SlideShare une entreprise Scribd logo
COSO ERM 2017 traduit en Français.pdf
Ce projet a été commandé par le Committee of Sponsoring Organizations of the Treadway
Commission (COSO), dont la mission est d'assurer un leadership éclairé en élaborant des cadres
et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion
de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire
l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé,
parrainée et financée conjointement par :
- Association américaine de comptabilité
- L'Institut américain des comptables publics certifiés.
- Financial Executives International
- Institut des comptables en management
- L'Institut des auditeurs internes
©2017 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite,
redistribuée, transmise ou affichée sous quelque forme ou par quelque moyen que ce soit sans
l'autorisation écrite du COSO. P254469-01 0516
Avant-propos
Conformément à sa mission générale, le Conseil du COSO a commandé et publié en 2004 le
document Enterprise Risk Management-Integrated Framework. Au cours de la dernière
décennie, cette publication a été largement acceptée par les organisations dans leurs efforts de
gestion des risques. Cependant, au cours de cette période, la complexité des risques a évolué, de
nouveaux risques sont apparus, et les conseils d'administration et les dirigeants ont renforcé leur
sensibilisation et leur surveillance de la gestion des risques de l'entreprise tout en demandant une
meilleure communication des risques. Cette mise à jour de la publication de 2004 traite de
l'évolution de la gestion des risques d'entreprise et de la nécessité pour les organisations
d'améliorer leur approche de la gestion des risques afin de répondre aux exigences d'un
environnement commercial en évolution.
Le document mis à jour, désormais intitulé Enterprise Risk Management-Integrating with
Strategy and Performance, souligne l'importance de la prise en compte du risque dans le
processus d'élaboration de la stratégie et dans le pilotage de la performance. La première partie
de la publication actualisée offre une perspective sur les concepts et les applications actuels et
en évolution de la gestion des risques de l'entreprise. La seconde partie, le Cadre, est organisée
en cinq composantes faciles à comprendre qui s'adaptent à différents points de vue et structures
d'exploitation, et améliorent les stratégies et la prise de décision. En bref, cette mise à jour :
- Donne un meilleur aperçu de la valeur de la gestion des risques d'entreprise lors de la
définition et de la mise en œuvre de la stratégie.
- Améliore l'alignement entre la performance et la gestion des risques de l'entreprise pour
améliorer la fixation des objectifs de performance et la compréhension de l'impact des
risques sur la performance.
- Répond aux attentes en matière de gouvernance et de surveillance.
- Reconnaît la mondialisation des marchés et des opérations et la nécessité d'appliquer une
approche commune, bien qu'adaptée, dans toutes les zones géographiques.
- Représente de nouvelles façons de considérer le risque pour fixer et atteindre des objectifs
dans le contexte d'une plus grande complexité des affaires.
- Elargir les rapports pour répondre aux attentes d'une plus grande transparence des parties
prenantes.
- S'adapter à l'évolution des technologies et à la prolifération des données et des analyses
pour soutenir la prise de décision.
- Etablit les définitions, les composantes et les principes de base pour tous les niveaux de
gestion impliqués dans la conception, la mise en œuvre et la conduite des pratiques de
gestion des risques de l'entreprise.
Les lecteurs peuvent également souhaiter consulter une publication complémentaire, COSO's
Internal Control-Integrated Framework. Ces deux publications sont distinctes et ont des objectifs
différents ; aucune ne remplace l'autre. Cependant, elles sont liées. L'Internal Control-Integrated
Framework englobe le contrôle interne, auquel il est fait référence en partie dans cette publication
actualisée. Par conséquent, le document précédent reste viable et adapté à la conception, à la mise
en œuvre, à la conduite et à l'évaluation du contrôle interne, ainsi qu'au reporting qui en découle.
Le COSO Board tient à remercier PwC pour son importante contribution à l'élaboration du
document Enterprise Risk Management-Integrating with Strategy and Performance. La prise en
compte de l'avis de nombreuses parties prenantes et leur perspicacité ont permis de préserver les
points forts de la publication originale et de clarifier ou d'étoffer le texte lorsque cela s'avérait
utile. Le COSO Board et PwC tiennent également à remercier le Conseil consultatif et les
observateurs pour leur contribution à la révision et aux commentaires.
Robert B. Hirth Jr.
Président du COSO
Dennis L. Chesley
Partenaire chef de projet de PwC et responsable
mondial et APA des risques et de la réglementation
rupture
Comité des organisations de parrainage de la Commission Treadway
Membres du conseil d'administration
Robert B. Hirth Jr.
Président du COSO
Richard F. Chambers
L'Institut des auditeurs internes
Mitchell A. Danaher
Financial Executives International
Charles E. Landes
Institut américain des comptables publics
certifiés
Douglas F. Prawitt Association
américaine de
comptabilité
Sandra Richtermeyer
Institut des comptables en
management
PwC-Auteur
Principaux contributeurs
Miles E.A. Everson
Leader de l'engagement et Leader
consultatif mondial et Asie, Pacifique et
Amériques (APA)
New York, États-Unis
Dennis L. Chesley
Partenaire chef de projet et responsable
mondial et APA des risques et de la
réglementation Washington DC, États-
Unis
Frank J. Martens
Directeur chef de projet et responsable
du cadre et de la méthodologie des
risques mondiaux
Colombie-Britannique, Canada
Matthew Bagin
Directeur
Washington DC, États-Unis
Hélène Katz
Directeur
New York, États-Unis
Katie T. Sylvis
Directeur
Washington DC, États-Unis
Sallie Jo Perraglia
Directeur
New York, États-Unis
Kathleen Crader Zelnik
Directeur
Washington DC, États-Unis
Maria Grimshaw
Associé principal
New York, États-Unis
rupture
Remerciements
Le COSO Board et PwC tiennent à remercier les nombreuses personnes qui ont donné de leur
temps et de leur énergie en participant et en contribuant à divers aspects du projet. Le COSO Board
et PwC reconnaissent également les efforts considérables des organisations du COSO et de leurs
membres qui ont répondu aux enquêtes, participé aux ateliers et aux réunions, et fourni des
commentaires et des réactions tout au long de l'élaboration de ce cadre.
Conseil consultatif
Douglas J. Anderson
L'Institut des auditeurs internes
Directeur général de
CAE Solutions
Mark Beasley
North Carolina State
University
Professeur Deloitte de
gestion des risques d' entreprise
et directeur de l'initiative
ERM
Margaret
Boissoneau United
Technologies
Corporation
PMO Liaison
Anthony J. Carmello
Ernst & Young
Associé, Services consultatifs
Suzanne Christensen Invesco Ltd. Chef
du risque d'entreprise
James Davenport
Zurich Insurance
Company
Responsable mondial du risque et du
contrôle
James DeLoach
Protiviti Inc.
Directeur général
Karen Hardy
Directeur
adjoint du département du
commerce des ÉtatsUnis
pour la gestion des risques
David J. Heller
Edison International VP
Gestion des risques d'entreprise et
Auditeur général
Bailey Jordan
Grant Thornton LLP
Associé, Services consultatifs
Jane Karli
Athene USA Directeur des opérations
d'investissement
James Lam
James Lam &
Associés
Président
David Landsittel
Ancien président du COSO
Lee Marks
First Data Corporation
Gestion du risque d'entreprise
Deon Minnaar KPMG LLP
Amériques
Partenaire principal pour les Amériques
pour ERM/GRC
Jeff Pratt
Microsoft
Directeur général, ERM
Henry Ristuccia
Deloitte & Touche LLP Partenaire, Leader
mondial - GRC
Paul Sobel
Georgia-Pacific LLC Vice-président/chef de
l'audit
Patrick Stroh Paul Walker William Watts
Mercury Business Advisors
Inc. Président Université de St. John's,
Tobin
College of Business
James J. Schiro / Zurich Chaire en gestion des
risques d'entreprise
Crowe Horwath LLP
Associé responsable,
Services des risques d'entreprise
Observateurs
Jennifer Bayuk
Citi
Directeur général
Représentant de l'
Associatio
n
internatio
nale d'
audit et de
contrôle
des
systèmes (
ISACA)
James Dalkin
Government
Accountability Office Directeur dans l'
équipe de gestion et d' assurance
financière
Carol Fox RIMS, la société de gestion des
risques
Directeur,
Risque stratégique
et d' entreprise
Harrison Greene
Société fédérale d
'assurance-dépôts
Chef comptable adjoint
Horst Kreisel Institut der
Wirtschaftsprüfer
(Institut des économistes)
Directeur de la gestion de projet
Jeff Thompson
Institut des comptables en management
Président et directeur général
Vincent Tophoff
Fédération
internationale
des comptables
Directeur technique senior
Julie Bogas
Partenaire
USA
Lillian Borsa
Principal
USA
Angela Calapa
Directeur
USA
Rick Crethar
Part
enai
re
Aust
rali
e
Symon Dawson
Partenaire
ROYAUME-UNI
David Fisher
Principal
USA
Peter Frank
Principal
USA
Dimitriy
Goloborodskiy
Partenaire
USA
Rob Gormly
Principal
USA
Christof Menzies
Partenaire
Allemagne
Gonzalo Nunez
Partenaire Mexique
Jason Pett
Partenaire
USA
Jerri Ribeiro
Partenaire
Brésil
Jonathan Riva
Partenaire Canada
Nicole Salimbeni
Partenaire Australie
Manuel
Seiferth
Directeur
Dietmar Serbee
Principal
Laurie Schive Directeur
Allemagne USA USA
Partenaire
USA
Christina Stecker
Partenaire
Allemagne
Olivier Sueur
Directeur
Pays-Bas
Kuntal Sur
Partenaire
Inde
Alywin Teh
Partenaire
Singapour
Steven van Agt
Directeur
Pays-Bas
Kosta Weber
Directeur général
Pays-Bas
Andrew Wilson
Partenaire
Australie
Stephen
Zawoyski
Partenaire
USA
Contributeurs supplémentaires
PwC souhaite également remercier Geoffrey
Albutt, Catherine Jordan, Mark Tan, Armando
Urunuela et Karen Vitale pour leur contribution à
l'élaboration du Cadre.
Un éventail de risques évolutifs
Notre compréhension de la nature du risque, de l'art et de la science du choix, est au cœur de notre
économie moderne. Chaque choix que nous faisons dans la poursuite de nos objectifs comporte
des risques. Qu'il s'agisse de décisions opérationnelles quotidiennes ou d'arbitrages fondamentaux
dans la salle du conseil d'administration, la gestion du risque dans ces choix fait partie intégrante
de la prise de décision.
Comme nous cherchons à optimiser un éventail de résultats possibles, les décisions sont rarement
binaires, avec une bonne et une mauvaise réponse. C'est pourquoi la gestion des risques de
l'entreprise peut être qualifiée à la fois d'art et de science. La prise en compte du risque dans la
formulation de la stratégie et des objectifs opérationnels d'une organisation, contribue à optimiser
les résultats.
Notre compréhension du risque et notre pratique de la gestion du risque d'entreprise se sont
considérablement améliorées au cours des dernières décennies. Mais la marge d'erreur se réduit.
Le Forum économique mondial a commenté "la volatilité, la complexité et l'ambiguïté croissantes
du monde". C'est unphénomène que nous reconnaissons tous. Les organisations sont confrontées
à des défis qui ont un impact sur la fiabilité, la pertinence et la confiance. Les parties prenantes
sont plus engagées aujourd'hui, elles recherchent une plus grande transparence et une plus grande
responsabilité dans la gestion de l'impact du risque tout en évaluant de manière critique la capacité
du leadership à cristalliser les opportunités. Même le succès peut entraîner des risques
supplémentaires - le risque de ne pas être en mesure de répondre à une demande élevée inattendue
ou de maintenir la dynamique commerciale prévue, par exemple.
Les organisations doivent mieux s'adapter au changement. Elles doivent réfléchir stratégiquement
à la manière de gérer la volatilité, la complexité et l'ambiguïté croissantes du monde, en particulier
aux niveaux supérieurs de l'organisation et dans la salle du conseil d'administration, où les enjeux
sont les plus élevés.
Enterprise Risk Management-Integrating with Strategy and Performance fournit un cadre pour
les conseils d'administration et la direction d'entités de toutes tailles. Il s'appuie sur le niveau
actuel de gestion des risques qui existe dans le cours normal des affaires. En outre, il démontre
comment l'intégration des pratiques de gestion des risques d'entreprise dans l'ensemble d'une
entité permet d'accélérer la croissance et d'améliorer la performance. Il contient également des
principes qui peuvent être appliqués - de la prise de décision stratégique à la performance.
Nous décrivons ci-dessous pourquoi il est judicieux pour la direction et les conseils
d'administration d'utiliser le cadre2
de gestion des risques de l'entreprise, ce que les organisations
ont réalisé en appliquant la gestion des risques de l'entreprise et les avantages supplémentaires
qu'elles peuvent tirer de son utilisation continue. Nous concluons en jetant un regard sur l'avenir.
Guide de la direction pour la gestion des risques d'entreprise
La direction assume la responsabilité globale de la gestion des risques pour l'entité, mais il est
important qu'elle aille plus loin : elle doit renforcer le dialogue avec le conseil d'administration et
les parties prenantes sur l'utilisation de la gestion des risques d'entreprise pour obtenir un avantage
concurrentiel. Cela commence par le déploiement de capacités de gestion des risques de
l'entreprise dans le cadre de la sélection et de l'affinement d'une stratégie.
Plus particulièrement, grâce à ce processus, la direction comprendra mieux comment la prise en
compte explicite du risque peut avoir un impact sur le choix de la stratégie. La gestion des risques
de l'entreprise enrichit le dialogue de gestion en ajoutant une perspective aux forces et aux
faiblesses d'une stratégie lorsque les conditions changent, et à la façon dont une stratégie s'adapte
à la mission et à la vision de l'organisation. Elle permet à la direction de se sentir plus sûre d'avoir
examiné les stratégies alternatives et d'avoir pris en compte l'avis de ceux qui, dans leur
organisation, mettront en œuvre la stratégie choisie.
Une fois la stratégie définie, la gestion des risques de l'entreprise permet à la direction de remplir
efficacement son rôle, en sachant que l'organisation est consciente des risques qui peuvent avoir
un impact sur la stratégie et qu'elle les gère correctement. L'application de la gestion des risques
d'entreprise contribue à créer la confiance et à inspirer confiance aux parties prenantes dans
l'environnement actuel, qui exige un examen plus minutieux que jamais de la manière dont les
risques sont activement abordés et gérés.
Guide du conseil d'administration pour la gestion des risques d'entreprise
Chaque conseil d'administration joue un rôle de surveillance, contribuant à soutenir la création de
valeur d'une entité et à prévenir son déclin. Traditionnellement, la gestion des risques d'entreprise
a joué un rôle de soutien important au niveau du conseil. Aujourd'hui, on attend de plus en plus
des conseils qu'ils assurent la surveillance de la gestion des risques d'entreprise.
Le Cadre fournit des considérations importantes pour les conseils d'administration dans la
définition et la prise en charge de leurs responsabilités en matière de surveillance des risques.
Ces considérations comprennent la gouvernance et la culture, la stratégie et la fixation des
objectifs, la performance, l'information, la communication et le reporting, ainsi que l'examen et
la révision des pratiques pour améliorer la performance de l'entité.
Le rôle de surveillance des risques du conseil d'administration peut inclure, sans s'y limiter, les
éléments suivants :
• Examiner, contester et approuver les décisions de la direction :
- Proposition de stratégie et d'appétit pour le risque.
- Alignement de la stratégie et des objectifs commerciaux sur la mission, la vision et les
valeurs fondamentales de l'entité.
- Décisions commerciales importantes, y compris les fusions, les acquisitions, les allocations
de capital, le financement et les décisions relatives aux dividendes.
- Réaction aux fluctuations importantes de la performance de l'entité ou de la vision du risque
du portefeuille.
- Réponses aux cas de déviation des valeurs fondamentales.
• Approuver les incitations et les rémunérations des dirigeants.
• Participer aux relations avec les investisseurs et les parties prenantes.
À plus long terme, la gestion des risques d'entreprise peut également améliorer la résilience de
l'entreprise, c'est-à-dire sa capacité à anticiper et à réagir au changement. Elle aide les
organisations à identifier les facteurs qui représentent non seulement un risque, mais aussi un
changement, et la manière dont ce changement pourrait avoir un impact sur les performances et
nécessiter un changement de stratégie. En percevant plus clairement le changement, une
organisation peut élaborer son propre plan ; par exemple, doit-elle se replier sur la défensive ou
investir dans une nouvelle activité ? La gestion des risques de l'entreprise fournit aux conseils
d'administration le cadre approprié pour évaluer les risques et adopter un état d'esprit de résilience.
Questions pour la direction
L'ensemble de la direction - et pas seulement le directeur de la gestion des risques - peut-il
expliquer comment le risque est pris en compte dans le choix des décisions stratégiques ou
commerciales ? Peuvent-ils articuler clairement l'appétit de l'entité pour le risque et la manière
dont il pourrait influencer une décision spécifique ? La conversation qui s'ensuit peut mettre en
lumière l'état d'esprit qui règne dans l'organisation en matière de prise de risque.
Les conseils d'administration peuvent également demander aux cadres supérieurs de parler non
seulement des processus de risque mais aussi de la culture. Comment la culture permet-elle ou
empêche-t-elle une prise de risque responsable ? Quelle optique la direction utilise-t-elle pour
surveiller la culture du risque, et comment cela a-t-il changé ? À mesure que les choses changent
- et les choses changeront, qu'elles soient ou non sur le radar de l'entité - comment le conseil
d'administration peut-il être sûr d'une réponse appropriée et opportune de la part de la direction
?
Les réalisations de la gestion des risques d'entreprise
Le COSO a publié Enterprise Risk Management-Integrated Framework en 2004.
L'objectif de cette publication était d'aider les entités à mieux protéger et à accroître la valeur des
parties prenantes. Sa philosophie sous-jacente était que "la valeur est maximisée lorsque la
direction établit une stratégie et des objectifs pour trouver un équilibre optimal entre les buts de
croissance et de rendement et les risques qui y sont liés, et qu'elle déploie de manière efficiente et
efficace les ressources dans la poursuite des objectifs de l'entité". 3
Depuis sa publication, le Cadre a été utilisé avec succès dans le monde entier, dans tous les
secteurs d'activité et dans des organisations de tous types et de toutes tailles pour identifier les
risques, gérer ces risques dans le cadre d'une appétence pour le risque définie, et soutenir la
réalisation des objectifs. Pourtant, si beaucoup ont appliqué le Cadre dans la pratique, il a le
potentiel d'être utilisé plus largement. Il gagnerait à examiner certains aspects de manière plus
approfondie et plus claire, et à fournir un meilleur aperçu des liens entre stratégie, risque et
performance. C'est la raison pour laquelle le Cadre actualisé présenté dans cette publication :
- Relie plus clairement la gestion des risques de l'entreprise à une multitude d'attentes des
parties prenantes.
- Positionne le risque dans le contexte des performances d'une organisation, plutôt que
comme le sujet d'un exercice isolé.
- Permet aux organisations de mieux anticiper les risques afin de les devancer, en sachant
que le changement crée des opportunités, et pas seulement des crises potentielles.
Cette mise à jour répond également à l'appel à mettre davantage l'accent sur la manière dont la
gestion des risques de l'entreprise informe la stratégie et ses performances.
Éliminer quelques idées fausses
Nous avons entendu quelques idées fausses sur le cadre original depuis son lancement en 2004.
Pour mettre les choses au clair :
La gestion des risques de l'entreprise n'est pas une fonction ou un département. Il s'agit de
la culture, des capacités et des pratiques que les organisations intègrent à la définition de la
stratégie et appliquent lorsqu'elles mettent en œuvre cette stratégie, dans le but de gérer les
risques en créant, préservant et réalisant la valeur.
La gestion des risques de l'entreprise est plus qu'une simple liste de risques. Elle exige plus
qu'un inventaire de tous les risques au sein de l'organisation. Elle est plus large et comprend des
pratiques que la direction met en place pour gérer activement les risques.
La gestion des risques de l'entreprise ne se limite pas au contrôle interne. Elle aborde
également d'autres sujets tels que la définition de la stratégie, la gouvernance, la communication
avec les parties prenantes et la mesure des performances. Ses principes s'appliquent à tous les
niveaux de l'organisation et à toutes les fonctions.
La gestion des risques de l'entreprise n'est pas une liste de contrôle. Il s'agit d'un ensemble de
principes sur lesquels les processus peuvent être construits ou intégrés pour une organisation
particulière, et c'est un système de suivi, d'apprentissage et d'amélioration des performances.
La gestion des risques de l'entreprise peut être utilisée par des organisations de toute taille. Si
une organisation a une mission, une stratégie et des objectifs - et la nécessité de prendre des
décisions qui tiennent pleinement compte des risques - alors la gestion des risques de l'entreprise
peut être appliquée. Elle peut et doit être utilisée par toutes sortes d'organisations, des petites
entreprises aux entreprises sociales communautaires, en passant par les agences
gouvernementales et les sociétés du classement Fortune 500.
Avantages d'une gestion efficace des risques d'entreprise
Toutes les organisations doivent établir une stratégie et l'ajuster périodiquement, en restant
toujours conscientes des opportunités de création de valeur en constante évolution et des défis qui
se présenteront dans la poursuite de cette valeur. Pour ce faire, elles ont besoin du meilleur cadre
possible pour optimiser la stratégie et les performances.
C'est là que la gestion des risques d'entreprise entre en jeu. Les organisations qui intègrent la
gestion des risques d'entreprise dans l'ensemble de l'entité peuvent en tirer de nombreux avantages,
notamment, mais sans s'y limiter :
- Augmenter l'éventail des possibilités : En considérant toutes les possibilités - les aspects
positifs et négatifs du risque - la gestion peut identifier de nouvelles opportunités et des
défis uniques associés aux opportunités actuelles.
- Identifier et gérer les risques à l'échelle de l'entité : Chaque entité est confrontée à une
myriade de risques qui peuvent affecter de nombreuses parties de l'organisation. Parfois,
un risque peut provenir d'une partie de l'entité mais avoir un impact sur une autre partie.
Par conséquent, la direction identifie et gère ces risques à l'échelle de l'entité pour maintenir
et améliorer la performance.
- Augmenter les résultats positifs et les avantages tout en réduisant les surprises négatives
: La gestion des risques de l'entreprise permet aux entités d'améliorer leur capacité à
identifier les risques et à établir des réponses appropriées, réduisant ainsi les surprises et
les coûts ou pertes qui y sont liés, tout en profitant d'évolutions avantageuses.
- Réduire la variabilité des performances : Pour certains, le défi réside moins dans les
surprises et les pertes que dans la variabilité de la performance. Une performance en
avance sur le calendrier ou dépassant les attentes peut causer autant d'inquiétude qu'une
performance inférieure au calendrier et aux attentes. La gestion des risques de l'entreprise
permet aux organisations d'anticiper les risques qui pourraient affecter la performance et
leur permet de mettre en place les actions nécessaires pour minimiser les perturbations et
maximiser les opportunités.
- Améliorer le déploiement des ressources : Chaque risque peut être considéré comme une
demande de ressources. L'obtention d'informations solides sur les risques permet à la
direction, face à des ressources limitées, d'évaluer les besoins globaux en ressources, de
hiérarchiser le déploiement des ressources et d'améliorer leur affectation.
- Améliorer la résilience des entreprises : La viabilité à moyen et long terme d'une entité
dépend de sa capacité à anticiper et à répondre au changement, non seulement pour
survivre mais aussi pour évoluer et prospérer. Cela est possible, en partie, grâce à une
gestion efficace des risques d'entreprise. Elle devient de plus en plus importante à mesure
que le rythme du changement s'accélère et que la complexité des affaires augmente.
Ces avantages mettent en évidence le fait que le risque ne doit pas être considéré uniquement
comme une contrainte ou un défi potentiel pour l'élaboration et la mise en œuvre d'une stratégie.
Au contraire, le changement qui sous-tend le risque et les réponses organisationnelles au risque
donnent lieu à des opportunités stratégiques et à des capacités clés de différenciation.
Le rôle du risque dans la sélection des stratégies
La sélection d'une stratégie consiste à faire des choix et à accepter des compromis. Il est donc
logique d'appliquer la gestion des risques d'entreprise à la stratégie, car c'est la meilleure
approche pour démêler l'art et la science de faire des choix éclairés.
Le risque est pris en compte dans de nombreux processus d'élaboration de stratégies. Mais le risque
est souvent évalué principalement en fonction de son effet potentiel sur une stratégie déjà
déterminée. En d'autres termes, les discussions portent sur les risques pour la stratégie existante :
Nous avons une stratégie en place, qu'est-ce qui pourrait affecter la pertinence et la viabilité de
notre stratégie ?
Mais il y a d'autres questions à poser en matière de stratégie, que les organisations savent de
mieux en mieux poser : avons-nous modélisé la demande des clients avec précision ? Notre chaîne
d'approvisionnement respectera-t-elle les délais et le budget ? De nouveaux concurrents vont-ils
apparaître ? Notre infrastructure technologique estelle à la hauteur ? C'est le genre de questions
auxquelles les dirigeants sont confrontés chaque jour, et il est essentiel d'y répondre pour mener
à bien une stratégie.
Cependant, le risque lié à la stratégie choisie n'est qu'un aspect à considérer. Comme le souligne
le présent cadre, la gestion des risques d'entreprise comporte deux aspects supplémentaires qui
peuvent avoir un effet bien plus important sur la valeur d'une entité : la possibilité que la stratégie
ne s'aligne pas et les conséquences de la stratégie choisie.
Le premier de ces éléments, la possibilité que la stratégie ne s'aligne pas sur la mission, la
vision et les valeurs fondamentales de l'organisation, est au cœur des décisions qui sous-tendent
le choix de la stratégie. Chaque entité a une mission, une vision et des valeurs fondamentales qui
définissent ce qu'elle essaie d'atteindre et comment elle veut mener ses affaires. Certaines
organisations sont sceptiques quant à la possibilité d'adhérer réellement à leurs credos. Mais il a
été démontré que la mission, la vision et les valeurs fondamentales sont importantes - et elles le
sont encore plus lorsqu'il s'agit de gérer le risque et de rester résilient en période de changement.
Une stratégie choisie doit soutenir la mission et la vision de l'organisation. Une stratégie mal
alignée augmente la possibilité que l'organisation ne réalise pas sa mission et sa vision, ou qu'elle
compromette ses valeurs, même si la stratégie est mise en œuvre avec succès. Par conséquent, la
gestion des risques de l'entreprise tient compte de la possibilité que la stratégie ne soit pas alignée
sur la mission et la vision de l'organisation.
L'autre aspect supplémentaire est celui des implications de la stratégie choisie. Lorsque la
direction élabore une stratégie et examine des alternatives avec le conseil d'administration, elle
prend des décisions sur les compromis inhérents à la stratégie. Chaque stratégie alternative a son
propre profil de risque - ce sont les implications découlant de la stratégie. Le conseil
d'administration et la direction doivent déterminer si la stratégie va de pair avec l'appétit de
l'organisation pour le risque, et comment elle aidera l'organisation à fixer des objectifs et, en fin
de compte, à allouer efficacement les ressources.
Voici ce qui est important : la gestion des risques de l'entreprise consiste autant à comprendre les
implications de la stratégie et la possibilité que la stratégie ne s'aligne pas qu'à gérer les risques
en fonction des objectifs fixés. La figure ci-dessous illustre ces considérations dans le contexte de
la mission, de la vision, des valeurs fondamentales, et en tant que moteur de l'orientation et de la
performance globales d'une entité.
La gestion des risques d'entreprise, telle qu'elle a été pratiquée jusqu'à présent, a aidé de
nombreuses organisations à identifier, évaluer et gérer les risques liés à la stratégie. Mais les causes
les plus importantes de la destruction de valeur sont ancrées dans la possibilité que la stratégie ne
soutienne pas la mission et la vision de l'entité, et dans les implications de la stratégie.
La gestion des risques de l'entreprise améliore le choix de la stratégie. Le choix d'une stratégie
exige une prise de décision structurée qui analyse les risques et aligne les ressources sur la mission
et la vision de l'organisation.
Un cadre ciblé
Enterprise Risk Management-Integrating with Strategy and Performance clarifie l'importance de
la gestion du risque d'entreprise dans la planification stratégique et son intégration dans l'ensemble
de l'organisation - car le risque influence et aligne la stratégie et la performance dans tous les
départements et fonctions.
Le cadre lui-même est un ensemble de principes organisés en cinq composantes interdépendantes
:
1. Gouvernance et culture : La gouvernance donne le ton à l'organisation, en renforçant
l'importance de la gestion des risques de l'entreprise et en établissant des responsabilités de
surveillance à cet égard. La culture se rapporte aux valeurs éthiques, aux comportements
souhaités et à la compréhension du risque dans l'entité.
2. La stratégie et la fixation des objectifs : La gestion des risques de l'entreprise, la stratégie et
la définition des objectifs fonctionnent ensemble dans le cadre du processus de planification
stratégique. Un appétit pour le risque est établi et aligné sur la stratégie ; les objectifs de
l'entreprise mettent la stratégie en pratique tout en servant de base à l'identification, l'évaluation
et la réponse aux risques.
3.Performance : Les risques qui peuvent avoir un impact sur la réalisation de la stratégie et des
objectifs commerciaux doivent être identifiés et évalués. Les risques sont classés par ordre de
priorité en fonction de leur gravité dans le contexte de l'appétit pour le risque. L'organisation
sélectionne ensuite des réponses aux risques et adopte une vision de portefeuille du montant de
risque qu'elle a assumé. Les résultats de ce processus sont communiqués aux principales parties
prenantes en matière de risques.
4. examen et révision : En examinant la performance de l'entité, l'organisation peut déterminer si
les composantes de la gestion des risques de l'entreprise fonctionnent bien dans le temps et à la
lumière de changements substantiels, et quelles révisions sont nécessaires.
5.information, communication et rapports : La gestion des risques de l'entreprise exige un
processus continu d'obtention et de partage des informations nécessaires, provenant de sources
internes et externes, qui circulent vers le haut, vers le bas et à travers l'organisation.
Les cinq composantes du cadre actualisé sont soutenues par un ensemble de principes. 4
Ces
principes couvrent tout, de la gouvernance à la surveillance. Ils sont d'une taille raisonnable et
