Ceci est une introduction au cours de Risk management, faites par le Professeur Bensouda, de l'ENCG Fès.

1. RISK MANAGEMENT
Unité 2: Management des risques

2. 2
Contexte de la mise en valeur au sein des
organisations
Définitions et objectifs
Référentiels et réglementations
Processus de gestion des risques
Principaux acteurs
 Liens entre le MR, le CI et l’AI
Limites principales
Unité 2.Management des risques

3. Unité 2.Management des risques
1. Contexte mondial
Le management des risques est placé au cœur des préoccupations
de toutes les parties prenantes (autorités de tutelle, actionnaires…)
pour les raisons suivantes:
 Les effets néfastes des crises qui ont secoué les Etats Unis et
l’Europe et dont les impacts se sont fait sentir dans d’autres parties du
monde (mondialisation et globalisation) ont amené les parties
prenantes à réfléchir sur des mesures capables de s’assurer que
les organisations sont bien sous contrôle et protégées.
 La genèse de risques complexes grâce aux progrès techniques
et au développement des économies et des techniques financières.
 La complexité et l’interdépendance des économies.
 L’agressivité de la concurrence et l’émergence de marchés
mondiaux de consommation en exponentielle expansion mais très
volatiles (changements rapides et imprevisibles) et instables.
3

4. Unité 2.Management des risques
1. Contexte mondial
• Le management du risque ou le Risk Management est apparu aux
Etats-Unis et son application date des années soixante, puis en 1965
au Royaume Uni.
• Sa première utilisation en France était en 1975.
• Aux Etats-Unis, le COSO (Committee Of Sponsoring Organization of
Treadway commission), « Entreprise Risk Management Integrated
Framework », a publié en 2004 un dispositif du management des
risques ou cadre de référence relatif au management des risques de
l’entreprise permettant d’aider les organisations à identifier, évaluer
et gérer efficacement les risques.
4

5. JELLOULI Tarik 5
Unité 2. Management des risques
2. Définitions
• Selon le COSO II, « Le management des risques est un
processus mis en œuvre par le conseil d’administration
(supervision), la direction générale (mise en œuvre
des décisions stratégiques), le management (Mise en
œuvre des actions sur le terrain) et l’ensemble des
collaborateurs de l’organisation.
• Il est pris en compte dans l’élaboration de la stratégie
ainsi que dans toutes les activités de l’organisation.
• Il est conçu pour gérer les risques dans les limites de son
appétence pour le risque (le niveau de risque résiduel
qu’une organisation accepte d’assumer).
• Il vise à fournir une assurance raisonnable quant à
l’atteinte des objectifs de l’organisation.
• Le management des risques est d’abord un processus
permanent et non statique qui dessert toute l’entité ;

6. JELLOULI Tarik 6
Unité 2. Management des risques
2. Définitions
• La centralisation des risques par un responsable des
risques permet de mieux piloter le processus de
management des risques.
• Il permet également au conseil d’administration, dans
son rôle de contrôle et de supervision interne, d’être
informé régulièrement de la progression de
l’organisation dans l’atteinte de ses objectifs.
• Le management des risques constitue une composante
importante dans le management global de
l’entreprise ;

7. 2. Objectifs du management des risques

8. 2. Objectifs du management des risques

9. 2. Objectifs du management des risques

10. 2.Objectifs du management des risques
 Le dispositif du management des risques aide l’organisation à
atteindre ces objectifs que l’on peut classer dans les quatre
catégories suivantes :
• Objectifs stratégiques : liés à la stratégie de l’organisation, ils sont
en ligne avec sa mission et la supportent.
• Objectifs opérationnels : fiabilité, l'exactitude et la transparence
des informations financières et non financières que l'organisation
rapporte à ses parties prenantes (actionnaires, régulateurs,
partenaires, etc.).
• Objectifs de reporting : liés à la fiabilité du reporting.
• Objectifs de conformité : relatifs à la conformité aux lois et aux
réglementations en vigueur.
10

11. Les objectifs du Management des risques
Stratégiques
Opérationnels De Reporting
De Conformité

12. Unité 2.Management des risques
3.Référentiels
• Le terme "référentiel" fait référence à un ensemble de
normes, de lignes directrices ou de bonnes pratiques
qui servent de modèle ou de cadre de référence pour
la gestion des risques dans une organisation.
12

