives
Organize the Risk Map project Obtain a preliminary analysis of business and risk model

Project Phase
ExCom meeting (CEO) Transmission of questionnaires to be completed (via E-mails)

Mgt Time involvement

45 minute presentation 1hr to fill in and return to Thales IRM

Date & Location

19/02 ExCom Cheston Transmission on 24/02 Questionnaire due 10/03 10, 11 or 12 /03 Cheston 18, 19 or 20/03 Houston Conf or Visio call for Asia on 12, 13 /03 from Paris

Further analyse listed risks & obtain initial elements of evaluation and control for them

Self diagnosis via individual interviews with key Managers

2 hr meeting

Build the Business Risk Model

Consolidation of all identified risks by the Project team led by Thales IRM List of critical generic risks identified by Top Management and sent to CEO Workshop

1/2 a day for the XX representative within the project team 1 hr for the CEO

Consolidation on 26/03 Paris

Validate the Business Risk Model*

Validation date by 28/03

Prioritize critical risks identified

A full day = 1/2 a day to finalize the Business risk model + 1/2 a day for prioritisation Nil

2/04, Edinburgh

Obtain a Risk Map of XX

Final report drafted by Thales IRM

By 15/04

15

Exemple dactions de suivi

STEPS Quick Action plans Risk drivers identification
Identify the root causes of specific risk Identify potential interrelations between such causes

Interrelations risk analysis

Risk strategies Analysis

Analyse current strategies in place used to monitor risks

Key performance indicators

Identify relevant KPIs for each risk when applicable to support the monitoring and reporting steps of the Risk Management process Define the most appropriate strategy to reduce risk exposure based on results of the risk strategy analysis Monitor improvement made on risk management effectiveness Scorecard on risk management for top management

Objective

Implement actions or procedures in a short term perspective in order to reduce current exposure

Identify if interrelations exist between risks

Perform a gap analysis Define target risk map to determine appropriate resources to monitor risks.

Improve project awareness and image

Benefits

Improve risk management effectiveness by implementation of appropriate quick actions which will reduce in an immediate manner BG exposure

Identify priorities in terms of urgency for causes treatments Better allocation resources

Better allocation of Define the most resources for risk appropriate strategy to management effectiveness purpose reduce risk exposure based on results of the Identify priorities for risk strategy analysis treatments

Suggested Tools

Workgroup can be set up with roles and responsibilities to investigate on major risks identified by the participants. Action plans follow up database

Focus groups with technology

List of potential strategies to deal with in order to reduce exposure to an acceptable level Definition of target risk map for maximisation of resources allocation

To be defined

16

FEEDBACK

17

Commentaires des oprationnels

Niveau Sponsor/DG :
Bon thme dun exercice de management : un vrai sujet, une bonne approche largissement de la notion de risque pour mes quipes : aptitude faire face aux risque externes, attention accrue aux risques dorigine interne dans nos propres processus Napprends pas grand chose, mais formalise efficacement Permet de se poser la question dune approche globale : organisation + mthode + savoir faire + volont + arbitrages/moyens Exercice de communication entre nous : faire ressortir ce que chacun pense sans oser le dire Permet danticiper des dossiers mieux prpars pour budgets, comits dinvestissement MAIS : La politique de lautruche nest-elle pas parfois souhaitable ? Lexercice sarrte l ou cela devient intressant (plans dactions) ? Analyse risques redondante avec contrle de gestion oprationnel (risques lis linefficacit de nos processus internes). Focaliser plus sur les scnarii de rupture ?
18

Commentaires des oprationnels

Niveau participants :
Enfin une occasion de dbattre ensemble sur des sujets transverses Bonne occasion de remettre la pression sur des risques banaliss (scurit, confidentialit, ) Permet de faire passer des messages clairs la DG sur les arbitrages que nous avons du mal faire (ex: objectif de rsultat vs politique de maintenance) Identification de sujets communs : permet de conforter des sentiments diffus sur des vulnrabilits (ex : politique de sous-traitance et gestion des oprations dlgues) Dmarche utile (identification/hirarchisation/plans de traitement cibl) que nous allons rpliquer en units plus petit niveau Permet davoir le support du sige sur des sujets moins couverts : assurances spcifiques, gestion de crise MAIS : Comment affiner le diagnostic (sujets encore trop vastes), mettre jour ltude, Quels moyens pour mettre en place les actions correctives identifies ? Faut-il en faire plus que nos concurrents sur ce domaine ? Des cots, quels rsultats en face in fine ?

19

CONCLUSION

20

Impact sur le positionnement du Risk Manager

Permet de se positionner en fdrateur sur un grand nombre de sujets Corporate, voire stratgiques lve le process de Risk Management au plus haut niveau managrial Replace le sujet assurance dans une logique globale de financement de risques et concourt ainsi souligner la valeur ajoute dune ingnierie dassurance. Permet de promouvoir les ides de prvention (sites industriels) Renforce la communication verticale et horizontale du Risk Manager (Dept.) au sein de lentreprise. Cre naturellement un rseau de correspondants ou local risk managers sur lequel appuyer une politique de Risk Management
21

Cartographie des risques :

Convaincre et faire participer sa Direction Gnrale cet exercice de management
Rencontres Amrae - Nice Rencontres Amrae - Nice 15 janvier 2004 15 janvier 2004

Frdric DHERS,, Corporate Risk Management, Groupe Thales Corporate Risk Management, Groupe Thales Pierre-Alexandre BAPST,, Associ, Ernst & Young BRS Associ, Ernst & Young BRS
22