décrivent des pratiques qui peuvent être appliquées de différentes manières à différentes
organisations, quels que soient leur taille, leur type ou leur secteur. En adhérant à ces principes,
la direction et le conseil d'administration peuvent raisonnablement s'attendre à ce que
l'organisation comprenne et s'efforce de gérer les risques associés à sa stratégie et à ses objectifs
commerciaux.
Quelques perspectives futures
Il ne fait aucun doute que les organisations vont continuer à faire face à un avenir plein de
volatilité, de complexité et d'ambiguïté. La gestion des risques de l'entreprise sera un élément
important de la façon dont une organisation gère et prospère dans cette période. Quels que soient
le type et la taille d'une entité, les stratégies doivent rester fidèles à leur mission. Et toutes les
entités doivent présenter des caractéristiques qui permettent de réagir efficacement au
changement, notamment une prise de décision agile, la capacité de réagir de manière cohérente
et la capacité d'adaptation pour pivoter et se repositionner tout en maintenant des niveaux élevés
de confiance entre les parties prenantes.
Si l'on se projette dans l'avenir, plusieurs tendances auront un effet sur la gestion des risques de
l'entreprise. En voici quatre :
• Gérer la prolifération des données : La gestion des risques de l'entreprise devra s'adapter
à la multiplication des données et à la rapidité avec laquelle elles peuvent être analysées.
Les données proviendront à la fois de l'intérieur et de l'extérieur de l'entité, et elles seront
structurées de manière nouvelle. Les outils avancés d'analyse et de visualisation des
données évolueront et seront très utiles pour comprendre le risque et son impact - tant
positif que négatif.
• Exploiter l'intelligence artificielle et l'automatisation : Nombreux sont ceux qui pensent
que nous sommes entrés dans l'ère des processus automatisés et de l'intelligence
artificielle. Indépendamment des convictions individuelles, il est important que les
pratiques de gestion des risques de l'entreprise prennent en compte l'impact de ces
technologies et des technologies futures, et tirent parti de leurs capacités. Des relations,
des tendances et des modèles jusqu'alors inconnus peuvent être découverts, fournissant
une riche source d'informations essentielles à la gestion des risques.
• Gérer le coût de la gestion des risques : Une préoccupation fréquente exprimée par de
nombreux dirigeants d'entreprise est le coût de la gestion des risques, des processus de
conformité et des activités de contrôle par rapport à la valeur obtenue. Au fur et à mesure
que les pratiques de gestion des risques de l'entreprise évoluent, il devient important que
les activités de gestion des risques, de conformité, de contrôle et même de gouvernance
soient coordonnées de manière efficace afin de fournir un avantage maximal à
l'organisation. Cela pourrait représenter l'une des meilleures opportunités pour la gestion
des risques d'entreprise de redéfinir son importance pour l'organisation.
• Construire des organisations plus fortes : Au fur et à mesure que les organisations
intègrent mieux la gestion des risques d'entreprise à la stratégie et à la performance,
l'occasion de renforcer la résilience se présente. En connaissant les risques qui auront le
plus d'impact sur l'entité, les organisations peuvent utiliser la gestion des risques
d'entreprise pour aider à mettre en place des capacités qui leur permettent d'agir
rapidement. Cela ouvrira de nouvelles opportunités.
En résumé, la gestion des risques de l'entreprise devra changer et s'adapter à l'avenir pour fournir
constamment les avantages décrits dans le Cadre. Avec la bonne orientation, les avantages dérivés
de la gestion des risques de l'entreprise compenseront largement les investissements et donneront
aux organisations la confiance dans leur capacité à gérer l'avenir.
1 Le rapport sur les risques mondiaux 2016, 11e édition, Forum économique mondial (2016).
2 Le Cadre utilise le terme "conseil d'administration" ou "conseil", qui englobe l'organe de direction, y compris le conseil
d'administration, le conseil de surveillance, le conseil de fiduciaires, les associés généraux ou le propriétaire.
3 Enterprise Risk Management-Integrated Framework, Executive Summary, COSO (2004).
4 Une description plus complète de ces vingt principes est fournie à la fin de ce document.
Remerciements
Nous remercions tout particulièrement les entreprises et organisations suivantes d'avoir permis la
participation des membres du Conseil consultatif et des observateurs.
Membres du Conseil consultatif
Entreprises et organisations
- Athene USA (Jane Karli)
- Edison International (David J. Heller)
- First Data Corporation (Lee Marks)
- Georgia-Pacific LLC (Paul Sobel)
- Invesco Ltd. (Suzanne Christensen)
- Microsoft (Jeff Pratt)
- Département américain du commerce (Karen Hardy)
- United Technologies Corporation (Margaret Boissoneau)
- Zurich Insurance Company (James Davenport)
Enseignement supérieur et associations
- Université d'État de Caroline du Nord (Mark Beasley)
- Université de St. John's (Paul Walker)
- L'Institut des auditeurs internes (Douglas J. Anderson)
Sociétés de services professionnels
- Crowe Horwath LLP (William Watts)
- Deloitte & Touche LLP (Henry Ristuccia)
- Ernst & Young (Anthony J. Carmello)
- James Lam & Associates (James Lam)
- Grant Thornton LLP (Bailey Jordan)
- KPMG LLP Americas (Deon Minnaar)
- Mercury Business Advisors Inc. (Patrick Stroh)
- Protiviti Inc. (James DeLoach)
Ancien membre du conseil d'administration du COSO
Président de l'OCSO, 2009-2013 (David Landsittel)
Observateurs
- Federal Deposit Insurance Corporation (Harrison Greene)
- Government Accountability Office (James Dalkin)
- Institut des comptables en management (Jeff Thompson)
- Institut der Wirtschaftsprüfer (Horst Kreisel)
- Fédération internationale des comptables (Vincent Tophoff)
- ISACA (Jennifer Bayuk)
- Risk Management Society (Carol Fox)
Composants et principes
1. Exercer une surveillance des risques par le conseil d'administration - Le conseil
d'administration assure la surveillance de la stratégie et assume des responsabilités de
gouvernance afin de soutenir la direction dans la réalisation de la stratégie et des objectifs
commerciaux.
2. Établir des structures opérationnelles - L'organisation établit des structures
opérationnelles dans la poursuite de la stratégie et des objectifs commerciaux.
3. Définit la culture souhaitée - L'organisation définit les comportements souhaités qui
caractérisent la culture souhaitée de l'entité.
4. Démontre un engagement envers les valeurs fondamentales - L'organisation démontre
un engagement envers les valeurs fondamentales de l'entité.
5. Attirer, développer et retenir les personnes compétentes - L'organisation s'engage à
développer le capital humain en accord avec la stratégie et les objectifs commerciaux.
6. analyse du contexte commercial - L'organisation considère les effets potentiels du
contexte commercial sur le profil de risque.
7. L'organisation définit l'appétit pour le risque dans le contexte de la création, de la
préservation et de la réalisation de la valeur.
8. Évaluer les stratégies alternatives - L'organisation évalue les stratégies alternatives et
leur impact potentiel sur le profil de risque.
9. Formulation des objectifs commerciaux - L'organisation prend en compte le risque
lorsqu'elle établit les objectifs commerciaux à différents niveaux qui s'alignent sur la
stratégie et la soutiennent.
10. Identifier les risques - L'organisation identifie les risques qui ont un impact sur la
performance de la stratégie et des objectifs commerciaux.
11. Évaluer la gravité du risque - L'organisation évalue la gravité du risque.
12. Priorisation des risques - L'organisation hiérarchise les risques afin de choisir les
réponses à apporter aux risques.
13. mise en œuvre des réponses aux risques - L'organisation identifie et sélectionne les
réponses aux risques.
14. développe une vue de portefeuille - L'organisation développe et évalue une vue de
portefeuille du risque.
15. évaluer les changements substantiels - L'organisation identifie et évalue les changements
qui peuvent affecter substantiellement la stratégie et les objectifs de l'entreprise.
16. examine les risques et les performances - L'organisation examine les performances de
l'entité et prend en compte les risques.
17. poursuit l'amélioration de la gestion des risques de l'entreprise - L'organisation
poursuit l'amélioration de la gestion des risques de l'entreprise.
18. exploitation des systèmes d'information - L'organisation exploite les systèmes
d'information et de technologie de l'entité pour soutenir la gestion des risques de
l'entreprise.
19. communique les informations sur les risques - L'organisation utilise des canaux de
communication pour soutenir la gestion des risques de l'entreprise.
20. rapports sur les risques, la culture et la performance - L'organisation rend compte des
risques, de la culture et de la performance à plusieurs niveaux et dans toute l'entité.
COSO ERM 2017 traduit en Français.pdf
Ce projet a été commandé par le Committee of Sponsoring Organizations of the Treadway
Commission (COSO), dont la mission est d'assurer un leadership éclairé en élaborant des cadres
et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion
de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire
l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé,
parrainée et financée conjointement par :
• Association américaine de comptabilité
• L'Institut américain des comptables publics
certifiés.
• Financial Executives International
• Institut des comptables en management
• L'Institut des auditeurs internes (IIA)
©2017 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, redistribuée, transmise ou affichée sous
quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite du COSO.
Table de matière
Avant-propos................................................................................................................................... 3
Comité des organisations de parrainage de la Commission Treadway........................................... 5
Remerciements................................................................................................................................ 6
Un éventail de risques évolutifs...................................................................................................... 9
Guide de la direction pour la gestion des risques d'entreprise .................................................. 10
Guide du conseil d'administration pour la gestion des risques d'entreprise.............................. 10
Les réalisations de la gestion des risques d'entreprise .............................................................. 11
Avantages d'une gestion efficace des risques d'entreprise........................................................ 13
Le rôle du risque dans la sélection des stratégies...................................................................... 14
Un cadre ciblé ............................................................................................................................... 16
Quelques perspectives futures....................................................................................................... 17
Remerciements.............................................................................................................................. 20
Composants et principes ............................................................................................................... 22
Table de matière............................................................................................................................ 26
1. Introduction............................................................................................................................... 31
La gestion du risque d'entreprise affecte la valeur.................................................................... 31
Mission, vision et valeurs fondamentales ................................................................................. 32
La gestion du risque d'entreprise affecte la stratégie ................................................................ 33
La gestion du risque d'entreprise est liée aux affaires............................................................... 33
Gouvernance ......................................................................................................................... 33
Gestion des performances ..................................................................................................... 33
Contrôle interne..................................................................................................................... 34
Avantages de la gestion des risques d'entreprise .................................................................. 35
La gestion des risques d'entreprise et la capacité d'adaptation, de survie et de prospérité ....... 37
2. Comprendre les termes : Risque et gestion du risque d'entreprise............................................ 39
Définir le risque et l'incertitude................................................................................................. 39
Définir la gestion du risque d'entreprise ................................................................................... 40
Reconnaître la culture ........................................................................................................... 40
Développer les capacités....................................................................................................... 41
Application des pratiques...................................................................................................... 41
Intégration avec la définition de la stratégie et la performance ............................................ 41
Gestion des risques pour la stratégie et les objectifs commerciaux...................................... 42
Le lien avec la valeur ............................................................................................................ 42
3. Stratégie, objectifs commerciaux et Performance..................................................................... 44
Gestion des risques et stratégie d'entreprise.............................................................................. 44
Possibilité de désalignement de la stratégie et des objectifs commerciaux .......................... 44
Évaluer la stratégie choisie.................................................................................................... 45
Risque lié à la mise en œuvre de la stratégie et des objectifs commerciaux......................... 46
Gestion des risques et performance de l'entreprise ................................................................... 47
4. Intégrer la gestion des risques de l'entreprise............................................................................ 50
L'importance de l'intégration..................................................................................................... 50
Vers une intégration totale ........................................................................................................ 51
Culture................................................................................................................................... 52
Capacités ............................................................................................................................... 52
Pratiques................................................................................................................................ 52
Prise en compte de l'intégration dans le cadre .......................................................................... 53
5. Composants et principes ........................................................................................................... 54
Gouvernance et culture ............................................................................................................. 58
Principe 1 : Exercer une surveillance des risques par le conseil d'administration................ 60
Principe 2 : établir des structures de fonctionnement ........................................................... 63
Principe 3 : Définir la culture souhaitée................................................................................ 66
Principe 4 : Démontrer un engagement envers les valeurs fondamentales........................... 72
Principe 5 : Attirer, développer et retenir les personnes compétentes .................................. 77
Définition de la stratégie et des objectifs .................................................................................. 81
Principe 6 : Analyse du contexte commercial....................................................................... 82
Principe 7 : Définir l'appétit pour le risque........................................................................... 86
Principe 8 : évaluer les stratégies alternatives....................................................................... 95
Principe 9 : Formuler les objectifs de l'entreprise................................................................. 99
Performance ............................................................................................................................ 106
Principe 10 : Identifier les risques....................................................................................... 108
Principe 11 : évaluer la gravité du risque............................................................................ 117
Principe 12 : Hiérarchisation des risques............................................................................ 127
Principe 13 : Mise en œuvre de réponses aux risques......................................................... 130
Principe 14 : Développe la vision du portefeuille............................................................... 134
Examen et révision.................................................................................................................. 140
Principe 15 : Évaluation des changements substantiels ...................................................... 140
Principe 16 : Examiner les risques et les performances...................................................... 143
Principe 17 : Poursuivre l'amélioration de la gestion des risques de l'entreprise................ 147
Information, communication et rapports................................................................................. 149
Principe 18 : Tirer parti de l'information et de la technologie ............................................ 150
Principe 19 : Communiquer l'information sur les risques................................................... 156
Principe 20 : Rapports sur les risques, la culture et la performance ................................... 160
Glossaire des termes clés ............................................................................................................ 164
Annexes....................................................................................................................................... 167
A. Contexte du projet et approche de la révision du cadre de référence................................. 170
Contexte du projet............................................................................................................... 170
Approche de la révision du cadre........................................................................................ 170
B. Résumé des commentaires du public ................................................................................. 171
Structurer le document : Composants et principes.............................................................. 172
Définition de la gestion du risque d'entreprise et du risque ................................................ 173
Intégration de la gestion des risques d'entreprise et impact sur la prise de décision .......... 174
La relation entre la gestion des risques d'entreprise et le contrôle interne.......................... 174
Discussion sur la stratégie................................................................................................... 175
Rôle de la culture ................................................................................................................ 175
Appétit et tolérance au risque.............................................................................................. 176
Évaluation des risques et profils de risques ........................................................................ 176
Information et technologie.................................................................................................. 177
Orientation........................................................................................................................... 177
C. Rôles et responsabilités en matière de gestion des risques de l'entreprise ......................... 179
Conseil d'administration et comités dédiés ......................................................................... 179
Le management et les trois lignes de responsabilité........................................................... 182
D. Illustrations du profil de risque .......................................................................................... 189
Introduction aux profils de risque ....................................................................................... 189
Élaboration de profils de risque .......................................................................................... 189
Risque, stratégie et fixation des objectifs............................................................................ 192
Identifier les risques liés à la performance.......................................................................... 195
Appliquer le cadre : Mise
en contexte
1. Introduction
L'intégration des pratiques de gestion des risques d'entreprise dans l'ensemble d'une organisation
améliore la prise de décision en matière de gouvernance, de stratégie, de fixation des objectifs et
d'opérations quotidiennes. Elle permet d'améliorer les performances en liant plus étroitement la
stratégie et les objectifs commerciaux aux risques. La diligence requise pour intégrer la gestion
des risques d'entreprise offre à une entité une voie claire pour créer, préserver et réaliser de la
valeur.
Une discussion sur la gestion des risques d'entreprise 1
commence par cette prémisse sous-jacente
: chaque entité - qu'elle soit à but lucratif, non lucratif ou gouvernementale - existe pour fournir de
la valeur à ses parties prenantes. La présente publication repose sur un postulat connexe : toutes
les entités sont confrontées à des risques dans leur quête de valeur. Les concepts et principes de
gestion des risques d'entreprise exposés dans cette publication s'appliquent à toutes les entités,
indépendamment de leur structure juridique, de leur taille, de leur secteur d'activité ou de leur
situation géographique.
Le risque affecte la capacité d'une organisation à réaliser sa stratégie et ses objectifs commerciaux.
Par conséquent, l'un des défis de la direction consiste à déterminer le niveau de risque que
l'organisation est prête et capable d'accepter. Une gestion efficace du risque d'entreprise aide les
conseils d'administration et la direction à optimiser les résultats dans le but d'améliorer les
capacités à créer, préserver et finalement réaliser de la valeur.
La direction a de nombreux choix quant à la manière dont elle appliquera les pratiques de gestion
des risques de l'entreprise, et aucune approche n'est universellement meilleure qu'une autre.
Pourtant, pour toute entité, une approche peut offrir des avantages accrus par rapport à une autre
ou s'aligner davantage sur la philosophie de gestion globale de l'organisation. Ce cadre définit une
structure conceptuelle de base d'idées, qu'une organisation intègre dans d'autres pratiques se
produisant au sein de l'entité. Les lecteurs qui recherchent des informations allant au-delà d'un
cadre, ou différentes pratiques qu'ils peuvent appliquer pour intégrer les concepts de gestion des
risques d'entreprise dans l'entité, trouveront les annexes du volume II de cette publication utiles.
La gestion du risque d'entreprise affecte la valeur
La valeur d'une entité est largement déterminée par les décisions prises par la direction - des
décisions stratégiques globales aux décisions quotidiennes. Ces décisions peuvent déterminer si la
valeur est créée, préservée, érodée ou réalisée.
La valeur est créée lorsque les avantages tirés des ressources déployées dépassent le coût de ces
ressources. Par exemple, la valeur est créée lorsqu'un nouveau produit est conçu et lancé avec
succès et que sa marge bénéficiaire est positive. Ces ressources peuvent être des personnes, des
capitaux financiers, des technologies, des processus et une présence sur le marché (marque).
La valeur est préservée lorsque la valeur des ressources déployées dans les opérations quotidiennes
soutient les avantages créés. Par exemple, la valeur est préservée par la fourniture de produits,
de services et de capacités de production de qualité supérieure, ce qui se traduit par des clients
et des parties prenantes satisfaits et loyaux.
La valeur est érodée lorsque la direction met en œuvre une stratégie qui ne donne pas les résultats
escomptés ou ne parvient pas à exécuter les tâches quotidiennes. Par exemple, la valeur est
érodée lorsque des ressources substantielles sont consommées pour développer un nouveau
produit qui est ensuite abandonné.
La valeur est réalisée lorsque les parties prenantes tirent des avantages créés par l'entité. Les
avantages peuvent être monétaires ou non monétaires.
La manière dont la valeur est créée dépend du type d'entité. Les entités à but lucratif créent de la
valeur en mettant en œuvre avec succès une stratégie qui équilibre les opportunités de marché et
les risques liés à la poursuite de ces opportunités. Les entités à but non lucratif et les entités
gouvernementales peuvent créer de la valeur en fournissant des biens et des services qui équilibrent
leurs opportunités de servir la communauté au sens large et les risques associés. Quel que soit le
type d'entité, l'intégration des pratiques de gestion des risques de l'entreprise à d'autres aspects de
l'activité renforce la confiance et inspire une plus grande confiance aux parties prenantes.
Mission, vision et valeurs fondamentales
La mission, la vision et les valeurs fondamentales définissent ce qu'une entité s'efforce d'être et
comment elle veut mener ses activités. Elles communiquent aux parties prenantes l'objectif de
l'entité. Pour la plupart des entités, la mission, la vision et les valeurs fondamentales restent stables
dans le temps et sont généralement réaffirmées lors de la définition de la stratégie. Cependant,
elles peuvent également évoluer en fonction des attentes des parties prenantes. Par exemple, une
nouvelle équipe de direction peut présenter des idées différentes pour la mission afin de créer de
la valeur pour l'entité.
Mission : L'objectif principal de l'entité, qui établit ce qu'elle veut accomplir et pourquoi elle
existe.
Vision : Les aspirations de l'entité pour son état futur ou ce que l'organisation vise à réaliser au
fil du temps.
Valeurs fondamentales : Les croyances et idéaux de l'entité concernant ce qui est bon ou
mauvais, acceptable ou inacceptable, qui influencent le comportement de l'organisation.
Dans le cadre (chapitres 6 à 10), la mission et la vision sont considérées dans le contexte d'une
organisation qui définit et réalise sa stratégie et ses objectifs commerciaux. Les valeurs
fondamentales sont considérées dans le contexte de la culture que l'entité souhaite adopter.
La gestion du risque d'entreprise affecte la stratégie
La "stratégie" désigne le plan d'une organisation pour réaliser sa mission et sa vision, et pour
appliquer ses valeurs fondamentales. Une stratégie bien définie permet d'allouer efficacement les
ressources et de prendre des décisions judicieuses. Elle fournit également une feuille de route pour
établir des objectifs commerciaux dans l'ensemble de l'entité.
La gestion des risques de l'entreprise4
ne crée pas la stratégie de l'entité, mais elle influence son
développement. Une organisation qui intègre les pratiques de gestion des risques d'entreprise
dans l'établissement de sa stratégie fournit à la direction les informations sur les risques dont elle
a besoin pour envisager des stratégies alternatives et, en fin de compte, pour adopter la stratégie
choisie.
La gestion du risque d'entreprise est liée aux affaires
Les pratiques de gestion des risques de l'entreprise s'intègrent à tous les autres aspects de
l'activité, notamment la gouvernance, la gestion des performances et les pratiques de contrôle
interne.
Gouvernance
La gouvernance constitue le concept le plus large. En général, il s'agit de la répartition des rôles,
des pouvoirs et des responsabilités entre les parties prenantes, le conseil d'administration et la
direction. Certains aspects de la gouvernance ne relèvent pas de la gestion des risques d'entreprise
(par exemple, le recrutement et l'évaluation des membres du conseil d'administration, l'élaboration
de la mission, de la vision et des valeurs fondamentales de l'entité).
Gestion des performances
La performance concerne les actions, les tâches et les fonctions permettant d'atteindre, voire de
dépasser, la stratégie et les objectifs commerciaux d'une entité. La gestion des performances se
concentre sur le déploiement efficace des ressources. Il s'agit de mesurer ces actions, tâches et
fonctions par rapport à des objectifs prédéterminés (à court et à long terme) et de déterminer si ces
objectifs sont atteints. Étant donné qu'une variété de risques - connus et inconnus - peuvent affecter
la performance d'une entité, une variété de mesures peut être utilisée :
- Mesures financières, telles que le rendement des investissements, les recettes ou la
rentabilité.
- Mesures opérationnelles, telles que les heures de fonctionnement, les volumes de
production ou les pourcentages de capacité.
- Mesures d'obligation, telles que l'adhésion à des accords de niveau de service ou à des
exigences de conformité réglementaire.
-Mesures de projet, comme le lancement d'un nouveau produit dans un laps de temps déterminé.
-Mesures de croissance, telles que l'accroissement de la part de marché sur un marché émergent.
Les mesures prises par les parties prenantes, telles que l'enseignement et l'acquisition de
compétences professionnelles de base pour les personnes qui ont besoin d'une mise à niveau
lorsqu'elles sont sans emploi.
Il y a toujours un risque associé à un objectif de performance prédéterminé. Par exemple, les
producteurs agricoles à grande échelle courent un certain risque quant à leur capacité à produire
les volumes nécessaires pour satisfaire les demandes des clients et atteindre les objectifs de
rentabilité. De même, les compagnies aériennes courent un certain risque quant à leur capacité à
assurer tous les vols dans les délais prévus. Toutefois, les compagnies aériennes peuvent prévoir
un risque moindre de pouvoir exploiter 90 % ou même 80 % de leurs vols réguliers dans les
délais prévus, par rapport à 100 % de leurs vols réguliers. Dans ces deux exemples, il y a une
part de risque associée à la gestion de la réalisation des objectifs prédéterminés de performance
- volume de production et opérations de vol.
Une entité peut améliorer sa performance globale en intégrant la gestion des risques d'entreprise
dans les opérations quotidiennes et en liant plus étroitement les objectifs commerciaux aux risques.
Contrôle interne
La gestion des risques de l'entreprise intègre certains concepts du contrôle interne. "Le contrôle
interne" est le processus mis en œuvre par une entité pour fournir une assurance raisonnable que
les objectifs seront atteints. Le contrôle interne aide l'organisation à identifier et à analyser les
risques qui pèsent sur la réalisation de ces objectifs et la manière de gérer les risques. Il permet à
la direction de rester concentrée sur les opérations de l'entité et la poursuite de ses objectifs de