13. Unité 2.Management des risques
3.Référentiels
• ISO 31000 : Management du risque
• L'ISO 31000:2009 est une « norme chapeau » offrant une
approche gestion des risques globale et générique et qui
n’est pas appliquée à un secteur donné; au contraire elle est
applicable à tout type d’organisation.
• Elle représente la première norme traitant le risque d’une
manière générale et globale.
• Elle résume les concepts clés et les activités que
l'organisation a besoin d'entreprendre afin de gérer
efficacement les risques, et donc d'augmenter ses chances
d'atteindre ses objectifs.
13

14. Unité 2.Management des risques
3.Référentiels
• Les avantages de la norme ISO 31000: 2OO9 sont :
 Répondre efficacement au changement et protéger l’entreprise au fur à mesure de
son développement ;
 Augmenter la probabilité de l'atteinte des objectifs ;
 Être conscient de la nécessité d'identifier et de traiter les risques dans toute
l'organisation pour minimiser les pertes ;
 Améliorer l'identification des opportunités et des menaces ;
 Se conformer aux exigences légales et réglementaires applicables et aux normes
internationales ;
 Améliorer la gouvernance ;
 Renforcer la confiance des parties prenantes ;
 Etablir une base fiable pour la prise de décision et la planification.
14

15. 3.Référentiels
LE COSO:(Committee of Sponsoring Organizations of
Treadway Commission)
 Le COSO I propose un cadre de référence pour le
contrôle interne.
 Le COSO II, « Entreprise Risk Management
Framework » est un cadre de référence de la
gestion des risques.
15

16. Définition du contrôle interne
• Définition du C.O.S.O : Committee of Sponsoring
Organizations of Treadway Commission (Etats Unis):
• «processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel
d’une organisation destiné à fournir une
assurance raisonnable quant à la réalisation des
objectifs suivants : la réalisation et l’optimisation
des opérations, la fiabilité des informations
financières et la conformité aux lois et aux
règlements en vigueur ». (COSO I Report)
16

17. Objectifs généraux du contrôle interne
1 La recherche de la protection du patrimoine :
– Protection et sauvegarde des actifs immobilisés, des
stocks et des actifs immatériels.
2 La recherche de la qualité de l’information: le CI doit
permettre à l’information d’être:
– Fiable et vérifiable: exactitude vérifiée par un système
de preuves ;
– Exhaustive: complète et dûment enregistrée;
– Pertinente: adaptée au but poursuivi ;
– Disponible: reçue en temps opportun.
3 Le respect des directives et des procédures :
– Respect des lois, des règlements et des contrats;
– Respect des instructions et des procédures pour éviter
des failles telles: la mauvaise communication, le défaut
de supervision, la confusion des tâches..etc.
17

18. Composantes du contrôle interne
selon le COSO
1 Un environnement favorable de contrôle
2 Un système d’évaluation des risques
3 Des activités de contrôle
4 L’information et la communication
5 Le pilotage: suivi du processus
18

19. Composantes du contrôle interne
selon le COSO
1 Un environnement favorable de contrôle
• cela correspond à l'environnement de contrôle (Control
Environment). Cela fait référence à la culture
organisationnelle, à la direction éthique, à la gouvernance,
et à la création d'une base solide de contrôle pour que les
autres éléments soient efficaces.
19

20. 20
– Ethique
– Intégrité
– Compétence
Mission de
chaque
responsable
Procédures
et
Méthodes
Système
d’information Supervision
Eléments constitutifs
–Organigramme
–Analyse de poste
–Délégation des pouvoirs
–Elément matériel
1 Un environnement favorable au CI
Principes:
–Adaptabilité
–Objectivité
–Séparation des tâches
Organisation
appropriée
Environnement du CI

21. 2 Un système d’évaluation des risques
Ou bien processus d'évaluation des risques:
– Elaborer une cartographie des risques spécifiques à l’entité :
risques réglementaires , risques de fraude, risques relatifs à la gestion des
actifs, risques découlant de la défaillance des services opérationnels…
– Identifier les risques qui menacent chaque activité/fonction de l’entité;
– Estimer le risque de chaque activité/fonction selon deux critères : sa
fréquence( sa probabilité de survenue) et sa gravité (impact négatif du
risque);
– Apprécier la gravité du risque et sa fréquence selon une échelle:
Faible(1); Moyen(2); Elevé(3).
– Chaque risque est évalué globalement:
Exemple : Risque réglementaire de la fonction achat:
 Gravité : 2
 Fréquence : 1 D’où le risque réglementaire : 2 x 1 = 2
21

