Déménagement de l'Agora

L'Agora du Risque est en cours de déménagement (changement de moteur : je quitte Blogger affilié à Google pour un moteur "libre" WordPress et un nouvel hébergeur (Olympe Network); deux raisons à ce changement :

• Avoir une administration plus simple et offrir plus de fonctionnalités (ce que n'offrait pas Blogger)
• Une question de principe (promouvoir une politique d'édition et de gestion de l'information).
  

La nouvelle plate-forme existe déjà ; tous les articles seront transférés d'ici la fin de la semaine.
Pour les abonnés à la newsletter/lettre d'information, je ferai le transfert et vous recevrez un email pour confirmer votre inscription à la newsletter.

Un transfert sera également programmé entre l'ancienne adresse (www.riskagora.com) vers la nouvelle adresse :

http://www.riskagora.net

Je reste à votre disposition pour toute information complémentaire en espérant que cette manipulation ne créera pas trop de désagrément dans votre lecture de l'Agora.

La Société Générale sanctionnée !

Souvent le soir, après une dure journée de labeur, pendant mon trajet retour, j'écoute les quelques événements de la journée... Quelle ne fut ma surprise d'entendre parler de contrôle interne en plein milieu des flashs autour de la libération d'Ingrid Betancourt ; France Info parle de contrôle interne ; Le Monde également. Le thème du contrôle interne prend une toute autre dimension.

En l'occurrence, il s'agissait de l'affaire de la Société Générale ; voilà ce que ce soir le Monde écrivait :

Affaire Kerviel : 4 millions d'euros d'amende pour la Société générale
La Commission bancaire a infligé, vendredi 4 juillet, à la Société générale un blâme et une amende record de 4 millions d'euros pour des "carences graves du sytème de contrôle interne" dans le cadre de l'affaire Kerviel, qui a coûté 4,9 milliards d'euros à la banque.

"Les défaillance relevées, en particulier les carences des contrôles hiérarchiques, se sont poursuivies pendant une longue période, à savoir l'année 2007, sans que le système de contrôle interne ait permis de les déceler et de les corriger", estime la Commission bancaire, autorité de contrôle du secteur bancaire, qui a entendu le 20 juin les représentants de la Société générale [...].

Le Monde

Au final, parmi les charges subséquentes à la fraude à la Société Générale (ou peut-être du débouclage précipité des positions en janvier), nous pouvons relever :

• Une amende ;
• La non déductibilité des dépenses causées par la fraude du fait de la défaillance du contrôle interne (sur la base des jurisprudences du Conseil d'Etat),
• La non prise en compte de la perte dans les bases de la participation des salariés, d'où un risque de sommes plus élevées à verser aux salariés.
• Le risque de réputation en raison de la forte médiatisation.
  

Si l'on peut comprendre d'un point de vue déontologique la sanction de la Société Générale, il est moins évident de le faire sur un plan conséquentialiste (relire article sur la distinction entre ces deux options) ; cela ne revient-il pas d'ailleurs à condamner deux fois pour la même faute ?


Suite

Fraude à la Société Générale : l'affaire JK et ses enseignements

Le blog Contrôle Interne Thèses Synthèses fait part de la publication fin mai de trois différents rapports sur l'affaire Jérôme Kerviell (JK) de la Société Générale :

• Rapport du conseil d'administration à l'assemblée générale (rapport 1)
• Synthèse du diagnostic de PwC et analyse du plan d'action (rapport 2)
• Rapport de synthèse de la mission Green de l'Inspection Générale de la Société Générale (rapport 3)

Ces rapports sont disponibles en téléchargement ici

J'ai relevé quelques points pour alimenter des réflexions sur le contrôle interne, non spécifiques au secteur bancaire :

• Une hiérarchie de JK manquant de "séniorité" ; les niveaux hiérarchiques les plus proches de JK manquaient d'expérience, de formation et d'accompagnement. A partir de ce point, il faut garder à l'esprit qu'un recrutement ou une mutation interne ne s'arrêtent pas à la notification de la décision ; certaines fonctions peuvent nécessiter un fort accompagnement et ce d'autant plus que l'environnement d'accueil est faiblement structuré, que les fiches de poste ne sont pas formalisées... (rapport 1 p 4)


• Les fonctions de contrôle :

  "fragmentation des contrôles entre plusieurs unités, avec une répartition des tâches insuffisamment précises, absence de centralisation des alertes et de remontée au bon niveau hiérarchique"(rapport 1 p 4)

  le rapport 2 précise :

  La fragmentation des contrôles entre plusieurs unités de la même fonction ou, parfois, le partage du contrôle entre différentes fonctions, ainsi que des procédures insuffisamment explicites, n'ont pas permis d'obtenir une vision d'ensemble et une compréhension appropriée des exceptions relevées. L'absence de centralisation systématique des alertes et de remontée aux niveaux hiérarchiques adéquats n'a fait qu'accentuer ce manque de transversalité (rapport 2 p 6)

  Ces deux paragraphes souligne les limites d'une posture "philosophique" héritée de Descartes et bien ancrée dans notre culture managériale : j'y reviendrai dans un prochain article.