performance tout en se conformant aux lois et règlements pertinents. Il convient toutefois de noter
que certains concepts relatifs à la gestion des risques de l'entreprise ne sont pas pris en compte
dans le contrôle interne (par exemple, les concepts d'appétit pour le risque, de tolérance, de
stratégie et d'objectifs sont définis dans le cadre de la gestion des risques de l'entreprise mais
considérés comme des conditions préalables au contrôle interne).
Afin d'éviter toute redondance, certains concepts relatifs au contrôle interne, communs à la
présente publication et au Cadre Intégré de Contrôle Interne, n'ont pas été repris ici (par exemple,
le risque de fraude relatif aux objectifs de reporting financier, les activités de contrôle relatives
aux objectifs de conformité, et les évaluations continues et distinctes relatives aux objectifs
opérationnels). Cependant, certains concepts communs relatifs au contrôle interne sont
développés dans la section du Cadre 5 (par exemple
, la gouvernance de la gestion des risques
d'entreprise). Veuillez consulter la section 6 du
Cadre intégré de contrôle interne dans le cadre de
l'application du Cadre dans cette publication.
Avantages de la gestion des risques d'entreprise
Une organisation doit identifier les défis qui l'attendent et s'adapter pour les relever. Elle doit
prendre des décisions en étant consciente à la fois des opportunités de création de valeur et des
risques qui la mettent au défi de créer de la valeur. En bref, elle doit intégrer les pratiques de
gestion des risques de l'entreprise aux pratiques d'établissement de la stratégie et de gestion de la
performance, et ce faisant, elle obtiendra des avantages liés à la valeur.
Les avantages de l'intégration de la gestion des risques d'entreprise comprennent la capacité de :
-Augmenter l'éventail des possibilités : En considérant toutes les possibilités raisonnables - les
aspects positifs et négatifs du risque - la direction peut identifier les opportunités pour l'entité et
les défis uniques associés aux opportunités actuelles et futures. Par exemple, lorsque les
dirigeants d'une entreprise alimentaire locale ont examiné les risques potentiels susceptibles
d'affecter l'objectif commercial de croissance durable des revenus, ils ont déterminé que les
principaux consommateurs de l'entreprise étaient de plus en plus soucieux de leur santé et
changeaient leur régime alimentaire. Ce changement indiquait une baisse potentielle de la
demande future pour les produits actuels de l'entreprise. En réponse, la direction a identifié des
moyens de développer de nouveaux produits et d'améliorer les produits existants, ce qui a permis
à l'entreprise de maintenir les revenus provenant des clients existants (préservation de la valeur)
et de créer des revenus supplémentaires en faisant appel à une base de consommateurs plus large
(création de valeur).
-Augmenter les résultats positifs et les avantages tout en réduisant les surprises négatives : La
gestion des risques de l'entreprise permet à une organisation d'améliorer sa capacité à identifier
les risques et à établir des réponses appropriées, augmentant ainsi les résultats positifs tout en
réduisant les surprises négatives et les coûts ou pertes associés. Par exemple, une entreprise de
fabrication qui fournit des pièces en flux tendu à ses clients pour qu'ils les utilisent dans leur
production risque d'être pénalisée si elle ne livre pas à temps. En réponse à ce risque, l'entreprise
a évalué ses processus d'expédition internes en examinant l'heure de la journée pour les
livraisons, les itinéraires de livraison typiques et les réparations non programmées sur la flotte
de livraison. Elle a utilisé les résultats pour établir des calendriers de maintenance pour sa flotte,
programmer les livraisons en dehors des périodes de pointe et concevoir des alternatives aux
itinéraires clés. Reconnaissant que tous les retards de circulation ne peuvent être évités, elle a
également élaboré des protocoles pour avertir les clients des retards potentiels. Dans ce cas, la
performance a été améliorée par la direction en influençant le risque dans la mesure de ses
possibilités (production et programmation) et en s'adaptant aux risques sur lesquels elle n'a pas
d'influence directe (retards de circulation).
-Identifier et gérer les risques à l'échelle de l'entité : Chaque entité est confrontée à une myriade
de risques qui peuvent avoir un impact sur de nombreuses parties de l'entité. Parfois, un risque
peut provenir d'une partie de l'entité mais affecter une autre partie. La direction doit identifier et
gérer ces risques à l'échelle de l'entité pour maintenir et améliorer la performance. Par exemple,
lorsqu'une banque a réalisé qu'elle était confrontée à une variété de risques dans ses activités de
négociation, la direction a réagi en développant un système d'analyse des informations internes
sur les transactions et les marchés, étayé par des informations externes pertinentes. Le système
a fourni une vue d'ensemble des risques pour toutes les activités de négoce, permettant une
analyse détaillée pour les départements, les clients et les négociants. Il a également permis à la
banque de quantifier les risques relatifs. Le système répondait aux exigences de l'entité en
matière de gestion des risques d'entreprise et permettait à la banque de rassembler des données
auparavant disparates pour répondre plus efficacement aux risques.
-Réduire la variabilité des performances : Pour certaines entités, le défi est moins lié aux
surprises et aux pertes qu'à la variabilité des performances. Une performance en avance sur le
calendrier ou au-delà des attentes peut causer autant d'inquiétude qu'une performance
inférieure aux attentes. Par exemple, dans un système de transport public, les usagers seront
tout aussi mécontents si un bus ou un train part dix minutes en avance que s'il a dix minutes de
retard : dans les deux cas, ils risquent de manquer des correspondances. Pour gérer cette
variabilité, les planificateurs des transports en commun intègrent des pauses naturelles dans les
horaires. Les conducteurs attendent aux arrêts désignés jusqu'à une heure donnée, quelle que
soit leur heure d'arrivée. Cela permet de lisser la variabilité des temps de parcours et d'améliorer
les performances globales et la perception du système de transport par les usagers. La gestion
des risques d'entreprise permet aux organisations d'anticiper les risques qui pourraient affecter
les performances et leur permet de prendre des mesures pour minimiser les perturbations.
Améliorer le déploiement des ressources : L'obtention d'informations solides sur les risques permet
à la direction d'évaluer les besoins globaux en ressources et contribue à optimiser l'affectation
des ressources. Par exemple, une société de distribution de gaz en aval a reconnu que son
infrastructure vieillissante augmentait le risque de fuite de gaz. En examinant les tendances des
données relatives aux fuites de gaz, l'organisation a pu évaluer le risque sur l'ensemble de son
réseau de distribution. La direction a ensuite élaboré un plan pour remplacer les infrastructures
usées et réparer les sections qui avaient encore une durée de vie utile. Cette approche a permis
à l'entreprise de maintenir l'intégrité de l'infrastructure tout en allouant d'importantes ressources
supplémentaires sur une plus longue période.
Gardez à l'esprit que les avantages de l'intégration des pratiques de gestion des risques d'entreprise
aux pratiques de définition de la stratégie et de gestion de la performance varieront selon l'entité.
Il n'existe pas d'approche unique pour toutes les entités. Cependant, la mise en œuvre de pratiques
de gestion des risques de l'entreprise aidera généralement une organisation à atteindre ses objectifs
de performance et de rentabilité et à prévenir ou réduire la perte de ressources.
La gestion des risques d'entreprise et la capacité d'adaptation, de survie et de
prospérité
Toute entité s'efforce d'atteindre sa stratégie et ses objectifs commerciaux, et ce dans un
environnement en mutation. La mondialisation des marchés, les percées technologiques, les
fusions et acquisitions, les fluctuations des marchés financiers, la concurrence, l'instabilité
politique, les capacités de la main-d'œuvre et la réglementation, entre autres, font qu'il est difficile
de connaître tous les risques possibles pour la réalisation de la stratégie et des objectifs
commerciaux.
Le risque étant toujours présent et changeant, il peut être difficile de poursuivre et d'atteindre des
objectifs. Bien qu'il ne soit pas possible pour les organisations de gérer tous les résultats potentiels
d'un risque, elles peuvent améliorer la façon dont elles s'adaptent aux circonstances changeantes.
C'est ce qu'on appelle parfois la durabilité, la résilience et l'agilité de l'organisation. Le Cadre
intègre ce concept dans le contexte général de la création, de la préservation et de la réalisation de
la valeur.
La gestion des risques de l'entreprise se concentre sur la gestion des risques pour réduire la
probabilité qu'un événement se produise et sur la gestion de l'impact lorsqu'il se produit. La
"gestion de l'impact" peut nécessiter qu'une organisation s'adapte en fonction des circonstances.
Dans certains cas extrêmes, cela peut inclure la mise en œuvre d'un plan de gestion de crise.
L'exemple 1.1 illustre un tel plan dans la pratique.
Exemple 1.1 : Plan de gestion de crise
Un opérateur de navires de croisière est préoccupé par le risque d'épidémies virales pendant que
ses navires sont en mer. Un navire de croisière n'a pas la capacité de mettre les passagers en
quarantaine pendant une épidémie, mais il peut appliquer des procédures visant à minimiser la
propagation des germes. Cependant, malgré l'installation de stations de désinfection des mains sur
l'ensemble du navire, la mise à disposition d'une buanderie et la désinfection quotidienne des
mains courantes, des toilettes et d'autres zones communes, des épidémies virales peuvent toujours
se produire. L'organisation réagit en mettant en place des pratiques spécifiques. Tout d'abord, le
nettoyage et la désinfection de routine à bord sont intensifiés. Lorsque le navire est au port, tous
les passagers doivent débarquer pour permettre à un personnel spécialement formé de désinfecter
l'ensemble du navire. Ensuite, les protocoles de nettoyage sont mis à jour en fonction de la souche
de virus trouvée. Le départ de la prochaine croisière est retardé jusqu'à ce que tous les protocoles
de nettoyage soient appliqués. Dans la plupart des cas, le retard est inférieur à quarante-huit
heures. En mettant en place de solides pratiques de gestion des risques d'entreprise pour répondre
et s'adapter immédiatement à chaque situation unique, la compagnie est en mesure de minimiser
l'impact tout en maintenant la confiance des passagers dans la compagnie de croisière.
Il arrive qu'une organisation ne soit pas en mesure de reprendre ses activités normales à court
terme lorsqu'un événement se produit. Dans ces cas, l'organisation doit adopter une solution à
plus long terme. Prenons l'exemple d'un bateau de croisière qui est immobilisé en mer par un
incendie. Contrairement au scénario d'une épidémie virale évoqué dans l'exemple 1.1, qui ne
touche que quelques passagers, l'incendie touche tout le monde. Il peut y avoir un besoin immédiat
d'assistance médicale, de nourriture, d'eau et d'abri, voire un appel à débarquer tous les passagers.
Comme les navires se trouvent rarement au même endroit, la planification commune des
interventions en cas de crise peut être moins efficace, car chaque lieu et chaque type d'incident
peut présenter des défis différents. Toutefois, en planifiant l'emplacement de sa flotte et en
échelonnant les horaires de départ, la compagnie peut maintenir un itinéraire où les navires sont
toujours à quelques heures d'un port ou d'un autre navire de croisière. Ce chevauchement permet
à la compagnie de redéployer rapidement les navires et les équipages pour apporter son aide en
cas d'urgence.
La direction sera en meilleure position si elle prend le temps d'anticiper ce qui peut se produire -
le probable, le possible et l'improbable. La capacité d'adaptation au changement rend une
organisation plus résiliente et mieux à même d'évoluer face aux contraintes du marché et des
ressources. Cette capacité peut également donner à la direction la confiance nécessaire pour
augmenter le niveau de risque que l'organisation est prête à accepter et, en fin de compte, pour
accélérer la croissance et créer de la valeur.
1 Les termes définis sont liés au Glossaire des termes clés lors de leur première utilisation dans le document.
2 Dans la présente publication, le terme "risques" (au pluriel) désigne un ou plusieurs événements potentiels susceptibles d'affecter
la réalisation des objectifs. Le terme "risque" (au singulier) fait référence à tous les événements potentiels pris collectivement qui
peuvent affecter la réalisation des objectifs.
3 Notez que certaines entités utilisent des termes différents, tels que "credo", "but", "philosophie", "croyances fondamentales" et
"politiques". Quelle que soit la terminologie utilisée, les concepts sous-jacents à la mission, à la vision et aux valeurs fondamentales
fournissent une structure de communication à l'échelle de l'entité.
4 Dans le présent document, l'expression "gestion du risque d'entreprise" désigne la culture, les capacités et les pratiques, intégrées
à la définition de la stratégie et à la performance, sur lesquelles les organisations s'appuient pour gérer le risque dans la création,
la préservation et la réalisation de la valeur. Elle ne fait pas référence à une fonction, un groupe ou un département au sein d'une
entité. Des considérations spécifiques sur le modèle opérationnel sont abordées à l'annexe B du volume II.
5 Le terme "cadre" désigne collectivement les cinq composantes présentées au chapitre 5 et traitées individuellement dans les chapitres
6 à 10.
6 Internal Control-Integrated Framework peut être obtenu sur le site www.coso.org.
2. Comprendre les termes : Risque et gestion du risque d'entreprise
Définir le risque et l'incertitude
La stratégie et les objectifs commerciaux d'une entité peuvent être affectés par des événements
potentiels. L'absence de prévisibilité complète de la survenance (ou non) d'un événement et de son
impact crée une incertitude pour une organisation. L'incertitude existe pour toute entité qui
s'efforce de réaliser des stratégies et des objectifs commerciaux futurs. Dans ce contexte, le risque
est défini comme suit :
La possibilité que des événements se produisent et affectent la réalisation de la stratégie et des
objectifs de l'entreprise.
L'encadré de cette page contient des termes qui développent et soutiennent la définition du risque.
Le Cadre souligne que le risque est lié au potentiel d'événements, souvent considérés en termes
de gravité. Dans certains cas, le risque peut être lié à l'anticipation d'un événement attendu qui ne
se produit pas.
Événement : Une occurrence ou un ensemble d'occurrences.
Incertitude : L'état de ne pas savoir comment ou si des événements potentiels peuvent se
manifester.
Sévérité : Une mesure des considérations telles que la probabilité et l'impact des événements ou
le temps nécessaire pour se remettre des événements.
Dans le contexte du risque, les événements sont plus que des transactions de routine ; ils
comprennent des questions commerciales plus larges telles que les changements dans la
gouvernance et la structure opérationnelle, les influences géopolitiques et sociales, et les
négociations contractuelles, entre autres choses. Certains événements susceptibles d'affecter la
stratégie et les objectifs de l'entreprise sont facilement identifiables - une variation des taux
d'intérêt, le lancement d'un nouveau produit par un concurrent ou le départ à la retraite d'un
employé clé. D'autres sont moins évidents, notamment lorsque plusieurs petits événements se
combinent pour créer une tendance ou une condition. Par exemple, il peut être difficile d'identifier
des événements spécifiques liés au réchauffement de la planète, mais il est généralement admis
que cette situation se produit. Dans certains cas, les organisations peuvent même ne pas savoir ou
être en mesure d'identifier les événements susceptibles de se produire.
Les organisations se concentrent généralement sur les risques qui peuvent avoir un résultat
négatif, comme les dommages causés par un incendie, la perte d'un client clé ou l'apparition d'un
nouveau concurrent. Cependant, les événements peuvent également avoir des conséquences
positives, comme une météo plus clémente que prévu, des tendances plus fortes en matière de
rétention du personnel ou des taux d'imposition plus élevés, qui doivent également être pris en
compte. De même, les événements qui sont bénéfiques à la réalisation d'un objectif peuvent en
même temps représenter un défi pour la réalisation d'autres objectifs. Par exemple, le lancement
d'un produit dont la demande est supérieure aux prévisions a un effet positif sur la performance
financière. Cependant, il peut également augmenter le risque pour la chaîne d'approvisionnement,
ce qui peut entraîner l'insatisfaction des clients si l'entreprise ne peut pas fournir le produit.
Certains risques ont un impact minime sur une entité, et d'autres ont un impact plus important. Les
pratiques de gestion des risques de l'entreprise aident l'organisation à identifier, à hiérarchiser et à
se concentrer sur les risques qui peuvent empêcher la création, la préservation et la réalisation de
la valeur, ou qui peuvent éroder la valeur existante. Mais, tout aussi important, il aide également
l'organisation à saisir les opportunités potentielles.
Définir la gestion du risque d'entreprise
La gestion des risques de l'entreprise est définie ici comme suit :
La culture, les capacités et les pratiques, intégrées à la définition de la stratégie et aux
performances, sur lesquelles les organisations s'appuient pour gérer le risque dans la
création, la préservation et la réalisation de la valeur.
Un examen plus approfondi de la définition de la gestion des risques de l'entreprise met l'accent
sur l'importance de la gestion des risques :
- Reconnaître la culture.
- Développement des capacités.
- Les pratiques d'application.
- Intégration avec la définition de la stratégie et la performance.
- Gérer les risques en fonction de la stratégie et des objectifs commerciaux.
- Lien vers la valeur.
Reconnaître la culture
La culture est développée et façonnée par les personnes à tous les niveaux d'une entité, par ce
qu'elles disent et font. Ce sont les personnes qui établissent la mission, la stratégie et les objectifs
commerciaux de l'entité, et qui mettent en place les pratiques de gestion des risques de
l'entreprise. De même, la gestion des risques de l'entreprise affecte les décisions et les actions des
personnes. Chaque personne a un point de référence unique, qui influence la façon dont elle
identifie, évalue et réagit aux risques. La gestion des risques de l'entreprise aide les gens à prendre
des décisions tout en comprenant que la culture joue un rôle important dans l'élaboration de ces
décisions.
Développer les capacités
Les organisations recherchent divers avantages concurrentiels afin de créer de la valeur pour
l'entité. La gestion des risques de l'entreprise ajoute aux compétences nécessaires pour mener à
bien la mission et la vision de l'entité et pour anticiper les défis qui peuvent entraver le succès de
l'organisation. Une organisation qui a la capacité de s'adapter au changement est plus résiliente
et mieux à même d'évoluer face aux contraintes et opportunités du marché et des ressources.
Application des pratiques
La gestion des risques de l'entreprise n'est pas statique et n'est pas non plus un accessoire de
l'entreprise. Au contraire, elle est continuellement appliquée à l'ensemble des activités ainsi qu'aux
projets spéciaux et aux nouvelles initiatives. Elle fait partie des décisions de gestion à tous les
niveaux de l'entité.
Les pratiques utilisées dans la gestion des risques de l'entreprise sont appliquées à partir des
niveaux les plus élevés d'une entité et se diffusent à travers les divisions, les unités opérationnelles
et les fonctions. Ces pratiques ont pour but d'aider les personnes au sein de l'entité à mieux
comprendre sa stratégie, les objectifs commerciaux qui ont été fixés, les risques existants, le niveau
de risque acceptable, l'impact du risque sur la performance et la manière dont elles sont censées
gérer le risque. En retour, cette compréhension facilite la prise de décision à tous les niveaux et
contribue à réduire les préjugés organisationnels.
Intégration avec la définition de la stratégie et la performance
Une organisation définit une stratégie qui s'aligne sur sa mission et sa vision et les soutient. Elle
fixe également des objectifs opérationnels qui découlent de la stratégie, en cascade vers les unités
opérationnelles, les divisions et les fonctions de l'entité. Au plus haut niveau, la gestion des
risques de l'entreprise est intégrée à la définition de la stratégie, la direction comprenant le profil
de risque global de l'entité et les implications des stratégies alternatives à ce profil de risque. La
direction tient spécifiquement compte de toutes les nouvelles opportunités qui se présentent grâce
à l'innovation et aux activités émergentes.
Mais la gestion des risques de l'entreprise ne s'arrête pas là ; elle se poursuit dans les tâches
quotidiennes de l'entité, et ce faisant, elle peut réaliser des bénéfices importants. Une organisation
qui intègre la gestion des risques d'entreprise dans ses tâches quotidiennes a plus de chances de
réduire ses coûts qu'une organisation qui "superpose" des procédures de gestion des risques
d'entreprise. Sur un marché hautement concurrentiel, de telles économies peuvent être cruciales
pour le succès d'une entreprise. De plus, en intégrant la gestion des risques de l'entreprise dans les
opérations de base de l'entité, la direction est susceptible d'identifier de nouvelles opportunités
pour développer l'entreprise.
La gestion du risque d'entreprise s'intègre également à d'autres processus de gestion. Des actions
spécifiques sont nécessaires pour des tâches spécifiques, telles que la planification des activités,
les opérations et la gestion financière. Une organisation qui prend en compte les risques de crédit
et de change, par exemple, peut avoir besoin de développer des modèles et de capturer de grandes
quantités de données nécessaires à l'analyse. En intégrant les pratiques de gestion des risques de
l'entreprise aux activités opérationnelles d'une entité, et en comprenant comment le risque affecte
potentiellement l'entité dans son ensemble, et pas seulement dans un domaine, la gestion des
risques de l'entreprise peut devenir plus efficace.
Gestion des risques pour la stratégie et les objectifs commerciaux
La gestion des risques de l'entreprise fait partie intégrante de la réalisation de la stratégie et des
objectifs commerciaux. Des pratiques de gestion des risques d'entreprise bien conçues permettent
à la direction et au conseil d'administration d'avoir une attente raisonnable quant à la réalisation
de la stratégie globale et des objectifs commerciaux de l'entité. Avoir une attente raisonnable
signifie que le montant du risque lié à la réalisation de la stratégie et des objectifs commerciaux
est approprié pour cette entité, en reconnaissant que personne ne peut prédire le risque avec une
précision absolue.
Mais même si des attentes raisonnables sont en place, les entités peuvent être confrontées à des
défis imprévus, d'où l'importance de revoir régulièrement les pratiques de gestion des risques de
l'entreprise. L'examen - et la révision conséquente si nécessaire - permet de maintenir des
pratiques solides qui augmentent la confiance de la direction dans la capacité de l'entité à répondre
avec succès aux imprévus et à atteindre sa stratégie et ses objectifs commerciaux.
Le lien avec la valeur
Une organisation doit gérer les risques liés à sa stratégie et à ses objectifs commerciaux en
fonction de son appétit pour le risque, c'est-à-dire les types et le montant des risques, à un niveau
général, qu'elle est prête à accepter dans sa quête de valeur. La mission et la vision d'une entité
sont la première expression de son appétit pour le risque. Des stratégies différentes exposeront
une entité à des risques différents ou à des montants différents de risques similaires.
L'appétit pour le risque donne des indications sur les pratiques qu'une organisation est encouragée
à suivre ou à ne pas suivre. Elle fixe l'éventail des pratiques appropriées et guide les décisions
fondées sur le risque plutôt que de spécifier une limite.
L'appétit pour le risque n'est pas statique ; il peut changer d'un produit ou d'une unité commerciale
à l'autre et au fil du temps, en fonction de l'évolution des capacités de gestion du risque. Les types
et le montant des risques qu'une organisation peut considérer comme acceptables peuvent
changer. Par exemple, en période de conjoncture économique favorable, une entreprise prospère
et en pleine croissance peut être plus disposée à accepter certains risques de baisse que lorsque
la conjoncture est mauvaise et que les perspectives commerciales se détériorent. L'appétit pour
le risque doit être suffisamment souple pour s'adapter à l'évolution des conditions commerciales
en fonction des besoins, sans attendre les examens et les approbations périodiques de la direction.
Bien que l'appétit pour le risque soit présenté ici, le Cadre définit de nombreux cas où il est
appliqué dans le cadre de la gestion des risques de l'entreprise. Certaines des applications les plus
importantes de l'appétit pour le risque sont les suivantes :
-Utilisation par l'organisation pour prendre des décisions qui augmentent la valeur.
-Aider à aligner le montant acceptable de risque avec la capacité de l'organisation à gérer les
risques et les opportunités.
Pertinence lors de la définition de la stratégie et des objectifs de l'entreprise, en aidant la direction
à déterminer si les objectifs de performance sont alignés sur un niveau de risque acceptable.
-Assistance dans la communication des profils de risque souhaités par le conseil d'administration.
Pertinence et alignement sur la capacité de risque.
-Utilisation dans l'évaluation du risque agrégé au niveau du portefeuille.
La gestion des risques de l'entreprise aide la direction à choisir une stratégie qui aligne la création
de valeur anticipée avec l'appétit de l'entité pour le risque et ses capacités à gérer le risque plus
souvent et de manière plus cohérente dans le temps. La gestion des risques dans les limites de
l'appétit pour le risque renforce la capacité d'une organisation à créer, préserver et réaliser de la
valeur.
7 "Entité" est un terme large qui peut englober une grande variété de structures juridiques, y compris les entités à but lucratif, sans
but lucratif et gouvernementales.
8 Ce cadre fait la distinction entre les résultats positifs et les opportunités. Les résultats positifs concernent les cas où les
performances dépassent l'objectif initial. Les opportunités concernent une action ou une action potentielle qui crée ou modifie les
objectifs ou les approches pour créer, préserver et réaliser la valeur.
9 L'appétit pour le risque est abordé plus en détail dans le Cadre sous le Principe 7 : Définir l'appétit pour le risque.
3. Stratégie, objectifs commerciaux et Performance
Gestion des risques et stratégie d'entreprise
La gestion des risques de l'entreprise aide une organisation à mieux comprendre :
-Comment la mission, la vision et les valeurs fondamentales constituent l'expression initiale des
types et du montant des risques acceptables à prendre en compte lors de la définition de la
stratégie.
La possibilité que la stratégie et les objectifs commerciaux ne s'alignent pas sur la mission, la
vision et les valeurs fondamentales.
Les types et la quantité de risques auxquels l'organisation s'expose potentiellement en choisissant
une stratégie particulière.
-Les types et le montant des risques inhérents à la mise en œuvre de sa stratégie et à la réalisation
de ses objectifs commerciaux, ainsi que l'acceptabilité de ce niveau de risque et, en définitive,
de la valeur.
La figure 3.1 illustre la stratégie dans le contexte de la mission, de la vision et des valeurs
fondamentales, et en tant que moteur de l'orientation et des performances globales d'une entité.
Possibilité de désalignement de la stratégie et des objectifs commerciaux
La mission et la vision donnent une vue d'ensemble des types et des montants de risques
acceptables pour l'entité. Elles aident l'organisation à établir des limites et à se concentrer sur la
manière dont les décisions peuvent affecter la stratégie. Une organisation qui comprend sa mission
et sa vision peut établir des stratégies qui produiront le profil de risque souhaité. Considérez les
déclarations d'un prestataire de soins de santé dans l'exemple 3.1.
Exemple 3.1 : Mission, vision et valeurs fondamentales en cascade
Mission : Améliorer la santé des personnes que nous servons en leur fournissant des soins de haute
qualité, une gamme complète de services et un accès pratique et rapide à l'adresse avec un service
aux patients et une compassion exceptionnelle.
Vision : Notre hôpital sera le fournisseur de soins de santé de choix pour les médecins et les
patients, et sera connu pour offrir une qualité inégalée, un service de premier ordre, et être un endroit
formidable pour pratiquer la médecine.
Valeurs fondamentales : Nos valeurs servent de base à tout ce que nous pensons, disons et faisons.
Nous traiterons nos médecins, nos patients et nos collègues avec respect, honnêteté et compassion,
tout en les tenant responsables de ces valeurs.
Ces déclarations guident l'organisation dans la détermination des types et de la quantité de risques
qu'elle est susceptible de rencontrer et d'accepter. L'organisation prendrait en compte les risques
associés à la fourniture de soins de haute qualité (mission), à la fourniture d'un service pratique
et rapide (mission) et au fait d'être un endroit formidable pour pratiquer la médecine (vision).
Compte tenu de l'importance qu'elle accorde à la qualité, au service et à l'étendue des
compétences, l'organisation cherchera probablement une stratégie présentant un profil de risque
plus faible en ce qui concerne la qualité des soins et le service aux patients. Cela peut signifier
offrir des services aux patients hospitalisés et/ou externes, mais ne pas être une présence en ligne
primaire. En revanche, si l'organisation avait énoncé sa mission en termes d'innovation dans les
approches de soins aux patients ou de canaux de prestation avancés, elle aurait peut-être adopté
une stratégie présentant un profil de risque différent.
La gestion des risques d'entreprise peut aider une entité à éviter de mal aligner une stratégie. Elle
peut permettre à une organisation de s'assurer que la stratégie qu'elle choisit soutient la mission et
la vision plus larges de l'entité pour la direction et le conseil d'administration.
Évaluer la stratégie choisie
La gestion des risques d'entreprise ne crée pas la stratégie de l'entité, mais elle informe
l'organisation sur les risques associés aux stratégies alternatives envisagées et, finalement, à la
stratégie adoptée. L'organisation doit évaluer comment la stratégie choisie pourrait affecter le
profil de risque de l'entité, plus précisément les types et la quantité de risques auxquels
l'organisation est potentiellement exposée.
Lors de l'évaluation des risques potentiels qui peuvent découler de la stratégie, la direction prend
également en compte toutes les hypothèses critiques qui sous-tendent la stratégie choisie. Ces
hypothèses constituent une partie importante de la stratégie et peuvent être liées à toute
considération faisant partie du contexte commercial de l'entité. La gestion des risques de
l'entreprise fournit des indications précieuses sur la sensibilité des modifications apportées aux
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf
COSO ERM 2017 traduit en Français.pdf