22. 3 Les activités de contrôle ( Dispositifs de CI ):
– Le CI est l’affaire des responsables opérationnels;
– Les activités de contrôle sont nombreuses et propres à chaque fonction;
– Elles reposent sur des actes tels : autoriser, approuver, vérifier, rapprocher,
apprécier la performance, garantir la sécurité des actifs , maintenir une correcte
séparation des tâches et des responsabilités;
– Dans le respect des objectifs généraux du CI, chaque responsable mettra
– en place des contrôles spécifiques (voir tableau).
22
Fonction de
logistique
Risques attachés Evaluation
Activités de
contrôle
1-Tâche:
Inventaire
des actifs
immobilisés
-Risque de suivi
insuffisant du patrimoine
de la direction
- Risque d’inventaire
permanent insuffisant
-Risque de surestimation
du patrimoine
-Important
-Important
-Moyen
-Inventaire
physique du
patrimoine
- Rapprochement
inventaire
physique/inventai
re permanent

23. 4 L’information et la communication
– Les éléments du CI doivent être connus de tous;
– Les éléments qui nuisent à la bonne maîtrise de l’ensemble
doivent être évités : rétention de l’information, information
superflus, repli sur sa propre activité, circuits de
communication excessivement complexes, communication
déficiente ;
– L’information sera nécessaire au contrôle des opérations et
devra parvenir aux personnes qui ont du pouvoir pour gérer
les risques.
23

24. 5 Le pilotage: suivi du processus
– Les responsables opérationnels communiquent à la
direction la manière dont laquelle les risques sont
suivis afin de s’assurer qu’ils sont sous contrôle;
– Ils procèdent à une veille active sur la meilleure
pratique en matière de contrôle interne;
– La veille et le suivi conduisent si nécessaire, à la mise
en œuvre d’actions correctives et à l’adaptation du
dispositif du contrôle interne.
24

25. 3.Référentiels
LE COSO II
 Le COSO II propose un cadre de référence pour la gestion des
risques de l’entreprise « Enterprise Risk Management
Framework » est un cadre de référence de la gestion des risques .
 Il propose des outils facilitant l’appropriation et la mise en place
du management des risques.
 Il est plus global et inclut les éléments du COSO I et du
management des risques.
 Les modalités pratiques de l’instauration du MR au Maroc ont été
largement inspirées du référentiel COSO II vu la richesse de ce
dernier et son aspect générique adaptable aux entreprises.
25

26. 3. Référentiels
Éléments du dispositif du management des risques
COSO II
Le dispositif de management des risques comprend huit éléments :
 Environnement interne (environnement du CI);
 Fixation des objectifs (définition des objectifs);
 Identification des événements;
 Evaluation des risques;
 Traitement des risques (réponse aux risques);
 Activités de contrôle;
 Information et communication;
 Pilotage (surveillance).

27. 3. Référentiels
Éléments du dispositif du management des risques
COSO II
• Environnement interne : L’environnement interne englobe la culture
et l’esprit de l’organisation. Il structure la façon dont les risques sont
appréhendés et pris en compte par l’ensemble des collaborateurs de
l’entité, et plus particulièrement la conception du management et son
appétence pour le risque, l’intégrité et les valeurs éthiques, et
l’environnement dans lequel l’organisation opère.
• Fixation des objectifs : Les objectifs doivent avoir été préalablement
définis pour que le management puisse identifier les événements
potentiels susceptibles d’en affecter la réalisation. Le management des
risques permet de s’assurer que la direction a mis en place un processus
de fixation des objectifs et que ces objectifs sont en ligne avec la
mission de l’entité ainsi qu’avec son appétence pour le risque.

