Le management des risques de l entreprise Cadre de Rfrence

Synthse

SYNTHESE L incertitude est une donne intrinsque la vie de toute organisation. Aussi l un des principaux dfis pour la direction rside-t-il dans la dtermination d un degr d incertitude acceptable afin d optimiser la cration de valeur, objectif considr comme le postulat de base dans le concept de management des risques. L incertitude est source de risques et d opportunits, susceptibles de crer ou de dtruire de la valeur. Le management des risques offre la possibilit d apporter une rponse efficace aux risques et aux opportunits associs aux incertitudes auxquelles l organisation fait face, renforant ainsi la capacit de cration de valeur de l organisation. La valeur de l organisation est maximise d une part lorsque la direction labore une stratgie et fixe des objectifs afin de parvenir un quilibre optimal entre les objectifs de croissance et de rendement et les risques associs, et d autre part lorsqu elle dploie les ressources adaptes permettant d atteindre ces objectifs. Le management des risques comprend les lments suivants : Aligner l apptence pour le risque avec la stratgie de l organisation L apptence pour le risque est une donne que la direction prend en considration lorsqu elle value les diffrentes options stratgiques, dtermine les objectifs associs et dveloppe le dispositif pour grer les risques correspondants. Dvelopper les modalits de traitement des risques Le dispositif de management des risques apporte une mthode permettant de choisir de faon rigoureuse parmi les diffrentes options de traitement des risques que sont : l vitement, la rduction, le partage ou l acceptation du risque. Diminuer les dconvenues et les pertes oprationnelles Les organisations amliorent leur capacit identifier et traiter les vnements potentiels, ce qui leur permet d attnuer les impondrables et de diminuer les cots ou pertes associs. Identifier et grer les risques multiples et transverses Chaque entit est confronte une multitude de risques affectant diffrents niveaux de l organisation. Le dispositif de management des risques renforce l efficacit du traitement des impacts en cascade et apporte des solutions intgres pour les risques consquences multiples. Saisir les opportunits C est en prenant en compte un large ventail d vnements potentiels que la direction est le mieux mme d identifier et tirer parti des opportunits de faon proactive. Amliorer l utilisation du capital C est en ayant une vision claire des risques de l organisation que la direction peut valuer efficacement les besoins en capitaux et en amliorer l allocation. Ces lments du dispositif de management des risques, contribuent la ralisation des objectifs de performance et de rentabilit de l organisation et la minimisation des pertes. Le dispositif de management des risques contribue aussi la mise en place d un reporting efficace et au respect de la conformit aux lois et rglementations. Ce faisant, il protge l image de l entit et lui pargne les consquences nfastes d une perte de rputation. En bref, grce au dploiement d un tel dispositif, une socit est mieux arme pour atteindre ses objectifs et viter les cueils et les impondrables.

Evnements

risques et opportunits

Les vnements peuvent avoir un impact positif, ngatif ou les deux la fois. Les vnements ayant un impact ngatif sont des risques pouvant freiner la cration de valeur ou dtruire la valeur existante. En revanche, les vnements ayant un impact positif peuvent contrebalancer des impacts ngatifs des risques ou constituer des opportunits. Par opportunit, on entend la possibilit qu un vnement, en survenant, ait une incidence positive sur la ralisation d objectifs et constitue un facteur de levier ou de soutien pour la cration ou la prservation de valeur. La direction rintgre les opportunits identifies dans le cadre du management des risques, la rflexion stratgique et au processus de dtermination des objectifs. Pour ce faire, il formule des plans permettant de saisir les opportunits. Dfinition du management des risques Le management des risques traite des risques et des opportunits ayant une incidence sur la cration ou la prservation de la valeur. Il se dfinit comme suit : Le management des risques est un processus mis en oeuvre par le conseil d administration, la direction gnrale, le management et l'ensemble des collaborateurs de l organisation. Il est pris en compte dans l laboration de la stratgie ainsi que dans toutes les activits de l'organisation. Il est conu pour identifier les vnements potentiels susceptibles d affecter l organisation et pour grer les risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant l'atteinte des objectifs de l'organisation. Cette dfinition reflte certains concepts fondamentaux. Le dispositif de management des risques :

