Caractériser et évaluer les risques associés à votre activité
Asterion Partners propose de recenser et déterminer l’ensemble des risques inhérent au fonctionnement de votre organisation et à la conduite de ses missions.
Conformément aux référentiels en vigueur, cet exercice portera sur :
Les risques opérationnels liés à l’atteinte de vos objectifs de performance globale ;
Les risques de conformité liés au respect des normes réglementaires qui vous sont imposées ;
Les risques de reporting liés à la fiabilité des données financières et autres nécessaires au pilotage de votre activité.
Réduire votre exposition aux risques les plus critiques
Asterion Partners est à votre service pour réaliser des audits ciblés permettant de vérifier ou consolider le niveau de maîtrise des principaux risques pesant sur le fonctionnement de votre organisation ou la conduite de ses missions.
Une cartographie des risques dûment renseignée et régulièrement actualisée permettra d’identifier ces risques et par conséquent de vous proposer un programme d’audit proportionné à vos besoins et axé sur les réels points de vulnérabilité de votre organisation.
Selon les cas de figure, les audits ainsi mis en œuvre couvriront tout ou partie des risques potentiels de votre organisation, soit les risques stratégiques, les risques opérationnels, les risques financiers, les risques informatiques, les risques RH…
Ils pourront également être tournés vers certaines thématiques transverses présentant un intérêt particulier dans votre contexte spécifique, comme la lutte anti-fraude, la qualité du service rendu ou le management de la continuité d’activité et la résilience en situation de crise majeure.
Asterion Partners mobilisera les ressources d’expertise requises pour la conduite de ces audits.
Elle privilégiera des travaux de peu de durée, concentrés sur l’analyse des points de fragilité reconnus ou supposés et tournés vers des recommandations précises et concrètes pour porter rapidement la maîtrise des risques concernés au niveau souhaitable.
Contribuer à votre performance dans le cadre d’une démarche assurantielle de contrôle et de gestion des risques
Asterion Partners propose d’accompagner votre organisation dans l’acquisition des outils et méthodes nécessaires pour un pilotage efficient des contrôles et la mise en place d’une revue régulière des risques les plus critiques.
La démarche ainsi engagée est porteuse de progrès au moins à trois égards :
D’abord elle assure la conformité de vos procédures et pratiques avec les normes applicables, telles qu’elles résultent du cadre réglementaire en vigueur et des référentiels appropriés.
Ensuite, elle garantit que vos modalités de fonctionnement et vos processus métier sont les mieux adaptés pour délivrer des services de qualité, dans le respect des engagements pris et en optimisant l'usage des moyens disponibles.
Enfin, elle sécurise la production de données financières et d’activité nécessaires au pilotage de votre organisation et à la mise en place de partenariats externes pour la réalisation de projets communs.
Ces éléments combinés vous donneront une assurance raisonnable quant à la bonne gestion de votre organisation et à l’atteinte des objectifs stratégiques fixés par la gouvernance.
Ils contribueront également à un capital de confiance partagée fondé sur la transparence des procédures et une volonté assumée de reconnaître et corriger en continu l’ensemble des dysfonctionnements de l’organisation.
Or un tel capital est une source d’opportunités considérable pour votre développement futur et la pleine exploitation de vos atouts présents.
Appréhender l’avenir de votre organisation par le risk management
Les épisodes de crise qui ponctuent l’actualité montrent la grande volatilité de l’environnement institutionnel et économique dans lequel s’inscrit l’action des acteurs publics et privés.
Les risques qui s’y attachent couvrent l’ensemble des domaines
Leur évaluation et leur maîtrise procèdent parfois d’une obligation réglementaire. C’est en particulier le cas de l’évaluation des risques pour la santé et la sécurité des agents ou de l’évaluation des risques de fraude pour les organismes et collectivités compris dans le champ d’application de la loi Sapin 2 ; d’autres circonstances plus particulières entraînent la mise en place d’une cartographie spécifique, selon la législation applicable.
Il est également fréquent que le déploiement d’un processus d'évaluation des risques s’inscrive dans une démarche de certification externe ou plus généralement dans une politique de compliance couvrant tout ou partie des processus métier.
En toute hypothèse, les besoins de pilotage et de suivi des risques appellent la construction d’une cartographie intégrée, soit qu’elle soit réalisée d’une seule pièce, soit qu’elle soit composée de modules assemblables et répondant à la même logique d’ensemble.
Asterion Partners est en capacité de mobiliser des ressources expertes pour la conduite de cet exercice.
