présentée par pricewaterhousecoopers llp
TRANSCRIPT
GestionGestion du du risquerisque d’entreprised’entreprise (GRE)(GRE)UneUne méthodeméthode pratiquepratiquep qp q
Présentée par PriceWaterhouseCoopers LLP
CONFÉRENCIERS:
Robin Taylor and Joanne Lam Robin Taylor and Joanne Lam
Mots d’introduction: SOADSOAD
PRÉSENTATION ANIMÉE PAR LA SOADPRÉSENTATION ANIMÉE PAR LA SOADLe jeudi 29 septembre 2011Le jeudi 29 septembre 2011
GestionGestion du du risquerisque d’entreprised’entrepriseGestionGestion du du risquerisque d entreprised entrepriseUneUne méthodeméthode pratiquepratique
Introduction:
SOADSOAD
2
GestionGestion du du risquerisque d’entreprised’entreprise
• La GRE est maintenant considérée comme uneLa GRE est maintenant considérée comme uneexigence de “base” pour la plupart des entités
• L’identification des domaines de risque clés et des occasions éventuelles
• Exigence du Règlement No 5 de la SOAD pour les établissements de catégorie 2
• Introduction progressive: p g >250 millions de dollars (2012):
• Les établissements devraient être passés à l’étapefinale du développement si la GRE n’a pas encore étépp pmise en oeuvre
<250 millions de dollars (2013): • Les établissements devraient être en train de travailler
à éà l’élaboration de plans 3
Gestion du risque d’entrepriseGestion du risque d’entreprise
U éth d tiUne méthode pratique
Le 29 septembre 20119 p
Enjeux spécifiques à la GRELe contexte commercial et réglementaire sont devenus de plus en
l l i ib à i d fil d plus complexes, ce qui contribue à une augmentation du profil de risque d’entreprise.
Profils de risque plus élevés Attentes plus fortes
• Portée et complexité des activitéscommerciales
• Risques accrus que présente la technologie (p. ex. rapidité d’exécution,
• Règlement No 5 de la Société ontarienne d’assurance-dépôts, section C: GRE
• Autorités de réglementation : infrastructures de gestion des risques qui sont à la mesure g (p p ,
vulnérabilité des données)
• Constante évolution des exigencesréglementaires
C é i diffi il i i
g q qdes activités commerciale
• Intervenants : visibilité et reddition de compte accrues en matière de gestion des risques• Contexte économique difficile et incertain risques
Implications stratégiques lorsque les entreprises ne sont pas en mesure de gérer le risque et de satisfaire aux exigences en matière de conformité et de contrôle• Pertes financières et atteinte à la réputation• Mesure de l’autorité de réglementation/non-conformité juridique qui nuisent à la
PwC 5
Mesure de l autorité de réglementation/non conformité juridique qui nuisent à la réputation et entraînent des coûts
• Mesures de réglementation qui réduisent les opportunités opérationnelles et stratégiques
Enjeux spécifiques à la GRE
L é id di é é l b d il Les présidents-directeurs généraux et les membres des conseils d’administration apprécient la GRE et la considère comme un outil de gestion important
é id di é é é i l d lLes présidents-directeurs généraux apprécient le programme de GRE pour les raisons suivantes:
• Il contribue à l’harmonisation des éléments organisationnels qui sont liés à la stratégie de l’entreprise et favorise l’atteinte des objectifs du planstratégie de l entreprise et favorise l atteinte des objectifs du plan
• Il crée une approche et un langage communs pour l’identification, l’évaluation et la gestion du risque d’une manière adéquate, efficace et hiérarchisée
• Il renforce la confiance des dirigeants liée à la réalisation des objectifs, notamment Il renforce la confiance des dirigeants liée à la réalisation des objectifs, notamment l’adoption de nouveaux programmes (acquisitions, transformation entreprise, etc.)