Est un processus permanent qui irrigue toute l organisation Est mis en oeuvre par l ensemble des collaborateurs, tous les niveaux de l organisation Est pris en compte dans l laboration de la stratgie Est mis en uvre chaque niveau et dans chaque unit de l organisation et permet d obtenir une vision globale de son exposition aux risques Est destin identifier les vnements potentiels susceptibles d affecter l organisation, et grer les risques dans le cadre de l apptence pour le risque Donne la direction et au conseil d administration une assurance raisonnable (quant la ralisation des objectifs de l organisation) Est orient vers l atteinte d objectifs appartenant une ou plusieurs catgories indpendantes mais susceptibles de se recouper Cette dfinition est volontairement large. Elle intgre les principaux concepts sur lesquels s appuient les socits ou d autres types d organisation pour dfinir leur dispositif de management des risques et se veut une base pour la mise en uvre d un tel dispositif au sein d une organisation, d un secteur industriel ou d un secteur d activit. Elle est centre sur l atteinte des objectifs fixs pour une entreprise donne, et constitue en cela une base pour la dfinition d un dispositif de management des risques efficace.

Atteinte des objectifs Dans le cadre de la mission de l organisation ainsi que de sa vision, la direction dtermine des objectifs stratgiques, conoit une stratgie et dcline les objectifs qui en dcoulent tous les niveaux de l entit. Ce cadre de rfrence vise aider l organisation atteindre ces objectifs que l on peut classer dans les quatre catgories suivantes : Stratgique objectifs stratgiques servant la mission de l organisation Oprationnel objectifs visant l utilisation efficace et efficiente des ressources Reporting objectifs lis la fiabilit du reporting Conformit objectifs de conformit aux lois et aux rglementations en vigueur Ce rattachement des objectifs diffrentes catgories permet de se concentrer sur diffrents aspects du management des risques. Tout en tant distinctes, ces catgories se recoupent - un objectif donn peut relever de plusieurs d entre elles - et rpondent aux divers besoins de l entreprise. Elles peuvent relever de la responsabilit directe de diffrents dirigeants. Ce classement permet galement de dfinir de faon plus prcise les apports possibles pour chaque catgorie d objectifs auxquelles certaines entits ajoutent la protection des actifs, galement aborde dans cet ouvrage.

L organisation ayant le contrle sur les objectifs relatifs la fiabilit du reporting et la conformit aux lois et aux rglements, il est lgitime d attendre du processus de management des risques une assurance raisonnable quant l atteinte de ces objectifs. En revanche, l atteinte des objectifs stratgiques et oprationnels dpend parfois d vnements extrieurs qui peuvent chapper au contrle de l entreprise. Par consquent, dans ce cas, le management des risques ne peut donner qu une assurance raisonnable que la direction et le conseil d administration, dans son rle de supervision, sont informs en temps utile de l tat de progression de l organisation vers l atteinte de ses objectifs. lments du dispositif de management des risques Le dispositif de management des risques comprend huit lments. Ces lments rsultent de la faon dont l organisation est gre et sont intgrs au processus de management. Ces lments sont les suivants : Environnement interne L environnement interne englobe la culture et l esprit de l organisation. Il structure la faon dont les risques sont apprhends et pris en compte par l ensemble des collaborateurs de l entit, et plus particulirement la conception du management et son apptence pour le risque, l intgrit et les valeurs thiques, et l environnement dans lequel l organisation opre. Fixation des objectifs Les objectifs doivent avoir t pralablement dfinis pour que le management puisse identifier les vnements potentiels susceptibles d en affecter la ralisation. Le management des risques permet de s assurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l entit ainsi qu avec son apptence pour le risque. Identification des vnements Les vnements internes et externes susceptibles d affecter l atteinte des objectifs d une organisation doivent tre identifis en faisant la distinction entre risques et opportunits. Les opportunits sont prises en compte lors de l laboration de la stratgie ou au cours du processus de fixation des objectifs. Evaluation des risques Les risques sont analyss, tant en fonction de leur probabilit que de leur impact, cette analyse servant de base pour dterminer la faon dont ils doivent tre grs. Les risques inhrents et les risques rsiduels sont valus. Traitement des risques Le management dfinit des solutions permettant de faire face aux risques vitement, acceptation, rduction ou partage. Pour ce faire le management labore un ensemble de mesures permettant de mettre en adquation le niveau des risques avec le seuil de tolrance et l apptence pour le risque de l organisation.

