ISM 2ème

ISM
LE CONTROLE INTERNE,
OUTIL DE BASE DU MANAGEMENT INTEGRE ET DE LA GESTION DES RISQUES
2me Partie :
OUTILS DE MANAGEMENT DES RISQUES
ISM LE CONTROLE INTERNE, OUTIL DE BASE DU MANAGEMENT INTEGRE ET DE LA GESTION DES RISQUES
Animateur : M. Oumar DIAGNE, Auditeur interne & Responsable Qualit SICAP SA - E-mail : od2210@gmail.com Cell : 77 450 33 76 / 70 647 07 20
ISM
Sommaire
Avant-propos l'dition amricaine...........................................................................................3 Synthse......................................................................................................................................5 EVENEMENTS RISQUES ET OPPOTUNITES ..............................................................6 DEFINITION DU MANAGEMENT DES RISQUES..........................................................7 ATTEINTE DES OBJECTIFS...............................................................................................8 ELEMENTS DE DISPOSITIF DE MANAGEMENT DES RISQUES.................................9 Environnement interne........................................................................................................9 Fixation des objectifs..........................................................................................................9 Identification des vnements.............................................................................................9 Evaluation des risques.......................................................................................................10 Traitement des risques......................................................................................................10 Activits de contrle.........................................................................................................10 Information et communication..........................................................................................10 Pilotage..............................................................................................................................10 RELATION ENTRE OBJECTIFS ET ELEMENTS..........................................................11 EFFICACITE......................................................................................................................11 INTEGRATION DU CONTROLE INTERNE....................................................................12 ROLES ET RESPONSABILITES........................................................................................12 STRUCTURE DE CE RAPPORT......................................................................................13 UTILISATION DE CE RAPPORT ..................................................................................13 Conseil d'administration....................................................................................................14 Direction gnrale............................................................................................................14 Autres collaborateurs de l'organisation.............................................................................14 Rgulateurs........................................................................................................................14 Organismes professionnels..............................................................................................15 Formateurs.......................................................................................................................15
ISM
Avant-propos l'dition amricaine
IL YA PLUS DE DIX ANS, LE COMMITTEE OF SPONSORING ORGANISATIONS of the treawday commission (COSO) a publi un ouvrage intitul "Internal ControlIntegrated frame work" afin d'aider les entreprises valuer et renforcer leur systme de contrle interne. Depuis ce rfrentiel a t intgr un ensemble de politiques, de rgles et rglementations utilises par des milliers d'entreprises qui, en vue de la ralisation de leurs objectifs, sont soucieuses de mieux contrler leurs activits. Au cours de ces dernires annes, la gestion des risques a fait l'objet de proccupations et d'une attention grandissantes et il est devenu de plus en plus vident qu'un rfrentiel tait ncessaire pour identifier, valuer et grer les risques en toutes efficacit. En 2000 le COSO a lanc un projet et demander PricewaterhouseCoopers d'laborer un rfrentiel pouvant tre aisment utilise par les dirigeants afin d'valuer et d'amliorer la gestion des risques au sein de leurs entreprises. La priode d'laboration de ces rfrentiels a t marque par une srie de scandales et de faillites trs mdiatiss pour qui se sont traduits par des pertes considrables pour les investissements, les collaborateurs et les parties prenantes des entreprises. Des appels un renforcement de la gouvernance d'entreprises et de la gestion des risques s'en sont suivis, accompagns de nouvelles lois, rglementations, et critres de cotation. La ncessite d'un dispositif de management des risques, apportant des principes et des concepts directeurs, un langage commun et une orientation claire, est devenue encore plus vidente. Le COSO estime que cet ouvrage, "Le Management des risques de l'entreprise ", rpond cette ncessit et qu'il deviendra un ouvrage de rfrence pour toutes les organisations et les parties prenantes.