• Il permet d’identifier les occasions de réduire les coûts en diminuant les surprises et en améliorant l’efficacité du processus interne de gestion du risque
PwC 6
Enjeux spécifiques à la GRE
L é id di é é l b d il Les présidents-directeurs généraux et les membres des conseils d’administration apprécient la GRE et la considère comme un outil de gestion important
Les membres du conseil d’administration apprécient le programme de GRE pour les raisons suivantes:
• Il offre un programme courant de mise à jour du profil de l’organisation (interne, ) externe)
• Il fait participer les administrateurs aux discussions et leur fournit des informations qui leur permettent de prendre des décisions
Il permet d’entamer un processus qui peut être périodiquement évalué et validé• Il permet d entamer un processus qui peut être périodiquement évalué et validé
• Il crée un nouveau fondement pour contrôler les décisions et actions des dirigeants
PwC 7
Qu’est-ce que la GRE?
L GRE d à h f dé d i i d La GRE correspond à une approche fondée sur des principes de gestion du risque et non seulement de réduction des risques.
En résumé, la GRE:
• Est un processus qui fait partie intégrante de pratiques commerciales systématiquesy q
• Est conçue pour recenser les événements émergents susceptibles d’influer sur l’entité, évaluer systématiquement leur impact éventuel et gérer le risque en fonction de l’appétit pour le risque déterminé par l’organisation
• Est liée aux objectifs stratégiques de l’organisation
• Est un processus qui s’applique à l’ensemble de l’entreprise
Pour les sociétés qui ont instauré des pratiques exemplaires, la GRE est un outil indispensable qui facilite la gestion de la
PwC 8
GRE est un outil indispensable qui facilite la gestion de la performance
Qu’est-ce que la GRE?Un programme de GRE efficace comprend les trois éléments
i i iprincipaux suivants:
Identification du risque Identification du risque
Évaluation du risque
FIN
AN
CIE
Évaluation du risqueASSESS
ER
Gestion du risque
Gestion du risque
PwC 9
Gestion du risque
La mise en oeuvre d’une GRE se résume en une phrase :
Vous devez en premier identifier vos risques, déterminer ceuxqui sont plus importants, déterminer la façon de les aborderet intervenir, et enfin présenter des rapports sur les résultatsp ppdu processus.
PwC 10
Base continue du processus de Gestion du risqued’entreprise
Évaluation du risque• Probabilité de réalisation du
risque?• Incidence de la réalisation du
risque?
Gestion du risque• Atténuation du risque?• Mesures d’urgence “au cas où”?
Évaluation du risque
risque?• Efficacité en matière de contrôle?
g
Gestion du risquerisque risque
Présentationdes rapports
Identification du risque
Identification du risque• Problèmes potentiels?• Contrôles en place pour
l’atténuation du risque?
Rapport sur les risques• Présentation des rapports (à qui,
quand)?• Façon de les communiquer?
PwC
ç q
11
Pratiques exemplaires d’une GRE
P d’id ifi i d iProcessus d’identification du risqueL’identification du risque d’un programme de GRE efficace comprend les
éléments suivants:
• Préparation d'un inventaire initial des risques (entreprises et au niveau des unités d’affaires). Durant cet exercice, la direction:
- Se concentrera sur les risques inhérents associés aux activités de l’ il’entreprise
– Développera une compréhension des risques du point de vue de la direction (p. ex. l'utilisation de l'outil de sondage)
– Créera une liste détaillée des risques potentiels
– Créera un profil de risque au niveau de l’entreprise
• Finalement, le but de l'organisation sera d’intégrer le processus , g g pd'identification des risques au processus de planification organisationnelle et ainsi :
– Permettre une mise à jour régulière du profil de risque
PwC
– Faciliter la gestion opportune des risques au sein du processus de planification et de gestion de la performance
12
Pratiques exemplaires d’une GREProcessus d’évaluation du risque – 4 étapesEn utilisant une norme cohérente de mesure,
1.Mesurer le risque inhérent (c.-à-d. sans considération du niveau actuel des activités de gestion en place)
2.Déterminer le niveau acceptable de risque (p. ex. le niveau de risque que vousêtes prêt à accepter)
