Vous êtes sur la page 1sur 163

UNIVERSITE DE LA MANOUBA

Institut Supérieur de Comptabilité et d’Administration des Entreprises


(I.S.C.A.E)

COMMISSION D’EXPERTISE COMPTABLE

Mémoire présenté en vue de l’obtention


du Diplôme d’Expertise Comptable

LE PROCESSUS DE RISK MANAGEMENT : PRESENTATION ET


MISE EN ŒUVRE CHEZ UN OPERATEUR DE TELEPHONIE
MOBILE

Proposé par : Encadré par :


Najla CHARFI BEN AMOR Monsieur Fayçal DERBEL

_________________________________ Juin 2009 _________________________________


II
LISTE DES ABREVIATIONS ET DES TERMES ANGLAIS

AIRMIC Association of Insurance and Risk Management


AMRAE Association pour le Management des Risques et des Assurances
de l’Entreprise
ANAES Agence Nationale d’Accréditation et d’Evaluation en Santé
Arcep Autorité de régulation des télécoms (en France)
ARPU Average Revenue Per Unit: Revenu moyen par client
Back-up Sauvegarde
Benchmarking Analyse comparative
CAC 40 Cotation Assistées en Continues (Bourse des Valeurs de Paris)
Call Center Centre d’appel
CHURN Contraction de l'anglais change and turn. Déconnexion d’un
abonné
CIGREF Club Informatique des Grandes Entreprises Françaises
C-Level Officers Comité de direction
CLUSIF Club de la Sécurité de l’Information Français
Corporate Governance Gouvernement d’entreprise
COSO Committee of Sponsoring Organizations of the Treadway
Commission
CREFIGE Centre de Recherche Européen en Finance et Gestion
(Université Paris-Dauphine)
CRO Chief Risk Officer
Deadlines Délais d’exécution
DFCG Association nationale des directeurs financiers et de contrôle de
gestion
DG Directeur Général
EDGE Enhanced Data rates for GSM Evolution
ERM Enterprise Risk Management
ETSI European Telecommunications Standards Institute
E&Y Ernest & Young

III
FERMA Federation of European Risk Management Associations
GPRS General Packet Radio Service
GSM Groupe Spécial Mobile qui en 1992 a été rebaptisé Global
System for Mobile Communications tout en conservant le même
acronyme « GSM ».
HLR Home Location Register
HSCSD High Speed Circuit Switched Data
HSDPA High Speed Downlink Packet Access
IERSE Institut d’Etude et de Recherche pour la Sécurité des Entreprises
IFAC International Federation of Accountants
IFACI Institut Français de l'Audit et du Contrôle Interne
IIA The Institute of Internal Auditors
INT Instance National des Télécommunications
ISA International Standard of Auditing
IT Governance Gouvernance des Systèmes d’Informations
IT Risk Manager Responsable des risques informatiques
LSF Loi sur la sécurité financière
Management Gestion
MMS Multimedia Messaging Service
MPA Modalité Pratique d’Application
NRE Nouvelles Régulations Economiques
OCDE Organisation de Coopération et de Développement Economiques
PDG Président Directeur Général
PIB Produit Intérieur Brut
PMR Processus de Management des Risques
Process Processus
PwC PriceWaterhouseCoopers
RIMS Risk and Insurance Management Society
Risk Management Gestion des risques
Risk Manager Gestionnaire des risques
Roaming Conventions d’itinérance
SAV Service Après Vente
Shareholders Les actionnaires
SI Systèmes d’Informations

IV
SMS Short Message Service
SOX Sarbanes- Oxley Act
Stakeholders Parties prenantes autre que les actionnaires (salarié, tiers, etc.)
SWITCH Mobile Services Switching Center
TIC Technologies de l’information et des communications
Tone at The Top Ton donné par le Top Management
Top Management Direction générale et conseil d’administration
UMTS Universal Mobile Telecommunications System
Workshops Groupes de travail

V
PLAN DETAILLE

INTRODUCTION GENERALE……………………………………………………………………1

PREMIERE PARTIE : PRESENTATION DU SECTEUR DE LA TELEPHONIE MOBILE ET NECESSITE


DE GERER LES RISQUES Y AFFERANT……………………………………......………................5

INTRODUCTION DE LA PREMIERE PARTIE……………………………………….......................

CHAPITRE 1 : PRESENTATION DU SECTEUR DE LA TELEPHONIE MOBILE……………………6

SECTION 1 : LE SECTEUR DES TELECOMMUNICATIONS : UN SOUS-SECTEUR DE L’INDUSTRIE DES


TIC ……………………………………………………………………………………………...6

1 Définition de l’industrie des TIC…………………………………………………………..6


2 Développement du secteur de la téléphonie mobile dans le cadre de l’évolution des
télécommunications………………………………………………………………………..9
2.1 Historique du secteur……………………………………………………………..10
2.2 Evolution du parc mondial d’abonnés……………………………………………12

SECTION 2 : LE SECTEUR DES TELECOMMUNICATIONS EN TUNISIE…………………………….13


1 Aspects législatifs et réglementaires……………………………………………………...14
2 Evolution du secteur et ouverture à la concurrence………………………………………15
2.1 Evolution du secteur…………………………………………………………...…15
2.2 Ouverture à la concurrence……………………………………………………….16

CHAPITRE 2 : LA NOTION DE RISQUE : CONCEPTS DE BASE ET APPLICATIONS AU SECTEUR


DE LA TELEPHONIE MOBILE……………………………………..............................................18

SECTION 1 : LES CONCEPTS DE BASE…………………………………………………………..18


1 Vers une définition du risque……………………………………………………………..19
1.1 Qu’est ce qu’un risque …………………………………………………………...19

VI
1.2 Evolution de la notion de risque………………………………………………… 22
2 Classification des risques et niveau de granularité……………………………………….24
2.1 Classification des risques…………………………………………………………24
2.1.1 Risques endogènes et risques exogènes……………………………………..24
2.1.2 Risques stratégiques, opérationnels, financiers et de conformité…………...27
2.1.3 Risques purs et risques spéculatifs…………………………………………..30
2.1.4 Risques bruts et risques résiduels……………………………………………31
2.2 Niveau de granularité……………………………………………………………..32

SECTION 2 : APPETENCE POUR LE RISQUE……………………………………………………..33


1 Seuil de tolérance…………………………………………………………………………33
2 Risque acceptable…………………………………………………………………………34

CHAPITRE 3 : IMPERATIF DE LA GESTION DES RISQUES…………………………………….36

SECTION 1 : LA GESTION DES RISQUES PARTIE INTEGRANTE DE LA GOUVERNANCE


D’ENTREPRISE….……………………………………………………………………………...36

1 Définition et origine du terme gouvernance………………………………………………37


2 Panorama du contexte réglementaire……………………………………………………..39
3 Les acteurs de la gouvernance d’entreprise………………………………………………41
3.1 Le management…………………………………………………………………...42
3.2 Le conseil d’administration et les différents comités qui le composent………….42
3.2.1 Le conseil d’administration………………………………………………….42
3.2.2 Les comités spécialisés du conseil d’administration………………………...44
3.3 Les actionnaires…………………………………………………………………...47
3.4 Les stakeholders ou autres parties prenantes………………………………… …..49

SECTION 2: LIMITES DES APPROCHES TRADITIONNELLES ET NAISSANCE DU CONCEPT


D’« ENTERPRISE RISK MANAGEMENT »………………………………… ……………………50
1 Limites des approches traditionnelles…………………………………………………….51
2 Naissance du concept d’ERM ……………………………………………………………52
2.1 Présentation du référentiel : Le COSO II et évolution par rapport au COSO I……….52
2.2 Etat des lieux du Risk Management et évolution du cadre réglementaire…………….55
2.3 Emergence de la fonction de « Risk Manager » …………………………………. ….57

VII
CONCLUSION DE LA PREMIERE PARTIE ………………………………………………….….60

DEUXIEME PARTIE : PRESENTATION DU PROCESSUS DE MANAGEMENT DES RISQUES ET

ETAPES DE SA MISE EN PLACE …………………………………………………………….….61

INTRODUCTION DE LA DEUXIEME PARTIE…………………………………………………...62

CHAPITRE 1 : PRESENTATION DU PROCESSUS DE MANAGEMENT DES RISQUES………….…63

SECTION 1 : DEFINITION DU PROCESSUS DE MANAGEMENT DES RISQUES……………………...63


1 Définition et objectifs du PMR…………………………………………………………...63
1.1 Définition……………………………………………………………………………...63
1.2 Objectifs……………………………………………………………………………….64
2 Les composantes du PMR………………………………………………………………...65

SECTION 2 : LES ACTEURS DU PROCESUUS DE MANAGEMENT DES RISQUES……………………65


1 Le Top Management……………………………………………………………………...66
2 Les directions opérationnelles…………………………………………………………….67
3 Le Risk Manager………………………………………………………………………….68
4 L’auditeur interne…………………………………………………………………………70
4.1 Rôle de l’audit interne en présence d’un processus de management des risques..71
4.2 Rôle de l’audit interne en l’absence d’un processus de management des risques..72
4.3 Risques encourus…………………………………………………………………72
5 Le commissaire aux comptes……………………………………………………………..75

CHAPITRE 2 : MISE EN PLACE DU PMR : GUIDE METHODOLOGIQUE………………………76

SECTION 1 : LES ETAPES DE MISE EN PLACE DU PMR…………………………………………..76


1 Présentation générale de la démarche…………………………………………………….76
2 Identification des objectifs stratégiques de l’organisation……………………………….77
3 Appréciation du risque……………………………………………………………………78
3.1 Analyse du risque…………………………………………………………………78
3.1.1 Identification des risques……………………………………………………78

VIII
3.1.2 Description des risques……………………………………………………...84
3.2 Evaluation et hiérarchisation……………………………………………………..85
3.2.1 Evaluation…………………………………………………………………...85
3.2.2 Hiérarchisation………………………………………………………………89
4 Traitement du risque……………………………………………………………………...89
4.1 Accepter le risque…………………………………………………………………91
4.2 Réduire ou maîtriser le risque…………………………………………………….91
4.3 Transférer ou partager le risque…………………………………………………..92
4.4 Eviter le risque……………………………………………………………………94
5 Pilotage et suivi…………………………………………………………………………...94

SECTION 2 : LA CARTOGRAPHIE DES RISQUES RESIDUELS : ELEMENT CLE DU PMR……..……...95


1 Définition et objectifs de la cartographie des risques…………………………………….95
1.1 Définition…………………………………………………………………………95
1.2 Objectifs…………………………………………………………………………..96
2 Approches Top-Down et Bottom-Up………………………………… ………………….98
2.1 Approche Top-Down……………………………………………………………..99
2.2 Approche Bottom-Up……………………………………………………………100
2.3 Complémentarité entre ces deux approches……………………………………..101
3 Communication de la cartographie des risques…………………………………………102
3.1 En interne………………………………………………………………………..102
3.2 A l’extérieur de l’entreprise……………………………………………………..102
4 Gérer les risques liés à la mise en place d’une cartographie des risques………………..103

CONCLUSION DE LA DEUXIEME PARTIE………………………………… …………………105

TROISIEME PARTIE : APPLICATION DE LA DEMARCHE A UN OPERATEUR DE TELEPHONIE

MOBILE………………………………………………………………………………………107

INTRODUCTION DE LA TROISIEME PARTIE…………………………………………………108

CHAPITRE 1 : PREALABLES A LA MISE EN PLACE DU PMR ………………………………...109

SECTION 1 : LES PREALABLES ORGANISATIONNELS………………………………………….109

IX
1 Volonté des dirigeants…………………………………………………………………..109
2 Découpage de l’activité en processus…………………………………………………....110
3 Mise en place d’un système de contrôle interne………………………………………....111
4 Développement d’une culture de risque au sein de l’entreprise…………………………111

SECTION 2 : MISE EN PLACE DES MOYENS NECESSAIRES……………………………………..113


1 Désignation d’une équipe……………………………………………………………….113
2 Positionnement du Risk Manager……………………………………………………….115
3 Développement de la formation en matière de gestion des risques……………………..116
3.1 Le risk manager…………………………………………………………………117
3.2 Les managers……………………………………………………………………117
3.3 Les employés……………………………………………………………………117
4 Positionnement des opérationnels au cœur du dispositif………………………………..118
5 Rédaction d’un manuel de Risk Management et définition d’un langage commun.....…118

CHAPITRE 2 : CONSTRUCTION DE LA CARTOGRAPHIE DES RISQUES ET PROPOSITION DE


LEUR TRAITEMENT………………………………………………………………………….120

SECTION 1 : LA CARTOGRAPHIE DES RISQUES ……………………………………………….120


1 Définition des objectifs stratégiques de l’opérateur et mise en place d’un planning
d’intervention……………………………………………………………………………120
2 Etablissement de la cartographie des processus…………………………………………121
3 Rattachement des risques aux objectifs ……………………………………………... …122
4 Evaluation et hiérarchisation des risques………………………………………………..124
5 Construction de la cartographie des risques……………………………………………..126

SECTION 2 : TRAITEMENT DES RISQUES ET MISE A JOUR DE LA CARTOGRAPHIE………………129


1 Traitement des risques identifiés………………………………………………………...129
2 Evolution de la cartographie des risques………………………………………………...130

CONCLUSION DE LA TROISIEME PARTIE……………………………………………………132

CONCLUSION GENERALE……………………………………………………………………133

X
ANNEXES………………………………………………………………………………….…136

Annexe 1 : Les 10 règles d’or pour un entretien d’identification des risques opérationnels..136
Annexe 2 : Exemple de questionnaire d’analyse du risque ayant été développé chez un
opérateur de téléphonie mobile lors de la mise en place initiale d’un PMR ……137

BIBLIOGRAPHIE……………………………………………………………………………..144

XI
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

INTRODUCTION GENERALE

Propulsée sur le devant de la scène dans un environnement marqué par la complexité et


l’incertitude ; remontée ces derniers années des préoccupations du spécialiste des assurances à
celles de la direction générale de l’entreprise, la thématique des risques et de leur gestion
mérite que l’on s’y intéresse.

En effet, la notion de Risk Management est au cœur de l’actualité du monde managérial de


ces dernières années. Le XXIème siècle a été marqué par une série de scandales très
médiatisés ayant poussé les entreprises à prendre conscience de la nécessité d’anticiper les
vulnérabilités qui les entourent. Les difficultés, voire les faillites, de grandes multinationales
comme Enron, Worldcom, Exxon…causées, notamment, par un système de gestion des
risques inadéquat n’en sont que des exemples.

En réponse à cette succession de crises, plusieurs pays ont dû réagir en promulguant des lois
visant à améliorer la sécurité financière dans le but de rétablir la confiance des investisseurs.
C’est ainsi que des lois comme la loi SOX1 aux Etats-Unis (pionnière en la matière), la LSF2
en France ou encore la loi relative au renforcement de la sécurité des relations financières en
Tunisie3 ont vu le jour.
Toujours dans cet esprit, partagé par les organisations professionnelles qui composent le
COSO, PwC fût mandaté pour conduire des travaux qui ont abouti en septembre 2004 à la
publication de l’« Entreprise Risk Management- Integrated Framework » plus connu sous le
nom de « COSO II » constituant ainsi le premier référentiel internationalement reconnu en
matière de gestion des risques des entreprises.

1
Sarbanes- Oxley Act du 30 Juillet 2002.
2
Loi sur la sécurité financière en France. Loi n°2003-706 du 1er août 2003.
3
Loi n°2005-96 du 18 octobre 2005.

1
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Toutes ces réglementations prônent la prise en compte et la gestion de l’ensemble des risques
de l’entreprise de façon organisée et formalisée. En effet, l’approche traditionnelle de gestion
des risques en silos, couplée à l’ignorance quasi totale des risques autres que purement
financiers, est jugée insuffisante. Elle ne répond plus aux besoins de l’entreprise qui, face à un
environnement en perpétuelle mutation, doit faire face à des risques de plus en plus diversifiés
et importants.

Toutefois, et aussi vertueuse soit-elle, la mise en place d’une démarche « moderne » de Risk
Management implique une adaptation de l’organisation de l’entreprise et modifie les relations
entre les différents acteurs. C’est un processus long, coûteux et difficile à mettre en place.

Nous avons choisi d’étudier ce thème et de l’aborder dans le contexte particulier du secteur de
la téléphonie mobile. Il s’agit d’un secteur en plein essor, aussi bien à l’échelle nationale
qu’internationale, qui a connu un développement effréné ces dernières années. En effet, le
parc mondial d’abonnés mobiles compte plus de 3 535 millions d’abonnées, soit 50% de la
population mondiale, avec des taux de pénétration dépassant les 100% dans certains pays.

Il s’agit d’un secteur économiquement stratégique générant des investissements et des


rendements colossaux. Rien qu’en 2007, les deux opérateurs de téléphonie mobile implantés
en Tunisie ont affiché des résultats nets avoisinant les 255 MDT et un chiffre d’affaires de
plus de 1 876 321 MDT.4

L’évolution et la dynamique de ce secteur dans notre pays ne sont plus à démontrer surtout
après la décision d’ouverture du marché à la concurrence et l’arrivé, en 2002, d’un nouvel
opérateur privé. Dans les quelques prochains mois, un troisième opérateur viendra s’imbriquer
aux deux premiers sur un marché déjà très concurrentiel.

Pour ces entreprises, la gestion des risques, dans son acception moderne du terme, n’a rien
d’un effet de mode mais constitue une nécessité absolue. En effet, le développement et la

4
Source : « Classement des 50 plus grandes entreprises tunisiennes » publié par Le Groupe Jeune Afrique dans
son hors série annuel du 31/12/2008 et l’article « Tunisiana : un chiffre d’affaires en augmentation de 18% en
2007 » paru sur webmanagercenter le 14 Mars 2008.

2
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

pérennité de ces entreprises ne peuvent être envisagés en dehors d’un bon système de
gouvernance d’entreprise et notamment une gestion organisée et formalisée des risques.

Sans prétendre à la présentation d’une démarche universelle, nous essayerons à travers ce


mémoire :
- De mettre l’accent sur l’insuffisance des approches traditionnelles de gestion des
risques et la nécessité de les faire évoluer vers des approches plus structurées
s’intégrant dans la stratégie globale de l’entreprise dans le cadre d’une approche
portefeuille du risque,
- De présenter quelques éléments de réponses aux questions et aux difficultés que
peuvent rencontrer les opérateurs de téléphonie mobile ayant décidé de se lancer dans
cette grande aventure qu’est le Risk Management,
- De vulgariser cette notion dans le tissu économique tunisien, et
- D’adapter les recommandations théoriques à la réalité du terrain et ce à travers la
présentation d’un cas pratique de mise en place de la fonction de risk management
chez un opérateur de téléphonie mobile.

Pour ce faire, notre étude sera présentée en trois parties distinctes :

• Dans la première partie nous insisterons sur le poids du concept de gestion des risques
dans le cadre d’un bon système de gouvernance d’entreprise chez un opérateur de
téléphonie mobile.
Nous commencerons donc par présenter le secteur de la téléphonie mobile en insistant à la
fois sur son impact stratégique au niveau des économies nationales et internationales, et
sur la multitude de risques auxquels font face les entreprises opérant dans ce secteur.
Nous décrirons ensuite les différentes phases d’évolution de la notion de risque en passant
d’une approche traditionnelle à celle de management des risques à proprement parler.
Pour ce faire nous nous baserons essentiellement sur les travaux du COSO dans sa
première version pour enfin aboutir au premier référentiel international reconnu en
matière de gestion des risques à savoir le COSO II ou « ERM ».

3
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• La deuxième partie sera consacrée à la présentation du référentiel ci-dessus mentionné et


aux différentes étapes de sa mise en place en mettant l’accent sur une des composantes
essentielles du processus de management des risques à savoir la cartographie des risques.
• La troisième partie traitera d’un aspect plus pratique dans la mesure où nous présenterons
un cas réel de mise en place d’un processus de management des risques chez un opérateur
de téléphonie mobile en mettant le focus sur les facteurs de réussite d’une telle
implémentation. Pour ce faire nous nous baserons sur notre propre expérience et sur des
témoignages de professionnels ayant tentés cette expérience dans leur propre entreprise.

4
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

PREMIERE PARTIE

PRESENTATION DU SECTEUR DE LA TELEPHONIE MOBILE


ET NECESSITE DE GERER LES RISQUES Y AFFERANT

5
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

INTRODUCTION DE LA PREMIERE PARTIE

Le premier appel téléphonique a eu lieu le 10 mars 18765 et a entamé une évolution qui a
révolutionnée la communication humaine. A l’aube de ce millénaire, nul ne peut contester le
développement effréné qu’a connu le monde des télécommunications en général et celui de la
téléphonie mobile en particulier.

Historiquement, les opérateurs de téléphonie mobile évoluaient dans un environnement stable


et monopolistique. La notion de risque faisait référence aux risques purement financiers que
pouvaient rencontrer les entreprises et qui étaient le plus souvent gérés à leur survenance.

Ces temps sont révolus. De nos jours, ces entreprises évoluent dans un environnement instable
et très concurrentiel. En effet, et comme tous les produits de haute technologie, celui de la
téléphonie mobile est en perpétuelle mouvance et connaît de très fortes évolutions. C’est ainsi
que la prise de risque constitue le quotidien de tout opérateur qui est appelé à être à la pointe
de la technologie en lançant continuellement des produits de plus en plus innovants, en
faisant face à une concurrence de plus en plus acharnée, à des engagement financiers souvent
colossaux…

Ces changements ont naturellement menés les dirigeants de ces entreprises à faire évoluer
leurs manières de percevoir et de gérer les risques liés à leur activité. Il devient vital
d’abandonner les approches dites traditionnelles de gestion des risques et de mettre en place
un dispositif basé sur un management efficient et sur une gestion plus rigoureuse des risques.

5
Alexandre Graham Bell effectue le premier appel téléphonique à Boston avec l'aide de son assistant Thomas
Watson.

6
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 1

PRESENTATION DU SECTEUR DE LA TELEPHONIE MOBILE

Le secteur de la téléphonie mobile est un secteur omniprésent dans tous les pays du Monde. Il
est en effet impossible d’imaginer la vie au XXIème siècle en dehors de ce secteur ou de celui
des télécoms dans un sens plus large.

SECTION 1 : LE SECTEUR DES TELECOMMUNICATIONS : UN SOUS-SECTEUR DE L’INDUSTRIE


DES TIC

Avant de débuter avec une présentation du secteur des télécommunications, nous devons
d’abord fournir une description sommaire de l’industrie plus globale dans laquelle le secteur
des télécommunications s’insère, soit celle des technologies de l’information et des
communications (TIC).

1 Définition de l’industrie des TIC

L’industrie des technologies de l’information et des communications regroupe une multitude


d’activités qui rendent difficile sa définition. Nous pouvons toutefois dire que l’industrie des
TIC regroupe des activités qui produisent des biens et services supportant le processus de
numérisation de l’économie, c’est-à-dire la transformation des informations utilisées ou
fournies en informations numériques, plus facilement manipulables, communicables,
stockables, restituables… Elle comporte ainsi des activités d’édition et de fabrication de biens
(composantes, pièces, équipements, logiciels…) et des activités de livraison de services
(installation, conseil, entretien, opération, vente). C’est un secteur à forte dépendance
technologique avec un potentiel de rentabilité élevé conjugué à une prise de risque au
quotidien.

Le secteur des TIC de part son dynamisme et les effets qu’il induit sur les différents secteurs

7
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

économiques, constitue l’une des principales locomotives de l’économie mondiale. En effet,


l’impact de ce secteur sur l’économie est essentiel.
Comme le montrent les tableaux ci-dessous, ce secteur contribue, de manière directe, à
hauteur de 7, 3% du PIB mondial (Figure 1) et totalise un investissement de près de 2 894
billions d’Euro (Figure 2) et ce pour la seule année de 2008.

Contribution des secteurs du DigiWorld 6 au PIB mondial


(% du PIB) 2005 2006 2007 2008
Equipement Télécom 0,6% 0,6% 0,6% 0,6%
Services Télécom 2,7% 2,6% 2,7% 2,7%
Equipement IT 0,9% 0,8% 0,8% 0,8%
Services et software IT 1,7% 1,7% 1,8% 1,8%
Services TV 0,7% 0,7% 0,7% 0,7%
Electronique grand publique 0,7% 0,7% 0,8% 0,8%
Total TIC 7,3% 7,3% 7,3% 7,3%
Figure 1 : Le poids des TIC dans l’économie7

Marché mondial du DigiWorld par secteur


(billion Euro) 2005 2006 2007 2008
Equipement Télécom 202 214 218 225
Services Télécom 889 945 1 004 1 065
Equipement IT 286 298 311 320
Services et software IT 576 616 660 700
Services TV 243 258 268 281
Electronique grand publique 242 267 288 303
Total 2 438 2 597 2 749 2 894
Figure 2 : Marché mondial du DigiWorld par secteur 8

Le développement fulgurant de ce secteur a été rendu possible notamment grâce à une de ses
composantes essentielles à savoir le secteur des télécommunications, qui représente à lui seul
un peu moins de la moitié de cette industrie (44%).
6
On définit le DigiWorld comme recouvrant tous les secteurs qui sont déjà basés, ou en voie de l'être, sur les
technologies numériques:
- Services de télécommunications: téléphonie fixe et mobile, transmission de données et d'images;
- Equipements de télécommunications: équipements de réseaux publics, systèmes privés, terminaux,
logiciels et services associés;
- Logiciels et services informatiques: traitement de l'information;
- Matériel informatique : mainframes, PC et périphériques, équipements de transmission de données ;
- Services audiovisuels : TV, vidéo, cinéma ;
- Electronique grand public : équipements audio et vidéo.
7
Source « DigiWorld Year Book 2008 : Les enjeux du Monde Numérique », Edition IDATE, 2009.
8
Source « DigiWorld Year Book 2008 : Les enjeux du Monde Numérique », Edition IDATE, 2009.

8
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

10% 8%
Telecom equipment
10%
Telecom services

Computer hardware
36%
25% Software and computer services

TV services

11% Consumer electronics

Figure 3 : Répartition des marchés mondiaux du DigiWorld par secteur en 2008 9

Le marché mondial des services des télécommunications a augmenté d’un peu plus de 6% en
2006 et en 2007 pour atteindre 1 004 milliards Euros, dont près de la moitié proviennent des
services mobiles. 10

Au niveau de ce mémoire nous nous intéresserons à un volet particulier du secteur des


télécommunications à savoir celui de la téléphonie mobile qui a connu un essor sans
précédent durant les dernières décennies.

2 Développement du secteur de la téléphonie mobile dans le cadre de l’évolution des


télécommunications

A l’aube de ce millénaire, nul ne peut contester le développement effréné qu’a connu le


secteur de la téléphonie mobile. De nos jours, la vie sans téléphone mobile n'est, tout
simplement, plus concevable11.

9
Source « DigiWorld Year Book 2008 : Les enjeux du Monde Numérique », Edition IDATE, 2009.
10
Source « DigiWorld Year Book 2008 : Les enjeux du Monde Numérique », Edition IDATE, 2009.
11
Le taux de pénétration des mobiles atteint des proportions inouïes dans la plupart des pays du Monde. A titre
d’exemple et selon les chiffres publiés par l'Autorité de régulation des télécoms (Arcep) en août 2008 plus de
88% de la population française est équipée d'un téléphone portable. Ce taux est de 146 et 112% respectivement
en Italie et en Allemagne (DigiWorld 2008). En Tunisie, et selon le ministre des télécommunications, ce taux a
atteint les 80% en juin 2008.

9
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

En effet, l’introduction du GSM12 dans les années 90 a été une véritable révolution offrant au
grand public une mobilité illimitée. Comme le GSM s’adressait à un marché de masse, les
téléphones mobiles sont devenus à la portée d'un grand nombre d’utilisateurs.
Aujourd’hui les téléphones mobiles font désormais partie de notre quotidien.

Bien qu'à l'origine, la communication mobile fût conçue pour des appels vocaux, son futur se
trouve de plus en plus dans le monde de la transmission de données. Ceci inclut l'envoi et la
réception des photos et des vidéos, ainsi que l'utilisation des applications basées sur l'Internet
mobile.

2.1 Historique du secteur

Le premier appel téléphonique au monde a eu lieu le 10 mars 1876 et a entamé une évolution
qui a révolutionné la communication humaine et changé l’histoire. En effet, plusieurs
générations de téléphonie se sont succédées au fil du temps alimentant ainsi une demande
insatiable de communication. Ce développement s’est particulièrement accentué durant ces
dernières années avec l’apparition de la téléphonie mobile.

Au milieu des années 80, un grand nombre de systèmes analogiques de téléphonie mobile de
la première génération (1G), incompatibles entre eux, ont été introduits en Europe, aux Etats-
Unis et au Japon. Les normes les plus connues étaient l'AMPS (aux États-Unis et au Canada),
le TACS (en Angleterre, en Italie et en Autriche), le Radiocom 2000 (en France), le C 450 (en
Allemagne et au Portugal) ainsi que le NMT (dans tous les pays nordiques, dans les États du
Benelux ainsi qu'en Suisse).

La croissance de ces systèmes de téléphonie mobile analogiques conventionnels a rapidement


montré qu'il était nécessaire de planifier un système numérique doté d'une capacité nettement
plus élevée, qui en outre soit compatible sur le plan international, et qui remplace le
patchwork des différents réseaux analogiques existants.

12
Groupe Spécial Mobile qui en 1992 a été re-baptisé Global System for Mobile Communications tout en
conservant le même acronyme « GSM ».

10
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

De 1982 à 1990, l'ETSI (European Telecommunications Standards Institute) développe la


norme GSM en collaboration avec l'industrie européenne et les exploitants de réseau. Il s'agit
de la première norme mondiale numérique de téléphonie mobile dotée de caractéristiques
modernes créée avant tout pour être utilisée au-delà des frontières (Roaming) et constituant
ainsi la deuxième génération de téléphonie mobile (2G).

En 1994 le GSM supplante les systèmes analogiques nationaux incompatibles entre eux. C'est
enfin le standard unique, attendu par tous. L'Europe veut faire de son système GSM la norme
mondiale.

A l'origine prévu pour le service de téléphonie vocale, le GSM a rapidement montré ses
limites en termes de transmission de données. Cette norme a donc due être dotée de nouvelles
fonctionnalités comme le HSCSD (High Speed Circuit Switched Data), le GPRS (General
Packet Radio Service) et l’EDGE (Enhanced Data rates for GSM Evolution). Ces services
permettent des débits de transmission de données plus élevés et constituent la base de
nouveaux services innovateurs formant ainsi la génération dite 2,5G.

L’UMTS (Universal Mobile Telecommunications System), en est la troisième génération


(3G). Elle a été spécifiquement conçue pour une transmission de données largement plus
rapide. L'UMTS représente une vraie révolution dans le monde des télécoms puisqu'elle offre
un débit largement plus élevé permettant la transmission de vidéos et autres applications en
temps réel. Aujourd'hui, grâce à cette technologie, il est même possible de regarder la
télévision directement sur le téléphone mobile.
A peine la 3G est-elle commercialisée qu'arrive la 3,5 G avec des performances dix fois
supérieures. Le HSDPA (High Speed Downlink Packet Access), parfois appelé 3G+
(dénomination commerciale), est une évolution logicielle de l’UMTS avec des débits encore
plus importants.

11
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Figure 4 : Illustration de l’évolution de la technologie mobile au fil des années 13

2.2 Evolution du parc mondial d’abonnés

Cette évolution de la technologie a été suivie par une croissance assez soutenue du parc
mondial d’abonnés mobiles. Selon la Fondation IDate, cette croissance a été de l’ordre de
+11% en 2008 pour atteindre les 3 535 millions d’abonnées soit 50% de la population
mondiale et ces chiffres ne cessent de croître notamment grâce au développement des pays
émergents.

(million) 2004 2005 2006 2007 2008


Europe 558 692 800 860 890
Union Européenne 369 406 439 471 482
France 44 48 52 55 57
Allemagne 71 79 85 93 95
Italie 63 72 80 85 87
Espagne 39 43 47 49 50
Royaume Uni 62 69 72 73 73
Russie 69 126 156 161 165

13
« Formation GSM, GPRS, Réseau Mobile, Wimax, EDGE, UMTS » (Siemens-Janvier 2008).

12
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Amérique du Nord 197 225 252 270 287


Asie/Pacifique 669 816 1 054 1 323 1 538
Chine 317 374 444 525 599
Inde 48 76 150 225 298
Japon 85 90 95 100 104
Amérique Latine 168 233 296 361 409
Afrique/Moyen Orient 113 188 268 363 411
Total 1 705 2 153 2 670 3 178 3 535
Figure 5 : Abonnés cellulaires dans le monde 14

SECTION 2 : LE SECTEUR DES TELECOMMUNICATIONS EN TUNISIE

Petit pays doté de peu de ressources, la Tunisie mise sur son capital humain pour relever les
défis de la modernité. Avec 24% de taux de contribution à la croissance totale du pays en
2005, le marché des télécommunications tire vers le haut la croissance du pays, et justifie les
importants investissements prévus.
Lors du « 33éme GSM Arab World » tenu à Hammamet en Juin 2008, M.El Hadj Gley,
Ministre des Technologies de la Communication tunisien a affirmé que « La contribution du
secteur des nouvelles technologies de l’information et des communications au Produit
Intérieur Brut tunisien est passée, en marge, de 5 ans, de 3,9% en 2001 à 8% en 2006 ». Cette
évolution a atteint les 10% en 200815.
Le ministre a également mentionné que « l’objectif est de renforcer cette contribution afin
qu’elle atteigne 13% à la fin du 11ème plan (2007-2011). »

Les efforts sont particulièrement centrés sur la téléphonie mobile où la demande est
importante. En effet, le secteur de la téléphonie mobile en Tunisie est un secteur en pleine
évolution. C'est le résultat d'une volonté manifeste de l'État tunisien de s'inscrire dans le
mouvement des nouvelles technologies et d'être plus flexible quant aux enjeux économiques
futurs. Et c’est dans ce cadre que la Tunisie a choisi de se doter de structures de
télécommunications mobiles performantes. Un processus qui a consisté dans un premier
temps à libéraliser le secteur de la téléphonie mobile par la création d’un cadre législatif et
règlementaire favorable aux investisseurs privés et dans un second temps à introduire la

14
Source « DigiWorld Year Book 2008 : Les enjeux du Monde Numérique », Edition IDATE, 2009.
15
« Tunisie - Secteur des TIC : Des faits et des chiffres! ». Interview de Mr El Hadj Gley, ministre des
Technologies de la Communication publiée par webmanagercenter le 25 Mars 2009.