ISM
La loi Sarbanes-Oxley de 2002 est une consquence de scandales financiers aux Etats-Unis. D'autres pays ont galement promulgu des lois similaires ou envisagent de le faire. La loi Sarbanes Oxley largit et renforce les obligations existant de longue date, exigeant des socits cotes qu'elles disposent de systmes de contrle interne, du management qu'il fournisse un rapport attestant l'existence d'un tel dispositif, et des auditeurs indpendants qu'ils certifient l'efficacit des systmes. L'ouvrage Internal Control-Integrated Framework , qui a fait ses preuves, constitue une rfrence largement accepte pour rpondre ces obligations de reporting. "Le management des risques de l'entreprise" complte ce concept de contrle interne en l'largissant au thme central de la gestion des risques. Cet ouvrage n'a pas pour objet de se substituer au rfrentiel initial mais plutt de l'intgrer totalement, permettant ainsi aux organisations de rpondre leurs besoins en matire de contrle interne tout en voluant vers un processus de management des risques plus complet. Parmi les dfis les plus complexes pour la direction se pose la dtermination du niveau du risque auquel l'organisation accepte de s'exposer dans l'objectif de crer de la valeur. Ce rapport leur permettra de mieux se prparer relever ce dfi.
John Flaherty Prsident du COSO
Tony Maki Prsident du comit Consultatif du COSO
ISM
Synthse
L'INCERTITUDE EST UNE DONNEE INTRINSEQUE LA VIE DE TOUTE ORGANISATION. Aussi l'un des principaux dfis pour la direction rside-t-il dans la dtermination d'un degr d'incertitude acceptable afin d'optimiser la cration de valeur, objectif considr comme le postulat de base dans le concept de management des risques. L'incertitude est source de risques et d'opportunits, susceptibles de crer ou de dtruire de la valeur. Le management des risques offre la possibilit d'apporter une rponse efficace aux risques et aux opportunits associes aux incertitudes auxquelles l'organisation fait face, renforant ainsi la capacit de cration de valeur de l'organisation. La valeur de l'organisation est maximise d'une part lorsque la direction labore une stratgie et fixe des objectifs afin de parvenir un quilibre optimal entre les objectifs de croissance et de rendement et les risques associs, et d'autre part lorsqu'elle dploie les ressources adaptes permettant d'atteindre ces objectifs. Le management des risques comprend les lments suivants: Aligner l'apptence pour le risque avec la stratgie de l'organisation- L'apptence pour le risque est une donne que la direction prend en considration lorsquelle value les diffrentes options stratgiques, dtermine les objectifs associs et dveloppe le dispositif pour grer les risques correspondants. Dvelopper les modalits de traitement des risques Le dispositif de management des risques apporte une mthode permettant de choisir de faon rigoureuse parmi les diffrentes options de traitement des risques que sont: l'vitement, la rduction, le partage ou l'acceptation du risque. Diminuer les dconvenues et les pertes oprationnellesLes organisations amliorent leur capacits identifier et traiter les vnements potentiels, ce qui leur permet d'attnuer les impondrables et de diminuer les cots ou pertes associs. Identifier et grer les risques multiples et transverses - Chaque entit est confronte une multitude de risques affectant diffrents niveaux de l'organisation. Le dispositif
ISM
de management des risques renforce l'efficacit du traitement des impacts en cascade et apporte des solutions intgres pour les risques consquences multiples. -Saisir les opportunits -Cest en prenant en compte un large ventail dvnements potentiels que la direction est le mieux mme didentifier et de tirer parti des opportunits de faon proactive. -Amliorer lutilisation du capital- Cest en ayant une vision claire des risques de lorganisation que la direction peut valuer efficacement les besoins en capitaux et en amliorer lallocation. Ces lments du dispositif de management des risques contribuent la ralisation des objectifs de performance et de rentabilit de lorganisation et la minimisation des pertes. Le dispositif de management des risques contribue aussi la mise en place dun reporting efficace et au respect de la conformit aux lois et rglements. Ce faisant, il protge limage de lentit et lui pargne les consquences nfastes dune perte de rputation. En bref, grce au dploiement dun tel dispositif, une socit est mieux arme pour atteindre ses objectifs et viter les cueils et les impondrables.
EVENEMENTS RISQUES ET OPPOTUNITES