28. 3. Référentiels
Éléments du dispositif du management des risques
COSO II
• Identification des événements : Les événements internes et externes
susceptibles d’affecter l’atteinte des objectifs d’une organisation doivent
être identifiés en faisant la distinction entre risques et opportunités.
• Les opportunités sont prises en compte lors de l’élaboration de la
stratégie ou au cours du processus de fixation des objectifs.
• Évaluation des risques : Les risques sont analysés, tant en fonction de
leur probabilité d’occurrence que de leur impact, cette analyse servant de
base pour déterminer la façon dont ils doivent être gérés.
• Les risques inhérents et les risques résiduels sont évalués.
• Traitement des risques : Le management définit des solutions
permettant de faire face aux risques - évitement, acceptation, réduction
ou partage-. Pour ce faire le management élabore un ensemble de
mesures permettant de mettre en adéquation le niveau des risques avec le
seuil de tolérance et l’appétence pour le risque de l’organisation

29. 3. Référentiels
Éléments du dispositif du management des risques
COSO II
• Activités de contrôle : Des politiques et procédures sont définies
et déployées afin de veiller à la mise en place et à l’application
effective des mesures de traitement des risques.
• Information et communication : Les informations utiles sont
identifiées, collectées, et communiquées sous un format et dans des
délais permettant aux collaborateurs d’exercer leurs responsabilités.
Plus globalement, la communication doit circuler verticalement et
transversalement au sein de l’organisation de façon efficace.
• Pilotage : Le processus de management des risques est piloté dans sa
globalité et modifié en fonction des besoins. Le pilotage s’effectue
au travers des activités permanentes de management ou par le biais
d’évaluations indépendantes ou encore par une combinaison de ces
deux modalités.

30. 3. Référentiels
Éléments du dispositif du management des risques
COSO II
• Il existe une relation directe entre les objectifs que cherche à
atteindre une organisation et les éléments du dispositif de
management des risques qui représentent ce qui est nécessaire à
leur réalisation.
• La relation est illustrée par une matrice en trois dimensions
ayant la forme d’un cube.

31. Relation entre éléments et objectifs

32. COSO I et COSO II
• Le cube du COSO II permet de visualiser comment les éléments du
système de gestion des risques interagissent avec les objectifs de
l'organisation à différents niveaux.
• Chaque élément du système de gestion des risques (environnement interne,
identification des risques, traitement, etc.) doit être appliqué pour atteindre
les différents objectifs (stratégiques, opérationnels, de conformité, etc.).
• La gestion des risques doit être mise en œuvre à tous les niveaux de
l'organisation, qu'il s'agisse du niveau stratégique ou du niveau
opérationnel.
• En somme, le cube du COSO II est un outil visuel qui aide à comprendre
comment les risques doivent être gérés de manière holistique, en lien avec
les objectifs spécifiques de l'organisation et à travers ses différents niveaux
hiérarchiques.

33. COSO I et COSO II
• COSO I est plus axé sur la gestion des contrôles internes.
• COSO II élargit et approfondit l'application du COSO II, avec un
focus sur la gestion des risques.

34. 3. Référentiels
Autres référentiels et réglementations
 REFERENCIELS
 L’IFACI affilié à l’IIA (170 000 adhérents dans plus de 160
pays);
 La méthode ARM de l’IIA ;
 Le cadre de référence de l’AMF ;
 Le BS 31100 ;
 La méthode FERMA ;
 Le standard AS NZS 4360 ;
 Le Turnbull Report…

35. 3. Référentiels
Autres référentiels et réglementations
 REGLEMENTATIONS EN MATIERE DE GOUVERNANCE
D’ENTREPRISE ET DE MANAGEMENT DES RISQUES
 La loi SARBANES-OXLEY (SOX) de 2002 ayant pour objectifs de :
 Sécuriser l’actionnaire et l’investisseur quant à la sincérité des
états financiers (suite à une série de scandales tels ENRON…);
 Protéger les cash-flows et la rémunération de l’actionnaire.
 La loi sur la sécurité financière.
 La 8ème
directive Européenne.

