Gestion du risque d entreprise : solutions pratiques Anne M. Marchetti
Programme Aperçu général de la gestion des risques, de l évaluation des risques et du contrôle interne Contexte actuel Contrôle interne Évolution de la gestion des risques Processus de gestion des risques Relation avec le contrôle interne
Gestion des risques Valeur et avantages En l absence de programme de gestion des risques, il est plus difficile d évaluer la situation de l organisation en matière de risque Favorise une approche proactive plutôt que réactive Permet de réduire les surprises et les pertes sur le plan de l exploitation Entraîne une meilleure prise de décisions Peut aboutir à une meilleure position concurrentielle Capacité d évaluer sa situation actuelle en matière de risque Permet une meilleure gestion et atténuation des risques Permet d aligner la stratégie sur un niveau de risque acceptable Améliore les réactions face aux défis et aux occasions Favorise une meilleure reddition de comptes et une responsabilisation accrue à l égard des contrôles internes au sein de l organisation
Défis liés à la gestion des risques Obstacles perçus : Priorités concurrentes Question non prioritaire pour l organisation Ressources et expertise insuffisantes Activité perçue comme comportant peu de valeur ou d avantage Absence de soutien haute direction, conseil d administration
Cadres d évaluation des risques et d évaluation du contrôle interne Cadre de contrôle interne du COSO (Committee of Sponsoring Organizations of the Treadway Commission) Publié en 1992 Établi pour utilisation large Dans ses directives, la SEC suggère d utiliser le cadre de référence du COSO pour concevoir, établir et/ou analyser le contrôle interne sur l information financière Cadre intégré de gestion du risque d entreprise du COSO Publié en 2004 Permet d identifier, d évaluer et de gérer efficacement les risques Établit des principes, des notions, des termes et des indications clés Aide à établir un programme de gestion des risques en bonne et due forme dans les organisations ou à améliorer le programme existant
Contrôle interne Relation avec la gestion des risques Atténuation des risques Perception courante : focalisation sur le risque lié à l information financière Exemple axé sur une vision globale du risque
Gouvernance d entreprise La gouvernance d entreprise constitue une composante essentielle de la gestion du risque d entreprise (GRE) La surveillance, le suivi «du haut vers le bas» et la gestion des risques sont cruciaux La culture d entreprise est l une des clés du succès Responsabilités du conseil d administration : Orientation de la stratégie et des objectifs Surveillance Évaluation annuelle des risques Suivi Responsabilités de la direction : Établissement des politiques en matière de GRE Encadrement des pouvoirs et reddition de comptes Promotion de la compétence en matière de GRE Soutien de l intégration dans l entreprise Rapport sur les progrès et l état de la situation Responsable de la gestion des risques, chef de la direction, directeur financier : Audit interne
Gestion des risques La gestion des risques s entend d une approche structurée permettant d aligner la stratégie, les processus, les ressources humaines, la technologie et les connaissances en vue de réduire les surprises et les pertes, et de tirer profit des occasions d affaires.
Définition de la GRE Le COSO propose la définition suivante de la GRE : Processus mis en œuvre par le conseil d administration, la direction et d autres membres du personnel d une entité, appliqué lors de l établissement des stratégies et à l échelle de l entreprise, qui vise à identifier les événements potentiels susceptibles d affecter l entité, et à gérer le risque pour qu il demeure dans les limites de sa propension au risque, pour fournir une assurance raisonnable concernant l atteinte des objectifs de l entité.
Gestion du risque d entreprise La gestion du risque d entreprise suppose : l alignement de la stratégie et de la propension au risque la détermination des réponses aux risques la réduction des pertes et des surprises la capacité d identifier et de répondre aux risques une mise à profit proactive des opportunités une évaluation efficace des besoins en capitaux et de leur affectation
Catégories de risques Externes Financiers Opérationnels Stratégiques Juridiques Informationnels
Processus de gestion des risques Définition de la stratégie et des objectifs Identification des événements Évaluation des risques Réponse aux risques Activités de contrôle Information et communication Suivi Surveillance
Définition de la stratégie et des objectifs Objectifs stratégiques Objectifs en matière de fonctionnement Objectifs en matière d information Objectifs en matière de conformité
Identification des événements Événements/facteurs externes : économiques environnementaux politiques sociaux technologiques Événements/facteurs internes : Infrastructure Ressources humaines Processus Technologie
Évaluation des risques - Définition L évaluation des risques consiste, pour l entité, à identifier et à analyser les risques auxquels elle fait face, afin d atteindre ses objectifs et d établir des fondements pour la gestion de ces risques.
Réponse aux risques Présuppose l identification d événements et l évaluation des risques : Qu est-ce qui pourrait aller mal? Évaluer la probabilité, la vraisemblance et les conséquences Classer les risques par ordre d importance
Activités de contrôle Le COSO définit les activités de contrôle comme des politiques et des procédures (actions par lesquelles sont mises en œuvre les politiques) établies pour faire en sorte que les directives de la direction jugées nécessaires pour répondre aux risques soient appliquées.
Réponse aux risques Activités de contrôle Quatre catégories de traitement des risques : l évitement la réduction le partage l acceptation
Information et communication Les informations pertinentes sont repérées, saisies, utilisées à tous les niveaux de l entreprise, et diffusées sous une forme et selon un calendrier qui soutiennent l atteinte des objectifs en matière d information financière. Les communications permettent et favorisent la compréhension et la réalisation des objectifs, des procédures et des fonctions individuelles en matière de contrôle interne à tous les niveaux de l organisation. Les questions ayant une incidence sur l atteinte des objectifs en matière d information financière sont communiquées aux tiers.
Suivi Les activités de suivi continu comprennent : les activités de gestion régulières les commentaires externes les données enregistrées par les systèmes d information les commentaires des auditeurs internes et externes les ateliers de formation, les séances de planification et autres réunions
Exemple de gestion des risques Catégorie des risques financiers Information financière et communication de l information Objectif de l information financière : fournir des états financiers exacts, en temps opportun, et conformes aux PCGR Identification des événements et évaluation des risques : qu est-ce qui pourrait aller mal? Réponse : atténuation des risques Activités de contrôle : à l échelle de l entité, à l échelle des processus Exemple à l échelle des processus : approbation des factures, politique de facturation Petites entreprises : questions et défis à l échelle des processus, séparation des tâches
Indications de mise en œuvre Clés de réussite : Le soutien de la direction est essentiel La promotion d une culture éclairée en matière de risque est avantageuse Intégration du facteur risque dans la stratégie Définir/déterminer tôt la propension au risque Envisager une approche de mise en œuvre par étapes Convenir de quelques risques élevés sur lesquels se concentrer initialement Utiliser les travaux initiaux comme plate-forme pour étendre l initiative de GRE Élaborer tôt un processus de suivi
Questions/commentaires : Anne M. Marchetti amm013@comcast.net Cell.: 203-209-9663