13
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

téléphonie mobile de deuxième génération : le GSM.

Les rapides avancées technologiques que connaît ce secteur feront que l’évolution ne
s’arrêtera pas à ce niveau. L’introduction de l’UMTS, ou de la téléphonie 3G, initialement
prévue pour fin 2006, ne devrait pas trop tarder.

1 Aspects législatifs et réglementaires

Après un début difficile dû au manque d’infrastructures, couplé à une demande très forte de la
population, des mesures ont été engagées pour développer et dynamiser le secteur des
télécommunications. En effet, plusieurs réformes ont été entreprises visant la restructuration
de ce secteur en abolissant le monopole qui le caractérisait, en l’ouvrant à la concurrence et en
encourageant l’investissement privé. Le but étant d’attirer le plus d’investisseurs et de
généraliser l’offre de services de télécommunications à une base élargie de bénéficiaires à des
prix abordables.

Une première réforme a été entreprise en 1995 avec la séparation de la poste des
télécommunications et la promulgation de la loi n°36 portant création de l'Office National des
Télécommunications, dénommé Tunisie Télécom qui, en 2002, verra son statut passer d’un
établissement public à caractère non administratif à une société anonyme.

Au début de l’année 2001, la Tunisie se dote d’un code des télécommunications16 et prévoit
dans son article 63 la création de l’Instance National des Télécommunications (INT). Ce code
a fixé le cadre législatif général du secteur des télécommunications et a édicté un ensemble de
principes parmi lesquels on peut citer « ceux relatifs à la séparation de l’exploitation et de la
réglementation, à la révision des rôles des intervenants dans le secteur en vue de garantir la
neutralité de l’administration et apporter plus de transparence à ses interventions,... »17

L’INT est une instance de régulation qui, en sa qualité d’autorité indépendante dotée de la
personnalité civile et de l’autonomie financière, a pour mission de réguler le marché des

16
Loi n° 1-2001 du 15 janvier 2001 portant promulgation du Code des Télécommunications.
17
1er rapport d’activité de l’INT de l’année 2003.

14
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

télécommunications, de veiller au respect, par les opérateurs de télécommunications, des


dispositions législatives et réglementaires et d’assurer les conditions nécessaires à une
concurrence saine et loyale en organisant les relations entre les opérateurs sur la base de
l’égalité et de la non discrimination.

2 Evolution du secteur et ouverture à la concurrence

2.1 Evolution du secteur

Les télécommunications en Tunisie et leurs infrastructures se sont largement développées. La


première ligne GSM est inaugurée par le président de la république le 20 Mars 1998. A cette
époque ni l’infrastructure (prévue pour une capacité de 50 000 lignes) ni les conditions du
marché ne favorisaient le développement de ce secteur. L’engouement de la population pour
cette nouvelle technologie et la volonté manifeste de l’Etat de développer ce secteur feront
que des mesures (en plus des réformes règlementaires) seront rapidement entreprises pour
satisfaire cette demande. En effet, le gouvernement s'est fixé comme objectif de donner aux
tunisiens l'accès à des services de télécommunications performants en termes de qualité et de
coût. C’est ainsi que le Xème plan de développement économique a prévu des investissements
de 2,8 milliards de dinars dans ce secteur. Les principales mesures ont concerné la
modernisation et le développement de l'infrastructure, l'amélioration de la couverture et de la
qualité des réseaux téléphoniques. Ces mêmes préoccupations ont été reconduites lors du
XIème plan avec des investissements aussi importants.

Alors que la croissance des lignes fixes s'est réduite, les lignes mobiles ont décollé en flèche
dans tout le pays, suite au lancement d'une seconde licence en 2002. En effet, la Tunisie
bénéficie d’une des infrastructures de télécommunications les plus développées en Afrique
avec un taux de pénétration de la téléphonie mobile dépassant les 80%18 et un réseau mobile
couvrant pratiquement toute la population (99%).

18
« Le nombre des abonnés au réseau du téléphone mobile a rapidement évolué pour atteindre les 8 millions soit
un taux d'environ 80% de la population tunisienne ». Propos tenus par M.El Hadj Gley, Ministre tunisien des
Technologies de la Communication lors du « 33éme GSM Arab World » tenu à Hammamet en Juin 2008.
Selon une interview donnée par Mr Yves Gauthier, Directeur Général de Tunisiana, en date du 19 Janvier 2009
parue dans la revue « Eaaabeh El Ousboui », page 4, ce taux avoisinerait les 100%.

15
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

L’évolution de ce secteur ne devrait pas s’arrêter à si bon chemin. En effet, les


développements que connaît la téléphonie mobile un peu partout dans le monde et notamment
le recours à la troisième génération, feront incessamment leur apparition sur le marché
tunisien. A en croire les propos de Mr. Bisher Mouhanna, président de l'association arabe des
opérateurs de téléphonie mobile, « la croissance de ce secteur dans le monde arabe compte à
présent 150 millions d'utilisateurs du téléphone mobile. De ce fait, les opérateurs arabes
doivent développer davantage leurs services en introduisant notamment les nouvelles
technologies à savoir la troisième génération du GSM, la pénétration de l'Internet et la
diffusion TV via le mobile. » 19

2.2 Ouverture à la concurrence

Poursuivant la modernisation de ce secteur, la Tunisie a ouvert son marché à la concurrence.


Une seconde concession pour l'installation et l'exploitation d'un réseau public de téléphonie
numérique mobile de norme GSM a été attribuée le 8 mars 2002 à la société égyptienne
Orascom Télécom Tunisie plus connue sous son nom commercial « Tunisiana ». Une seconde
licence pour la mise en place et l'exploitation d'un réseau public de transmission de données
par satellite VSAT a également été attribuée à Divona Télécom20 le 24 février 2004 (la
première licence étant détenue par Tunisie Télécom).

En vue d’accroître la participation du secteur privé dans le développement harmonieux des


services de télécommunications sur l’ensemble du territoire national et de dynamiser le
secteur de la téléphonie mobile, l’Etat décide d’ouvrir le capital de l’opérateur historique via
une privatisation partielle. C’est ainsi qu’en 2006, le consortium Emirati TeCom-Dig acquiert
35% du capital de Tunisie Télécom à travers un financement estimé à 2,25 milliards de
dollars.

19
« 33éme GSM Arab World : Développement et Coopération… » par A.M. Tunisie Affaires : Le portail des
Hommes d’Affaires du 18 Juin 2008.
http://www.tunisieaffaire.com/index.php?option=com_content&task=view&id=3172&Itemid=111
20
Divona Télécom : consortium formé par le fournisseur d’accès tunisien Planet Tunisie et Monaco Télécom. Ce
consortium a acquis la concession relative à la mise en place et à l'exploitation d'un deuxième réseau de
télécommunications par satellite sur tout le territoire tunisien. Il concerne la téléphonie classique ou sur Ip,
l'Internet haut débit, la visioconférence, la diffusion multimédia et les solutions pour centres d'appel. Depuis
mars 2006, Divona Télécom a obtenu une autorisation pour le déploiement de réseaux WiMax à l’échelle
nationale.

16
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

L'introduction de la 3G, qui devait se faire en 2006, a été reportée mais ne saurait tardée. En
effet, selon la déclaration faite par le premier ministre, M. Mohamed Ghannouchi, lors du
deuxième forum économique de Tunisie, la 3G est annoncée pour l’année 201021. A cet effet,
un appel d’offre international en vue de l’attribution d’une licence pour l’installation et
l’exploitation d’un réseau public de télécommunication en Tunisie pour la fourniture de
services de télécommunication fixe et mobile de deuxième et de troisième génération a été
lancé en décembre 2008 par le Ministère des Technologies de la Communication.

L’abolition de la situation de monopole et l’avènement de la concurrence dans ce secteur


conjugué à un environnement teinté d’incertitude sont autant d’éléments poussant les
dirigeants des entreprises de télécommunications à une meilleure gestion de leur entreprise et
une plus grande vigilance, voire maîtrise, des risques qui les entourent. On assiste en effet à
une plus grande sensibilisation des dirigeants, et des stakeholders en général, au concept de
gouvernement d’entreprise et plus particulièrement à celui de gestion globale des risques.
Sujet que nous traiterons avec plus de détails tout au long de ce mémoire.

21
« Les télécoms en Tunisie : grands chambardements pour (ne pas) nager à sec ». Par Mohamed Fateh. Article
publié sur webmanaercenter le 19 novembre 2008.

17
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 2

LA NOTION DE RISQUE : CONCEPTS DE BASE ET APPLICATIONS AU


SECTEUR DE LA TELEPHONIE MOBILE

Le risque n’est pas un concept nouveau. Il fait partie de l’univers des entrepreneurs et est
inhérent à toute décision. En revanche, la nouveauté vient du nombre de qualificatifs qui
précisent la nature du risque (financier, éthique…) et de l’émergence de nouveaux risques
traités de manière spécifique (risque environnemental, risque d’image ou de réputation…). Le
caractère combinatoire de ces différentes acceptions rend la représentation du risque
complexe.
Les entreprises ont par ailleurs pris conscience de la nécessité d’intégrer la question de la
subjectivité des risques et élargi leurs champs d’investigation aux risques potentiels : prévoir
et prévenir deviennent les éléments indispensables du management des risques.

Comme nous l’avons précédemment souligné, le secteur de la téléphonie mobile est un


secteur très concurrentiel et à forte dépendance technologique. La progression dans ce
domaine ne peut être envisagée en dehors d’une prise de risque au quotidien.
La notion de risque est donc une notion primordiale que tout opérateur se doit de maîtriser.

Nous nous attarderons ainsi tout au long de ce chapitre à la présentation de cette notion en
passant par la définition, l’évolution et la classification des risques pour enfin aborder les
notions d’appétence pour le risque et de seuil de tolérance.

SECTION 1 : LES CONCEPTS DE BASE

Le risque est inévitable et il est présent dans toutes les situations de la vie. Il marque nos
activités quotidiennes et celles des organisations au niveau de tous les secteurs à des degrés
plus ou moins importants.
Bien que considéré exclusivement sous un angle négatif au début du siècle dernier, cette

18
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

notion a évolué et on parle de plus en plus des aléas positifs que peuvent engendrer certains
risques.

1 Vers une définition du risque

1.1 Qu’est ce qu’un risque

A première vue, le terme risque désigne un concept plutôt simple. Cependant, on constate que
jusqu’à ce jour il n’existe pas de définition universelle de la notion de risque. Différentes
définitions ont été avancées en fonction du contexte donné. Nous essayerons dans ce qui suit
de présenter celles qui nous semblent le plus adaptées au cadre de la gestion des entreprises.

Une première définition nous est donnée par le dictionnaire « Le Petit Robert » qui présente le
risque comme étant l’ « Éventualité d’un événement ne dépendant pas exclusivement des
parties et pouvant causer la perte d’un objet ou tout autre dommage. Par extension, [le risque
est un] événement contre la survenance duquel on s’assure. »

L’Institut Canadien des Comptables Agréés donne la définition suivante au risque :


« la possibilité qu’une ou plusieurs personnes ou organisations subissent les conséquences
défavorables d’un événement ou d’une circonstance »22.

Ces définitions s’accordent à reconnaître la présence d’une connotation négative dans la


description du risque (caractère défavorable). Toutefois, la pensée évolue et les définitions
suivent. En effet, les débats et les discussions foisonnent concernant une définition générique
acceptable du risque, qui reconnaîtrait le fait que, lorsqu’il est bien évalué et géré, le risque
peut être source d’innovations et d’opportunités.

C’est ainsi que d’autres définitions plus neutres ont été présentées par les organisations
professionnelles. A ce sujet, le cabinet PwC définit le risque comme étant « tout élément
pouvant avoir une incidence sur la capacité de l'entreprise à atteindre ses objectifs ».

22
« Mieux connaître le risque : choix, liens et compétences », publié par l'Institut Canadien des Comptables
Agréés.

19
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Dans le même ordre d’idées, l’AMRAE définit le risque, dans la cadre d’une organisation,
comme étant un « événement, ou séquence d’événements, susceptibles d’affecter la bonne
réalisation des objectifs de l’entreprise, de mettre en péril sa pérennité et de compromettre la
création de valeur ».

L’utilisation du terme « événement » n’est pas fortuite dans la mesure où elle permet de faire
référence aussi bien aux aléas positifs (upside) que négatifs (downside) auxquels toute
entreprise est confrontée. En effet, l’IFACI dans sa traduction française « Le Management des
Risques de l’Entreprise - Cadre de Référence » considère que « les événements peuvent avoir
un impact positif, négatif ou les deux à la fois. Les événements ayant un impact négatif sont
des risques pouvant freiner la création de valeur ou détruire la valeur existante. En revanche,
les événements ayant un impact positif peuvent contrebalancer les impacts négatifs des
risques ou constituer des opportunités »23.

Par opportunité, on entend la possibilité qu’un événement, en survenant, ait une incidence
positive sur la réalisation des objectifs et constitue un facteur de levier ou de soutien pour la
création ou la préservation de valeur. Dans le cadre du management des risques, la direction
réintègre les opportunités identifiées à la réflexion stratégique et au processus de
détermination des objectifs et formule des plans permettant de saisir ces opportunités.

Tout au long de ce mémoire nous nous intéresserons plus au risque dans son acception
traditionnelle, générateur d’aléas négatifs pour l’organisation.

Toutes ces définitions s’accordent à dire que le risque correspond à une possibilité et non pas
à une certitude. Une situation à risque élevé en est une où la probabilité qu'une conséquence
défavorable (ou qu’une opportunité non saisie), empêchant l'organisation de réaliser ses
objectifs, soit élevée. En d'autres termes, un risque élevé ne renvoie pas à l'ampleur d'une
conséquence défavorable (ou favorable), mais plutôt à la probabilité d'une telle conséquence.
Le schéma ci-dessous illustre bien la relation qui existe entre ces différentes composantes et
insiste sur le fait que pour chaque risque considéré, il faut évaluer deux choses : sa probabilité
23
« Le Management des Risques de l’Entreprise: Cadre de Référence-Techniques d’Application-COSO II
Report», traduction française par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés. Editions
d’Organisation, 2005. Page 5.

20
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

et l’ampleur de son incidence ou de ses conséquences. Ces deux notions seront développées
avec plus de détails un peu plus loin dans ce mémoire.

Facteur
de risque Probabilité

Risque
Impact

Consé-
quence

Comme nous le verrons dans la deuxième partie de ce mémoire, une des méthodes les plus
connues de traitement des risques consiste à le transférer (ou plus précisément à transférer ses
conséquences) à une tierce partie via les contrats d’assurance. Nous ne pouvons donc pas
clore ce volet sans présenter la notion de risque telle qu’appréhendée par le domaine de
l’assurance.

En général, chez les assureurs le mot « risque » revêt deux sens : le bien assuré et l’événement
assuré. Pour être éligible a une couverture d’assurance, un risque doit pouvoir répondre à trois
critères24 :
Aléatoire : c’est le fait que la probabilité de survenance d’un sinistre ne soit pas certaine.
Autrement dit, que l’événement qui déclenche la garantie tienne du hasard.
Quantifiable : le risque doit pouvoir être quantifié et estimé en terme de coût. L’objectif étant
de permettre à l’assureur de connaître et de délimiter ses engagements afin de pouvoir les

24
« Risk Manager et Responsable de Sécurité du Système d’Information : Deux métiers s’unissent pour la
gestion des risques liés au système d’information ». Groupe de travail collaboratif AMRAE. CLUSIF, juin 2006,
page 22.

21
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

tenir.
Mutualisable : pour pouvoir équilibrer ses engagements, l’assureur doit mutualiser ou
diversifier ses risques. Cela implique que les risques soient homogènes et indépendants. Dans
un portefeuille structuré, regroupant un grand nombre de risques indépendants, les assurés
non-sinistrés financent, par compensation, les assurés sinistrés.

1.2 Evolution de la notion de risque

Au cours de sa vie toute entreprise est appelée à prendre des risques dans la mise en œuvre de
sa stratégie. Au départ cantonnée à la sphère financière, la notion de risque s’est
progressivement étendue pour englober des domaines qui lui étaient autrefois inconnus. En
effet, les éléments intangibles prennent de plus en plus de valeur dans les entreprises et
notamment celles à forte dépendance technologique tel que les opérateurs de téléphonie
mobile. L’AMRAE considère que dans le domaine des TMT (Télécom-Média-Technologie),
la valeur des actifs immatériels peut représenter jusqu’à 90% de la valeur de l’entreprise25.
Face à cette évolution, les dirigeants d’entreprise se préoccupent d’avantage de la prise en
compte de risques tels que l’image de marque, la crédibilité, l’éthique, les risques sanitaires,
la sauvegarde de l’environnement… dans la mise en œuvre de leurs stratégies.

Un autre volet marquant une évolution de la perception du risque est celui que nous avons
déjà évoqué plus haut à savoir : le risque facteur d’opportunité. En effet, selon Suzanne
LABARGE, CRO à la Royal Bank of Canada « le risque en lui-même n’est pas mauvais. Ce
qui est mauvais ce sont les risques mal gérés, mal évalués ou incompris. A l’opposé, plusieurs
personnes prennent conscience que le risque crée des opportunités, que les opportunités créent
de la valeur et que cette valeur crée la richesse des actionnaires »26 [traduction].

Cette évolution de la perception du risque peut être schématisée de la manière suivante 27:

25
Source : site de l’AMRAE.
26
« Enterprise Risk Management: An Emerging Model for Building Shareholder Value ». Jack ROSE-KPMG.
18 Avril 2001.
27
Séminaire « Audit Interne et Risk Management », E&Y juillet 2007.

22
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Le risque est une notion qui a évolué …

Stratégique

Opérationnel

Financier Focalisation
du risque

Menaces Opportunités

…vers un horizon plus large…

A titre d’exemple, dans le secteur des télécommunications, le développement de la téléphonie


mobile, au cours de ces dernières années, a ouvert un débat international sur les risques que
peut générer une exposition prolongée aux ondes électromagnétiques et leurs effets sur la
santé. Il s’agit d’un risque potentiel que les opérateurs de téléphonie mobile doivent
considérer même si les recherches scientifiques, régulièrement menées dans ce domaine
depuis la fin des années soixante, n’ont pas mis en évidence d’effets préjudiciables pour la
santé humaine résultant de l’exposition aux champs électromagnétiques28.
Ceci n’a pas empêché le tribunal de grande instance de Nanterre de condamner, en septembre
2008, l’opérateur Bouygues Telecom au démantèlement d’une antenne relai de téléphone
mobile pour « risque potentiel sur la santé ». Cette condamnation, considérée comme « une
première » en France, a été prononcée au nom du principe de précaution considérant qu’il y
avait un risque potentiel sur la santé des riverains.29

28
Seule une série de recommandations relatives aux limites d’exposition a été établie par la Commission
Internationale de Protection Contre les Rayonnements Non Ionisants (ICNIRP). Organisme indépendant qui
conseille l’Organisation Mondiale de la Santé (OMS).
29
Jugement rendu par le tribunal de grande instance de Nanterre (Hauts-de-Seine), en date du 18 septembre
2008.

23
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

2 Classification des risques et niveau de granularité

2.1 Classification des risques

Comme nous l’avons déjà mentionné, le risque est inhérent à l’activité de l’entreprise. Ce
risque peut revêtir plusieurs formes et concerner une ou plusieurs catégories.
La classification des risques peut être vue selon différents angles. En effet, les risques peuvent
être regroupés selon leurs origines, leurs natures ou encore selon qu’ils touchent ou non aux
actifs financiers.
Nous présenterons ci-après quelques uns des classements de risques les plus usités en matière
de gestion des entreprises.

2.1.1 Risques endogènes et risques exogènes

La première grande catégorie de risques consiste à distinguer entre les risques endogènes (ou
d’origine interne) et les risques exogènes (ou d’origine externe).

Par définition, les risques endogènes sont ceux propres à l’activité de l’entreprise. Ils sont liés
à ses processus, son organisation, ses systèmes d’informations, son style de management… A
titre d’exemples nous pouvons citer une panne du réseau, une divulgation d’informations
confidentielles, un mauvais choix d’investissement ou encore une défaillance de planification
des acquisitions.

Les risques exogènes proviennent quant à eux de l’environnement de l’entreprise : le ou les


marchés dans lesquels elle évolue, l’environnement économique, politique et social
correspondant, les conditions climatiques naturelles… Pour illustrer ce type de risque nous
pouvons citer les catastrophes naturelles, les changements de réglementation, l’ouverture du
marché à la concurrence par l’octroi de nouvelles licences, la défaillance d’un
équipementier…A cet effet, il n’y a qu’à rappeler les tempêtes qui se sont abattues sur la
France en décembre 1999 et qui ont touché les installations et conduits à l’interruption des
services de France Télécom engendrant des dommages estimés à plus de 150 millions d’euros

24
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

pour cet opérateur.30

Dans la vie réelle ce cloisonnement n’est pas applicable à tous les risques qu’une entreprise
est amenée à affronter. En effet, et comme le montre le schéma suivant, certains risques sont
la résultante de la combinaison de facteurs à la fois internes et externes. A titre d’exemple un
des risques les plus importants chez un opérateur de téléphonie mobile est celui des
CHURN31. Ce risque de perte de la clientèle, peut être d’origine interne (insatisfaction du
client suite à une mauvaise qualité du réseau ou à des prix de communication trop élevés…)
ou externe (concurrence agressive, meilleur taux de couverture du concurrent…) ou, et c’est
ce qui est en général le plus probable, une combinaison des deux à la fois.

30
Document de référence 2005 de France Télécom déposé auprès de l’Autorité des Marchés Financiers le 10
mars 2006.
31
CHURN : contraction de l'anglais change and turn. Il exprime le taux de déperdition de clients pour une
entreprise ou un produit. Le taux de churn représente donc le pourcentage de clients perdus, sur une période
donnée (en général une année) par rapport au nombre total de clients au début de cette période.

25
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

32
Figure 6 : Exemples de facteurs de risques externes et internes

32
D’après le « Cadre de Référence de la Gestion des Risques » copyright FERMA 2003. Page 4.

26
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Comme l’indiquent les travaux menés par le groupe de recherche « Assurance » sous l’égide
de l’IFACI33, ces deux grandes catégories de risques se déclinent en :
- Risques avérés, c'est-à-dire qui se sont déjà concrétisés dans le passé,
- Risques potentiels, c'est-à-dire qui sont connus mais qui ne se sont pas encore
concrétisés, et
- Risques non identifiés appelés encore risques ignorés définis comme étant des
« risques nouveaux, nés de l’évolution technique, économique et humaine, qui ne sont
pas encore perçus ni gérés par les professionnels du risques »34.

2.1.2 Risques stratégiques, opérationnels, financiers et de conformité

Le classement des risques peut encore être affiné en distinguant d’autres catégories à savoir
les risques stratégiques, opérationnels, financiers et de conformité.

Comme son nom l’indique, le risque stratégique est directement lié aux décisions stratégiques
de l’entreprise. C’est un risque majeur qui touche à l’avenir de l’entité.
Il s’agit par exemple du choix pour un opérateur mobile de participer aux appels d’offre pour
l’acquisition d’une licence de téléphonie fixe, ou de décider d’une opération de fusion avec un
concurrent ou un fournisseur de services Internet ou encore les choix de financement à long
terme…

Il est impossible d'externaliser les éléments importants de ce risque. Il appartient donc au


management de le gérer afin de sauvegarder les intérêts de l’entreprise et maximiser son
objectif de création de valeur.

Les risques opérationnels ou d’exploitation sont des risques inhérents à l’activité même de
l’entreprise et provenant des erreurs du personnel au sens large, des systèmes ou processus, ou
des évènements externes, tels que les risques de détérioration des outils, les risques
technologiques, les risques climatiques, les risques environnementaux...
Les entreprises peuvent diversifier les risques d'exploitation en opérant dans divers segments
33
« Cartographie des Risques ». IFACI. Juillet 2006.
34
Définition donnée par Jean-Yves COMBAY, Responsable Pollution à la Direction Technique de SCOR
(Secteur des Assurances) et faisant partie de ce groupe de recherche.

27
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

et différentes zones géographiques.


Peuvent être regroupé dans cette catégorie:
- Les risques de fraude interne ou externe (qui soulignons-le est un risque très
important dans le secteur de la téléphonie mobile. En effet, la perte de revenu liée à ce
risque, quoique difficilement évaluable, avoisine les 5 % chez les opérateurs de
téléphonie mobile35),
- Les risques liés à la sécurité et au dysfonctionnement des systèmes. Dans un secteur à
forte dépendance technologique, il s’agit d’un risque vital. En effet, le risque de
défaillances du système d’informations est accru du fait de l’accélération de la mise en
place de nouveaux services ou de nouvelles applications relatives, par exemple, à la
facturation ou à la gestion des relations clients. Des incidents peuvent également
intervenir lors de la mise en place de nouvelles applications ou de nouveaux logiciels
causant le mécontentement des clients, la réduction du trafic et la baisse du chiffre
d’affaires de l’opérateur.
- Les risques liés aux dommages causés aux actifs corporels (tel que le sabotage d’un
site),…

Les risques opérationnels présentent par ailleurs l’intérêt d’être au centre de la problématique
de gestion quotidienne des entreprises. Ils recouvrent en effet les risques susceptibles
d’empêcher la réalisation des objectifs à court terme de l’entreprise et représentent, du fait de
leur forte probabilité d’occurrence, des enjeux humains et financiers importants.

Par risque financier on entend les risques liés aux actifs financiers de l’entreprise. Il
correspond à un risque de perte ou de moins-value sur un résultat attendu.

Les risques de conformité, quant à eux, concernent :


- Les aspects légaux et réglementaires : Le non respect de la réglementation en vigueur
peut avoir de graves conséquences pour l’entreprise défaillante. C’est un risque que
l’entreprise peut prendre à condition d’en mesurer l’ampleur notamment en termes de
répercutions financières. A titre d’exemple le non respect de certaines obligations
35
Intervention de Marc Chambault, Directeur de l’Audit Interne et du Contrôle des Risques de France Télécom,
lors de la table ronde organisée par le CREFIGE (2003) dans son témoignage intitulé : « Mise en place de la
fonction de Risk Management chez une grande entreprise comme France Télécom : Les étapes ».

28
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

fiscales peut être un choix pris par l’entreprise qui estime que les conséquences de ce
non respect (amendes, pénalités…) sont en deçà des avantages que procure la violation
de la réglementation.
Dans d’autres cas, ce risque n’est pas acceptable par l’entreprise et impacte
directement sa survie. Prenons le cas d’un opérateur de téléphonie mobile pour qui le
non respect des taux de couverture peut entrainer le retrait de la licence d’exploitation.
En Tunisie, le cahier des charges établi lors de l’appel d’offre international visant
l’octroi d’une deuxième licence pour l’installation et l’exploitation d’un réseau public
de téléphonie cellulaire de norme GSM, prévoit dans son article 6.1 que « le
concessionnaire s’oblige à prendre les mesures nécessaires pour assurer un
fonctionnement régulier et permanent des installations de son réseau et sa protection ».
Le non respect de cet engagement est passible de sanctions pénales et/ou
administratives prévues par le Code des Télécommunications.
Certains opérateurs, vu leur position sur le marché - généralement les opérateurs
historiques ayant bénéficié d’une longue période de monopole avant l’ouverture du
marché à la concurrence - se trouvent confrontés à des risques liés à des pratiques
anticoncurrentielles réprehendées par les nouvelles réglementations. C’est ainsi qu’en
2005 les autorités de la concurrence ont condamné France Télécom à deux amendes de
40 millions d’euros et 80 millions d’euros pour des pratiques anticoncurrentielles
d’abus de position dominante et à une amende de 256 millions d’euros pour des
pratiques d’entente.36

- Les risques de réputation : L'image d'une société, l'opinion qu'elle suscite, sont de plus
en plus influencées par ce qui se dit, s'écrit et se dissémine sur les sites Internet, dans
la presse ou même de bouche à oreille. Une réputation négative n'est pas qu'une simple
épine dans le pied. Elle peut coûter chère à l’entreprise : perte de clientèle, de contrats,
opportunités pour la concurrence, dévalorisation de l'action...
Toute entreprise doit donc savoir où et comment on parle d'elle, si son image, sa
"réputation", voire celle de ses collaborateurs, est bonne ou mauvaise. En effet, de nos
jours, nombreuses sont les sociétés qui considèrent un défaut d'image de marque

36
Document de référence 2005 de France Télécom déposé auprès de l’Autorité des Marchés Financiers le 10
mars 2006.

29
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

comme une préoccupation majeure.


La prise en compte de ce risque dépend fortement de la culture du pays dans lequel
opère l’entreprise. Pour un opérateur de téléphonie mobile la non prise en compte de la
règlementation relative à l’installation des relais de transmission, et notamment les
contraintes d’ordre environnemental, aura des conséquences plus ou moins graves
voire même pas de conséquence en termes d’image, selon qu’il opère sur le marché
américain, européen ou dans un pays du tiers monde. En France par exemple, et afin
d’atténuer la grogne des riverains, les opérateurs proposent aux collectivités locales la
mise en place d'antennes « décoratives », sous forme d'arbres ou camouflées en fausse
cheminée pour respecter les bâtiments et le paysage et assoir leur image d’entreprise
citoyenne soucieuse de la sauvegarde de la planète.
- Le non respect de la déontologie et notamment la divulgation d’informations
confidentielles. Fortement lié à la catégorie précédente, ce risque est de plus en plus
redouté par les entreprises vu la gravité potentielle de ses répercussions. De nos jours,
la plupart des organisations professionnelles ont développé des codes de déontologie
dans le but d’apporter une assurance quant aux règles de conduite de leurs membres.
Les sociétés se sont également penchées sur le sujet en mettant en place des chartes de
qualité, des codes de bonne conduite, des chartes de confidentialité… qu’elles font
signés par leur personnel voire même les diffusés au grand public notamment via leurs
sites Internet.
De part la nature de leurs métiers, les opérateurs de téléphonie mobile ont accès à une
panoplie d’informations concernant leurs abonnés qu’ils sont tenus de protéger tels
que l’identité de l’abonné, son adresse, sa localisation, le détail de ses appels, SMS,
MMS… émis et reçus,… Le non respect de cette obligation peut entrainer de graves
conséquences pour l’opérateur que ce soit pour violation de contraintes réglementaires
ou en termes d’image et de réputation pour non respect des b.a.-ba de la déontologie.

2.1.3 Risques purs et risques spéculatifs

Le risque pur, encore appelé aléatoire ou statique, est défini comme étant un risque associé à
des événements qui ne peuvent avoir que des conséquences financières négatives. En général,
on est soumis malgré soi à ce risque et on ne peut pas l’éviter, tout au plus peut-on le réduire.

30
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Il s’agit par exemple des risques d’incendie, de décès de personnel clé, de vol ou des risques
de catastrophes naturelles.
Ces risques ont été considérés en grande partie comme assurables et, comme nous
l’expliciterons plus loin, c’est à leur traitement que s’est cantonné le Risk Management à ses
débuts.

A l’opposé, les risques spéculatifs, appelés également risques entrepreneuriaux ou risques


dynamiques, sont des risques associés à des événements qui peuvent à la fois avoir des
conséquences financières positives ou négatives. En général, ce sont des risques auxquels on
s’expose volontairement. L’investissement en bourse, la spéculation sur les taux de change, le
lancement de nouveaux produits, la conquête de nouveaux marchés… en sont de bons
exemples.

2.1.4 Risques bruts et risques résiduels

Une dernière classification nous paraît également intéressante, dans la mesure où elle introduit
une notion de risque essentielle en matière de cartographie des risques distinguant entre risque
brut (ou inhérent) et risque résiduel.

Le risque brut est un risque inhérent à l'activité de l’entreprise et à ses processus, compte tenu
de facteurs d’origines internes et/ou externes tels que le volume et l'importance financière des
opérations, la complexité des transactions, les contraintes de la réglementation,…
C’est le risque auquel l’entreprise est exposée en l’absence de tout système de contrôle interne
et qui dépend fortement de son secteur d’activité.

Le risque résiduel est le risque évalué à partir du risque brut après prise en compte des points
de contrôles mis en place par le management de l’entreprise. Ces contrôles peuvent agir sur
l’impact du risque, sa probabilité d’occurrence ou les deux à la fois. Si le risque résiduel est
trop élevé, cela signifie que le risque est sous-contrôlé ; s’il est faible, le risque est
potentiellement sur-contrôlé. Dans les deux cas, les dispositifs de contrôle sont à revoir.
Le risque résiduel peut naturellement varier d'une année à l'autre, d'une unité à l'autre, en
fonction de l'évolution de la qualité du contrôle interne. Il en va de même du risque brut en

31
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

fonction de l'évolution des volumes, des montants des opérations, du cadre réglementaire ou
même de la technologie. C’est ainsi que ces dernières décennies ont été, et continuent d’être,
le témoin de l’émergence de nouveaux risques parmi lesquels figurent, en ligne de mire, les
risques liés aux systèmes d’informations et plus particulièrement les risques propres à
l’Internet. Ces risques d’intrusion depuis l’extérieur dans les fichiers de l’entreprise ne
doivent pas être négligés. Chez une entreprise à forte dépendance technologique ce risque,
inhérent au développement, doit être maîtrisé via la mise en place des contrôles nécessaires.
En effet, la sécurisation des ventes en lignes, le contrôle des accès aux bases de données
personnelles via les mots de passe… doivent constituer une préoccupation majeure des
dirigeants.