Activits de contrle Des politiques et procdures sont dfinies et dployes afin de veiller la mise en place et l application effective des mesures de traitement des risques. Information et communication Les informations utiles sont identifies, collectes, et communiques sous un format et dans des dlais permettant aux collaborateurs d exercer leurs responsabilits. Plus globalement, la communication doit circuler verticalement et transversalement au sein de l organisation de faon efficace. Pilotage Le processus de management des risques est pilot dans sa globalit et modifi en fonction des besoins. Le pilotage s effectue au travers des activits permanentes de management ou par le biais d valuations indpendantes ou encore par une combinaison de ces deux modalits. Le management des risques n est pas un processus squentiel dans lequel un lment affecte uniquement le suivant. C est un processus multidirectionnel et itratif par lequel n importe quel lment a une influence immdiate et directe sur les autres. Relation entre objectifs et lments Il existe une relation directe entre les objectifs que cherche atteindre une organisation et les lments du dispositif de management des risques qui reprsentent ce qui est ncessaire leur ralisation. La relation est illustre par une matrice en trois dimensions ayant la forme d un cube.

- Les quatre grandes catgories d objectifs stratgiques, oprationnels, reporting et conformit sont reprsentes par les colonnes, - les huit lments du management des risques par les lignes - et les units de l organisation par la troisime dimension.

Cette reprsentation illustre la faon d apprhender le management des risques dans sa globalit ou bien par catgorie d objectifs, par lment, par unit ou en les combinant.

Efficacit L efficacit d un dispositif de management des risques peut s apprcier en vrifiant que chacun des huit lments est en place dans l organisation et qu ils fonctionnent efficacement. Ces lments constituent donc un critre d efficacit du dispositif de management des risques. Un dispositif efficace exclut toute faiblesse majeure dans l un des lments, et peut justifier que le niveau des risques est contenu dans les limites de l apptence pour le risque de l organisation. Lorsque le dispositif de management des risques s avre tre efficacement gr pour chacune des quatre catgories d objectifs, le conseil d administration et la direction de l organisation peuvent considrer qu ils ont une assurance raisonnable de disposer d une vision claire sur la faon dont les objectifs stratgiques et oprationnels de l entreprise sont en passe d tre atteints, de la fiabilit du reporting et du respect des lois et rglements applicables.

La mise en uvre et le fonctionnement des huit lments est spcifique chaque organisation. Pour les PME, le dispositif de management des risques peut tre moins formel et moins structur. Il n en demeure pas moins que chacun des lments existe et fonctionne correctement. Limites Si le dispositif de management des risques offre des avantages importants, il comporte nanmoins certaines limites. Outre les facteurs exposs ci-dessus, ces limites rsultent : - d une erreur de jugement dans la prise de dcision - de la ncessaire prise en compte du rapport cots / bnfices dans le choix du traitement des risques, et de la mise en place des contrles, - de faiblesses potentielles dans le dispositif, susceptibles de survenir en raison de dfaillances humaines (erreurs), - de contrles susceptibles d tre djous par collusion entre deux ou plusieurs individus, - de la possibilit qu a le management de passer outre les dcisions prises en matire de gestion des risques. En raison de ces limites un conseil d administration ou une direction ne peuvent obtenir la certitude absolue que les objectifs de l organisation seront atteints.

Intgration du contrle interne Le contrle interne fait partie intgrante du dispositif de management des risques. Ce cadre de rfrence intgre le contrle interne, constituant ainsi une modlisation et un outil de management plus solide . Le contrle interne est dfini et dcrit dans l ouvrage intitul Internal Control Integrated Framework1. Ce rfrentiel a fait ses preuves et constitue le fondement de rgles, rglementations ou lois actuellement en vigueur et reste applicable comme rfrentiel du contrle interne. Bien que seuls quelques extraits de Internal Control Integrated Framework soient reproduits dans le prsent document, l intgralit du rfrentiel de contrle interne est incorpor cet ouvrage par le biais des rfrences qui y sont faites. Rles et responsabilits Le management des risques est l affaire de tous mais, in fine, le directeur gnral en est le propritaire et en assume la responsabilit. Les autres managers soutiennent la culture en matire de management des risques, ils oeuvrent pour sa mise en conformit avec l apptence pour le risque et grent les risques au sein de leur primtre de responsabilit dans les limites de la tolrance au risque. Le risk manager , le directeur financier, l auditeur interne et d autres intervenants, assument habituellement des responsabilits fondamentales de support en matire de management des risques. Les autres collaborateurs de l organisation sont responsables du dispositif de management des risques conformment aux directives et aux protocoles existants. Le conseil d administration exerce une activit de surveillance sur le dispositif de management des risques, il a connaissance et valide l apptence pour le risque de l organisation. Certains tiers, tels que les clients, les fournisseurs, les partenaires commerciaux, les auditeurs externes, les rgulateurs et les analystes financiers fournissent frquemment des informations utiles au dispositif de management des risques, mais ils ne sont pas responsables de son efficacit et ne participent pas sa mise en uvre. Structure de ce rapport Ce rapport comporte deux parties. La premire constitue le Cadre de rfrence proprement dit. Elle comprend aussi cette Synthse. Le Cadre de rfrence dfinit le dispositif de management des risques, en dcrit les principes et les concepts, et donne des principes directeurs pouvant tre utiliss pour valuer et renforcer l efficacit du dispositif tous les niveaux de l organisation. La prsente Synthse
1