3.Évaluer les activités de gestion actuelles an matière de risque et déterminer le i d i é id lniveau de risque résiduel
4.Déterminer l’adéquation du niveau actuel d'atténuation du risque / améliorer les pratiques de gestion des risques
1Risque inhérent10
8
den
ce
1Risque inhérent
3Risque résiduel
6
4
Inci
d
2. Tolérance (établie)
4. Plan d’action
PwC 13
22 4 6 8 10
vraisemblance
2. Tolérance (établie)
Pratiques exemplaires d’une GRE
i i é i i hé à l’id ifi i à l’é l i dActivités typiques inhérentes à l’identification et à l’évaluation du risque:
• Mener des entrevues, examiner les documents et faire l’inventaire des risques
• Mesurer, dans l’ensemble, les risques identifiés
• Préparer et valider le profil de risque de l’entreprisep p q p
• Prioriser les risques pour cibler les stratégies optimales d’atténuation du risque
• Identifier les interventions à effet rapide qui peuvent être effectuées• Identifier les interventions à effet rapide qui peuvent être effectuéesimmédiatement
• Tenir les participants au courant
PwC 14
Pratiques exemplaires d’une GRE
Exemple d’outil en matière de rapport– mesure de tolérance au risquep pp q
Stratégique/commercial
ExploitationMarchéCrédit LiquiditéJuridique/
RéglementaireDe réputation
ConcurrentConcurrent
ProduitProduit
RR
Gens/ Relations
Gens/ Relations
ProcessusProcessus
Taux d’intérêtTaux d’intérêt
FXFX
CountrepartieCountrepartie
RèglementRèglement OptionsOptions
CapitalisationCapitalisationConformité
réglementaireConformité
réglementaire
Risquejuridique
Risquejuridique
Satisfaction du client
Satisfaction du client
Relations publiquesRelations publiques
Ressourceshumaines
Ressourceshumaines
SystèmesSystèmes
Situation financièreSituation financière IndustrieIndustrie
PaysPays
Gestion de Gestion de
ExterneExterne
DéontologieDéontologieCapital propreCapital propre
MarchandiseMarchandise
PortefeuillePortefeuilleGestion de
l’informationGestion de
l’information
Sensiblementsupérieur
Sensiblementsupérieur
Légèrementsupérieur
Légèrementsupérieur
Dans les limites
Dans les limites
Évaluation de la tolérance
PwC 15
Pratiques exemplaires d’une GRE
Exemple typique en matière de rapprot– profil de risque résiduelp yp q pp p q
Les outils qui font seulement rapport du risque résiduel n’illustrent pas clairement la façon dont les risques sont gérés en matière de tolérance (voir le tableau précédent) p )
1. Risque A 2. Risque B
Risqueélevé
Légende:
3. Risque C
4. Risque D
Risquemoyen
Risquemodéré
Élevé
Modéréden
ce
Risque
5. Risque E
7. Risque G 6. Risque F
Modéré
Faible
Inci
d
La direction des flèches indiquel’é ol tio d
qfaible
7 q
Improbable Possible Probable Absolument
l’évolution du risque
PwC 16
vraisemblance
a) Incidence : conséquence de la réalisation du risque (financier et non-financier).b) vraisemblance: probabilité estimée de réalisation du risque au cours des 36 prochains mois
Pratiques exemplaires d’une GRE
G i d i A i i é d di iGestion du risque – Activités des dirigeants
• Les décisions en matière de gestion des risques sont capturées dans la politiquepolitique
• Les activités en matière de gestion des risques sont intégrées aux processusde base opérationnels
Les indicateurs clés / mesures sont utilisés pour surveiller l'exposition aux • Les indicateurs clés / mesures sont utilisés pour surveiller l'exposition aux risques (p. ex. le financement du Trésor, les clauses restrictives, les circuits de vente, les mesures de la qualité, la satisfaction du client, les mesures de profit/perte)p p
• Les variations en dessus et en dessous des seuils de tolérance sontconsignées et des mesures nécessaires sont envisagées
• Des rapports en matière de tolérance sont préparés au niveau des unitéses appo ts e at è e de to é a ce so t p épa és au veau des u tésd’affaires et de l’entreprise
• Les activités en matière de gestion des risques sont considérées dans le cadre des processus de mesure et de gestion du rendement
PwC 17
Pratiques exemplaires d’une GREL’intégration de la GRE aux activités principales et au processus d l ifi i à l di i d f i i à j de planification permet à la direction de faire une mise à jour efficace du profil de risque de l’entreprise et de comprendre les risques ou événements possibles qui sont susceptibles d’émerger.