Contenu connexe

Tendances

L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
OmarMOUMINI
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
Es-sahli bilal
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
ibtissam el hassani
 
Mehari
MehariMehari
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
ibtissam el hassani
 
Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...
Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...
Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...
PMI-Montréal
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processus
azfgr
 
La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008
La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008
La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008
Daoud Haoues
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
Ammar Sassi
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
ibtissam el hassani
 
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB
 
Application de Reconnaissance faciale - eigenfaces, fisherfaces et lbph
Application de  Reconnaissance faciale - eigenfaces, fisherfaces et lbphApplication de  Reconnaissance faciale - eigenfaces, fisherfaces et lbph
Application de Reconnaissance faciale - eigenfaces, fisherfaces et lbph
Sarra ERRREGUI
 
Management de la qualité
Management de la qualitéManagement de la qualité
Management de la qualité
Saber Ferjani
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 

Tendances (20)

L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
L'impact de la digitalisation sur les pratiques du contrôle interne dans le s...
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Mehari
MehariMehari
Mehari
 
Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...
Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...
Comment évaluer la maturité organisationnelle en projet ? Cas d’étude d...
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Iso 9001 approche processus
Iso 9001 approche processusIso 9001 approche processus
Iso 9001 approche processus
 
La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008
La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008
La Mise en place d'une demarche qualité selon la norme iso 9001 version 2008
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
PECB Webinaire: Se conformer aux exigences de la norme ISO 9001 version 2015 ...
 
Application de Reconnaissance faciale - eigenfaces, fisherfaces et lbph
Application de  Reconnaissance faciale - eigenfaces, fisherfaces et lbphApplication de  Reconnaissance faciale - eigenfaces, fisherfaces et lbph
Application de Reconnaissance faciale - eigenfaces, fisherfaces et lbph
 
Management de la qualité
Management de la qualitéManagement de la qualité
Management de la qualité
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 

Similaire à COSO ERM 2017 traduit en Français.pdf

2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
SARASIM6
 
L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...
L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...
L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...
Philippe Foulquier
 
Cours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat   Swot   ProjetsCours Mgt Hd Strat   Swot   Projets
Cours Mgt Hd Strat Swot Projets
Prof. Jacques Folon (Ph.D)
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Marie_Estager
 
Cours gestion de risques gratuit
Cours gestion de risques gratuitCours gestion de risques gratuit
Cours gestion de risques gratuit
R. K.
 
