Gestion du risque d’entreprise :
solutions pratiques
Anne M. Marchetti
Programme
Aperçu général de la gestion des risques, de
l’évaluation des risques et du contrôle interne
• Contexte actuel
• Contrôle interne
• Évolution de la gestion des risques
• Processus de gestion des risques
• Relation avec le contrôle interne
Gestion des risques – Valeur et
avantages
• En l’absence de programme de gestion des risques, il est plus difficile
d’évaluer la situation de l’organisation en matière de risque
• Favorise une approche proactive plutôt que réactive
• Permet de réduire les surprises et les pertes sur le plan de l’exploitation
• Entraîne une meilleure prise de décisions
• Peut aboutir à une meilleure position concurrentielle
• Capacité d’évaluer sa situation actuelle en matière de risque
• Permet une meilleure gestion et atténuation des risques
• Permet d’aligner la stratégie sur un niveau de risque acceptable
• Améliore les réactions face aux défis et aux occasions
• Favorise une meilleure reddition de comptes et une responsabilisation
accrue à l’égard des contrôles internes au sein de l’organisation
Défis liés à la gestion des risques
Obstacles perçus :
• Priorités concurrentes
• Question non prioritaire pour l’organisation
• Ressources et expertise insuffisantes
• Activité perçue comme comportant peu de valeur ou
d’avantage
• Absence de soutien – haute direction, conseil
d’administration
Cadres d’évaluation des risques et
d’évaluation du contrôle interne
Cadre de contrôle interne du COSO (Committee of Sponsoring
Organizations of the Treadway Commission)
• Publié en 1992
• Établi pour utilisation large
• Dans ses directives, la SEC suggère d’utiliser le cadre de référence du
COSO pour concevoir, établir et/ou analyser le contrôle interne sur
l’information financière
Cadre intégré de gestion du risque d’entreprise du COSO
• Publié en 2004
• Permet d’identifier, d’évaluer et de gérer efficacement les risques
• Établit des principes, des notions, des termes et des indications clés
• Aide à établir un programme de gestion des risques en bonne et due forme
dans les organisations ou à améliorer le programme existant
Contrôle interne
• Relation avec la gestion des risques
• Atténuation des risques
• Perception courante : focalisation sur le risque lié à
l’information financière
• Exemple axé sur une vision globale du risque
Gouvernance d’entreprise
• La gouvernance d’entreprise constitue une composante essentielle de la gestion du risque
d’entreprise (GRE)
• La surveillance, le suivi «du haut vers le bas» et la gestion des risques sont cruciaux
• La culture d’entreprise est l’une des clés du succès
Responsabilités du conseil d’administration :
‾ Orientation de la stratégie et des objectifs
‾ Surveillance
‾ Évaluation annuelle des risques
‾ Suivi
Responsabilités de la direction :
‾ Établissement des politiques en matière de GRE
‾ Encadrement des pouvoirs et reddition de comptes
‾ Promotion de la compétence en matière de GRE
‾ Soutien de l’intégration dans l’entreprise
‾ Rapport sur les progrès et l’état de la situation
Responsable de la gestion des risques, chef de la direction, directeur financier :
‾ Audit interne
Gestion des risques
La gestion des risques s’entend d’une approche
structurée permettant d’aligner la stratégie, les processus,
les ressources humaines, la technologie et les
connaissances en vue de réduire les surprises et les
pertes, et de tirer profit des occasions d’affaires.
Définition de la GRE
Le COSO propose la définition suivante de la GRE :
Processus mis en œuvre par le conseil d’administration, la
direction et d’autres membres du personnel d’une entité,
appliqué lors de l’établissement des stratégies et à l’échelle
de l’entreprise, qui vise à identifier les événements
potentiels susceptibles d’affecter l’entité, et à gérer le
risque pour qu’il demeure dans les limites de sa propension
au risque, pour fournir une assurance raisonnable
concernant l’atteinte des objectifs de l’entité.