Planificationstratégique
annelle
Processus de prévisiontrimestriel
Nouvelles initiatives
FusionsLancement de nouveaux produits on
du
ris
que
Événements externes et pressions
a ce e de ou eau p odu sÉlaboration de nouveaux systèmesRéorganisationsAutres…
Éva
luat
i
Contrôle des fonctionsde surveillance?Fin Jur. Trés. RH Opér. Géogr.
UA/Géogr.Mise à jour
Audit interne-Audit /
PwC 18
a a a a a ab b b b b bc c c c c cd d d d d de e e e e e
des risques évaluationdu risque
Gouvernance d’entreprise et GREL’implication du conseil d'administration et du comité d'audit en
iè d ôl d l GRE d i i ll iè d matière de contrôle de la GRE devient essentielle en matière de bonne gouvernance
• Exigences de gouvernance élargies en matière du NYSE:- Insiste sur la responsabilité du comité d’audit à l’égard de la gestion des risques
- Exige la participation du comité d’audit lors des discussions sur les directives et politiques en matière de gestion des risques avec la direction
• Nouvelle de divulgation de la SEC à partir de 2010:• Nouvelle de divulgation de la SEC à partir de 2010:- Rôle du conseil d’administration en matière de surveillance de la gestion du risque
- Lien entre les incitatifs et la prise de risque
• Standard & Poor : • Standard & Poor : - Les critères de cotation du risque cherchent à évaluer l’efficacité du programme de
GRE de l’entreprise, notamment le rôle du conseil d’administration et du comitéd’audit en matière de surveillance des risques
- L’efficacité du programme de GRE a une incidence directe sur le coût du capital
• Règlement No 5 de la SOAD et la GRE:- Exigences supplémentaires pour le conseil d’administration des caisses populaires de
té i
PwC
catégorie 2
- Exigences propres au comité d’audit ou autre comité désigné par le conseild’administration 19
Gouvernance d’entreprise et GRE
S i i d l i d i d’ i Q ’Supervision de la gestion du risque d’entreprise: Qu’est-ce quecela signifie?
Comité d’auditConseild’adminstration
• Approuver le cadre de gouvernance de GRE au i d l’ t i
• Appropriation du risque dévolue au comitéd’ di niveau de l’entreprise
• Comprendre le processus défini par la direction pour l’identification, la gestion et l’évaluationdu risque
d’audit
• Définir la responsabilité de supervision
• Recevoir les rapports de GRE du comitéd’audit
ib l h bili é • Tenir compte de la qualité du rendement du processus de GRE
• Être tenu au courant de l’évolution des risques
C fi q l d GRE t ffi
• Attribuer les hautes responsabilités aux autrescomités
• Tenir compte du risque en matièred’approbation de stratégie
PwC 20
• Confirmer que le processus de GRE est efficace
Un processus de gouvernance efficace apporte unevaleur ajoutée
Gouvernance d’entreprise et GRE
Cadre de gouvernance d’entreprise pour la GRECadre de gouvernance d entreprise pour la GRE
Audit interneComité d’auditConseilinterne
• Évaluer périodiquementl’efficacité du programmede GRE
Comité d auditd’administration
Comité de gestion du
risque
Équipe de direction• Instaurer une culture de gestion du risque• Élaborer un processus de gestion du risque• Communiquer l’effectivité des résultats et des processus
• Tenir compte des résultats de GRE lors de l’élaboration du plan d’audit interne
Facilitateurde risque• Approuver la charte de
GRE• Recommander le
processus de GRE
q pau comité d’audit
• Tenir compte des résultats du risque dans les prises de décision
Secteurs d’activitéA i é i li t d processus de GRE
• Élaborer des lignesdirectrices et des normes en matière de gestion du risque
• Approuver les rapports au niveau de l’entreprise
Gestionnaires fonctionnels• Maintenir la culture de gestion du
risque• Examiner et approuver le rapport
d’activités en matière de risque• Intégrer la gestion du risque au
Propriétaires du risque• Responsable de la
quantification / atténuationdes risques individuels
• Atténuer/contrôler les risquesindividuels
• Agir comme spécialiste de GRE
• Faciliter le processus de GRE• Préparer les rapports d’étape
et ceux pour la haute direction et le conseild’ d i i i
PwC 21
au niveau de l entreprise• Évaluer le profil de
risque de l’unitéd’affaires
• Intégrer la gestion du risque au processus de planification
• Incorporer le risque au processus de gestion
individuels• Faire rapport de
l’augmentation des risquesau-delà de la tolérance
d’administration• Élaborer et fournir un
programme de formation
Évolution du programme de GREL’élaboration d’un programme de GRE requiert un investissement à long terme et sera marquée d’une évolution continue qui permettra d’anticiper le risque et de gérer les événements émergents.
