COSO ERM 2017 traduit en Français.pdf

Ce projet a été commandé par le Committee of Sponsoring Organizations of the Treadway
Commission (COSO), dont la mission est d'assurer un leadership éclairé en élaborant des cadres
et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion
de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire
l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé,
parrainée et financée conjointement par :
- Association américaine de comptabilité
- L'Institut américain des comptables publics certifiés.
- Financial Executives International
- Institut des comptables en management
- L'Institut des auditeurs internes
©2017 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite,
redistribuée, transmise ou affichée sous quelque forme ou par quelque moyen que ce soit sans
l'autorisation écrite du COSO. P254469-01 0516

Avant-propos
Conformément à sa mission générale, le Conseil du COSO a commandé et publié en 2004 le
document Enterprise Risk Management-Integrated Framework. Au cours de la dernière
décennie, cette publication a été largement acceptée par les organisations dans leurs efforts de
gestion des risques. Cependant, au cours de cette période, la complexité des risques a évolué, de
nouveaux risques sont apparus, et les conseils d'administration et les dirigeants ont renforcé leur
sensibilisation et leur surveillance de la gestion des risques de l'entreprise tout en demandant une
meilleure communication des risques. Cette mise à jour de la publication de 2004 traite de
l'évolution de la gestion des risques d'entreprise et de la nécessité pour les organisations
d'améliorer leur approche de la gestion des risques afin de répondre aux exigences d'un
environnement commercial en évolution.
Le document mis à jour, désormais intitulé Enterprise Risk Management-Integrating with
Strategy and Performance, souligne l'importance de la prise en compte du risque dans le
processus d'élaboration de la stratégie et dans le pilotage de la performance. La première partie
de la publication actualisée offre une perspective sur les concepts et les applications actuels et
en évolution de la gestion des risques de l'entreprise. La seconde partie, le Cadre, est organisée
en cinq composantes faciles à comprendre qui s'adaptent à différents points de vue et structures
d'exploitation, et améliorent les stratégies et la prise de décision. En bref, cette mise à jour :
- Donne un meilleur aperçu de la valeur de la gestion des risques d'entreprise lors de la
définition et de la mise en œuvre de la stratégie.
- Améliore l'alignement entre la performance et la gestion des risques de l'entreprise pour
améliorer la fixation des objectifs de performance et la compréhension de l'impact des
risques sur la performance.
- Répond aux attentes en matière de gouvernance et de surveillance.
- Reconnaît la mondialisation des marchés et des opérations et la nécessité d'appliquer une
approche commune, bien qu'adaptée, dans toutes les zones géographiques.
- Représente de nouvelles façons de considérer le risque pour fixer et atteindre des objectifs
dans le contexte d'une plus grande complexité des affaires.
- Elargir les rapports pour répondre aux attentes d'une plus grande transparence des parties
prenantes.
- S'adapter à l'évolution des technologies et à la prolifération des données et des analyses
pour soutenir la prise de décision.
- Etablit les définitions, les composantes et les principes de base pour tous les niveaux de
gestion impliqués dans la conception, la mise en œuvre et la conduite des pratiques de
gestion des risques de l'entreprise.

Les lecteurs peuvent également souhaiter consulter une publication complémentaire, COSO's
Internal Control-Integrated Framework. Ces deux publications sont distinctes et ont des objectifs
différents ; aucune ne remplace l'autre. Cependant, elles sont liées. L'Internal Control-Integrated
Framework englobe le contrôle interne, auquel il est fait référence en partie dans cette publication
actualisée. Par conséquent, le document précédent reste viable et adapté à la conception, à la mise
en œuvre, à la conduite et à l'évaluation du contrôle interne, ainsi qu'au reporting qui en découle.
Le COSO Board tient à remercier PwC pour son importante contribution à l'élaboration du
document Enterprise Risk Management-Integrating with Strategy and Performance. La prise en
compte de l'avis de nombreuses parties prenantes et leur perspicacité ont permis de préserver les
points forts de la publication originale et de clarifier ou d'étoffer le texte lorsque cela s'avérait
utile. Le COSO Board et PwC tiennent également à remercier le Conseil consultatif et les
observateurs pour leur contribution à la révision et aux commentaires.
Robert B. Hirth Jr.
Président du COSO
Dennis L. Chesley
Partenaire chef de projet de PwC et responsable
mondial et APA des risques et de la réglementation
rupture

Comité des organisations de parrainage de la Commission Treadway
Membres du conseil d'administration
Robert B. Hirth Jr.
Président du COSO
Richard F. Chambers
L'Institut des auditeurs internes
Mitchell A. Danaher
Financial Executives International
Charles E. Landes
Institut américain des comptables publics
certifiés
Douglas F. Prawitt Association
américaine de
comptabilité
Sandra Richtermeyer
Institut des comptables en
management
PwC-Auteur
Principaux contributeurs
Miles E.A. Everson
Leader de l'engagement et Leader
consultatif mondial et Asie, Pacifique et
Amériques (APA)
New York, États-Unis
Dennis L. Chesley
Partenaire chef de projet et responsable
mondial et APA des risques et de la
réglementation Washington DC, États-
Unis
Frank J. Martens
Directeur chef de projet et responsable
du cadre et de la méthodologie des
risques mondiaux
Colombie-Britannique, Canada
Matthew Bagin
Directeur
Washington DC, États-Unis
Hélène Katz
Directeur
Katie T. Sylvis
Directeur
Sallie Jo Perraglia
Directeur
Kathleen Crader Zelnik
Directeur
Maria Grimshaw
Associé principal
rupture

Remerciements
Le COSO Board et PwC tiennent à remercier les nombreuses personnes qui ont donné de leur
temps et de leur énergie en participant et en contribuant à divers aspects du projet. Le COSO Board
et PwC reconnaissent également les efforts considérables des organisations du COSO et de leurs
membres qui ont répondu aux enquêtes, participé aux ateliers et aux réunions, et fourni des
commentaires et des réactions tout au long de l'élaboration de ce cadre.
Conseil consultatif
Douglas J. Anderson
L'Institut des auditeurs internes
Directeur général de
CAE Solutions
Mark Beasley
North Carolina State
University
Professeur Deloitte de
gestion des risques d' entreprise
et directeur de l'initiative
ERM
Margaret
Boissoneau United
Technologies
Corporation
PMO Liaison
Anthony J. Carmello
Ernst & Young
Associé, Services consultatifs
Suzanne Christensen Invesco Ltd. Chef
du risque d'entreprise
James Davenport
Zurich Insurance
Company
Responsable mondial du risque et du
contrôle
James DeLoach
Protiviti Inc.
Directeur général
Karen Hardy
Directeur
adjoint du département du
commerce des ÉtatsUnis
pour la gestion des risques
David J. Heller
Edison International VP
Gestion des risques d'entreprise et
Auditeur général
Bailey Jordan
Grant Thornton LLP
Associé, Services consultatifs
Jane Karli
Athene USA Directeur des opérations
d'investissement
James Lam
James Lam &
Associés
Président
David Landsittel
Ancien président du COSO
Lee Marks
First Data Corporation
Gestion du risque d'entreprise
Deon Minnaar KPMG LLP
Amériques
Partenaire principal pour les Amériques
pour ERM/GRC
Jeff Pratt
Microsoft
Directeur général, ERM
Henry Ristuccia
Deloitte & Touche LLP Partenaire, Leader
mondial - GRC
Paul Sobel
Georgia-Pacific LLC Vice-président/chef de
l'audit
Patrick Stroh Paul Walker William Watts

Mercury Business Advisors
Inc. Président Université de St. John's,
Tobin
College of Business
James J. Schiro / Zurich Chaire en gestion des
risques d'entreprise
Crowe Horwath LLP
Associé responsable,
Services des risques d'entreprise
Observateurs
Jennifer Bayuk
Citi
Directeur général
Représentant de l'
Associatio
n
internatio
nale d'
audit et de
contrôle
des
systèmes (
ISACA)
James Dalkin
Government
Accountability Office Directeur dans l'
équipe de gestion et d' assurance
financière
Carol Fox RIMS, la société de gestion des
risques
Directeur,
Risque stratégique
et d' entreprise
Harrison Greene
Société fédérale d
'assurance-dépôts
Chef comptable adjoint
Horst Kreisel Institut der
Wirtschaftsprüfer
(Institut des économistes)
Directeur de la gestion de projet
Jeff Thompson
Institut des comptables en management
Président et directeur général
Vincent Tophoff
Fédération
internationale
des comptables
Directeur technique senior
Julie Bogas
Partenaire
USA
Lillian Borsa
Principal
USA
Angela Calapa
Directeur
USA
Rick Crethar
Part
enai
re
Aust
rali
e
Symon Dawson
Partenaire
ROYAUME-UNI
David Fisher
Principal
USA
Peter Frank
Principal
USA
Dimitriy
Goloborodskiy
Partenaire
USA
Rob Gormly
Principal
USA

Christof Menzies
Partenaire
Allemagne
Gonzalo Nunez
Partenaire Mexique
Jason Pett
Partenaire
USA
Jerri Ribeiro
Partenaire
Brésil
Jonathan Riva
Partenaire Canada
Nicole Salimbeni
Partenaire Australie
Manuel
Seiferth
Directeur
Dietmar Serbee
Principal
Laurie Schive Directeur
Allemagne USA USA
Partenaire
USA
Christina Stecker
Partenaire
Allemagne
Olivier Sueur
Directeur
Pays-Bas
Kuntal Sur
Partenaire
Inde
Alywin Teh
Partenaire
Singapour
Steven van Agt
Directeur
Pays-Bas
Kosta Weber
Directeur général
Pays-Bas
Andrew Wilson
Partenaire
Australie
Stephen
Zawoyski
Partenaire
USA
Contributeurs supplémentaires
PwC souhaite également remercier Geoffrey
Albutt, Catherine Jordan, Mark Tan, Armando
Urunuela et Karen Vitale pour leur contribution à
l'élaboration du Cadre.

