Vous êtes sur la page 1sur 5

CARTOGRAPHIE DES RISQUES : ENTRE AMELIORATION

DES PERFORMANCES & SECURISATION DES


OPERATIONS

Vendredi 6 juillet 2012, Mazars, Paris Newsletter n10 - Janvier 2013

SOMMAIRE
I. Compte-rendu du 11 dcembre 2012
II. Revue de presse
III. Agenda

INTERVENANTS

Olivier Lenel, Associ Consulting,


Mazars

Philippe Gaudy, Senior manager


Consulting, Mazars

Christine Cantournet, Directrice


juridique et des risques, Administrateur
de Socit Certifi

Rservez ds maintenant la date de la


prochaine Matinale Entreprises Mazars :

Le Jeudi 21 mars 2013 sur le thme :


LExternalisation de la fonction
comptable : un outil de cration de
valeur ?
1

Mazars, cest aussi le partenaire des entreprises de taille


intermdiaire ! Avec la mise en place des Matinales Entreprises
Mazars, raison de 6 7 sessions de petit-djeuner dbat par an,
Mazars vous propose un espace de rencontres et d'changes ddi.
Grce ces rendez-vous, nous souhaitons :
o vous faire bnficier de notre connaissance des meilleures
pratiques de grands groupes ;
o vous apporter des rponses rapides et sur-mesure grce notre
quipe prsente chaque rendez-vous et prte rpondre
chacune de vos interrogations, qu'elles concernent vos projets de
transformation, la matrise de vos risques, vos systmes
dinformation,
l'externalisation
d'un
dpartement,
votre
dveloppement l'international, la transmission de votre activit,
etc... ou la certification de vos comptes ;
o vous permettre d'accder l'ensemble de nos mtiers grce
notre capacit mobiliser toutes nos comptences en France et
l'international ;
o vous donner la possibilit de disposer de benchmark de vos
pratiques avec des socits de mme taille.
Une Newsletter vient complter ces rendez-vous vous permettant
ainsi de vous tenir inform des thmes abords, de vous prsenter
quelques points d'actualit en lien avec le sujet prsent et enfin de
vous donner la possibilit de rserver dans vos agendas les
prochaines dates des Matinales Entreprises Mazars.

avons fait le choix d'une dmarche simple mais


anime par des profils expriments et pertinents au
plan sectoriel.

I.COMPTE-RENDU DU 11
DECEMBRE 2012
Les
lments
dclencheurs
cartographie des risques

dune

Loin des enjeux de conformit, "cartographier des


risques" est surtout aujourd'hui pour les dirigeants
d'ETI un vritable outil de management. Au-del de la
gestion "intuitive" des risques, raliser une
cartographie des risques, avec la juste mesure et la
progressivit qui s'imposent, cest :

une dmarche participative, croisant stratgie et


oprations, pour le progrs global de l'entreprise,
entre collaborateurs d'un mme primtre (niveau
managrial, mtier, fonction, gographie, ...) ;

une clarification des vulnrabilits ventuelles


pouvant affecter la ralisation des objectifs
stratgiques, et la performance de l'entreprise ;

un partage de la ralit des pratiques de terrain


permettant souvent d'identifier certains carts et
de nuancer l'illusion du contrle absolu ;

l'anticipation de certaines menaces, pour se


donner les moyens d'en faire des opportunits ;
et

la possibilit de s'interroger sur la correcte


allocation des moyens de matrise de risques
aux vritables enjeux, mais galement sur leur
optimisation.

Internationalisation des ETI, innovation, digitalisation,


mais aussi acclration et judiciarisation des affaires
exposent forcment nos entreprises des sujets
nouveaux. Le contexte de crise vient galement
renforcer l'importance de se donner le temps de cette
rflexion sur les risques et notre exprience nous
montre que les entreprises l'ayant fait en ont tir des
enseignements rels et se sont donnes les moyens
de progresser.
Si les mthodologies mettre en oeuvre sont
aujourd'hui plutt dcrites, la qualit de leur mise en
oeuvre conditionne le rsultat et l'intrt pour
l'entreprise. Chez Mazars, nous sommes convaincus
que la capacit de la dmarche tre internalise
correspond la cible pour assurer la prennisation
du processus de gestion des risques. Aussi, nous
2

L'enjeu pour les ETI est de dpasser trs rapidement


l'exercice cartographique et de trouver le bon dispositif
de
gestion
des
risques
(organisation,
responsabilisation, processus, ...). C'est un point sur
lequel notre tmoin, Madame Christine Cantournet a
insist. Cet objectif doit imprativement tre
apprhend ds le lancement de la cartographie, pour
en faire un levier durable de performance.

