De récents évènements (phénomène neigeux, catastrophe nucléaire …) montrent toujours la présence de problématiques non réglées dans la gestion des infrastructures ou zones critiques à multiples intervenants, soumises à des impératifs de protection et/ou de gestion de crise.

Sont naturellement concernées les nouvelles  « ZIV – PIV » (« zone et point d’importance vitale », concept déployé en France en remplacement des « sites sensibles »), mais également toute entreprise privée dont la taille ou l’implantation présente des similitudes avec ces sites critiques (démarche d’anticipation « intelligence économique »).

Au-delà, c’est également lors de la gestion d’une crise beaucoup plus générale (touchant une ville, une région… ) que ces problématiques sont présentes et amplifiées.

1. Comment prendre en compte le périmètre « réel » de la zone concernée,  l’émergence de la notion d’ « entreprise étendue » (mobilité, recours à l’externalisation, internationalisation des équipes …). La prise en compte de la protection ne se limite plus aux limites géographiques du lieu.  Une gestion de crise révèle souvent de fortes dépendances insoupçonnées ou simplement mal évaluées! (fournisseurs – sous-traitants – éléments externes ponctuels – acteurs influents – réseaux…).

2.       Comment avoir une approche globale de la protection (au quotidien) et de la situation (gestion de crise) : nécessité d’une vision globale de la zone, des moyens déployés, de l’évolution, pour tous les acteurs sensés intervenir.

3.       Comment assurer une communication efficace entre les intervenants.  Une situation dégradée révèle l’inefficacité de certains réseaux (GSM le plus souvent saturé lors d’une crise majeure ou dans des environnements difficiles). Il est nécessaire d’envisager la mise en œuvre d’un réseau virtuel projetable sécurisé, souple et sécurisé, assurant la disponibilité permanente des informations en tous lieux, pour une liste modulable d’acteurs.

4.       Sans système global d’information, comment assurer l’interopérabilité entre les systèmes d’information des différents acteurs. Comment permettre un stockage de l’importante masse d’informations (de flux et de stock), et son exploitation. Comment associer ce stockage à une représentation (visualisation) simplifiée, instantanée, adaptée, sélective, en tous lieux (nécessité de prise en compte des facteurs humains dans les IHM (interfaces hommes-machines) des logiciels de sécurité globale).  Cette masse d’informations regroupe la vidéosurveillance, la réalité augmentée (association de données de flux et de stock), la géolocalisation (indoor et outdoor), les capteurs des barrières de sécurité et de sûreté, les indicateurs de prévention, de détection, de réaction, qualitatifs et quantitatifs, de sécurité et de sûreté (tableau de bord et outil d’audit), outil statistique et d’aide à la gestion des risques… Vient ensuite l’organisation du fond documentaire nécessaire au soutien à l’analyse, pour tendre vers une véritable aide à la décision et vers un système expert.

5.       Comment réduire le coût élevé de l’information, tout en améliorant l’efficience du système.

Vers un système global d’information …

Comme la gestion d’une crise générale (phénomène neigeux sur une région), la protection des infrastructures critiques est le plus souvent assurée par de multiples intervenants, aux missions et compétences territoriales différentes mais complémentaires. Cette multiplication des procédures individuelles, des systèmes et des moyens, est de nature à augmenter le coût lié à cette importante nécessité de sécurité/sûreté, tout en réduisant l’efficience.

En effet, afin d’anticiper et être en mesure de résoudre les problèmes en optimisant l’emploi des moyens, une vision globale de la sécurité/sûreté est indispensable à tous les acteurs dans les missions habituelles quotidiennes.

Par ailleurs, la gestion de crise est une activité «multi-participants» par excellence qui nécessite une «dynamique de groupe», un support d’information commun fiable et des outils d’aide à la décision. Dans ce cas, le système informatique doit pouvoir répondre à des besoins d’information, d’organisation, de coordination et de conduite d’opérations, tout en permettant une approche globale de la problématique, compréhensible par chaque intervenant concerné (représentation rapide et efficiente de l’information de flux et de stock). La «dynamique de groupe» peut être améliorée par un travail de partage et de mutualisation au quotidien autour d’un système d’information commun.

La mutualisation parait être un moyen pour parvenir à réduire les coûts, notamment par une interopérabilité innovatrice des systèmes : la solution logicielle pourrait intégrer les différents systèmes de détection physiques et logiques, mutualiser les flux d’information (sécurité / sûreté) de toutes origines, tout en assurant une présentation centralisée, personnalisée et intuitive des informations à l’attention des différents acteurs concernés, publics ou privés.

Un système global d’information sécurité/sûreté nécessite la cohabitation et la complémentarité de plusieurs technologies innovantes, réunies en fonction de besoins fonctionnels différents mais toutefois convergents d’une multiplicité d’intervenants.

Développée notamment grâce au  laboratoire d’idées « SIGEOSS – SAGEOSS » et la méthode ORCAE (cf pages sur ce blog), cette approche globale est susceptible aujourd’hui de concerner deux appels d’offres, l’un pour l’ANR – Agence Nationale de la Recherche (concepts systèmes et outils pour la sécurité globale) et  l’autre pour le PERS- Programme Européen de Recherche en Sécurité.

Certains industriels (comme EGIDIUM aujourd’hui) sont déjà très entreprenants sur ces sujets.  EGIDIUM propose en effet une brique indispensable au projet : un progiciel de gestion intégré et modulaire (ERP), véritable interface efficace et interactive entre la masse d’informations et l’utilisateur.

A suivre …

Mars 2011 – Joseph Triquell

http://www.egidium-technologies.com

http://aroundrisk.wordpress.com/methode-o-r-c-a-e/

http://aroundrisk.wordpress.com/c3i-sageoss-sigeoss/

ORCAE et IE :

http://www.intelligence-economique-paca.fr/Actualites/Actualites/La-methode-ORCAE-diagnostiquer-la-securite-et-la-protection-de-l-entreprise

http://www.vedocci.fr/tag/orcae/

Ce « cas d’école » n’a décidément pas fini d’enrichir  la réflexion de ceux qui s’intéressent au risque opérationnel et juridique dans l’entreprise … mais aussi ceux qui observent les stratégies d’influence et de gestion de crise !

KERVIEL : bientôt une analyse juridique du risque opérationnel et de l’éthique dans l’entreprise ? … A la question posée sur ce blog en février 2010 , la réponse apportée par le tribunal correctionnel de Paris est …. riche d’enseignements !  mais il subsiste une interrogation essentielle (au moins) :

Qu’en serait-il de la responsabilité civile de l’entreprise si un dommage avait été commis à un tiers ? …..   LIRE LA SUITE ? …

Décision le plus généralement jugée  « implacable »,  « injuste », « inadaptée », ou « peu pédagogique », c’est surtout  l’exemplarité qui semble avoir été recherchée par le tribunal correctionnel en première instance  ; il s’agit en effet d’une peine lourde pour ce type de délit.