Les vnements peuvent avoir un impact positif, ngatif ou les deux la fois. Les vnements ayant un impact ngatif sont des risques pouvant freiner la cration de la valeur existante. En revanche, les vnements ayant un impact positif peuvent contrebalancer des impacts ngatifs des risques ou constituer des opportunits. Par opportunit, on entend la possibilit quun vnement, en survenant, ait une incidence positive sur la ralisation dobjectifs et constitue un facteur de levier ou de soutien pour la cration ou la prservation de valeur. La direction rintgre les opportunits identifies dans le cadre du management des risques, la rflexion stratgique et au processus de dtermination des objectifs. Pour ce faire, il formule des plans permettant de saisir les opportunits. 6
ISM
DEFINITION DU MANAGEMENT DES RISQUES

Le management des risques traite des risques et des opportunits ayant une incidence sur la cration ou la prservation de la valeur. Il se dfinit comme suit : Le management des risques est un processus mis en uvre par le conseil dadministration, la direction gnrale, le management et lensemble des collaborateurs de lorganisation. Il est pris en compte dans llaboration de la stratgie ainsi que dans toutes les activits de lorganisation. Il est conu pour identifier les vnements potentiels susceptibles daffecter lorganisation et pour grer les risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant a latteinte des objectifs de lorganisation. Cette dfinition reflte certains concepts fondamentaux. Le dispositif de management des risques :
o o o o o o -est un processus permanent qui irrigue toute lorganisation, -est mis en uvre par lensemble des collaborateurs, tous les niveaux de lorganisation. est pris en compte dans llaboration de la stratgie, est mis en uvre chaque niveau et dans chaque unit de lorganisation et permet dobtenir une vision globale de son exposition aux risques, donne la direction et au conseil dadministration une assurance raisonnable (quant a la ralisation des objectifs de lorganisation), est orient vers latteinte des objectifs appartenant a une ou plusieurs catgories indpendantes mais susceptibles de se recouper.
Cette dfinition est volontairement large. Elle intgre les principaux concepts sur lesquels sappuient les socits ou dautres types dorganisation pour dfinir leur dispositif de management des risques et se veut une base pour la mise en uvre dun tel dispositif au sein dune organisation, dun secteur industriel ou dun secteur
ISM
dactivit. Elle est centre sur latteinte des objectifs fixes pour une organisation donne, et constitue en cela une base pour la dfinition dun dispositif de management des risques efficace.
ATTEINTE DES OBJECTIFS

Dans le cadre de la mission de lorganisation ainsi que de sa vision, la direction dtermine des objectifs stratgiques, conoit une stratgie et dcline les objectifs qui en dcoulent tous les niveaux de lentit. Ce cadre de rfrence vise aider lorganisation atteindre ces objectifs que lon peut classer dans les quatre catgories suivantes : Objectifs stratgiques lis la stratgie de lorganisation, ils sont en ligne avec sa mission et la supportent, Objectifs oprationnels visant lutilisation efficace et efficiente des ressources, Objectifs de reporting lis la fiabilit du reporting, en vigueur. Ce rattachement des objectifs diffrentes catgories permet de se concentrer sur diffrents aspects du management des risques. Tout en tant distinctes, ces catgories se recoupent- un objectif donn peut relever de plusieurs dentre elles- et rpondre aux divers besoins de lorganisation. Elles peuvent relever de la responsabilit directe de dirigeants. Ce classement permet galement de dfinir de faon plus prcise les apports possibles pour chaque catgorie dobjectifs auxquels certains entits ajoutent la protection des actifs, galement abord dans cet ouvrage. Lorganisation ayant le contrle relatif la fiabilit d reporting et la conformit aux lois et aux rglements, il est lgitime dattendre du processus de management des risques une assurance raisonnable quant latteinte de ces objectifs. En revanche latteinte des objectifs stratgiques et oprationnels dpend par fois dvnements extrieurs qui peuvent chapper au contrle de lorganisation. Par consquent, dans 8 Objectifs de conformit relatifs la conformit aux lois et aux rglementations
ISM
ce cas, le management des risques ne peut donner quune assurance raisonnable que la direction et le conseil dadministration, dans son rle de supervision, sont informs en temps utile de ltat de progression de lorganisation vers latteinte de ses objectifs.
ELEMENTS DE DISPOSITIF DE MANAGEMENT DES RISQUES