36. Unité 2. Management des risques
4.Processus de management des risques
• En combinant le COSO II et la norme ISO 31000:2009 on peut
schématiser le processus de management des risques comme
suit :
36

37. 4. Processus de management des risques
37

38. JELLOULI Tarik - U.F.2 38
4. Processus de management des risques
• Identification des risques : recenser les risques auxquels chacune des
activité de l’entreprise est confrontée. Les risques sont identifiés en terme
de dysfonctionnement, leurs identifications se fait de plusieurs manières, soit
en :
 Dressant une liste des objectifs, des activités, des éléments d’actif et des
principaux intervenants de l’entreprise ou organisme. Ensuite, déterminer les
risques connexes ;
 Vérifiant d’autres sources pour obtenir une vue d’ensemble des risques, à
savoirs : L’expérience de l’entreprise ou des organismes de celle-ci, pertes et
incidents antérieurs, statistiques, commentaires, plaintes ou suggestions des
clients, des employés et du public.
• Analyse des risques : Il s’agit d’examiner les risques et distinguer parmi
eux ceux qui n’en sont pas fondés et qu’il convient par conséquent de
rejeter de l’analyse, et ceux qui sont réels et susceptible d’affecter le
déroulement du projet.
• Evaluation des risques : Il s’agit d’estimer l’incidence possible du risque
sur l’entreprise, la gravité de leurs conséquences sur les objectifs du projet
et estimer leurs coûts.

39. • Traitement des risques : Après avoir classé les risques par ordre de priorité
on doit procéder à leurs traitements, à cet effet, il existe plusieurs options
envisageables :
 Acceptation : Accepter le risque tel qu’il est. Certains risques sont inhérents
aux activités de l’organisation, cette dernière peut accepter ou conserver une
partie ou la totalité d’un risque et de ses conséquences financières.
 Atténuation : prendre des mesures nécessaires pour réduire son impact par
l’amélioration du dispositif du contrôle interne, en faisant intervenir les
auditeurs internes.
 Evitement : Lorsque le risque est trop important et aucune réponse identifiée
n’a permis de réduire son impact ou sa probabilité à un niveau acceptable, la
cessation de l’activité qui génère ce risqué.
 Transfert (partage) : L’entreprise peut transférer la totalité ou une partie de
son risque et ses conséquences à des tiers, ceci par la sous-traitance ou par la
délégation de certaines tâches à des tiers, comme par exemple mettre le
transport de marchandise sous la responsabilité des fournisseurs pour éviter
tous les risques associés au transport.
39
4. Processus de management des risques

40. Unité 2. Management des risques
5. Les acteurs du dispositif du RM
40

41. 5. Les acteurs du dispositif du RM
 L’Organe Délibérant :
Approuve et réexamine périodiquement le processus de management des risques ;
Approuve l’appétence de l’organisation pour les risques ;
Suit les risques les plus significatifs et apprécie l’exposition de l’organisation aux
risques au regard de la stratégie et de l’appétence pour les risques ;
Garantit que le processus de management des risques est soumis à un audit interne
efficace et complet.
L’Organe Délibérant est assisté dans ses fonctions en matière de MR par le Comité
des Risques et le Comité d’Audit.
 Le Comité d’audit :
Apprécie la cohérence des systèmes de mesure, de surveillance et de maîtrise des
risques ;
Examine les insuffisances du fonctionnement du système de contrôle interne ;
Examine l’efficacité du processus de management des risques sur la base des
rapports de l’Audit Interne.
41

42. 5. Les acteurs du dispositif du RM
 Le Comité des Risques :
 Supervise l’élaboration de la stratégie des risques de l’organisation ;
 S’assure de la mise en œuvre de cette stratégie ;
 Évalue l’exposition de l’organisation aux risques significatifs et en faire rapport
à l’organe délibérant ;
 S’assure de la mise en place d’un processus de management des risques efficace
;
 Approuve les systèmes de mesure et de surveillance des risques ;
 Contrôle le respect par la Haute Direction de la stratégie de gestion des risques ;
 Etudie les risques découlant des décisions stratégiques de l’Organe Délibérant ;
 Recommande à l’organe délibérant des actions correctrices pour une meilleure
maîtrise des risques.
42

43. 5. Les acteurs du dispositif du RM
 Le Conseil d’administration (CA): Organe central dans le processus MR
 Met en place un processus de MR approprié, suffisant et efficace;
 Evalue régulièrement ce processus et mene des actions correctives;
 Définit la politique générale de gestion des risques, ainsi que la démarche et le
dispositif de pilotage nécessaires à son application effective ;
 Définit le niveau d’appétence pour les risques et son niveau de tolérance ;
 Soutient le projet d’élaboration de la cartographie des risques;
 Soutenir la démarche Risk Control Self Assessment (RCSA) .
 La DG :Responsable sur le terrain de concrétiser les orientations du CA en
matière de RM
 Met en œuvre et pilote le processus;
 Désigne les responsables dans le processus de MR.
 Présente les résultats de ce processus au CA
43