2.2 Niveau de granularité

La notion de granularité est importante à clarifier notamment dans le cadre de la politique de


management des risques de l’entreprise et plus particulièrement lors de la construction de sa
cartographie des risques comme nous le verrons plus loin.

Par granularité on entend le niveau de détail sur lequel peut se construire une cartographie. La
définition de la granularité est essentielle car plus le niveau de détail est fin, et plus le travail
correspondant d’identification des risques est important. Elle impacte donc l’élaboration de la
cartographie et sa maintenance ultérieure. Choisir le bon niveau de granularité est également
important afin de calibrer la démarche aux moyens disponibles et au planning souhaité.

Par référence aux travaux menés par le groupe de recherche « Assurance » sous l’égide de
l’IFACI37, que nous avons adapté à l’objet de notre mémoire, cinq niveaux complémentaires
de granularités ont pu être identifiés. Il s’agit, du plus large au plus particulier :
- le métier, (télécommunication)
- le domaine, (téléphonie mobile)
- le processus, (ex : achat équipement réseau)
- l’opération, (pour le processus cité : sélection du fournisseur)
- la tâche élémentaire. (envoi du bon de commande)

37
« Cartographie des Risques ». IFACI. Juillet 2006.

32
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Toujours par référence à ce groupe de recherche, il apparaît que le niveau le plus pertinent à
retenir dans le cadre de la construction de la cartographie des risques est le niveau
« processus ». En effet, celui-ci constitue le meilleur compromis entre le temps passé à
l’élaboration de la cartographie et le degré de pertinence de la vision des risques. D’autre part,
c’est le niveau d’équilibre permettant de faire converger et de relier les éléments obtenus à
partir de chacune des deux principales méthodes Top-Down et Bottom-Up sur lesquelles nous
reviendrons avec plus de détails au niveau de la deuxième partie de ce mémoire.

SECTION 2 : APPETENCE POUR LE RISQUE

L’appétence pour le risque peut être définie comme étant le niveau de risque global qu’une
entreprise accepte de prendre pour répondre à son objectif de création de valeur sur le long
terme. Cette tendance à prendre des risques est une notion qui dépend fortement de l’activité
de l’entreprise, de sa stratégie, de la culture de son personnel et notamment du staff dirigeant,
de l’environnement dans lequel elle évolue… Elle varie aussi en fonction de ses objectifs.
Dans une économie de marché concurrentielle, une société qui ne manifeste qu'un faible
appétit pour le risque a peu de chances de générer des rendements élevés.

L’appétence pour le risque est prise en compte lors de la définition de la stratégie de


l’entreprise dans la mesure où cette stratégie doit être en ligne avec l’appétence de
l’organisation pour le risque.

Deux notions découlent et sont étroitement liées à l’appétence pour le risque à savoir : le seuil
de tolérance et le risque acceptable.

1 Seuil de tolérance

Par référence au COSO II Report, la tolérance au risque « représente le niveau acceptable de


variation dans l’atteinte des objectifs. En s’inscrivant dans les limites de la tolérance au
risque, le management a de plus grandes chances de respecter l’appétence pour le risque de
l’organisation et donc d’apporter une meilleure garantie quant à l’atteinte des objectifs de

33
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

l’organisation.»38

Le seuil de tolérance peut être mesuré et il est préférable que cette mesure soit faite dans la
même unité que les objectifs concernés. Tout dépassement par rapport à ce seuil doit entraîner
des actions correctives pour rester dans les limites de l’appétence au risque.

Par exemple, si le niveau de performance attendu d’un processus est de 99%, cette
performance représente une moyenne. Autour de cette moyenne un degré de variation est
toléré, ce qui définit un intervalle de valeurs acceptables. Par exemple, en-dessous de 98.5%
des actions correctives doivent être engagées.

2 Risque acceptable

Comme l’a si bien exprimé Thierry Van Santen : « Une société qui ne prend pas de risques
n’a pas de futur. Par contre, une société qui ignore les risques qu’elle prend est virtuellement
morte, la compréhension des risques est la base de la création de la valeur et de la
performance.»39
Il apparaît donc que la prise de risque est indissociable de l'activité de toute entreprise. Ne pas
prendre de risque conduirait à une absence totale de création de valeur et paradoxalement, à
un risque augmenté pour l’entreprise. Prendre trop de risques pourrait également causer la
perte de l’organisation. L’objectif est donc de trouver un équilibre entre ces deux extrêmes en
conciliant la prise de risque avec la maîtrise des dangers qui l'accompagnent et donc à rendre
le risque acceptable.

La notion de risque acceptable renvoie également à la composante subjective du risque. En


effet, le risque n’est pas seulement une donnée objective, c’est aussi une construction sociale.
Dès lors, l’acceptabilité du risque n’est pas uniforme et revoie à la notion d’acceptabilité
sociétale du risque. Cette dernière explique le paradoxe suivant : l’acceptabilité est en réalité
peu corrélée à l’intensité du risque. Par exemple, les accidents de la route, les accidents

38
« Le Management des risques de l’entreprise: Cadre de Référence-Techniques d’application-COSO II Report»,
traduction française par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés. Editions d’Organisation,
2005. Page 182.
39
Thierry Van Santen, « La gestion des risques, processus transversal de création de la valeur », Table Ronde
organisée par le CREFIGE, Université Paris Dauphine, Avril, 2003

34
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

domestiques ou les accidents du travail font beaucoup plus de victimes que les catastrophes
aériennes, industrielles, chimiques ou nucléaires. Les premiers sont en revanche bien mieux
acceptés. La sociologie du risque permet d’analyser et d’expliquer ce paradoxe.
Selon une étude réalisée par l’ANAES, « un risque est davantage acceptable lorsqu’il est
choisi et non subi, et surtout quand l’individu a le sentiment de pouvoir y échapper, en
mettant en œuvre un mécanisme de dénégation qui s’appuie sur l’affirmation d’une capacité
individuelle à maîtriser ce risque »40.

Tout au long de ce chapitre nous nous sommes intéressés à la présentation des différents
concepts de base en matière de définition, de classification et d’évolution des risques. En
effet, le risque s’est progressivement libéré de sa sphère restrictive, limitée au seul volet
financier, pour englober tous les domaines de l’entreprise en abandonnant par la même
occasion la perception purement négative qui lui été rattachée. Cette évolution a été suivie par
une restructuration de la pensée managériale en matière de gestion du risque. Thématique que
nous aborderons au niveau du chapitre suivant.

40
« Principes Méthodologiques pour la Gestion des Risques en Etablissement de Santé », Agence Nationale
d’Accréditation et d’Evaluation en Santé (ANAES). Janvier 2003. Page 13.

35
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 3

IMPERATIF DE LA GESTION DES RISQUES

Comme nous l’avons déjà explicité, les opérateurs de téléphonie mobile évoluent dans un
environnement à forte dépendance technologique où incertitude rime avec certitude.
Dans ce contexte, le développement et la pérennité de ces entreprises ne peuvent être
envisagés en dehors d’un bon système de gouvernance d’entreprise et notamment une gestion
organisée et formalisée des risques. En effet, les dirigeants ont intérêt à rompre avec les
approches traditionnelles ou fragmentées de gestion des risques et à adopter une approche
transversale, partagée par tous les acteurs de l’organisation, qui soit à la fois dynamique et
continue en s’intégrant dans la cadre d’une vision portefeuille du risque.
C’est ainsi que le concept d’ « Entreprise Risk Management » revêt toute son importance dans
la mesure où il constitue le premier référentiel internationalement reconnu en matière de
gestion de risques permettant à l’entreprise d’identifier les événements potentiels susceptibles
d’affecter son activité et de prendre ses décisions de manière plus éclairées afin d’atteindre
ses objectifs.

Avant d’entamer les développements sur le concept de gestion des risques nous avons jugé
utile de le replacer dans son cadre le plus général à savoir celui de gouvernance d’entreprise.
En effet, et comme nous l’expliciterons au niveau de ce chapitre, la gestion des risques est une
partie intégrante d’un gouvernement d’entreprise efficace.

Ce chapitre sera donc consacré en premier lieu à la présentation du cadre général de la


corporate governance pour ensuite enchaîner sur les limites des approches traditionnelles en
matière de gestion des risques et la naissance du concept d’ERM.

SECTION 1 : LA GESTION DES RISQUES PARTIE INTEGRANTE DE LA GOUVERNANCE

D’ENTREPRISE

La gestion des risques est un aspect central du gouvernement d’entreprise. En effet, il est

36
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

important que les dirigeants et les membres du conseil d’administration soient suffisamment
outillés pour prendre les décisions appropriés par rapport aux risques rencontrés.

1 Définition et origine du terme gouvernance

Le terme «gouvernance» est un terme « franglais » dérivé de l’anglais « governance » et


désigne la façon dont le pouvoir est organisé et exercé au sein d’une organisation. A l’origine
développée dans les pays anglo-saxon, cette notion s’est ensuite internationalisée pour
atteindre le reste des pays du Monde. Elle s’est généralisée, en particulier dans son usage
appliqué aux entreprises, aux dépens du terme français « gouvernement »41.

L’origine du débat moderne sur la gouvernance d’entreprise remonte à la publication en 1932


par Adolph Berle et Gardiner Means de leur ouvrage intitulé «The Modern Corporation and
Private Property» constituant l’illustration de la raison pour laquelle une gouvernance
d’entreprise efficace est à la fois fort exigée et difficile à atteindre.

L’idée fondamentale de Berle et Means se basait sur le fait que «la séparation, pour
l’entreprise moderne, entre la propriété et le contrôle produit une situation où les intérêts des
propriétaires (de l’entreprise) et des différents managers peuvent (ou trop souvent) diverger.
Un mécanisme qui assure la loyauté du management de l’entreprise est nécessaire si on veut
éviter une divergence entre de tels intérêts ou au moins réduire les conséquences défavorables
de cette divergence. Ce mécanisme consiste en un schéma efficace de gouvernance
d’entreprise »42.

Développée au début du siècle dernier, cette notion de gouvernance d’entreprise a fait l’objet
d’un regain d’intérêt depuis quelques années en raison de la faillite spectaculaire et des pertes
importantes de quelques grandes entreprises (Enron, Worldcom, Vivendi…). L’impact de ces
scandales a été ressenti dans tous les domaines de la vie politique, économique, financière et
sociale. Non seulement les entreprises sont-elles attirées par le profit à court terme, mais elles

41
Tout au long de ce mémoire nous utiliserons ces deux termes de manière indifférente.
42
Adolf Berle & Gardiner Means : « The Modern Corporation and Private Property », 1932, New York, Ed. Mc
Millan dans « Pour un Audit Interne au Service de la Gouvernance d’Entreprise », Mémoire d’Expertise
Comptable présenté par AMMAR Zied. Page 28.

37
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

s’exposent de plus en plus à des risques non maîtrisés et mal gérés remettant en cause les
mécanismes de contrôle de leurs activités.

L'objectif initial des règles du gouvernement d'entreprise était de rétablir et d'harmoniser


l'équilibre entre les pouvoirs des différents organes de la société. De ce fait, le concept de
« gouvernement d’entreprise » est présenté comme étant la mise en place de dispositifs
permettant la défense des intérêts des actionnaires et de l’ensemble des parties prenantes43 et
formalise le contrôle interne dans l’ensemble des sociétés anonymes, cotées ou non, quelque
soit le secteur d’activité.

L’IIA en donne la définition suivante : «Les processus de gouvernance traitent des procédures
dont disposent les représentants des parties prenantes à l’entreprise afin d’assurer une
surveillance et une maîtrise des risques et des processus de contrôle mis en œuvre par le
management. La maîtrise et la surveillance des risques de l’entreprise et l’assurance que des
contrôles atténuent suffisamment ces risques contribuent directement à la réalisation des
objectifs de l’entreprise et la création et la préservation de la valeur. Ceux qui accomplissent
les activités de gouvernance sont responsables envers ces parties prenantes et doivent leur
rendre compte de leur réelle direction»44.

Une seconde définition nous est donnée par l’IFAC et considère que le gouvernement
d’entreprise est « l’ensemble des responsabilités et pratiques exercées par le conseil
d’administration et la direction dans le but de fournir des orientations stratégiques assurant
que les objectifs ont été atteints et les risques convenablement gérés ; et vérifiant que les
ressources de l’entité sont utilisées d’une manière responsable ». 45

Schématiquement, les mécanismes de la corporate governance peuvent être présentés de la

43
A ce niveau on peut citer deux conceptions alternatives du gouvernement d’entreprise : le modèle shareholder
(Shleifer et Vishny 1997) et le modèle stakeholder (Berle et Means 1932). Selon le modèle shareholder, la firme
est responsable uniquement vis-à-vis de ses actionnaires. À l’inverse, le modèle stakeholder défend une vision de
l’entreprise dans laquelle d’autres parties prenantes (les employés, les sous-traitants, les clients, l’environnement
proche de l’entreprise, etc.) sont en droit de demander des comptes à l’entreprise. Divers travaux ont démontré la
supériorité du modèle stakeholder sur le modèle shareholder. Dans le cadre de ce mémoire nous retiendrons le
modèle dit stakeholder.
44
IIA Research Foundation : « Research Opportunities in Internal Auditing ». 2003, p.27.
45
Il s’agit de la définition donnée par l’Information Systems Audit and Control Foundation (ISACA) et adoptée
par l’IFAC dans son étude intitulée : « Enterprise Governance, Getting the Balance Right ». Février 2004.

38
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

manière suivante :

Bénéficiaires de la Corporate Governance


Actionnaires
Investisseurs
Fournisseurs
Salariés
Clients
...

Participants Activités Objectifs

Management Gestion des risques


Conseil d’Administration
Comité d’Audit Réalisation des objectifs et
Auditeurs internes et externes préservation de la valeur
Instances de réglementation Assurance quant aux
Associations professionnelles contrôles mis en place

Avec le développement des systèmes d’informations et la place prépondérante qu’ils occupent


dans le bon fonctionnement des entreprises notamment celles opérant dans le domaine des
TIC, on assiste de plus en plus à l’émergence de ce qui est communément appelé
« Gouvernance des Systèmes d’Informations » ou « IT Governance »46.
L’IT Governance s’intègre dans le cadre de la gouvernance globale de l’entreprise en
regroupant un ensemble de « bonnes pratiques » visant à mettre l'informatique au service de la
stratégie de l'entreprise et de ses objectifs de création de valeur.

2 Panorama du contexte réglementaire

Depuis ces dernières années, les débats relatifs à la corporate governance ont pris une grande
ampleur à l’échelle mondiale. En effet, dans un contexte de crise sur la fiabilité des
informations financières les règles et les recommandations sur la gouvernance d’entreprise se
multiplient47. Quoiqu’à l'origine, ces principes n'avaient aucune valeur contraignante, chaque

46
On entend par «IT» dans ce contexte l’ensemble des stratégies, systèmes, applications et processus utilisés, y
compris les personnes chargées de mettre en place et d’utiliser cette technologie.
47
Les rapports de l’Americain Low Institue aux USA ou Cadbury en Grande Bretagne ont été les premiers à
paraître en 1992.

39
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

entreprise restant libre de les mettre en œuvre, on assiste de plus en plus à une prolifération
des textes légaux obligeants les dirigeants à se conformer à certaines obligation en matière de
gestion de leurs entreprises. En effet, des réglementations européennes ont répondu en écho
aux lois américaines, qui a la suite des scandales du monde financier du début de ce
millénaire, visaient à restaurer la confiance des actionnaires et du public.

C’est ainsi que plusieurs textes de loi sont promulgués un peu partout dans le Monde. Aux
Etats Unis la loi "Sarbanes Oxley Act" est adoptés par le Congrès américain en juillet 2002
dans le sillage des scandales financiers d’Enron (secteur de l’énergie) et de WorldCom
(secteur des télécommunications). En France les rapports Vienot 1&2 (juillet 199548, juillet
199949) et le rapport Bouton en septembre 200250 précèdent l’adoption, en août 2003, de la loi
n°2003-706 dite "Loi de Sécurité Financière", qui contraint, dès l'exercice 2003, toutes les
sociétés anonymes, cotées ou non, à de nouvelles mesures d'information au profit des
actionnaires et du public.

Le défi qui est posé aux législateurs est de mettre en œuvre un ensemble de réformes visant à
rétablir la confiance du public dans l’entreprise. Les réponses au cas par cas, aussi louables
soient-elles, ne suffisent plus. Des réformes législatives en profondeur sont nécessaires pour
garantir que les entreprises rendent effectivement compte à la société de leur mission de
création de richesse.

Toutes ces réglementations reprennent, avec de multiples variations, des dispositions portant
notamment sur le fonctionnement effectif des conseils d’administration et de leurs comités
spécialisés, sur l’indépendance des administrateurs, et sur les mécanismes de rémunération et
de responsabilisation des dirigeants opérationnels en prônant la prise en compte et la gestion
de l’ensemble des risques de l’entreprise de façon organisée et formalisée.
La loi SOX instaure par exemple des comités d’audit et des administrateurs indépendants au
sein des conseils d’administration et redéfinit le champ d’exercice des professions
comptables, en procédant à une séparation nette entre les métiers de conseil et d’audit. En

48
« Comité sur le gouvernement d’entreprise », juillet 1995.
49
« Comité sur le gouvernement d’entreprise », juillet 1999.
50
Rapport du groupe de travail présidé par Daniel BOUTON : « Pour un meilleur gouvernement des entreprises
cotées » paru en septembre 2002.

40
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

France, la loi sur la sécurité financière, initiée par le Ministère de l’Economie et des Finances
limite la possibilité de cumul de mandats d’administrateur auprès de plusieurs entreprises, et
oblige les sociétés du CAC 40 à se doter d’urgence de comités de comptes et de comités de
rémunération.

L’objectif de ces mesures est double :


- Accroître la transparence de la communication externe sur la gestion et le contrôle du
risque,
- Améliorer, au sein de l’entreprise, la détection précoce des risques, les mesures
préventives et correctives.

La forte pression exercée par l’environnement international pour la prise en compte des
principes du gouvernement d’entreprise ne pouvait que trouver des échos favorables dans
notre pays. En effet, la Tunisie a beaucoup modernisé son droit des sociétés grâce aux
réformes qui se sont succédées depuis l’année 2000 et a vu naître le code des sociétés
commerciales promulgué par la loi n° 2000-93 du 3 novembre 2000 complété et modifié par
une série de mises à jour.
L’ouverture des frontières et la présence croissante des investisseurs étrangers qui apportent
avec eux les règles de la Corporate Governance, ont également concouru à l'émergence du
débat sur le gouvernement d'entreprise. Ces débats se sont soldés par la promulgation de la loi
n°2005-96 du 18 octobre 2005 relative au renforcement de la sécurité des relations
financières.

3 Les acteurs de la gouvernance d’entreprise

Dans le préambule à ses «Principes de Gouvernement d’Entreprise», l’OCDE précise que


«…le gouvernement d’entreprise fait référence aux relations entre la direction d’une
entreprise, son conseil d’administration, ses actionnaires et autres parties prenantes.»51

51
OCDE, Principes de Gouvernement d’Entreprise, 2004.

41
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

3.1 Le management

La plupart des modèles de corporate governance reconnaissent le rôle central du management


comme l’un des principaux intervenants dans le système de corporate governance. En
instaurant le « Tone at The Top » et en gérant les opérations courantes, l’influence du
management sur la qualité de la gouvernance est significative. En effet, le management est
responsable de la maîtrise des risques et de l’implémentation des contrôles à même d’atténuer
ces risques.

3.2 Le conseil d’administration et les différents comités qui le composent

3.2.1 Le conseil d’administration

Le conseil d’administration doit être un savant dosage de compétence, d'expérience et


d'indépendance au service de l'intérêt de la société et de ses parties prenantes. On ne saurait
trop insister sur la compétence et l'expérience qui sont les qualités premières des
administrateurs. Ils doivent maîtriser les enjeux stratégiques des marchés où intervient
l'entreprise, ce qui implique qu’ils aient une réelle connaissance de ses métiers. La
qualification d’indépendant vise la situation objective d’un administrateur qui est réputé ne
pas avoir de conflit d’intérêts potentiel avec la société. En effet, « un administrateur est
indépendant lorsqu’il n’entretient aucune relation de quelque nature que ce soit avec la
société, son groupe ou sa direction, qui puisse compromettre l’exercice de sa liberté de
jugement »52.
La notion d’indépendance n’a pas partout la même définition et est souvent confondue, aux
Etats-Unis et en Grande-Bretagne notamment, avec celle de «non-exécutif»53 ou d’«externe».
C’est également une notion difficile à apprécier dans la vie réelle.

La présidence du Conseil est assurée par un de ses administrateurs qui doit être élu par les

52
« Pour un meilleur gouvernement des entreprises cotées ». Rapport du groupe de travail présidé par Daniel
Bouton, président de la Société Générale. Conférence de presse du lundi 23 Septembre 2002.
53
Tel que le rappelle le rapport Vienot II, par administrateur indépendant, il faut entendre non pas seulement
administrateur “ non-exécutif ” -c’est-à-dire n’exerçant pas de fonctions de direction dans la société ou dans son
groupe- mais encore dépourvu de lien d’intérêt particulier (actionnaire significatif, salarié, autre) avec ceux-ci.

42
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

autres membres pour une période déterminée. Dans la pratique, le président du Conseil est
souvent lui-même directeur général de la société cumulant ainsi deux
fonctions « incompatibles ». A cet effet, il n’y a qu’à rappeler les scandales du début de ce
millénaire qui ont mis en lumière les risques associés au « PDG tout puissant ». Au moment
des méfaits qui ont frappé leurs entreprises respectives, Jean-Marie Messier (Vivendi),
Kenneth Lay (Enron), Anne Mulcahy (Xerox)…, avaient une caractéristique commune: ils
étaient à la fois directeur général de l’entreprise et président de son conseil d’administration.
Le cumul des deux postes génère une situation malsaine pour la gouvernance de l’entreprise.
En effet, le président du Conseil joue théoriquement un rôle moteur pour surveiller la mise en
œuvre de la stratégie de l’entreprise par le directeur général, ce qui est difficilement réalisable
quand les deux positions sont tenues par la même personne ! La dissociation des fonctions de
président et de directeur général est considérée aujourd’hui comme caractéristique d’un
gouvernement d’entreprise moderne.
Les réunions du Conseil doivent refléter la collégialité de cette instance et sa fonction
première de « forum » dans lequel la stratégie d’entreprise est discutée ouvertement et sans
restriction, et où différentes opinions peuvent être confrontées.

Le conseil d’administration doit remplir certaines fonctions essentielles, notamment revoir et


guider la stratégie de l’entreprise, ses principaux plans d’action, ses budgets annuels et
programmes d’activité, définir ses objectifs de résultats, assurer la surveillance de la mise en
œuvre de ces objectifs, contrôler les principales dépenses d’acquisitions et de cessions
d’actifs, mettre en place sa politique de risques. Cette politique englobe la définition de la
nature et du degré des risques auxquels une société accepte de s’exposer pour atteindre ses
objectifs. Elle représente donc un guide majeur pour la direction qui doit gérer les risques
avec le souci de respecter le profil de risque souhaité par la société.

Organe d’approbation, de discussion des engagements et développement à long terme, le


conseil d’administration doit également s’entourer de comités indépendants apportant une
expertise sur des thèmes variés : l’audit, les nominations, les rémunérations, la stratégie, et
maintenant l’éthique et l’environnement.

43
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

3.2.2 Les comités spécialisés du conseil d’administration

De nombreux Conseils se sont dotés de comités permanents spécialisés qui instruisent les
affaires dont ils ont la charge et formulent leurs propositions au Conseil. Toutefois, en aucun
cas la création de comités ne doit dessaisir le Conseil lui-même, qui est le seul à avoir le
pouvoir légal de décision, ni conduire à un démembrement de son collège qui est, et doit,
demeurer collectivement responsable de l’accomplissement de ses missions.

Dans la pratique et par référence aux bonnes pratiques en matière de gouvernance


d’entreprise, les trois comités les plus fréquemment rencontrés dans les entreprises sont :
- Le comité de nomination,
- Le comité de rémunération, et
- Le comité d’audit (ou comité des comptes).
Il est généralement recommandé que ces comités soient composés en tout ou partie
d’administrateurs non-dirigeants et en majorité indépendants.
Toutefois, le nombre et la nature de ces comités dépend de la nature des activités de
l’entreprise, de sa taille, de la volonté de ses dirigeants. En effet, certaines entreprises, à
l’image de l’opérateur Mobistar, ont opté pour le regroupement du comité de rémunération et
du comité de nomination au sein d’un seul et même comité dit « Comité de Rémunération et
de Nomination » chargé à la fois de la mise en place et du suivi des politiques de nomination
et de rémunération des mandataires sociaux. Le groupe France Télécom, en plus des trois
comités précédemment cités, s’est doté d’un comité stratégique (chargé de l’actualisation du
plan stratégique) et d’un comité d’orientation (dont la mission est d'évaluer les grandes
orientations économiques, sociales et technologiques de la société.)54

Le Comité de Nomination

Le comité de nomination est chargé de préparer la composition future des instances


dirigeantes en proposant des candidats aux fonctions d’administrateurs et en favorisant un
choix objectif d’administrateurs indépendants en fonction de leurs compétences. Sa mission

54
Règlement intérieur du conseil d’administration du Groupe France Télécom.

44
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

est importante en matière de plan de succession des mandataires sociaux et de sélection de


nouveaux administrateurs. Il doit aussi évaluer régulièrement la performance des
administrateurs.

Aux Etats-Unis, le comité doit être composé d’une majorité d’administrateurs indépendants. Il
propose la candidature des administrateurs au Conseil puis aux actionnaires et recommande
les administrateurs aux différents postes à pourvoir dans les différents comités du Conseil.

Au Royaume-Uni, le Cadbury Code recommande que le comité soit composé majoritairement


d’administrateurs non opérationnels et que le président du comité soit le président du Conseil
ou un administrateur non opérationnel. Les administrateurs non opérationnels devraient être
nommés pour un temps limité et leur renouvellement devrait être suivi afin de s’assurer que le
principe d’indépendance soit toujours respecté.

En France, selon le rapport Vienot I55, le comité de nominations peut être groupé avec le
comité des rémunérations. Il doit être composé de trois à cinq membres, dont le président et
au moins un administrateur indépendant. En 1999, le rapport Vienot II vient renforcer la
présence d’administrateurs indépendants en recommandant que leur proportion soit d’au
moins 1/3. En 2002, le rapport Bouton a fait passer cette proportion d’un tiers à la moitié.

Le Comité de Rémunération

Au Royaume-Uni, le Greenbury Code s’est attaché au problème de rémunération des


dirigeants en réponse aux fortes augmentations constatées dans les années 1990 (sans lien
avec le niveau des bénéfices) et aux attributions de stock-options. Dans ce contexte, le comité
de rémunération doit déterminer la politique salariale qui s’applique aux dirigeants en fixant
leurs rémunérations. Il s’agit principalement de concevoir des systèmes de rémunération
alignant le plus possible les intérêts du management et ceux des actionnaires.

Le rapport Bouton précise que « la politique de rémunération des dirigeants est une
composante majeure de la bonne gestion. Il est sain que la politique de rémunération associe

55
« Comité sur le gouvernement d’entreprise », juillet 1995.

45
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

dans la durée l’entreprise, les actionnaires et les principaux acteurs de la stratégie à moyen
terme. Elle doit éviter certains excès rencontrés consistant à privilégier exagérément le court
terme et aboutissant à dissocier l’intérêt personnel des dirigeants de celui de l’entreprise ». Le
comité ne doit comporter aucun mandataire social et être composé majoritairement
d’administrateurs indépendants. Sa présidence doit être confiée à un administrateur
indépendant. Le comité est chargé de proposer au conseil d’administration la rémunération
des principaux dirigeants qui doit être publiée de manière détaillée. La nomination des
administrateurs indépendants doit être revue annuellement.

Au Royaume-Uni, les sociétés sont dans l’obligation de publier les informations relatives à la
détermination des rémunérations de toute nature et fournissent des données chiffrées pour
chacun des membres du conseil d’administration. Aux Etats-Unis, ces informations sont
contenues dans le document de convocation des actionnaires à l’Assemblée Générale auquel
renvoie le rapport annuel. Elles sont également nominatives à l’égard des administrateurs et
des principaux dirigeants. En France, jusqu’en 2002, la loi n’imposait aucune divulgation des
salaires et seulement le nombre total de stock-options attribués et leurs cours d’achat. Depuis
la loi NRE56, la publication de la rémunération des dirigeants qui relevait plus d’une démarche
volontaire impulsée par les rapports Vienot I et II, est devenue une obligation légale.

Le comité des comptes ou comité d’audit

C’est principalement à l’occasion de l’arrêté des comptes que le Conseil doit assumer deux de
ses missions essentielles : le contrôle de la gestion et la vérification de la fiabilité et de la
clarté des informations fournies notamment à travers l’examen des dispositifs de contrôle
interne et de gestion des risques mis en place par l’entreprise. Pour accomplir cette tâche, le
conseil d’administration peut instituer en son sein un comité spécialisé (communément appelé
comité des comptes ou comité d’audit), dont les attributions et la composition sont de nature à
lui garantir la diligence et l’objectivité qu’impliquent ces missions.
La création de ce comité est considérée comme une bonne pratique en matière de
gouvernement d’entreprise et est d’ailleurs vivement recommandée par la quasi-totalité des
rapports et réglementations en matière de bonne gouvernance.

56
Loi 2001-420 du 15 mai 2001 relative aux Nouvelles Régulations Economiques. (France)

46
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Le comité des comptes est constitué d’administrateurs indépendants des dirigeants de


l’entreprise disposant de compétence en matière de contrôle et de compréhension des
activités57. Parmi les tâches importantes que ce comité devrait assurer nous pouvons citer :
- sélectionner l’auditeur externe et les conditions de son appointement,
- surveiller et protéger son indépendance,
- surveiller l’étendue et la nature des services autres que l’audit légal offerts à la société
auditée,
- avoir des meetings réguliers avec l’auditeur externe,
- s’assurer qu’il ait accès à toute information nécessaire à l’exécution de son rôle,
- assurer le suivi de ses commentaires et considérer leurs impacts éventuels sur les états
financiers,
- revoir les politiques comptables de la société, leurs qualités et la pertinence des
modifications apportées et
- se prononcer in fine sur la présentation des comptes.

Le comité d’audit devrait avoir un rôle tout aussi important vis-à-vis de la surveillance des
activités de l’audit interne et des dispositifs de gestion des risques et devrait avoir accès à
toute l’information interne pertinente, exacte et en temps opportun pour pouvoir exercer les
responsabilités qui lui sont attribuées.

A l’échelle internationale, vu leurs tailles et leurs activités, plusieurs opérateurs de téléphonie


mobile se sont doté d’un comité d’audit. Tel est le cas par exemple de l’opérateur France
Télécom qui s’est doté d’un comité d’audit en 199758 ou encore de Tunisiana dont le Conseil
a décidé la création d’un tel comité en 2005.

3.3 Les actionnaires

L’implication première des actionnaires dans la gouvernance d’entreprise est effectuée à

57
En France, les rapports Vienot I et II prévoient que le comité d’audit soit constitué au moins d’un tiers
d’administrateurs indépendants. En 2002, le rapport Bouton propose le renforcement de la présence
d’administrateurs indépendants (2/3 contre 1/3 précédemment).
Aux USA, la loi Sarbanes-Oxley de 2002 est venue confirmer l’obligation pour les entreprises de mettre en place
des comités d’audit composés exclusivement d’administrateurs indépendants.
58
D’après le site Internet du groupe France Télécom.

47
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

travers le processus de vote. En effet, ces derniers se sont octroyés le droit légal de voter sur
certaines questions d’une importance significative pour l’entreprise telles que l’élection
d’administrateurs, les fusions et acquisitions, l’approbation des états financiers...

Un régime de gouvernement d’entreprise doit protéger les droits des actionnaires et faciliter
leurs exercices tout en assurant un traitement équitable de tous les actionnaires, y compris les
actionnaires minoritaires et étrangers.

Les actionnaires délèguent l’autorité au conseil d’administration qui, à son tour, nomme les
membres de la direction appelés à gérer l’entreprise en vue d’atteindre les objectifs convenus
dans un cadre acceptable de comportement éthique et responsable.

Au Royaume-Unis, l’Institutional Shareholders Committee a publié une déclaration de


principes intitulée «The Responsibilities of Institutional Shareholders and Agents - Statement
of Principles» dans laquelle il définit les responsabilités des actionnaires en relation avec les
sociétés dans lesquelles ils investissent. Cette déclaration de principe prévoit un certain
nombre de bonnes pratiques à l’égard des actionnaires telles que :

- formuler leur politique sur la manière avec laquelle ils comptent assumer leurs
responsabilités, clarifiant les priorités accordées aux questions particulières ;

- contrôler les performances des sociétés dans lesquelles ils investissent et établir un
dialogue régulier avec celles-ci ;

- intervenir, lorsqu’il s’avère nécessaire, dans des circonstances se rapportant à la


stratégie de l’entreprise ;

- Evaluer l’impact de leur activisme59.