Selon les besoins exprimés, une équipe dédiée pourra notamment accompagner votre organisation dans la réalisation des chantiers suivant :
Evaluer les risques pour la santé et la sécurité des agents
L’article L 4121-3 du Code du travail dispose que tout employeur « compte tenu de la nature des activités de l'établissement, évalue les risques pour la santé et la sécurité des travailleurs, y compris dans le choix des procédés de fabrication, des équipements de travail, des substances ou préparations chimiques, dans l'aménagement ou le réaménagement des lieux de travail ou des installations »
L’article R 4121-1 du même Code du travail précise que les employeurs sont tenus de transcrire et actualiser les résultats obtenus lors de l'évaluation des risques pour la santé et la sécurité des travailleurs dans un Document unique d'évaluation des risques professionnels (DUERP).
La non-application de ces règles peut être sanctionnée par l’Inspection du Travail.
Evaluer les risques de fraude
La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dite « loi Sapin 2 ») fait obligation aux sociétés employant au moins cinq cents salariés et dont le chiffre d'affaires est supérieur à 100 millions d'euros de mettre en œuvre un plan anti-corruption reposant sur une cartographie des risques de fraude et plus généralement de tout acte contraire à la probité.
Cette exigence est réaffirmée dans les recommandations de l’Agence française anti-corruption (AFA) publiées au Journal officiel du 12 janvier 2021.
Sont astreints aux mêmes dispositions :
Les établissements publics à caractère industriel et commercial employant au moins cinq cents salariés et dont le chiffre d'affaires est supérieur à 100 millions d'euros ;
Les collectivités territoriales, à une échelle et selon des modalités en cohérence avec leur taille.
La non-application de ces règles est susceptible d’être sanctionnée par l’AFA.
Evaluer les risques comptables et financiers
Les acteurs privés et publics sont amenés à prendre des dispositions de plus en plus rigoureuses en matière de transparence financière et comptable, ce qui implique l’identification en continu des principaux points de fragilité et la mise en place d’un dispositif de contrôle interne approprié.
Cet exercice est imposé à l’ensemble des établissements publics soumis à une obligation de certification de leurs comptes ; il a vocation à s’étendre aux collectivités locales à mesure que sera généralisée l’expérimentation menée sur le fondement de la loi n° 2015-991 du 7 août 2015 portant nouvelle organisation territoriale de la République (loi NOTRe).
Il implique la mise en place d’une cartographie des risques comptables et financiers dans chacune des organisations concernées afin de déployer des moyens de maîtrise et contrôle adaptés à chaque situation particulière et d’orienter efficacement leur allocation.<
Evaluer les risques informatiques
La digitalisation croissante de la société et de l’économie conduit à une dépendance accrue aux outils numériques et à l’environnement technique conditionnant leur bon fonctionnement.
Toute organisation privée et publique est donc tenue d’identifier les risques correspondants et de prendre les mesures de maîtrise appropriées.
Les risques recensés peuvent toucher la qualité de la gouvernance du système d’information, le maintien d’un niveau satisfaisant de sécurité informatique, la continuité de service et l’opérationnalité des outils existants, l’interopérabilité entre les applications internes ou externes et la bonne urbanisation du système d'information, le bien-fondé et la correcte exécution des travaux de développements.
La démarche peut en outre inclure la conformité du système d’information au cadre réglementaire applicable, notamment pour ce qui concerne la protection des données à caractère personnel, la protection des enregistrements et la protection des droits de propriété intellectuelle.
Ces risques sont étroitement associés aux risques comptables et financiers dans la mesure où la capacité du système d’information à assurer la traçabilité des dépenses et recettes détermine largement la fiabilité du reporting.
De même, la maîtrise des risques informatiques est un prérequis essentiel de la continuité du fonctionnement de l’organisation en cas de crise majeure.
Faire face à une situation d’urgence
Les effets délétères de la crise sanitaire démarrée au début de l’année 2020, le nombre croissant de cyberattaques et plus généralement l’émergence de nouvelles menaces potentielles ou avérées ont mis en évidence la nécessité qu’il y a pour les organisations de prendre des mesures requises pour assurer leur fonctionnement a minima et garantir la délivrance de services essentiels en toute circonstance et notamment en cas d’événement disruptif grave et inopiné.
Ces mesures sont reprises et consolidées dans des Plans de continuité et reprise d’activité (PCRA) conçus pour atténuer l’impact de toute crise subite et aiguë, conforter la résilience des organisations, faciliter leur rebond et le cas échéant stimuler l'émergence d'opportunités nouvelles.
Or les PCRA reposent nécessairement sur une analyse des risques pesant sur les activités critiques de la structure ainsi que celles de ses partenaires principaux, de ses fournisseurs clé et de toute autre partie prenante essentielle à l’exercice de ses missions.