Mais cette décision traite également d’ aspects pour le moins intéressants :

-          Sur le rôle joué par la faiblesse du dispositif de la Société Générale : La responsabilité du voleur n’est pas amoindrie parce que le commerçant laisse portes et fenêtres ouvertes… Les faiblesses de la Société Générale sont en effet bien établies :  l’inspection générale de la SG a évoqué dans son rapport «  la défaillance de la supervision quotidienne du trader et l’absence des contrôles qui auraient permis d’identifier la fraude ». Par ailleurs, la société générale a  été condamnée par la commission bancaire à 4 millions d’euros assorti d’un blâme : « le fait que ces lacunes n’étaient pas connues de la direction, qui ne pouvait y remédier, ne peut être évoqué par la société générale pour s’exonérer de sa responsabilité au regard de la réglementation bancaire ; qu’ainsi la Société Générale a enfreint plusieurs dispositions essentielles de la réglementation applicable en matière de contrôle interne. ». Mais ce manquement n’est pas un délit pénal … et la commission bancaire n’est pas une juridiction pénale.

-          Sur le partage de la responsabilité entre J. Kerviel et la SocGen : Lorsque un délit est intentionnel, il ne peut pas y avoir de partage de responsabilité entre l’auteur et la victime (jurisprudence constante de la cour de cassation) d’où une obligation de réparation intégrale par l’auteur.

-          Sur le lien entre l’action reprochée à JK et le préjudice constaté au final : La justice n’est pas concernée par le fait direct ou indirect de la perte. Le préjudice a été calculé suivant une logique purement financière, et ce, même si les 4,9 milliards de pertes ne sont pas, semble-t-il, l’action directe de Jérôme Kerviel, mais la résultante d’une opération de débouclage de la Société Générale.

-          Sur le cadre juridique d’action de JK au sein de l’entreprise SocGen : Le tribunal s’est intéressé aux relations contractuelles entre la SocGen et Jérôme KERVIEL. Le tribunal a noté l’absence de mandat signé mais a relevé que « les attentes de sa hiérarchie et les objectifs financiers fixés au trader étaient néanmoins explicitement énoncées dans les fiches d’évaluation de fin d’année » , « que JK a dit avoir signé le cahier des procédures trading (…) qu’au travers de ces prescriptions, l’attention du trader est attirée sur l’obligation de couvrir ses opérations, être de bonne foi, professionnel et transparent vis-à-vis des services de la déontologie et de la hiérarchie »

-          Sur l’élément moral de JK : Le tribunal a par ailleurs relevé que Jérôme Kerviel  avait reconnu être « allé trop loin dans son mandat » et a concédé «  qu’il n’entrait pas dans ses missions de prendre des positions spéculatives pouvant durer plusieurs jours ».

Qu’en serait-il de la responsabilité civile de l’entreprise si un dommage avait été commis à un tiers ?

• La responsabilité civile au titre des fautes commises par les salariés ne revient-elle pas à l’entreprise elle-même en application de l’article 1384 alinéa 5 du code civil,  qu’il s’agisse d’actes illicites considérés comme fautifs ou non et qu’ils causent à autrui des dommages ?
• Par la mise en place de cette notion de « contrôle interne », la loi pour la sécurité financière ne prévoit-elle pas une responsabilité civile (collectivement engagée) des président et  administrateurs, si une prétendue victime est à même de démontrer l’existence d’une faute caractérisée issue du rapport, d’un préjudice et d’un lien de causalité entre la faute et le préjudice subi ? Tel va d’ailleurs dans le sens de ce qui est prévu par le législateur américan (loi Sarbanes-Oxley)
• Cette notion de “responsabilité indirecte” de l’entreprise (lors d’une fraude interne) n’a-t-elle pas été approchée par le Conseil d’Etat en octobre 2007 ?

Hélas !, en septembre 2010, un juge américain a classé sans suite une plainte contre la société générale, déposée par des investisseurs qui estimaient  avoir subi un préjudice directement lié à la perte de trading de 4,9 milliards d’euros en 2008.  Ils reprochaient à la SocGen d’avoir commis des fautes dans cette affaire…

J. Triquell – Octobre 2010

Affaire Kerviel – Cas d’école

KERVIEL : bientôt une analyse juridique du risque opérationnel et de l’éthique dans l’entreprise ?

Les Echos : « contrôle interne – Le Conseil d’Etat sème le trouble »

« ROSSIGNOL » et « LE COQ SPORTIF », deux marques emblématiques du sport français viennent de décider de rapatrier une partie de leurs activités délocalisées en France… signe, semble-t-il grandissant, de la montée en puissance du concept « d’empreinte économique, environnementale et sociale » de l’entreprise…

Impactant à la fois sa rentabilité, son empreinte environnementale (action directe ou indirecte sur la biodiversité ou le climat) et son empreinte sociale (impact sur son écosystème humain), cette stratégie (innovante ?) de l’entreprise pourrait devenir LE véritable outil de performance… Dépassant la pure mise en conformité des entreprises, elle reste encore un véritable challenge à long terme….LIRE LA SUITE

Selon la commission européenne, la RSE (responsabilité sociale d’entreprise) est « l’intégration volontaire par les entreprises de préoccupations sociales et environnementales à leurs activités commerciales et à leurs relations avec les parties prenantes ».

Ce concept se développe et devient un véritable outil de compétitivité …

Les grandes écoles de management ont maintenant intégré les décisions économiques à la sphère de la responsabilité sociale de l’entreprise.

De nombreuses initiatives (voir quelques cas in fine) ont pour objectif de promouvoir toutes les facettes de la RSE. Par exemple, le tout nouveau institut « Mieux vivre en entreprise » se chargera des sensibiliser les DRH et les dirigeants sur cette nouvelle approche du management où la notion de performance est directement reliée à la gestion du “mieux vivre en entreprise”.

Au sein des entreprises, il est également remarqué la montée en puissance des directeurs du développement durable (DDD), des directeurs de l’éthique, des déontologues, des directeurs de la responsabilité sociale et environnementale (DRSE) … dont le champ ne se limite naturellement plus à l’écologie ; ils interviennent désormais dans les problématiques sociales de l’entreprise, sociétales, éthiques, ou autres liées aux ressources humaines, aux aspects juridiques, à la communication, aux achats …

Plus de 90 pays ont pris part à la négociation qui va déboucher, en décembre 2010, sur la publication de cette norme ISO 26000 qui porte sur la responsabilité sociale des organisations. La RSE y est pensée comme « un moyen de mise en œuvre des principes essentiels du développement durable par toutes les organisations »

Le groupe de travail de l’ISO 26000 (norme intitulée “lignes directrices relatives à la responsabilité sociale”), appuie également cette notion de responsabilité élargie … « la responsabilité d’une organisation vis-à-vis des impacts de ses décisions et activités sur la société et sur l’environnement , se traduisant par un comportement éthique et transparent qui – contribue au développement durable , y compris à la santé et au bien-être de la société ;- prend en compte les attentes des parties prenantes ;- respecte les lois en vigueur et qui est en accord avec les normes internationales de comportement ; et qui est intégré dans l’ensemble de l’organisation et mis en œuvre dans ses relations ».