Le diagnostic comme outil de maitrise des risques 130818
Le diagnostic comme outil de maitrise des risques 130818Le diagnostic comme outil de maitrise des risques 130818
Le diagnostic comme outil de maitrise des risques 130818
Alain LARAB
 
Offre contrôle interne
Offre contrôle interneOffre contrôle interne
Offre contrôle interne
Frédéric Cordel
 
mission, vision, valeurs et stratégie
mission, vision, valeurs et stratégie mission, vision, valeurs et stratégie
mission, vision, valeurs et stratégie
Prof. Jacques Folon (Ph.D)
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
David Dubois
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Arrow Institute
 
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entrepriseGouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Véronique Lefebvre
 
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entrepriseGouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
PROPARCO
 
Guide du Medef sur la Responsabilité sociétale des entreprises
Guide du Medef sur la Responsabilité sociétale des entreprisesGuide du Medef sur la Responsabilité sociétale des entreprises
Guide du Medef sur la Responsabilité sociétale des entreprises
Société Tripalio
 
RSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PME
RSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PMERSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PME
RSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PME
Adm Medef
 
E pres-exego-mktg-100730
E pres-exego-mktg-100730E pres-exego-mktg-100730
E pres-exego-mktg-100730
FREDDUBOIS
 
Comment disposer d’un modèle dynamique de gestion des risques clients ?
Comment disposer d’un modèle dynamique de gestion des risques clients ?Comment disposer d’un modèle dynamique de gestion des risques clients ?
Comment disposer d’un modèle dynamique de gestion des risques clients ?
Pénélope Cardera
 
A5 b1 risk assessement_suzanne gibson_fr
A5 b1 risk assessement_suzanne gibson_frA5 b1 risk assessement_suzanne gibson_fr
A5 b1 risk assessement_suzanne gibson_fr
ocasiconference
 

Similaire à COSO ERM 2017 traduit en Français.pdf (20)

2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...
L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...
L’appétence pour le risque : les nouveaux enjeux pour piloter une entreprise ...
 
Cours Mgt Hd Strat Swot Projets
Cours Mgt Hd Strat   Swot   ProjetsCours Mgt Hd Strat   Swot   Projets
Cours Mgt Hd Strat Swot Projets
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture Interactive
 
RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6
 
Cours gestion de risques gratuit
Cours gestion de risques gratuitCours gestion de risques gratuit
Cours gestion de risques gratuit
 
Le diagnostic comme outil de maitrise des risques 130818
Le diagnostic comme outil de maitrise des risques 130818Le diagnostic comme outil de maitrise des risques 130818
Le diagnostic comme outil de maitrise des risques 130818
 
Offre contrôle interne
Offre contrôle interneOffre contrôle interne
Offre contrôle interne
 
mission, vision, valeurs et stratégie
mission, vision, valeurs et stratégie mission, vision, valeurs et stratégie
mission, vision, valeurs et stratégie
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprisePECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
PECB Webinaire: Enjeux et intérêts d’implantation d’un SME dans une entreprise
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
 
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entrepriseGouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
 
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entrepriseGouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
Gouvernance et RSE : mettre en place une démarche de gouvernance d'entreprise
 
Guide du Medef sur la Responsabilité sociétale des entreprises
Guide du Medef sur la Responsabilité sociétale des entreprisesGuide du Medef sur la Responsabilité sociétale des entreprises
Guide du Medef sur la Responsabilité sociétale des entreprises
 
RSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PME
RSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PMERSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PME
RSE : le Medef et EcoVadis publient un guide pratique pour accompagner les PME
 
E pres-exego-mktg-100730
E pres-exego-mktg-100730E pres-exego-mktg-100730
E pres-exego-mktg-100730
 
Comment disposer d’un modèle dynamique de gestion des risques clients ?
Comment disposer d’un modèle dynamique de gestion des risques clients ?Comment disposer d’un modèle dynamique de gestion des risques clients ?
Comment disposer d’un modèle dynamique de gestion des risques clients ?
 
A5 b1 risk assessement_suzanne gibson_fr
A5 b1 risk assessement_suzanne gibson_frA5 b1 risk assessement_suzanne gibson_fr
A5 b1 risk assessement_suzanne gibson_fr
 