Ouvrage traduit en franais, par PricewaterhouseCoopers et l IFACI sous le titre La pratique du contrle interne, COSO report . Copyright en franais IFACI.

est une vue d ensemble destine aux directions gnrales, aux collaborateurs occupant des postes cls, aux membres du conseil d administration et aux rgulateurs. La seconde partie, Techniques d application, prsente des exemples de techniques qui peuvent tre utilises pour la mise en uvre des diffrents lments du Cadre de rfrence. Utilisation de ce rapport Les actions possibles en lien avec ce rapport dpendent de la fonction et du rle des parties impliques : Conseil d administration Le conseil d administration doit communiquer avec la direction gnrale sur le dispositif de management des risques en place dans l organisation et exercer, si besoin est, un rle de surveillance. Il doit s assurer qu il est inform des risques majeurs de l organisation et des mesures prises par la direction pour les traiter, ainsi que de la faon dont elle s assure de l efficacit du dispositif. Pour ce faire, le conseil d administration peut solliciter l avis des auditeurs internes, des auditeurs externes et d autres tiers. Direction gnrale Dans cette tude, il est propos que la direction gnrale value le dispositif de management des risques de l organisation. En premire approche, le directeur gnral peut par exemple runir les responsables d units et les principaux responsables fonctionnels pour apprcier l efficacit des lments du dispositif en place. Quelle que soit sa forme, cette premire approche doit dterminer la ncessit d une valuation plus approfondie et la faon dont elle doit tre mise en uvre. Autres collaborateurs de l organisation Les managers ainsi que les autres collaborateurs de l organisation doivent analyser la manire dont ils exercent leurs responsabilits la lumire de ce cadre de rfrence, et partager avec des collaborateurs plus expriments des suggestions pour renforcer le dispositif de management des risques. Les auditeurs internes doivent galement rflchir l tendue de leurs travaux dans le cadre du dispositif de management des risques. Rgulateurs Ce cadre de rfrence favorise le partage d une vision commune du management des risques, notamment quant son potentiel et ses limites. Ce modle est donc susceptible de constituer une rfrence pour les rgulateurs dans le cadre de la dfinition de leurs attentes en vue d dicter des rgles ou des directives ou lorsqu ils procdent des contrles. Organismes professionnels Les organismes chargs d tablir des rgles et les autres organismes professionnels tablissant des directives en matire de gestion financire, d audit ou de tout autre domaine apparent devraient envisager les normes et recommandations qu ils prconisent la lumire de ce cadre de rfrence. Des concepts et une terminologie communs sont en effet bnfiques toutes les parties impliques dans ce type de travaux. Formateurs Ce cadre de rfrence peut faire l objet de recherches et d analyses universitaires permettant d apporter des amliorations futures. Dans l hypothse o ce rapport deviendra un ouvrage de rfrence, ses concepts et sa terminologie devraient trouver leur place au sein des universits. Forts d une comprhension commune et partage de la notion de management des risques, tous les acteurs seront mme de parler un langage commun et communiqueront de faon plus efficace. Les dirigeants d organisations seront mme d valuer leur processus de management des risques comparativement une norme, de le renforcer et d aider leur entits atteindre les objectifs fixs. Les recherches futures pourront capitaliser sur des bases existantes. Les lgislateurs et les rgulateurs seront mme de mieux comprendre les processus de gestion des risques, notamment ses avantages et ses limites. Ces avantages se concrtiseront lorsque tous les acteurs utiliseront un rfrentiel commun de management des risques.