Risques lis aux systmes dinformation :


Pourquoi la confiance ne suffit plus ? Vers
un modle partenarial entre la DSI et les
mtiers
Le systme dinformation supporte aujourdhui la plus
grande partie des processus mtiers et back-office
dune entreprise qui volue dans un environnement :
- qui tend vers une volution acclre des
technologies de linformation ; et
- qui expose ainsi lentreprise et ses actifs une
surface de risque de plus en plus large.
Or, la nature de ces risques est vaste (fraude,
confidentialit, image, non-conformit, ) mais
surtout, lorigine de ces risques peut se cacher dans
chaque strate dudit systme dinformation : processus
informatis
manquant
de
contrle,
donnes
incohrentes, programmes dfaillants, bases de
donnes non scurises, gouvernance inadquate,
Face au polymorphisme de ces risques
informatiques et face aux dommages colatraux
causs aux mtiers en cas dincident informatique,
nous assistons une prise de conscience plus ou
moins avance de lintrt pour les mtiers
considrer lorganisation en charge des systmes
dinformation comme un vritable partenaire.
Chez Mazars, nous recommandons la conduite dune
vritable analyse des risques informatiques comme
point de dpart de toute stratgie ou sa dclinaison
oprationnelle, plaant la criticit des processus mtier
au cur de la dmarche et induisant une rflexion
commune entre lIT et ses clients pour atteindre
les objectifs de couverture des risques.
Car sil nest pas reprochable au dirigeant dune ETI de
ne pas pallier tous les risques lis son systme
dinformation, il lest de ne pas les connatre !

Sur cette base, les ETI ne sont pas gales et nous


observons un niveau de maturit trs dispers :
- celles qui nadressent que les sujets fonctionnels
quotidiens ;
- celles qui ont su rflchir aux problmatiques autres
que fonctionnelles ;
- celles qui ont su mettre en place lorganisation pour y
rpondre de manire prenne (organigramme,
procdures, ) ; et
- celles inscrites dans une dmarche damlioration
continue (auto-valuation, ).

Cette maturit est clairement corrle avec la place


accorde lorganisation en charge du systme
dinformation au sein de lentreprise, au sein de
chaque tape du cycle de vie du systme
dinformation. Ces grands principes peuvent ainsi
servir dindicateurs sur le positionnement des ETI :







la conception des services informatiques requiert


une stratgie ;
les principes de gouvernance interne sont
tendre aux partenaires ;
la gestion des projets informatiques mrite une
mthodologie dfinie et suivie ;
le niveau de scurit intrinsque des SI est
perfectible et doit donc tre test ;
la gestion du sinistre informatique ne simprovise
pas et doit tre prpare et outille ;
la gestion des accs, lie au principe de
sparation des fonctions, constitue le chat
noir des systmes dinformation et doit faire
lobjet dune rflexion interne et approfondie ;
la ncessit de satisfaire une conformit
rglementaire doit tre qualife comme un besoin
et le SI assez agile pour lintgrer.

Enfin, le principe damlioration continue (plan, do,


check, act) doit simposer pour atteindre les objectifs
business supports par le systme dinformation et
son organisation.

Risques juridiques : une menace de plus en


plus prsente et protiforme. Comment
optimiser leur gestion par un meilleur
couplage entre oprationnels et juristes ?
Dans la multitude de risques auxquels une entreprise
est expose, un type de risque ressort comme tant
plus complexe apprhender et grer : le risque
juridique. Matriser les risques juridiques savre tre
un enjeu majeur tant ces derniers peuvent gravement
nuire lentreprise, ses dirigeants, ses
actionnaires, directement ou indirectement, en
dgradant ses valeurs, ses actifs et son image.

Quelle que soit leur taille, les entreprises voluent


dans un contexte marqu par une incertitude
juridique croissante : judiciarisation croissante des
relations daffaires, incertitude face aux volutions
rglementaires (en France et linternational), inflation
rglementaire, complexit sans cesse renforce du
Droit, tendance la pnalisation des fautes commises
par les dirigeants dentreprise Ces volutions
affectent les ETI au mme titre que de grands
groupes alors quelles nont pas toujours les
mmes moyens pour y faire face. Doivent-elles pour
autant se croire dsarmes et impuissantes face aux
risques juridiques ?

Selon notre exprience, le risque juridique (parfois


libell risque de non-conformit ou encore risque
rglementaire), figure souvent en bonne place dans
les cartographies gnrales de risques. Sil est
voqu, il est toutefois rarement prcisment dfini et
dlimit. La complexit du traitement des risques
juridiques rside en premier lieu dans la difficult de
dcliner les problmatiques juridiques en risques
oprationnels sur lesquels il est raisonnablement
possible dagir.