Le périmètre de la responsabilité d’une organisation s’élargit et englobe sa sphère d’influence… l’objectif étant d’imputer aux vrais décideurs une responsabilité de façon à leur faire supporter les conséquences de leurs décisions (notamment le pouvoir économique des donneurs d’ordre vis-à-vis des sous-traitants …) : « il y aura des situations où il incombe à l’organisation, d’une part de faire preuve de vigilance vis-à-vis des impacts induits par les décisions et activités d’autres organisations et, d’autre part, de prendre des mesures pour éviter ou atténuer les impacts négatifs en rapport avec les relations qu’elle entretient avec lesdites organisations » .

Pour les entreprises qui ont conscience de leur pouvoir sur leur sphère d’influence,  la RSE, intégrée dans une indispensable stratégie de gestion globale des risques, pourrait devenir un véritable acteur de d’anticipation des risques stratégiques à long terme : « La RSE donne donc le temps à l’entreprise de décider des orientations qu’elle va prendre pour assurer sa pérennité » (AMRAE).

Joseph Triquell – 30 septembre 2010

• ORSE (Observatoire sur la Responsabilité Sociale des Entreprises) –  CIGREF  :  Usage des TIC et RSE : http://www.orse.org/ – http://www.cigref.fr/
• Le site internet dédié au reporting RSE des entreprises : http://www.reportingrse.org/accueil-p-1.html
• AMRAE (Association pour le management des risques et des assurances de l’entreprise) : http://www.amrae.fr/
• Salon développement durable et RSE : http://www.produrable.com/
• Novethic (filiale de lma Caisse des Dépôts), centre de recherche sur la responsabilité sociale des entreprises et l’investissement socialement responsable (site en 3 volets : Planète, entreprises, Finance) : http://www.novethic.fr/novethic/investissement-socialement-responsable/responsabilite-sociale-entreprise.jsp
• Toutsurlenvironnement (Site institutionnel) : http://www.toutsurlenvironnement.fr/
• Les lois « grenelle environnement » : http://www.legrenelle-environnement.fr/spip.php?rubrique195
• Un guide pour promouvoir l’Investissement Socialement Responsable (ISR) : http://www.observatoire-immateriel.com/spip.php?article422

Rappel de quelques post liés à cette approche :

Risques et entreprise : vers une organisation du bon sens ? : ISO 31000 : Le « shaker » des préceptes du management des risques…

Intelligence économique et cybersurveillance dans l’entreprise : une dynamique par l’éthique ?

Intelligence économique : « les hommes au cœur du dispositif »…une nouvelle méthode ?

Opportunités,Risques, Contrôle interne : vers une gestion globale …

Prendre en considération le long terme et les objectifs sociétaux ( risque-systemique-supervision-normes-comptables-et-uniformisation-mondiale)

Cloud computing …  la mauvaise réputation ?  Quelles questions ?  Quelles précautions ? Doit-on s’en passer ?

Le « cloud computing » (« informatique dans les nuages ») est sans nul doute l’avenir d’une informatique dématérialisée, prometteuse et économique (« pay-per-use ») en entreprise.

Jugée déjà par certains comme l’opportunité la plus marquante  après internet, elle est déjà semble-t-il la technologie majeure pour l’année 2010. Le marché de ces services envisage une croissance des revenus dans le monde de 16,6% en 2010 et devrait représenter 13% du marché européen des logiciels et services en 2015, contre 1,5 % en 2009. Microsoft s’est d’ailleurs positionné sur ce marché en évoquant que le « cloud devrait guider l’évolution globale de l’industrie »…

Cette forme d’architecture informatique orientée service est basée sur l’hébergement des ressources matérielles et logicielles de l’entreprise chez des opérateurs spécialisés. C’est une formidable opportunité pour les entreprises en cette période de réduction des coûts, bien naturellement pour les PME qui trouvent là un moyen de disposer rapidement d’un service informatique de qualité, obtenu grâce à cette dématérialisation des infrastructures et des services informatiques.

Mais cette technologie soulève également beaucoup d’interrogations sur la sécurité de l’information…  Quelles sont les questions à se poser ? … LIRE LA SUITE ?Ce marché en pleine expansion voit apparaître de nombreuses offres dont certaines ne présentent pas les garanties indispensables de sécurité, pour la grande majorité des entreprises dont le capital informationnel et immatériel  représente aujourd’hui la principale valeur.

L’attrait de ces offres, alliant simplicité de mise en œuvre, performance et coût réduit, ne doit pas occulter la nécessité impérieuse d’accompagner ce changement par une démarche professionnelle de sécurité physique, logique, juridique et économique. Le « cloud computing » concerne en effet la plupart des composantes du capital immatériel de l’entreprise et son épine dorsale qu’est le système d’information.

Pour autant, ce service s’inscrit dans une (bien souvent nécessaire) démarche globale d’externalisation et ne peut pas être écarté sous le seul prétexte qu’il présente des risques.

La notion de « périmètre de l’entreprise » prendra ici toute son importance… et c’est sous l’aspect traditionnel de « gestion des risques » que les volets  « sécurité de l’information », « sécurité juridique » et « sécurité économique » devront être abordés, en vue d’une recherche  de réduction des vulnérabilités.

La sécurité de l’information

Pour simple rappel, de quoi s’agit-il ? :  « c’est la capacité d’un réseau ou d’un SI de résister, à un niveau de confiance donné, à des évènements accidentels ou des actions illégales ou malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu’ils rendent accessibles. »(règlement communautaire)…

Sur ces points, le « cloud Computing » révèle des inquiétudes légitimes et nombreuses sont les questions à traiter :