Orsa kpmg
Orsa kpmgOrsa kpmg
Orsa kpmg
 

COSO ERM 2017 traduit en Français.pdf

  • 2. Ce projet a été commandé par le Committee of Sponsoring Organizations of the Treadway Commission (COSO), dont la mission est d'assurer un leadership éclairé en élaborant des cadres et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé, parrainée et financée conjointement par : - Association américaine de comptabilité - L'Institut américain des comptables publics certifiés. - Financial Executives International - Institut des comptables en management - L'Institut des auditeurs internes ©2017 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, redistribuée, transmise ou affichée sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite du COSO. P254469-01 0516
  • 3. Avant-propos Conformément à sa mission générale, le Conseil du COSO a commandé et publié en 2004 le document Enterprise Risk Management-Integrated Framework. Au cours de la dernière décennie, cette publication a été largement acceptée par les organisations dans leurs efforts de gestion des risques. Cependant, au cours de cette période, la complexité des risques a évolué, de nouveaux risques sont apparus, et les conseils d'administration et les dirigeants ont renforcé leur sensibilisation et leur surveillance de la gestion des risques de l'entreprise tout en demandant une meilleure communication des risques. Cette mise à jour de la publication de 2004 traite de l'évolution de la gestion des risques d'entreprise et de la nécessité pour les organisations d'améliorer leur approche de la gestion des risques afin de répondre aux exigences d'un environnement commercial en évolution. Le document mis à jour, désormais intitulé Enterprise Risk Management-Integrating with Strategy and Performance, souligne l'importance de la prise en compte du risque dans le processus d'élaboration de la stratégie et dans le pilotage de la performance. La première partie de la publication actualisée offre une perspective sur les concepts et les applications actuels et en évolution de la gestion des risques de l'entreprise. La seconde partie, le Cadre, est organisée en cinq composantes faciles à comprendre qui s'adaptent à différents points de vue et structures d'exploitation, et améliorent les stratégies et la prise de décision. En bref, cette mise à jour : - Donne un meilleur aperçu de la valeur de la gestion des risques d'entreprise lors de la définition et de la mise en œuvre de la stratégie. - Améliore l'alignement entre la performance et la gestion des risques de l'entreprise pour améliorer la fixation des objectifs de performance et la compréhension de l'impact des risques sur la performance. - Répond aux attentes en matière de gouvernance et de surveillance. - Reconnaît la mondialisation des marchés et des opérations et la nécessité d'appliquer une approche commune, bien qu'adaptée, dans toutes les zones géographiques. - Représente de nouvelles façons de considérer le risque pour fixer et atteindre des objectifs dans le contexte d'une plus grande complexité des affaires. - Elargir les rapports pour répondre aux attentes d'une plus grande transparence des parties prenantes. - S'adapter à l'évolution des technologies et à la prolifération des données et des analyses pour soutenir la prise de décision. - Etablit les définitions, les composantes et les principes de base pour tous les niveaux de gestion impliqués dans la conception, la mise en œuvre et la conduite des pratiques de gestion des risques de l'entreprise.
  • 4. Les lecteurs peuvent également souhaiter consulter une publication complémentaire, COSO's Internal Control-Integrated Framework. Ces deux publications sont distinctes et ont des objectifs différents ; aucune ne remplace l'autre. Cependant, elles sont liées. L'Internal Control-Integrated Framework englobe le contrôle interne, auquel il est fait référence en partie dans cette publication actualisée. Par conséquent, le document précédent reste viable et adapté à la conception, à la mise en œuvre, à la conduite et à l'évaluation du contrôle interne, ainsi qu'au reporting qui en découle. Le COSO Board tient à remercier PwC pour son importante contribution à l'élaboration du document Enterprise Risk Management-Integrating with Strategy and Performance. La prise en compte de l'avis de nombreuses parties prenantes et leur perspicacité ont permis de préserver les points forts de la publication originale et de clarifier ou d'étoffer le texte lorsque cela s'avérait utile. Le COSO Board et PwC tiennent également à remercier le Conseil consultatif et les observateurs pour leur contribution à la révision et aux commentaires. Robert B. Hirth Jr. Président du COSO Dennis L. Chesley Partenaire chef de projet de PwC et responsable mondial et APA des risques et de la réglementation rupture
  • 5. Comité des organisations de parrainage de la Commission Treadway Membres du conseil d'administration Robert B. Hirth Jr. Président du COSO Richard F. Chambers L'Institut des auditeurs internes Mitchell A. Danaher Financial Executives International Charles E. Landes Institut américain des comptables publics certifiés Douglas F. Prawitt Association américaine de comptabilité Sandra Richtermeyer Institut des comptables en management PwC-Auteur Principaux contributeurs Miles E.A. Everson Leader de l'engagement et Leader consultatif mondial et Asie, Pacifique et Amériques (APA) New York, États-Unis Dennis L. Chesley Partenaire chef de projet et responsable mondial et APA des risques et de la réglementation Washington DC, États- Unis Frank J. Martens Directeur chef de projet et responsable du cadre et de la méthodologie des risques mondiaux Colombie-Britannique, Canada Matthew Bagin Directeur Washington DC, États-Unis Hélène Katz Directeur New York, États-Unis Katie T. Sylvis Directeur Washington DC, États-Unis Sallie Jo Perraglia Directeur New York, États-Unis Kathleen Crader Zelnik Directeur Washington DC, États-Unis Maria Grimshaw Associé principal New York, États-Unis rupture
  • 6. Remerciements Le COSO Board et PwC tiennent à remercier les nombreuses personnes qui ont donné de leur temps et de leur énergie en participant et en contribuant à divers aspects du projet. Le COSO Board et PwC reconnaissent également les efforts considérables des organisations du COSO et de leurs membres qui ont répondu aux enquêtes, participé aux ateliers et aux réunions, et fourni des commentaires et des réactions tout au long de l'élaboration de ce cadre. Conseil consultatif Douglas J. Anderson L'Institut des auditeurs internes Directeur général de CAE Solutions Mark Beasley North Carolina State University Professeur Deloitte de gestion des risques d' entreprise et directeur de l'initiative ERM Margaret Boissoneau United Technologies Corporation PMO Liaison Anthony J. Carmello Ernst & Young Associé, Services consultatifs Suzanne Christensen Invesco Ltd. Chef du risque d'entreprise James Davenport Zurich Insurance Company Responsable mondial du risque et du contrôle James DeLoach Protiviti Inc. Directeur général Karen Hardy Directeur adjoint du département du commerce des ÉtatsUnis pour la gestion des risques David J. Heller Edison International VP Gestion des risques d'entreprise et Auditeur général Bailey Jordan Grant Thornton LLP Associé, Services consultatifs Jane Karli Athene USA Directeur des opérations d'investissement James Lam James Lam & Associés Président David Landsittel Ancien président du COSO Lee Marks First Data Corporation Gestion du risque d'entreprise Deon Minnaar KPMG LLP Amériques Partenaire principal pour les Amériques pour ERM/GRC Jeff Pratt Microsoft Directeur général, ERM Henry Ristuccia Deloitte & Touche LLP Partenaire, Leader mondial - GRC Paul Sobel Georgia-Pacific LLC Vice-président/chef de l'audit Patrick Stroh Paul Walker William Watts
  • 7. Mercury Business Advisors Inc. Président Université de St. John's, Tobin College of Business James J. Schiro / Zurich Chaire en gestion des risques d'entreprise Crowe Horwath LLP Associé responsable, Services des risques d'entreprise Observateurs Jennifer Bayuk Citi Directeur général Représentant de l' Associatio n internatio nale d' audit et de contrôle des systèmes ( ISACA) James Dalkin Government Accountability Office Directeur dans l' équipe de gestion et d' assurance financière Carol Fox RIMS, la société de gestion des risques Directeur, Risque stratégique et d' entreprise Harrison Greene Société fédérale d 'assurance-dépôts Chef comptable adjoint Horst Kreisel Institut der Wirtschaftsprüfer (Institut des économistes) Directeur de la gestion de projet Jeff Thompson Institut des comptables en management Président et directeur général Vincent Tophoff Fédération internationale des comptables Directeur technique senior Julie Bogas Partenaire USA Lillian Borsa Principal USA Angela Calapa Directeur USA Rick Crethar Part enai re Aust rali e Symon Dawson Partenaire ROYAUME-UNI David Fisher Principal USA Peter Frank Principal USA Dimitriy Goloborodskiy Partenaire USA Rob Gormly Principal USA
  • 8. Christof Menzies Partenaire Allemagne Gonzalo Nunez Partenaire Mexique Jason Pett Partenaire USA Jerri Ribeiro Partenaire Brésil Jonathan Riva Partenaire Canada Nicole Salimbeni Partenaire Australie Manuel Seiferth Directeur Dietmar Serbee Principal Laurie Schive Directeur Allemagne USA USA Partenaire USA Christina Stecker Partenaire Allemagne Olivier Sueur Directeur Pays-Bas Kuntal Sur Partenaire Inde Alywin Teh Partenaire Singapour Steven van Agt Directeur Pays-Bas Kosta Weber Directeur général Pays-Bas Andrew Wilson Partenaire Australie Stephen Zawoyski Partenaire USA Contributeurs supplémentaires PwC souhaite également remercier Geoffrey Albutt, Catherine Jordan, Mark Tan, Armando Urunuela et Karen Vitale pour leur contribution à l'élaboration du Cadre.
  • 9. Un éventail de risques évolutifs Notre compréhension de la nature du risque, de l'art et de la science du choix, est au cœur de notre économie moderne. Chaque choix que nous faisons dans la poursuite de nos objectifs comporte des risques. Qu'il s'agisse de décisions opérationnelles quotidiennes ou d'arbitrages fondamentaux dans la salle du conseil d'administration, la gestion du risque dans ces choix fait partie intégrante de la prise de décision. Comme nous cherchons à optimiser un éventail de résultats possibles, les décisions sont rarement binaires, avec une bonne et une mauvaise réponse. C'est pourquoi la gestion des risques de l'entreprise peut être qualifiée à la fois d'art et de science. La prise en compte du risque dans la formulation de la stratégie et des objectifs opérationnels d'une organisation, contribue à optimiser les résultats. Notre compréhension du risque et notre pratique de la gestion du risque d'entreprise se sont considérablement améliorées au cours des dernières décennies. Mais la marge d'erreur se réduit. Le Forum économique mondial a commenté "la volatilité, la complexité et l'ambiguïté croissantes du monde". C'est unphénomène que nous reconnaissons tous. Les organisations sont confrontées à des défis qui ont un impact sur la fiabilité, la pertinence et la confiance. Les parties prenantes sont plus engagées aujourd'hui, elles recherchent une plus grande transparence et une plus grande responsabilité dans la gestion de l'impact du risque tout en évaluant de manière critique la capacité du leadership à cristalliser les opportunités. Même le succès peut entraîner des risques supplémentaires - le risque de ne pas être en mesure de répondre à une demande élevée inattendue ou de maintenir la dynamique commerciale prévue, par exemple. Les organisations doivent mieux s'adapter au changement. Elles doivent réfléchir stratégiquement à la manière de gérer la volatilité, la complexité et l'ambiguïté croissantes du monde, en particulier aux niveaux supérieurs de l'organisation et dans la salle du conseil d'administration, où les enjeux sont les plus élevés. Enterprise Risk Management-Integrating with Strategy and Performance fournit un cadre pour les conseils d'administration et la direction d'entités de toutes tailles. Il s'appuie sur le niveau actuel de gestion des risques qui existe dans le cours normal des affaires. En outre, il démontre comment l'intégration des pratiques de gestion des risques d'entreprise dans l'ensemble d'une entité permet d'accélérer la croissance et d'améliorer la performance. Il contient également des principes qui peuvent être appliqués - de la prise de décision stratégique à la performance. Nous décrivons ci-dessous pourquoi il est judicieux pour la direction et les conseils d'administration d'utiliser le cadre2 de gestion des risques de l'entreprise, ce que les organisations ont réalisé en appliquant la gestion des risques de l'entreprise et les avantages supplémentaires qu'elles peuvent tirer de son utilisation continue. Nous concluons en jetant un regard sur l'avenir.
  • 10. Guide de la direction pour la gestion des risques d'entreprise La direction assume la responsabilité globale de la gestion des risques pour l'entité, mais il est important qu'elle aille plus loin : elle doit renforcer le dialogue avec le conseil d'administration et les parties prenantes sur l'utilisation de la gestion des risques d'entreprise pour obtenir un avantage concurrentiel. Cela commence par le déploiement de capacités de gestion des risques de l'entreprise dans le cadre de la sélection et de l'affinement d'une stratégie. Plus particulièrement, grâce à ce processus, la direction comprendra mieux comment la prise en compte explicite du risque peut avoir un impact sur le choix de la stratégie. La gestion des risques de l'entreprise enrichit le dialogue de gestion en ajoutant une perspective aux forces et aux faiblesses d'une stratégie lorsque les conditions changent, et à la façon dont une stratégie s'adapte à la mission et à la vision de l'organisation. Elle permet à la direction de se sentir plus sûre d'avoir examiné les stratégies alternatives et d'avoir pris en compte l'avis de ceux qui, dans leur organisation, mettront en œuvre la stratégie choisie. Une fois la stratégie définie, la gestion des risques de l'entreprise permet à la direction de remplir efficacement son rôle, en sachant que l'organisation est consciente des risques qui peuvent avoir un impact sur la stratégie et qu'elle les gère correctement. L'application de la gestion des risques d'entreprise contribue à créer la confiance et à inspirer confiance aux parties prenantes dans l'environnement actuel, qui exige un examen plus minutieux que jamais de la manière dont les risques sont activement abordés et gérés. Guide du conseil d'administration pour la gestion des risques d'entreprise Chaque conseil d'administration joue un rôle de surveillance, contribuant à soutenir la création de valeur d'une entité et à prévenir son déclin. Traditionnellement, la gestion des risques d'entreprise a joué un rôle de soutien important au niveau du conseil. Aujourd'hui, on attend de plus en plus des conseils qu'ils assurent la surveillance de la gestion des risques d'entreprise. Le Cadre fournit des considérations importantes pour les conseils d'administration dans la définition et la prise en charge de leurs responsabilités en matière de surveillance des risques. Ces considérations comprennent la gouvernance et la culture, la stratégie et la fixation des objectifs, la performance, l'information, la communication et le reporting, ainsi que l'examen et la révision des pratiques pour améliorer la performance de l'entité. Le rôle de surveillance des risques du conseil d'administration peut inclure, sans s'y limiter, les éléments suivants : • Examiner, contester et approuver les décisions de la direction : - Proposition de stratégie et d'appétit pour le risque. - Alignement de la stratégie et des objectifs commerciaux sur la mission, la vision et les valeurs fondamentales de l'entité.
  • 11. - Décisions commerciales importantes, y compris les fusions, les acquisitions, les allocations de capital, le financement et les décisions relatives aux dividendes. - Réaction aux fluctuations importantes de la performance de l'entité ou de la vision du risque du portefeuille. - Réponses aux cas de déviation des valeurs fondamentales. • Approuver les incitations et les rémunérations des dirigeants. • Participer aux relations avec les investisseurs et les parties prenantes. À plus long terme, la gestion des risques d'entreprise peut également améliorer la résilience de l'entreprise, c'est-à-dire sa capacité à anticiper et à réagir au changement. Elle aide les organisations à identifier les facteurs qui représentent non seulement un risque, mais aussi un changement, et la manière dont ce changement pourrait avoir un impact sur les performances et nécessiter un changement de stratégie. En percevant plus clairement le changement, une organisation peut élaborer son propre plan ; par exemple, doit-elle se replier sur la défensive ou investir dans une nouvelle activité ? La gestion des risques de l'entreprise fournit aux conseils d'administration le cadre approprié pour évaluer les risques et adopter un état d'esprit de résilience. Questions pour la direction L'ensemble de la direction - et pas seulement le directeur de la gestion des risques - peut-il expliquer comment le risque est pris en compte dans le choix des décisions stratégiques ou commerciales ? Peuvent-ils articuler clairement l'appétit de l'entité pour le risque et la manière dont il pourrait influencer une décision spécifique ? La conversation qui s'ensuit peut mettre en lumière l'état d'esprit qui règne dans l'organisation en matière de prise de risque. Les conseils d'administration peuvent également demander aux cadres supérieurs de parler non seulement des processus de risque mais aussi de la culture. Comment la culture permet-elle ou empêche-t-elle une prise de risque responsable ? Quelle optique la direction utilise-t-elle pour surveiller la culture du risque, et comment cela a-t-il changé ? À mesure que les choses changent - et les choses changeront, qu'elles soient ou non sur le radar de l'entité - comment le conseil d'administration peut-il être sûr d'une réponse appropriée et opportune de la part de la direction ? Les réalisations de la gestion des risques d'entreprise Le COSO a publié Enterprise Risk Management-Integrated Framework en 2004. L'objectif de cette publication était d'aider les entités à mieux protéger et à accroître la valeur des parties prenantes. Sa philosophie sous-jacente était que "la valeur est maximisée lorsque la direction établit une stratégie et des objectifs pour trouver un équilibre optimal entre les buts de
  • 12. croissance et de rendement et les risques qui y sont liés, et qu'elle déploie de manière efficiente et efficace les ressources dans la poursuite des objectifs de l'entité". 3 Depuis sa publication, le Cadre a été utilisé avec succès dans le monde entier, dans tous les secteurs d'activité et dans des organisations de tous types et de toutes tailles pour identifier les risques, gérer ces risques dans le cadre d'une appétence pour le risque définie, et soutenir la réalisation des objectifs. Pourtant, si beaucoup ont appliqué le Cadre dans la pratique, il a le potentiel d'être utilisé plus largement. Il gagnerait à examiner certains aspects de manière plus approfondie et plus claire, et à fournir un meilleur aperçu des liens entre stratégie, risque et performance. C'est la raison pour laquelle le Cadre actualisé présenté dans cette publication : - Relie plus clairement la gestion des risques de l'entreprise à une multitude d'attentes des parties prenantes. - Positionne le risque dans le contexte des performances d'une organisation, plutôt que comme le sujet d'un exercice isolé. - Permet aux organisations de mieux anticiper les risques afin de les devancer, en sachant que le changement crée des opportunités, et pas seulement des crises potentielles. Cette mise à jour répond également à l'appel à mettre davantage l'accent sur la manière dont la gestion des risques de l'entreprise informe la stratégie et ses performances.
  • 13. Éliminer quelques idées fausses Nous avons entendu quelques idées fausses sur le cadre original depuis son lancement en 2004. Pour mettre les choses au clair : La gestion des risques de l'entreprise n'est pas une fonction ou un département. Il s'agit de la culture, des capacités et des pratiques que les organisations intègrent à la définition de la stratégie et appliquent lorsqu'elles mettent en œuvre cette stratégie, dans le but de gérer les risques en créant, préservant et réalisant la valeur. La gestion des risques de l'entreprise est plus qu'une simple liste de risques. Elle exige plus qu'un inventaire de tous les risques au sein de l'organisation. Elle est plus large et comprend des pratiques que la direction met en place pour gérer activement les risques. La gestion des risques de l'entreprise ne se limite pas au contrôle interne. Elle aborde également d'autres sujets tels que la définition de la stratégie, la gouvernance, la communication avec les parties prenantes et la mesure des performances. Ses principes s'appliquent à tous les niveaux de l'organisation et à toutes les fonctions. La gestion des risques de l'entreprise n'est pas une liste de contrôle. Il s'agit d'un ensemble de principes sur lesquels les processus peuvent être construits ou intégrés pour une organisation particulière, et c'est un système de suivi, d'apprentissage et d'amélioration des performances. La gestion des risques de l'entreprise peut être utilisée par des organisations de toute taille. Si une organisation a une mission, une stratégie et des objectifs - et la nécessité de prendre des décisions qui tiennent pleinement compte des risques - alors la gestion des risques de l'entreprise peut être appliquée. Elle peut et doit être utilisée par toutes sortes d'organisations, des petites entreprises aux entreprises sociales communautaires, en passant par les agences gouvernementales et les sociétés du classement Fortune 500. Avantages d'une gestion efficace des risques d'entreprise Toutes les organisations doivent établir une stratégie et l'ajuster périodiquement, en restant toujours conscientes des opportunités de création de valeur en constante évolution et des défis qui se présenteront dans la poursuite de cette valeur. Pour ce faire, elles ont besoin du meilleur cadre possible pour optimiser la stratégie et les performances. C'est là que la gestion des risques d'entreprise entre en jeu. Les organisations qui intègrent la gestion des risques d'entreprise dans l'ensemble de l'entité peuvent en tirer de nombreux avantages, notamment, mais sans s'y limiter :
  • 14. - Augmenter l'éventail des possibilités : En considérant toutes les possibilités - les aspects positifs et négatifs du risque - la gestion peut identifier de nouvelles opportunités et des défis uniques associés aux opportunités actuelles. - Identifier et gérer les risques à l'échelle de l'entité : Chaque entité est confrontée à une myriade de risques qui peuvent affecter de nombreuses parties de l'organisation. Parfois, un risque peut provenir d'une partie de l'entité mais avoir un impact sur une autre partie. Par conséquent, la direction identifie et gère ces risques à l'échelle de l'entité pour maintenir et améliorer la performance. - Augmenter les résultats positifs et les avantages tout en réduisant les surprises négatives : La gestion des risques de l'entreprise permet aux entités d'améliorer leur capacité à identifier les risques et à établir des réponses appropriées, réduisant ainsi les surprises et les coûts ou pertes qui y sont liés, tout en profitant d'évolutions avantageuses. - Réduire la variabilité des performances : Pour certains, le défi réside moins dans les surprises et les pertes que dans la variabilité de la performance. Une performance en avance sur le calendrier ou dépassant les attentes peut causer autant d'inquiétude qu'une performance inférieure au calendrier et aux attentes. La gestion des risques de l'entreprise permet aux organisations d'anticiper les risques qui pourraient affecter la performance et leur permet de mettre en place les actions nécessaires pour minimiser les perturbations et maximiser les opportunités. - Améliorer le déploiement des ressources : Chaque risque peut être considéré comme une demande de ressources. L'obtention d'informations solides sur les risques permet à la direction, face à des ressources limitées, d'évaluer les besoins globaux en ressources, de hiérarchiser le déploiement des ressources et d'améliorer leur affectation. - Améliorer la résilience des entreprises : La viabilité à moyen et long terme d'une entité dépend de sa capacité à anticiper et à répondre au changement, non seulement pour survivre mais aussi pour évoluer et prospérer. Cela est possible, en partie, grâce à une gestion efficace des risques d'entreprise. Elle devient de plus en plus importante à mesure que le rythme du changement s'accélère et que la complexité des affaires augmente. Ces avantages mettent en évidence le fait que le risque ne doit pas être considéré uniquement comme une contrainte ou un défi potentiel pour l'élaboration et la mise en œuvre d'une stratégie. Au contraire, le changement qui sous-tend le risque et les réponses organisationnelles au risque donnent lieu à des opportunités stratégiques et à des capacités clés de différenciation. Le rôle du risque dans la sélection des stratégies La sélection d'une stratégie consiste à faire des choix et à accepter des compromis. Il est donc logique d'appliquer la gestion des risques d'entreprise à la stratégie, car c'est la meilleure approche pour démêler l'art et la science de faire des choix éclairés.
  • 15. Le risque est pris en compte dans de nombreux processus d'élaboration de stratégies. Mais le risque est souvent évalué principalement en fonction de son effet potentiel sur une stratégie déjà déterminée. En d'autres termes, les discussions portent sur les risques pour la stratégie existante : Nous avons une stratégie en place, qu'est-ce qui pourrait affecter la pertinence et la viabilité de notre stratégie ? Mais il y a d'autres questions à poser en matière de stratégie, que les organisations savent de mieux en mieux poser : avons-nous modélisé la demande des clients avec précision ? Notre chaîne d'approvisionnement respectera-t-elle les délais et le budget ? De nouveaux concurrents vont-ils apparaître ? Notre infrastructure technologique estelle à la hauteur ? C'est le genre de questions auxquelles les dirigeants sont confrontés chaque jour, et il est essentiel d'y répondre pour mener à bien une stratégie. Cependant, le risque lié à la stratégie choisie n'est qu'un aspect à considérer. Comme le souligne le présent cadre, la gestion des risques d'entreprise comporte deux aspects supplémentaires qui peuvent avoir un effet bien plus important sur la valeur d'une entité : la possibilité que la stratégie ne s'aligne pas et les conséquences de la stratégie choisie. Le premier de ces éléments, la possibilité que la stratégie ne s'aligne pas sur la mission, la vision et les valeurs fondamentales de l'organisation, est au cœur des décisions qui sous-tendent le choix de la stratégie. Chaque entité a une mission, une vision et des valeurs fondamentales qui définissent ce qu'elle essaie d'atteindre et comment elle veut mener ses affaires. Certaines organisations sont sceptiques quant à la possibilité d'adhérer réellement à leurs credos. Mais il a été démontré que la mission, la vision et les valeurs fondamentales sont importantes - et elles le sont encore plus lorsqu'il s'agit de gérer le risque et de rester résilient en période de changement. Une stratégie choisie doit soutenir la mission et la vision de l'organisation. Une stratégie mal alignée augmente la possibilité que l'organisation ne réalise pas sa mission et sa vision, ou qu'elle compromette ses valeurs, même si la stratégie est mise en œuvre avec succès. Par conséquent, la gestion des risques de l'entreprise tient compte de la possibilité que la stratégie ne soit pas alignée sur la mission et la vision de l'organisation. L'autre aspect supplémentaire est celui des implications de la stratégie choisie. Lorsque la direction élabore une stratégie et examine des alternatives avec le conseil d'administration, elle prend des décisions sur les compromis inhérents à la stratégie. Chaque stratégie alternative a son propre profil de risque - ce sont les implications découlant de la stratégie. Le conseil d'administration et la direction doivent déterminer si la stratégie va de pair avec l'appétit de l'organisation pour le risque, et comment elle aidera l'organisation à fixer des objectifs et, en fin de compte, à allouer efficacement les ressources. Voici ce qui est important : la gestion des risques de l'entreprise consiste autant à comprendre les implications de la stratégie et la possibilité que la stratégie ne s'aligne pas qu'à gérer les risques en fonction des objectifs fixés. La figure ci-dessous illustre ces considérations dans le contexte de
  • 16. la mission, de la vision, des valeurs fondamentales, et en tant que moteur de l'orientation et de la performance globales d'une entité. La gestion des risques d'entreprise, telle qu'elle a été pratiquée jusqu'à présent, a aidé de nombreuses organisations à identifier, évaluer et gérer les risques liés à la stratégie. Mais les causes les plus importantes de la destruction de valeur sont ancrées dans la possibilité que la stratégie ne soutienne pas la mission et la vision de l'entité, et dans les implications de la stratégie. La gestion des risques de l'entreprise améliore le choix de la stratégie. Le choix d'une stratégie exige une prise de décision structurée qui analyse les risques et aligne les ressources sur la mission et la vision de l'organisation. Un cadre ciblé Enterprise Risk Management-Integrating with Strategy and Performance clarifie l'importance de la gestion du risque d'entreprise dans la planification stratégique et son intégration dans l'ensemble de l'organisation - car le risque influence et aligne la stratégie et la performance dans tous les départements et fonctions. Le cadre lui-même est un ensemble de principes organisés en cinq composantes interdépendantes : 1. Gouvernance et culture : La gouvernance donne le ton à l'organisation, en renforçant l'importance de la gestion des risques de l'entreprise et en établissant des responsabilités de surveillance à cet égard. La culture se rapporte aux valeurs éthiques, aux comportements souhaités et à la compréhension du risque dans l'entité.
  • 17. 2. La stratégie et la fixation des objectifs : La gestion des risques de l'entreprise, la stratégie et la définition des objectifs fonctionnent ensemble dans le cadre du processus de planification stratégique. Un appétit pour le risque est établi et aligné sur la stratégie ; les objectifs de l'entreprise mettent la stratégie en pratique tout en servant de base à l'identification, l'évaluation et la réponse aux risques. 3.Performance : Les risques qui peuvent avoir un impact sur la réalisation de la stratégie et des objectifs commerciaux doivent être identifiés et évalués. Les risques sont classés par ordre de priorité en fonction de leur gravité dans le contexte de l'appétit pour le risque. L'organisation sélectionne ensuite des réponses aux risques et adopte une vision de portefeuille du montant de risque qu'elle a assumé. Les résultats de ce processus sont communiqués aux principales parties prenantes en matière de risques. 4. examen et révision : En examinant la performance de l'entité, l'organisation peut déterminer si les composantes de la gestion des risques de l'entreprise fonctionnent bien dans le temps et à la lumière de changements substantiels, et quelles révisions sont nécessaires. 5.information, communication et rapports : La gestion des risques de l'entreprise exige un processus continu d'obtention et de partage des informations nécessaires, provenant de sources internes et externes, qui circulent vers le haut, vers le bas et à travers l'organisation. Les cinq composantes du cadre actualisé sont soutenues par un ensemble de principes. 4 Ces principes couvrent tout, de la gouvernance à la surveillance. Ils sont d'une taille raisonnable et décrivent des pratiques qui peuvent être appliquées de différentes manières à différentes organisations, quels que soient leur taille, leur type ou leur secteur. En adhérant à ces principes, la direction et le conseil d'administration peuvent raisonnablement s'attendre à ce que l'organisation comprenne et s'efforce de gérer les risques associés à sa stratégie et à ses objectifs commerciaux. Quelques perspectives futures Il ne fait aucun doute que les organisations vont continuer à faire face à un avenir plein de volatilité, de complexité et d'ambiguïté. La gestion des risques de l'entreprise sera un élément important de la façon dont une organisation gère et prospère dans cette période. Quels que soient le type et la taille d'une entité, les stratégies doivent rester fidèles à leur mission. Et toutes les entités doivent présenter des caractéristiques qui permettent de réagir efficacement au