Gestion du risque d’entreprise
La gestion du risque d’entreprise suppose :
• l’alignement de la stratégie et de la propension au
risque
• la détermination des réponses aux risques
• la réduction des pertes et des surprises
• la capacité d’identifier et de répondre aux risques
• une mise à profit proactive des opportunités
• une évaluation efficace des besoins en capitaux et de
leur affectation
Catégories de risques
• Externes
• Financiers
• Opérationnels
• Stratégiques
• Juridiques
• Informationnels
Processus de gestion des risques
• Définition de la stratégie et des objectifs
• Identification des événements
• Évaluation des risques
• Réponse aux risques – Activités de contrôle
• Information et communication
• Suivi
• Surveillance
Définition de la stratégie et des
objectifs
• Objectifs stratégiques
• Objectifs en matière de fonctionnement
• Objectifs en matière d’information
• Objectifs en matière de conformité
Identification des événements
• Événements/facteurs externes :
– économiques
– environnementaux
– politiques
– sociaux
– technologiques
• Événements/facteurs internes :
– Infrastructure
– Ressources humaines
– Processus
– Technologie
Évaluation des risques - Définition
L’évaluation des risques consiste, pour l’entité, à
identifier et à analyser les risques auxquels elle fait face,
afin d’atteindre ses objectifs et d’établir des fondements
pour la gestion de ces risques.
Réponse aux risques
Présuppose l’identification d’événements et
l’évaluation des risques :
• Qu’est-ce qui pourrait aller mal?
• Évaluer la probabilité, la vraisemblance et les
conséquences
• Classer les risques par ordre d’importance
Activités de contrôle
Le COSO définit les activités de contrôle comme des
politiques et des procédures (actions par lesquelles sont
mises en œuvre les politiques) établies pour faire en sorte
que les directives de la direction jugées nécessaires pour
répondre aux risques soient appliquées.
Réponse aux risques – Activités
de contrôle
Quatre catégories de traitement des risques :
• l’évitement
• la réduction
• le partage
• l’acceptation
Information et communication
• Les informations pertinentes sont repérées, saisies, utilisées à tous
les niveaux de l’entreprise, et diffusées sous une forme et selon un
calendrier qui soutiennent l’atteinte des objectifs en matière
d’information financière.
• Les communications permettent et favorisent la compréhension et la
réalisation des objectifs, des procédures et des fonctions
individuelles en matière de contrôle interne à tous les niveaux de
l’organisation.
• Les questions ayant une incidence sur l’atteinte des objectifs en
matière d’information financière sont communiquées aux tiers.
Suivi
• Les activités de suivi continu comprennent :
• les activités de gestion régulières
• les commentaires externes
• les données enregistrées par les systèmes
d’information
• les commentaires des auditeurs internes et externes
• les ateliers de formation, les séances de planification et
autres réunions
Exemple de gestion des risques
• Catégorie des risques financiers
• Information financière et communication de l’information
• Objectif de l’information financière : fournir des états financiers exacts, en
temps opportun, et conformes aux PCGR
• Identification des événements et évaluation des risques : qu’est-ce qui
pourrait aller mal?
• Réponse : atténuation des risques
• Activités de contrôle : à l’échelle de l’entité, à l’échelle des processus
• Exemple à l’échelle des processus : approbation des factures, politique de
facturation
• Petites entreprises : questions et défis à l’échelle des processus, séparation
des tâches
Indications de mise en œuvre
Clés de réussite :
• Le soutien de la direction est essentiel
• La promotion d’une culture éclairée en matière de risque est avantageuse
• Intégration du facteur risque dans la stratégie
• Définir/déterminer tôt la propension au risque
• Envisager une approche de mise en œuvre par étapes
• Convenir de quelques risques élevés sur lesquels se concentrer initialement
• Utiliser les travaux initiaux comme plate-forme pour étendre l’initiative de
GRE
• Élaborer tôt un processus de suivi
Questions/commentaires :
Anne M. Marchetti
Cell.: 203-209-9663
Top Related