44. 5. Les acteurs du dispositif du RM
 Le Risque Management: pilote du processus MR
 Permet au Comité des Risques de remplir ses responsabilités telles qu’elles
sont précisées dans sa charte ;
 Assure la promotion du modèle de MR auprès de la Haute Direction et des
responsables des structures et entités de l’organisation ;
 Gère la mise en œuvre et le maintien permanent du processus MR
conformément à la politique générale de gestion des risques de l’organisation;
 Veille à ce que le processus MR fonctionne, d’une manière efficace, à tous les
niveaux de l’entité et à ce que tous les risques sont connus et gérés ;
 Elabore la cartographie des risques ;
 Anime la démarche Risk Control Self Assessment (RCSA) ;
 Assure le reporting interne et externe en matière de gestion des risques.
44

45. 5. Les acteurs du dispositif du RM
 L’Audit Interne: rôle majeur dans le processus MR (charge
prioritaire de son évaluation, en émettant un avis indépendant)
 Evalue, périodiquement, l’efficacité du processus management des
risques et contribue à son amélioration;
 Evalue , dans le cadre de ses missions, l’efficacité du processus de
contrôle interne ;
 Fournit une assurance raisonnable sur l’exhaustivité et l’exactitude
du reporting relatif au management des risques;
 Aide, à travers ses missions d’audit, à identifier et évaluer les
risques.
45

46. 5.Les acteurs du dispositif du RM
 Le responsables opérationnels (management): Les managers en charges des
structures et entités et propriétaires des risques liés à leurs activités.
• Appliquent les techniques et méthodologies de MR de l’organisation afin de
s’assurer que les risques sont correctement identifiés, évalués et traités ;
• Sont responsables de l’identification, de l’évaluation, de l’atténuation et du suivi
des risques;
• Choisissent le traitement à appliquer aux risques en concertation avec le Risk
Manager;
• Déterminent le niveau de risque acceptable dans leur domaine d’intervention
conformément à la politique de l’organisation quant à la gestion des risques (pour
les risques majeurs, ce rôle est dévolu à la Haute Direction) ;
• Sont responsables du déploiement et de la mise à jour régulière de la cartographie
des risques concernant leur domaine;
• Rendent compte à la DG des nouveaux risques identifiés ou des lacunes du
processus de MR..
46

47. 5.Les acteurs du dispositif du RM
 Les Opérationnels: propriétaires des risques dans le périmètre
de leurs activités.
• Rendent compte aux managers quant à l’identification, l’évaluation
et la mise en œuvre des actions de maîtrise des risques chacun dans
son périmètre d’activité ;
• Participent dans la démarche Risk Control Self Assessment-RCSA-
relative à leur domaine d’activité.
47

48. 6. Les liens entre la gestion des risques, le CI et l’AI
• Audit Interne → Gestion des Risques (RM) :
• L’audit interne (évalue) la mise en œuvre des pratiques
de gestion des risques et leur efficacité à réduire les
risques.
• Gestion des Risques → Audit Interne (AI) :
• La gestion des risques fournit les priorités d’audit à
l’audit interne en fonction des risques identifiés.

49. 6. Les liens entre la gestion des risques, le CI et l’AI
• Audit Interne → Contrôle Interne (CI) :
• L’audit interne propose des ajustements aux processus de
contrôle interne (évalue le CI).
• Contrôle Interne → Audit Interne (AI) :
• Le contrôle interne facilite l’audit interne.

50. 6. Les liens entre la gestion des risques, le CI et l’AI
• Contrôle Interne → Gestion des Risques (RM) :
• Le contrôle interne contribue à réduire ou éliminer les
risques identifiés par la gestion des risques.
• Gestion des Risques → Contrôle Interne (CI) :
• La gestion des risques oriente la conception du contrôle
interne pour atténuer les risques identifiés et en
minimiser l'impact.

51. 6. Les liens entre la gestion des risques, le CI et l’AI

52. 7. Les limites du management des risques