Un éventail de risques évolutifs
Notre compréhension de la nature du risque, de l'art et de la science du choix, est au cœur de notre
économie moderne. Chaque choix que nous faisons dans la poursuite de nos objectifs comporte
des risques. Qu'il s'agisse de décisions opérationnelles quotidiennes ou d'arbitrages fondamentaux
dans la salle du conseil d'administration, la gestion du risque dans ces choix fait partie intégrante
de la prise de décision.
Comme nous cherchons à optimiser un éventail de résultats possibles, les décisions sont rarement
binaires, avec une bonne et une mauvaise réponse. C'est pourquoi la gestion des risques de
l'entreprise peut être qualifiée à la fois d'art et de science. La prise en compte du risque dans la
formulation de la stratégie et des objectifs opérationnels d'une organisation, contribue à optimiser
les résultats.
Notre compréhension du risque et notre pratique de la gestion du risque d'entreprise se sont
considérablement améliorées au cours des dernières décennies. Mais la marge d'erreur se réduit.
Le Forum économique mondial a commenté "la volatilité, la complexité et l'ambiguïté croissantes
du monde". C'est unphénomène que nous reconnaissons tous. Les organisations sont confrontées
à des défis qui ont un impact sur la fiabilité, la pertinence et la confiance. Les parties prenantes
sont plus engagées aujourd'hui, elles recherchent une plus grande transparence et une plus grande
responsabilité dans la gestion de l'impact du risque tout en évaluant de manière critique la capacité
du leadership à cristalliser les opportunités. Même le succès peut entraîner des risques
supplémentaires - le risque de ne pas être en mesure de répondre à une demande élevée inattendue
ou de maintenir la dynamique commerciale prévue, par exemple.
Les organisations doivent mieux s'adapter au changement. Elles doivent réfléchir stratégiquement
à la manière de gérer la volatilité, la complexité et l'ambiguïté croissantes du monde, en particulier
aux niveaux supérieurs de l'organisation et dans la salle du conseil d'administration, où les enjeux
sont les plus élevés.
Enterprise Risk Management-Integrating with Strategy and Performance fournit un cadre pour
les conseils d'administration et la direction d'entités de toutes tailles. Il s'appuie sur le niveau
actuel de gestion des risques qui existe dans le cours normal des affaires. En outre, il démontre
comment l'intégration des pratiques de gestion des risques d'entreprise dans l'ensemble d'une
entité permet d'accélérer la croissance et d'améliorer la performance. Il contient également des
principes qui peuvent être appliqués - de la prise de décision stratégique à la performance.
Nous décrivons ci-dessous pourquoi il est judicieux pour la direction et les conseils
d'administration d'utiliser le cadre2
de gestion des risques de l'entreprise, ce que les organisations
ont réalisé en appliquant la gestion des risques de l'entreprise et les avantages supplémentaires
qu'elles peuvent tirer de son utilisation continue. Nous concluons en jetant un regard sur l'avenir.

Guide de la direction pour la gestion des risques d'entreprise
La direction assume la responsabilité globale de la gestion des risques pour l'entité, mais il est
important qu'elle aille plus loin : elle doit renforcer le dialogue avec le conseil d'administration et
les parties prenantes sur l'utilisation de la gestion des risques d'entreprise pour obtenir un avantage
concurrentiel. Cela commence par le déploiement de capacités de gestion des risques de
l'entreprise dans le cadre de la sélection et de l'affinement d'une stratégie.
Plus particulièrement, grâce à ce processus, la direction comprendra mieux comment la prise en
compte explicite du risque peut avoir un impact sur le choix de la stratégie. La gestion des risques
de l'entreprise enrichit le dialogue de gestion en ajoutant une perspective aux forces et aux
faiblesses d'une stratégie lorsque les conditions changent, et à la façon dont une stratégie s'adapte
à la mission et à la vision de l'organisation. Elle permet à la direction de se sentir plus sûre d'avoir
examiné les stratégies alternatives et d'avoir pris en compte l'avis de ceux qui, dans leur
organisation, mettront en œuvre la stratégie choisie.
Une fois la stratégie définie, la gestion des risques de l'entreprise permet à la direction de remplir
efficacement son rôle, en sachant que l'organisation est consciente des risques qui peuvent avoir
un impact sur la stratégie et qu'elle les gère correctement. L'application de la gestion des risques
d'entreprise contribue à créer la confiance et à inspirer confiance aux parties prenantes dans
l'environnement actuel, qui exige un examen plus minutieux que jamais de la manière dont les
risques sont activement abordés et gérés.
Guide du conseil d'administration pour la gestion des risques d'entreprise
Chaque conseil d'administration joue un rôle de surveillance, contribuant à soutenir la création de
valeur d'une entité et à prévenir son déclin. Traditionnellement, la gestion des risques d'entreprise
a joué un rôle de soutien important au niveau du conseil. Aujourd'hui, on attend de plus en plus
des conseils qu'ils assurent la surveillance de la gestion des risques d'entreprise.
Le Cadre fournit des considérations importantes pour les conseils d'administration dans la
définition et la prise en charge de leurs responsabilités en matière de surveillance des risques.
Ces considérations comprennent la gouvernance et la culture, la stratégie et la fixation des
objectifs, la performance, l'information, la communication et le reporting, ainsi que l'examen et
la révision des pratiques pour améliorer la performance de l'entité.
Le rôle de surveillance des risques du conseil d'administration peut inclure, sans s'y limiter, les
éléments suivants :
• Examiner, contester et approuver les décisions de la direction :
- Proposition de stratégie et d'appétit pour le risque.
- Alignement de la stratégie et des objectifs commerciaux sur la mission, la vision et les
valeurs fondamentales de l'entité.

- Décisions commerciales importantes, y compris les fusions, les acquisitions, les allocations
de capital, le financement et les décisions relatives aux dividendes.
- Réaction aux fluctuations importantes de la performance de l'entité ou de la vision du risque
du portefeuille.
- Réponses aux cas de déviation des valeurs fondamentales.
• Approuver les incitations et les rémunérations des dirigeants.
• Participer aux relations avec les investisseurs et les parties prenantes.
À plus long terme, la gestion des risques d'entreprise peut également améliorer la résilience de
l'entreprise, c'est-à-dire sa capacité à anticiper et à réagir au changement. Elle aide les
organisations à identifier les facteurs qui représentent non seulement un risque, mais aussi un
changement, et la manière dont ce changement pourrait avoir un impact sur les performances et
nécessiter un changement de stratégie. En percevant plus clairement le changement, une
organisation peut élaborer son propre plan ; par exemple, doit-elle se replier sur la défensive ou
investir dans une nouvelle activité ? La gestion des risques de l'entreprise fournit aux conseils
d'administration le cadre approprié pour évaluer les risques et adopter un état d'esprit de résilience.
Questions pour la direction
L'ensemble de la direction - et pas seulement le directeur de la gestion des risques - peut-il
expliquer comment le risque est pris en compte dans le choix des décisions stratégiques ou
commerciales ? Peuvent-ils articuler clairement l'appétit de l'entité pour le risque et la manière
dont il pourrait influencer une décision spécifique ? La conversation qui s'ensuit peut mettre en
lumière l'état d'esprit qui règne dans l'organisation en matière de prise de risque.
Les conseils d'administration peuvent également demander aux cadres supérieurs de parler non
seulement des processus de risque mais aussi de la culture. Comment la culture permet-elle ou
empêche-t-elle une prise de risque responsable ? Quelle optique la direction utilise-t-elle pour
surveiller la culture du risque, et comment cela a-t-il changé ? À mesure que les choses changent
- et les choses changeront, qu'elles soient ou non sur le radar de l'entité - comment le conseil
d'administration peut-il être sûr d'une réponse appropriée et opportune de la part de la direction
?
Les réalisations de la gestion des risques d'entreprise
Le COSO a publié Enterprise Risk Management-Integrated Framework en 2004.
L'objectif de cette publication était d'aider les entités à mieux protéger et à accroître la valeur des
parties prenantes. Sa philosophie sous-jacente était que "la valeur est maximisée lorsque la
direction établit une stratégie et des objectifs pour trouver un équilibre optimal entre les buts de

croissance et de rendement et les risques qui y sont liés, et qu'elle déploie de manière efficiente et
efficace les ressources dans la poursuite des objectifs de l'entité". 3
Depuis sa publication, le Cadre a été utilisé avec succès dans le monde entier, dans tous les
secteurs d'activité et dans des organisations de tous types et de toutes tailles pour identifier les
risques, gérer ces risques dans le cadre d'une appétence pour le risque définie, et soutenir la
réalisation des objectifs. Pourtant, si beaucoup ont appliqué le Cadre dans la pratique, il a le
potentiel d'être utilisé plus largement. Il gagnerait à examiner certains aspects de manière plus
approfondie et plus claire, et à fournir un meilleur aperçu des liens entre stratégie, risque et
performance. C'est la raison pour laquelle le Cadre actualisé présenté dans cette publication :
- Relie plus clairement la gestion des risques de l'entreprise à une multitude d'attentes des
parties prenantes.
- Positionne le risque dans le contexte des performances d'une organisation, plutôt que
comme le sujet d'un exercice isolé.
- Permet aux organisations de mieux anticiper les risques afin de les devancer, en sachant
que le changement crée des opportunités, et pas seulement des crises potentielles.
Cette mise à jour répond également à l'appel à mettre davantage l'accent sur la manière dont la
gestion des risques de l'entreprise informe la stratégie et ses performances.

Éliminer quelques idées fausses
Nous avons entendu quelques idées fausses sur le cadre original depuis son lancement en 2004.
Pour mettre les choses au clair :
La gestion des risques de l'entreprise n'est pas une fonction ou un département. Il s'agit de
la culture, des capacités et des pratiques que les organisations intègrent à la définition de la
stratégie et appliquent lorsqu'elles mettent en œuvre cette stratégie, dans le but de gérer les
risques en créant, préservant et réalisant la valeur.
La gestion des risques de l'entreprise est plus qu'une simple liste de risques. Elle exige plus
qu'un inventaire de tous les risques au sein de l'organisation. Elle est plus large et comprend des
pratiques que la direction met en place pour gérer activement les risques.
La gestion des risques de l'entreprise ne se limite pas au contrôle interne. Elle aborde
également d'autres sujets tels que la définition de la stratégie, la gouvernance, la communication
avec les parties prenantes et la mesure des performances. Ses principes s'appliquent à tous les
niveaux de l'organisation et à toutes les fonctions.
La gestion des risques de l'entreprise n'est pas une liste de contrôle. Il s'agit d'un ensemble de
principes sur lesquels les processus peuvent être construits ou intégrés pour une organisation
particulière, et c'est un système de suivi, d'apprentissage et d'amélioration des performances.
La gestion des risques de l'entreprise peut être utilisée par des organisations de toute taille. Si
une organisation a une mission, une stratégie et des objectifs - et la nécessité de prendre des
décisions qui tiennent pleinement compte des risques - alors la gestion des risques de l'entreprise
peut être appliquée. Elle peut et doit être utilisée par toutes sortes d'organisations, des petites
entreprises aux entreprises sociales communautaires, en passant par les agences
gouvernementales et les sociétés du classement Fortune 500.
Avantages d'une gestion efficace des risques d'entreprise
Toutes les organisations doivent établir une stratégie et l'ajuster périodiquement, en restant
toujours conscientes des opportunités de création de valeur en constante évolution et des défis qui
se présenteront dans la poursuite de cette valeur. Pour ce faire, elles ont besoin du meilleur cadre
possible pour optimiser la stratégie et les performances.
C'est là que la gestion des risques d'entreprise entre en jeu. Les organisations qui intègrent la
gestion des risques d'entreprise dans l'ensemble de l'entité peuvent en tirer de nombreux avantages,
notamment, mais sans s'y limiter :