•Les notions et
•Les risques sontgérés de façonformelle à tous les niveaux de
Pratiquesexemplaires
•Processus en place
•L’outil de GRE vient compléter les processus de planification
Les notions et pratiques de GRE sont intégrées aux processus de planification
l’organisation
•La gestion du risque figure parmiles principalesactivités
exemplaires
hang
emen
tor
ient
atio
n
Orientation culturelle
R
Processus en place pour l’identification et la consignation du risque à un niveau acceptable
L’o til de
•Des méthodescohérentes sont en place pour l’évaluation des risques (inhérents,
activités
•La direction dispose de
t d Ch d’o
Orientation versle processus
VALE
UR •L’outil de
documentation de GRE appuie la prisede décision et la communication des profils de risque
résiduels, et la tolérance)
processus et de programmespermettantd’anticiper les risques futurs et émergents
Début du programme
le processus
DÉLAI ÉCOULÉ (ANNÉES )
profils de risque émergents
•Le programme de GRE est mis à profit pour identifier les occasions
PwC 22
0 1 2 3 4 5
Évolution du programme de GRE
L’enjeu de création de valeur par une gouvernance optimale L enjeu de création de valeur par une gouvernance optimale repose sur une véritable culture du risque!!
Avant Après
Conversion au programme de
GRE
Avant
“La gestion du risque?Ah . . Ça se traduit
simplement par uneb ti ”
“Oh . . Ça permet à mes employés de mieux planifier et de mieux exécuterbonne gestion.”
leur plan!”
PDG PDG
PwC 23
Un programme de GRE efficace requiert le Un programme de GRE efficace requiert le développement d’outils et l’expertisenécessaire pour créer de la valeur!p
Cette publication a été préparée à titre indicatif sur des questions d'intérêt seulement et ne constitue pas un avis professionnel. Vous ne devriez pas prendre de décisions fondées sur les informations contenues dans cette publication sans avoir obtenu des conseils professionnels spécifiques. Aucune représentation ou garantie (expresse ou implicite) n'est donnée quant à l'exactitude ou l'exhaustivité des informations contenues dans cette publication, et, dans la mesure permise par la loi, PricewaterhouseCoopers LLP, ses partenaires, employés et agents n'acceptent ni assument la responsabilité ou l’obligation de diligence pour toute perte résultant d’une action, d’une absence d’action ou de toute décision prise sur la base des informations contenues dans cette publication.
Pour de plus amples informations, veuillez contacter:
Robin Taylor, Managing [email protected]
© 2011 PricewaterhouseCoopers LLP. Tous droits réservés. Dans ce document, PWC se réfère à PricewaterhouseCoopers LLP qui est une société membre de PricewaterhouseCoopers International Limited, chaque cabinet membre constitue une entité juridique distincte.
Office: 416-869-8683Joanne Lam, [email protected]: 416-941-8485
GestionGestion du du risquerisque d’entreprised’entreprise Les versions finales de la Note d’orientation: Gestion des
risques d’entreprise, du Cadre de GRE et du Guide d’application de GRE sont accessibles sur le site Web de la ppSOAD
• VEUILLEZ NOTER: Aucun programme ou processus “spécifique” n’est
recommandé Choisissez le modèle qui vous convient le mieuxq Adaptez-le adéquatement – Il n’existe pas de solution
universelle Adaptez le à vos besoins Adaptez le à vos besoins Faites connaître et comprendre le concept de GRE à
tous les niveaux Améliorez la culture en matière de risque Améliorez la gestion du risque
25
MERCI!
26