• Quels sont nos impératifs en disponibilité des informations ? Comment allons nous nous assurer de la disponibilité de nos informations  ?   (Capacité d’un système d’information à pouvoir être utilisé à tout moment en fonction des performances prévues)
• Va-t-on disposer de sites de réplication ? Comment (description précise) et sous quel délai va être réalisée la restauration du système ? Que se passe-t-il si le réseau internet est inutilisable ? (le dernier exercice Piranet réalisé récemment en France au sein des services institutionnels s’est appuyé sur cette éventualité.)
• Quelles sont les garanties d’intégrité des informations ? (Propriété qui garantit qu’il sera exécuté la fonction attendue de façon complète sans manipulation non autorisée volontaire ou accidentelle – Propriété qui assure qu’une information n’est modifiée que par les utilisateurs habilités dans les conditions d’accès normalement prévues).  Cette intégrité va revêtir une importance toute particulière dans le cadre de l’administration de la preuve numérique (voir ci-après).
• Comment la confidentialité des informations va être assurée ?  (Propriété qui assure que dans les conditions normalement prévues, seuls les utilisateurs autorisés (ou habilités) ont accès aux informations concernées),
• Quel dispositif va-il assurer l’authentification des informations ?  (permettant de s’assurer de l’origine des informations). Cette condition concerne effectivement la technologie externalisée mais impose au sein de l’entreprise même, la mise en œuvre d’un système d’authentification forte associé à une formation/sensibilisation de l’ensemble des utilisateurs sur l’importance de la procédure d’authentification et de signature électronique.
• Comment le système assure-t-il la traçabilité des informations ? la conservation  de ces informations de traçage ?  l’« auditabilité » de l’information (possibilité de contrôler le bon déroulement du processus ayant permis d’obtenir, de conserver et de produire sur demande l’information).
• Le dispositif permettra-il d’assurer une bonne administration de la preuve numérique ? . En effet,  si « l’écrit électronique a la même force probante que l’écrit sur support papier »(1316-3 du code civil), il est strictement  soumis à certaines conditions évoquées par l’article 1316-1 du code civil et le décret du 30 mars 2001, notamment qu’il soit conservé dans des conditions de nature à en garantir l’intégrité, avec les notions de « preuve fidèle et durable » (1348 du code civil), de lisibilité du document, de stabilité du contenu informationnel, de traçabilité des opérations sur le document . C’est en fonction de la démonstration technique et organisationnelle faite autour de la preuve apportée, que le juge pourra ou non la retenir comme telle.

La sécurité juridique :

La délégation de pouvoir impose notamment un cadre de relations hiérarchiques organisées. Elle ne peut s’appliquer entre une société cliente et le salarié d’un tiers. Le fait d’ « infogérer » tout ou partie du SI ne décharge par les préposés de l’entreprise cliente de leur propre responsabilité.

Le client reste le responsable du traitement de données et assure de ce fait toutes les obligations légales afférentes au respect de la sécurité des données personnelles. C’est en effet à l’entreprise cliente de prescrire au prestataire les mesures de sécurité que celui-ci doit respecter. En cas de problème, c’est la responsabilité pénale du client qui sera recherchée. (Cf post sur ce blog : «Infogérance à distance » et sécurité des entreprises»)

L’entreprise cliente reste donc directement concerné par les prescriptions de la loi :

• Obligation de vigilance et de protection des informations  (sauvegarde du patrimoine de l’entreprise, contrôle interne (loi sécurité financière, SOX), données à caractère personnel (loi informatique et libertés-226-17 du code pénal)
• Obligation de confidentialité des  DCP (données à caractère personnel) (226-22 du code pénal)
• Obligation de respecter la durée de conservation de ces informations à caractère personnel (226-20 du code pénal)
• Obligation de détermination de l’objectif du traitement des D.C.P. (226-21 du code pénal)
• Respect des prescriptions en matière de transfert de D.C.P. vers un pays tiers. Se pose en effet la question du lieu de stockage puisque les données vont relever du régime juridique du pays dans lesquelles elles sont détenues - Quel va être le cadre législatif encadrant cette externalisation.  (Les informations ne sont bien souvent plus figées dans l’espace. Elles peuvent être réparties en fonction de la charge). Est-il procédé à un transfert des données à caractère personnel vers un pays hors de l’union européenne (attention aux formalités imposées par la loi informatique et libertés) ?
• Respect des exigences légales de conservation des informations (archivage informations comptables ou liées à la comptabilité et aux relations commerciales, administration de la preuve)

Comment peuvent être démontrées les  «  précautions utiles de protection des données » prescrites par la loi ?

La responsabilité civile respective de l’infogérant « cloud » et du client est régie par le contrat. Il est donc vivement conseillé d’élaborer des contrats exhaustifs avec le prestataire (Service Level Agreement (SLA), en français : contrat de niveau de service), qui vont prendre en compte le périmètre concerné, le contenu exact des prestations attendues (qualité de service requise) face aux impératifs évoqués  (disponibilité, intégrité, confidentialité …), les obligations de résultat…

Des mentions particulières détailleront les procédures de contrôle du respect de ces exigences (Certains prestataires n’autorisent pas la réalisation de tests d’intrusion sur le cloud) et la possibilité d’évolution des exigences et de ces procédures.

Naturellement, seront également prévus l’engagement de confidentialité, la dépendance, la prévision de l’évolution du contrat, la réversibilité (clause de retour, transfert des services), les facteurs déclenchant de cette réversibilité (carence, délai, coût…), les clauses de fin de contrat, la nature des responsabilités et l’éventuelle convention de preuve.

La sécurité économique

Et si nos informations étaient communiquées à nos concurrents ? Quelles seraient les conséquences pour notre entreprise ?

Dans un environnement très concurrentiel et face aux stratégies offensives de certains pays, nous sommes en droit de nous interroger sur des rapprochements entre « fournisseur de cloud » et gouvernements d’Etats.

Dans ce contexte, l’hébergement du capital informationnel de son entreprise dans l’un de ces pays revêt toujours un risque qu’il convient de prendre en considération dans la réflexion.   Souvenons nous que dans certains pays, la protection des données n’a pas l’encadrement juridique que nous connaissons en France mais aussi que leur culture patriotique rend très efficace un réseau de souveraineté technologique très actif.

Sans tomber dans un protectionnisme primaire, le chef d’entreprise souhaitant s’orienter vers un cloud pourra s’intéresser aux solutions françaises ou européennes, d’autant s’il s’agit  de « clouds privés » dont l’accès peut être limité à une seule entreprise.

(Voir également le post sur ce blog : “securite” : crise, paradoxes, protection des savoir-faire … et sous-traitant : le maillon faible ?)

Quoi qu’il en soit, puisque l’infogérant cloud se trouve dans le périmêtre de sécurité de l’entreprise cliente, le chef d’entreprise va utilement porter toute son attention sur ce prestataire, notamment par sa stratégie de veille : Quelle est sa crédibilité ? sa solvabilité ? sa fiabilité ?, quels sont ses liens éventuels avec nos concurrents ? avec l’Etat étranger sur le sol duquel il se trouve ? …  Certains de ces prestataires sont de jeunes sociétés présentant une vulnérabilité élevée de faillite ou d’influence externe…

Penser que l’on pourra se passer aujourd’hui ou demain de la formidable opportunité du « cloud computing » est une gageure. Cette technologie atteint un certain niveau de maturité, semble-t-il suffisant pour que de grandes entreprises (comme Alstom aujourd’hui)  l’intègrent dans leur système d’information. Mais cette démarche nécessite un  investissement intellectuel, organisationnel et technique non négligeables, à la hauteur de l’importance stratégique de la brèche causée dans le système d’information et le capital informationnel de l’entreprise…

Joseph Triquell

AroundRisk – Août  2010

“SECURITE” : CRISE, PARADOXES, PROTECTION DES SAVOIR-FAIRE … ET SOUS-TRAITANT : LE MAILLON FAIBLE ?