- Augmenter l'éventail des possibilités : En considérant toutes les possibilités - les aspects
positifs et négatifs du risque - la gestion peut identifier de nouvelles opportunités et des
défis uniques associés aux opportunités actuelles.
- Identifier et gérer les risques à l'échelle de l'entité : Chaque entité est confrontée à une
myriade de risques qui peuvent affecter de nombreuses parties de l'organisation. Parfois,
un risque peut provenir d'une partie de l'entité mais avoir un impact sur une autre partie.
Par conséquent, la direction identifie et gère ces risques à l'échelle de l'entité pour maintenir
et améliorer la performance.
- Augmenter les résultats positifs et les avantages tout en réduisant les surprises négatives
: La gestion des risques de l'entreprise permet aux entités d'améliorer leur capacité à
identifier les risques et à établir des réponses appropriées, réduisant ainsi les surprises et
les coûts ou pertes qui y sont liés, tout en profitant d'évolutions avantageuses.
- Réduire la variabilité des performances : Pour certains, le défi réside moins dans les
surprises et les pertes que dans la variabilité de la performance. Une performance en
avance sur le calendrier ou dépassant les attentes peut causer autant d'inquiétude qu'une
performance inférieure au calendrier et aux attentes. La gestion des risques de l'entreprise
permet aux organisations d'anticiper les risques qui pourraient affecter la performance et
leur permet de mettre en place les actions nécessaires pour minimiser les perturbations et
maximiser les opportunités.
- Améliorer le déploiement des ressources : Chaque risque peut être considéré comme une
demande de ressources. L'obtention d'informations solides sur les risques permet à la
direction, face à des ressources limitées, d'évaluer les besoins globaux en ressources, de
hiérarchiser le déploiement des ressources et d'améliorer leur affectation.
- Améliorer la résilience des entreprises : La viabilité à moyen et long terme d'une entité
dépend de sa capacité à anticiper et à répondre au changement, non seulement pour
survivre mais aussi pour évoluer et prospérer. Cela est possible, en partie, grâce à une
gestion efficace des risques d'entreprise. Elle devient de plus en plus importante à mesure
que le rythme du changement s'accélère et que la complexité des affaires augmente.
Ces avantages mettent en évidence le fait que le risque ne doit pas être considéré uniquement
comme une contrainte ou un défi potentiel pour l'élaboration et la mise en œuvre d'une stratégie.
Au contraire, le changement qui sous-tend le risque et les réponses organisationnelles au risque
donnent lieu à des opportunités stratégiques et à des capacités clés de différenciation.
Le rôle du risque dans la sélection des stratégies
La sélection d'une stratégie consiste à faire des choix et à accepter des compromis. Il est donc
logique d'appliquer la gestion des risques d'entreprise à la stratégie, car c'est la meilleure
approche pour démêler l'art et la science de faire des choix éclairés.

Le risque est pris en compte dans de nombreux processus d'élaboration de stratégies. Mais le risque
est souvent évalué principalement en fonction de son effet potentiel sur une stratégie déjà
déterminée. En d'autres termes, les discussions portent sur les risques pour la stratégie existante :
Nous avons une stratégie en place, qu'est-ce qui pourrait affecter la pertinence et la viabilité de
notre stratégie ?
Mais il y a d'autres questions à poser en matière de stratégie, que les organisations savent de
mieux en mieux poser : avons-nous modélisé la demande des clients avec précision ? Notre chaîne
d'approvisionnement respectera-t-elle les délais et le budget ? De nouveaux concurrents vont-ils
apparaître ? Notre infrastructure technologique estelle à la hauteur ? C'est le genre de questions
auxquelles les dirigeants sont confrontés chaque jour, et il est essentiel d'y répondre pour mener
à bien une stratégie.
Cependant, le risque lié à la stratégie choisie n'est qu'un aspect à considérer. Comme le souligne
le présent cadre, la gestion des risques d'entreprise comporte deux aspects supplémentaires qui
peuvent avoir un effet bien plus important sur la valeur d'une entité : la possibilité que la stratégie
ne s'aligne pas et les conséquences de la stratégie choisie.
Le premier de ces éléments, la possibilité que la stratégie ne s'aligne pas sur la mission, la
vision et les valeurs fondamentales de l'organisation, est au cœur des décisions qui sous-tendent
le choix de la stratégie. Chaque entité a une mission, une vision et des valeurs fondamentales qui
définissent ce qu'elle essaie d'atteindre et comment elle veut mener ses affaires. Certaines
organisations sont sceptiques quant à la possibilité d'adhérer réellement à leurs credos. Mais il a
été démontré que la mission, la vision et les valeurs fondamentales sont importantes - et elles le
sont encore plus lorsqu'il s'agit de gérer le risque et de rester résilient en période de changement.
Une stratégie choisie doit soutenir la mission et la vision de l'organisation. Une stratégie mal
alignée augmente la possibilité que l'organisation ne réalise pas sa mission et sa vision, ou qu'elle
compromette ses valeurs, même si la stratégie est mise en œuvre avec succès. Par conséquent, la
gestion des risques de l'entreprise tient compte de la possibilité que la stratégie ne soit pas alignée
sur la mission et la vision de l'organisation.
L'autre aspect supplémentaire est celui des implications de la stratégie choisie. Lorsque la
direction élabore une stratégie et examine des alternatives avec le conseil d'administration, elle
prend des décisions sur les compromis inhérents à la stratégie. Chaque stratégie alternative a son
propre profil de risque - ce sont les implications découlant de la stratégie. Le conseil
d'administration et la direction doivent déterminer si la stratégie va de pair avec l'appétit de
l'organisation pour le risque, et comment elle aidera l'organisation à fixer des objectifs et, en fin
de compte, à allouer efficacement les ressources.
Voici ce qui est important : la gestion des risques de l'entreprise consiste autant à comprendre les
implications de la stratégie et la possibilité que la stratégie ne s'aligne pas qu'à gérer les risques
en fonction des objectifs fixés. La figure ci-dessous illustre ces considérations dans le contexte de

la mission, de la vision, des valeurs fondamentales, et en tant que moteur de l'orientation et de la
performance globales d'une entité.
La gestion des risques d'entreprise, telle qu'elle a été pratiquée jusqu'à présent, a aidé de
nombreuses organisations à identifier, évaluer et gérer les risques liés à la stratégie. Mais les causes
les plus importantes de la destruction de valeur sont ancrées dans la possibilité que la stratégie ne
soutienne pas la mission et la vision de l'entité, et dans les implications de la stratégie.
La gestion des risques de l'entreprise améliore le choix de la stratégie. Le choix d'une stratégie
exige une prise de décision structurée qui analyse les risques et aligne les ressources sur la mission
et la vision de l'organisation.
Un cadre ciblé
Enterprise Risk Management-Integrating with Strategy and Performance clarifie l'importance de
la gestion du risque d'entreprise dans la planification stratégique et son intégration dans l'ensemble
de l'organisation - car le risque influence et aligne la stratégie et la performance dans tous les
départements et fonctions.
Le cadre lui-même est un ensemble de principes organisés en cinq composantes interdépendantes
:
1. Gouvernance et culture : La gouvernance donne le ton à l'organisation, en renforçant
l'importance de la gestion des risques de l'entreprise et en établissant des responsabilités de
surveillance à cet égard. La culture se rapporte aux valeurs éthiques, aux comportements
souhaités et à la compréhension du risque dans l'entité.

2. La stratégie et la fixation des objectifs : La gestion des risques de l'entreprise, la stratégie et
la définition des objectifs fonctionnent ensemble dans le cadre du processus de planification
stratégique. Un appétit pour le risque est établi et aligné sur la stratégie ; les objectifs de
l'entreprise mettent la stratégie en pratique tout en servant de base à l'identification, l'évaluation
et la réponse aux risques.
3.Performance : Les risques qui peuvent avoir un impact sur la réalisation de la stratégie et des
objectifs commerciaux doivent être identifiés et évalués. Les risques sont classés par ordre de
priorité en fonction de leur gravité dans le contexte de l'appétit pour le risque. L'organisation
sélectionne ensuite des réponses aux risques et adopte une vision de portefeuille du montant de
risque qu'elle a assumé. Les résultats de ce processus sont communiqués aux principales parties
prenantes en matière de risques.
4. examen et révision : En examinant la performance de l'entité, l'organisation peut déterminer si
les composantes de la gestion des risques de l'entreprise fonctionnent bien dans le temps et à la
lumière de changements substantiels, et quelles révisions sont nécessaires.
5.information, communication et rapports : La gestion des risques de l'entreprise exige un
processus continu d'obtention et de partage des informations nécessaires, provenant de sources
internes et externes, qui circulent vers le haut, vers le bas et à travers l'organisation.
Les cinq composantes du cadre actualisé sont soutenues par un ensemble de principes. 4
Ces
principes couvrent tout, de la gouvernance à la surveillance. Ils sont d'une taille raisonnable et
décrivent des pratiques qui peuvent être appliquées de différentes manières à différentes
organisations, quels que soient leur taille, leur type ou leur secteur. En adhérant à ces principes,
la direction et le conseil d'administration peuvent raisonnablement s'attendre à ce que
l'organisation comprenne et s'efforce de gérer les risques associés à sa stratégie et à ses objectifs
commerciaux.
Quelques perspectives futures
Il ne fait aucun doute que les organisations vont continuer à faire face à un avenir plein de
volatilité, de complexité et d'ambiguïté. La gestion des risques de l'entreprise sera un élément
important de la façon dont une organisation gère et prospère dans cette période. Quels que soient
le type et la taille d'une entité, les stratégies doivent rester fidèles à leur mission. Et toutes les
entités doivent présenter des caractéristiques qui permettent de réagir efficacement au

