Gestion du risque d’entreprise :

solutions pratiques

Anne M. Marchetti

Programme

Aperçu général de la gestion des risques, de

l’évaluation des risques et du contrôle interne

• Contexte actuel

• Contrôle interne

• Évolution de la gestion des risques

• Processus de gestion des risques

• Relation avec le contrôle interne

Gestion des risques – Valeur et

avantages

• En l’absence de programme de gestion des risques, il est plus difficile

d’évaluer la situation de l’organisation en matière de risque

• Favorise une approche proactive plutôt que réactive

• Permet de réduire les surprises et les pertes sur le plan de l’exploitation

• Entraîne une meilleure prise de décisions

• Peut aboutir à une meilleure position concurrentielle

• Capacité d’évaluer sa situation actuelle en matière de risque

• Permet une meilleure gestion et atténuation des risques

• Permet d’aligner la stratégie sur un niveau de risque acceptable

• Améliore les réactions face aux défis et aux occasions

• Favorise une meilleure reddition de comptes et une responsabilisation

accrue à l’égard des contrôles internes au sein de l’organisation

Défis liés à la gestion des risques

Obstacles perçus :

• Priorités concurrentes

• Question non prioritaire pour l’organisation

• Ressources et expertise insuffisantes

• Activité perçue comme comportant peu de valeur ou

d’avantage

• Absence de soutien – haute direction, conseil

d’administration

Cadres d’évaluation des risques et

d’évaluation du contrôle interne

Cadre de contrôle interne du COSO (Committee of Sponsoring

Organizations of the Treadway Commission)

• Publié en 1992

• Établi pour utilisation large

• Dans ses directives, la SEC suggère d’utiliser le cadre de référence du

COSO pour concevoir, établir et/ou analyser le contrôle interne sur

l’information financière

Cadre intégré de gestion du risque d’entreprise du COSO

• Publié en 2004

• Permet d’identifier, d’évaluer et de gérer efficacement les risques

• Établit des principes, des notions, des termes et des indications clés

• Aide à établir un programme de gestion des risques en bonne et due forme

dans les organisations ou à améliorer le programme existant

Contrôle interne

• Relation avec la gestion des risques

• Atténuation des risques

• Perception courante : focalisation sur le risque lié à

l’information financière

• Exemple axé sur une vision globale du risque

Gouvernance d’entreprise

• La gouvernance d’entreprise constitue une composante essentielle de la gestion du risque

d’entreprise (GRE)

• La surveillance, le suivi «du haut vers le bas» et la gestion des risques sont cruciaux

• La culture d’entreprise est l’une des clés du succès

Responsabilités du conseil d’administration :

‾ Orientation de la stratégie et des objectifs

‾ Surveillance

‾ Évaluation annuelle des risques

‾ Suivi

Responsabilités de la direction :

‾ Établissement des politiques en matière de GRE

‾ Encadrement des pouvoirs et reddition de comptes

‾ Promotion de la compétence en matière de GRE

‾ Soutien de l’intégration dans l’entreprise

‾ Rapport sur les progrès et l’état de la situation

Responsable de la gestion des risques, chef de la direction, directeur financier :

‾ Audit interne

Gestion des risques

La gestion des risques s’entend d’une approche

structurée permettant d’aligner la stratégie, les processus,

les ressources humaines, la technologie et les

connaissances en vue de réduire les surprises et les

pertes, et de tirer profit des occasions d’affaires.

Définition de la GRE

Le COSO propose la définition suivante de la GRE :

Processus mis en œuvre par le conseil d’administration, la

direction et d’autres membres du personnel d’une entité,

appliqué lors de l’établissement des stratégies et à l’échelle

de l’entreprise, qui vise à identifier les événements

potentiels susceptibles d’affecter l’entité, et à gérer le

risque pour qu’il demeure dans les limites de sa propension

au risque, pour fournir une assurance raisonnable

concernant l’atteinte des objectifs de l’entité.