« INFOGERANCE A DISTANCE » ET SECURITE DES ENTREPRISES »

J’avais été amené à évoquer en janvier 2009 à l’occasion d’un post sur le « cas d’école kerviel »  l’ordonnance du 8 décembre 2008 et la mise en œuvre du comité d’audit dans les entreprises …

Un groupe de travail de l’AMF (Autorité des marchés financiers) vient de clôturer la consultation publique de son « rapport sur le comité d’audit » (2 juillet 2010).

Parallèlement, le cadre de référence de l’AMF (également mis à jour à cette date et utilisable même pour les entreprises non cotées), apporte un éclairage très intéressant sur la complémentarité des notions « gestion des risques » et « contrôle interne ».

Par ailleurs, la 3 ème conférence annuelle organisée par « les Echos » et l’AMRAE ce mois ci  a porté sur la « GESTION GLOBALE DES RISQUES »… et a révélé certaines pistes de travail utiles pour les entreprises.

Voici quelques points importants mis en lumière par ces évènements : LIRE LA SUITE ? …

Tout d’abord, s’il est besoin de le préciser : la prise de risque est inhérente à toute société …

« Il n’existe pas de croissance, ni de création de valeur dans une société, sans prise de risque. » Ce qui peut, selon une piste de réflexion très intéressante,  permettre d’associer « opportunité » et « risque » dans la même stratégie de recherche et d’évaluation (à l’image de certains pays anglo-saxons dans lesquels existe le « risk and opportunity manager »). Dans le même esprit et en prolongement, une démarche ambitieuse trouve son sens dans le rapprochement de la “gestion des risques” à la démarche “intelligence économique”.  Les signaux faibles prennent toute leur importance. Ceux-ci peuvent être notamment perçus à l’occasion d’une stratégie de veille des incidents et situations dangereuses dans l’entreprise.

Jusqu’alors très axée sur le domaine financier et comptable, l’AMF vient de rapprocher « gestion des risques » et « contrôle interne » dans cette vision globale indispensable (« outil de progrés »), notamment développée par l’ISO 31000 (voir le post sur ce sujet dans ce blog). Le comité d’audit de l’entreprise devient alors directement concerné par tous les risques pouvant avoir une influence sur les comptes.

Les dispositifs de gestion des risques et de contrôle interne participent de manière complémentaire à la maîtrise des activités de la société :

-          Le dispositif de gestion des risques vise à identifier et analyser les principaux  de la société. Les risques, dépassant les limites acceptables fixées par la société, sont traités et le cas échéant, font l’objet de plans d’action. Ces derniers peuvent prévoir la mise en place de contrôles, un transfert des conséquences financières (mécanisme d’assurance ou équivalent) ou une adaptation de l’organisation. Les contrôles à mettre en place relèvent du dispositif de contrôle interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées les activités de la société ;

-          De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de gestion des risques pour identifier les principaux risques à maîtriser ;

-          En outre, le dispositif de gestion des risques doit lui-même intégrer des contrôles, relevant du dispositif de contrôle interne, destinés à sécuriser son bon fonctionnement.

Le nouveau cadre de référence de l’AMF propose un guide de mise en œuvre pouvant être utilisé par tout type d’entreprise dans sa réflexion de gestion des risques et mise en œuvre d’un contrôle des dispositifs en action…

Enfin, des pratiques émergeantes sont soulignées :

-       La hiérarchisation dynamique des risques devient une pratique indispensable … S’éloignant de la simple cartographie statique des risques (« la cartographie est à la gestion des risques ce que la compta est à la stratégie financière »), les impératifs actuels semblent imposer un caractère dynamique, souple et adaptable au dispositif d’identification et d’évaluation des risques. Des solutions informatiques apparaissent, proposant des liens actifs avec des bases de données dynamiques internes et externes, capables d’influencer l’appréciation du risque en temps réel.

-       Fort d’un dialogue de qualité entre comité d’audit (ou équivalent) et management (il est noté des niveaux de qualité très différents suivant les entreprises), il devient indispensable d’intégrer les risques stratégiques dans les processus de décision …  Au-delà de la simple recherche de conformité, pour le management, l’objectif essentiel de la gestion des risques peut devenir la « performance opérationnelle » !

Joseph Triquell – Juillet 2010

Cas d’école Kerviel

Risques et entreprise : vers une organisation du bon sens ? : ISO 31000 : Le « shaker » des préceptes du management des risques…

AMF

AMRAE : Association pour le management des risques et des assurances en entreprise.

Les Echos conférences

Si un axe d’effort est important en situation de gestion de crise, c’est bien celui de la communication… le cas récent de TOYOTA en est encore un cuisant exemple.

Déficit de communication, absence de stratégie globale, communication parcellaire et balbutiante soumise aux évènements ponctuels politiques, communication anéanti par la complexité des multiples dispositifs empilés, … « trop de communication peut-il tuer la communication ? », c’est ce que semble dire l’ADEN (Association pour le Développement de l’Economie Numérique en France) qui publie un sondage de l’Ifop selon lequel seulement 61 % des chefs d’entreprise se déclarent très bien ou assez bien informés des mesures prises par le gouvernement pour aider les PME à répondre à la crise économique et financière. Encore faut-il savoir quel est leur niveau réel de connaissance.

Démarche publique IE et communication … LIRE LA SUITE ?

Pour faire face à la crise, les aides financières de l’Etat aux PME ne manquent pas. Des actions essentielles s’inscrivent également dans une démarche « intelligence économique » qui, comme chacun sait, concerne TOUS les acteurs de la vie économique, privés et publics.

«L’intelligence économique » n’a jamais atteint un tel niveau d’intérêt en France. Pourtant, le talon d’Achille de cette dynamique pourrait bien se situer au niveau de la stratégie de communication, peut-être par le mépris du vieil adage « Faire et faire savoir (efficacement !) » …

Pour les PME, l’accès à toutes les informations existantes dans le domaine fiscal révèle une vraie difficulté, à contrario des grands groupes (français ou étrangers) qui peuvent bénéficier de moyens plus importants et spécialisés. C’est d’autant plus regrettable pour les PME mal armées car l’attractivité de la France attise la convoitise de groupes étrangers : en 2009, la France, pays où la recherche est défiscalisée, s’est située au 2^ème rang mondial pour l’accueil des investissements directs étrangers. Nos entreprises sont toujours aussi convoitées et … quelquefois absorbées par des groupes étrangers, même si elles ne sont pas toujours jugées stratégiques dans notre pays (  Labeyrie, Cabasse, Spérian, Teisseire…).

Les aides financières ne manquent pas … (liste non exhaustive)

Alors qu’un récent rapport pointe l’inefficacité économique de la R&D (Conseil d’Analyse Economique), soulignant « la moindre capacité des entreprises de taille intermédiaire à investir dans la R&D », (il est vrai en comparaison avec les Etats-Unis), il semble que les aides de l’Etat pour la relance, la compétitivité et l’innovation n’aient été jamais aussi nombreuses…

L’enjeu est naturellement de taille : aider les PME, structures au cœur même de la problématique française, et accélérer leur accès à l’innovation, véritable stratégie offensive.