changement, notamment une prise de décision agile, la capacité de réagir de manière cohérente
et la capacité d'adaptation pour pivoter et se repositionner tout en maintenant des niveaux élevés
de confiance entre les parties prenantes.
Si l'on se projette dans l'avenir, plusieurs tendances auront un effet sur la gestion des risques de
l'entreprise. En voici quatre :
• Gérer la prolifération des données : La gestion des risques de l'entreprise devra s'adapter
à la multiplication des données et à la rapidité avec laquelle elles peuvent être analysées.
Les données proviendront à la fois de l'intérieur et de l'extérieur de l'entité, et elles seront
structurées de manière nouvelle. Les outils avancés d'analyse et de visualisation des
données évolueront et seront très utiles pour comprendre le risque et son impact - tant
positif que négatif.
• Exploiter l'intelligence artificielle et l'automatisation : Nombreux sont ceux qui pensent
que nous sommes entrés dans l'ère des processus automatisés et de l'intelligence
artificielle. Indépendamment des convictions individuelles, il est important que les
pratiques de gestion des risques de l'entreprise prennent en compte l'impact de ces
technologies et des technologies futures, et tirent parti de leurs capacités. Des relations,
des tendances et des modèles jusqu'alors inconnus peuvent être découverts, fournissant
une riche source d'informations essentielles à la gestion des risques.
• Gérer le coût de la gestion des risques : Une préoccupation fréquente exprimée par de
nombreux dirigeants d'entreprise est le coût de la gestion des risques, des processus de
conformité et des activités de contrôle par rapport à la valeur obtenue. Au fur et à mesure
que les pratiques de gestion des risques de l'entreprise évoluent, il devient important que
les activités de gestion des risques, de conformité, de contrôle et même de gouvernance
soient coordonnées de manière efficace afin de fournir un avantage maximal à
l'organisation. Cela pourrait représenter l'une des meilleures opportunités pour la gestion
des risques d'entreprise de redéfinir son importance pour l'organisation.
• Construire des organisations plus fortes : Au fur et à mesure que les organisations
intègrent mieux la gestion des risques d'entreprise à la stratégie et à la performance,
l'occasion de renforcer la résilience se présente. En connaissant les risques qui auront le
plus d'impact sur l'entité, les organisations peuvent utiliser la gestion des risques
d'entreprise pour aider à mettre en place des capacités qui leur permettent d'agir
rapidement. Cela ouvrira de nouvelles opportunités.
En résumé, la gestion des risques de l'entreprise devra changer et s'adapter à l'avenir pour fournir
constamment les avantages décrits dans le Cadre. Avec la bonne orientation, les avantages dérivés
de la gestion des risques de l'entreprise compenseront largement les investissements et donneront
aux organisations la confiance dans leur capacité à gérer l'avenir.

1 Le rapport sur les risques mondiaux 2016, 11e édition, Forum économique mondial (2016).
2 Le Cadre utilise le terme "conseil d'administration" ou "conseil", qui englobe l'organe de direction, y compris le conseil
d'administration, le conseil de surveillance, le conseil de fiduciaires, les associés généraux ou le propriétaire.
3 Enterprise Risk Management-Integrated Framework, Executive Summary, COSO (2004).
4 Une description plus complète de ces vingt principes est fournie à la fin de ce document.

Remerciements
Nous remercions tout particulièrement les entreprises et organisations suivantes d'avoir permis la
participation des membres du Conseil consultatif et des observateurs.
Membres du Conseil consultatif
Entreprises et organisations
- Athene USA (Jane Karli)
- Edison International (David J. Heller)
- First Data Corporation (Lee Marks)
- Georgia-Pacific LLC (Paul Sobel)
- Invesco Ltd. (Suzanne Christensen)
- Microsoft (Jeff Pratt)
- Département américain du commerce (Karen Hardy)
- United Technologies Corporation (Margaret Boissoneau)
- Zurich Insurance Company (James Davenport)
Enseignement supérieur et associations
- Université d'État de Caroline du Nord (Mark Beasley)
- Université de St. John's (Paul Walker)
- L'Institut des auditeurs internes (Douglas J. Anderson)
Sociétés de services professionnels
- Crowe Horwath LLP (William Watts)
- Deloitte & Touche LLP (Henry Ristuccia)
- Ernst & Young (Anthony J. Carmello)
- James Lam & Associates (James Lam)
- Grant Thornton LLP (Bailey Jordan)
- KPMG LLP Americas (Deon Minnaar)
- Mercury Business Advisors Inc. (Patrick Stroh)
- Protiviti Inc. (James DeLoach)

Ancien membre du conseil d'administration du COSO
Président de l'OCSO, 2009-2013 (David Landsittel)
Observateurs
- Federal Deposit Insurance Corporation (Harrison Greene)
- Government Accountability Office (James Dalkin)
- Institut des comptables en management (Jeff Thompson)
- Institut der Wirtschaftsprüfer (Horst Kreisel)
- Fédération internationale des comptables (Vincent Tophoff)
- ISACA (Jennifer Bayuk)
- Risk Management Society (Carol Fox)

Composants et principes
1. Exercer une surveillance des risques par le conseil d'administration - Le conseil
d'administration assure la surveillance de la stratégie et assume des responsabilités de
gouvernance afin de soutenir la direction dans la réalisation de la stratégie et des objectifs
commerciaux.
2. Établir des structures opérationnelles - L'organisation établit des structures
opérationnelles dans la poursuite de la stratégie et des objectifs commerciaux.
3. Définit la culture souhaitée - L'organisation définit les comportements souhaités qui
caractérisent la culture souhaitée de l'entité.
4. Démontre un engagement envers les valeurs fondamentales - L'organisation démontre
un engagement envers les valeurs fondamentales de l'entité.
5. Attirer, développer et retenir les personnes compétentes - L'organisation s'engage à
développer le capital humain en accord avec la stratégie et les objectifs commerciaux.
6. analyse du contexte commercial - L'organisation considère les effets potentiels du
contexte commercial sur le profil de risque.
7. L'organisation définit l'appétit pour le risque dans le contexte de la création, de la
préservation et de la réalisation de la valeur.
8. Évaluer les stratégies alternatives - L'organisation évalue les stratégies alternatives et
leur impact potentiel sur le profil de risque.
9. Formulation des objectifs commerciaux - L'organisation prend en compte le risque
lorsqu'elle établit les objectifs commerciaux à différents niveaux qui s'alignent sur la
stratégie et la soutiennent.
10. Identifier les risques - L'organisation identifie les risques qui ont un impact sur la
performance de la stratégie et des objectifs commerciaux.
11. Évaluer la gravité du risque - L'organisation évalue la gravité du risque.
12. Priorisation des risques - L'organisation hiérarchise les risques afin de choisir les
réponses à apporter aux risques.
13. mise en œuvre des réponses aux risques - L'organisation identifie et sélectionne les
réponses aux risques.
14. développe une vue de portefeuille - L'organisation développe et évalue une vue de
portefeuille du risque.
15. évaluer les changements substantiels - L'organisation identifie et évalue les changements
qui peuvent affecter substantiellement la stratégie et les objectifs de l'entreprise.
16. examine les risques et les performances - L'organisation examine les performances de
l'entité et prend en compte les risques.
17. poursuit l'amélioration de la gestion des risques de l'entreprise - L'organisation
poursuit l'amélioration de la gestion des risques de l'entreprise.
18. exploitation des systèmes d'information - L'organisation exploite les systèmes
d'information et de technologie de l'entité pour soutenir la gestion des risques de
l'entreprise.

19. communique les informations sur les risques - L'organisation utilise des canaux de
communication pour soutenir la gestion des risques de l'entreprise.
20. rapports sur les risques, la culture et la performance - L'organisation rend compte des
risques, de la culture et de la performance à plusieurs niveaux et dans toute l'entité.

Ce projet a été commandé par le Committee of Sponsoring Organizations of the Treadway
Commission (COSO), dont la mission est d'assurer un leadership éclairé en élaborant des cadres
et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion
de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire
l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé,
parrainée et financée conjointement par :
• Association américaine de comptabilité
• L'Institut américain des comptables publics
certifiés.
• Financial Executives International
• Institut des comptables en management
• L'Institut des auditeurs internes (IIA)
©2017 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, redistribuée, transmise ou affichée sous
quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite du COSO.

Table de matière
Avant-propos................................................................................................................................... 3
Comité des organisations de parrainage de la Commission Treadway........................................... 5
Remerciements................................................................................................................................ 6
Un éventail de risques évolutifs...................................................................................................... 9
Guide de la direction pour la gestion des risques d'entreprise .................................................. 10
Guide du conseil d'administration pour la gestion des risques d'entreprise.............................. 10
Les réalisations de la gestion des risques d'entreprise .............................................................. 11
Avantages d'une gestion efficace des risques d'entreprise........................................................ 13
Le rôle du risque dans la sélection des stratégies...................................................................... 14
Un cadre ciblé ............................................................................................................................... 16
Quelques perspectives futures....................................................................................................... 17
Remerciements.............................................................................................................................. 20
Composants et principes ............................................................................................................... 22
Table de matière............................................................................................................................ 26
1. Introduction............................................................................................................................... 31
La gestion du risque d'entreprise affecte la valeur.................................................................... 31
Mission, vision et valeurs fondamentales ................................................................................. 32
La gestion du risque d'entreprise affecte la stratégie ................................................................ 33
La gestion du risque d'entreprise est liée aux affaires............................................................... 33
Gouvernance ......................................................................................................................... 33
Gestion des performances ..................................................................................................... 33
Contrôle interne..................................................................................................................... 34
Avantages de la gestion des risques d'entreprise .................................................................. 35
La gestion des risques d'entreprise et la capacité d'adaptation, de survie et de prospérité ....... 37
2. Comprendre les termes : Risque et gestion du risque d'entreprise............................................ 39
Définir le risque et l'incertitude................................................................................................. 39
Définir la gestion du risque d'entreprise ................................................................................... 40
Reconnaître la culture ........................................................................................................... 40
Développer les capacités....................................................................................................... 41

Application des pratiques...................................................................................................... 41
Intégration avec la définition de la stratégie et la performance ............................................ 41
Gestion des risques pour la stratégie et les objectifs commerciaux...................................... 42
Le lien avec la valeur ............................................................................................................ 42
3. Stratégie, objectifs commerciaux et Performance..................................................................... 44
Gestion des risques et stratégie d'entreprise.............................................................................. 44
Possibilité de désalignement de la stratégie et des objectifs commerciaux .......................... 44
Évaluer la stratégie choisie.................................................................................................... 45
Risque lié à la mise en œuvre de la stratégie et des objectifs commerciaux......................... 46
Gestion des risques et performance de l'entreprise ................................................................... 47
4. Intégrer la gestion des risques de l'entreprise............................................................................ 50
L'importance de l'intégration..................................................................................................... 50
Vers une intégration totale ........................................................................................................ 51
Culture................................................................................................................................... 52
Capacités ............................................................................................................................... 52
Pratiques................................................................................................................................ 52
Prise en compte de l'intégration dans le cadre .......................................................................... 53
5. Composants et principes ........................................................................................................... 54
Gouvernance et culture ............................................................................................................. 58
Principe 1 : Exercer une surveillance des risques par le conseil d'administration................ 60
Principe 2 : établir des structures de fonctionnement ........................................................... 63
Principe 3 : Définir la culture souhaitée................................................................................ 66
Principe 4 : Démontrer un engagement envers les valeurs fondamentales........................... 72
Principe 5 : Attirer, développer et retenir les personnes compétentes .................................. 77
Définition de la stratégie et des objectifs .................................................................................. 81
Principe 6 : Analyse du contexte commercial....................................................................... 82
Principe 7 : Définir l'appétit pour le risque........................................................................... 86
Principe 8 : évaluer les stratégies alternatives....................................................................... 95
Principe 9 : Formuler les objectifs de l'entreprise................................................................. 99
Performance ............................................................................................................................ 106
Principe 10 : Identifier les risques....................................................................................... 108