Le dispositif de management des risques comprend huit lments. Ces lments rsultent de la faon dont lorganisation est gre et sont intgrs au processus de management. Ces lments sont les suivants :
Environnement interne
Lenvironnement interne englobe la culture et lesprit de lorganisation. Il structure la faon dont les risques sont apprhends et pris en compte par lensemble des collaborateurs de lentit, et plus particulirement la conception du management et son apptence pour le risque, lintgrit et les valeurs thiques, et lenvironnement dans lequel lorganisation opre.
Fixation des objectifs

- Les objectifs doivent avoir t pralablement dfinis pour que le management puisse identifier les vnements potentiels susceptibles den affecter la ralisation. Le management des risques permet de sassurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de lentit ainsi quavec son apptence pour risque.
Identification des vnements

- Les vnements internes et externes susceptibles daffecter latteinte des objectifs dune organisation doivent tre identifis en faisant la distinction entre risques et opportunits. Les opportunits sont prises en compte lors de llaboration de la stratgie ou au cours du processus de fixation des objectifs.
ISM
Evaluation des risques
- Les risques sont analyss tant en fonction de leur probabilit doccurrence que de leur impact, cette analyse servant de base pour dterminer la faon dont ils doivent tre grs. Les risques inhrents et les risques rsiduels sont valus.
Traitement des risques

- Le management dfinit des solutions permettant de faire face aux risquesvitement, acceptation, rduction ou partage. Pour ce faire le management labore un ensemble de mesures permettant de mettre en adquation le niveau des risques avec le seuil de tolrance et lapptence pour le risque de lorganisation.
Activits de contrle
- Des politiques et procdures sont dfinies et dployes afin de veiller la mise en place et lapplication affective des mesures de traitement des risques.
Information et communication
- Les informations utiles sont identifies, collectes, et communiques sous un format et dans des dlais permettant aux collaborateurs dexercer leurs responsabilits. Plus globalement, la communication doit circuler verticalement et transversalement au sein de lorganisation de faon efficace.
Pilotage
- Le processus de management des risques est pilot dans sa globalit et modifi en fonction des besoins. Le pilotage seffectue au travers des activits permanentes de management ou par le biais dvaluations indpendantes ou encore par une combinaison de ces deux modalits. Le management des risques nest pas un processus squentiel dans lequel un lment affecte uniquement le suivant. Cest un processus multidirectionnel et itratif par lequel nimporte quel lment a une influence immdiate et directe sur les autres.
10
ISM
RELATION ENTRE OBJECTIFS ET ELEMENTS
Il existe une relation directe entre les objectifs que cherche atteindre une organisation et les lments du dispositif de management des risques qui reprsentent ce qui est ncessaire leur ralisation. La relation est illustre par une matrice en trois dmensions ayant la forme dun cube. -les quatre grandes catgories dobjectifs stratgiques, oprationnels, reporting et conformit- sont reprsentes par les colonnes, - les huit lments du management des risques par les lignes, - et les units de lorganisation par la troisime dimension. Cette reprsentation illustre la faon dapprhender le management des risques dans sa globalit ou bien par catgorie dobjectifs, par lment, par unit ou en les combinant.
EFFICACITE
Lefficacit dun dispositif des risques peut sapprcier en vrifiant que chacun des huit lments est mis en place dans lorganisation et quils fonctionnent efficacement. Ces lments constituent donc un critre defficacit du dispositif de management des risques. Un dispositif efficace exclut toute faiblesse majeure dans lun des lments, et peut justifier que le niveau des risques est contenu dans les limites de lapptence pour le risque de lorganisation. Lorsque le dispositif de management des risques savre tre efficacement gr pour chacune des quatre catgories dobjectifs, le conseil dadministration et la direction de lorganisation peuvent considrer quils ont une assurance raisonnable de disposer dune vision claire sur la faon dont les objectifs stratgiques et oprationnels de lentit sont en passe dtre atteints, de la fiabilit du reporting et du respect des lois et rglements applicables. La mise en uvre et le fonctionnement des huit lments est spcifique chaque organisation. Pour les PME, le dispositif de management des risques peut tre moins forme et moins structur. Il nen demeure pas moins que chacun des lments existe et fonctionne correctement
11
ISM
LIMITES
Si le dispositif de management des risques offre des avantages importants, il comporte nanmoins certaines limites. Outre les facteurs exposs ci-dessus, ces limites rsultent : o -dune erreur de jugement dans la prise de dcisions,
o o o o -de la ncessaire prise en compte du rapport couts/bnfice dans le choix du traitement des risques, et de la mise en place des contrles, -de faiblesses potentielles dans le dispositif, susceptibles de survenir en raison de dfaillances humaines (erreur), -de contrles susceptibles dtre djous par collusion entre deux ou plusieurs individus, -de la possibilit qua le management de passer outre les dcisions prises en matire de gestion des risques.
En raison de ces limites un conseil dadministration ou une direction ne peuvent obtenir la certitude absolue que les objectifs de lorganisation seront atteints.
INTEGRATION DU CONTROLE INTERNE