• Fonction de contrôle : réactivité insuffisante pour mettre en oeuvre des actions correctrices identifiées comme nécessaires par les corps d'audit internes (rapport 1 p 4)

• Dans un contexte de forte croissance des volumes du pôle "Actions", les moyens alloués aux fonctions de support et de contrôle se sont retrouvés en décalage par rapport aux activités du front office. Ce phénomène s'est accompagné d'une fragilisation des équipes de back et de middle office du fait d'un manque de séniorité (rapport 2 p 6)

• L'environnement général n'a pas favorisé l'émergence de fonctions de support fortes, en mesure d'assumer toutes leurs responsabilités en matière de sécurisation des opérations et de maîtrise du risque opérationnel. Ainsi, il s'est crée un déséquilibre entre le front office, concentré sur le développement de ses activités, et les fonctions en charge des contrôles, celles-ci n'ayant pas été en mesure de développer un véritable regard critique inhérent à leur rôle. (rapport 2 p 7)

Les différents rapports énumèrent les actions correctives mises en place ; celles-ci se traduisent souvent par des mesures de contrôle et des développements SI supplémentaires ? Même si, dans ses mesures, la Société Générale travaille également sur l'esprit du contrôle par des campagnes de formation, cette logique du "toujours plus de contrôle" ne trouve-t-elle pas ses limites dans la loi de Pareto (20% des contrôles garantissent 80% de la couverture ; tous les autres contrôles sont très coûteux pour une valeur ajoutée très limitée). Une autre question/formulation peut se poser : peut-on se prémunir complètement des défaillances humaines ? Quel est le juste équilibre ?

Les systèmes d'information insuffisamment pris en compte

La société Mazars vient de publier une enquête "Audit des risques liés aux systèmes d’information : quelles pratiques au sein des entreprises françaises ?" qui souligne la prise en compte insuffisante des systèmes d'information dans la démarche de gestion des risques des entreprises françaises.
Pour plus d'informations sur cette étude, vous pouvez vous rendre sur le site web de Mazars ICI et consulter le communiqué de presse ; pour ma part, j'attends l'étude complète et ne peux vous en dire beaucoup plus à l'heure actuelle. Cependant, elle fait echo à des expériences et constats personnels : certains sujets particulièrement techniques et complexes (nombreuses transactions avec des petits montants impliquant de multiples acteurs) représentent des montagnes auxquelles beaucoup n'osent pas s'attaquer car cela nécessite du temps, de la patience et de la rigueur ; malheureusement, ces sujets complexes sont souvent porteurs de risques et faiblesses de l'organisation.

Mind the Gap

Quels enseignements tirer en matière de gestion des risques du fameux "Mind the gap" du métro londonien ?

Mind the gap est une expression anglaise utilisée dans le métro de Londres. Cette phrase, utilisée pour la première fois en 1969, est devenu un symbole du métro de la capitale britannique. Elle peut se traduire par « Attention à l'espace » et fait référence à l'espace, parfois relativement grand, qui existe entre le métro et le bord du quai dans certaines stations courbes du métro. Les voitures du métro étant droites, l'espace entre le quai et les bords du train peut varier et devenir parfois important. Dans certaines stations, l'expression MIND THE GAP est peinte sur le sol en lettres capitales jaunes pour prévenir les voyageurs. Une voix enregistrée répète également ce message lorsque le train arrive. Lorsque le train est sur le point de repartir, le message est alors Stand clear of the doors, please (« Éloignez vous des portes, s'il vous plaît »).

L'expression Mind the gap a été créée pour être prononcée automatiquement car il était devenu très peu pratique pour les conducteurs de métro et les agents de station de prévenir régulièrement les passagers du danger du fossé entre le quai et le métro.[...].

Source :Wikipedia

La BBC rapporte même une légende urbaine qui a circulé (ou circule) autour du Mind the gap

Once you are on a train platform, beware! Approaching trains sometimes disturb the large Gappe bats that roost in the tunnels. The Gappes were smuggled into London in the early 19th Century by French saboteurs and have proved impossible to exterminate. The announcement 'Mind the Gappe!' is a signal that you should grab your hair and look towards the ceiling. Very few people have ever been killed by Gappes, though, and they are considered only a minor drawback to an otherwise excellent means of transportation.

Source :BBC

Note de traduction : to smuggle (passer en fraude), bat (chauve-souris), Gappe bat (une sorte de chauve-souris, je n'ai pas trouvé encore le sens exact)

Le cas du Mind the gap du métro londonien souligne au combien il est difficile d'attirer l'attention des gens sur les risques, en particulier lorsqu'elles s'inscrivent dans une routine quotidienne (en l'occurence, prendre chaque jour le métro).

En entreprise, le public n'est pas forcément le même (des employés aux cadres dirigeants), néanmoins, les risques sont bien plus nombreux et souvent moins visibles (qu'un métro arrivant en gare et nous incitant à reculer). Comment alors sensibiliser aux risques ? Faut-il en choisir une liste très limitative (moins de dix) et mener de larges campagnes de communication ?

Pour finir sur une note humoristique, il est intéressant de noter que la légende urbaine rapportée par la BBC va dans le sens contraire du messager diffusé "Mind the gap" en incitant l'usager du métro à regarder en l'air...