Principe 11 : évaluer la gravité du risque............................................................................ 117
Principe 12 : Hiérarchisation des risques............................................................................ 127
Principe 13 : Mise en œuvre de réponses aux risques......................................................... 130
Principe 14 : Développe la vision du portefeuille............................................................... 134
Examen et révision.................................................................................................................. 140
Principe 15 : Évaluation des changements substantiels ...................................................... 140
Principe 16 : Examiner les risques et les performances...................................................... 143
Principe 17 : Poursuivre l'amélioration de la gestion des risques de l'entreprise................ 147
Information, communication et rapports................................................................................. 149
Principe 18 : Tirer parti de l'information et de la technologie ............................................ 150
Principe 19 : Communiquer l'information sur les risques................................................... 156
Principe 20 : Rapports sur les risques, la culture et la performance ................................... 160
Glossaire des termes clés ............................................................................................................ 164
Annexes....................................................................................................................................... 167
A. Contexte du projet et approche de la révision du cadre de référence................................. 170
Contexte du projet............................................................................................................... 170
Approche de la révision du cadre........................................................................................ 170
B. Résumé des commentaires du public ................................................................................. 171
Structurer le document : Composants et principes.............................................................. 172
Définition de la gestion du risque d'entreprise et du risque ................................................ 173
Intégration de la gestion des risques d'entreprise et impact sur la prise de décision .......... 174
La relation entre la gestion des risques d'entreprise et le contrôle interne.......................... 174
Discussion sur la stratégie................................................................................................... 175
Rôle de la culture ................................................................................................................ 175
Appétit et tolérance au risque.............................................................................................. 176
Évaluation des risques et profils de risques ........................................................................ 176
Information et technologie.................................................................................................. 177
Orientation........................................................................................................................... 177
C. Rôles et responsabilités en matière de gestion des risques de l'entreprise ......................... 179
Conseil d'administration et comités dédiés ......................................................................... 179
Le management et les trois lignes de responsabilité........................................................... 182

D. Illustrations du profil de risque .......................................................................................... 189
Introduction aux profils de risque ....................................................................................... 189
Élaboration de profils de risque .......................................................................................... 189
Risque, stratégie et fixation des objectifs............................................................................ 192
Identifier les risques liés à la performance.......................................................................... 195

Appliquer le cadre : Mise
en contexte

1. Introduction
L'intégration des pratiques de gestion des risques d'entreprise dans l'ensemble d'une organisation
améliore la prise de décision en matière de gouvernance, de stratégie, de fixation des objectifs et
d'opérations quotidiennes. Elle permet d'améliorer les performances en liant plus étroitement la
stratégie et les objectifs commerciaux aux risques. La diligence requise pour intégrer la gestion
des risques d'entreprise offre à une entité une voie claire pour créer, préserver et réaliser de la
valeur.
Une discussion sur la gestion des risques d'entreprise 1
commence par cette prémisse sous-jacente
: chaque entité - qu'elle soit à but lucratif, non lucratif ou gouvernementale - existe pour fournir de
la valeur à ses parties prenantes. La présente publication repose sur un postulat connexe : toutes
les entités sont confrontées à des risques dans leur quête de valeur. Les concepts et principes de
gestion des risques d'entreprise exposés dans cette publication s'appliquent à toutes les entités,
indépendamment de leur structure juridique, de leur taille, de leur secteur d'activité ou de leur
situation géographique.
Le risque affecte la capacité d'une organisation à réaliser sa stratégie et ses objectifs commerciaux.
Par conséquent, l'un des défis de la direction consiste à déterminer le niveau de risque que
l'organisation est prête et capable d'accepter. Une gestion efficace du risque d'entreprise aide les
conseils d'administration et la direction à optimiser les résultats dans le but d'améliorer les
capacités à créer, préserver et finalement réaliser de la valeur.
La direction a de nombreux choix quant à la manière dont elle appliquera les pratiques de gestion
des risques de l'entreprise, et aucune approche n'est universellement meilleure qu'une autre.
Pourtant, pour toute entité, une approche peut offrir des avantages accrus par rapport à une autre
ou s'aligner davantage sur la philosophie de gestion globale de l'organisation. Ce cadre définit une
structure conceptuelle de base d'idées, qu'une organisation intègre dans d'autres pratiques se
produisant au sein de l'entité. Les lecteurs qui recherchent des informations allant au-delà d'un
cadre, ou différentes pratiques qu'ils peuvent appliquer pour intégrer les concepts de gestion des
risques d'entreprise dans l'entité, trouveront les annexes du volume II de cette publication utiles.
La gestion du risque d'entreprise affecte la valeur
La valeur d'une entité est largement déterminée par les décisions prises par la direction - des
décisions stratégiques globales aux décisions quotidiennes. Ces décisions peuvent déterminer si la
valeur est créée, préservée, érodée ou réalisée.
La valeur est créée lorsque les avantages tirés des ressources déployées dépassent le coût de ces
ressources. Par exemple, la valeur est créée lorsqu'un nouveau produit est conçu et lancé avec
succès et que sa marge bénéficiaire est positive. Ces ressources peuvent être des personnes, des
capitaux financiers, des technologies, des processus et une présence sur le marché (marque).

La valeur est préservée lorsque la valeur des ressources déployées dans les opérations quotidiennes
soutient les avantages créés. Par exemple, la valeur est préservée par la fourniture de produits,
de services et de capacités de production de qualité supérieure, ce qui se traduit par des clients
et des parties prenantes satisfaits et loyaux.
La valeur est érodée lorsque la direction met en œuvre une stratégie qui ne donne pas les résultats
escomptés ou ne parvient pas à exécuter les tâches quotidiennes. Par exemple, la valeur est
érodée lorsque des ressources substantielles sont consommées pour développer un nouveau
produit qui est ensuite abandonné.
La valeur est réalisée lorsque les parties prenantes tirent des avantages créés par l'entité. Les
avantages peuvent être monétaires ou non monétaires.
La manière dont la valeur est créée dépend du type d'entité. Les entités à but lucratif créent de la
valeur en mettant en œuvre avec succès une stratégie qui équilibre les opportunités de marché et
les risques liés à la poursuite de ces opportunités. Les entités à but non lucratif et les entités
gouvernementales peuvent créer de la valeur en fournissant des biens et des services qui équilibrent
leurs opportunités de servir la communauté au sens large et les risques associés. Quel que soit le
type d'entité, l'intégration des pratiques de gestion des risques de l'entreprise à d'autres aspects de
l'activité renforce la confiance et inspire une plus grande confiance aux parties prenantes.
Mission, vision et valeurs fondamentales
La mission, la vision et les valeurs fondamentales définissent ce qu'une entité s'efforce d'être et
comment elle veut mener ses activités. Elles communiquent aux parties prenantes l'objectif de
l'entité. Pour la plupart des entités, la mission, la vision et les valeurs fondamentales restent stables
dans le temps et sont généralement réaffirmées lors de la définition de la stratégie. Cependant,
elles peuvent également évoluer en fonction des attentes des parties prenantes. Par exemple, une
nouvelle équipe de direction peut présenter des idées différentes pour la mission afin de créer de
la valeur pour l'entité.
Mission : L'objectif principal de l'entité, qui établit ce qu'elle veut accomplir et pourquoi elle
existe.
Vision : Les aspirations de l'entité pour son état futur ou ce que l'organisation vise à réaliser au
fil du temps.
Valeurs fondamentales : Les croyances et idéaux de l'entité concernant ce qui est bon ou
mauvais, acceptable ou inacceptable, qui influencent le comportement de l'organisation.
Dans le cadre (chapitres 6 à 10), la mission et la vision sont considérées dans le contexte d'une
organisation qui définit et réalise sa stratégie et ses objectifs commerciaux. Les valeurs
fondamentales sont considérées dans le contexte de la culture que l'entité souhaite adopter.

La gestion du risque d'entreprise affecte la stratégie
La "stratégie" désigne le plan d'une organisation pour réaliser sa mission et sa vision, et pour
appliquer ses valeurs fondamentales. Une stratégie bien définie permet d'allouer efficacement les
ressources et de prendre des décisions judicieuses. Elle fournit également une feuille de route pour
établir des objectifs commerciaux dans l'ensemble de l'entité.
La gestion des risques de l'entreprise4
ne crée pas la stratégie de l'entité, mais elle influence son
développement. Une organisation qui intègre les pratiques de gestion des risques d'entreprise
dans l'établissement de sa stratégie fournit à la direction les informations sur les risques dont elle
a besoin pour envisager des stratégies alternatives et, en fin de compte, pour adopter la stratégie
choisie.
La gestion du risque d'entreprise est liée aux affaires
Les pratiques de gestion des risques de l'entreprise s'intègrent à tous les autres aspects de
l'activité, notamment la gouvernance, la gestion des performances et les pratiques de contrôle
interne.
Gouvernance
La gouvernance constitue le concept le plus large. En général, il s'agit de la répartition des rôles,
des pouvoirs et des responsabilités entre les parties prenantes, le conseil d'administration et la
direction. Certains aspects de la gouvernance ne relèvent pas de la gestion des risques d'entreprise
(par exemple, le recrutement et l'évaluation des membres du conseil d'administration, l'élaboration
de la mission, de la vision et des valeurs fondamentales de l'entité).
Gestion des performances
La performance concerne les actions, les tâches et les fonctions permettant d'atteindre, voire de
dépasser, la stratégie et les objectifs commerciaux d'une entité. La gestion des performances se
concentre sur le déploiement efficace des ressources. Il s'agit de mesurer ces actions, tâches et
fonctions par rapport à des objectifs prédéterminés (à court et à long terme) et de déterminer si ces
objectifs sont atteints. Étant donné qu'une variété de risques - connus et inconnus - peuvent affecter
la performance d'une entité, une variété de mesures peut être utilisée :
- Mesures financières, telles que le rendement des investissements, les recettes ou la
rentabilité.
- Mesures opérationnelles, telles que les heures de fonctionnement, les volumes de
production ou les pourcentages de capacité.
- Mesures d'obligation, telles que l'adhésion à des accords de niveau de service ou à des
exigences de conformité réglementaire.