Il est à noter que cette déclaration de principes a été entièrement adoptée par le «Combined
Code on Corporate Governance». A cet égard, ce code prévoit que les actionnaires doivent
entretenir avec leurs sociétés un dialogue fondé sur une compréhension réciproque des
objectifs, évaluer les dispositifs de gouvernance, particulièrement ceux relatifs à la structure et

59
Institutional Shareholders Committee, Statement on Principles, 2002. Page 1.

48
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

la composition du Conseil et tirer le meilleur parti de leurs votes60.

Comme nous l’avons déjà mentionné, la focalisation sur les intérêts à court terme va à
l’encontre des bonnes pratiques en matière de gouvernance des entreprises. Il serait donc
intéressant de prévoir des mesures incitant les actionnaires à mettre en place des stratégies
d’investissement sur le long terme. Pour ce faire, des incitations législatives pourraient être
prévues afin de récompenser l’engagement à long terme des actionnaires. On pourrait
imaginer l’attribution de droits de vote supplémentaires pour les actionnaires de long terme au
détriment des actionnaires de court terme, la pondération de la distribution des dividendes en
tenant compte de la durée de la détention des actions…

3.4 Les stakeholders ou autres parties prenantes

Des événements comme l’effondrement d’Enron et WorldCom, la globalisation de l’économie


et de l’information et les considérations sanitaires ou écologiques (tels que les effets
controversés des ondes électromagnétiques, les changements climatiques…) sont en train de
remodeler la manière avec laquelle on perçoit le rôle de l’entreprise dans la société. En effet,
l’idée de primauté des actionnaires n’est plus partagée par toutes les entreprises. On assiste de
plus en plus à une prise en compte des intérêts d’autres parties prenantes à l’image des
employés, des clients, de la société civile… Après tout, les actionnaires ne sont pas les seules
victimes des faillites des entreprises. Des employés peuvent perdre leur travail, leur carrière et
leur retraite. Toute la communauté souffre lorsqu’un grand employeur ferme définitivement…
C’est ainsi que les principes de gouvernement d’entreprise publiés par l’OCDE insistent sur le
fait qu’« un régime de gouvernement d’entreprise doit reconnaître les droits des différentes
parties prenantes à la vie d’une société …et encourager une coopération active entre les
sociétés et les différentes parties prenantes pour créer de la richesse et des emplois et assurer
la pérennité des entreprises financièrement saines»61.

La responsabilité sociale de l’entreprise ou « Corporate Social Responsibility » ou encore la


notion d’entreprise citoyenne sont des concepts étendus de la responsabilité de l’entreprise qui

60
“The Combined Code on Corporate Governance”, Juillet 2003. Page 19.
61
OCDE, Principes de Gouvernement d’Entreprise, 2004.

49
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

ont gagné ces dernières années de l’importance.

Comme nous l’avons développé tout au long de cette section, les structures
organisationnelles, les politiques et les mesures de contrôle appropriées aident à favoriser une
bonne gouvernance d’entreprise, mais elles n’en sont pas garantes. La gouvernance
d’entreprise efficace est principalement le résultat du dévouement des administrateurs et des
cadres supérieurs qui exercent consciencieusement leur obligation de diligence à l’égard de
l’organisation. Le bon fonctionnement des structures et des politiques tient à la présence de
personnes bien informées et compétentes, qui comprennent clairement leurs rôles et qui
l’exécutent en faisant preuve d’un solide engagement et d’initiative

Dans ce qui suit nous n’allons pas aborder le concept de gouvernance d’entreprise ou
corporate governance dans toutes ses facettes, ceci pourrait faire l’objet d’un autre sujet de
mémoire. Nous nous intéresserons plutôt au volet gestion des risques en tant que pilier
fondamental du gouvernement d’entreprise.

SECTION 2: LIMITES DES APPROCHES TRADITIONNELLES ET NAISSANCE DU CONCEPT

D’« ENTERPRISE RISK MANAGEMENT »

Le monde change, l'entreprise doit s'adapter à ces changements. En effet, les entreprises ne
peuvent ignorer les mutations intervenues ces dernières années dans quasiment tous les
domaines de la vie donnant lieu à l’émergence de nouveaux risques : évolution de la
technologie, nouvelles contraintes réglementaires, changement dans le comportement des
consommateurs, ouverture des marchés et agressivité de la concurrence, développement
fulgurant des moyens de communication…
Ces changements ont impacté les méthodes de gestion traditionnelles des risques, qui bien
qu’ayant fait leurs preuves dans le passé, ne peuvent plus assurer la pérennité et la création de
valeur des entreprises d’aujourd’hui.

C’est particulièrement le cas des entreprises opérant dans le secteur de la téléphonie mobile.
Activité inexistante dans le passé, elle s’est développée en premier lieu chez les opérateurs de
téléphonie fixe, généralement anciens monopoles des Etats. La forte dépendance

50
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

technologique de ces entreprises couplée à une concurrence acharnée figurent parmi les
principales causes militant en faveur d’une rupture avec les approches traditionnelles au profit
de méthodes de gestion plus dynamiques intégrant une nouvelle vision de la maîtrise des
risques.

1 Limites des approches traditionnelles

La gestion traditionnelle des risques consiste en des approches fragmentées compartimentant


les risques dans des silos fonctionnels et sont défensives par nature62. Il y a quelques années
encore, on avait tendance à assimiler la gestion du risque à la prévention des préjudices via la
souscription à des polices d'assurance ou la couverture des risques financiers par le recours
aux produits dérivés dans une approche basée sur l’historique des événements63.

Dans un environnement extrêmement compétitif et complexe, cette approche traditionnelle ne


suffit plus. En effet, l’interdépendance entre les risques est de plus en plus forte et il n’est plus
seulement question des risques liés aux accidents du travail, aux pertes financières ou à la
notion de risque pénal mais des risques tels que l’insatisfaction du client, l’environnement
réglementaire, les systèmes d’informations, la sécurité informatique, la concurrence et le
marché... En témoignent les scandales largement médiatisés qui ont émaillés la vie
économique aux Etats-Unis comme en Europe au cours de ces dernières années et ayant mis
en exergue les défaillances des systèmes de gestion des risques jusque là appliqués.

L’approche traditionnelle, marquée notamment par un cloisonnement de la gestion des risques


et par une vision très axées sur l’arbitrage entre « assumer » ou « recourir à l’assurance », est
ainsi jugée insuffisante. La demande des dirigeants s’oriente de plus en plus vers des outils
intégrant le management des risques dans le management global des activités.

62
« Traditional risk management approaches tend to be fragmented, compartmentalising risks into silos ».
D’après l’article « Enterprise Risk Management : Practical Implementation advice ». Protiviti. Février 2006.
63
« Traditional risk management relies upon the future being similar to the past. ». D’après l’article « Managing
Risk from the Mailroom to the Boardroom ». Tone at the Top Vol n°18, Juin 2003.

51
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

2 Naissance du concept d’ERM

De nos jours, et compte tenu des limites des approches traditionnelles de gestion des risques,
une gestion intégrée des risques de l'entreprise (en anglais: Enterprise Risk Management ) est
devenue primordiale. Elle consiste à identifier toutes les sources de risque pouvant menacer
les objectifs stratégiques de l'entreprise ou inversement représenter des opportunités
susceptibles de procurer un avantage concurrentiel.

2.1 Présentation du référentiel : Le COSO II et évolution par rapport au COSO I

Au cours de ces dernières années, la gestion des risques a fait l’objet de préoccupations et
d’une attention grandissante et il est devenu de plus en plus évident qu’un référentiel était
nécessaire pour identifier, évaluer et gérer les risques en toute efficacité. En effet, la nécessité
d’un dispositif de management des risques, apportant des principes et des concepts directeurs,
un langage commun et une orientation claire n’est plus à démontrer.

C’est dans cet esprit qu’en 2001, le Committee of Sponsoring Organizations of the Treadway
Commission (du nom de son président le sénateur Treadway) plus connu sous le nom de
COSO, a demandé à PriceWterhouseCoopers d’élaborer un référentiel pouvant être aisément
utilisé par les dirigeants afin d’évaluer et d’améliorer la gestion des risques au sein de leurs
entreprises. Ces travaux ont abouti à la publication, en septembre 2004, de l’ « Enterprise
Risk Management- Integrated Framework »64 ou COSO II.
Ce référentiel s’appuie sur la trame générale de l’ « Internal Control – Integrated
Framework »65, plus connu sous le nom de « COSO I Report » publié par la même
commission en 1992. En effet, l’ « Enterprise Risk Management- Integrated Framework »
complète le concept de contrôle interne développé par le COSO I en l’élargissant au thème
central de la gestion des risques permettant ainsi aux organisations de répondre à leurs besoins
en matière de contrôle interne tout en évoluant vers un processus de management des risques

64
Publié par le COSO aux Etats-Unis et traduit en français par PwC, Landwell&Associés et l’IFACI sous le titre
« Le Management des Risques de l’Entreprise : Cadre de référence-Techniques d’application ». Edition
d’Organisation, 2005.
65
Publié par le COSO aux Etats-Unis et traduit en français par PwC et l’IFACI sous le titre « La nouvelle
Pratique du Contrôle Interne ». Edition d’Organisation, 1994.

52
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

plus complet. C’est ainsi que l’installation de la démarche de maîtrise des risques permet de
créer une vraie valeur ajoutée notamment en proposant une approche rénovée du contrôle
interne.

Du contrôle interne à la maîtrise des risques, la démarche permet :


- De décloisonner les actions de contrôle déjà existantes en articulant et coordonnant
l’ensemble des dispositifs (pilotage intégré),
- De dépasser l’approche exclusivement « défensive » du contrôle interne (centré sur la
fiabilité des opérations financières et la conformité aux lois), en intégrant une
approche plus « offensive » (visibilité sur le déploiement de la stratégie et l’atteinte
des objectifs).

Le COSO II propose un cadre de référence pour la gestion des risques de l’entreprise basé sur
une vision orientée risques de l’entreprise et est présenté sous forme d’une matrice à trois
dimensions illustrant la relation entre les objectifs d’une organisation et les éléments du
dispositif de management des risques. A cet effet, la matrice initialement développée par le
COSO I a été reprise par le COSO II moyennant quelques modifications ayant trait
notamment au volet gestion des risques et est présentée de la manière suivante :

53
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

4 grandes catégories d’objectifs

Stratégie

Opérations
Reporting

Conformité
8 éléments du management des risques

Environnement interne

Fixation des objectifs

Identification des événements

Evaluation des risques

Traitement des risques

Activités de contrôle

Information et communication

Pilotage

Filiale

Unité de gestion Les unités de


Division l’organisation
Entreprise

Figure 7 : Le cube du COSO II 66

« Chaque élément du dispositif de management des risques est transverse au cube et


s’applique aux quatre catégories d’objectifs. Par exemple, l’identification des différents
facteurs internes et/ou externes pouvant se traduire par des menaces et des opportunités fait
partie de l’élément « Identification des événements » et est nécessaire pour définir une
stratégie, gérer efficacement les activités, assurer un reporting efficient et garantir que
l’organisation respecte les lois en vigueur.

66
« Le Management des risques de l’entreprise: Cadre de Référence-Techniques d’application-COSO II Report»,
traduction française par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés. Editions d’Organisation,
2005. Page 39.

54
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Le dispositif de management des risques est utile à l’organisation prise dans son ensemble,
ainsi qu’à chacune de ses entités. Cette relation est illustrée par la troisième dimension du
cube qui représente les filiales, les divisions et les autres unités de l’organisation.
Il est donc possible de se centrer sur n’importe quelle cellule du cube, par exemple celle de
l’ « Environnement interne » dans sa relation avec les objectifs de conformité d’une filiale
donnée ». 67

2.2 Etat des lieux du Risk Management et évolution du cadre réglementaire

Selon une enquête réalisée par la DFCG en collaboration avec le cabinet KPMG68 en 2002,
80% des directeurs financiers interrogés affirment que la gestion des risques a un apport
positif sur la création de valeur, tant sur le plan quantitatif (supplément de rémunération
apportée par l’entreprise par rapport à un placement sans risque) que sur le plan qualitatif
(développement durable, fidélisation des clients). Une grande majorité des répondants pensent
par ailleurs que la mise en place d’une méthodologie de gestion des risques serait profitable à
la plupart des entreprises.
Pourtant, ces mêmes enquêtes montrent que l’approche de la gestion des risques par les
entreprises demeure défensive et souvent limitée à la réponse à des scénarios catastrophes. En
effet, et comme le souligne Marc Chambault, Directeur de l’Audit Interne et du Contrôle des
Risques chez France Télécom, c’est en général l’expérience vécue d’une grande crise qui est
le facteur déterminent pour enclencher le dispositif de Management des Risques plutôt qu’une
initiative managériale69.

A côté de cette perception parcellaire et sécuritaire de la gestion des risques, il ressort de cette
même enquête un net décalage entre l’intérêt porté par les entreprises à la gestion des risques
et les moyens mis en œuvre à ce jour. En effet, dans la pratique les moyens opérationnels de

67
« Le Management des risques de l’entreprise: Cadre de Référence-Techniques d’application-COSO II Report»,
traduction française par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés. Editions d’Organisation,
2005. Page 35.
68
Enquête réalisée par la DFCG (Association nationale des directeurs financiers et de contrôle de gestion) et le
cabinet d’audit KPMG, en partenariat avec la Tribune. Lancée en octobre 2002 auprès de 5.000 directeurs
financiers de grandes entreprises ( > 200 salariés). En retour, 208 réponses dont 70 provenant de sociétés cotées.
69
Intervention de Marc Chambault, Directeur de l’Audit Interne et du Contrôle des Risques de France Télécom,
lors de la table ronde organisée par le CREFIGE (2003) dans son témoignage intitulé : « Mise en place de la
fonction de Risk Management chez une grande entreprise comme France Télécom : Les étapes ».

55
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

la gestion des risques sont notablement insuffisants : moins de 40 % des entreprises ont mis
en place un processus d’identification des risques ; seulement 25 % d’entres elles utilisent une
cartographie des risques avec 90 % des répondants jugeant leur gestion des risques
perfectible. Enfin, seulement 13 % des entreprises interrogées ont créé une fonction de risk-
manager dont la mission est souvent limitée à l’achat d’assurances et la prévention de risques
matériels.

Vu ce manque d’implication des dirigeants et l’importance de la gestion des risques dans les
entreprises, on assiste de plus en plus à la création d’associations professionnelles, à
l’organisation de rencontres et de séminaires débattant du sujet afin d'étendre et d'élargir la
culture de la gestion des risques. Plusieurs associations à l’image de l’AMRAE en France, de
la FERMA70 regroupant plusieurs pays d’Europe et la Russie, de la RIMS71 aux Etat Unis et
au Canada, ou encore de l’AIRMIC en Grande Bretagne, militent en faveur d’une plus grande
vulgarisation des concepts de risk management au niveau des entreprises.
L’activisme de ces associations ajouté au renforcement des règles de corporate governance et
notamment le volet gestion des risques, comme nous l’avons exposé plus haut, n’ont cessé de
pousser en avant les mécanismes de gestion des risques dans les entreprises. C’est ainsi que
selon une enquête réalisée par PwC auprès de directeurs d’entreprises de part le monde dont
les résultats ont été publiés en 200472, 38% des personnes interrogées affirment avoir déjà mis
en place un ERM fonctionnant de manière efficace et efficiente et 46% se proposent de mettre
en place de tels systèmes dans les 3 prochaines années.

Deux ans plus tard, entre les mois de mars et de mai 2006, une troisième enquête menée par
l’association FERMA auprès de 460 entreprises en majorité européennes, implantées
principalement en Grande Bretagne et en France, indique que 67% des répondants ont mis en
place un processus de management des risques avec des pratiques assez diverses. Les

70
La Fédération of European Risk Management Associations - regroupe 16 associations de risque management
de plusieurs pays d’Europe et la Russie et compte plus de 4800 membres.
71
La Risk and Insurance Management Society a été créée en 1950. Elle regroupe plus de 4 500 entreprises et
plus de 7 800 professionnels du risk management. C’est la plus grande association mondiale de gestion des
risques qui travaille à la fois pour le secteur public et privé.
72
Enquête réalisée par PwC auprès de 1394 CEO de part le monde et publiée en 2004 dans le document intitulé :
« 7th Annual Global CEO Survey ».

56
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

processus sont dans certains cas peu formalisés et dans d’autres très élaborés73.

En Tunisie, en dépit de l’adoption en 2005 de la loi relative au renforcement de la sécurité des


relations financières et au développement des règles de bonne gouvernance, le risk
management demeure relativement dans un état embryonnaire. C’est ce qui ressort d’une
enquête menée dans le cadre des travaux de recherche de l’Institut des Hautes Etudes
Commerciales de Carthage en vue d’analyser les opportunités et les difficultés de mise en
place d’un ERM basé sur le référentiel COSO II. Les premiers constats de cette étude ont
révélé l’existence de plusieurs obstacles à la mise en œuvre d’un ERM dont :

- le manque de ressources humaines et financières,

- une absence quasi totale de la culture du risque,

- une absence d’organisation actualisée et documentée,

- le tout ajouté à un manque de conviction du Top Management.

Ces mêmes résultats ont émergé de l’étude sur la Gouvernance d’Entreprise au Maroc menée
en 2005 par la CGEM (Commission Gouvernance d’Entreprise au Maroc) avec le soutien du
Center for International Private Enterprise (CIPE) et réalisée par le cabinet FOCS tout en
insistant sur l’absence de communication des entreprises sur ce qui a trait à la notion de
risque74.

2.3 Emergence de la fonction de « Risk Manager »

D’origine anglo-saxonne, ce métier s’est progressivement implanté dans le reste des pays du
monde. En effet, l'une des premières apparitions du terme « gestion du risque » remonte à
1956, aux Etats-Unis. Un article de la « Harvard Business Review » y mentionnait le « risk
management ». Il suggérait alors qu'il était possible d'employer quelqu'un à temps plein pour
gérer les risques et minimiser les pertes. Il s'agissait pour l'essentiel du prolongement du poste

73
Enquête menée par FERMA, Ernst & Young and AXA Corporate Solutions.
74
« La Gouvernance d’Entreprise au Maroc : Etat de l’Art et Perspectives ». Ministère des Affaires Générales –
CGEM-RABAT. Septembre 2005.

57
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

de gestionnaire d'assurance, dont l'origine était plus ancienne.75

Observée de manière remarquable dans certains secteurs d’activité à hauts risques tels que
l'énergie, le nucléaire ou la chimie, la gestion des risques s’est ensuite introduite chez les
grands groupes, au sein desquels il est primordial d'adopter une politique de gestion des
risques cohérente, avant d’apparaître chez d’autres entreprises de tailles plus réduites. Selon
l’AMRAE, en 2007, environ 350 cadres l’exercent en France à pleins temps. Ce nombre est
beaucoup plus important dans les pays anglo-saxon où la culture du risque est nettement plus
développée.

La jeunesse de la fonction fait qu'elle évolue rapidement. En effet, d’un simple gestionnaire
des contrats d’assurance, le Risk Manager a rapidement vu son champ d’action évolué vers
des horizons plus larges allant jusqu’à prendre place en tant que conseiller privilégié de
l’entreprise occupant ainsi des postes de hautes responsabilités. En effet, en même temps que
croît la demande pour un gouvernement d'entreprise, le débat sur l'intégration du gestionnaire
de risques au conseil d'administration comme « directeur des risques » s'intensifie76. L'idée
est que la gestion des risques revêt une importance stratégique suffisante pour être représentée
à l'échelon hiérarchique le plus élevé.

Toutefois, nous nous devons de souligner que l’absence de Risk Manager ne signifie pas que
l’entreprise ne géré pas ses risques. Il existe toujours une gestion des risques même si elle est
empirique, généralement réalisée par chaque direction opérationnelle. Dans ce cas, le plus
souvent, il n’existe pas de méthodes formelles et quand elles existent, elles ne sont
généralement pas harmonisées.

Quand elle est correctement régulée et gouvernée, l’entreprise est un instrument efficace de
création de richesse. L’analyse qui est faite de la crise qu’a connu le monde au début de ce
millénaire montre combien le gouvernement d’entreprise, et notamment la gestion organisée
et formalisée des risques, sont importants dans le quotidien des entreprises prospères.

75
« L'irrésistible ascension de la gestion du risque ». Par BEN HUNT. Série l’Art du Risque, LesEchos 13
Décembre 2000.
76
« Le nouveau rôle du gestionnaire de risques » . Par MARK BUTTERWORTH. Dossier L’art de la Gestion
des Risques supplément LesEchos du 29/11/2000.

58
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Ainsi, les dirigeants devraient être de plus en plus conscients que ce n’est pas au cœur d’une
crise qu’ils ont le plus de temps pour réfléchir sereinement et élaborer leur stratégie. Ils
doivent y avoir pensé avant et s’être préparés afin d’avoir assimilé un maximum
d’informations et de réflexes irremplaçables lorsque le temps manque. En effet, l’anticipation
des menaces émergentes permet bien souvent d’en cantonner les effets à moindre coût.

59
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

CONCLUSION DE LA PREMIERE PARTIE

Nous avons commencé ce travail par la présentation du secteur des télécommunications en


général et celui de la téléphonie mobile en particulier en insistant sur l’importance stratégique
de ce secteur aussi bien à l’échelle nationale qu’internationale.

Activité à hauts risques dû notamment à sa forte dépendance technologique et à une


concurrence de plus en plus rude, sa pérennité et son évolution ne peuvent être envisagées en
dehors d’une gestion organisée et formalisées des risques qui s’y rattachent.

Cette donne nous a donc conduit à consacrer tout un chapitre pour la définition de la notion de
risque et son évolution au fil des années. Nous nous sommes également attardés sur la
présentation des principales classes de risques tout en abordant des notions comme
l’appétence et le seuil de tolérance.

Le risque étant devenu une notion familière, nous avons mis l’accent sur la nécessité de le
gérer à travers une approche structurée et formalisée dans le cadre d’un gouvernement
d’entreprise efficace. Pour ce faire, les dirigeants d’entreprises sont appelés à rompre avec les
approches traditionnelles et fragmentées de gestion des risques au profit d’une approche plus
structurée s’intégrant dans le cadre d’une vision portefeuille du risque.
Afin d’étayer cette recommandation, nous nous sommes basés sur les limites des approches
traditionnelles ayant conduit à la naissance et au développement du concept d’ERM.

Dans la seconde partie de ce mémoire nous nous intéresserons de plus près à la présentation
théorique de ce concept pour enfin conclure sur un cas réel de mise en place d’un processus
de management des risques chez un opérateur de téléphonie mobile (troisième partie).

60
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

DEUXIEME PARTIE

PRESENTATION DU PROCESSUS DE MANAGEMENT DES RISQUES ET


ETAPES DE SA MISE EN PLACE

61
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

INTRODUCTION DE LA DEUXIEME PARTIE

A travers les médias, les exemples des plus récentes victimes de la non-gestion des risques
ou, à l'inverse, d'organisations qui se sont démarquées par l'excellence de leurs résultats et la
qualité de leurs pratiques de gestion sont nombreux. Ces exemples illustrent le rôle central
que jouent ces pratiques dans la bonne ou la mauvaise gestion d'une entreprise. En effet, Dans
l’environnement de travail actuel, une approche davantage intégrée en matière de gestion du
risque devient obligatoire. Il ne suffit plus de gérer le risque au niveau de l’activité
particulière ni dans les silos fonctionnels. À travers le monde, les organisations tirent parti
d’une approche beaucoup plus complète pour traiter de l’ensemble des risques.

Au niveau de cette partie, nous commencerons par une description théorique du processus de
management des risques en partant de la définition et des objectifs du PMR pour ensuite
présenter les principaux acteurs qui y interviennent. (Chapitre 1)

• Le deuxième chapitre sera consacré à la présentation d’un guide méthodologique faisant


référence aux principales étapes de mise en place d’un PMR en mettant l’accent sur la
cartographie des risques en tant qu’élément clé de ce processus.

Loin d’être arbitraire, le choix que nous avons pris de nous attarder sur la cartographie des
risques vient de l’importance que revêt cet élément dans le PMR.

62
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 1

PRESENTATION DU PROCESSUS DE MANAGEMENT DES RISQUES

SECTION 1 : DEFINITION DU PROCESSUS DE MANAGEMENT DES RISQUES

1 Définition et objectifs du PMR

1.1 Définition

Comme ce fût le cas pour la définition du risque, de nombreuses définitions de la gestion du


risque sont acceptées. Y. Pesqueux définit la gestion des risques comme le processus appliqué
tout au long d’un programme et qui regroupe des activités d’identification, d’estimation et de
maîtrise des risques77.

Cependant, la définition la plus usitée du PMR nous est donnée par le COSO II selon
lequel : « Le management des risques est un processus mis en œuvre par le conseil
d’administration, la direction générale, le management et l’ensemble des collaborateurs de
l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les
activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles
d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le
risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de
l’organisation. »78

Il est clair d’après cette définition que la mise en place du PMR n’est pas du ressort exclusif
des C-Level Officers. A contrario, et comme le souligne Caroline AUBREY, Maître de
conférence à l’Université Toulouse III, le succès de cette démarche requiert l’implication de

77
« Le concept de risque au magasin des curiosités », Y. Pesqueux, Communication Congrès de l’Association
Française de Comptabilité. Mai 2003.
78
« Le Management des risques de l’entreprise: Cadre de Référence-Techniques d’application-COSO II Report»,
traduction française par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés. Editions d’Organisation,
2005. Page 5.

63
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

tous les acteurs au sein de l’entreprise (rôles que nous expliciterons un peu plus loin dans ce
chapitre) et se doit d’intervenir en amont de la survenance des évènements ; elle ne valide
donc pas seulement les expériences survenues mais les anticipe79.

La gestion des risques n’est pas seulement une activité de contrôle : on ne cherche pas
seulement la qualité de chacune des opérations mais la bonne articulation des activités entre
elles. Il s’agit d’une démarche en deux temps qui repose d’abord sur une phase d’analyse puis
sur une phase de maîtrise des risques.

1.2 Objectifs

La démarche de gestion des risques vise à concilier la prise de risque avec la maîtrise des
dangers qui l'accompagnent et donc à rendre le risque acceptable. Elle recherche un équilibre
entre le bénéfice attendu et le risque accepté. Trop ou trop peu de risques acceptés menacent
la qualité des résultats. Selon Murray Wolf et Cathy. McIssaac « la gestion du risque
d’entreprise aide à éliminer le cloisonnement organisationnel et diffère des méthodes de
gestion des risques traditionnelles en ce qu’elle vise la réduction des pertes et la réalisation de
profits ».80

La démarche de gestion des risques est également un levier de management favorisant


l’échange et la responsabilisation des acteurs qui ouvre et enrichi le dialogue entre les
différents niveaux de l’entreprise (l’équipe managériale/ les opérationnels).

La mise en place de cette démarche au sein d’un opérateur de téléphonie mobile, constitue
une formidable opportunité de mobilisation managériale : une vision partagée des objectifs de
l’entreprise analysés au travers du prisme du risque. En effet, chez un opérateur de téléphonie
mobile, la sécurité ne peut correspondre ni à l’absence de risque (ou sa réduction complète),
ni à une prise exagérée de risque. Une assurance raisonnable quant à la maîtrise des risques
est recherchée par l'identification et le traitement des risques. Cette démarche de gestion des

79
« La Gestion des Risques dans les Entreprises Françaises : Etats des Lieux et Emergence d’une approche
Cognitive et Organisationnelle ». Par Caroline AUBREY, Maître de conférences à l’Université Toulouse III.
Laboratoire Gestion et Cognition.
80
« Gestion des Risques : Menaces ou Opportunités ». Par Murray Wolf et Cathy.McIssaac. CaMagazine

64
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

risques permet de rendre le risque résiduel acceptable.

2 Les composantes du PMR

Le dispositif de management des risques est basé sur huit éléments clés. Ces éléments
résultent de la façon dont l’organisation est gérée et sont intégrés au processus de
management.
Sans revenir sur ce que nous avons précédemment développé, nous nous contenterons de
rappeler brièvement ces composantes. Il s’agit de :
- l’environnement interne (philosophie et culture de risque)
- la fixation des objectifs (définition de la stratégie de l’entreprise et de la tolérance de
risque)
- l’identification des événements (identification des évènements qui ont une incidence
sur la réalisation des objectifs de la société)
- l’évaluation des risques,
- le traitement des risques,
- les activités de contrôle,
- Information et communication (identification et diffusion d’une information complète
et à temps), et
- Le pilotage.

SECTION 2 : LES ACTEURS DU PROCESSUS DE MANAGEMENT DES RISQUES

La mise en place d’un processus de management des risques est un projet d’entreprise
nécessitant l’adhésion et l’implication de tous les managers (qui sont, rappelons le, appeler à
gérer leurs risques au quotidien).
C’est un processus faisant intervenir plusieurs acteurs dont les tâches et les responsabilités
doivent être coordonnées afin d’en assurer le bon fonctionnement.

Le schéma ci-dessous, inspiré des travaux du groupe de recherche dirigé par l’IFACI et ayant
abouti, en décembre 2003, à la rédaction d’un guide d’audit intitulé « Etude du Processus de
Management et de Cartographie des Risques : Conception, Mise en Place et Evaluation »,

65
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

illustre bien les relations qui peuvent exister entre ces différents acteurs.

81
Figure 8 : Les Acteurs du Processus de Management des Risques

1 Le Top Management

Par Top Management on entend : Le conseil d’administration et les différents comités qui le
compose (notamment le comité d’audit) et la direction générale.

Le Conseil en sa qualité d’organe de contrôle, assisté par le comité d’audit, veille à ce que
« des processus de management des risques appropriés, suffisants et efficaces soient mis en

81
« Etude du Processus de Management et de Cartographie des Risques : Conception, Mise en place et
Evaluation », IFACI. Décembre 2003. Page 12.

66
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

œuvre »82, s’assure que ces processus font l’objet d’évaluations régulières et que les
défaillances soulevées soient rapidement corrigées.
Le Rapport Bouton précise le rôle attendu du comité d’audit en matière de maîtrise des
risques : « Le comité des comptes83 a généralement une compétence couvrant à la fois les
comptes, les risques et le suivi de l'audit interne mais, dans certaines sociétés, peuvent
coexister un comité spécialisé chargé des comptes et un comité d'audit plus spécialement
orienté sur le contrôle des risques ». En outre ce rapport recommande que « S’agissant de
l’audit interne et du contrôle des risques, les comités devraient examiner les risques et
engagement hors bilan significatifs, entendre le responsable de l’audit interne, donner leurs
avis sur l’organisation de son service et être informés de son programme de travail. Ils
devraient être destinataires des rapports d’audit interne ou d’une synthèse périodique de ces
rapports ».

La conception, la mise en place effective et le pilotage de ce processus incombe donc à la


direction générale. En effet, à travers la définition de la stratégie globale de l’entreprise, la
direction générale détermine le niveau de risque acceptable pour l’organisation, fixe les
responsabilités liées aux risques et définit les rôles précis de chacun des acteurs.

Comme toute autre fonction au sein de l’entreprise, la gestion des risques a un coût. La
direction générale doit, à ce titre, débloquer les ressources humaines et financières nécessaires
à la mise en œuvre, au suivi et à l’évaluation du PMR.

2 Les directions opérationnelles

Il ne faut pas perdre de vu que les responsables opérationnels sont et demeurent les premiers
responsables des risques de leurs unités. Ils sont donc les plus aptes à identifier leurs risques,
à les évaluer et à définir et mettre en place les plans d’actions correspondants.

De ce fait, les responsables opérationnels sont appelés à :


- Promouvoir une vision de gestion par les risques au sein de leurs unités respectives,
82
Modalité pratique d’application 2110-1 : « Evaluer le processus de management des risques » publiée par l’IIA
en mars 2001.
83
Dans ce rapport l’utilisation du terme « comité des comptes » désigne le comité d’audit.

67
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

- Engager des réflexions structurées et formalisées en identifiant et en évaluant les


risques qu’ils encourent,
- Définir un plan d’actions détaillé pour chaque risque retenu,
- Rendre compte à la direction générale des risques identifiés ou des faiblesse/lacunes
du PMR.

3 Le Risk Manager

Ayant fait ses débuts en tant que simple négociateur de contrat d’assurance, le Risk Manager
(ou gestionnaire des risques84) s’est progressivement libéré de cette sphère restrictive pour
explorer des horizons plus larges. Désormais considéré comme acteur incontournable du
PMR, le Risk Manager a la lourde tâche d’harmoniser les travaux des différents intervenants
dans le processus de management des risques.
Son rôle n’est pas d’imposer sa politique de gestion des risques mais d’assister et de
coordonner les différentes directions opérationnelles dans la maîtrise de leurs risques. C’est
un facteur d’optimisation, de mise en cohérence et de rationalisation du réseau d’acteurs
participant à la gestion des risques de l’entreprise. En effet, les risques ne doivent pas être
appréhendés de manière isolée ou en silo. Des interactions peuvent exister et il est important
d’en tenir compte.

Dans la littérature anglo-saxonne, le terme « champion » est généralement utilisé pour


désigner le Risk Manager de l’entreprise vu les connotations de leadership et de dynamisme
qui entourent ce terme et qui peuvent très bien être transposées au profil du Risk Manager.

Plus concrètement, le rôle du Risk Manager est :


- D’expliquer le PMR aux opérationnels et d’aider à la diffusion d’une culture de risque,
- De faire des propositions à la direction générale l’aidant à définir sa stratégie en
matière de management des risques,
- D’identifier en concertation avec les directeurs opérationnels et l’audit interne, les

84
L’appellation de risk manager traduite en français « gestionnaire de risques » lui fait partiellement perdre de sa
substance : le risk-manager tel que l’entendent les Anglo-Saxons n’est pas un simple «gestionnaire » cantonné
dans l’achat d’assurances et la prévention des risques matériels mais un «visionnaire » de risques capable d’avoir
une approche globale des risques encourus par son entreprise.