La « réduction des délais de paiement », la « réforme de la taxe professionnelle »  semblent être bien connues mais plus de la moitié des chefs d’entreprises reconnaissent mal connaître les aides aux PME pour l’accès aux financements par la banque publique OSEO, permettant :

• d’améliorer la trésorerie (« garantie renforcement de la trésorerie », « lignes de crédit confirmé », prêts personnels aux dirigeants pour réaliser des apports de fonds propres…),
• de renforcer les fonds propres (plate-forme d’intermédiation),
• de faciliter l’investissement (crédits à moyen ou à long terme),
• de développer l’international (plusieurs milliers de dispositifs d’aide aux entreprises qui souhaitent financer leur développement à l’international, notamment le « crédit d’impôt export », la « garantie développement à l’international »)
• de soutenir l’innovation ( notamment le « fonds de garantie innovation » et le financement sous forme de subvention ou d’avance à taux zéro, aides pour le premier brevet déposé …)

Ubifrance a également développé un soutien industrialisé à la démarche export (SIDEX) et le « prêt à l’export » (avec OSEO)

Accessible également aux PME, le crédit d’impôt recherche est un moyen privilégié pour financer les efforts de recherche. Il consiste en un crédit d’impôt de 30 % des dépenses de R&D, jusqu’à 100 millions d’euros et 5% au-delà de ce montant.

Par ailleurs, de nombreuses collectivités (départements et régions) proposent aussi aux PME des fonds de développement industriel.

Des stratégies de mutualisation et de partage en matière d’innovation …

Complémentairement à ces aides financières, j’ai retenu plusieurs stratégies qui me paraissent s’inscrire dans l’esprit de mutualisation et de partage IE … et cette volonté de favoriser le développement par l’innovation (cf méthode ORCAE : Pour l’entreprise, l’IE, c’est quoi au juste) :

• Le rapprochement «universités-entreprises ». Je pense notamment au 1^er salon professionnel de l’enseignement supérieur de la recherche, de l’innovation et des entreprises les 26 et 27 mai 2010 au Cnit la Défense. Sujet d’importance puisque la France est au 6^ème rang des publications mais au 20 ème rang pour l’innovation et ce, malgré la loi Allègre de 1999 qui devait palier cette faiblesse.

• Le rapprochement  « grands groupes-PME » : C’est l’un des objectifs déjà fixé par les pôles de compétitivité, avec les difficultés soulevées et les aménagements de parcours que l’on connaît maintenant. Aujourd’hui voit naître le nouveau pacte PME par le comité Richelieu, association indépendante paritaire, dans le but de faciliter les échanges entre les grands groupes et les PME innovantes, industrie et services (55 groupes concernés).

• Le transfert de technologie entre recherche publique et innovation. Il devrait être facilité par 5 à 10 sociétés de valorisation (Sociétés d’accélération de transfert de technologies (SATT) qui vont être financées par le grand emprunt.

Force est de constater que les aides existent bien… Quels sont les risques d’une carence dans la stratégie de communication ?

- des dispositifs initialement prévus pour aider certaines structures comme les PME, plutôt utilisés par d’autres mieux informées. En effet, même si l’enquête de 12 mois du sénateur Gaudin a conclu en l’absence démontrée d’abus (difficultés reconnues par l’administration fiscale pour évaluer les abus), il a été dit que les banques ont beaucoup profité du crédit d’impôt recherche pour développer des algorithmes décisionnels permettant de mieux se positionner sur les marchés financiers.

- des dispositifs qui profitent plutôt aux PME étrangères, sous-traitants de grands groupes français. (Il est vrai que Bruxelles impose un traitement équitable entre toutes les PME européennes).

- en l’absence de définition claire de la « recherche » (limite du développement expérimental), des dispositifs (comme le CIR) qui financent la conception, intervenant juste avant la mise sur le marché d’un produit.

- tout simplement, l’objectif premier de ces mesures qui devient inaccessible (favoriser l’innovation et le développement des PME) alors que le coût reste très important pour le contribuable.

Communication et impact …

Si, comme nous le voyons, de véritables outils sont mis en place pour aider les PME,  le résultat de ces aides doit se mesurer à l’impact réel observé sur le terrain et non pas à l’effet politique de l’annonce. Il est bien dommage de ne pas investir dans une vraie stratégie (globale) de communication, mutualisée entre tous les acteurs concernés et surtout, évolutive (en phase permanente avec le moyens les plus actuels de communication).

La « communication », même dans un domaine aussi sérieux, n’a-t-elle pas droit également à la créativité et à l’innovation ?

Joseph Triquell – AroundRisk.fr – 27 mai 2010

ADEN

LES FORUMS DE LA CROISSANCE

SALON UNIVERSITES-ENTREPRISE

OSEO

UBIFRANCE

Etude Ifop

Pacte pme

Guide pratique du crédit d’impôt recherche

Après dix-huit mois d’instruction,  dans l’attente du jugement par le tribunal correctionnel de Paris en juin où Jérôme KERVIEL comparaîtra seul (lire également : KERVIEL, bientôt une analyse juridique du risque managérial et de l’éthique dans l’entreprise),  c’est encore sur le terrain médiatique que s’affrontent les hypothèses…  avec de véritables stratégies offensives de communication.

Poursuivi pour « abus de confiance, introduction frauduleuse de données dans un système de traitement automatisé, et faux et usage de faux », Jérôme KERVIEL défend sa position avec la sortie très médiatisé » de son livre au titre explicite «  l’ Engrenage, mémoires d’un trader ».

Cette affaire se révèle toujours aussi riche d’enseignements pour l’étude du risque opérationnel (lire également sur ce blog : Cas d’école KERVIEL). Aujourd’hui, au-delà de cet aspect très intéressant de la « communication externe», un regard curieux peut être posé sur les mesures prises par la Société Générale…La stratégie de défense de la SOCGEN repose notamment sur la démonstration du caractère technique et exceptionnel de cette fraude … sur la complexité et l’importance des procédures qui ont été nécessaires pour éviter ce type de fraude.

« Une fraude d’une ampleur comparable à celle commise par Jérôme Kerviel ne pourrait plus arriver aujourd’hui », déclare la Société Générale à “La Tribune”.

Plusieurs études récentes publiées dénoncent la montée de la fraude dans les entreprises, plus particulièrement celles comptant plus de 1000 salariés. « Prise en compte de la prévention et de la lutte par les directions générales, déploiement de procédures de contrôle interne, dispositif d’alerte professionnelle (whistleblowing), limitation de l’autonomie professionnelle individuelle, routines informatiques de contrôle, …, nombreuses sont les règles qui permettent aujourd’hui de construire une véritable stratégie de protection (voir notamment la méthode ORCAE sur ce blog).

La communication autour de l’action menée, en interne et en externe, apparaît clairement comme une stratégie incontournable, à la fois défensive et offensive. C’est d’ailleurs par ce biais que la Société Générale a indiqué les mesures qu’elle a été amenée à prendre.