-Mesures de projet, comme le lancement d'un nouveau produit dans un laps de temps déterminé.
-Mesures de croissance, telles que l'accroissement de la part de marché sur un marché émergent.
Les mesures prises par les parties prenantes, telles que l'enseignement et l'acquisition de
compétences professionnelles de base pour les personnes qui ont besoin d'une mise à niveau
lorsqu'elles sont sans emploi.
Il y a toujours un risque associé à un objectif de performance prédéterminé. Par exemple, les
producteurs agricoles à grande échelle courent un certain risque quant à leur capacité à produire
les volumes nécessaires pour satisfaire les demandes des clients et atteindre les objectifs de
rentabilité. De même, les compagnies aériennes courent un certain risque quant à leur capacité à
assurer tous les vols dans les délais prévus. Toutefois, les compagnies aériennes peuvent prévoir
un risque moindre de pouvoir exploiter 90 % ou même 80 % de leurs vols réguliers dans les
délais prévus, par rapport à 100 % de leurs vols réguliers. Dans ces deux exemples, il y a une
part de risque associée à la gestion de la réalisation des objectifs prédéterminés de performance
- volume de production et opérations de vol.
Une entité peut améliorer sa performance globale en intégrant la gestion des risques d'entreprise
dans les opérations quotidiennes et en liant plus étroitement les objectifs commerciaux aux risques.
Contrôle interne
La gestion des risques de l'entreprise intègre certains concepts du contrôle interne. "Le contrôle
interne" est le processus mis en œuvre par une entité pour fournir une assurance raisonnable que
les objectifs seront atteints. Le contrôle interne aide l'organisation à identifier et à analyser les
risques qui pèsent sur la réalisation de ces objectifs et la manière de gérer les risques. Il permet à
la direction de rester concentrée sur les opérations de l'entité et la poursuite de ses objectifs de
performance tout en se conformant aux lois et règlements pertinents. Il convient toutefois de noter
que certains concepts relatifs à la gestion des risques de l'entreprise ne sont pas pris en compte
dans le contrôle interne (par exemple, les concepts d'appétit pour le risque, de tolérance, de
stratégie et d'objectifs sont définis dans le cadre de la gestion des risques de l'entreprise mais
considérés comme des conditions préalables au contrôle interne).
Afin d'éviter toute redondance, certains concepts relatifs au contrôle interne, communs à la
présente publication et au Cadre Intégré de Contrôle Interne, n'ont pas été repris ici (par exemple,
le risque de fraude relatif aux objectifs de reporting financier, les activités de contrôle relatives
aux objectifs de conformité, et les évaluations continues et distinctes relatives aux objectifs
opérationnels). Cependant, certains concepts communs relatifs au contrôle interne sont
développés dans la section du Cadre 5 (par exemple
, la gouvernance de la gestion des risques
d'entreprise). Veuillez consulter la section 6 du
Cadre intégré de contrôle interne dans le cadre de
l'application du Cadre dans cette publication.

Avantages de la gestion des risques d'entreprise
Une organisation doit identifier les défis qui l'attendent et s'adapter pour les relever. Elle doit
prendre des décisions en étant consciente à la fois des opportunités de création de valeur et des
risques qui la mettent au défi de créer de la valeur. En bref, elle doit intégrer les pratiques de
gestion des risques de l'entreprise aux pratiques d'établissement de la stratégie et de gestion de la
performance, et ce faisant, elle obtiendra des avantages liés à la valeur.
Les avantages de l'intégration de la gestion des risques d'entreprise comprennent la capacité de :
-Augmenter l'éventail des possibilités : En considérant toutes les possibilités raisonnables - les
aspects positifs et négatifs du risque - la direction peut identifier les opportunités pour l'entité et
les défis uniques associés aux opportunités actuelles et futures. Par exemple, lorsque les
dirigeants d'une entreprise alimentaire locale ont examiné les risques potentiels susceptibles
d'affecter l'objectif commercial de croissance durable des revenus, ils ont déterminé que les
principaux consommateurs de l'entreprise étaient de plus en plus soucieux de leur santé et
changeaient leur régime alimentaire. Ce changement indiquait une baisse potentielle de la
demande future pour les produits actuels de l'entreprise. En réponse, la direction a identifié des
moyens de développer de nouveaux produits et d'améliorer les produits existants, ce qui a permis
à l'entreprise de maintenir les revenus provenant des clients existants (préservation de la valeur)
et de créer des revenus supplémentaires en faisant appel à une base de consommateurs plus large
(création de valeur).
-Augmenter les résultats positifs et les avantages tout en réduisant les surprises négatives : La
gestion des risques de l'entreprise permet à une organisation d'améliorer sa capacité à identifier
les risques et à établir des réponses appropriées, augmentant ainsi les résultats positifs tout en
réduisant les surprises négatives et les coûts ou pertes associés. Par exemple, une entreprise de
fabrication qui fournit des pièces en flux tendu à ses clients pour qu'ils les utilisent dans leur
production risque d'être pénalisée si elle ne livre pas à temps. En réponse à ce risque, l'entreprise
a évalué ses processus d'expédition internes en examinant l'heure de la journée pour les
livraisons, les itinéraires de livraison typiques et les réparations non programmées sur la flotte
de livraison. Elle a utilisé les résultats pour établir des calendriers de maintenance pour sa flotte,
programmer les livraisons en dehors des périodes de pointe et concevoir des alternatives aux
itinéraires clés. Reconnaissant que tous les retards de circulation ne peuvent être évités, elle a
également élaboré des protocoles pour avertir les clients des retards potentiels. Dans ce cas, la
performance a été améliorée par la direction en influençant le risque dans la mesure de ses
possibilités (production et programmation) et en s'adaptant aux risques sur lesquels elle n'a pas
d'influence directe (retards de circulation).
-Identifier et gérer les risques à l'échelle de l'entité : Chaque entité est confrontée à une myriade
de risques qui peuvent avoir un impact sur de nombreuses parties de l'entité. Parfois, un risque
peut provenir d'une partie de l'entité mais affecter une autre partie. La direction doit identifier et
gérer ces risques à l'échelle de l'entité pour maintenir et améliorer la performance. Par exemple,

lorsqu'une banque a réalisé qu'elle était confrontée à une variété de risques dans ses activités de
négociation, la direction a réagi en développant un système d'analyse des informations internes
sur les transactions et les marchés, étayé par des informations externes pertinentes. Le système
a fourni une vue d'ensemble des risques pour toutes les activités de négoce, permettant une
analyse détaillée pour les départements, les clients et les négociants. Il a également permis à la
banque de quantifier les risques relatifs. Le système répondait aux exigences de l'entité en
matière de gestion des risques d'entreprise et permettait à la banque de rassembler des données
auparavant disparates pour répondre plus efficacement aux risques.
-Réduire la variabilité des performances : Pour certaines entités, le défi est moins lié aux
surprises et aux pertes qu'à la variabilité des performances. Une performance en avance sur le
calendrier ou au-delà des attentes peut causer autant d'inquiétude qu'une performance
inférieure aux attentes. Par exemple, dans un système de transport public, les usagers seront
tout aussi mécontents si un bus ou un train part dix minutes en avance que s'il a dix minutes de
retard : dans les deux cas, ils risquent de manquer des correspondances. Pour gérer cette
variabilité, les planificateurs des transports en commun intègrent des pauses naturelles dans les
horaires. Les conducteurs attendent aux arrêts désignés jusqu'à une heure donnée, quelle que
soit leur heure d'arrivée. Cela permet de lisser la variabilité des temps de parcours et d'améliorer
les performances globales et la perception du système de transport par les usagers. La gestion
des risques d'entreprise permet aux organisations d'anticiper les risques qui pourraient affecter
les performances et leur permet de prendre des mesures pour minimiser les perturbations.
Améliorer le déploiement des ressources : L'obtention d'informations solides sur les risques permet
à la direction d'évaluer les besoins globaux en ressources et contribue à optimiser l'affectation
des ressources. Par exemple, une société de distribution de gaz en aval a reconnu que son
infrastructure vieillissante augmentait le risque de fuite de gaz. En examinant les tendances des
données relatives aux fuites de gaz, l'organisation a pu évaluer le risque sur l'ensemble de son
réseau de distribution. La direction a ensuite élaboré un plan pour remplacer les infrastructures
usées et réparer les sections qui avaient encore une durée de vie utile. Cette approche a permis
à l'entreprise de maintenir l'intégrité de l'infrastructure tout en allouant d'importantes ressources
supplémentaires sur une plus longue période.
Gardez à l'esprit que les avantages de l'intégration des pratiques de gestion des risques d'entreprise
aux pratiques de définition de la stratégie et de gestion de la performance varieront selon l'entité.
Il n'existe pas d'approche unique pour toutes les entités. Cependant, la mise en œuvre de pratiques
de gestion des risques de l'entreprise aidera généralement une organisation à atteindre ses objectifs
de performance et de rentabilité et à prévenir ou réduire la perte de ressources.