68
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

risques majeurs de l’entreprise et anticiper les nouveaux risques émergents et ce dans


le cadre d’une approche portefeuille du risque,
- De faire émerger les risques transverses,
- D’évaluer les risques en concertation avec les responsables opérationnels,
- D’assister la direction générale et les opérationnels dans la formulation d’une réponse
aux risques (éviter, accepter, réduire ou partager le risque),
- De coordonner et de piloter en liaison avec les managers opérationnels, les plans
d’actions à mettre en place,
- D’éclairer la direction générale sur les risques majeurs encourus, leurs niveaux de
maîtrise et la façon dont sont traités les risques résiduels.

Le rôle du Risk Manager vient compléter les travaux des directions opérationnelles à qui il
revient d’identifier, d’évaluer et de classer par ordre de priorité les risques sur la base
d’éléments normatifs et méthodologiques (matrice de cotation, typologie…) établis
notamment, par le Risk Manager.
Il est à noter toutefois qu’en aucun cas le Risk Manager n’est responsable des risques
identifiés. Ces derniers demeurent sous la responsabilité des directions opérationnelles.

Dans la pratique, les entreprises ne sont pas toutes dotées d’un gestionnaire des risques. Cette
fonction existe en général dans les grands groupes ou les grandes entreprises au sein desquels
il est primordial d’adopter une politique globale et commune de gestion des risques pour
garantir une certaine cohérence des actions.

Les opérateurs de téléphonie mobile, vu la nature et le volume de leur activité, font partie de
cette catégorie d’entreprises qui n’ont pas d’autres choix que de gérer de manière organisée et
formalisée leurs risques. C’est ainsi que depuis quelques années on assiste à la création du
poste de Risk Manager chez un grand nombre d’entreprises du secteur à l’image de France
Télécom (en France), Orange (en Grande Bretagne), Telecom Limited (en Australie et
Nouvelle Zélande), Tunisiana (Tunisie)…

69
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

4 L’auditeur interne

L’auditeur interne joue un rôle majeur dans le processus de management des risques. Ce rôle
puise son fondement dans la définition même de sa fonction. En effet, les normes
internationales publiées par l’IIA définissent l’audit interne comme étant « une activité
indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise
de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée ». Mais cette définition va plus loin en considérant que l’audit interne « aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de gouvernement
d’entreprise, et en faisant des propositions pour renforcer leur efficacité. »85

Il ressort de cette définition que l’évaluation du PMR est un des objectifs prioritaire de l’audit
interne.

En se référant toujours à l’IIA86, le rôle de l’auditeur interne dans le processus de


management des risques d’une organisation peut évoluer dans le temps et revêtir les formes
suivantes
- aucune intervention ;
- audit du processus de management des risques dans le cadre du programme d’audit
interne ;
- soutien actif et continu, et participation au processus de management des risques,
notamment dans le cadre de comités de surveillance, d’activités de suivi et de
l’émission de rapports concernant le processus ;
- gestion et coordination du processus de management des risques.

Il incombe aux cadres dirigeants et au comité d’audit de déterminer le rôle de l’audit interne
dans le processus de management des risques. La vision du management dans ce domaine sera
vraisemblablement fonction de facteurs tels que la culture de l’organisation, la compétence

85
Normes internationales pour la pratique professionnelle de l’audit interne publiées par l’IIA. Traduction
française approuvée le 21 mars 2000 par le conseil d’administration de l’IFACI.
86
MPA 2100-3 : « Rôle de l’audit interne dans le processus de management des risques » publiée par l’IIA en
mars 2001.

70
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

des auditeurs internes, la situation et les usages du pays.

Il convient de préciser que quelque soit ce rôle :


- Il doit être défini par la direction générale et le Conseil,
- Il doit être clairement précisé dans la charte de l’audit interne et dans celle du comité
d’audit,
- L’audit interne ne devient pas, de ce fait, responsable des risques. Cette responsabilité
incombant à la direction générale et aux directions opérationnelles.

4.1 Rôle de l’audit interne en présence d’un processus de management des risques

« Le rôle des auditeurs internes consiste à assister le management et le comité d’audit. A cet
effet, ils doivent examiner et évaluer les processus de management des risques mis en œuvre
par le management, vérifier qu’ils sont suffisants et efficaces, puis émettre des rapports et des
recommandations en vue de leur amélioration. »87

Au-delà de ce que suggère la MPA 2110-1, les arguments soutenant une implication de l’audit
interne dans le processus de management des risques sont multiples. En effet, de part son
rattachement au plus haut niveau de l’organisation, l’audit interne a l’avantage d’avoir une
vision globale du fonctionnement de l’entreprise. Il peut donc suggérer une approche
« portefeuille » des risques. D’autre part, de part l’essence même de son activité, l’audit
interne a une influence sur la réduction des risques en agissant sur le contrôle interne et ce à
travers les recommandations d’amélioration qu’il émet. Un troisième argument militant en
faveur de cette implication est le fait que les auditeurs internes soient familiarisés avec la
notion de processus et sont donc bien placés pour contribuer à l’amélioration de la visibilité
des processus de management des risques. Un dernier argument, non moins important, peut
également être retenu à savoir la compétence et les outils techniques dont disposent les
auditeurs internes en matière d’analyse des risques et des contrôles et pouvant être mis à la
disposition du management (apport d’une méthodologie).

87
MPA 2110-1 : « Evaluer le processus de management des risques » publiée par l’IIA en mars 2001.

71
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

4.2 Rôle de l’audit interne en l’absence d’un processus de management des risques

En l’absence d’un processus de management des risques, l’IIA suggère le fait que l’audit
interne se doit d’attirer l’attention du management sur ce point et formuler des suggestions en
vue de la mise en place et la promotion d’un tel processus. 88

De ce fait, l’audit interne peut jouer un rôle proactif en participant à la mise en place initiale
d’un PMR au sein de l’organisation. Il s’agit dans ce cas d’un rôle de conseil en vue de
l’amélioration des processus fondamentaux.

Selon une étude réalisée par l’IIA Research Foundation « Enterprise Risk Management :
Pulling It All Together », les auteurs Thomas L.Barton, William G.Shenkir et Paul L.Walker
insistent sur le fait que le PMR est plus efficace lorsque l’audit interne joue un rôle essentiel
« key role » dans son implémentation89.

Il arrive parfois que la direction générale demande à l’audit interne d’initier cette démarche et
de l’aider à identifier et à évaluer les risques. Dans ce cas, l’audit interne peut se voir confier
la responsabilité de gérer le processus global et de coordonner les actions des divers acteurs
du processus. A ce titre il peut être appelé à participer aux comités de risques, aux activités de
suivi,… L’audit interne ne doit pas pour autant assumer la responsabilité du management des
risques.
Cette situation, bien que prévue par les Normes, ne saurait être que ponctuelle vu les dangers
d’altération pouvant affecter l’indépendance et l’objectivité de l’auditeur interne.

4.3 Risques encourus

D’après ce que nous venons d’expliciter, il apparaît clairement que l’audit interne occupe une
position privilégiée pour impacter positivement le processus de management des risques de
l’entreprise. Toutefois, les auditeurs internes doivent être vigilants quant à certains risques
que cette implication pourrait leur faire encourir.
88
MPA 2100-4 : « Rôle de l’audit interne en l’absence de processus de management des risques » publiée par
l’IIA en mars 2001.
89
« Managing Risk from the Mailroom to the Boardroom », Tone at the Top Vol n°18, Juin 2003.

72
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Risques par rapport à l’indépendance et à l’objectivité de l’auditeur :

La question qui pourrait se poser à ce niveau est la suivante : Comment l’audit interne peut-il
évaluer de manière objective un processus de management des risques s’il a pris part à sa
conception ou s’il en a été le concepteur ?
Peut également se poser un problème d’indépendance pour l’évaluation du processus de
management des risques si l’audit interne est placé dans la même structure organisationnelle
que le Risk Manager ou pire encore sous sa responsabilité.

En effet, dans la pratique, les fonctions de « Risk Manager » et d’ « Auditeur Interne » sont
souvent logées sous la même enseigne. Tel est le cas notamment chez France Télécom avec sa
Direction d’Audit Interne et du Contrôle des Risques, chez Orange, chez Telecom Limited90
où encore chez Tunisiana dont l’organigramme s’est récemment étoffé d’une cellule de
gestion des risques rattachée au département d’audit interne.

Autres risques :

La forte implication des auditeurs internes dans le PMR pourrait :


- Entrainer une dépossession des managers de leurs responsabilités en matière de
management des risques au profit des auditeurs internes ce qui est tout à fait
déconseillé voire même à l’encontre des normes régissant la profession.
Pour éviter de se voir attribuer la responsabilité des risques, les auditeurs internes
doivent obtenir du management la confirmation que ce dernier veille à l’identification,
à l’atténuation et au suivi des risques et qu’il en assume la responsabilité ;
- Eloigner l’auditeur interne de ses autres activités clés : mission d’assurance,
évaluation du contrôle interne… vue la contrainte liée aux ressources (humaines et
matérielles).

Face à ces risques, le rôle de l’audit interne dans le PMR continue de susciter débats et
interrogations. Certains professionnels pensent que l’audit interne ne doit jouer aucun rôle
actif dans le PMR, d’autres au contraire, soutiennent l’idée que l’audit interne peut et doit

90
Principal opérateur de téléphonie mobile en Australie et Nouvelle Zélande.

73
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

jouer un rôle actif dans l’implémentation du PMR et dans l’élaboration du système de


management des risques.

Dans tous les cas de figure, et par référence à une position prise par l’IIA91 l’audit interne ne
doit en aucun cas :
- Fixer le niveau de risque accepté par l’organisation,
- Imposer un processus de management des risques,
- Décider et mettre en place des actions en matière de traitement des risques,
- Etre responsable de la gestion des risques.

Le schéma suivant illustre bien le rôle de l’audit interne dans le PMR et peut être considéré
comme une synthèse de ce que nous venons de développer :

Figure 9 : Rôle de l’audit interne dans l’ERM92

91
IIA position paper: « The Role of Internal Audit in Enterprise-wide Risk Management », du 29 septembre
2004.
92
IIA position paper: « The Role of Internal Audit in Enterprise-wide Risk Management », du 29 septembre
2004.

74
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

5 Le commissaire aux comptes

Dans le cadre de sa mission de certification des comptes, le commissaire aux comptes est
appelé à procéder à une identification et à une évaluation des risques sur lesquels il fonde son
plan d’intervention. Les risques auxquels il s’intéresse sont plus particulièrement ceux qui
sont susceptibles d’avoir une incidence sur les comptes de l’entreprise. Cependant,
l’obligation qui lui est faite de se prononcer sur la continuité d’exploitation de l’entreprise
l’amène également à se pencher sur l’ensemble des risques, même ceux qui ne trouvent pas de
traduction comptable immédiate.

En tant que conseiller privilégié de l’entreprise, le commissaire aux comptes est le


professionnel le plus approprié à aider les entreprises à gérer leurs risques. En effet, il dispose
des qualifications et les compétences requises pour assister les entreprises à évaluer et
apporter une réponse aux risques93 tout en ayant une large connaissance des activités de
l’entreprise et de ses zones d’ombre.

Le processus de management des risques est un processus de décision et de gestion faisant


intervenir l’ensemble des acteurs de l’entreprise. Ce processus permet de planifier,
d’organiser, de diriger et de contrôler les activités de l’organisation de façon à minimiser,
pour un coût raisonnable, les conséquences défavorables des risques auxquels est exposée
cette organisation tout en saisissant les opportunités qui se présentent.

Dans la suite de cette partie, nous présenterons séparément chacune des étapes de ce
processus en mettant la lumière sur l’une de ces composantes essentielles à savoir la
cartographie des risques.

93
Stephen w. Bodine, Anthony Pugliese and Paul l. Walkera, «A road Map to Risk Management», AICPA,
décembre 2001.

75
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 2

MISE EN PLACE DU PMR : GUIDE METHODOLOGIQUE

SECTION 1 : LES ETAPES DE MISE EN PLACE DU PMR

La mise en œuvre d’une politique de gestion des risques prend naissance par la volonté
manifeste de la direction générale de connaître les risques majeurs qui entourent son activité
et de les mettre sous contrôle. Cette volonté politique est ensuite mise en œuvre à travers une
démarche de gestion des risques.
A ce jour, il n’existe pas de méthodologies standards ou de solutions toutes faites applicables
à toutes les entreprises. La littérature abonde sur ce sujet et les pratiques sur le terrain
différent selon l’activité de l’entreprise, sa culture, son style de management …
Au niveau de cette section nous présenterons la démarche la plus généralisée pour une mise
en place initiale d’un processus de management des risques. Nous nous sommes en grande
partie inspirés des démarches utilisées par un panel d’entreprises opérant dans le secteur de la
téléphonie mobile et de notre propre expérience dans ce domaine.

1 Présentation générale de la démarche

Comme nous l’avons précédemment mentionné, la gestion des risques est une préoccupation
récente du management caractérisée par une approche à la fois globale et transversale
puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et
managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de
décision.
La démarche de gestion des risques se doit d’intervenir en amont de la survenance des
évènements ; elle ne valide donc pas seulement les expériences survenues mais les anticipe.

Cette démarche repose sur une chronologie d’étapes que nous pouvons schématiser de la
manière suivante :

76
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Identification des objectifs stratégiques


de l’organisation

Appréciation du risque

Analyse du risque
Identification des risques
Description des risques

Evaluation du risque

Traitement du risque

Pilotage

2 Identification des objectifs stratégiques de l’organisation

Comme nous l’avons précédemment souligné, le risque est tout événement pouvant empêcher
l’entreprise d’atteindre ses objectifs. « Si nous n’avons pas d’objectifs, nous n’avons aucun
risque ».94
Dans le cadre de la gestion des risque nous nous intéresserons aux risques les plus importants
c'est-à-dire ceux qui impactent la réalisation des objectifs stratégiques de l’organisation. Il est
donc important de commencer par l’identification de ces objectifs et ce par la conduite
d’entretiens avec les principaux responsables et notamment le Top Management.

Un objectif stratégique est un objectif « high-level », qui soutient et concourt à la

94
Traduction de l’anglais : «If we don’t have any objectives – we don’t have any risks. » David M Griffiths.
«Risk Based Internal Auditing ».Mars 2006.

77
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

mission/vision de l’organisation. Les objectifs stratégiques reflètent les choix du management


quant à la recherche de la création de valeur par l’organisation pour ses parties prenantes.

La difficulté à ce niveau réside dans le fait qu’assez souvent la stratégie de l’entreprise n’est
pas formalisée et est souvent confidentielle. D’où l’importance du rôle de la direction
générale en tant que sponsor du PMR.

3 Appréciation du risque

L’appréciation du risque est définie par le guide ISO/IEC 73 comme étant « le processus
général d’analyse et d’évaluation du risque ». 95

3.1 Analyse du risque

Cette étape vise à identifier l’exposition d’une organisation à l’incertitude96. Elle requiert une
connaissance précise de l’organisation, des marchés où elle opère, de son environnement
juridique, social, politique et culturel. Elle requiert également de développer une solide
compréhension de ses objectifs stratégiques et opérationnels, des facteurs critiques de succès
et des menaces et opportunités qui s’y rapportent.

L’analyse du risque se décline en une phase d’identification suivie d’une description des
risques énumérés.

3.1.1 Identification des risques

C’est en fait l’étape la plus importante du processus de management des risques, dans la
mesure où une exposition au risque qui n’a pas été identifiée ne peut évidemment pas être
correctement gérée. En effet, la démarche de maîtrise des risques suppose de les connaître
pour pouvoir agir. La première étape dans la connaissance des risques est donc de les repérer.

95
« Guide 73 ISO/IEC, Risk Management-Vocabulary-Guidelines for use in standards ». Traduction copyright
FERMA. 2003. Page 6.
96
« Cadre de Référence de la Gestion des Risques » copyright FERMA 2003. Page 6.

78
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

A ce stade le management identifie les événements potentiels qui, s’ils se réalisent pourront
affecter l’atteinte des objectifs de l’organisation. Il est important de souligner que cette
identification ne concerne que les événements impactant l’atteinte des objectifs. En effet,
l’entreprise est soumise à une multitude de risques, l’objectif n’est donc pas d’en faire un
recensement exhaustif. Dans la littérature et d’après l’expérience vécue de certains praticiens,
la phase d’identification devrait aboutir à la présentation d’une liste d’une vingtaine de « Top
Risques ».97 Cette recommandation a été reprise par l’ASX98 dans son rapport intitulé
« Corporate Governance Principles and Recommendations » et publié en 2007.

Ces événements peuvent être d’origine interne ou externe ou une combinaison des deux à la
fois comme nous l’avons déjà explicité dans la première partie de ce mémoire. Les
événements proviennent également des choix managériaux portant sur le fonctionnement
même de l’organisation.

Le management envisage dans un premier temps un éventail d’événements probables, sans


prendre en compte nécessairement la nature positive ou négative de l’impact. Ceci lui permet
non seulement d’identifier les événements potentiels ayant un impact négatif mais également
ceux qui représentent des opportunités à saisir.

Les risques sont identifiés par rapport aux processus et aux activités clés de l’entreprise et
pour chaque risque identifié, un responsable sera désigné. C’est en général le porteur potentiel
du plan d’actions permettant de traiter le risque. Les risques sont également identifiés par type
de risque (stratégiques, opérationnels, financiers...) et ce en fonction de l’activité de
l’entreprise et de sa perception du risque.

Même si l’identification des risques peut être menée par des conseils externes, une approche
interne sera probablement plus efficace si elle est dotée d'un ensemble d’outils et de méthodes
cohérents, coordonnés et bien communiqués. En effet, en leur qualité de responsables des
processus et donc des risques qui les affectent, les acteurs internes sont les mieux placés pour
réaliser cette étape et il est vivement recommandé de les impliquer dès le début de ce
97
« The Practical Challenges of Enterprise Risk Management ». Par Mark Hamill. Publié sur
www.knowledgeleader.com le 14 janvier 2008.
98
Australian Securities Exchange

79
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

processus.

Afin de s’assurer qu’aucun risque important n’a été occulté, la phase d’identification des
risques ne doit pas être effectuée en même temps qu’une autre phase. Ainsi, l’évaluation
portant sur les éléments de probabilité d’occurrence et d’impact fera l’objet d’une phase
indépendante : « Evaluation et hiérarchisation ».

Poursuivant ce même objectif, l’identification des risques requiert une approche méthodique.
Pour ce faire plusieurs méthodes complémentaires peuvent être utilisées. Nous présenterons
quelques unes des méthodes les plus efficaces.

Une des techniques les plus répandues, quoique consommatrice de temps, consiste à mettre en
place des groupes de travail interactifs (les workshops) regroupant les responsables de
processus avec un facilitateur qui aura pour mission d’animer ces séances en aidant les
participants dans leurs efforts de réflexion. Ce rôle de facilitateur est en général assuré par le
Risk Manager de l’entreprise. En conjuguant les connaissances et l’expérience des membres
de l’équipe, des événements importants sont en général identifiés alors qu’ils auraient pu ne
pas être détectés autrement.
Ces workshops sont généralement précédés par une réunion de lancement dont l’objectif est
de présenter l’ensemble du processus aux différents intervenants et de répondre à leurs
questions assurant ainsi une meilleure implication des responsables.

D’autres techniques consistent en l’utilisation de questionnaires standardisés adressés à un


panel de seniors limités en nombre, mais reconnus pour leur autorité ou leur expertise. Ce
panel doit mixer des seniors horizontaux (responsables de processus) et des seniors verticaux
(responsables hiérarchiques) et sa pertinence reconnue par la direction générale.
Il est fortement recommandé de prévoir des questions ouvertes laissant aux managers la
possibilité de s’exprimer librement sur des problèmes qui les préoccupent et pouvant
constituer des risques affectant l’atteinte de leurs objectifs. La réponse à ces questionnaires
peut être recueillie par le Risk Manager lors d’entretiens individuels avec les principaux

80
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

responsables99 ou envoyé par email (ou tout autre moyen) mais dans ce cas des deadlines
devront être fixés pour éviter que ces questionnaires ne tombent dans l’oubliette.
A la suite des entretiens, il est nécessaire de prévoir une validation avec les responsables des
directions des comptes-rendus rédigés de manière à s'assurer de la bonne compréhension de
leurs propos et de leur permettre d’apporter des précisions complémentaires.

Le recourt aux rapports financiers et comptables : bilan, état de résultat, le détail des
engagements financiers de l’entreprise, ses réserves latentes, son budget..., sont autant
d’éléments nécessaires pour permettre une analyse de l’exposition au risque. Peuvent
également être examinés les rapports des auditeurs internes et/ou externes et notamment le
rapport du commissaire aux comptes sur la fiabilité des systèmes de contrôle interne de
l’entreprise. Il s’agit en effet d’une source d’informations importante établie de surcroît par
des professionnels du risque.

Cette analyse peut également être affinée par l’utilisation de la technique de benchmarking.
Ceci est particulièrement intéressant pour l’identification d’événements auxquels l’entreprise
n’a pas été précédemment confrontée. Le risque de fraude est un des risques majeur chez les
opérateurs de téléphonie mobile. La fraude provient aussi bien des utilisateurs que des autres
opérateurs, notamment dans le cadre des conventions d’itinérance (roaming). Les failles
conduisant à ces fraudes ne sont pas toutes nécessairement connues et maîtrisées par les
opérateurs. Le benchmarking permet à un opérateur A de savoir quel montage a été utilisé
pour frauder contre un opérateur B et d’intégrer ce risque dans son PMR.

L’utilisation des historiques et des statistiques peut également s’avérer utile lors de cette
phase. En effet, la connaissance des tendances d’évolution du dinar tunisien par rapport aux
autres monnaies étrangères peut renseigner le management sur l’existence d’un risque de
perte financière dans le futur sachant que la quasi-totalité des équipements d’un opérateur sont
importés. L’étude des taux de panne peut être révélatrice de risques de défaillances futures de
certains systèmes…A cet effet, les entreprises peuvent mettre en place des bases de données
sur les historiques des incidents qui peuvent être mises à jour au fil des années.

99
Voir Annexe 1 « Collecte d’information : 10 règles d’or pour un entretien d’identification des risques
opérationnels ».

81
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Cette méthode quoique nécessaire, ne doit pas être envisagée à elle seule car elle ne renseigne
que sur les événements qui se sont déjà produits et n’est d’aucune utilité s’agissant de risques
ignorés ou non encore avérés.

En support des travaux d’identification des risques, il est courant d’employer un catalogue des
risques. Il s’agit d’un recueil structuré des principaux risques se rapportant au métier de
l’entreprise avec une brève description de chacun d’entre eux.

Avec l’évolution qu’à connu le monde ces quelques dernières années, nous assistons à
l’émergence de nouveaux risques qui, il n’y a pas si longtemps, semblaient totalement
impensables et irréalistes. Le risque d’attaques terroristes, quasiment nul, il y a quelques
années, est maintenant pris en considération (à des degrés plus ou moins élevés selon les
pays). Le sabotage d’un site de type « SWITCH100 » ou d’un « HLR101 » peut causer de
graves conséquences chez un opérateur de téléphonie mobile allant jusqu’à l’interruption
totale ou partielle d’une partie de ses services.

Comme nous l’avons souligné à maintes reprises, le PMR a l’avantage de mettre en place une
approche globale et transversale de l’entreprise. Cette vision est diffuse dans toutes les étapes
de ce processus et notamment lors de la phase d’identification des risques.
En effet, dans la réalité du terrain, les événements ne surviennent pas isolément. Un
événement peut en déclencher un autre ou survenir simultanément. L’identification de ces
interactions est primordiale pour une meilleure évaluation des risques. Un événement à lui
seul peut ne pas être générateur de risques mais couplé à d’autres peut impacter l’atteinte d’un
ou de plusieurs objectifs.

100
Ou MSC abréviation de « Mobile Services Switching Center ». C'est la partie centrale du réseau. Il prend en
charge l'établissement des communications de et vers les abonnés GSM.
101
HLR ou Home Location Register, est un élément du réseau cellulaire de téléphonie mobile GSM. Il s'agit de
la base de données centrale comportant les informations relatives à tout abonné autorisé à utiliser ce réseau
GSM.

82
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Lors de cette phase, le terme risque renvoie à la notion de risque résiduel102 que toute
entreprise est appelée à maîtriser. Le Risk Manager se contentera à ce stade des données
recueillies par les différents responsables opérationnels sans pour autant les corroborées par
des tests de validation.

Le niveau, le champ, la périodicité et la rigueur appliqués à l’identification des événements


varient en fonction de l’organisation et dépendent considérablement du degré de maturité de
l’entreprise vis-à-vis de la gestion du risque. Le management choisi des techniques
correspondant à sa philosophie et veille à ce que l’organisation développe simultanément les
compétences et les outils nécessaires à cette identification. Celle-ci doit être menée avec une
grande rigueur car elle constitue le fondement des éléments de l’évaluation et du traitement
des risques. Il est toutefois important que le processus d’identification des risques soit en
même temps assez souple pour permettre de prendre constamment en compte les changements
qui interviennent dans l’environnement de l’entreprise.

Cette phase d’identification des risques quoique primordiale présente certaines limites. En
effet, au cours de cette étape, il est fait appel au jugement professionnel qui dépend fortement
de la perception de chaque individu, de sa culture, de son degré d’aversion au risque…et peut
être biaisée pour de nombreuses raisons :
- Information limitée : le risque est transverse mais l’information peut ne pas circuler en
dehors de certains silos,
- Imagination limitée : incapacité à imaginer de nouveaux enchaînements,
- Poids excessif accordé aux expériences passées : le passé ne prédit pas toujours le
futur,
- Confiance excessive : être excessivement convaincu que les opérations sont sous
contrôle (ou l’inverse, pessimisme excessif),

102
A ce niveau nous nous devons de souligner une divergence d’opinion entre les professionnels du risque.
Certaines approches recommandent la prise en compte à la fois du risque inhérent et du risque résiduel pour la
mise en place du PMR (E&Y, PwC). Ceci aboutira à la construction de 2 cartographies des risques (inhérents et
résiduels). D’autres approches s’intéressent directement aux risques résiduels car c’est en définitif ces risques
que l’entreprise doit maîtriser. Une assurance quant à l’efficience et l’efficacité des contrôles décrits sera donnée
par l’audit interne lors de la réalisation de ses travaux. « David M Griffiths. “Risk based internal auditing”.Mars
2006. »
Dans le cadre de ce mémoire, nous avons choisi d’opter pour la deuxième approche qui nous semble plus
efficiente.

83
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

- Conflit d’intérêt : il est humainement difficile de reconnaître des faiblesses de contrôle


dans sa propre zone de responsabilité et cette attitude est amplifiée par la peur de la
sanction.

Avec l’ouverture des marchés et des frontières, nous assistons de plus en plus à une grande
mobilité des dirigeants d’entreprises avec des contrats de durée de plus en plus réduite et des
objectifs souvent à court voire même très court terme. Cette nouvelle donne peut limiter le
champ de vision des managers et les amener à limiter cet exercice d’identification des risques
aux risques à court terme sans se soucier des possibles retombés sur le long terme.

3.1.2 Description des risques

Une fois identifiés, les risques doivent être décrits. La description des risques réside dans le
fait de les présenter d’une manière claire et sous un format structuré comme par exemple un
tableau. L’utilisation d’une approche structurée améliore la description des risques et facilite
leur évaluation parce qu’elle permet de définir le risque par rapport à des éléments qui
peuvent aider à l’évaluer.

Ci-joint un modèle de présentation des risques identifiés tel que développé par la fédération
des associations de gestion du risque européennes, FERMA, dans son cadre de référence de la
gestion des risques publié en 2002 : (les différentes cases de ce tableau seront renseignées au
fur et à mesure de l’avancement du processus)

1. Nom du Risque
2. Portée du Risque Description qualitative des évènements, taille, type, nombre et
interdépendances
3. Nature du Risque En général stratégique, opérationnelle, financière, liée aux
connaissances ou à la conformité
4. Parties prenantes Parties prenantes et leurs attentes
5. Quantification du Risque Importance et Probabilité
6. Tolérance/Appétence Perte potentielle et impact financier du risque
pour le Risque Valeur à risque
Probabilité et amplitude des gains/pertes potentielles
Objectif(s) de la maîtrise des risques et niveau désiré de
performance

84
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

7. Traitement du risque & Principaux moyens par quoi le risque est actuellement géré
Mécanismes de maîtrise Degré de confiance dans les moyens de maîtrise en place
Identification des protocoles pour la surveillance des risques
et leur
examen
8. Actions d’amélioration Recommandations pour réduire le risque
possibles
9. Développement de la Identification de la fonction responsable de développer la
Stratégie et de Politique stratégie et la politique face à ce risque
face au Risque
Figure n° 10 : Description des risques

Afin de faciliter les travaux des étapes qui vont suivre (l’évaluation et l’hiérarchisation),
l’utilisation de bases de données ou de simples feuilles de calculs Excel peut s’avérer très
utile. En effet, un même risque peut toucher plus d’un objectif et plus d’un processus.

Plusieurs logiciel de gestion du risque ont été développés un peu partout dans le monde afin
d’aider les professionnels dans leur démarche de gestion des risques. Nous pouvons citer à
titre d’exemple le logiciel TeamMate initialement développé par PwC, le logicile Enablon
RM, ou encore la plateforme ONEREVIEW™ 5.0 développée par Connectiva Systems Inc.,
fournisseur de solutions de gestion des recettes et du risque pour le secteur des
télécommunications.

3.2 Evaluation et hiérarchisation

Une fois les risques affectant l’atteinte des objectifs inventoriés, le management peut évaluer
leurs importances et les hiérarchiser afin de pouvoir se focaliser sur les risques les plus
significatifs qui sont susceptibles de nuire gravement à la réalisation des objectifs stratégiques
de l’entreprise.

3.2.1 Evaluation

Tout risque est apprécié en fonction de sa probabilité d’occurrence et de son impact. Le poids
du risque étant la combinaison de ces deux facteurs :

85
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Poids du risque= Probabilité * Impact

Des facteurs de pondération peuvent être utilisés selon que l’organisation accorde plus
d’importance à l’un ou l’autre des composantes du poids du risque.

Cette évaluation peut être quantitative, semi-quantitative ou qualitative. Le caractère


intangible du risque rend son évaluation par des critères quantitatifs difficile. C’est pourquoi
beaucoup de dirigeants préfèrent souvent en parler en utilisant des critères plutôt qualitatifs.

L’objectif de notre étude n’est pas d’examiner dans le détail les différents modèles et
méthodes d’évaluation du risque. En effet, il existe un arsenal de méthodes d’évaluation que
chaque responsable de risque pourra juger utile d’appliquer. Nous pouvons cependant dire que
deux types d’approches sont fréquemment utilisés.
La première est une approche rétrospective. C’est une méthode qui porte ses fruits si la
fréquence des sinistres est élevée. On se base sur des données historiques afin de tenter de
prévoir l’avenir. Une distribution de probabilités pour chaque risque peut être déterminée tout
en gardant à l’esprit que sa validité dépend entre autres de la reproduction des conditions dans
lesquelles les risques se sont matérialisés dans le passé.
Par contre, en ce qui concerne les risques catastrophiques, de loin les plus dangereux mais
également les moins prévisibles, l’analyse des données passées n’apporte que peu de
renseignements. Dans ce cas, l’emploi de méthodes prospectives peut être concluant.

Quelques recommandations formulées par les organismes professionnels peuvent être prises
en compte. A cet effet, les cabinets comme PwC103 ou E&Y104 tout comme la fédération des
associations de gestion du risque européennes, FERMA, proposent l’utilisation d’une matrice
3x3 avec une évaluation qualitative du risque (Fort, Moyen et Elevé).

L’IFACI, par contre, recommande, lors d’une évaluation qualitative, d’utiliser une échelle
d’appréciation à quatre niveaux105. L’utilisation d’une échelle paire se justifie par l’absence

103
« Cartographie des Risques ». PwC
104
« Cartographie des Risques ». E&Y, Juillet 2007
105
« Etude du Processus de Management et de Cartographie des Risques-Conception, mise en place et
évaluation ». IFACI , Décembre 2003.

86
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

d’une situation médiane dans laquelle la plus part des managers auraient tendance à se
positionner, et de les pousser vers un effort de réflexion plus approfondi.

Evaluation de la fréquence
Evaluation Description Score* Indicateur
Improbable Il est quasiment improbable que ce risque se 1 < 10% de chance
produise mais non impossible
Possible La probabilité de réalisation du risque est 2 > 10% de chance
faible
Probable Il est plus probable qu’improbable que le 3 > 50% de chance
risque se produise
Elevée Il est très probable que le risque se produise 4 >90% de chance

Evaluation de l’impact
Indicateur : Impact sur
Evaluation Description Score*
Résultat net* Actifs* Réputation
Faible Faible impact sur la 1 < 500 000 < 1M Site
réalisation des
objectifs
Moyen Impact moyen sur la 2 Entre Entre 1M Locale /
réalisation des 500 000 et et 10 M Régionale
objectifs 1M
Elevé Impact élevé sur la 3 Entre 1M Entre 10M Nationale
réalisation des et 5M et 20M
objectifs
Très élevé Impact catastrophique 4 > 5M > 20M Internationale
sur la réalisation des
objectifs
* : L’utilisation des scores facilite le calcul du poids des risques dans le cas d’une évaluation qualitative.
* : Impact exprimé en monnaie de comptabilisation.