  • 18. changement, notamment une prise de décision agile, la capacité de réagir de manière cohérente et la capacité d'adaptation pour pivoter et se repositionner tout en maintenant des niveaux élevés de confiance entre les parties prenantes. Si l'on se projette dans l'avenir, plusieurs tendances auront un effet sur la gestion des risques de l'entreprise. En voici quatre : • Gérer la prolifération des données : La gestion des risques de l'entreprise devra s'adapter à la multiplication des données et à la rapidité avec laquelle elles peuvent être analysées. Les données proviendront à la fois de l'intérieur et de l'extérieur de l'entité, et elles seront structurées de manière nouvelle. Les outils avancés d'analyse et de visualisation des données évolueront et seront très utiles pour comprendre le risque et son impact - tant positif que négatif. • Exploiter l'intelligence artificielle et l'automatisation : Nombreux sont ceux qui pensent que nous sommes entrés dans l'ère des processus automatisés et de l'intelligence artificielle. Indépendamment des convictions individuelles, il est important que les pratiques de gestion des risques de l'entreprise prennent en compte l'impact de ces technologies et des technologies futures, et tirent parti de leurs capacités. Des relations, des tendances et des modèles jusqu'alors inconnus peuvent être découverts, fournissant une riche source d'informations essentielles à la gestion des risques. • Gérer le coût de la gestion des risques : Une préoccupation fréquente exprimée par de nombreux dirigeants d'entreprise est le coût de la gestion des risques, des processus de conformité et des activités de contrôle par rapport à la valeur obtenue. Au fur et à mesure que les pratiques de gestion des risques de l'entreprise évoluent, il devient important que les activités de gestion des risques, de conformité, de contrôle et même de gouvernance soient coordonnées de manière efficace afin de fournir un avantage maximal à l'organisation. Cela pourrait représenter l'une des meilleures opportunités pour la gestion des risques d'entreprise de redéfinir son importance pour l'organisation. • Construire des organisations plus fortes : Au fur et à mesure que les organisations intègrent mieux la gestion des risques d'entreprise à la stratégie et à la performance, l'occasion de renforcer la résilience se présente. En connaissant les risques qui auront le plus d'impact sur l'entité, les organisations peuvent utiliser la gestion des risques d'entreprise pour aider à mettre en place des capacités qui leur permettent d'agir rapidement. Cela ouvrira de nouvelles opportunités. En résumé, la gestion des risques de l'entreprise devra changer et s'adapter à l'avenir pour fournir constamment les avantages décrits dans le Cadre. Avec la bonne orientation, les avantages dérivés de la gestion des risques de l'entreprise compenseront largement les investissements et donneront aux organisations la confiance dans leur capacité à gérer l'avenir.
  • 19. 1 Le rapport sur les risques mondiaux 2016, 11e édition, Forum économique mondial (2016). 2 Le Cadre utilise le terme "conseil d'administration" ou "conseil", qui englobe l'organe de direction, y compris le conseil d'administration, le conseil de surveillance, le conseil de fiduciaires, les associés généraux ou le propriétaire. 3 Enterprise Risk Management-Integrated Framework, Executive Summary, COSO (2004). 4 Une description plus complète de ces vingt principes est fournie à la fin de ce document.
  • 20. Remerciements Nous remercions tout particulièrement les entreprises et organisations suivantes d'avoir permis la participation des membres du Conseil consultatif et des observateurs. Membres du Conseil consultatif Entreprises et organisations - Athene USA (Jane Karli) - Edison International (David J. Heller) - First Data Corporation (Lee Marks) - Georgia-Pacific LLC (Paul Sobel) - Invesco Ltd. (Suzanne Christensen) - Microsoft (Jeff Pratt) - Département américain du commerce (Karen Hardy) - United Technologies Corporation (Margaret Boissoneau) - Zurich Insurance Company (James Davenport) Enseignement supérieur et associations - Université d'État de Caroline du Nord (Mark Beasley) - Université de St. John's (Paul Walker) - L'Institut des auditeurs internes (Douglas J. Anderson) Sociétés de services professionnels - Crowe Horwath LLP (William Watts) - Deloitte & Touche LLP (Henry Ristuccia) - Ernst & Young (Anthony J. Carmello) - James Lam & Associates (James Lam) - Grant Thornton LLP (Bailey Jordan) - KPMG LLP Americas (Deon Minnaar) - Mercury Business Advisors Inc. (Patrick Stroh) - Protiviti Inc. (James DeLoach)
  • 21. Ancien membre du conseil d'administration du COSO Président de l'OCSO, 2009-2013 (David Landsittel) Observateurs - Federal Deposit Insurance Corporation (Harrison Greene) - Government Accountability Office (James Dalkin) - Institut des comptables en management (Jeff Thompson) - Institut der Wirtschaftsprüfer (Horst Kreisel) - Fédération internationale des comptables (Vincent Tophoff) - ISACA (Jennifer Bayuk) - Risk Management Society (Carol Fox)
  • 22. Composants et principes 1. Exercer une surveillance des risques par le conseil d'administration - Le conseil d'administration assure la surveillance de la stratégie et assume des responsabilités de gouvernance afin de soutenir la direction dans la réalisation de la stratégie et des objectifs commerciaux. 2. Établir des structures opérationnelles - L'organisation établit des structures opérationnelles dans la poursuite de la stratégie et des objectifs commerciaux. 3. Définit la culture souhaitée - L'organisation définit les comportements souhaités qui caractérisent la culture souhaitée de l'entité. 4. Démontre un engagement envers les valeurs fondamentales - L'organisation démontre un engagement envers les valeurs fondamentales de l'entité. 5. Attirer, développer et retenir les personnes compétentes - L'organisation s'engage à développer le capital humain en accord avec la stratégie et les objectifs commerciaux. 6. analyse du contexte commercial - L'organisation considère les effets potentiels du contexte commercial sur le profil de risque. 7. L'organisation définit l'appétit pour le risque dans le contexte de la création, de la préservation et de la réalisation de la valeur. 8. Évaluer les stratégies alternatives - L'organisation évalue les stratégies alternatives et leur impact potentiel sur le profil de risque. 9. Formulation des objectifs commerciaux - L'organisation prend en compte le risque lorsqu'elle établit les objectifs commerciaux à différents niveaux qui s'alignent sur la stratégie et la soutiennent. 10. Identifier les risques - L'organisation identifie les risques qui ont un impact sur la performance de la stratégie et des objectifs commerciaux. 11. Évaluer la gravité du risque - L'organisation évalue la gravité du risque. 12. Priorisation des risques - L'organisation hiérarchise les risques afin de choisir les réponses à apporter aux risques. 13. mise en œuvre des réponses aux risques - L'organisation identifie et sélectionne les réponses aux risques. 14. développe une vue de portefeuille - L'organisation développe et évalue une vue de portefeuille du risque. 15. évaluer les changements substantiels - L'organisation identifie et évalue les changements qui peuvent affecter substantiellement la stratégie et les objectifs de l'entreprise. 16. examine les risques et les performances - L'organisation examine les performances de l'entité et prend en compte les risques. 17. poursuit l'amélioration de la gestion des risques de l'entreprise - L'organisation poursuit l'amélioration de la gestion des risques de l'entreprise. 18. exploitation des systèmes d'information - L'organisation exploite les systèmes d'information et de technologie de l'entité pour soutenir la gestion des risques de l'entreprise.
  • 23. 19. communique les informations sur les risques - L'organisation utilise des canaux de communication pour soutenir la gestion des risques de l'entreprise. 20. rapports sur les risques, la culture et la performance - L'organisation rend compte des risques, de la culture et de la performance à plusieurs niveaux et dans toute l'entité.
  • 25. Ce projet a été commandé par le Committee of Sponsoring Organizations of the Treadway Commission (COSO), dont la mission est d'assurer un leadership éclairé en élaborant des cadres et des directives complets sur le contrôle interne, la gestion des risques d'entreprise et la dissuasion de la fraude, afin d'améliorer la performance et la surveillance des organisations et de réduire l'ampleur de la fraude dans les organisations. Le COSO est une initiative du secteur privé, parrainée et financée conjointement par : • Association américaine de comptabilité • L'Institut américain des comptables publics certifiés. • Financial Executives International • Institut des comptables en management • L'Institut des auditeurs internes (IIA) ©2017 Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, redistribuée, transmise ou affichée sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite du COSO.
  • 26. Table de matière Avant-propos................................................................................................................................... 3 Comité des organisations de parrainage de la Commission Treadway........................................... 5 Remerciements................................................................................................................................ 6 Un éventail de risques évolutifs...................................................................................................... 9 Guide de la direction pour la gestion des risques d'entreprise .................................................. 10 Guide du conseil d'administration pour la gestion des risques d'entreprise.............................. 10 Les réalisations de la gestion des risques d'entreprise .............................................................. 11 Avantages d'une gestion efficace des risques d'entreprise........................................................ 13 Le rôle du risque dans la sélection des stratégies...................................................................... 14 Un cadre ciblé ............................................................................................................................... 16 Quelques perspectives futures....................................................................................................... 17 Remerciements.............................................................................................................................. 20 Composants et principes ............................................................................................................... 22 Table de matière............................................................................................................................ 26 1. Introduction............................................................................................................................... 31 La gestion du risque d'entreprise affecte la valeur.................................................................... 31 Mission, vision et valeurs fondamentales ................................................................................. 32 La gestion du risque d'entreprise affecte la stratégie ................................................................ 33 La gestion du risque d'entreprise est liée aux affaires............................................................... 33 Gouvernance ......................................................................................................................... 33 Gestion des performances ..................................................................................................... 33 Contrôle interne..................................................................................................................... 34 Avantages de la gestion des risques d'entreprise .................................................................. 35 La gestion des risques d'entreprise et la capacité d'adaptation, de survie et de prospérité ....... 37 2. Comprendre les termes : Risque et gestion du risque d'entreprise............................................ 39 Définir le risque et l'incertitude................................................................................................. 39 Définir la gestion du risque d'entreprise ................................................................................... 40 Reconnaître la culture ........................................................................................................... 40 Développer les capacités....................................................................................................... 41
  • 27. Application des pratiques...................................................................................................... 41 Intégration avec la définition de la stratégie et la performance ............................................ 41 Gestion des risques pour la stratégie et les objectifs commerciaux...................................... 42 Le lien avec la valeur ............................................................................................................ 42 3. Stratégie, objectifs commerciaux et Performance..................................................................... 44 Gestion des risques et stratégie d'entreprise.............................................................................. 44 Possibilité de désalignement de la stratégie et des objectifs commerciaux .......................... 44 Évaluer la stratégie choisie.................................................................................................... 45 Risque lié à la mise en œuvre de la stratégie et des objectifs commerciaux......................... 46 Gestion des risques et performance de l'entreprise ................................................................... 47 4. Intégrer la gestion des risques de l'entreprise............................................................................ 50 L'importance de l'intégration..................................................................................................... 50 Vers une intégration totale ........................................................................................................ 51 Culture................................................................................................................................... 52 Capacités ............................................................................................................................... 52 Pratiques................................................................................................................................ 52 Prise en compte de l'intégration dans le cadre .......................................................................... 53 5. Composants et principes ........................................................................................................... 54 Gouvernance et culture ............................................................................................................. 58 Principe 1 : Exercer une surveillance des risques par le conseil d'administration................ 60 Principe 2 : établir des structures de fonctionnement ........................................................... 63 Principe 3 : Définir la culture souhaitée................................................................................ 66 Principe 4 : Démontrer un engagement envers les valeurs fondamentales........................... 72 Principe 5 : Attirer, développer et retenir les personnes compétentes .................................. 77 Définition de la stratégie et des objectifs .................................................................................. 81 Principe 6 : Analyse du contexte commercial....................................................................... 82 Principe 7 : Définir l'appétit pour le risque........................................................................... 86 Principe 8 : évaluer les stratégies alternatives....................................................................... 95 Principe 9 : Formuler les objectifs de l'entreprise................................................................. 99 Performance ............................................................................................................................ 106 Principe 10 : Identifier les risques....................................................................................... 108
  • 28. Principe 11 : évaluer la gravité du risque............................................................................ 117 Principe 12 : Hiérarchisation des risques............................................................................ 127 Principe 13 : Mise en œuvre de réponses aux risques......................................................... 130 Principe 14 : Développe la vision du portefeuille............................................................... 134 Examen et révision.................................................................................................................. 140 Principe 15 : Évaluation des changements substantiels ...................................................... 140 Principe 16 : Examiner les risques et les performances...................................................... 143 Principe 17 : Poursuivre l'amélioration de la gestion des risques de l'entreprise................ 147 Information, communication et rapports................................................................................. 149 Principe 18 : Tirer parti de l'information et de la technologie ............................................ 150 Principe 19 : Communiquer l'information sur les risques................................................... 156 Principe 20 : Rapports sur les risques, la culture et la performance ................................... 160 Glossaire des termes clés ............................................................................................................ 164 Annexes....................................................................................................................................... 167 A. Contexte du projet et approche de la révision du cadre de référence................................. 170 Contexte du projet............................................................................................................... 170 Approche de la révision du cadre........................................................................................ 170 B. Résumé des commentaires du public ................................................................................. 171 Structurer le document : Composants et principes.............................................................. 172 Définition de la gestion du risque d'entreprise et du risque ................................................ 173 Intégration de la gestion des risques d'entreprise et impact sur la prise de décision .......... 174 La relation entre la gestion des risques d'entreprise et le contrôle interne.......................... 174 Discussion sur la stratégie................................................................................................... 175 Rôle de la culture ................................................................................................................ 175 Appétit et tolérance au risque.............................................................................................. 176 Évaluation des risques et profils de risques ........................................................................ 176 Information et technologie.................................................................................................. 177 Orientation........................................................................................................................... 177 C. Rôles et responsabilités en matière de gestion des risques de l'entreprise ......................... 179 Conseil d'administration et comités dédiés ......................................................................... 179 Le management et les trois lignes de responsabilité........................................................... 182
  • 29. D. Illustrations du profil de risque .......................................................................................... 189 Introduction aux profils de risque ....................................................................................... 189 Élaboration de profils de risque .......................................................................................... 189 Risque, stratégie et fixation des objectifs............................................................................ 192 Identifier les risques liés à la performance.......................................................................... 195
  • 30. Appliquer le cadre : Mise en contexte
  • 31. 1. Introduction L'intégration des pratiques de gestion des risques d'entreprise dans l'ensemble d'une organisation améliore la prise de décision en matière de gouvernance, de stratégie, de fixation des objectifs et d'opérations quotidiennes. Elle permet d'améliorer les performances en liant plus étroitement la stratégie et les objectifs commerciaux aux risques. La diligence requise pour intégrer la gestion des risques d'entreprise offre à une entité une voie claire pour créer, préserver et réaliser de la valeur. Une discussion sur la gestion des risques d'entreprise 1 commence par cette prémisse sous-jacente : chaque entité - qu'elle soit à but lucratif, non lucratif ou gouvernementale - existe pour fournir de la valeur à ses parties prenantes. La présente publication repose sur un postulat connexe : toutes les entités sont confrontées à des risques dans leur quête de valeur. Les concepts et principes de gestion des risques d'entreprise exposés dans cette publication s'appliquent à toutes les entités, indépendamment de leur structure juridique, de leur taille, de leur secteur d'activité ou de leur situation géographique. Le risque affecte la capacité d'une organisation à réaliser sa stratégie et ses objectifs commerciaux. Par conséquent, l'un des défis de la direction consiste à déterminer le niveau de risque que l'organisation est prête et capable d'accepter. Une gestion efficace du risque d'entreprise aide les conseils d'administration et la direction à optimiser les résultats dans le but d'améliorer les capacités à créer, préserver et finalement réaliser de la valeur. La direction a de nombreux choix quant à la manière dont elle appliquera les pratiques de gestion des risques de l'entreprise, et aucune approche n'est universellement meilleure qu'une autre. Pourtant, pour toute entité, une approche peut offrir des avantages accrus par rapport à une autre ou s'aligner davantage sur la philosophie de gestion globale de l'organisation. Ce cadre définit une structure conceptuelle de base d'idées, qu'une organisation intègre dans d'autres pratiques se produisant au sein de l'entité. Les lecteurs qui recherchent des informations allant au-delà d'un cadre, ou différentes pratiques qu'ils peuvent appliquer pour intégrer les concepts de gestion des risques d'entreprise dans l'entité, trouveront les annexes du volume II de cette publication utiles. La gestion du risque d'entreprise affecte la valeur La valeur d'une entité est largement déterminée par les décisions prises par la direction - des décisions stratégiques globales aux décisions quotidiennes. Ces décisions peuvent déterminer si la valeur est créée, préservée, érodée ou réalisée. La valeur est créée lorsque les avantages tirés des ressources déployées dépassent le coût de ces ressources. Par exemple, la valeur est créée lorsqu'un nouveau produit est conçu et lancé avec succès et que sa marge bénéficiaire est positive. Ces ressources peuvent être des personnes, des capitaux financiers, des technologies, des processus et une présence sur le marché (marque).
  • 32. La valeur est préservée lorsque la valeur des ressources déployées dans les opérations quotidiennes soutient les avantages créés. Par exemple, la valeur est préservée par la fourniture de produits, de services et de capacités de production de qualité supérieure, ce qui se traduit par des clients et des parties prenantes satisfaits et loyaux. La valeur est érodée lorsque la direction met en œuvre une stratégie qui ne donne pas les résultats escomptés ou ne parvient pas à exécuter les tâches quotidiennes. Par exemple, la valeur est érodée lorsque des ressources substantielles sont consommées pour développer un nouveau produit qui est ensuite abandonné. La valeur est réalisée lorsque les parties prenantes tirent des avantages créés par l'entité. Les avantages peuvent être monétaires ou non monétaires. La manière dont la valeur est créée dépend du type d'entité. Les entités à but lucratif créent de la valeur en mettant en œuvre avec succès une stratégie qui équilibre les opportunités de marché et les risques liés à la poursuite de ces opportunités. Les entités à but non lucratif et les entités gouvernementales peuvent créer de la valeur en fournissant des biens et des services qui équilibrent leurs opportunités de servir la communauté au sens large et les risques associés. Quel que soit le type d'entité, l'intégration des pratiques de gestion des risques de l'entreprise à d'autres aspects de l'activité renforce la confiance et inspire une plus grande confiance aux parties prenantes. Mission, vision et valeurs fondamentales La mission, la vision et les valeurs fondamentales définissent ce qu'une entité s'efforce d'être et comment elle veut mener ses activités. Elles communiquent aux parties prenantes l'objectif de l'entité. Pour la plupart des entités, la mission, la vision et les valeurs fondamentales restent stables dans le temps et sont généralement réaffirmées lors de la définition de la stratégie. Cependant, elles peuvent également évoluer en fonction des attentes des parties prenantes. Par exemple, une nouvelle équipe de direction peut présenter des idées différentes pour la mission afin de créer de la valeur pour l'entité. Mission : L'objectif principal de l'entité, qui établit ce qu'elle veut accomplir et pourquoi elle existe. Vision : Les aspirations de l'entité pour son état futur ou ce que l'organisation vise à réaliser au fil du temps. Valeurs fondamentales : Les croyances et idéaux de l'entité concernant ce qui est bon ou mauvais, acceptable ou inacceptable, qui influencent le comportement de l'organisation. Dans le cadre (chapitres 6 à 10), la mission et la vision sont considérées dans le contexte d'une organisation qui définit et réalise sa stratégie et ses objectifs commerciaux. Les valeurs fondamentales sont considérées dans le contexte de la culture que l'entité souhaite adopter.
  • 33. La gestion du risque d'entreprise affecte la stratégie La "stratégie" désigne le plan d'une organisation pour réaliser sa mission et sa vision, et pour appliquer ses valeurs fondamentales. Une stratégie bien définie permet d'allouer efficacement les ressources et de prendre des décisions judicieuses. Elle fournit également une feuille de route pour établir des objectifs commerciaux dans l'ensemble de l'entité. La gestion des risques de l'entreprise4 ne crée pas la stratégie de l'entité, mais elle influence son développement. Une organisation qui intègre les pratiques de gestion des risques d'entreprise dans l'établissement de sa stratégie fournit à la direction les informations sur les risques dont elle a besoin pour envisager des stratégies alternatives et, en fin de compte, pour adopter la stratégie choisie. La gestion du risque d'entreprise est liée aux affaires Les pratiques de gestion des risques de l'entreprise s'intègrent à tous les autres aspects de l'activité, notamment la gouvernance, la gestion des performances et les pratiques de contrôle interne. Gouvernance La gouvernance constitue le concept le plus large. En général, il s'agit de la répartition des rôles, des pouvoirs et des responsabilités entre les parties prenantes, le conseil d'administration et la direction. Certains aspects de la gouvernance ne relèvent pas de la gestion des risques d'entreprise (par exemple, le recrutement et l'évaluation des membres du conseil d'administration, l'élaboration de la mission, de la vision et des valeurs fondamentales de l'entité). Gestion des performances La performance concerne les actions, les tâches et les fonctions permettant d'atteindre, voire de dépasser, la stratégie et les objectifs commerciaux d'une entité. La gestion des performances se concentre sur le déploiement efficace des ressources. Il s'agit de mesurer ces actions, tâches et fonctions par rapport à des objectifs prédéterminés (à court et à long terme) et de déterminer si ces objectifs sont atteints. Étant donné qu'une variété de risques - connus et inconnus - peuvent affecter la performance d'une entité, une variété de mesures peut être utilisée : - Mesures financières, telles que le rendement des investissements, les recettes ou la rentabilité. - Mesures opérationnelles, telles que les heures de fonctionnement, les volumes de production ou les pourcentages de capacité. - Mesures d'obligation, telles que l'adhésion à des accords de niveau de service ou à des exigences de conformité réglementaire.
  • 34. -Mesures de projet, comme le lancement d'un nouveau produit dans un laps de temps déterminé. -Mesures de croissance, telles que l'accroissement de la part de marché sur un marché émergent. Les mesures prises par les parties prenantes, telles que l'enseignement et l'acquisition de compétences professionnelles de base pour les personnes qui ont besoin d'une mise à niveau lorsqu'elles sont sans emploi. Il y a toujours un risque associé à un objectif de performance prédéterminé. Par exemple, les producteurs agricoles à grande échelle courent un certain risque quant à leur capacité à produire les volumes nécessaires pour satisfaire les demandes des clients et atteindre les objectifs de rentabilité. De même, les compagnies aériennes courent un certain risque quant à leur capacité à assurer tous les vols dans les délais prévus. Toutefois, les compagnies aériennes peuvent prévoir un risque moindre de pouvoir exploiter 90 % ou même 80 % de leurs vols réguliers dans les délais prévus, par rapport à 100 % de leurs vols réguliers. Dans ces deux exemples, il y a une part de risque associée à la gestion de la réalisation des objectifs prédéterminés de performance - volume de production et opérations de vol. Une entité peut améliorer sa performance globale en intégrant la gestion des risques d'entreprise dans les opérations quotidiennes et en liant plus étroitement les objectifs commerciaux aux risques. Contrôle interne La gestion des risques de l'entreprise intègre certains concepts du contrôle interne. "Le contrôle interne" est le processus mis en œuvre par une entité pour fournir une assurance raisonnable que les objectifs seront atteints. Le contrôle interne aide l'organisation à identifier et à analyser les risques qui pèsent sur la réalisation de ces objectifs et la manière de gérer les risques. Il permet à la direction de rester concentrée sur les opérations de l'entité et la poursuite de ses objectifs de performance tout en se conformant aux lois et règlements pertinents. Il convient toutefois de noter que certains concepts relatifs à la gestion des risques de l'entreprise ne sont pas pris en compte dans le contrôle interne (par exemple, les concepts d'appétit pour le risque, de tolérance, de stratégie et d'objectifs sont définis dans le cadre de la gestion des risques de l'entreprise mais considérés comme des conditions préalables au contrôle interne). Afin d'éviter toute redondance, certains concepts relatifs au contrôle interne, communs à la présente publication et au Cadre Intégré de Contrôle Interne, n'ont pas été repris ici (par exemple, le risque de fraude relatif aux objectifs de reporting financier, les activités de contrôle relatives aux objectifs de conformité, et les évaluations continues et distinctes relatives aux objectifs opérationnels). Cependant, certains concepts communs relatifs au contrôle interne sont développés dans la section du Cadre 5 (par exemple , la gouvernance de la gestion des risques d'entreprise). Veuillez consulter la section 6 du Cadre intégré de contrôle interne dans le cadre de l'application du Cadre dans cette publication.