La gestion des risques d'entreprise et la capacité d'adaptation, de survie et de
prospérité
Toute entité s'efforce d'atteindre sa stratégie et ses objectifs commerciaux, et ce dans un
environnement en mutation. La mondialisation des marchés, les percées technologiques, les
fusions et acquisitions, les fluctuations des marchés financiers, la concurrence, l'instabilité
politique, les capacités de la main-d'œuvre et la réglementation, entre autres, font qu'il est difficile
de connaître tous les risques possibles pour la réalisation de la stratégie et des objectifs
commerciaux.
Le risque étant toujours présent et changeant, il peut être difficile de poursuivre et d'atteindre des
objectifs. Bien qu'il ne soit pas possible pour les organisations de gérer tous les résultats potentiels
d'un risque, elles peuvent améliorer la façon dont elles s'adaptent aux circonstances changeantes.
C'est ce qu'on appelle parfois la durabilité, la résilience et l'agilité de l'organisation. Le Cadre
intègre ce concept dans le contexte général de la création, de la préservation et de la réalisation de
la valeur.
La gestion des risques de l'entreprise se concentre sur la gestion des risques pour réduire la
probabilité qu'un événement se produise et sur la gestion de l'impact lorsqu'il se produit. La
"gestion de l'impact" peut nécessiter qu'une organisation s'adapte en fonction des circonstances.
Dans certains cas extrêmes, cela peut inclure la mise en œuvre d'un plan de gestion de crise.
L'exemple 1.1 illustre un tel plan dans la pratique.
Exemple 1.1 : Plan de gestion de crise
Un opérateur de navires de croisière est préoccupé par le risque d'épidémies virales pendant que
ses navires sont en mer. Un navire de croisière n'a pas la capacité de mettre les passagers en
quarantaine pendant une épidémie, mais il peut appliquer des procédures visant à minimiser la
propagation des germes. Cependant, malgré l'installation de stations de désinfection des mains sur
l'ensemble du navire, la mise à disposition d'une buanderie et la désinfection quotidienne des
mains courantes, des toilettes et d'autres zones communes, des épidémies virales peuvent toujours
se produire. L'organisation réagit en mettant en place des pratiques spécifiques. Tout d'abord, le
nettoyage et la désinfection de routine à bord sont intensifiés. Lorsque le navire est au port, tous
les passagers doivent débarquer pour permettre à un personnel spécialement formé de désinfecter
l'ensemble du navire. Ensuite, les protocoles de nettoyage sont mis à jour en fonction de la souche
de virus trouvée. Le départ de la prochaine croisière est retardé jusqu'à ce que tous les protocoles
de nettoyage soient appliqués. Dans la plupart des cas, le retard est inférieur à quarante-huit
heures. En mettant en place de solides pratiques de gestion des risques d'entreprise pour répondre
et s'adapter immédiatement à chaque situation unique, la compagnie est en mesure de minimiser
l'impact tout en maintenant la confiance des passagers dans la compagnie de croisière.

Il arrive qu'une organisation ne soit pas en mesure de reprendre ses activités normales à court
terme lorsqu'un événement se produit. Dans ces cas, l'organisation doit adopter une solution à
plus long terme. Prenons l'exemple d'un bateau de croisière qui est immobilisé en mer par un
incendie. Contrairement au scénario d'une épidémie virale évoqué dans l'exemple 1.1, qui ne
touche que quelques passagers, l'incendie touche tout le monde. Il peut y avoir un besoin immédiat
d'assistance médicale, de nourriture, d'eau et d'abri, voire un appel à débarquer tous les passagers.
Comme les navires se trouvent rarement au même endroit, la planification commune des
interventions en cas de crise peut être moins efficace, car chaque lieu et chaque type d'incident
peut présenter des défis différents. Toutefois, en planifiant l'emplacement de sa flotte et en
échelonnant les horaires de départ, la compagnie peut maintenir un itinéraire où les navires sont
toujours à quelques heures d'un port ou d'un autre navire de croisière. Ce chevauchement permet
à la compagnie de redéployer rapidement les navires et les équipages pour apporter son aide en
cas d'urgence.
La direction sera en meilleure position si elle prend le temps d'anticiper ce qui peut se produire -
le probable, le possible et l'improbable. La capacité d'adaptation au changement rend une
organisation plus résiliente et mieux à même d'évoluer face aux contraintes du marché et des
ressources. Cette capacité peut également donner à la direction la confiance nécessaire pour
augmenter le niveau de risque que l'organisation est prête à accepter et, en fin de compte, pour
accélérer la croissance et créer de la valeur.
1 Les termes définis sont liés au Glossaire des termes clés lors de leur première utilisation dans le document.
2 Dans la présente publication, le terme "risques" (au pluriel) désigne un ou plusieurs événements potentiels susceptibles d'affecter
la réalisation des objectifs. Le terme "risque" (au singulier) fait référence à tous les événements potentiels pris collectivement qui
peuvent affecter la réalisation des objectifs.
3 Notez que certaines entités utilisent des termes différents, tels que "credo", "but", "philosophie", "croyances fondamentales" et
"politiques". Quelle que soit la terminologie utilisée, les concepts sous-jacents à la mission, à la vision et aux valeurs fondamentales
fournissent une structure de communication à l'échelle de l'entité.
4 Dans le présent document, l'expression "gestion du risque d'entreprise" désigne la culture, les capacités et les pratiques, intégrées
à la définition de la stratégie et à la performance, sur lesquelles les organisations s'appuient pour gérer le risque dans la création,
la préservation et la réalisation de la valeur. Elle ne fait pas référence à une fonction, un groupe ou un département au sein d'une
entité. Des considérations spécifiques sur le modèle opérationnel sont abordées à l'annexe B du volume II.
5 Le terme "cadre" désigne collectivement les cinq composantes présentées au chapitre 5 et traitées individuellement dans les chapitres
6 à 10.
6 Internal Control-Integrated Framework peut être obtenu sur le site www.coso.org.

2. Comprendre les termes : Risque et gestion du risque d'entreprise
Définir le risque et l'incertitude
La stratégie et les objectifs commerciaux d'une entité peuvent être affectés par des événements
potentiels. L'absence de prévisibilité complète de la survenance (ou non) d'un événement et de son
impact crée une incertitude pour une organisation. L'incertitude existe pour toute entité qui
s'efforce de réaliser des stratégies et des objectifs commerciaux futurs. Dans ce contexte, le risque
est défini comme suit :
La possibilité que des événements se produisent et affectent la réalisation de la stratégie et des
objectifs de l'entreprise.
L'encadré de cette page contient des termes qui développent et soutiennent la définition du risque.
Le Cadre souligne que le risque est lié au potentiel d'événements, souvent considérés en termes
de gravité. Dans certains cas, le risque peut être lié à l'anticipation d'un événement attendu qui ne
se produit pas.
Événement : Une occurrence ou un ensemble d'occurrences.
Incertitude : L'état de ne pas savoir comment ou si des événements potentiels peuvent se
manifester.
Sévérité : Une mesure des considérations telles que la probabilité et l'impact des événements ou
le temps nécessaire pour se remettre des événements.
Dans le contexte du risque, les événements sont plus que des transactions de routine ; ils
comprennent des questions commerciales plus larges telles que les changements dans la
gouvernance et la structure opérationnelle, les influences géopolitiques et sociales, et les
négociations contractuelles, entre autres choses. Certains événements susceptibles d'affecter la
stratégie et les objectifs de l'entreprise sont facilement identifiables - une variation des taux
d'intérêt, le lancement d'un nouveau produit par un concurrent ou le départ à la retraite d'un
employé clé. D'autres sont moins évidents, notamment lorsque plusieurs petits événements se
combinent pour créer une tendance ou une condition. Par exemple, il peut être difficile d'identifier
des événements spécifiques liés au réchauffement de la planète, mais il est généralement admis
que cette situation se produit. Dans certains cas, les organisations peuvent même ne pas savoir ou
être en mesure d'identifier les événements susceptibles de se produire.
Les organisations se concentrent généralement sur les risques qui peuvent avoir un résultat
négatif, comme les dommages causés par un incendie, la perte d'un client clé ou l'apparition d'un
nouveau concurrent. Cependant, les événements peuvent également avoir des conséquences
positives, comme une météo plus clémente que prévu, des tendances plus fortes en matière de
rétention du personnel ou des taux d'imposition plus élevés, qui doivent également être pris en

compte. De même, les événements qui sont bénéfiques à la réalisation d'un objectif peuvent en
même temps représenter un défi pour la réalisation d'autres objectifs. Par exemple, le lancement
d'un produit dont la demande est supérieure aux prévisions a un effet positif sur la performance
financière. Cependant, il peut également augmenter le risque pour la chaîne d'approvisionnement,
ce qui peut entraîner l'insatisfaction des clients si l'entreprise ne peut pas fournir le produit.
Certains risques ont un impact minime sur une entité, et d'autres ont un impact plus important. Les
pratiques de gestion des risques de l'entreprise aident l'organisation à identifier, à hiérarchiser et à
se concentrer sur les risques qui peuvent empêcher la création, la préservation et la réalisation de
la valeur, ou qui peuvent éroder la valeur existante. Mais, tout aussi important, il aide également
l'organisation à saisir les opportunités potentielles.
Définir la gestion du risque d'entreprise
La gestion des risques de l'entreprise est définie ici comme suit :
La culture, les capacités et les pratiques, intégrées à la définition de la stratégie et aux
performances, sur lesquelles les organisations s'appuient pour gérer le risque dans la
création, la préservation et la réalisation de la valeur.
Un examen plus approfondi de la définition de la gestion des risques de l'entreprise met l'accent
sur l'importance de la gestion des risques :
- Reconnaître la culture.
- Développement des capacités.
- Les pratiques d'application.
- Intégration avec la définition de la stratégie et la performance.
- Gérer les risques en fonction de la stratégie et des objectifs commerciaux.
- Lien vers la valeur.
Reconnaître la culture
La culture est développée et façonnée par les personnes à tous les niveaux d'une entité, par ce
qu'elles disent et font. Ce sont les personnes qui établissent la mission, la stratégie et les objectifs
commerciaux de l'entité, et qui mettent en place les pratiques de gestion des risques de
l'entreprise. De même, la gestion des risques de l'entreprise affecte les décisions et les actions des
personnes. Chaque personne a un point de référence unique, qui influence la façon dont elle
identifie, évalue et réagit aux risques. La gestion des risques de l'entreprise aide les gens à prendre
des décisions tout en comprenant que la culture joue un rôle important dans l'élaboration de ces
décisions.

Développer les capacités
Les organisations recherchent divers avantages concurrentiels afin de créer de la valeur pour
l'entité. La gestion des risques de l'entreprise ajoute aux compétences nécessaires pour mener à
bien la mission et la vision de l'entité et pour anticiper les défis qui peuvent entraver le succès de
l'organisation. Une organisation qui a la capacité de s'adapter au changement est plus résiliente
et mieux à même d'évoluer face aux contraintes et opportunités du marché et des ressources.
Application des pratiques
La gestion des risques de l'entreprise n'est pas statique et n'est pas non plus un accessoire de
l'entreprise. Au contraire, elle est continuellement appliquée à l'ensemble des activités ainsi qu'aux
projets spéciaux et aux nouvelles initiatives. Elle fait partie des décisions de gestion à tous les
niveaux de l'entité.
Les pratiques utilisées dans la gestion des risques de l'entreprise sont appliquées à partir des
niveaux les plus élevés d'une entité et se diffusent à travers les divisions, les unités opérationnelles
et les fonctions. Ces pratiques ont pour but d'aider les personnes au sein de l'entité à mieux
comprendre sa stratégie, les objectifs commerciaux qui ont été fixés, les risques existants, le niveau
de risque acceptable, l'impact du risque sur la performance et la manière dont elles sont censées
gérer le risque. En retour, cette compréhension facilite la prise de décision à tous les niveaux et
contribue à réduire les préjugés organisationnels.
Intégration avec la définition de la stratégie et la performance
Une organisation définit une stratégie qui s'aligne sur sa mission et sa vision et les soutient. Elle
fixe également des objectifs opérationnels qui découlent de la stratégie, en cascade vers les unités
opérationnelles, les divisions et les fonctions de l'entité. Au plus haut niveau, la gestion des
risques de l'entreprise est intégrée à la définition de la stratégie, la direction comprenant le profil
de risque global de l'entité et les implications des stratégies alternatives à ce profil de risque. La
direction tient spécifiquement compte de toutes les nouvelles opportunités qui se présentent grâce
à l'innovation et aux activités émergentes.
Mais la gestion des risques de l'entreprise ne s'arrête pas là ; elle se poursuit dans les tâches
quotidiennes de l'entité, et ce faisant, elle peut réaliser des bénéfices importants. Une organisation
qui intègre la gestion des risques d'entreprise dans ses tâches quotidiennes a plus de chances de
réduire ses coûts qu'une organisation qui "superpose" des procédures de gestion des risques
d'entreprise. Sur un marché hautement concurrentiel, de telles économies peuvent être cruciales
pour le succès d'une entreprise. De plus, en intégrant la gestion des risques de l'entreprise dans les
opérations de base de l'entité, la direction est susceptible d'identifier de nouvelles opportunités
pour développer l'entreprise.