Il s’agit d’un exemple donné à titre indicatif. D’autres critères peuvent être retenus en
fonction de la perception de chaque entreprise et de son degré d’aversion au risque. Pour ce
faire, l’entreprise devra matérialiser son estimation des niveaux d’impact auxquels elle est
sensible. Chez France Télécom106, par exemple, quatre termes d’impact ont été considérés
comme les modes d’expression les plus pertinents de la conséquence de survenance d’un

106
Sources : intervention de M.Chambeault, directeur de l’audit et du contrôle des risques de France Télécom
lors de la table ronde organisée par le CREFIGE (2003) dans « Comprendre et gérer les risques ».

87
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

risque :
• perte financière,
• atteinte à l’image,
• perte de parts de marché, et
• non-respect des lois et réglementations.

Lors de la phase d’identification des risques, aucun travail de corroboration des affirmations
des managers opérationnels n’a été entrepris. A ce niveau, l’évaluation nécessite une
identification et une évaluation des contrôles éventuellement mis en place (en recourant par
exemple aux rapports des auditeurs internes). Des contrôles jugés efficaces peuvent diminuer
le poids d’un risque.

Pour estimer l’effet que peut avoir une exposition au risque sur la capacité d’une organisation
à atteindre ses objectifs, il est essentiel de pouvoir évaluer non seulement les pertes directes,
mais également les pertes indirectes que peut causer l’occurrence d’un événement
défavorable. Une technique souvent utilisée consiste à imaginer des scénarii (par exemple
scénario défavorable, le plus réaliste, favorable) et à évaluer les pertes futures qui pourraient
intervenir dans chacun de ces scénarii.

La probabilité et l’impact sont évalués par les responsables de chaque risque (à savoir les
managers opérationnels) assistés par le Risk Manager de l’entreprise.
Tout comme l’identification des risques, l’évaluation peut être conduite dans le cadre de
groupes de travail animés par le Risk Manager. L’évaluation sera alors le fruit d’un débat
entre les différents intervenants avec la possibilité de recourir au vote en cas de divergence
d’opinions.
L’évaluation des risques sera alors documentée et présentée sous une forme structurée
(comme par exemple le tableau précédemment utilisé pour l’identification des risques).

Dans la pratique il est généralement recommandé de commencer par l’évaluation de la


probabilité de survenance et ensuite l’impact qui par ailleurs est plus facilement approchée
que sa probabilité et de toujours considérer les événements qui, en dépit de leur probabilité
d’occurrence jugée relativement faible, ont un fort impact sur l’atteinte d’un objectif

88
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

important107.

De part sa nature, sa définition et son caractère aléatoire, l’appréciation du risque pose


toujours un très grand nombre de difficultés. S’il est vrai que la qualité des analystes du risque
ne cesse de s’améliorer et que les modèles d’évaluation du risque sont très diversifiés et
tendent vers la perfection, il n’en demeure pas moins vrai que dans la réalité du terrain, des
écarts par rapport aux estimations sont fréquemment observés. En effet, il est souvent difficile
de déterminer la probabilité d’occurrence d’un événement tout comme son impact le tout
associé à une grande part de subjectivité propre à chaque manager.

3.2.2 Hiérarchisation

L’hiérarchisation des risques évalués est une phase généralement assurée par le Risk Manager
en collaboration étroite avec le Top Management dans le but de faire ressortir sur un même
document le « portefeuille des risques » de l’entreprise. Ce classement se fait en fonction du
poids du risque par rapport à la réalisation des objectifs stratégiques de l’entreprise et le
document généré est communément appelé « Cartographie des risques » que nous
examinerons plus en détail au niveau de la section suivante.

Le Risk Manager, ou la personne qui consolidera au final toutes les évaluations, doit
impérativement prendre du recul pour hiérarchiser tous les risques au regard des objectifs de
l’entreprise. Il doit mettre en présence les différents acteurs opérationnels afin de confronter
leur point de vue et parvenir à un consensus. En effet, le niveau de contrôle, pour un même
risque, ne sera pas nécessairement apprécié de la même manière par deux acteurs concernés
par ce même risque.

4 Traitement du risque

C’est l’étape par laquelle le management définit les solutions permettant de faire face aux
risques identifiées. L’impact que peut avoir une exposition au risque sur la capacité d’une
organisation à atteindre ses objectifs va déterminer les techniques de traitement du risque qui

107
Séminaire « Etablir la Cartographie des Risques » animé par Stéphane BEAS. Juin 2007.

89
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

seront appliquées. Ces solutions peuvent revêtir une des quatre formes suivantes: acceptation,
réduction, partage ou évitement.

L’objectif étant de trouver un compromis efficace entre ce que coûte le traitement du risque et
le coût du risque en lui-même. Il ne s’agit pas en définitif, de traiter tous les risques. Le
challenge des managers dans ce cas est de mettre en place des traitements efficaces et
efficients ramenant le niveau global du risque résiduel en dessous du seuil de tolérance
souhaité par la direction générale.

L’arbitrage entre les différentes solutions offertes ainsi que leurs mises en œuvre est du
ressors des managers et/ou du conseil d’administration. C’est une décision de gestion qui se
situe en dehors du cadre de l’ERM108.

Le COSO II donne quelques exemples de chaque type de traitement :


Accepter Réduire
- S’appuyer sur la compensation naturelle - Diversifier l’offre de produits,
des pertes au sein d’un portefeuille, - Etablir des limites opérationnelles,
- Accepter le risque s’il est déjà en ligne - Etablir des processus efficaces,
avec la tolérance au risque. - Accroitre l’implication du management
dans la surveillance des prises de décision,
- Rééquilibrer le portefeuille d’actifs pour
réduire l’exposition à certains types de
pertes,
- Réaffecter le capital entre les différentes
unités opérationnelles.
Partager Eviter
- Assurer les pertes significatives - Se défaire d’une unité, d’une ligne de
imprévues, produit ou d’un secteur géographique,
- Conclure un nouvel accord de - Décider de ne pas s’impliquer dans de
partenariat, nouvelles initiatives/activités qui

108
« Assessment of and response to risks are integral components of ERM; which specific response is selected is
not ». (PwC)

90
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

- Couvrir les risques par des instruments pourraient donner lieu à un risque.
financiers,
- Sous-traiter des processus,
- Partager les risques par la conclusion de
contrats avec des clients, fournisseurs ou
d’autres partenaires.
Figure 11 : Exemples de traitement du risque par type 109

4.1 Accepter le risque

Le risqué fait partie intégrante des activités de l’entreprise et comme nous l’avons déjà
souligné, l’espérance d’un gain résulte toujours d’une prise de risque. La finalité de toute
entreprise est donc de générer de la valeur à travers une prise de risque mesurée.

Les managers sont de ce fait quotidiennement appelés à prendre des risques pour la conduite
de leurs activités. Encore faut-il que ces risques soient en phase avec la politique de
l’entreprise en matière d’appétence pour le risque (point que nous avons explicité au niveau
de la première partie de ce mémoire).
Accepter le risque revient à accepter ses conséquences défavorables si elles se réalisent. C’est
un exercice qui doit être murement réfléchi suite à un arbitrage avantages/coûts.

4.2 Réduire ou maîtriser le risque

L’objectif fondamental de la réduction des risques est de contenir le poids économique de ces
risques en agissant sur l’un ou l’autre des deux facteurs qui le déterminent, à savoir l’impact
et la probabilité d’occurrence, ou une combinaison des deux.
Maîtriser ses risques revient donc à mettre en place une panoplie de moyens de prévention
afin de faire baisser le niveau de risque à un seuil jugé acceptable.

La mise en place de procédures et de contrôles à l’intérieur comme à l’extérieur de

109
« Le Management des risques de l’entreprise: Cadre de Référence-Techniques d’application-COSO II
Report», traduction française par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés. Editions
d’Organisation, 2005. Page 230.

91
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

l’entreprise, l’éducation des divers intervenants (internes et externes), une bonne circulation
des informations, ….sont autant d’exemples de traitements faisant baisser la fréquence
d’apparition des risques.

Pour les risques qui se matérialisent, la mise en place de mesures de protection permettra de
limiter les dégâts qu’ils provoquent. Citons par exemple l’installation de portes coupe-feu,
l’éloignement des bâtiments si l’on pense à l’incendie, la mise en place de back-up
informatiques ou même la duplication de certains sites névralgiques tel que l’acquisition d’un
HLR de secours. Au niveau national, tout le monde se souvient de cette triste journée du mois
d’Août 2007 enregistrant une grande perturbation des moyens de communication aussi bien
chez Tunisie Télécom que chez Tunisiana. Selon certains spécialistes interrogés par la
presse110, cette paralysie sur le réseau est due à une panne au niveau du HLR aggravée par
l’absence d’un site de Desaster Recovery (Centre de back-up distant) et de solutions de repli.

La forme la plus radicale de prévention du risque, si ce dernier reste trop élevé après avoir
pris toutes les mesures de prévention et de protection requises, est d’éviter que l’entreprise le
rencontre. Cela implique potentiellement l’abandon de projets et même d’activités existantes,
si ce type de risques y est présent. C’est ce que les anglophones nomment « avoidance
decision »111 et sur lequel nous reviendrons un peu plus loin.

4.3 Transférer ou partager le risque

Le transfert du risque est une méthode pour se protéger financièrement contre l’impact du
risque via son transfert à une tierce partie telle qu’une compagnie d’assurance. Moyennant le
paiement d’une prime, l’entreprise se prémunit contre les conséquences défavorables de
certains risques lorsqu’elle juge que le coût de la prime est en dessous du coût du risque lui-
même. En effet, le transfert des risques ne doit être qu’une option technique et non un recours
systématique.

A titre d’exemple nous pouvons citer le recours au factoring pour se dégager des risques de
110
« Pourquoi la panne de Tunisiana a touché aussi Tunisie Télécom ». Article paru sur Webmanagercenter le 10
Août 2007.
111
« Développement de la Fonction de Risk Manager dans l’entreprise », HANSSENS Didier. Page 31.

92
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

non paiement de certaines créances clients, la souscription de contrats d’assurance pour se


prémunir contre les risques d’incendie, l’utilisation de moyens de couverture pour faire face
aux risques liés à la variation des taux de change…

Cependant, il faut noter que certaines pertes sont non-assurables comme par exemple certains
coûts liés à la santé, aux conditions de travail, à la sûreté ou aux incidents environnementaux,
qui peuvent comporter des atteintes au moral du personnel et à la réputation de l’organisation.
Ces risques doivent être gérés et maîtrisés par les propres moyens de l’entreprise.
Les débats récents concernant les éventuels effets néfastes que peut provoquer une utilisation
prolongée des téléphones portables ont fait que certaines compagnies d’assurance n’assurent
plus les risques liés aux dommages causés par les champs et ondes électromagnétiques112.
Cela suppose que les opérateurs de téléphonie mobile devront prendre en charge ce type de
risque.

Le partage du risque peut être matérialisé via des stratégies d’alliances et de partenariat. En
effet, « la participation de nombreux partenaires dans une entreprise réduit le risque d'échec
pour chacun d'entre eux113 ». Cette technique a été inventée par les sociétés pétrolières dans le
seul but de partager les risques : la recherche de réserves de pétrole était une entreprise
hasardeuse et forer pour ne rien extraire pouvait coûter très cher.
De nos jours nombreuses sont les entreprises qui recourent à cette technique et notamment
lorsqu’elles opèrent dans des domaines de hautes technologies potentiellement très risqués.
C’est ainsi que Orange SA, opérateur mobile du groupe France Télécom, a annoncé son
intention de créer une alliance avec trois opérateurs européens clés, à savoir : L'italien TIM,
l'espagnol Telefónica Móviles et l'allemand T-Mobile114,
De même le second plus gros vendeur de téléphones mobiles au monde (Motorola) et le plus
important fournisseur chinois d'infrastructures réseaux (Huawei) ont signé un partenariat
d'envergure proposant une offre complète d'équipements 3G et portant sur la création d'un

112
« A effet du 1er janvier 2007….sont désormais exclus : …. les dommages de toute nature causés par les
champs et ondes électromagnétiques ». Extrait de l’avenant au contrat d’assurance en responsabilité civile liant
la compagnie d’assurance AXA à un opérateur de téléphonie mobile.
113
« Risques et alliances : s'assurer une place sur le podium ». Par BENJAMIN GOMES-CASSERES Série
l’Art du Risque. Lesechos. 11/10/2000.
114
« Orange rejoint l'alliance commerciale des '3T' ». Par Ariane BERKY. Publié sur Neteco.com le 24 Juin
2003.

93
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

centre de recherche et de développement dans la région de Shangai. A en croire les propos


tenus par Greg Brown, directeur de la division Entreprise et Réseaux du groupe américain
Motorola : « Grâce à cette collaboration, nous sommes mieux placés pour répondre aux
besoins de nos clients en matière d'infrastructures de réseau 3G, aujourd'hui et dans le futur.
Cet accord renforce nos innovations technologiques tout en nous permettant de réduire nos
coûts ».115

4.4 Eviter le risque

Lorsque le risque est jugé trop élevé, eu égard au seuil de tolérance préalablement fixé,
l’entreprise peut décider de l’éliminer. Cette élimination peut revêtir une des deux formes
suivantes :
- Adopter une stratégie de sortie, lorsque l’activité est existante, ou
- Décider de ne pas mettre en place le nouveau projet générateur de ce risque.

C’est ainsi qu’un opérateur de téléphonie mobile peut choisir de ne pas s’aventurer dans la
technologie 3G jugeant que le niveau de risque généré par le projet, notamment en termes
d’investissements, est supérieur aux bénéfices attendus.

La décision de supprimer le risque peut découler plus naturellement d’une aversion au risque.
Il s’agit d’une tendance naturelle qui peut être renforcée par l’environnement et la culture de
l’entreprise. Toutefois, il faut garder à l’esprit que la suppression inappropriée des activités
risquées peut faire perdre des opportunités à l’entreprise.

5 Pilotage et suivi

Les risques identifiés à un moment donné peuvent évoluer tout comme de nouveaux risques
peuvent naître.De même, les activités de contrôle jugées efficaces à un moment donné
peuvent ne plus être appropriées quelques mois plus tard. Le Processus de Management des
Risques est donc un processus continue et dynamique qu’il convient de suivre et de piloter

115
« Motorola et Huawei s'entendent autour de la 3G ». Par Benoit DARCY. Publié sur businessmobile.fr le 1er
août 2006.

94
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

tout au long de la vie de l’entreprise.

Ce pilotage peut être réalisé de deux manières : par le biais d’un dispositif fonctionnant en
continu ou par le biais d’évaluations spécifiques. Plus le dispositif de pilotage en continu est
efficace, moins il est nécessaire de procéder à des évaluations spécifiques.

Dans un secteur aussi dynamique que celui des télécommunications, le monitoring du


processus de mangement des risques est une phase très importante étant donné l’évolution
rapide de l’environnement, de la technologie, de la réglementation…donc des risques
associés. Dans ce domaine, il est généralement recommandé de procéder à une mise à jour
semestrielle de la cartographie des risques116.

SECTION 2 : LA CARTOGRAPHIE DES RISQUES RESIDUELS : ELEMENT CLE DU PMR

Dans les sections précédentes, nous avons présenté le processus de management des risques
dans sa globalité ainsi que les différentes étapes de sa mise en œuvre. Au niveau de la phase
« Hiérarchisation », nous avons évoqué la cartographie des risques sans pour autant nous y
attarder.
Vu l’importance de cet élément, nous avons jugé nécessaire de lui réserver une section entière
dans laquelle nous reviendrons plus en détail sur les objectifs de la cartographie des risques,
les différentes approches développées pour sa construction, sa diffusion à l’intérieur comme à
l’extérieur de l’entreprise tout en mettant l’accent sur les limites de cet élément.

1 Définition et objectifs de la cartographie des risques

1.1 Définition

Au sens strict du terme, la cartographie des risques désigne un schéma récapitulant, sous un
format graphique, facilement lisible, l’ensemble des risques identifiés en fonction de leurs
poids. Cette représentation prend généralement la forme d’une matrice à deux variables :
impact et probabilité d’occurrence.

116
Séminaire « Etablir la cartographie des risques », animé par Stéphane BEAS, IFACI. Juin 2007.

95
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Les risques sont représentés de manière à identifier les risques les plus significatifs
(probabilité et/ou impact très élevé) et les moins significatifs (probabilité et/ou impact faible).
Généralement, les risques les plus élevés apparaissent en haut et à droite de la matrice. La
couleur rouge utilisée indique leur haut niveau de criticité. Les risques moyens apparaissent
en jaunes et sont situés au milieu de la matrice. Les risques jugés faibles occupent quant à eux
le bas de la matrice (côté gauche) et sont de couleur verte comme le montre la figure
suivante :

EL
EV
E
M
O
YE
N
FA
IB
LE

Figure n°12 : Modèle de présentation d’une cartographie des risques

Il est important de souligner que dans un grand groupe il peut y avoir plusieurs cartographies
des risques, indépendantes les unes des autres et qui, de ce fait, ne sont pas nécessairement
consolidables.

1.2 Objectifs

« La cartographie des risques vise à restituer une présentation des risques de l’entreprise aussi
complète que possible, regroupés sur un document synthétique permettant d’accéder au

96
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

panorama de l’ensemble des risques auxquels l’entreprise est confrontée. Elle constitue sans
doute actuellement l’outil de communication le plus répandu pour répondre au besoin de
présentation des risques de l’entreprise à un conseil d’administration ou un comité d’audit.»117

Les applications d’une cartographie des risques sont nombreuses et conduisent les utilisateurs
à privilégier tel ou tel aspect des résultats obtenus afin de redéfinir leurs priorités.
Du conseil d’administration à la Direction Générale, en passant par les responsables
opérationnels, les gestionnaires de risques, les contrôleurs internes et les auditeurs internes,
chacun pourra utiliser la cartographie comme support à des actions propres à ses besoins.

Par référence aux travaux menés par le groupe de recherche Industrie et Commerce sous
l’égide de l’IFACI « Etude du Processus de Management des Risques : Conception, Mise en
Place et Evaluation », l’établissement d’une cartographie des risques peut être motivé par
deux natures de facteurs :

Facteurs internes
Plusieurs facteurs internes peuvent concourir à l’établissement d’une cartographie des risques.
Parmi ces facteurs nous pouvons citer :
- Informer le comité d’audit sur le degré de maîtrise des risques,
- Orienter le plan d’audit interne en mettant en lumière les processus où se concentrent
les risques majeurs,
- Ajuster les programmes d’assurances fondés sur les risques majeurs identifiés,
- Améliorer ou développer une culture de management des risques,…

Facteurs externes
Des motivations d’origine externe à l’entreprise peuvent également s’ajouter aux facteurs
internes précédemment cités, incitant les entreprises à établir leurs cartographies des risques.
Parmi ces facteurs nous pouvons citer :
- Respecter les lois et les bonnes pratiques en matière de gouvernement d’entreprise
poussant les entreprises à se prononcer sur le degré de maîtrise de leurs opérations,

117
« Au-delà des comités spécialisés ». Philippe Christelle, Directeur de l’audit interne, Groupe Cap Gemini
Ernst & Young et Vice-président de l’Institut de l’Audit Interne. Audit, Vol n°151, Septembre 2000.

97
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

- Répondre à l’attente des marchés et fournir des informations aux parties prenantes,
- Veiller à la bonne image de l’entreprise,…
Toute cartographie des risques ne doit pas être une fin en soi mais un point de départ à
l’action. Simple dans son principe mais complexe à élaborer, la cartographie des risques doit,
tout d’abord, recevoir l’approbation et l’adhésion de tous les participants afin que les résultats
reflètent la réalité de l’organisation et de ses risques.

Pendant et après sa réalisation, les opérationnels doivent s’approprier la cartographie en


prenant conscience des risques importants et essentiels ; entreprendre une démarche
volontariste d’analyse de ces risques pour, enfin, définir un plan d’actions destiné à réduire
l’exposition aux risques identifiés.

Le succès d’une cartographie des risques réside dans son utilisation future et dans la capacité
des utilisateurs à la faire vivre dans le temps.

2 Approches Top-Down et Bottom-Up

Dans le cadre d’une démarche de cartographie, il est possible de retenir, parmi les nombreuses
méthodes possibles, deux grandes approches. L’approche Top-Down et l’approche Bottom-
Up.
Ces deux approches ne s’opposent pas mais se complètent.

98
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

2.1 Approche Top-Down

Comme son nom l’indique, cette approche part du sommet de la pyramide. Dans cette
démarche, le risque est appréhendé dans une vision globale de l’entreprise. Le management
identifie les principaux risques dont l’impact est jugé significatif quant à l’atteinte des
objectifs. Cette démarche sera ensuite déployée au niveau des échelons les plus bas afin de
remonter à la source de ces risques.
Cette approche se décline en cinq étapes :

1re étape : L’analyse des risques


L’approche consiste à faire identifier les risques majeurs par les membres du comité de
direction. Chaque directeur identifie les principaux risques qui « l’empêchent de dormir ».
Ainsi, les dangers sont recensés au regard à la stratégie suivie par l’entreprise.

2éme étape : Le rattachement des risques aux processus


Les teneurs de la mise en place d’un processus de management des risques militent en faveur
d’une approche transversale de l’entreprise en abandonnant la gestion par silos opérationnels.
De ce fait, une approche par processus est vivement recommandée afin d’assurer une
meilleure maîtrise des activités de l’entreprise.
Comme nous le verrons au niveau du chapitre 2, section 1 de la troisième partie,
l’établissement d’une cartographie des processus de l’entreprise est donc un préalable
nécessaire à toute mise en œuvre d’un PMR118.

Au cours de cette étape, les risques précédemment identifiés par le management seront
rattachés aux processus clés de l’entreprise.

3éme étape : L’évaluation et l’hiérarchisation des risques


Il s’agit de déterminer le poids de chaque risque identifié à travers une évaluation de sa
probabilité d’occurrence et son impact.

118
Dans la troisième partie de ce mémoire, nous avons présenté un exemple de cartographie des processus clés
chez un opérateur de téléphonie mobile.

99
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

4éme étape : L’établissement d’une cartographie des risques


La quatrième étape de cette approche consiste en la construction de la cartographie des
risques de l’entreprise.

La cartographie des risques peut également prendre la forme d’une matrice par processus. En
effet, les risques étant rattachés aux processus qui les supportent, une représentation faisant
apparaître les processus les plus risqués peut s’avérer opportune. Pour ce faire une évaluation
et une hiérarchisation des processus, en fonction des risques qui s’y rapportent, est requise.

5éme étape : Validation :


Pour garantir la pertinence de la cartographie, une validation par les dirigeants est nécessaire
et ce à travers des entretiens individuels ou collectifs.

L’approche Top-Down est une méthode assez facile à mettre en œuvre dans la mesure où elle
fait intervenir un nombre assez restreint d’intervenants (en comparaison avec l’approche
Bottom-Up), et se concentre, dès le départ, sur les risques majeurs. L’examen des risques
stratégiques permet également de s’assurer de la prise en compte plus immédiate des
processus transversaux ou managériaux, ce qui peut être plus en adéquation avec les attentes
de la direction générale.
Cependant, une des reproches attribuées à cette méthode est la non implication des
opérationnels dans cette démarche ce qui peut être un handicap à son succès.

2.2 Approche Bottom-Up

Le recensement des processus de l’entreprise constitue le point de départ de cette démarche.


Pour ce faire, un niveau de détail approprié devra être choisi en fonction des objectifs de la
cartographie. Ce niveau doit être suffisamment fin pour identifier de façon pertinente les
risques significatifs mais ne doit pas conduire à lister l’ensemble des sous processus de
l’entreprise. Ce choix permet ensuite de déterminer le niveau hiérarchique d’interlocuteurs à
rencontrer afin de collecter les informations.
Une identification des risques inhérents par processus est assurée à travers des entretiens avec
les responsables opérationnels concernés. Dans le cadre d’ateliers de travail, ces risques

100
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

seront confrontés aux contrôles mis en place afin de construire une cartographie des risques
résiduels que l’entreprise devra piloter.

La méthode Bottom-Up présente des avantages à trois niveaux :


- L’approche par les processus permet d’obtenir une bonne connaissance des activités
de l’entreprise et les résultats obtenus peuvent ensuite être utilisés à d’autres fins (dans
le cadre d’une réorganisation par exemple ou à l’occasion d’une démarche qualité).
- L’analyse dans le détail des activités permet un recensement quasi-exhaustif des
risques.
- La consultation des opérationnels pour la réalisation de la cartographie permet
d’obtenir une meilleure implication de leur part.

En revanche c’est une démarche consommatrice de temps dans la mesure où elle requiert la
tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs elle peut
s’avérer coûteuse en termes de compétences et de systèmes car la collecte de données
nécessite souvent le recours à des outils adaptés facilitant l’agrégation et le traitement des
informations recueillies.
Cette approche peut également s’avérer difficile à mettre en place lorsque les processus de
l’entreprise ne sont pas modélisés. Dans ce cas, un travail d’identification et de formalisation
devra être entrepris avant d’entamer toute mise en œuvre d’un PMR.

2.3 Complémentarité entre ces deux approches

Les approches Top-Down et Bottom-Up sont considérées comme deux méthodes


complémentaires qu’il convient de combiner. Elles peuvent être conduites simultanément ou
de manière successive. En effet, certains risques importants seront plus facilement décelés par
une vision d'ensemble au niveau de la direction et d'autres, par les connaissances
opérationnelles plus approfondies des exécutants. Le défi est de réunir ces deux approches.
Lors d’une mise en place initiale d’un PMR, il est souvent recommandé de commencer par
une approche Top-Down, moins consommatrice de temps, puis de l’affiner par une approche

101
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Bottom-Up.119

3 Communication de la cartographie des risques

3.1 En interne

Chaque niveau dans l’entreprise a besoin d’une information adaptée à ses responsabilités en
matière de processus de management des risques. Dans tous les cas, la communication des
résultats de la cartographie des risques doit être exacte, objective, claire, concise, constructive,
complète et émise en temps utile.

Cette communication peut provenir de l’audit interne qui restitue le résultat de ses
évaluations, des directions opérationnelles, en rendant compte de la bonne mise en œuvre (ou
non) des contrôles internes ou encore du Risk Manager dans le cadre du reporting de ses
activités.

3.2 A l’extérieur de l’entreprise

Dans un souci de transparence, l’entreprise peut opter pour un reporting régulier de sa


politique de management des risques et des résultats atteints vers ses différentes parties
prenantes. En effet, on assiste à une plus grande implication des parties prenantes dans la vie
de l’entreprise qui cherchent à connaître sa performance dans des domaines autres que
purement financiers, tels que l’environnement, la sécurité, les ressources humaines…

Le reporting vers l’extérieur peut préciser :


- Le processus utilisé pour identifier les risques,
- La manière dont ces risques sont traités,
- Les responsabilités du management en matière de gestion des risques,
- Le système de pilotage et de revue de ces risques.

119
« Moving Forward with ERM ». Sean DE LA ROSA, manager of ERM solutions. Internal Auditor. Juin
2007. Page 50.

102
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

4 Gérer les risques liés à la mise en place d’une cartographie des risques

L’établissement d’une cartographie n’est pas une science exacte : impressions, expériences,
faits, événements récents, « le goût du jour », analyse et chiffrage,… peuvent avoir un impact
sur sa construction.
Ajouté à ces éléments plus ou moins subjectifs dans l’élaboration de la cartographie, d’autres
facteurs de risque doivent être connus et gérés afin d’assurer le succès de cette démarche.
Parmi ces risques nous pouvons citer :
- Absence de soutien de la direction générale,
- Non visibilité de la valeur ajoutée apportée par la cartographie à l’échelle de
l’entreprise,
- Manque de coopération des managers fonctionnels et opérationnels,
- Manque d’informations ou fausses informations,
- Autocensure par crainte de « représailles » et l’existence de freins culturels qui
empêchent de reconnaître ses faiblesses,
- Expérience insuffisante des acteurs en charge de la démarche,
- Absence de méthodes efficaces,
- Cartographie non exhaustive (oubli de risques majeurs, non actualisation de la
cartographie,…),
- Sujets traités trop volumineux ou trop détaillés,
- Inertie au changement et incapacité d’abandonner la mentalité de gestion par silos.
- Alimentation du système par des personnes trop éloignées des opérations.

Lors d’une table ronde organisée par le Ministère Français de l’Economie des Finances et de
l’Industrie intitulée « Regards croisés sur l’entreprise : L’entreprise face aux risques », Chris
LAJTHA120 remet en cause l’opportunité de la construction d’une cartographie des risques
soulignant que le processus d’établissement d’une cartographie des risques prend
généralement beaucoup de temps et qu’au final la cartographie obtenue est souvent déjà
obsolète.

120
Table ronde organisée par le Ministère Français de l’Economie des Finances et de l’Industrie intitulée
« Regards croisés sur l’entreprise : L’entreprise face aux risques ». 12 juin 2006.
Chris LAJTHA, directeur du cabinet ADAGEO, consultant en gestion des risques.

103
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Dans un secteur aussi dynamique que celui des télécommunications, cette dernière critique
peut s’avérer assez fondée dans la mesure où tous les paramètres changent de manière très
rapide. D’où la nécessité de définir dès le départ, un niveau de granularité assez élevé
permettant une construction plus rapide de la cartographie qui soit orientée vers les risques les
plus importants.

La mise en place d’un PMR est un exercice difficile nécessitant la mise en place d’une suite
chronologique d’étapes. Un tel processus n’est évidemment pas statique et ne peut pas être
établi une fois pour toutes. Il s’agit au contraire d’un processus dynamique qui doit être
continuellement adapté en tenant compte des changements pouvant intervenir à tous les
niveaux.

La construction de la cartographie des risques est une des étapes phare de ce processus qui, en
dépit des nombreuses critiques qui lui ont été attribuées, présente l’avantage de donner au Top
Management une occasion de parler, avec un éclairage original, de sujet parfois difficiles à
aborder, hors période de crise et permet de faire travailler des pans entiers de l’organisation
qui, très souvent, s’ignorent.

104
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

CONCLUSION DE LA DEUXIEME PARTIE

En dépit de sa difficulté de mise en place, la démarche globale de gestion des risques trouve
un écho favorable auprès des dirigeants d’entreprises et ce pour plusieurs raisons.
La première étant la valeur ajoutée attendue par les entreprises venant du flux d’informations
généré par le dispositif de gestion des risques : il s’agit d’informations déterminantes pour la
bonne marche de l’entreprise et le pilotage de la performance.
Elle vient également du fait qu’il s’agit d’une démarche dont les bénéficiaires sont les acteurs
de l’entreprise (dirigeants, comité d’audit et opérationnels en interne ; actionnaires en
externe). Les identifier et s’adresser à eux est en soi source de progrès dans l’entreprise.
Un autre point fort de la démarche est qu’il s’agit d’une suite logique d’opérations ayant pour
objectif non seulement la recherche de la qualité de chaque opération mais aussi la bonne
articulation des opérations entre elles : analyser le processus dans sa globalité permet de
repérer les doublons, les blocages et de procéder à sa simplification et à sa réingénérie.
La démarche de gestion des risques présente également l’intérêt d’être transversale favorisant
la conduite de projet, le partenariat, l’interdisciplinarité, l’arbitrage entre des rationalités
différentes ou encore le management interculturel au sein de l’entreprise.
Enfin, son point de départ se situe très en amont, dès la désignation des objectifs stratégiques.
Elle n’est donc plus seulement réactive ou passive mais pro-active.

Comme nous l’avons mentionné il s’agit d’une démarche difficile à mettre en place pour
laquelle l’entreprise doit surmonter un certains nombre d’obstacles dont notamment le coût de
son implémentation ou la difficulté d’amener les participants à modifier leurs comportements
en intégrant la notion de risque dans leurs réflexions quotidiennes.

A cela s’ajoute la faible perception des avantages immédiats liés à cette démarche. En effet, la
mise en place d’un PMR est généralement une tâche de longue haleine nécessitant la
mobilisation d’un grand nombre d’acteurs au sein de l’entreprise avec des résultats qui
souvent, tardent à venir.

105
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Afin de remédier à cet obstacle, et plutôt que de mettre en place, en une fois, toutes les
briques d’un PMR et d’introduire trop de changements en même temps, il est souvent
préférable d’adopter une approche incrémentale. En effet, un déploiement du projet par étapes
est vivement recommandé.
Pour ce faire, l’enclenchement du dispositif par la mise en place d’un plan de continuité des
activités a l’avantage de stimuler les équipes et notamment le Top Management par la
présentation de résultats palpables de manière assez rapide.

Le « plan de continuité d’exploitation » ou de « redéploiement après sinistre » représente


l’ensemble des mesures préventives, des solutions de dépannage, de sous-traitance, de
redondance et de financement qui permettront de satisfaire aux conditions de la poursuite du
développement en toutes circonstances et de fournir des outils permettant de gérer au mieux
les situations de crise. Il est structuré en plusieurs phases devant être mises en œuvre après le
sinistre mais préparées et- planifiées- avec rigueur et précision à l’avance.

Pour revenir à la matrice des risques développée plus haut dans ce mémoire il s’agit du
traitement des risques identifiés au niveau de la classe fréquence « Faible », impact « Elevé »
qui peuvent effectivement mettre en péril la survie de l’entreprise nécessitant la conception
d’un véritable plan de redéploiement stratégique après sinistre.

Chez les opérateurs de téléphonie mobile la mise en place d’un plan d’urgence commence
souvent pas la mise en place d’un plan de continuité au niveau de la direction des systèmes
d’informations. En effet, la forte dépendance de ce secteur aux nouvelles technologies et aux
applications informatiques fait que la mise en place d’un tel plan est souvent prévue en dehors
de tout PMR. Dans ce genre d’entreprise on retrouve souvent le poste de « Responsable des
risques informatiques » ou « IT Risk Manager ». Son rôle se rapproche de celui de Risk
Manager tel que nous l’avons présenté tout au long de ce mémoire avec un champ
d’intervention limité à sa direction. Une des tâches importantes de ce responsable est la
conception d’un plan de continuité d’exploitation informatique.
L’apport du Risk Manager dans ce cas est d’intégrer ce plan de continuité d’exploitation
informatique dans le cadre d’un plan de continuité globale de l’entreprise.