Hormis quelques règles propres au secteur financier et aux activités de trader (limites en nominal, contrôle du compte de résultat du trader …), les mesures qui ont attiré mon attention s’articulent autour de grandes thématiques :

• La  « culture interne », le développement de l’éthique (voir aussi sur ce blog : Intelligence économique et cybersurveillance : une dynamique par l’éthique ? ), la formation à la prévention de la fraude.
• La séparation des activités d’assistance et de contrôle.
• La vision transversale de la sécurité, avec un groupe de travail centralisateur (destinataire de toutes les alertes).
• Une démarche d’amélioration continu, dans l’esprit du principe PDCA de la roue de Deming, chère à toutes les méthodes de protection de l’entreprise.

Ces mesures sont les incontournables piliers d’une politique générale de sécurité … mais elles ne présentent pas de caractère exceptionnel ou innovant,  et paraissent s’inscrire dans toute démarche logique de protection de l’entreprise (Cf. méthode ORCAE dans ce blog).

Joseph Triquell – Aroundrisk.fr – 10 mai 2010

Après le rapport Larosière (Commission Européenne-Février 2010), voici un nouveau rapport sur le risque systémique qui vient d’être publié  par le Ministère de l’économie, de l’industrie et de l’emploi (Rapport Lepetit – Avril 2010).

(Le risque systémique est un risque de dégradation brutale de la stabilité financière, provoqué par une rupture dans le fonctionnement des services financiers et répercuté sur l’économie réelle.  L’analyse du risque systémique ne se limite pas aux banques.)

Emanant de l’ancien président du Conseil national de la comptabilité et de de la commission des opérations de bourse, il apporte une constructive réflexion  sur les origines et les acteurs du risque systémique , ainsi que des précisions  sur des mesures appropriées pour prévenir et réguler ce risque.

18 recommandations  sont avancées (dont 2 ont plus particulièrement trait à  la comptabilité – sur ce dernier point, voir l’analyse succincte sur FocusIFRS).

Cités une cinquantaine de fois dans ce rapport, les “Hedge funds” y sont à l’honneur.  Par ailleurs la notion de “fair value” rappelle une problématique comptable qui impacte fortement les entreprises (“fair value” et risque pour l’entreprise : sur ce blog-Mars 2009).

Alors que les  “Hedge Funds” sont encore et toujours montrés du doigt, (voir notamment le livre  ” “Hedge funds” parasites de la finance”), que les normes comptables internationales restent en conflit, la question se pose réellement de savoir comment  va pouvoir s’unifier un élan européen/mondial indispensable ?  Comment la France, jugée peu influente dans le débat sur les normes comptables, va-t-elle pouvoir défendre les intérêts de ses entreprises ? J’ai regroupé ci-après des éléments de réflexion dans une approche globale sur 3 axes : Hedge Funds, Fair value et uniformisation…. 

 Les “Hedge Funds” (fonds spéculatifs)

Selon le rapport, la mise en place d’un cadre de régulation harmonisé des hedge funds est une priorité (d’ailleurs,il existe déjà des “hedge funds” dont la politique d’investissement est encadrée (à titre d’exemple cité, en France, les OPCVM à règles d’investissement allégées)).

Le rapport indique que le rôle des “hedge funds” dans la dynamique d’une crise systémique est controversé et que certaines analyses récentes tendent à démontrer qu’aucun “hedge fund”n’a de taille ou de part de marché suffisante pour avoir un impact systémique sur ses contreparties. Il  précise qu’”il  semble toutefois difficile de contester que les “hedge funds”, dans leur ensemble, peuvent avoir un impact significatif sur la dynamique des marchés” :

 - les hedge funds peuvent représenter une proportion substantielle des flux (jusqu’à 50 % des transactions quotidiennes sur certains marchés). Ils ont donc une influence sur les cours beaucoup plus déterminante que ce que semble indiquer leur part de marché ;

- surtout, l’analyse des hedge funds pris individuellement ne permet pas d’appréhender leur effet global. Ces fonds ont tendance à avoir des stratégies proches les unes des autres. Il y a donc un effet de masse qui peut engendrer un risque systémique pour les marchés, alors même que l’impact de chaque fonds est limité. On peut notamment prendre l’exemple du deleveraging massif pendant la crise financière, dû aux rachats et aux demandes de sur-collateralisation, qui a forcé les fonds à vendre en même temps un stock très important de titres, ce qui a largement accentué les pressions baissières ;

- les importantes ventes à découvert et positions sur produits dérivés parfois pratiquées par les hedge funds révèlent un effet déstabilisateur ou amplificateur en cas de crise ;

- enfin, il est possible que les positions des hedge funds, notamment grâce à un effet de levier important, provoquent une déviation du prix des actifs par rapport au prix fondamental.

 “Fair Value” (Juste valeur) 

(Voir l’article sur ce blog : ” l’évaluation comptable de l’immatériel, les normes comptables IFRS, la “juste valeur” : risques pour l’entreprise ?  Mars 2009)

Une autre problématique est liée à la “juste valeur” (fair Value) et aux normes IFRS, souvent accusées de favoriser une vision à court terme et d’avoir ainsi accéléré la situation de crise.

Le rapport préconise la révision en profondeur du traitement comptable des activités de marché, évoquant les nombreuses critiques formulées à l’encontre des normes comptables, du fait de leur rôle pro-cyclique pendant la crise.

Les chefs d’Etat et de gouvernement du G20 se sont engagés à engager la révision du cadre comptable d’ici juin 2011.

 ”Comptabilité trop longtemps affaire de spécialiste”, “comptabilité enjeu de gouvernance économique”,   la création de l’autorité des normes comptables (ANC) s’inscrit dans une démarche offensive destinée de permettre à la France de “peser plus efficacement dans les débats internationaux ” (Christine Lagarde – Les échos – 22/2/2010).

L’objectif également fixé est d’associer les utilisateurs des normes (notamment pour l’instauration d’un jeu de norme IFRS spécifique à l’usage des PME non cotées) et de mettre en œuvre un système qui “prenne aussi en considération le long terme” et les “objectifs sociétaux”.

Mais, lutte d’intérêts oblige,  les normes américaines et européennes s’affrontent et retardent ainsi l’échéance de voir un marché mondial intégrer des règles communes indispensables à un fonctionnement juste et sain.

 L’uniformisation mondiale

C’est bien une dynamique commune qui semble être nécessaire.  Selon le rapport LEPETIT, le dispositif français de gestion des défaillances d’institutions financières apparaît plutôt satisfaisant au regard des standards internationaux (“En amont du déclenchement de procédures collectives de redressement ou de liquidation judiciaire, l’autorité de contrôle prudentiel (ACP) dispose d’un panel de pouvoirs relativement complets pour prévenir le déclenchement ou la propagation d’une crise systémique”).

Alors que de nombreux Etats se sont, semble-t-il, engagés dans l’amélioration de leurs dispositifs nationaux de résolution de crise, le rapport insiste bien sur “les limites des moyens de résolution des pouvoirs publics  qui peuvent contribuer à aggraver la crise”.