La gestion du risque d'entreprise s'intègre également à d'autres processus de gestion. Des actions
spécifiques sont nécessaires pour des tâches spécifiques, telles que la planification des activités,
les opérations et la gestion financière. Une organisation qui prend en compte les risques de crédit
et de change, par exemple, peut avoir besoin de développer des modèles et de capturer de grandes
quantités de données nécessaires à l'analyse. En intégrant les pratiques de gestion des risques de
l'entreprise aux activités opérationnelles d'une entité, et en comprenant comment le risque affecte
potentiellement l'entité dans son ensemble, et pas seulement dans un domaine, la gestion des
risques de l'entreprise peut devenir plus efficace.
Gestion des risques pour la stratégie et les objectifs commerciaux
La gestion des risques de l'entreprise fait partie intégrante de la réalisation de la stratégie et des
objectifs commerciaux. Des pratiques de gestion des risques d'entreprise bien conçues permettent
à la direction et au conseil d'administration d'avoir une attente raisonnable quant à la réalisation
de la stratégie globale et des objectifs commerciaux de l'entité. Avoir une attente raisonnable
signifie que le montant du risque lié à la réalisation de la stratégie et des objectifs commerciaux
est approprié pour cette entité, en reconnaissant que personne ne peut prédire le risque avec une
précision absolue.
Mais même si des attentes raisonnables sont en place, les entités peuvent être confrontées à des
défis imprévus, d'où l'importance de revoir régulièrement les pratiques de gestion des risques de
l'entreprise. L'examen - et la révision conséquente si nécessaire - permet de maintenir des
pratiques solides qui augmentent la confiance de la direction dans la capacité de l'entité à répondre
avec succès aux imprévus et à atteindre sa stratégie et ses objectifs commerciaux.
Le lien avec la valeur
Une organisation doit gérer les risques liés à sa stratégie et à ses objectifs commerciaux en
fonction de son appétit pour le risque, c'est-à-dire les types et le montant des risques, à un niveau
général, qu'elle est prête à accepter dans sa quête de valeur. La mission et la vision d'une entité
sont la première expression de son appétit pour le risque. Des stratégies différentes exposeront
une entité à des risques différents ou à des montants différents de risques similaires.
L'appétit pour le risque donne des indications sur les pratiques qu'une organisation est encouragée
à suivre ou à ne pas suivre. Elle fixe l'éventail des pratiques appropriées et guide les décisions
fondées sur le risque plutôt que de spécifier une limite.
L'appétit pour le risque n'est pas statique ; il peut changer d'un produit ou d'une unité commerciale
à l'autre et au fil du temps, en fonction de l'évolution des capacités de gestion du risque. Les types
et le montant des risques qu'une organisation peut considérer comme acceptables peuvent
changer. Par exemple, en période de conjoncture économique favorable, une entreprise prospère
et en pleine croissance peut être plus disposée à accepter certains risques de baisse que lorsque

la conjoncture est mauvaise et que les perspectives commerciales se détériorent. L'appétit pour
le risque doit être suffisamment souple pour s'adapter à l'évolution des conditions commerciales
en fonction des besoins, sans attendre les examens et les approbations périodiques de la direction.
Bien que l'appétit pour le risque soit présenté ici, le Cadre définit de nombreux cas où il est
appliqué dans le cadre de la gestion des risques de l'entreprise. Certaines des applications les plus
importantes de l'appétit pour le risque sont les suivantes :
-Utilisation par l'organisation pour prendre des décisions qui augmentent la valeur.
-Aider à aligner le montant acceptable de risque avec la capacité de l'organisation à gérer les
risques et les opportunités.
Pertinence lors de la définition de la stratégie et des objectifs de l'entreprise, en aidant la direction
à déterminer si les objectifs de performance sont alignés sur un niveau de risque acceptable.
-Assistance dans la communication des profils de risque souhaités par le conseil d'administration.
Pertinence et alignement sur la capacité de risque.
-Utilisation dans l'évaluation du risque agrégé au niveau du portefeuille.
La gestion des risques de l'entreprise aide la direction à choisir une stratégie qui aligne la création
de valeur anticipée avec l'appétit de l'entité pour le risque et ses capacités à gérer le risque plus
souvent et de manière plus cohérente dans le temps. La gestion des risques dans les limites de
l'appétit pour le risque renforce la capacité d'une organisation à créer, préserver et réaliser de la
valeur.
7 "Entité" est un terme large qui peut englober une grande variété de structures juridiques, y compris les entités à but lucratif, sans
but lucratif et gouvernementales.
8 Ce cadre fait la distinction entre les résultats positifs et les opportunités. Les résultats positifs concernent les cas où les
performances dépassent l'objectif initial. Les opportunités concernent une action ou une action potentielle qui crée ou modifie les
objectifs ou les approches pour créer, préserver et réaliser la valeur.
9 L'appétit pour le risque est abordé plus en détail dans le Cadre sous le Principe 7 : Définir l'appétit pour le risque.

3. Stratégie, objectifs commerciaux et Performance
Gestion des risques et stratégie d'entreprise
La gestion des risques de l'entreprise aide une organisation à mieux comprendre :
-Comment la mission, la vision et les valeurs fondamentales constituent l'expression initiale des
types et du montant des risques acceptables à prendre en compte lors de la définition de la
stratégie.
La possibilité que la stratégie et les objectifs commerciaux ne s'alignent pas sur la mission, la
vision et les valeurs fondamentales.
Les types et la quantité de risques auxquels l'organisation s'expose potentiellement en choisissant
une stratégie particulière.
-Les types et le montant des risques inhérents à la mise en œuvre de sa stratégie et à la réalisation
de ses objectifs commerciaux, ainsi que l'acceptabilité de ce niveau de risque et, en définitive,
de la valeur.
La figure 3.1 illustre la stratégie dans le contexte de la mission, de la vision et des valeurs
fondamentales, et en tant que moteur de l'orientation et des performances globales d'une entité.
Possibilité de désalignement de la stratégie et des objectifs commerciaux
La mission et la vision donnent une vue d'ensemble des types et des montants de risques
acceptables pour l'entité. Elles aident l'organisation à établir des limites et à se concentrer sur la
manière dont les décisions peuvent affecter la stratégie. Une organisation qui comprend sa mission
et sa vision peut établir des stratégies qui produiront le profil de risque souhaité. Considérez les
déclarations d'un prestataire de soins de santé dans l'exemple 3.1.

Exemple 3.1 : Mission, vision et valeurs fondamentales en cascade
Mission : Améliorer la santé des personnes que nous servons en leur fournissant des soins de haute
qualité, une gamme complète de services et un accès pratique et rapide à l'adresse avec un service
aux patients et une compassion exceptionnelle.
Vision : Notre hôpital sera le fournisseur de soins de santé de choix pour les médecins et les
patients, et sera connu pour offrir une qualité inégalée, un service de premier ordre, et être un endroit
formidable pour pratiquer la médecine.
Valeurs fondamentales : Nos valeurs servent de base à tout ce que nous pensons, disons et faisons.
Nous traiterons nos médecins, nos patients et nos collègues avec respect, honnêteté et compassion,
tout en les tenant responsables de ces valeurs.
Ces déclarations guident l'organisation dans la détermination des types et de la quantité de risques
qu'elle est susceptible de rencontrer et d'accepter. L'organisation prendrait en compte les risques
associés à la fourniture de soins de haute qualité (mission), à la fourniture d'un service pratique
et rapide (mission) et au fait d'être un endroit formidable pour pratiquer la médecine (vision).
Compte tenu de l'importance qu'elle accorde à la qualité, au service et à l'étendue des
compétences, l'organisation cherchera probablement une stratégie présentant un profil de risque
plus faible en ce qui concerne la qualité des soins et le service aux patients. Cela peut signifier
offrir des services aux patients hospitalisés et/ou externes, mais ne pas être une présence en ligne
primaire. En revanche, si l'organisation avait énoncé sa mission en termes d'innovation dans les
approches de soins aux patients ou de canaux de prestation avancés, elle aurait peut-être adopté
une stratégie présentant un profil de risque différent.
La gestion des risques d'entreprise peut aider une entité à éviter de mal aligner une stratégie. Elle
peut permettre à une organisation de s'assurer que la stratégie qu'elle choisit soutient la mission et
la vision plus larges de l'entité pour la direction et le conseil d'administration.
Évaluer la stratégie choisie
La gestion des risques d'entreprise ne crée pas la stratégie de l'entité, mais elle informe
l'organisation sur les risques associés aux stratégies alternatives envisagées et, finalement, à la
stratégie adoptée. L'organisation doit évaluer comment la stratégie choisie pourrait affecter le
profil de risque de l'entité, plus précisément les types et la quantité de risques auxquels
l'organisation est potentiellement exposée.
Lors de l'évaluation des risques potentiels qui peuvent découler de la stratégie, la direction prend
également en compte toutes les hypothèses critiques qui sous-tendent la stratégie choisie. Ces
hypothèses constituent une partie importante de la stratégie et peuvent être liées à toute
considération faisant partie du contexte commercial de l'entité. La gestion des risques de
l'entreprise fournit des indications précieuses sur la sensibilité des modifications apportées aux

COSO ERM 2017 traduit en Français.pdf

COSO ERM 2017 traduit en Français.pdf

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à COSO ERM 2017 traduit en Français.pdf

Similaire à COSO ERM 2017 traduit en Français.pdf (20)

COSO ERM 2017 traduit en Français.pdf