106
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

TROISIEME PARTIE

APPLICATION DE LA DEMARCHE A UN OPERATEUR DE


TELEPHONIE MOBILE

107
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

INTRODUCTION DE LA TROISIEME PARTIE

L’état des lieux sur la gestion des risques est nécessaire pour appréhender la situation dans
les entreprises tunisiennes. Même si les études dans ce domaine sont quasi inexistantes
certains travaux menés par des professionnels dans le cadre de leurs travaux de recherche
pour l’obtention du diplôme d’expertise comptable, ajouté à notre expérience dans le
domaine, nous ont permis d’assoir notre conviction quant au manque de sensibilisation de nos
dirigeants sur ce genre de problématique. En effet, rares sont les entreprises ayant mis en
place un processus de management des risques tel que nous l’avons présenté tout au long de
ce mémoire.

L’état relativement embryonnaire de cette activité s’explique en partie par la structure du tissu
économique tunisien dominé par les petites et moyennes entreprises à caractère plutôt familial
et au niveau desquelles les concepts de gouvernance d’entreprise ou de gestion intégrée des
risques ne sont pas très répandus.

C’est dans ce contexte que nous avons choisi de mettre en avant l’expérience vécue par un
opérateur de téléphonie mobile dans la mise en place initiale d’un PMR puisse-t-elle être utile,
moyennant quelques adaptations, pour les entreprises tunisiennes ayant décidées de se lancer
dans cette longue et fastidieuse expérience.

Pour ce faire, cette partie sera structurée en deux chapitres :


• Le premier sera consacré à la présentation de certains préalables qui, d’après notre
expérience et la littérature sur le sujet, peuvent s’avérer très utiles pour la réussite du
projet de mise en place d’un PMR.
• Le deuxième reprendra les différentes étapes suivies par l’opérateur pour la construction
et le pilotage de sa cartographie des risques.

108
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 1

PREALABLES A LA MISE EN PLACE DU PMR

Tout au long de ce mémoire, nous avons présenté les risques liés au secteur des
télécommunications, et de la téléphonie mobile en particulier, en insistant sur la nécessité de
mettre en place une démarche structurée pour les gérer, en présentant le processus de
management des risques et les étapes de sa mise en place. Comme nous l’avons souligné, il
s’agit d’un processus long et difficile à mettre en place. Nous avons donc jugé nécessaire de
consacrer un chapitre à la présentation de quelques éléments pouvant aider les entreprises
opérant dans le secteur de la téléphonie mobile, à réussir ce projet. Il s’agit, en grande partie,
de facteurs évoqués par des Hommes de terrain qui ont tenté l’expérience dans leurs propres
compagnies.

SECTION 1 : LES PREALABLES ORGANISATIONNELS

Suite à notre expérience et à l’examen d’un certain nombre de cas d’opérateurs ayant décidé
de se lancer dans l’aventure de mise en place d’un PMR nous avons constaté que les obstacles
rencontrés font pour la plupart référence à des éléments d’ordre cognitif, managérial et
organisationnel. Nous présenterons ci après quelques éléments à prendre en compte pour
éviter les écueils relatifs à ces obstacles.

1 Volonté des dirigeants

La mise en œuvre d’une politique de gestion des risques a toujours pour origine la volonté du
Top Management de connaître les risques majeurs de l’entreprise, de les mettre sous contrôle
et d’être informée de la qualité de leurs maîtrises. Il doit s’agir d’un axe stratégique fort.

Cette volonté doit se retrouver à deux niveaux :


- Le conseil d’administration, à qui incombent la conception, la mise en place effective

109
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

et le pilotage de ce processus.
Lorsqu’il existe, le comité d’audit est le lieu privilégié où doit se manifester cette
volonté.
- La direction générale, qui doit non seulement donner l’impulsion à l’ensemble du
dossier, mais surtout créer les conditions et mettre en place les moyens nécessaires
pour la mise en place du PMR, ce qui passe inévitablement par l’allocation des
ressources dédiées.
Plus largement, le comité de direction doit être complètement partie prenante, ne
serait-ce que parce que chaque directeur, qu’il soit opérationnel ou fonctionnel, doit
initier cette démarche dans sa propre direction. C’est ce qui ressort des propos tenus
par Rachel McKinney, responsable ERM dans une grande multinationale « la chose la
plus importante est le soutien apporté par le Comité de Direction. »121

2 Découpage de l’activité en processus

Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :
simple modélisation des process, migration d’un système d’information vers un autre,
harmonisation des process après fusion d’entreprises…Mais il en est au moins une qui la rend
indispensable : l’élaboration de la cartographie des risques. En effet, et comme nous l’avons
précédemment mentionné, les risques identifiés doivent être rattachés aux processus clés de
l’entreprise. Il est donc nécessaire, avant d’entamer la mise en place d’un PMR, de formaliser
la cartographie des processus de l’entreprise.

D’une façon générale, nous retrouvons trois grandes catégories de processus :


- Les processus managériaux ou de pilotage : stratégie, budget…,
- Les processus métiers, ou processus opérationnels : vente, production, achat…et
- Les processus supports : ressources humaines, finances, logistique…

La mise en ligne des processus sur le portail Intranet de l’entreprise peut s’avérer utile pour
une « prise de connaissance transverse du métier de l’opérateur mobile par les différents

121
« The Practical Challenges of Enterprise Risk Management ». Par Mark Hamill. Keeping Good Compagnies.
Décembre 2007. Page 689.

110
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

acteurs ».122

3 Mise en place d’un système de contrôle interne

La démarche de gestion des risques résiduels ne se base pas sur les risques bruts auxquels est
exposée l’entreprise mais traite plutôt des risques résiduels en intégrant les contrôles mis en
place par l’organisation.
Plus les contrôles sont efficaces et efficients, plus le PMR est facile à mettre en place.
L’efficacité du système de contrôle interne se mesure au degré d’élimination ou de réduction
du risque que procurent les mesures de maîtrise proposées. Son efficacité économique dépend
du rapport entre les coûts d’implémentation de celui-ci et les bénéfices attendus de la
réduction du risque.
Il est donc important pour une entreprise ayant décidé de mettre en place un PMR de
commencer par l’examen de son système de contrôle interne en essayant de réduire au
maximum ses risques via la mise en place de contrôles efficients afin de permettre à son PMR
de se focaliser sur les risques les plus importants.

La mise en place d’un tel système permet également de familiariser les différents intervenants
au sein de l’entreprise aux notions de risque, de contrôle, de redevabilité ou encore de
responsabilité qui sont des concepts importants à maîtriser pour la réussite du projet de mise
en place d’un PMR.

4 Développement d’une culture de risque au sein de l’entreprise

La culture du risque joue un rôle primordial dans la mise en place d'une structure efficace de
gestion des risques et touche aussi bien le Top Management que le restant du staff de
l’entreprise. Elle englobe la tendance d'une entité à prendre des risques et son seuil de
tolérance à celui-ci dans ses activités et ses prises de décisions quotidiennes. En effet, et
comme le dirait Alain HOCQUET, Risk Manager chez France Télécom : « Le management

122
« Ineum Consulting accompagne SFR dans la lancement de son projet : Gestion de l’entreprise par les
processus ». Etude de cas. Décembre 2006.

111
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

des risques est un état d’esprit » 123

L’importance de cette notion réside dans le fait qu’elle soit axée sur l'être humain, et que les
organisations qui prospèrent sont celles qui savent être à l'écoute de leurs employés et
canaliser leur énergie pour l'atteinte d'un but commun. Une culture gagnante est un gage de
réussite pour l'organisation qui veut mettre sur pied un programme « gagnant-gagnant » de
gestion des risques et, par conséquent, atteindre ses objectifs et créer de la valeur.

Les organisations qui reconnaissent l'importance de la culture du risque analysent l'état de leur
culture actuelle et vérifient si tous ses membres partagent les mêmes valeurs. En effet, les
disparités en la matière sont assez nombreuses. C’est ainsi que certaines personnes ont
tendance à être réfractaires aux risques ou au contraire en prennent volontier, certains autres
ont un comportement plus neutre, et d'autres enfin recherchent des occasions de prise de
risques.
En examinant de près ces différences, les organisations parviennent à repérer les lacunes et à
identifier les acteurs qui ne sont pas sur la même longueur d'ondes. Elles peuvent ensuite
concentrer leurs énergies et leurs ressources sur l'élimination des disparités afin de véhiculer
une culture du risque plus homogène qui soit en harmonie avec la stratégie du management et
son appétence pour le risque.

La culture de risque d’une entreprise prend naissance dans le ton et dans l'orientation donnés
par les hauts dirigeants ce que les anglo-saxon qualifie de « Tone at The Top ». Au départ,
cette culture du risque doit être forte pour mettre en place une structure de gestion des risques
permettant de gérer les dangers et les opportunités issus d'un environnement mouvant.

« La gestion des risques doit devenir une véritable culture d'entreprise où chacun sera partie
intégrante du processus visant à limiter et anticiper le risque, lui-même devenu une
problématique globale et non plus uniquement spécifique ou isolée. »124

123
« Le Rôle du Risk Management à France Télécom: Imaginer l’avenir ». Par Alain HOCQUET, Risk Manager
chez France Télécom. Audit n°182. Décembre 2006. Page 14.
124
« Vers une nouvelle approche des risques ». DOMINIQUE CHESNEAU. Série L'Art des Risques LesEchos
13/12/2000.

112
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

SECTION 2 : MISE EN PLACE DES MOYENS NECESSAIRES

La mise en place d’un PMR est un exercice faisant intervenir un grand nombre d’acteurs et
suscitant la mobilisation des moyens nécessaires.

1 Désignation d’une équipe

La première étape à entreprendre étant la désignation d’une équipe en charge du PMR. Pour
ce faire, les entreprises font de plus en plus appel à un Risk Manager dont la tâche consiste à
mettre en place et à piloter le PMR.
Comme nous l’avons préalablement souligné, ce Risk Manager n’est nullement responsable
des risques encourus par l’entreprise, qui demeurent sous la responsabilité des opérationnels
concernés.

Le Risk Manager peut être désigné parmi le staff de l’entreprise, recruté de l’extérieur ou
intervenir en tant que consultant externe. Toutefois, il est généralement recommandé de
challenger une personne de l’intérieure de l’entreprise ayant une bonne connaissance de ses
activités et des risques qui l’entourent. En effet, « les Risk Managers les mieux armés sont
ceux qui possèdent à la fois une formation théorique à la gestion des risques et une excellente
connaissance de leur secteur d'activité. » 125

Le Risk Manager doit avoir un contact humain facile et être capable de travailler avec tous les
niveaux hiérarchiques de la société, depuis les directeurs opérationnels jusqu'au conseil
d'administration, sans oublier les parties externes comme les juristes, les principaux
investisseurs et les partenaires commerciaux.
Des capacités sur le plan de l'animation, de la formation et du travail en équipe sont
également requises pour ce type de poste. A cela s'ajoute une bonne connaissance de la
finance et de la comptabilité puisque les conséquences des risques se répercutent souvent sur
le compte de pertes et profits et sur le bilan.

125
« Le nouveau rôle du gestionnaire de risques ». Mark BUTTERWORTH. Série L'Art des Risques LesEchos
29/11/2000.

113
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Parallèlement, il est nécessaire que la fonction de Gestion des Risques ait sa pleine légitimité
au sein d'une entreprise pour bénéficier de la confiance qui s'y attache. Les membres de
l’équipe doivent donc savoir expliquer, sensibiliser et convaincre leurs interlocuteurs, de
façon à asseoir leur légitimité.

La représentativité de celui qui occupe le poste, tant vis à vis de l'extérieur que de l'intérieur
de l'entreprise est un facteur tout aussi important. En effet, le Risk Manager doit jouir d’une
certaine aura afin de donner plus de crédibilité à ses fonctions. L’effet psychologique étant
très important notamment dans la perception qu’ont les différents acteurs de son rôle à
l'intérieur de l'entreprise

Dans une grande entreprise, à l’image d’opérateur de téléphonie mobile, ce travail ne peut
généralement pas être assuré par une seule personne. Un « comité » ou « forum
spécifique »126 est généralement nommé pour assister le Risk Manager « central ». Pour ce
faire, des Risks Managers « locaux » sont désignés. Il s’agit des responsables des processus
clés de l’entreprise qui administrativement ne sont pas rattachés au Risk Manager « central »
mais à qui ils reportent en matière de risque constituant ainsi le noyau dur de la fonction de
risk management.

Dans ce type d’entreprise, à forte dépendance technologique, la direction des systèmes


d’informations occupe une place assez importante dans le fonctionnement global de
l’entreprise. Cette direction, de part la nature de son activité, a toujours été appelée à gérer ses
risques et dans certains cas des personnes, souvent désignées par l’appellation « IT Risk
Manager », y sont désignées et se voient confier la charge de la gestion des risques
informatiques de leur direction. Lors de la mise en place d’un PMR, ces personnes sont les
plus aptes à être désignées comme Risk Managers « locaux » vu leurs connaissances des
activités de l’entreprise et leur familiarité avec la notion de risque.

L'un des axiomes du risk management est que plus les gestionnaires de risques sont
performants, plus ils passent inaperçus : l'entreprise échappe aux pertes, à la défaillance des
126
Pour reprendre l’expression utilisée par Stephen Ward (School of Management, université de Southampton)
dans une étude sur le rôle des gestionnaires de risques. « Le nouveau rôle du gestionnaire de risques ». Par Mark
BUTTERWORTH. Série L'Art des Risques LesEchos 29/11/2000.

114
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

contrôles et à d'autres situations similaires et cette absence finit par aller de soi. Il s'ensuit que,
pour obtenir et conserver le soutien du Top Management, les Risk Managers sont obligés de
montrer clairement la valeur de leur travail à la société.

Des mesures financières sur la valeur de la gestion des risques ont été développées au fil des
ans, qui sont axées sur la réduction du « coût des risques ». Les éléments entrants dans la
définition du coût des risques sont les suivants : dépenses en primes d'assurance, pertes
assurées en interne, frais généraux du service de gestion des risques, honoraires des
consultants, mesures de prévention des pertes et dépenses engagées dans les plans d'urgence.
A cela s'ajoute généralement un pourcentage pour le temps passé par la Direction Générale,
particulièrement quand un incident majeur exige son intervention ou celle du Conseil.
La valeur ajoutée de la gestion des risques peut être démontrée en comparant le coût total du
risque d'une année sur l'autre ou en le rapprochant au chiffre d'affaires réalisé.

2 Positionnement du Risk Manager

Considéré souvent comme une évolution de la fonction de gestion des assurances, la question
du rattachement du Risk Manager a été souvent posée. Dans une étude sur le rôle des
gestionnaires de risques, Stephen Ward a analysé la position hiérarchique de 30 Risk
Managers dans de grandes entreprises. Plus des deux tiers d'entre eux dépendaient du
directeur financier. D'autres étaient placés sous l'autorité du conseil d'administration par
l'intermédiaire des directeurs techniques ou du secrétaire général de la société. Il arrive aussi
parfois que le gestionnaire de risques dépende du responsable du contrôle interne ou du
trésorier. 127
Chez France Télécom par exemple, la fonction de Risk Manager a débuté en rattachement à
celle de l’audit interne pour ensuite s’en séparé tout en faisant partie d’une seule et même
direction celle de l’Audit et du Contrôle des Risques.

Idéalement le Risk Manager doit être rattaché à la direction générale. Il est en effet préférable
que les gestionnaires de risques soient relativement indépendants par rapport aux autres

127
« Le nouveau rôle du gestionnaire de risques ». Par Mark BUTTERWORTH. Série L'Art des Risques
LesEchos 29/11/2000.

115
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

fonctions de l’entreprise. Ils posent donc un regard différent sur les risques encourus et ont
une vision plus globale, dans la mesure où ils disposent de plus de recul par rapport aux
personnes confrontées quotidiennement aux éléments de leur spécialité. De plus, ce
rattachement au plus haut niveau de la hiérarchie permet d’assoir l’autorité nécessaire au Risk
Manager dans l’exercice de ses fonctions.

Le simple rattachement du Risk Manager à la direction générale peut s’avérer insuffisant pour
le bon déroulement de ses activités. C’est ainsi que des débats sont de plus en plus engagés
pour savoir si le gestionnaire de risques devait également faire partie du comité exécutif en
qualité de directeur des risques. L'idée est que la gestion des risques revêt une importance
stratégique suffisante pour être représentée à l'échelon hiérarchique le plus élevé. En effet, le
gouvernement d'entreprise exige que le conseil d'administration soit responsable du contrôle
des processus et qu'il analyse leur mise en œuvre et leur performance. Un fait qui souligne
l'importance de la gestion globale des risques dans l'entreprise et la position dont devrait jouir
le responsable des risques.128

Le statut du Risk Manager peut être un bon indice de la maturité ou de l'immaturité d’une
entreprise par rapport au concept de gestion des risques. En général, plus sa position se
rapproche du haut de la pyramide, plus l’entreprise est consciente de l’importance que revêt la
mise en place d’un PMR129.

3 Développement de la formation en matière de gestion des risques

De nos jours, les entreprises sont de plus en plus conscientes de l’importance du maintien du
niveau de formation de leurs collaborateurs et de la mise à niveau de leurs connaissances.
Ceci est particulièrement vrai pour les entreprises ayant décidé de mettre en place un
processus de management des risques. Pour ces dernières, les programmes de formation
nécessitent d’être revus afin d’intégrer la gestion du risque dans la vie de l’entreprise et
d’encourager le développement de nouvelles compétences.

128
« Le nouveau rôle du gestionnaire de risques ». Par MARK BUTTERWORTH. Série L'Art des Risques
LesEchos.29/11/2000.
129
« Analyse et Gestion des Risques dans les Grandes Entreprises : Impacts et Rôle pour la DSI ». Etude réalisée
par le CIGREF en partenariat avec l’IERSE. Publication du CIGREF en 2006-2007, page 19.

116
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

En matière de gestion des risques, la formation doit s’étendre à tous les niveaux et concerne
aussi bien le ou les gestionnaires du risque que l’ensemble des employés de l’entreprise.

3.1 Le risk manager

La fonction de gestionnaire de risque est une fonction qui nécessite un investissement en


temps et en savoir, très important. Cette fonction nécessite que le responsable ait
continuellement connaissance des dernières nouveautés en matière de gestion des risques, des
moyens de traitement disponibles, de benchmarker son entreprise par rapport à celle du
secteur aussi bien à l’échelle nationale qu’internationale.

3.2 Les managers

Les managers doivent se familiariser avec les notions théoriques en matière d’ERM,
comprendre ses objectifs et comment ce processus peut-il leur procurer un net avantage dans
leur gestion quotidienne. Pour ce faire des sessions de formation que ce soit en interne,
assurer par l’équipe de risque management, ou en externe peuvent être prévues.

3.3 Les employés

En règle générale, la plupart des employés ne voient pas la gestion des risques comme leur
première préoccupation. Ils estiment qu’ils accomplissent leur travail en vue d’atteindre les
objectifs qui leurs ont été fixés sans nécessairement rattacher les risques liés à la non atteinte
de leurs objectifs à l’impact que cela pourrait avoir sur les objectifs stratégiques de
l’organisation. Des actions de formation et de communication sur ce sujet sont donc
primordiales afin d’assurer leur implication.
L’objectif de ces actions étant :
• La sensibilisation du personnel à la problématique de gestion des risques,
• La communication et l’explication de l’approche de gestion des risques retenue par
l’entreprise,
• La mise en place d’un langage commun de gestion des risques au niveau de l’organisation,
et

117
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• Le développement de leurs compétences en la matière.

4 Positionnement des opérationnels au cœur du dispositif

On entend par opérationnels l’ensemble des collaborateurs qui agissent dans l’entreprise : les
techniciens, les commerciaux, les conseillers clients, les gestionnaires…
La mise en place d’un PMR ne peut être envisagée sans leur adhésion. L’idéal étant qu’ils
s’approprient cette démarche. Ceci implique la prise en compte de leurs attentes au moment
de la conception de la démarche et de ne pas se suffire d’une approche Top-Down. En effet,
pour obtenir des résultats significatifs, la démarche doit être déployée dans toute l’entreprise.
Elle nécessite la sensibilisation d’un nombre d’acteurs de plus en plus importants et le
développement d’une culture de gestion des risques.

5 Rédaction d’un manuel de Risk Management et définition d’un langage commun

En tant que processus opérationnel, les différentes étapes du PMR doivent être formalisées et
documentées à travers la mise en place d’un manuel de risk management qui soit à la portée
de tous les intervenants.
Ce manuel se doit de mettre en avant les bonnes pratiques en matière de gestion des risques,
d’expliciter certaines notions qui ne sont pas nécessairement connues ou partagées par
l’ensemble des collaborateurs et de présenter les différentes phases de déploiement d’un
PMR. En effet, les sociétés qui développent des systèmes de gestion des risques doivent
mettre en place un référentiel des concepts et développer un langage commun à toute
l'organisation. Tous les échelons doivent pouvoir décrire et classer les risques similaires dans
une même catégorie, connaître la philosophie de l’entreprise en matière de gestion des
risques, notamment son appétence pour le risque, et être en mesure d’évaluer le poids d’un
risque selon les critères préalablement fixés.

En plus des avantages sus-indiqués, la rédaction d’un manuel de risk management assure une
meilleure pérennité de l’entreprise. En effet, étant une entité distincte de ses collaborateurs,
l’entreprise doit être en mesure de fonctionner normalement indépendamment des personnes
qui la composent. L’existence d’un tel manuel diminue la dépendance de l’organisation

118
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

envers les personnes ayant initié le lancement du projet et facilite le passage du flambeau vers
d’autres collaborateurs.

Ce chapitre aurait pu tout aussi bien s’intituler « Principes à respecter » ou « Les facteurs clés
de succès » dans la mesure où il regroupe les principales conditions à réunir pour augmenter
les chances de réussite de la mise en place initiale d’un PMR.

En effet, une fois ces préalables réunis, l’opérateur peut entamer la phase de construction
effective de sa cartographie des risques comme nous l’expliciterons au niveau du chapitre
suivant.

119
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chapitre 2

CONSTRUCTION DE LA CARTOGRAPHIE DES RISQUES ET

PROPOSITION DE LEUR TRAITEMENT

Nul doute que la mise en place des préalables organisationnels et des moyens nécessaires a été
une phase déterminante facilitant la mise en place du PMR et notamment la construction de la
cartographie des risques de l’opérateur que nous avons choisi d’examiner.
En effet, l’investissement en temps et en argent suscité par la mise en place de ces préalables
n’a pas été un gaspillage puisque les acteurs se sont familiarisés avec les notions de base sous
jacentes à la conduite de cette démarche et sont de ce fait plus impliqués dans sa mise en
place.

SECTION 1 : LA CARTOGRAPHIE DES RISQUES

1 Définition des objectifs stratégiques de l’opérateur et mise en place d’un planning


d’intervention

La première étape fût l’identification des objectifs stratégiques de l’entreprise et ce par la


conduite d’entretiens avec les principaux responsables et notamment le directeur général et les
membres du conseil d’administration.
Ces entretiens ont été réalisés par le Risk Manager préalablement désignés assisté par un
cabinet d’audit externe dont la tâche fût d’aider les équipes locales pour le démarrage de ce
projet.

Une fois les objectifs recensés, des réunions avec les membres du comité exécutif ont été
conduites afin de s’assurer que ces objectifs sont bel et bien diffus et correctement assimilés
au sein de l’organisation.

Un planning de travail a été également mis en place, en collaboration avec les managers,

120
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

fixant les différentes phases d’implémentation du projet avec les deadlines correspondants.
Ce planning a été communiqué par le directeur général à tous les responsables. L’intervention
du directeur général dans ce cas permet d’assoir la légitimité du processus et donne plus de
crédibilité aux interventions du Risk Manager.

Chez l’opérateur examiné, et vu la multitude des risques et des intervenants, le recours à un


logiciel de gestion des risques s’est par lui-même imposé facilitant ainsi l’organisation et la
communication du travail des différents intervenants. Le recourt à un tel logiciel permet
également un meilleur archivage des documents et diminue la dépendance de l’entreprise vis-
à-vis des personnes.

Dans le cas d’espèce c’est le logiciel TeamMate qui a été retenu.

2 Etablissement de la cartographie des processus

Pour une meilleure conduite des travaux de mise en place du PMR, une mission de
formalisation des processus clés de l’entreprise a due être conduite. Ce travail, mené en
collaboration entre le Risk Manager et les différents responsables opérationnels, a abouti à la
construction de la cartographie des processus suivante qui a été diffusée sur le portail Intranet
de l’entreprise.

121
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Pilotage Transverse Stratégie, Business Plan, Budget, Pilotage, Projet

Opérationnels Achat Commercialisation Technique Revenu

Gestion offres, Innovation et Valorisation et


Equipement réseau
produits & tarifs gestion du facturation Grand
& SI
changement Public
Evaluation de
Développement des Valorisation et
Terminaux crédit, activation &
applications & SI facturation Grands
provisionnement
Comptes
Gestion de la Développement du
Autres Interconnection
relation client réseau
(fidélité, SAV)
Roaming
Gestion de la
Distribution capacité
Ventes en gros
Gestion de la
qualité et pilotage
réseau

Opérationnels transverses Gestion des partenaires (contenus, réseau)

Fonctionnels Finances Gestion administrative

Comptabilité Ressources humaines

Trésorerie Juridique

Contrôle des coûts Moyen généraux

Applications de back-office

Ce travail a permis une meilleure mobilisation des équipes qui ont pu avoir un premier output
palpable de cette opération dans un délai relativement court.

3 Rattachement des risques aux objectifs

Une fois les objectifs fixés et formalisés, un travail d’identification des risques pouvant

122
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

entraver l’atteinte de ces objectifs a été mené via la combinaison des deux approches
préalablement explicitées : Top-Down et Bottom-Up et notamment l’envoi d’un questionnaire
aux principaux intervenants en insistant sur l’importance de ne pas envisager uniquement les
problèmes récents subis ou évités par la société et ses concurrents, mais aussi de tenir compte
des types de risques qui peuvent encore se greffer par la suite130.

La combinaison des deux approches a été bénéfique dans la mesure où certains risques
importants sont plus facilement décelés par une vision d'ensemble au niveau de la direction et
d'autres, par les connaissances opérationnelles plus approfondies des exécutants.

Chez l’opérateur examiné, trois grandes catégories de risques ont été retenues.

La première catégorie regroupe les risques stratégiques dans laquelle ont été classés à la fois,
les risques et les opportunités liés aux grands choix de l’entreprise. Ce sont des choix qui
portent sur des cycles longs et sur des enjeux financiers importants.
On retrouve dans cette catégorie les risques technologiques qui sont essentiels dans le secteur.

La deuxième catégorie de risques fait référence aux risques transférables qui sont traités de
façon historique par les mécanismes de l’assurance. Il s’agit principalement des risques liés au
parc automobile ou à la protection des actifs (bâtiments administratifs, sites de
transmission,…) contre les phénomènes aléatoires comme les incendies, les tempêtes, les
inondations…

La dernière catégorie regroupe les risques opérationnels qui peuvent entraver l’atteinte des
objectifs de court terme. Cette catégorie englobe les risques clients comme la solvabilité, les
risques liés à la bonne adaptation des systèmes d’informations lors du développement de
nouveaux produits et services, les risques financiers, sociaux,…

Ces travaux ont permis de faire émerger un peu plus d’une vingtaine de risques qui ont été
rattachés à l’objectif qu’ils pourraient impacter ; sachant qu’un même risque pouvait être
rattaché à un ou plusieurs objectifs stratégiques.

130
En annexe 2, nous avons inséré le formulaire vierge de ce questionnaire.

123
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Chez l’opérateur examiné, et vu l’absence d’une structure d’audit interne assurant la maîtrise
et le respect des procédures de contrôle interne, l’équipe de Risk Management désignée, en
collaboration avec le Top Management, a pris la décision de considérer les contrôles internes
comme inexistants. De ce fait, les risques résiduels correspondent aux risques inhérents de
l’entreprise.

4 Evaluation et hiérarchisation des risques

Une fois identifiés, ces risques ont été évalués et pondérés en mesurant aussi bien la perte
financière (impact sur le résultat net) que d’autres éléments tels que l’atteinte à l’image de
marque, la perte de part de marché ou encore le respect de la réglementation.

Une échelle de 1 à 4 a été retenue pour mesurer l’impact et la probabilité de survenance131 :

Impact
Indicateur : Impact sur
Evaluation Description Score Résultat Atteinte à l’image Part de Respect de la
net* ** marché réglementation
Faible Faible impact 1 < 100 K Niveau < 1% Pénalités
sur la réalisation bronze réduites
des objectifs
Moyen Impact moyen 2 Entre Niveau Entre Pénalités
sur la réalisation 100 et argent 1% et moyennes

131
Les critères d’évaluation de l’impact et de la probabilité de survenance ont été arrêtés suite à des séances de
travail et de brainstorming entre les différents responsables des risques identifiés animées par le Risk Manager
de l’entreprise. Ces critères ont été revus et approuvés par la direction générale.

124
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

des objectifs 500 K 3%


Elevé Impact élevé sur 3 Entre Niveaux or Entre Pénalités
la réalisation des 500K et et diamant 3% et élevées
objectifs 1M 5%
Très élevé Impact très élevé 4 >1M Toute la > 5% Retrait de
sur la réalisation base et à licence
des objectifs l’échelle du
pays
* : Impact exprimé en monnaie de comptabilisation.
** : Chaque niveau correspond à une catégorie de la base client.
Le Niveau bronze correspond aux clients à faible ARPU.
Le Niveau argent correspond aux clients à moyen ARPU.
Les Niveaux or et diamant correspondent aux clients privilégiés avec un ARPU élevé.

Probabilité
Evaluation Description Score Indicateur
Peu probable Peu probable mais pas impossible 1 < 10% de chance
Possible Possible de se produire 2 > 10% de chance
Probable Plus probable de se réaliser qu’improbable 3 > 50% de chance
Très probable Très probable de se réaliser 4 > 90% de chance

Le résultat de la combinaison impact x probabilité donne le poids du risque.

Ce travail n’a pas été un exercice facile à réaliser. En effet, la perception de l’impact et de la
probabilité de survenance sont des éléments faisant appel au jugement professionnel des
différents participants et ne sont pas nécessairement appréhendés de la même manière par tous
les acteurs. Ces divergences, quoique partiellement maîtrisées par la mise en place d’un
manuel de gestion des risques, n’ont pu être totalement éliminées.
Des arbitrages et des concessions ont du donc être menés afin de pouvoir faire avancer la mise
en place de ce processus.

125
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

5 Construction de la cartographie des risques

Les travaux ci-dessus mentionnés ont permis de présenter sur un même document la
cartographie des risques de l’entreprise en faisant apparaître (en rouge et à droite du
document) les risques les plus importants que l’entreprise devra suivre de très près.

126
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Pobabilité

R1

R17
R4 R11
R2 R12
R8

R10
R21 R20
R23 R15 R13
R3 R19 R18
R9 R6
R7

R14 R24
R25
R5 R22

Impact

Faible Moyen Elevé Très élevé

R1 : Arrivée de nouveaux concurrents sur le marché.


R2 : Manque de compétitivité des produits et services offerts aux clients.
R3 : Baisse de la qualité des services offerts par le Call Center132
R4 : Augmentation non maîtrisée du taux de CHURN.
R5 : Concurrence déloyale
R6 : Atteinte à l’image de marque de l’entreprise
R7 : Non exhaustivité de la facturation
R8 : Perte/détérioration des CDR133
R9 : Fraude interne.
R10 : Fraude entre opérateurs
R11 : Baisse de la qualité du réseau

132
Centre d’appel de l’opérateur examiné (pour le traitement des réclamations des clients qui appellent)
133
Call detail records. Tickets d’enregistrement du détail des appels qui serviront de base pour la facturation aux
abonnés).

127
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

R12 : Non intégrité du système d'information.


R13 : Absence d’un plan de secourt informatique
R14 : Retard dans le provisionning134 des lignes prépayées
R15 : Manque de contrôle des prestations des fournisseurs des biens et services.
R16 : Rupture de stock de kit et/ou des cartes de recharge
R17 : Dépendance vis-à-vis des équipementiers
R18 : Impact défavorables des fluctuations de taux de change.
R19 : Non respect de la réglementation fiscale et sociale
R20: Risque sanitaire.
R21 : Perte d'employés clés.
R22 : Menaces terroristes/ Sabotage des sites
R23 : Inadaptation des conditions de l'environnement de travail
R24 : Incendie/inondation des locaux.
R25 : Absence de code de conduite et de règles d'éthique des administrateurs.

La cartographie des risques peut également prendre la forme d’une matrice par processus. En
effet, les risques étant rattachés aux processus qui les supportent, une représentation faisant
apparaître les processus les plus risqués peut s’avérer opportune.
Pour ce faire une évaluation et une hiérarchisation des processus, en fonction des risques qui
s’y rapportent, ont été effectuées.

La matrice ci-dessus présentée peut donc prendre la forme suivante :

134
Processus par lequel les cartes de recharge vendues par les opérateurs sont pré-activées et créditées.

128
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Très probable
Probable
Possible
Peu probable

Une fois arrêtée, cette matrice a été soumise à la direction générale pour validation et des
responsables pour chaque risque ou catégorie de risque ont été nommés. Ces personnes ont été
désignées en fonction de leur capacité à agir sur les risques identifiés. Il s’agit en définitif des
porteurs de plans d’actions potentiels.