Nos convictions en la matire sont les suivantes :

II.REVUE DE PRESSE

a) Le juriste dentreprise, s'il fixe le cadre respecter,


conseille les oprations et se mobilise pour
sauvegarder les intrts de l'entreprise et de ses
salaris lorsque le risque est avr ou presque.
Or, il ne peut pas tre prsent sur chaque acte de
gestion et chaque dcision, c'est dire lors de la
prise de risque. Il doit donc pouvoir s'appuyer sur
des dispositifs qui permettent un dialogue rgulier
et proactif avec les oprations.

Risques lis aux systmes dinformation :


Pourquoi la confiance ne suffit plus ? Vers
un modle partenarial entre la DSI et les
mtiers

b) Selon notre exprience, les oprationnels


gagneraient, en parallle, se sentir plus
concerns par les enjeux juridiques majeurs de
leurs actes ou prises de position. Il est
important de leur donner eux aussi, qui ne sont
pour la plupart pas des juristes ou qui ne
connaissent pas les textes dans le dtail, les
moyens de mieux cerner les grands risques
juridiques et de s'autovaluer sur leur matrise.
c) Nos changes permanents avec les entreprises
nous montrent aussi toute l'importance de la
culture du risque, et en particulier du risque
juridique au sein des organisations. Le risque
juridique est par essence trs diffus, et peut
affecter n'importe quel processus de l'entreprise. Il
impose, outre les dispositifs classiques, un rel
dveloppement de cette culture.
d) Certains outils innovants peuvent venir supporter
et aider les juristes, dans leur dialogue avec les
dirigeants et les oprationnels, qui sont les
premiers concerns par le sujet du fait de leurs
actes de gestion. La cartographie des risques
juridiques vise trs prcisment cet objectif de
rapprocher les juristes et les oprations sur des
enjeux concrets qui exposent les entreprises et
constituent autant de points d'attention anticiper,
pour mieux matriser les risques juridiques.

Le rapport Bocquel, cit en sance et adopt par la


commission des affaires trangres, de la dfense et
des forces armes du Snat, dresse un tat des lieux
de la cyberdfense, sinscrivant dans la ligne des
rapports Labordes de 2006 et Romani en 2008.
http://www.senat.fr/rap/r11-681/r11-6811.pdf

En illustration du rapport Bocquel, la rcente attaque


du groupe Anonymous qui a drob et diffus des
informations personnelles et professionnelles des
banquiers amricains.
http://www.linformaticien.com/actualites/id/27963/lesanonymous-visent-les-banquiers-us.aspx

La panne informatique de la banque RBS, cite en


sance, avait pour origine limplmentation dune
volution du logiciel mtier.
http://www.reseaux-telecoms.net/actualites/lire-lapanne-informatique-de-la-banque-rbs-coutera-175millions-de-livres-25073.html

Tout rcemment, la fraude de 14 millions dEuros chez


PBM illustre lattaque par ingnierie sociale.
http://www.bfmtv.com/societe/14-millions-deurossoutires-telephone-a-une-societe-dimport-436434.html

Enfin, lAgence Nationale de Scurit des Systmes


dInformation (ANSSI) vient de publier un guide de
bonnes pratiques de scurit lattention des
entreprises.
http://www.ssi.gouv.fr/fr/bonnespratiques/recommandations-et-guides/securite-duposte-de-travail-et-des-serveurs/l-anssi-publie-laversion-finalisee-du-guide-d-hygiene-informatique.html

III.AGENDA : RESERVEZ DORES


ET DEJA LA PROCHAINE DATE
DES MATINALES ENTREPRISES
MAZARS !
Programme 2013

Informations pratiques
Lieu

DATE

Jeudi 21 mars 2013

Mardi 23 avril 2013

THEME
LExternalisation de la fonction
comptable : un outil de
cration de valeur ?

Tour Mazars
61, rue Henri Regnault
92075 La Dfense

Horaires
8h15 : caf daccueil
8h45 10h : confrence - dbat
10h 10h30 : questions / rponses

Financement des ETI

Contact email : matinales@mazars.fr

Jeudi 6 juin 2013

Comment optimiser votre


BFR ?

Mardi 2 juillet 2013

Matrise des risques


informatiques

Retrouvez toute lactualit des E.T.I. et restez en contact avec


nos experts en rejoignant le Club des ETI :
Club des ETI

CONTACTS
Mazars
Manuela Baudoin-Revert
Associe Audit
+33 (0) 1 49 97 65 28
manuela.baudoin-revert@mazars.fr

Mazars
61, rue Henri Regnault
92075 Paris - La Dfense Cedex
France
Phone: +33 (0) 1 49 97 60 00
Fax: +33 (0) 1 49 97 00 01

Eric Schwaller
Associ Audit
+33 (0) 1 49 97 67 21
eric.schwaller@mazars.fr
Olivier Lenel
Associ Consulting
+33 (0) 1 49 97 63 83
olivier.lenel@mazars.fr

Plus de dtails disponibles sur


www.mazars.fr