 L’intérêt d’une supervision systémique semble maintenant bien assimilé. Le rapport  évoque une “régulation ponctuelle”  (pénaliser les prises de risque Systémique) en “évitant  les mesures permanentes pouvant être contournées”.

 Sous l’impulsion du G20, des chantiers ambitieux de régulation financière ont été lançés afin de tirer les enseignements de cette crise.  Il est notamment question de 3 nouvelles agences de l’UE (supervisation des banques, des assureurs, des marchés), mais la question se pose actuellement de savoir quels seront leurs pouvoirs … et les avis et intérêts divergent bien naturellement… 

Les Etats Unis sont-ils prêts  à remettre en cause un modèle économique  qui leur est cher ?

Au vu de la campagne faite autour du bouc émissaire  GOLDEN  SACHS  et compte tenu de la discussion houleuse parlementaire américaine actuelle sur le sujet de la supervision financière, pensez vous que les Etats Unis soient prêts à mettre en œuvre un système de surveillance financier efficace ? 

 Alors que la “mondialisation” de la sphère économique et le “capitalisme” ne semblent plus pouvoir être remis en cause, devant une opinion mondiale toutefois favorable à la recherche d’un nouveau modèle de croissance, comment peut-on penser pouvoir se passer d’une uniformisation mondiale des règles ? 

 Joseph Triquell – 27 avril 2010

Rapport LEPETIT : http://www.ladocumentationfrancaise.fr/rapports-publics/104000185/

 Rapport Larosière : http://www.lesechos.fr/info/finance/300332647-supervision-financiere-le-rapport-larosiere.htm

 Fair Value sur ce blog : (11/3/2009) : http://aroundrisk.wordpress.com/2009/03/11/l%e2%80%99evaluation-comptable-de-l%e2%80%99immateriel-les-normes-comptables-ifrs-la-%c2%ab-juste-valeur-%c2%bb-fair-value-risques-pour-l%e2%80%99entreprise/

 Focus IFRS : http://www.focusifrs.com/menu_gauche/actualites_phare/divers/rapport_de_m_jean_francois_lepetit_sur_le_risque_systemique

 ”"Hedge Funds” , parasites de la finance” :

http://www.lesechos.fr/info/analyses/020391674860-les-hedge-funds-parasites-de-la-finance.htm

“L’union fait la force” : dans la méthode ORCAE, j’ai eu l’occasion d’évoquer cette indispensable  dynamique , vous y trouverez d’ailleurs également les principes essentiels de l’ISO 31000, chers à la “capacité d’anticipation de l’entreprise” qui veut s’inscrire dans ce que l’on appelle “une démarche d’intelligence économique”.

Avec un processus (et des règles) très proche de celui de l’ISO 27005 (2008), l’ISO 31000 peut-elle devenir le véritable “shaker” des différentes approches du management des risques, capable de valoriser leurs complémentarités et de faciliter ainsi une réflexion globale ? Voici quelques éléments de ma réflexion …

Comment évoquer la notion de “risque” et plus encore de “gestion des risques” devant une assemblée de spécialistes dévolus, suivant leurs propres secteurs d’activités, à ISO 9001(domaines de la qualité), à l’ISO 14001 (management environnemental), OHSAS 18001 (santé et sécurité du travail), SA 8000 et peut-être la future et prometteuse ISO 26000 (responsabilité sociétale), ISO 27001-27005 (sécurité de l’information et des SI), ISO 13485 (qualité des dispositifs médicaux), ISO 19011 (audit de systèmes), ISO 22000 (sécurité des denrées alimentaires) … sans oublier ceux qui ne parlent que de “contrôle interne”, de “gouvernance d’entreprise”, de standard COSO, de référentiel COBIT, d’ITIL et d’ISO 20000 (qualité des services informatiques)…

La solution maintenant proposée par l’ISO 31000 est un cadre de référence qui est chargé d’établir un dialogue entre les différents secteurs d’activité  de l’entreprise.

Cette norme s’organise autour de 4 sections :

1 – le vocabulaire

2 – les principes

3 – le cadre organisationnel

4 – le processus de management des risques

 L’ISO 31000  définit le risque comme “l’effet de l’incertitude sur l’atteinte des objectifs”… (“méthodologie au service de l’identification et de la gestion de tout évènement pouvant influencer de façon positive ou négative sur l’atteinte d’un objectif”).

Vous y trouverez d’ailleurs, maintenant rassemblés en un seul référentiel, les conseils et concepts  que vous connaissez déjà et dont vous avez pu suivre l’évolution ces dernières années, comme :

• la gestion globale et intégrée des risques …  l’harmonisation des pratiques des différents acteurs …
• l’intégration du management des risques dans la stratégie de l’entreprise…
• Le développement de la culture de gestion des risques …l’importance du rôle des décideurs, des responsables opérationnels …
• la gestion des risques, création de valeur … l’avantage concurrentiel …
• la prise en compte du facteur humain … le risque opérationnel (cf. affaire kerviel sur ce blog)…

Comme le démontre les schémas ci-après, nous retrouvons des processus similaires entre l’ISO 27005 (orientée sur la sécurité de l’information mais développant déjà cette “approche globale”) et l’ISO 31000  :

L’établissement du contexte

L’identification des risques

l’analyse des risques

l’évaluation des risques

Le traitement des risques

… et naturellement les principes PDCA de la roue de Deming (schéma en introduction du post et sur  ORCAE page 38).

A l’origine de cette approche de “gestion globale”, devant l’importance grandissante du capital immatériel en entreprise et le rôle central du système d’information, l’ISO 27005 est devenue le véritable pilier de la gestion des risques de la sécurité de l’information.

Reprenant les grands préceptes des normes spécifiques à tous les secteurs d’activité, l’ISO 31000 semble pouvoir, en complémentarité, aider l’entreprise à développer un consensus entre tous ses acteurs, notamment dans les règles directrices de sa stratégie de protection. Ne s’agit-il pas déjà de l’organisation du bon sens ?

Joseph Triquell – Avril 2010

 www.amrae.fr  (association pour le management des risques et des assurances de l’entreprise).

Méthode ORCAE - Organisation Réfléchie et Capacité d’Anticipation dans l’Entreprise.

O.R.C.A.E. ? … Pourquoi une autre méthode ? 

Son nom trahit ses objectifs  ! :   « Organisation Réfléchie et Capacité d’Anticipation pour l’ Entreprise » ; j’ai notamment voulu insister sur les notions de « stratégie globale » dans une culture « IE », d’ « organisationnel », d’« éthique », de « périmètre » d’entreprise, de « management des risques » … et fournir des véritables repères indispensables par une sorte de  « sentier balisé ».

Un complément d’information ponctuel sera toujours disponible sur ce blog (par exemple, canevas de charte …) … ou si vous souhaitez contribuer !

ICI  POUR  ACCEDER  A  LA  METHODE

J.Triquell