L’exploitation des résultats de ce premier travail de cartographie a amené la direction générale


à prendre des arbitrages sur les priorités d’actions du plan de maîtrise des risques pour l’année
à venir.

SECTION 2 : TRAITEMENT DES RISQUES ET MISE A JOUR DE LA CARTOGRAPHIE

1 Traitement des risques identifiés

Suite à la validation de la cartographie des risques par la direction générale, l’étape de

129
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

traitement des risques identifiés a pu être entamée.

Pour ce faire, chaque responsable désignés a été appelé à concevoir un plan d’actions
permettant de réduire l’impact et/ou la probabilité de survenance du risque afin de ramener
son poids au seuil accepté par l’organisation.
Les différentes méthodes présentées au niveau de la deuxième partie de ce mémoire ont été
retenus à savoir : acceptation, réduction, partage ou évitement.

Une fois ce travail achevé, plusieurs réunions ont été conduite avec le comité de direction afin
de statuer sur les traitements proposés. En effet, et sous contraintes de ressources, l’objectif
recherché était de trouver un compromis efficace entre ce que coûte le traitement du risque et
le coût du risque en lui-même.

La phase finale de cette étape fût la présentation de l’ensemble des plans d’actions proposés à
la direction générale pour validation et, surtout, mobilisation des ressources nécessaires à la
mise en œuvre de ces actions.

2 Evolution de la cartographie des risques

La finalisation de la cartographie des risques représente une étape essentielle dans la mise en
œuvre du dispositif de management des risques. L’étape suivante est de faire vivre cette
cartographie en l’actualisant régulièrement. A défaut, et compte tenu de la rapidité
d’évolution de la vie de l’entreprise et notamment l’évolution technologique, cette
cartographie deviendrait rapidement inopérante et l’entreprise perdrait le bénéfice de
l’investissement réalisé au départ.

Chez l’opérateur examiné, un comité de suivi composé du Risk Manager et des principaux
responsables de risques a été désigné afin de piloter la mise en place des traitements décidés
et de suivre l’évolution des risques identifiés.
Ce comité s’est d’abord réuni de manière hebdomadaire pendant les 2 premiers mois ayant
suivi la validation du plan d’actions par la direction générale pour ensuite espacer ses
réunions qui sont devenues mensuelles. Un compte rendu à la direction générale est

130
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

systématiquement établi par le Risk Manager montrant l’évolution des travaux et les
difficultés éventuellement rencontrées.

Le suivi de l’évolution des risques identifiés étant du ressort de ce comité, il a été convenu de
laisser un peu de temps aux opérationnels de se familiariser avec ce processus et reconduire
annuellement cette démarche afin d’assurer l’actualisation et la mise à jour de la cartographie
des risques de l’entreprise.

La décision de mettre en place une cellule d’audit interne dotée des moyens et des pouvoir
nécessaires permettra vraisemblablement de faire évoluer la cartographie des risques. En effet,
les travaux d’évaluation du système de contrôle interne menés par l’équipe d’audit pourront
être exploités par les principaux responsables de risques dont les travaux seront basés non
plus sur les risques bruts de l’entreprise mais sur ses risques résiduels.

L’exercice de construction de la cartographie des risques de l’opérateur choisi est un travail


qui s’est étalé sur plusieurs mois (dix au total) et a nécessité la mobilisation d’un nombre
important d’intervenants et de moyens.

Même si la cartographie finale obtenue ne correspond pas nécessairement à la stricte réalité,


elle a au moins le mérite d’avoir été faite constituant ainsi un premier exercice pour
l’entreprise qui sera sans doute amenée à la perfectionner lors des mises à jour futures. En
effet, ce genre d’exercice doit être mené sur le moyen terme avant de pouvoir donner des
résultats satisfaisants.

131
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

CONCLUSION DE LA TROISIEME PARTIE

L’expérience de mise en place d’une démarche structurée de gestion des risques menée par
un opérateur de téléphonie mobile nous a permis de mettre en avant les points forts et les
écueils à éviter pour la réussite d’un tel projet. C’est ainsi que certains préalables, qui ne
figurent pas nécessairement au niveau de la littérature et des ouvrages traitant du sujet,
devront être sérieusement pris en compte par les entreprises ayant décidé de se lancer dans
cette expérience.

La méthodologie retenue par l’opérateur examiné n’est qu’une variante parmi tant d’autres.
En effet, dans la pratique, différentes options de déploiement sont observées : certaines
entreprises déroulent leur projet en commençant par un groupe de travail au niveau du comité
de direction et déploient ensuite le processus sur l'ensemble de l'entreprise, d'autres
choisissent un site pilote, d'autres, enfin, combinent les deux approches.

Quelque soit la méthodologie retenue, il ne faut pas perdre de vu chaque entreprise est un
modèle unique évoluant dans un environnement qui lui est propre. De ce fait, l’adoption d’une
démarche de management des risques toute faite sous prétexte qu’elle a été concluante chez
une autre entreprise peut s’avérer dangereuse. Des efforts d’adaptation devront être
nécessairement entrepris en tenant compte notamment de la maturité et de la culture de
l’entreprise en matière de gestion des risques, de la finalité recherchée par le management à
travers le lancement de ce projet, du dispositif de contrôle interne préexistant...

132
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

CONCLUSION GENERALE

Il y a quelques années encore, on avait tendance à assimiler la gestion du risque à la

prévention des préjudices via la souscription de polices d'assurance ou la couverture des


risques financiers par le recours aux produits dérivés. Dans la plupart des secteurs d'activité,
la gestion du risque ne jouait ainsi qu'un rôle périphérique. Aujourd'hui, au contraire, il n'est
pas exagéré d'affirmer que l'évaluation du risque occupe une place centrale dans toutes les
formes de prise de décisions de management. La maîtrise des risques est considérée comme
essentielle à la stabilité et à la continuité des activités de l'entreprise et les dirigeants seraient
incapables de travailler sans connaître l'étendue des risques qu'ils font courir à leur entreprise.

En effet, indépendamment des risques, des événements et des secteurs spécifiques, la gestion
du risque paraît aujourd'hui peser son poids dans toutes les fonctions et tous les processus de
l’organisation. En témoignent en particulier la création de plus en plus fréquente, de poste de
gestionnaire des risques, notamment dans les grandes entreprises, et l’émergence de débats et
de recommandations quant au positionnement de ce gestionnaire aux échelons les plus élevés
de l’organisation.

Cette évolution de la pensée et des pratiques managériales fût le fruit de l’évolution des règles
et des bonnes pratiques en matière de gouvernance des entreprises dans un sens plus large. En
effet, suite aux scandales financiers qui ont ébranlé le monde des affaires, depuis le début de
ce millénaire, en portant un grave coup à la confiance des investisseurs et des parties
prenantes, plusieurs pays se sont mobilisés afin de mettre en place des législations plus ou
moins contraignantes, amenant les dirigeants à une meilleure gouvernance de leurs entreprises
notamment à travers une gestion organisée et formalisée de leurs risques.

Cette réactivité a été d’abord observée aux Etats-Unis et par la suite dans les autres sphères
financières.

133
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

La Tunisie, qui depuis quelques années, a fait le choix d’ouvrir ses frontières et de s’inscrire
dans une optique de globalisation de son économie, ne peut rester en marge de cette évolution.
C’est ainsi que des textes de lois ont été promulgués prônant la prise en compte et
l’intégration des règles de bonne gouvernance dans la gestion quotidienne des entreprises
tunisiennes.

Parallèlement, nous avons constaté que voter des lois et des réglementations est certes une
avancée en soi mais que sur le terrain, un grand travail d’intégration des concepts de
« Gouvernement d’Entreprise », d’ « ERM » ou encore de « Cartographie des Risques » dans
la gestion courante des entreprises tunisiennes reste à faire.

C’est dans ce cadre que s’inscrit la volonté qui nous a animée de faire partager notre
expérience et d’apporter une contribution, aussi minime soit-elle, aux entreprises souhaitant
s’élever aux standards internationaux en matière de gouvernance via notamment la mise en
place d’un PMR tel que définit par le COSO II. L’objectif recherché étant de mettre à
disposition des entreprises une méthodologie et une boîte à outils permettant le démarrage et
la conduite d’un projet de mise en place d’un PMR dans les meilleures conditions de réussite
possibles.

Le choix que nous avons fait d’approcher ce sujet à travers un domaine aussi particulier que
celui de la téléphonie mobile n’est nullement fortuit. Avec seulement deux concurrents sur le
marché (et bientôt trois) il s’agit d’un des secteurs les plus concurrentiels, après des années de
monopoles, et les plus prometteur en terme de rentabilité et de bénéfices dégagés. C’est
également une activité potentiellement très risquée. Chez un opérateur de téléphonie mobile,
une mauvaise gestion des risques peut s’avérer désastreuse pour l’entreprise et pire encore
pour toute l’économie (il n’y a qu’à revoir le poids de cette industrie dans le PIB national).

La méthodologie de mise en place d’un PMR que nous avons présentée tout au long de ce
mémoire ainsi que les facteurs clés de succès et les écueils à éviter qui ont été identifiés suite
à l’exercice mené chez un opérateur de téléphonie mobile, pourraient être repris, moyennant
adaptation, par les entreprises désireuses de se lancer dans cette expérience.

134
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Cependant, nous sommes conscients que compte tenu de la structure même du tissu
économique tunisien caractérisé par la prédominance des petites et moyennes entreprises à
caractère plutôt familial, il est utopique de croire que l’intégration d’une approche structurée
et formalisée des risques dans la gestion quotidienne des entreprises sera facile à entreprendre
ou constituera une priorité pour son management.

Des pressions exercées par le législateur et les corporations professionnelles, avec au premier
plan l’Ordre des Experts Comptables, devront être régulièrement menées. En effet, la
profession comptable, de par son positionnement et sa connaissance du milieu des affaires
peut, et doit, aider le législateur à promouvoir la mise en place des règles de bonne
gouvernance et contribuer à leur diffusion à l’ensemble des entreprises du pays (sans se
limiter aux seules entreprises cotées).

Du côté de l’entreprise, l’expert comptable, en sa qualité de conseiller privilégié, peut


apporter mains forte aux entreprises ayant décidé de mettre à niveau leurs processus de
gouvernement d’entreprise et notamment une gestion organisée et formalisée de leurs risques
et jouer un rôle de stimulateur pour les plus rétissantes d’entres elles.

135
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

ANNEXES

Annexe 1 : Les 10 règles d’or pour un entretien d’identification des risques


opérationnels

1. Introduction : présenter les objectifs et situer l’entretien dans le projet


2. Gérer l’aspect confidentialité
3. Bien comprendre chaque risque
- Sur ce sujet, qu’est ce qui peut arriver ?
- Suivre le questionnement systématique
4. Rester focalisé sur les risques (et non sur les problèmes)
5. Ecouter, limiter les questions fermées
- Challenger avec doigté
- Considérer « ce qui peut ne pas aller » et apporter raisonnablement la contradiction,
- Faire preuve de scepticisme, ne pas reconnaître les conventions généralement
acceptées, n’accepter que ce qui repose sur une argumentation raisonnable
6. Utiliser les informations de votre préparation pour aborder des points sensibles
7. Préparation : pressentir des zones de risques, se noter des points à aborder, intérêt du
questionnaire préalable
8. Gérer le temps
9. Prendre des notes (si possible faire un compte rendu)
10. Rappeler en conclusion les prochaines étapes pour le participant (réunion de
hiérarchisation…)

136
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Annexe 2 : Exemple de questionnaire d’analyse du risque ayant été développé chez un


opérateur de téléphonie mobile lors de la mise en place initiale d’un PMR

QUESTIONNAIRE CONCERNANT LA GESTION DES RISQUES

Direction : ……………………………………………………………………………………...

Département : ……………….…………………………………………………………………

Nom et prénom de l’interviewé :…………………………...…………………………………

Fonction : ………………………………………………………………………………………

Date : …………………………………………………………………………………………...

Introduction

Ce questionnaire est basé sur les meilleures pratiques pour l’analyse des processus de
management des risques et sera le modèle à appliquer au sein de XYZ pour l’établissement de
la cartographie des risques.
Vous êtes priés de bien vouloir répondre à ce questionnaire afin de mieux analyser le
processus de management des risques liés à votre activité.

Il est évident que toutes les informations recueillies seront traitées dans le cadre de la
confidentialité absolue.

137
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

1. Stratégie

a) Une stratégie générale de gestion des risques opérationnels est-elle définie et formalisée?
La connaissez-vous ?

b) Comment êtes-vous informé(e) de la stratégie globale de la société et des événements


importants pouvant l’impacter ?

2. Identification et évaluation des risques liés à l’activité (événements pouvant impacter


les objectifs de l’entreprise ou de l’activité)

a) Quels sont les objectifs clés de votre activité?

b) Quels sont les soucis majeurs de votre Direction/Département pouvant résulter :

• De la complexité ou du volume des opérations,


• De la communication des informations entre départements,
• Du niveau de liquidité,
• De la réglementation,
• De facteurs pouvant affecter la réputation de l’entreprise,
• Autres (à préciser).

138
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

c) Quels sont les risques les plus significatifs se rapportant à vos objectifs ?

1/
2/
3/
4/…

Déterminez votre perception de l’impact (Très élevé/Elevé/Moyen/Faible) et de la probabilité


de survenance (Très probable/Probable/Possible/Peu probable) de ces risques*.

Impact Probabilité
Très élevé

Probable
probable

probable
Possible
Moyen

Faible
Elevé

Evaluation

Très

Peu
Risques
(poids)

1/

2/

3/

4/….

* : Mettre une croix dans la case correspondante (voir la fin du questionnaire pour plus de détails)

3. Traitement des risques :

a) Comment ces risques sont-t-ils actuellement traités ? Qu’en est-il de l’efficacité de ces
approches ?

139
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Risques Traitement correspondant Degré d’efficacité


1/

2/

3/

4/….

b) Comment aborderiez-vous ces risques ?

Risques Traitement souhaité


1/

2/

3/

4/….

c) Quel est le degré de risque acceptable pour votre activité ? Est-ce qu’un seuil de tolérance
vous a été communiqué par la direction générale ?

d) Fournir des exemples de risques récemment survenus :

- Encourus par votre direction/département

- ou évités (comment) ?

140
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

e) Comment êtes-vous informés des risques potentiels touchant le secteur des


télécommunications en général et celui de la téléphonie mobile en particulier ? Comment
est-ce que cette information est capitalisée et transmise à votre équipe ou à toute personne
intéressée ?

4. Continuité des activités *

a) Est-ce qu’un plan de continuité d’exploitation a été défini pour votre unité et pour
l’entreprise ? Si oui quel est ce plan et par qui il a été élaboré ?

b) Est-ce que vous juger la notion de continuité d’exploitation opportune ?

c) Est-ce que vous avez entrepris des travaux de quelque nature que ce soit pour la mise en
place d’un tel plan ? Si oui lesquels ?

* Si la réponse à la question a) est négative, répondre aux questions b) et c) uniquement.

5. Activité de votre unité

a) Comment trouvez-vous le moral du personnel de votre Direction/Département ? A quoi


attribuez-vous cela ?

141
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

b) Avez-vous accès aux informations appropriées dans l’exercice de votre travail ? Si non
pourquoi ?

c) Quels indicateurs utilisez-vous pour évaluer la performance de vos subordonnés ?

d) Que se passe-t-il si les objectifs ne sont pas atteints ?

e) Quels aspects de votre travail désiriez-vous modifier si vous en aviez la possibilité ?

f) Avez-vous d’autres commentaires ou propositions à ajouter ?

Evaluation de l’impact et de la probabilité d’occurrence des risques

Pour évaluer l’impact et la probabilité d’occurrence de chaque risque, une échelle de 1 à 4


peut être utilisée:

142
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

Impact
Indicateur : Impact sur
Evaluation Description Score Résultat Atteinte à l’image Part de Respect de la
net* ** marché réglementation
Faible Faible impact 1 < 100 K Niveau < 1% Pénalités
sur la réalisation bronze réduites
des objectifs
Moyen Impact moyen 2 Entre Niveau Entre Pénalités
sur la réalisation 100 et argent 1% et moyennes
des objectifs 500 K 3%
Elevé Impact élevé sur 3 Entre Niveaux or Entre Pénalités
la réalisation des 500 et et diamant 3% et élevées
objectifs 1M 5%
Très élevé Impact très élevé 4 >1M Toute la > 5% Retrait de
sur la réalisation base et à licence
des objectifs l’échelle du
pays
* : Impact exprimé en monnaie de comptabilisation.
** : Chaque niveau correspond à une catégorie de la base client.

Probabilité
Evaluation Description Score Indicateur
Peu probable Peu probable mais pas impossible 1 < 10% de chance
Possible Possible de se produire 2 > 10% de chance
Probable Plus probable de se réaliser qu’improbable 3 > 50% de chance
Très probable Très probable de se réaliser 4 > 90% de chance

Merci pour votre collaboration.

143
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

BIBLIOGRAPHIE

OUVRAGES GENERAUX ET PROFESSIONNELS

• BARTHELEMY Bernard, « Gestion des risques, Méthode d’optimisation globale »,


Editions d’Organisation, 2ème édition 2004.

• CROUHY Michel, GALAI Dan et MARK Robert, «The Essentials of Risk Management»,
Edition The McGraw-Hill Companies,Inc. USA, 2006.

• Committee of Sponsoring Organizations of the Treadway Commission «La nouvelle


pratique du controle interne – COSO I REPORT», traduction française par l’IFACI, 1994

• Committee of Sponsoring Organizations of the Treadway Commission « Le


Management des risques de l’entreprise: Cadre de Référence-Techniques d’application-
COSO II Report», traduction française par l’IFACI, Editions d’Organisation, 2005.

• IFACI « Etude du Processus de Management et de Cartographie des Risques :


Conception, Mise en place et Evaluation », Edition IFACI-PARIS- Décembre 2003.

• IDATE Foundation « « DigiWorld Year Book 2008 : Les enjeux du Monde


Numérique », Edition IDATE, 2009.

• JEYNES Jacqueline, « Risk Management: 10 Principles », Edition Butterworth-


Heinemann, 1ere édition 2002.

ARTICLES DE PRESSE , RAPPORTS ET COMMUNICATIONS

• A.M : « 33éme GSM Arab World : Développement et Coopération… », Tunisie Affaires :


Le portail des Hommes d’Affaires du 18 Juin 2008.

• Agence Nationale d’Accréditation et d’Evaluation en Santé (ANAES) : « Principes


Méthodologiques pour la Gestion des Risques en Etablissement de Santé ». Janvier 2003.
Page 13.

144
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• AMRAE : « Risk Manager et Responsable de Sécurité du Système d’Information : Deux


métiers s’unissent pour la gestion des risques liés au système d’information ». Groupe de
travail collaboratif. CLUSIF, juin 2006, page 22.

• BODINE Stephen w., PUGLIESE Anthony and WALKERA Paul l., «A road Map to
Risk Management», AICPA, Décembre 2001.

• BUTTERWORTH Marc : « Le nouveau rôle du gestionnaire de risques », Dossier L’art


de la Gestion des Risques supplément LesEchos du 29 Novembre 2000.

• CHAMBAULT Marc, Directeur de l’Audit Interne et du Contrôle des Risques de France


Télécom : « La Mise en Place de la Fonction Risk Management dans une Grande
Entreprise Comme France Télécom: Les Etapes». Table ronde organisée par le CREFIGE,
2003.

• CHAMBAULT Mark Directeur de l’Audit Interne et du Contrôle des Risques chez France
Télécom : « Enterprise Risk Management : Practical Implementation Advice »,
KnowledLeader, Juillet 2005.

• CHESNEAU Dominique : « Vers une nouvelle approche des risques ».. Série Série l’Art
du Risque, LesEchos 13 Décembre 2000.

• David GRIFFITHS : « Risk Based Internal Auditing », Mars 2006.

• DE LA ROSA Sean: « Moving Forward with ERM », Internal Auditor, Juin 2007.

• Ernst&Young : « Investors on Risk: The Need for Transparency », 2006.

• Ernst&Young : « Risk Management in Emerging Markets », 2007.

• ESPERSEN Donald: « The Language of Risk », Internal Auditor, Juin 2007.

• FATEH Mohamed : « Les télécoms en Tunisie : grands chambardements pour (ne pas)
nager à sec », webmanaercenter, 19 novembre 2008.

• FAURE Pascal, Ingénieur général des télécommunications, Vice-président du conseil


général des technologies de l'informations : « Rapport du groupe de travail sur les
perspectives du secteur des télécommunications en France et en Europe », Juillet 2007.

• FERMA : « Cadre de référence de la Gestion des Risques », 2003.

• FERMA : « Risk Management Practices in 2006: Are You Ready for Change », 2006.

• FRANCE TELECOM « Document de référence 2005 » déposé auprès de l’Autorité des


Marchés Financiers le 10 mars 2006.

145
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• GAUTHIER Yves directeur général de Tunisiana, interview parue en date du 19 Janvier


2009 dans la revue « Eaaabeh El Ousboui ».

• GLEY El Hadj ministre des Technologies de la Communication : « Tunisie - Secteur des


TIC : Des faits et des chiffres! ». Interview publiée par webmanagercenter le 25 Mars
2009.

• GOMES-CASSERES Benjamin : « Risques et alliances : s'assurer une place sur le


podium ». Série l’Art du Risque, LesEchos. 11 Octobre 2000.

• GRAMLING Audrey A.: « Internal Auditing’s Role in ERM », Internal Auditor, Avril
2006.

• Groupe Jeune Afrique : « Classement des 50 plus grandes entreprises tunisiennes », hors
série annuel, 31/12/2008.

• HAMILL Mark: « The Practical Challenges of Entreprise Risk Management », Protiviti,


Décembre 2007.

• HOCQUET Alain: «Le Rôle du Risk Management à France Telecom: Imaginer l’avenir»,
Audit n°182 Décembre 2006.

• HUNT Ben : « L'irrésistible ascension de la gestion du risque ». Série l’Art du Risque,


LesEchos 13 Décembre 2000.

• IFAC : « Enhancing Shareholder Wealth by Better Managing Business Risk », Juin 1999.

• IFACI : « Etude du Processus de Management et de Cartographie des Risques »,


Décembre 2003.

• IFACI : « Cartographie des Risques », Juillet 2006.

• Institut Canadien des Comptables Agréés : « Mieux connaître le risque : choix, liens et
compétences ».

• Institut des Risques Majeurs : « Qu'est-ce qu'un risque majeur », 2005.

• Institut d’Etude et de Recherche pour la Sécurité des Entreprise : « Analyse et Gestion


des Risques dans les Grandes Entreprises », 2007.

• Institut de la Gestion Publique et du Développement Economique : « Regards croisés sur


l’entreprise : L’entreprise face aux risques », Juin 2006.

• KnowledLeader : « France Telecom: Audit Compentencies and Communication are


Key », Février 2006.

146
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• KnowledLeader : « Group Risk and Audit at Telecom Limited », Novembre 2006.

• LAJTHA Chris « Regards croisés sur l’entreprise : L’entreprise face aux risques ». Table
ronde organisée par le Ministère Français de l’Economie des Finances et de l’Industrie, 12
juin 2006.

• Maricela Pelegrin-Bomel : « La sécurité chez Bouygues Télécom : Une expertise


technique et une dynamique de communication permettant une protection efficace contre
les menaces et les risques ».

• MURRAY Wolf et Cathy.MCISSAAC « Gestion des Risques : Menaces ou


Opportunités », CaMagazine.

• PESQUEUX Y. : « Le concept de risque au magasin des curiosités », Communication au


Congrès de l’Association Française de Comptabilité, Mai 2003.

• PRADAL Pierrre, Directeur Audit Interne chez Orange : « Understanding the Role of
Internal Audit in Corporate Governance », février 2007.

• PRADIER Pierre-charles: « La notion de risque dans les entreprises aujourd’hui »,


Problèmes Economiques, numéro spécial du 27 Février 2008.

• PriceWaterhouseCoopers : « Business Risk Model: Short Definition of Business Risks »,


2002.

• PriceWaterhouseCoopers: « 7th Annual Global CEO Survey », 2004.

• PriceWaterhouseCoopers : « Enterprise Risk Management Methodology: Guidance »,


2004.

• Protiviti : « Baromètre du risk management 2004», 2004.

• Protiviti : « Baromètre du risk management 2005», 2005.

• Protiviti : « Guide to Entreprise Risk Management : Frequently Asked Questions »,


Janvier 2006.

• Protiviti : « Enterprise Risk Management: Practical Implementation Advice », Février


2006.

• Protiviti : « Using Risk Management Frameworks ».

• ROSE Jack, KPMG : « Enterprise Risk Management: An Emerging Model of Building


Shareholder Value», 18 Avril 2001.

147
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• SALAZARD Camilio « La Gestion des Risques Opérationnels et la Planification de la


poursuite des Activités », Gestion du risque, Septembre 2007.

• SOBEL Paul J.: « ERM Under Construction », Internal Auditor, Avril 2006.

• STOPNICKI Pascal, Directeur général Effisoft : « L’évolution du Risk Management : de


la Gestion des Assurances à celle des Risques», Le Journal du Net, 7 Novembre 2007.

• T.B : « Tunisiana : un chiffre d’affaires en augmentation de 18% en 2007 », sur


webmanagercenter, 14 Mars 2008.

• The Association of Insurance and Risk Managers : « A Risk Management Standard »,


2002.

• The IIA : « Managing Risk from the Mailroom to the Boardroom », Tone at The Top, Vol
n° 18, Juin 2003.

• The IIA : « The Role of Internal Auditing in Enterprise-wide Risk Management », 29


Septembre 2004.

• The IIA position paper: « The Role of Internal Audit in Enterprise-wide Risk
Management », 29 Septembre 2004.

• The IIA Research Foundation : « Research Opportunities in Internal Auditing », 2003.

• VAN SANTEN Thierry : « La gestion des risques, processus transversal de création de la


valeur », Table Ronde organisée par le CREFIGE, Université Paris Dauphine, Avril, 2003

• WEINBERG Marc: « Taking a Balanced Approach to Risk Management »,


KnowledLeader, Avril 2008.

THESES ET MEMOIRES

• AMMAR Zied, « Pour un Audit Interne au Service de la Gouvernance d’Entreprise ».


Diplôme d’Expertise Comptable, 2006.

• BALMA Esma, « Gouvernance d’entreprise et commissariat aux comptes : Enjeux pour


les sociétés tunisiennes ». Diplôme d’Expertise Comptable, Mars 2005.

• BRASSAC Anne, DARRIEULAT Maya, HADJISTRATIS Emmanuel et ROUSSE


David, « Travaux d'Etudes et de Recherches : Les réseaux sans fil », Université Paul
Sabatier, Toulouse, 2002.

148
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• DELANOE Alexandre et les étudiants en Mastère spécialisé de l'Institut du


Management des Risques, « La Responsabilité Selon le Risk Management », Mai 2006.

• HANSSENS Didier, « Développement de la Fonction de Risk Manager dans


l’entreprise », Mémoire en vue de l’obtention du grade de Licencié en Science de Gestion,
Facultés Universitaires de La Paix, année universitaire 2002-2003.

• LOREILLE BIANCOROSSO Valérie, « Procédures et Outils de Contrôle de Gestion


dans les Groupe Internationaux : Secteur de la Téléphonie Mobile », Diplôme d’Expertise
Comptable, Mai 2003.

• LANE KIMBROUGH Robert, « The Relationship between Perceptions of Organizational


Culture and Implementation of Enterprise Risk Management », Thèse en vue de
l’obtention du grade de Doctor of Philosophy, University of Alabama, 2006.

• MARRAKCHI Mariem, « Gestion des Risques, Nouveaux Enjeux et Importance pour les
Petites et Moyennes Entreprises : Contribution de l’Expert Comptable », Diplôme
d’Expertise Comptable, Juin 2005.

PUBLICATION DES ORGANISMES PROFESSIONNELS

• Rapports d’activité de l’INT, publiés par l’INT en 2004, 2005, 2006 et 2007.

• Les Normes d’Audit Interne publiées par l’IIA (traduction française de l’IFACI).

• MPA 2110-1: « Evaluer le Processus de Management des Risques », publiée par l’IIA
(traduction française de l’IFACI, octobre 2002).

• MPA 2100-3: « Rôle de l’Audit Interne en Présence d’une Fonction de Management des
Risques », publiée par l’IIA (traduction française de l’IFACI, mars 2001).

• MPA 2100-4: « Rôle de l’Audit Interne en l’Absence d’une Fonction de Management des
Risques », publiée par l’IIA (traduction française de l’IFACI, mars 2001).

• Normes internationales d’audit publiées par l’IFAC :

 ISA 260 : Communication des questions soulevées à l’occasion de l’audit aux


personnes constituant le gouvernement d’entreprise (Version du 29 juin 2006) ;

 ISA 315 : Connaissance de l’entité et de son environnement et évaluation du


risque d’anomalies significatives (Version du 29 juin 2006) ;

 ISA 330 : Procédures à mettre en œuvre par l’auditeur en fonction de son


évaluation des risques (Version du 29 juin 2006) ;

149
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• The CADBURY Report : The Financial Aspects of Corporate Governance, HMSO,


London, 1992

• Rapport Daniel BOUTON : « Pour un meilleur gouvernement des entreprises cotées »,


Septembre 2002, Rapport du groupe de travail présidé par Daniel Bouton.

• Le Xéme Plan de développement 2002-2006, de la République Tunisienne.

• Rapport VIENOT I : « Comité sur le gouvernement d’entreprise », juillet 1995.

• Rapport VIENOT II : « Comité sur le gouvernement d’entreprise », juillet 1999.

• OCDE : Principes de gouvernement d’entreprise de l’OCDE, 2004

TEXTES DE LOI

En Tunisie :

• Loi n°2005-96 du 18 octobre 2005 relative au renforcement de la sécurité des relations


financières en Tunisie.

• Loi n° 1-2001 du 15 janvier 2001 portant promulgation du code des télécommunications.

• Décret n°2001-801 du 10 avril 2001, fixant les conditions et les procédures d'attribution
d'une concession pour l'installation et l'exploitation d'un deuxième réseau public de
téléphonie numérique mobile.

• Loi n° 2000-93 du 3 novembre 2000, portant promulgation du code des sociétés


commerciales.

A l’étranger :

• Loi Sarbanes- Oxley Act du 30 Juillet 2002 aux Etats Unis.

• Loi n°2003-706 du 1er Août 2003 dite loi de sécurité financière en France (LSF).

• Loi 2001-420 du 15 mai 2001 relative aux Nouvelles Régulations Economiques (NRE).

• Jugement rendu par le tribunal de grande instance de Nanterre (Hauts-de-Seine), en


date du 18 septembre 2008

150
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

ATELIERS DE TRAVAIL ET FORMATIONS

• ATAI : « L’Audit Interne et le Rik Management », 25 et 26 décembre 2007.

• BEAS Stéphane: « Etablir la cartographie des risques », IFACI du 27 au 29 Juin 2007.

• E&Y : « Continuité d’activité - Le risque oublié », 26 avril 2007.

• E&Y : « Audit Interne et Risk Management », 4 et 5 juillet 2007.

• PRADAL Pierre consultant chez Govern membre du réseau NestorAdvisors : « Gestion


des Risques – Assurer la Continuité d’Exploitation », 18 juin 2008.

• Rencontre AMRAE : « Cartographie des Risques: Convaincre et faire participer sa


Direction Générale à cet exercice de management », Nice 15 Janvier 2004.

• Siemens « GSM, GPRS, Réseau Mobile, Wimax, EDGE, UMTS », Janvier 2008.

• « Workshop: Implementing ERM at Fast Growing Compagnies – 3 Italia Group», 2éme


forum annuel d’audit interne dans le secteur des télécom, Bruxelles le 13 février 2007.

SITES INTERNET

• PriceWaterhouseCoopers : www.pwc.com

• KPMG : www.kpmg.com

• Ernst&Young : www.ey.com

• Deloitte&Tuche : www.deloitte.com

• Le site de www.protiviti.com

• Le site de www.knowledgeleader.com

• Site dédié au partage des connaissances des auditeurs : www.audinet.org

• Site d’Audit Interne : www.internalaudit.biz

• Committee of Sponsoring Organisations of the Treadway Commission: www.coso.org

• International Federation of Accountants : www.ifac.org

151
Le processus de Risk Management : Présentation et mise en œuvre chez un opérateur de téléphonie mobile
Juin 2009

• The Institute of Internal Auditor: www.theiia.org

• L’Institut Français de l'Audit et du Contrôle Interne: www.ifaci.com

• Association pour le Management des Risques et des Assurances de l’Entreprise :


www.amrae.fr

• Federation of European Risk Management Associations : www.ferma.eu

• The Association of Insurance and Risk Managers: www.airmic.com

• The Institute of Risk Management : www.theirm.org

• Fondation IDate, Centre d’échange et d’analyse en Europe spécialiste dans les industries
et marchés des télécommunications, de l’Internet et des médias audiovisuels :
www.idate.org

• Site Officiel de l’Instance Nationale des Télécommunications : www.intt.tn

• Site Officiel du Ministère des Technologies de la Communication : www.infocom.tn

• Site de l’Union Internationale des Télécommunications : www.itu.int

• Association Nationale pour la sécurité Sanitaire dans les technologies sana fil :
www.robindestoits.org

• Site de l’Organisation Mondiale de la Santé : www.who.int.fr

• Site de l’opérateur Orange : www.orange.com/fr

• Site de l’opérateur France Télécom : www.francetelecom.fr

• Site de l’Arcep : www.arcep.fr

• Site du camagazine : www.camagazine.com

• Site d’informations tunisien : www.webmanagercenter.com

• Site économique français : www.lesechos.fr

152

Vous aimerez peut-être aussi