Le contrle interne fait partie intgrante du dispositif de management des risques. Ce cadre intgre le contrle interne, constituant ainsi une modlisation et un outil de management plus solide . Le contrle interne est dfini et dcrit dans louvrage intitul Internal Control-Integrated Framework. Ce rfrentiel a fait ses preuves et constitue le fondement de rgles, rglementations ou lois actuellement en vigueur et reste applicable comme rfrentiel de contrle interne. Bien que seuls quelques extraits dInternal Control - Integrated Framework soient reproduits dans le prsent document, lintgralit du rfrentiel de contrle interne est incorpore cet ouvrage par le biais des rfrences qui y sont faites.
ROLES ET RESPONSABILITES
12
ISM
Le management des risques est laffaire de tous mais, in fine, le Directeur Gnral en est la proprit et en assume la responsabilit. Les autres managers soutiennent la culture en matire de management des risques, ils ouvrent pour sa mise en conformit avec lapptence pour le risque et grent les risques au sein de leur primtre de responsabilit dans les limites de la tolrance au risque. Le risk manager , le Directeur Financier, lauditeur interne et dautres intervenants, assument habituellement des responsabilits fondamentales de support en matire de management des risques. Les autres collaborateurs de lorganisation sont responsables du dispositif de management des risques conformment aux directes et aux protocoles existants. Le Conseil dadministration exerce une activit de surveillance sur le dispositif de management des risques, il a connaissance et valide lapptence pour le risque de lorganisation. Certains tiers, tels que les clients, les fournisseurs, les partenaires commerciaux, les auditeurs externes, les rgulateurs et les analystes financiers fournissent frquemment des informations utiles au dispositif de management des risques, mais ils ne sont pas responsables de son efficacit et ne participe pas sa mise en uvre.
STRUCTURE DE CE RAPPORT
Ce rapport comporte deux parties. La premire constitue le cadre de rfrence proprement dit. Elle comprend aussi cette Synthse. Le cadre de rfrence dfinit le dispositif de management des risques, en dcrit les principes et les concepts, et donne des principes directeurs pouvant tre utiliss pour valuer et renforcer l'efficacit du dispositif tous les niveaux de l'organisation. La prsente Synthse est une vue d'ensemble destine aux directions gnrales, aux collaborateurs occupant des postes cls, aux membres du conseil d'administration et aux rgulateurs. La seconde partie, Techniques d'application, prsente des exemples de techniques qui peuvent "tre utilises pour la mise en uvre des diffrents lments du cadre de rfrence.
UTILISATION DE CE RAPPORT
13
ISM
Les actions possibles en lien avec ce rapport dpendent de la fonction et du rle des parties impliques: Conseil d'administration - Le conseil d'administration doit communiquer avec la direction gnrale sur le dispositif de management en place dans l'organisation et exercer, si besoin est, un rle de surveillance. Il doit s'assurer qu'il est inform des risques majeurs de l'organisation et des mesures prises par la direction pour les traiter, ainsi de la faon dont elle s'assure de l'efficacit du dispositif. Pour ce faire, le conseil d'administration peut solliciter l'avis des auditeurs internes, des auditeurs externes et d'autres tiers.
Direction gnrale
- Dans cette tude, il est propos que la direction gnrale value le dispositif de management des risques de l'organisation. En premire approche, le Directeur Gnral peut par exemple runir les responsables d'unit et les principaux responsables fonctionnels pour apprcier l'efficacit des lments du dispositif en place. Quelque soit sa forme, cette premire approche doit dterminer la ncessit d'une valuation plus approfondie et la faon dont elle doit tre mise en uvre.
Autres collaborateurs de l'organisation