Gestion du risque d’entreprise

La gestion du risque d’entreprise suppose :

• l’alignement de la stratégie et de la propension au

risque

• la détermination des réponses aux risques

• la réduction des pertes et des surprises

• la capacité d’identifier et de répondre aux risques

• une mise à profit proactive des opportunités

• une évaluation efficace des besoins en capitaux et de

leur affectation

Catégories de risques

• Externes

• Financiers

• Opérationnels

• Stratégiques

• Juridiques

• Informationnels

Processus de gestion des risques

• Définition de la stratégie et des objectifs

• Identification des événements

• Évaluation des risques

• Réponse aux risques – Activités de contrôle

• Information et communication

• Suivi

• Surveillance

Définition de la stratégie et des

objectifs

• Objectifs stratégiques

• Objectifs en matière de fonctionnement

• Objectifs en matière d’information

• Objectifs en matière de conformité

Identification des événements

• Événements/facteurs externes :

– économiques

– environnementaux

– politiques

– sociaux

– technologiques

• Événements/facteurs internes :

– Infrastructure

– Ressources humaines

– Processus

– Technologie

Évaluation des risques - Définition

L’évaluation des risques consiste, pour l’entité, à

identifier et à analyser les risques auxquels elle fait face,

afin d’atteindre ses objectifs et d’établir des fondements

pour la gestion de ces risques.

Réponse aux risques

Présuppose l’identification d’événements et

l’évaluation des risques :

• Qu’est-ce qui pourrait aller mal?

• Évaluer la probabilité, la vraisemblance et les

conséquences

• Classer les risques par ordre d’importance

Activités de contrôle

Le COSO définit les activités de contrôle comme des

politiques et des procédures (actions par lesquelles sont

mises en œuvre les politiques) établies pour faire en sorte

que les directives de la direction jugées nécessaires pour

répondre aux risques soient appliquées.

Réponse aux risques – Activités

de contrôle

Quatre catégories de traitement des risques :

• l’évitement

• la réduction

• le partage

• l’acceptation

Information et communication

• Les informations pertinentes sont repérées, saisies, utilisées à tous

les niveaux de l’entreprise, et diffusées sous une forme et selon un

calendrier qui soutiennent l’atteinte des objectifs en matière

d’information financière.

• Les communications permettent et favorisent la compréhension et la

réalisation des objectifs, des procédures et des fonctions

individuelles en matière de contrôle interne à tous les niveaux de

l’organisation.

• Les questions ayant une incidence sur l’atteinte des objectifs en

matière d’information financière sont communiquées aux tiers.

Suivi

• Les activités de suivi continu comprennent :

• les activités de gestion régulières

• les commentaires externes

• les données enregistrées par les systèmes

d’information

• les commentaires des auditeurs internes et externes

• les ateliers de formation, les séances de planification et

autres réunions

Exemple de gestion des risques

• Catégorie des risques financiers

• Information financière et communication de l’information

• Objectif de l’information financière : fournir des états financiers exacts, en

temps opportun, et conformes aux PCGR

• Identification des événements et évaluation des risques : qu’est-ce qui

pourrait aller mal?

• Réponse : atténuation des risques

• Activités de contrôle : à l’échelle de l’entité, à l’échelle des processus

• Exemple à l’échelle des processus : approbation des factures, politique de

facturation

• Petites entreprises : questions et défis à l’échelle des processus, séparation

des tâches

Indications de mise en œuvre

Clés de réussite :

• Le soutien de la direction est essentiel

• La promotion d’une culture éclairée en matière de risque est avantageuse

• Intégration du facteur risque dans la stratégie

• Définir/déterminer tôt la propension au risque

• Envisager une approche de mise en œuvre par étapes

• Convenir de quelques risques élevés sur lesquels se concentrer initialement

• Utiliser les travaux initiaux comme plate-forme pour étendre l’initiative de

GRE

• Élaborer tôt un processus de suivi

Questions/commentaires :

Anne M. Marchetti

amm013@comcast.net

Cell.: 203-209-9663