  • 35. Avantages de la gestion des risques d'entreprise Une organisation doit identifier les défis qui l'attendent et s'adapter pour les relever. Elle doit prendre des décisions en étant consciente à la fois des opportunités de création de valeur et des risques qui la mettent au défi de créer de la valeur. En bref, elle doit intégrer les pratiques de gestion des risques de l'entreprise aux pratiques d'établissement de la stratégie et de gestion de la performance, et ce faisant, elle obtiendra des avantages liés à la valeur. Les avantages de l'intégration de la gestion des risques d'entreprise comprennent la capacité de : -Augmenter l'éventail des possibilités : En considérant toutes les possibilités raisonnables - les aspects positifs et négatifs du risque - la direction peut identifier les opportunités pour l'entité et les défis uniques associés aux opportunités actuelles et futures. Par exemple, lorsque les dirigeants d'une entreprise alimentaire locale ont examiné les risques potentiels susceptibles d'affecter l'objectif commercial de croissance durable des revenus, ils ont déterminé que les principaux consommateurs de l'entreprise étaient de plus en plus soucieux de leur santé et changeaient leur régime alimentaire. Ce changement indiquait une baisse potentielle de la demande future pour les produits actuels de l'entreprise. En réponse, la direction a identifié des moyens de développer de nouveaux produits et d'améliorer les produits existants, ce qui a permis à l'entreprise de maintenir les revenus provenant des clients existants (préservation de la valeur) et de créer des revenus supplémentaires en faisant appel à une base de consommateurs plus large (création de valeur). -Augmenter les résultats positifs et les avantages tout en réduisant les surprises négatives : La gestion des risques de l'entreprise permet à une organisation d'améliorer sa capacité à identifier les risques et à établir des réponses appropriées, augmentant ainsi les résultats positifs tout en réduisant les surprises négatives et les coûts ou pertes associés. Par exemple, une entreprise de fabrication qui fournit des pièces en flux tendu à ses clients pour qu'ils les utilisent dans leur production risque d'être pénalisée si elle ne livre pas à temps. En réponse à ce risque, l'entreprise a évalué ses processus d'expédition internes en examinant l'heure de la journée pour les livraisons, les itinéraires de livraison typiques et les réparations non programmées sur la flotte de livraison. Elle a utilisé les résultats pour établir des calendriers de maintenance pour sa flotte, programmer les livraisons en dehors des périodes de pointe et concevoir des alternatives aux itinéraires clés. Reconnaissant que tous les retards de circulation ne peuvent être évités, elle a également élaboré des protocoles pour avertir les clients des retards potentiels. Dans ce cas, la performance a été améliorée par la direction en influençant le risque dans la mesure de ses possibilités (production et programmation) et en s'adaptant aux risques sur lesquels elle n'a pas d'influence directe (retards de circulation). -Identifier et gérer les risques à l'échelle de l'entité : Chaque entité est confrontée à une myriade de risques qui peuvent avoir un impact sur de nombreuses parties de l'entité. Parfois, un risque peut provenir d'une partie de l'entité mais affecter une autre partie. La direction doit identifier et gérer ces risques à l'échelle de l'entité pour maintenir et améliorer la performance. Par exemple,
  • 36. lorsqu'une banque a réalisé qu'elle était confrontée à une variété de risques dans ses activités de négociation, la direction a réagi en développant un système d'analyse des informations internes sur les transactions et les marchés, étayé par des informations externes pertinentes. Le système a fourni une vue d'ensemble des risques pour toutes les activités de négoce, permettant une analyse détaillée pour les départements, les clients et les négociants. Il a également permis à la banque de quantifier les risques relatifs. Le système répondait aux exigences de l'entité en matière de gestion des risques d'entreprise et permettait à la banque de rassembler des données auparavant disparates pour répondre plus efficacement aux risques. -Réduire la variabilité des performances : Pour certaines entités, le défi est moins lié aux surprises et aux pertes qu'à la variabilité des performances. Une performance en avance sur le calendrier ou au-delà des attentes peut causer autant d'inquiétude qu'une performance inférieure aux attentes. Par exemple, dans un système de transport public, les usagers seront tout aussi mécontents si un bus ou un train part dix minutes en avance que s'il a dix minutes de retard : dans les deux cas, ils risquent de manquer des correspondances. Pour gérer cette variabilité, les planificateurs des transports en commun intègrent des pauses naturelles dans les horaires. Les conducteurs attendent aux arrêts désignés jusqu'à une heure donnée, quelle que soit leur heure d'arrivée. Cela permet de lisser la variabilité des temps de parcours et d'améliorer les performances globales et la perception du système de transport par les usagers. La gestion des risques d'entreprise permet aux organisations d'anticiper les risques qui pourraient affecter les performances et leur permet de prendre des mesures pour minimiser les perturbations. Améliorer le déploiement des ressources : L'obtention d'informations solides sur les risques permet à la direction d'évaluer les besoins globaux en ressources et contribue à optimiser l'affectation des ressources. Par exemple, une société de distribution de gaz en aval a reconnu que son infrastructure vieillissante augmentait le risque de fuite de gaz. En examinant les tendances des données relatives aux fuites de gaz, l'organisation a pu évaluer le risque sur l'ensemble de son réseau de distribution. La direction a ensuite élaboré un plan pour remplacer les infrastructures usées et réparer les sections qui avaient encore une durée de vie utile. Cette approche a permis à l'entreprise de maintenir l'intégrité de l'infrastructure tout en allouant d'importantes ressources supplémentaires sur une plus longue période. Gardez à l'esprit que les avantages de l'intégration des pratiques de gestion des risques d'entreprise aux pratiques de définition de la stratégie et de gestion de la performance varieront selon l'entité. Il n'existe pas d'approche unique pour toutes les entités. Cependant, la mise en œuvre de pratiques de gestion des risques de l'entreprise aidera généralement une organisation à atteindre ses objectifs de performance et de rentabilité et à prévenir ou réduire la perte de ressources.
  • 37. La gestion des risques d'entreprise et la capacité d'adaptation, de survie et de prospérité Toute entité s'efforce d'atteindre sa stratégie et ses objectifs commerciaux, et ce dans un environnement en mutation. La mondialisation des marchés, les percées technologiques, les fusions et acquisitions, les fluctuations des marchés financiers, la concurrence, l'instabilité politique, les capacités de la main-d'œuvre et la réglementation, entre autres, font qu'il est difficile de connaître tous les risques possibles pour la réalisation de la stratégie et des objectifs commerciaux. Le risque étant toujours présent et changeant, il peut être difficile de poursuivre et d'atteindre des objectifs. Bien qu'il ne soit pas possible pour les organisations de gérer tous les résultats potentiels d'un risque, elles peuvent améliorer la façon dont elles s'adaptent aux circonstances changeantes. C'est ce qu'on appelle parfois la durabilité, la résilience et l'agilité de l'organisation. Le Cadre intègre ce concept dans le contexte général de la création, de la préservation et de la réalisation de la valeur. La gestion des risques de l'entreprise se concentre sur la gestion des risques pour réduire la probabilité qu'un événement se produise et sur la gestion de l'impact lorsqu'il se produit. La "gestion de l'impact" peut nécessiter qu'une organisation s'adapte en fonction des circonstances. Dans certains cas extrêmes, cela peut inclure la mise en œuvre d'un plan de gestion de crise. L'exemple 1.1 illustre un tel plan dans la pratique. Exemple 1.1 : Plan de gestion de crise Un opérateur de navires de croisière est préoccupé par le risque d'épidémies virales pendant que ses navires sont en mer. Un navire de croisière n'a pas la capacité de mettre les passagers en quarantaine pendant une épidémie, mais il peut appliquer des procédures visant à minimiser la propagation des germes. Cependant, malgré l'installation de stations de désinfection des mains sur l'ensemble du navire, la mise à disposition d'une buanderie et la désinfection quotidienne des mains courantes, des toilettes et d'autres zones communes, des épidémies virales peuvent toujours se produire. L'organisation réagit en mettant en place des pratiques spécifiques. Tout d'abord, le nettoyage et la désinfection de routine à bord sont intensifiés. Lorsque le navire est au port, tous les passagers doivent débarquer pour permettre à un personnel spécialement formé de désinfecter l'ensemble du navire. Ensuite, les protocoles de nettoyage sont mis à jour en fonction de la souche de virus trouvée. Le départ de la prochaine croisière est retardé jusqu'à ce que tous les protocoles de nettoyage soient appliqués. Dans la plupart des cas, le retard est inférieur à quarante-huit heures. En mettant en place de solides pratiques de gestion des risques d'entreprise pour répondre et s'adapter immédiatement à chaque situation unique, la compagnie est en mesure de minimiser l'impact tout en maintenant la confiance des passagers dans la compagnie de croisière.
  • 38. Il arrive qu'une organisation ne soit pas en mesure de reprendre ses activités normales à court terme lorsqu'un événement se produit. Dans ces cas, l'organisation doit adopter une solution à plus long terme. Prenons l'exemple d'un bateau de croisière qui est immobilisé en mer par un incendie. Contrairement au scénario d'une épidémie virale évoqué dans l'exemple 1.1, qui ne touche que quelques passagers, l'incendie touche tout le monde. Il peut y avoir un besoin immédiat d'assistance médicale, de nourriture, d'eau et d'abri, voire un appel à débarquer tous les passagers. Comme les navires se trouvent rarement au même endroit, la planification commune des interventions en cas de crise peut être moins efficace, car chaque lieu et chaque type d'incident peut présenter des défis différents. Toutefois, en planifiant l'emplacement de sa flotte et en échelonnant les horaires de départ, la compagnie peut maintenir un itinéraire où les navires sont toujours à quelques heures d'un port ou d'un autre navire de croisière. Ce chevauchement permet à la compagnie de redéployer rapidement les navires et les équipages pour apporter son aide en cas d'urgence. La direction sera en meilleure position si elle prend le temps d'anticiper ce qui peut se produire - le probable, le possible et l'improbable. La capacité d'adaptation au changement rend une organisation plus résiliente et mieux à même d'évoluer face aux contraintes du marché et des ressources. Cette capacité peut également donner à la direction la confiance nécessaire pour augmenter le niveau de risque que l'organisation est prête à accepter et, en fin de compte, pour accélérer la croissance et créer de la valeur. 1 Les termes définis sont liés au Glossaire des termes clés lors de leur première utilisation dans le document. 2 Dans la présente publication, le terme "risques" (au pluriel) désigne un ou plusieurs événements potentiels susceptibles d'affecter la réalisation des objectifs. Le terme "risque" (au singulier) fait référence à tous les événements potentiels pris collectivement qui peuvent affecter la réalisation des objectifs. 3 Notez que certaines entités utilisent des termes différents, tels que "credo", "but", "philosophie", "croyances fondamentales" et "politiques". Quelle que soit la terminologie utilisée, les concepts sous-jacents à la mission, à la vision et aux valeurs fondamentales fournissent une structure de communication à l'échelle de l'entité. 4 Dans le présent document, l'expression "gestion du risque d'entreprise" désigne la culture, les capacités et les pratiques, intégrées à la définition de la stratégie et à la performance, sur lesquelles les organisations s'appuient pour gérer le risque dans la création, la préservation et la réalisation de la valeur. Elle ne fait pas référence à une fonction, un groupe ou un département au sein d'une entité. Des considérations spécifiques sur le modèle opérationnel sont abordées à l'annexe B du volume II. 5 Le terme "cadre" désigne collectivement les cinq composantes présentées au chapitre 5 et traitées individuellement dans les chapitres 6 à 10. 6 Internal Control-Integrated Framework peut être obtenu sur le site www.coso.org.
  • 39. 2. Comprendre les termes : Risque et gestion du risque d'entreprise Définir le risque et l'incertitude La stratégie et les objectifs commerciaux d'une entité peuvent être affectés par des événements potentiels. L'absence de prévisibilité complète de la survenance (ou non) d'un événement et de son impact crée une incertitude pour une organisation. L'incertitude existe pour toute entité qui s'efforce de réaliser des stratégies et des objectifs commerciaux futurs. Dans ce contexte, le risque est défini comme suit : La possibilité que des événements se produisent et affectent la réalisation de la stratégie et des objectifs de l'entreprise. L'encadré de cette page contient des termes qui développent et soutiennent la définition du risque. Le Cadre souligne que le risque est lié au potentiel d'événements, souvent considérés en termes de gravité. Dans certains cas, le risque peut être lié à l'anticipation d'un événement attendu qui ne se produit pas. Événement : Une occurrence ou un ensemble d'occurrences. Incertitude : L'état de ne pas savoir comment ou si des événements potentiels peuvent se manifester. Sévérité : Une mesure des considérations telles que la probabilité et l'impact des événements ou le temps nécessaire pour se remettre des événements. Dans le contexte du risque, les événements sont plus que des transactions de routine ; ils comprennent des questions commerciales plus larges telles que les changements dans la gouvernance et la structure opérationnelle, les influences géopolitiques et sociales, et les négociations contractuelles, entre autres choses. Certains événements susceptibles d'affecter la stratégie et les objectifs de l'entreprise sont facilement identifiables - une variation des taux d'intérêt, le lancement d'un nouveau produit par un concurrent ou le départ à la retraite d'un employé clé. D'autres sont moins évidents, notamment lorsque plusieurs petits événements se combinent pour créer une tendance ou une condition. Par exemple, il peut être difficile d'identifier des événements spécifiques liés au réchauffement de la planète, mais il est généralement admis que cette situation se produit. Dans certains cas, les organisations peuvent même ne pas savoir ou être en mesure d'identifier les événements susceptibles de se produire. Les organisations se concentrent généralement sur les risques qui peuvent avoir un résultat négatif, comme les dommages causés par un incendie, la perte d'un client clé ou l'apparition d'un nouveau concurrent. Cependant, les événements peuvent également avoir des conséquences positives, comme une météo plus clémente que prévu, des tendances plus fortes en matière de rétention du personnel ou des taux d'imposition plus élevés, qui doivent également être pris en
  • 40. compte. De même, les événements qui sont bénéfiques à la réalisation d'un objectif peuvent en même temps représenter un défi pour la réalisation d'autres objectifs. Par exemple, le lancement d'un produit dont la demande est supérieure aux prévisions a un effet positif sur la performance financière. Cependant, il peut également augmenter le risque pour la chaîne d'approvisionnement, ce qui peut entraîner l'insatisfaction des clients si l'entreprise ne peut pas fournir le produit. Certains risques ont un impact minime sur une entité, et d'autres ont un impact plus important. Les pratiques de gestion des risques de l'entreprise aident l'organisation à identifier, à hiérarchiser et à se concentrer sur les risques qui peuvent empêcher la création, la préservation et la réalisation de la valeur, ou qui peuvent éroder la valeur existante. Mais, tout aussi important, il aide également l'organisation à saisir les opportunités potentielles. Définir la gestion du risque d'entreprise La gestion des risques de l'entreprise est définie ici comme suit : La culture, les capacités et les pratiques, intégrées à la définition de la stratégie et aux performances, sur lesquelles les organisations s'appuient pour gérer le risque dans la création, la préservation et la réalisation de la valeur. Un examen plus approfondi de la définition de la gestion des risques de l'entreprise met l'accent sur l'importance de la gestion des risques : - Reconnaître la culture. - Développement des capacités. - Les pratiques d'application. - Intégration avec la définition de la stratégie et la performance. - Gérer les risques en fonction de la stratégie et des objectifs commerciaux. - Lien vers la valeur. Reconnaître la culture La culture est développée et façonnée par les personnes à tous les niveaux d'une entité, par ce qu'elles disent et font. Ce sont les personnes qui établissent la mission, la stratégie et les objectifs commerciaux de l'entité, et qui mettent en place les pratiques de gestion des risques de l'entreprise. De même, la gestion des risques de l'entreprise affecte les décisions et les actions des personnes. Chaque personne a un point de référence unique, qui influence la façon dont elle identifie, évalue et réagit aux risques. La gestion des risques de l'entreprise aide les gens à prendre des décisions tout en comprenant que la culture joue un rôle important dans l'élaboration de ces décisions.
  • 41. Développer les capacités Les organisations recherchent divers avantages concurrentiels afin de créer de la valeur pour l'entité. La gestion des risques de l'entreprise ajoute aux compétences nécessaires pour mener à bien la mission et la vision de l'entité et pour anticiper les défis qui peuvent entraver le succès de l'organisation. Une organisation qui a la capacité de s'adapter au changement est plus résiliente et mieux à même d'évoluer face aux contraintes et opportunités du marché et des ressources. Application des pratiques La gestion des risques de l'entreprise n'est pas statique et n'est pas non plus un accessoire de l'entreprise. Au contraire, elle est continuellement appliquée à l'ensemble des activités ainsi qu'aux projets spéciaux et aux nouvelles initiatives. Elle fait partie des décisions de gestion à tous les niveaux de l'entité. Les pratiques utilisées dans la gestion des risques de l'entreprise sont appliquées à partir des niveaux les plus élevés d'une entité et se diffusent à travers les divisions, les unités opérationnelles et les fonctions. Ces pratiques ont pour but d'aider les personnes au sein de l'entité à mieux comprendre sa stratégie, les objectifs commerciaux qui ont été fixés, les risques existants, le niveau de risque acceptable, l'impact du risque sur la performance et la manière dont elles sont censées gérer le risque. En retour, cette compréhension facilite la prise de décision à tous les niveaux et contribue à réduire les préjugés organisationnels. Intégration avec la définition de la stratégie et la performance Une organisation définit une stratégie qui s'aligne sur sa mission et sa vision et les soutient. Elle fixe également des objectifs opérationnels qui découlent de la stratégie, en cascade vers les unités opérationnelles, les divisions et les fonctions de l'entité. Au plus haut niveau, la gestion des risques de l'entreprise est intégrée à la définition de la stratégie, la direction comprenant le profil de risque global de l'entité et les implications des stratégies alternatives à ce profil de risque. La direction tient spécifiquement compte de toutes les nouvelles opportunités qui se présentent grâce à l'innovation et aux activités émergentes. Mais la gestion des risques de l'entreprise ne s'arrête pas là ; elle se poursuit dans les tâches quotidiennes de l'entité, et ce faisant, elle peut réaliser des bénéfices importants. Une organisation qui intègre la gestion des risques d'entreprise dans ses tâches quotidiennes a plus de chances de réduire ses coûts qu'une organisation qui "superpose" des procédures de gestion des risques d'entreprise. Sur un marché hautement concurrentiel, de telles économies peuvent être cruciales pour le succès d'une entreprise. De plus, en intégrant la gestion des risques de l'entreprise dans les opérations de base de l'entité, la direction est susceptible d'identifier de nouvelles opportunités pour développer l'entreprise.
  • 42. La gestion du risque d'entreprise s'intègre également à d'autres processus de gestion. Des actions spécifiques sont nécessaires pour des tâches spécifiques, telles que la planification des activités, les opérations et la gestion financière. Une organisation qui prend en compte les risques de crédit et de change, par exemple, peut avoir besoin de développer des modèles et de capturer de grandes quantités de données nécessaires à l'analyse. En intégrant les pratiques de gestion des risques de l'entreprise aux activités opérationnelles d'une entité, et en comprenant comment le risque affecte potentiellement l'entité dans son ensemble, et pas seulement dans un domaine, la gestion des risques de l'entreprise peut devenir plus efficace. Gestion des risques pour la stratégie et les objectifs commerciaux La gestion des risques de l'entreprise fait partie intégrante de la réalisation de la stratégie et des objectifs commerciaux. Des pratiques de gestion des risques d'entreprise bien conçues permettent à la direction et au conseil d'administration d'avoir une attente raisonnable quant à la réalisation de la stratégie globale et des objectifs commerciaux de l'entité. Avoir une attente raisonnable signifie que le montant du risque lié à la réalisation de la stratégie et des objectifs commerciaux est approprié pour cette entité, en reconnaissant que personne ne peut prédire le risque avec une précision absolue. Mais même si des attentes raisonnables sont en place, les entités peuvent être confrontées à des défis imprévus, d'où l'importance de revoir régulièrement les pratiques de gestion des risques de l'entreprise. L'examen - et la révision conséquente si nécessaire - permet de maintenir des pratiques solides qui augmentent la confiance de la direction dans la capacité de l'entité à répondre avec succès aux imprévus et à atteindre sa stratégie et ses objectifs commerciaux. Le lien avec la valeur Une organisation doit gérer les risques liés à sa stratégie et à ses objectifs commerciaux en fonction de son appétit pour le risque, c'est-à-dire les types et le montant des risques, à un niveau général, qu'elle est prête à accepter dans sa quête de valeur. La mission et la vision d'une entité sont la première expression de son appétit pour le risque. Des stratégies différentes exposeront une entité à des risques différents ou à des montants différents de risques similaires. L'appétit pour le risque donne des indications sur les pratiques qu'une organisation est encouragée à suivre ou à ne pas suivre. Elle fixe l'éventail des pratiques appropriées et guide les décisions fondées sur le risque plutôt que de spécifier une limite. L'appétit pour le risque n'est pas statique ; il peut changer d'un produit ou d'une unité commerciale à l'autre et au fil du temps, en fonction de l'évolution des capacités de gestion du risque. Les types et le montant des risques qu'une organisation peut considérer comme acceptables peuvent changer. Par exemple, en période de conjoncture économique favorable, une entreprise prospère et en pleine croissance peut être plus disposée à accepter certains risques de baisse que lorsque
  • 43. la conjoncture est mauvaise et que les perspectives commerciales se détériorent. L'appétit pour le risque doit être suffisamment souple pour s'adapter à l'évolution des conditions commerciales en fonction des besoins, sans attendre les examens et les approbations périodiques de la direction. Bien que l'appétit pour le risque soit présenté ici, le Cadre définit de nombreux cas où il est appliqué dans le cadre de la gestion des risques de l'entreprise. Certaines des applications les plus importantes de l'appétit pour le risque sont les suivantes : -Utilisation par l'organisation pour prendre des décisions qui augmentent la valeur. -Aider à aligner le montant acceptable de risque avec la capacité de l'organisation à gérer les risques et les opportunités. Pertinence lors de la définition de la stratégie et des objectifs de l'entreprise, en aidant la direction à déterminer si les objectifs de performance sont alignés sur un niveau de risque acceptable. -Assistance dans la communication des profils de risque souhaités par le conseil d'administration. Pertinence et alignement sur la capacité de risque. -Utilisation dans l'évaluation du risque agrégé au niveau du portefeuille. La gestion des risques de l'entreprise aide la direction à choisir une stratégie qui aligne la création de valeur anticipée avec l'appétit de l'entité pour le risque et ses capacités à gérer le risque plus souvent et de manière plus cohérente dans le temps. La gestion des risques dans les limites de l'appétit pour le risque renforce la capacité d'une organisation à créer, préserver et réaliser de la valeur. 7 "Entité" est un terme large qui peut englober une grande variété de structures juridiques, y compris les entités à but lucratif, sans but lucratif et gouvernementales. 8 Ce cadre fait la distinction entre les résultats positifs et les opportunités. Les résultats positifs concernent les cas où les performances dépassent l'objectif initial. Les opportunités concernent une action ou une action potentielle qui crée ou modifie les objectifs ou les approches pour créer, préserver et réaliser la valeur. 9 L'appétit pour le risque est abordé plus en détail dans le Cadre sous le Principe 7 : Définir l'appétit pour le risque.
  • 44. 3. Stratégie, objectifs commerciaux et Performance Gestion des risques et stratégie d'entreprise La gestion des risques de l'entreprise aide une organisation à mieux comprendre : -Comment la mission, la vision et les valeurs fondamentales constituent l'expression initiale des types et du montant des risques acceptables à prendre en compte lors de la définition de la stratégie. La possibilité que la stratégie et les objectifs commerciaux ne s'alignent pas sur la mission, la vision et les valeurs fondamentales. Les types et la quantité de risques auxquels l'organisation s'expose potentiellement en choisissant une stratégie particulière. -Les types et le montant des risques inhérents à la mise en œuvre de sa stratégie et à la réalisation de ses objectifs commerciaux, ainsi que l'acceptabilité de ce niveau de risque et, en définitive, de la valeur. La figure 3.1 illustre la stratégie dans le contexte de la mission, de la vision et des valeurs fondamentales, et en tant que moteur de l'orientation et des performances globales d'une entité. Possibilité de désalignement de la stratégie et des objectifs commerciaux La mission et la vision donnent une vue d'ensemble des types et des montants de risques acceptables pour l'entité. Elles aident l'organisation à établir des limites et à se concentrer sur la manière dont les décisions peuvent affecter la stratégie. Une organisation qui comprend sa mission et sa vision peut établir des stratégies qui produiront le profil de risque souhaité. Considérez les déclarations d'un prestataire de soins de santé dans l'exemple 3.1.
  • 45. Exemple 3.1 : Mission, vision et valeurs fondamentales en cascade Mission : Améliorer la santé des personnes que nous servons en leur fournissant des soins de haute qualité, une gamme complète de services et un accès pratique et rapide à l'adresse avec un service aux patients et une compassion exceptionnelle. Vision : Notre hôpital sera le fournisseur de soins de santé de choix pour les médecins et les patients, et sera connu pour offrir une qualité inégalée, un service de premier ordre, et être un endroit formidable pour pratiquer la médecine. Valeurs fondamentales : Nos valeurs servent de base à tout ce que nous pensons, disons et faisons. Nous traiterons nos médecins, nos patients et nos collègues avec respect, honnêteté et compassion, tout en les tenant responsables de ces valeurs. Ces déclarations guident l'organisation dans la détermination des types et de la quantité de risques qu'elle est susceptible de rencontrer et d'accepter. L'organisation prendrait en compte les risques associés à la fourniture de soins de haute qualité (mission), à la fourniture d'un service pratique et rapide (mission) et au fait d'être un endroit formidable pour pratiquer la médecine (vision). Compte tenu de l'importance qu'elle accorde à la qualité, au service et à l'étendue des compétences, l'organisation cherchera probablement une stratégie présentant un profil de risque plus faible en ce qui concerne la qualité des soins et le service aux patients. Cela peut signifier offrir des services aux patients hospitalisés et/ou externes, mais ne pas être une présence en ligne primaire. En revanche, si l'organisation avait énoncé sa mission en termes d'innovation dans les approches de soins aux patients ou de canaux de prestation avancés, elle aurait peut-être adopté une stratégie présentant un profil de risque différent. La gestion des risques d'entreprise peut aider une entité à éviter de mal aligner une stratégie. Elle peut permettre à une organisation de s'assurer que la stratégie qu'elle choisit soutient la mission et la vision plus larges de l'entité pour la direction et le conseil d'administration. Évaluer la stratégie choisie La gestion des risques d'entreprise ne crée pas la stratégie de l'entité, mais elle informe l'organisation sur les risques associés aux stratégies alternatives envisagées et, finalement, à la stratégie adoptée. L'organisation doit évaluer comment la stratégie choisie pourrait affecter le profil de risque de l'entité, plus précisément les types et la quantité de risques auxquels l'organisation est potentiellement exposée. Lors de l'évaluation des risques potentiels qui peuvent découler de la stratégie, la direction prend également en compte toutes les hypothèses critiques qui sous-tendent la stratégie choisie. Ces hypothèses constituent une partie importante de la stratégie et peuvent être liées à toute considération faisant partie du contexte commercial de l'entité. La gestion des risques de l'entreprise fournit des indications précieuses sur la sensibilité des modifications apportées aux