- Les managers ainsi que les autres collaborateurs de l'organisation doivent analyser la manire dont ils exercent leurs responsabilits la lumire de ce cadre de rfrence, et partager avec des collaborateurs plus expriments des suggestions pour renforcer le dispositif de management des risques. Les auditeurs internes doivent galement dterminer l'tendue de leurs travaux en matire de management des risques. Rgulateurs - Ce cadre de rfrence favorise le partage d'une vision commune du management des risques, notamment quant son potentiel et ses limites. Ce modle est donc susceptible de constituer une rfrence pour les rgulateurs dans le cadre de la dfinition de leurs attentes en vue d'dicter des rgles ou des directives ou lorsqu'ils procdent des contrles.
14
ISM
Organismes professionnels - Les organismes chargs d'tablir des rgles et les autres organismes professionnels tablissant des directives en matire de gestion financire, d'audit ou de tout autre domaine apparent devraient envisager les normes et recommandations qu'ils prconisent la lumire de ce cadre de rfrence. Des concepts et une terminologie communs sont en effet bnfiques toutes les parties impliques dans ce type de travaux. Formateurs - Ce cadre de rfrence peut faire l'objet de recherches et d'analyses universitaires permettant d'apporter des amliorations futures. Dans l'hypothse o ce rapport deviendra un ouvrage de rfrence, ses concepts et sa terminologie devraient trouver leur place au sein des universits. Forts d'une comprhension commune et partage de la notion de management des risques, tous les acteurs seront mme de parler un langage commun et communiqueront de faon plus efficace. Les dirigeants d'organisations seront mme d'valuer leur processus de management des risques comparativement une norme, de le renforcer et d'aider leurs entits atteindre les objectifs fixs. Les recherches futures pourront capitaliser sur des bases existantes. Les lgislateurs et les rgulateurs seront mme de mieux comprendre les processus de gestion des risques, notamment ses avantages et ses limites. Ces avantages se concrtiseront lorsque tous les acteurs utiliseront un rfrentiel commun de management des risques.
15
ISM
BIBLIO : Larges Extrait du rfrentiel : Le management des risques de lEntreprise,
COSO II
Report
16

ISM 2ème

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISM 2ème

Transféré par

Droits d'auteur :

Formats disponibles

ISM

OUTILS DE MANAGEMENT DES RISQUES

John Flaherty Prsident du COSO

Tony Maki Prsident du comit Consultatif du COSO

EVENEMENTS RISQUES ET OPPOTUNITES

DEFINITION DU MANAGEMENT DES RISQUES

ATTEINTE DES OBJECTIFS

ELEMENTS DE DISPOSITIF DE MANAGEMENT DES RISQUES

Fixation des objectifs

Identification des vnements

Traitement des risques

INTEGRATION DU CONTROLE INTERNE

Autres collaborateurs de l'organisation

BIBLIO : Larges Extrait du rfrentiel : Le management des risques de lEntreprise,

Vous aimerez peut-être aussi