Vous êtes sur la page 1sur 22

COSO

Aller : Navigation, rechercher Le COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway Commission. Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois Loi Sarbanes-Oxley, SOX ou Loi de scurit financire, LSF, pour les entreprises assujetties respectivement aux lois amricaines ou franaises. Le rfrentiel initial appel COSO 1 a volu depuis 2002 vers un second corpus dnomm COSO 2.

Sommaire

1 Historique 2 Le rfrentiel COSO (Internal Control Integrated Framework) o 2.1 Les principes o 2.2 Le cadre : le cube COSO 2.2.1 Les trois objectifs 2.2.2 Les cinq composants 2.2.3 Le cube 3 COSO 2 - Enterprise Risk Management Framework o 3.1 Positionnement du COSO 2 par rapport au COSO 1 o 3.2 Une nouvelle notion, le Risk Appetite o 3.3 Synthse des modifications opres sur le cube COSO 3.3.1 Modifications opres sur l'axe Niveaux de lorganisation 3.3.1.1 La notion de portefeuille de risques ( Portfolio ) 3.3.2 Modifications opres sur l'axe Objectifs de lorganisation 3.3.3 Modifications opres sur l'axe lments 3.3.3.1 Environnement interne 3.3.3.2 Le bloc lments de risques 3.3.3.3 Information et communication 3.3.3.4 Pilotage o 3.4 Rles et responsabilits 3.4.1 Les acteurs responsables ( Responsible parties ) 3.4.1.1 Le Board of directors 3.4.1.2 Le Risk Officer 3.4.1.3 Les auditeurs internes 3.4.2 Les auditeurs externes 4 Voir aussi o 4.1 Bibliographie o 4.2 Articles connexes

4.3 Liens externes

Historique
COSO est lacronyme abrg de Committee Of Sponsoring Organizations of the Treadway Commission, une commission but non lucratif qui tablit en 1992 une dfinition standard du contrle interne et cre un cadre pour valuer son efficacit. Par extension ce standard s'appelle aussi COSO. En 2002, le Congrs amricain, en rponse aux scandales financiers et comptables (Enron, Worldcom, ), promulgue la loi SarbanesOxley (the Sarbanes-Oxley Act ou SOX act). Cette loi oblige les socits faisant appel lpargne publique valuer leur contrle interne et en publier leurs conclusions dans les tats demands par la SEC. Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a favoris l'adoption du COSO comme rfrentiel. En France, la loi LSF (Loi de scurit financire) promulgue peu aprs en 2003, a galement contribu sa diffusion.

Le rfrentiel COSO (Internal Control Integrated Framework)


Les principes
Le rfrentiel COSO est bas sur les principes de base suivants :

Le contrle interne est un processus : cest un moyen, pas une fin ; il ne se cantonne pas un recueil de procdures mais ncessite limplication de tous chaque niveau de lorganisation.

Le contrle interne doit procurer lassurance raisonnable (mais non absolue) dun management et dune direction respectueuse des lois.

Le contrle interne est adapt la ralisation effective des objectifs.

Le cadre : le cube COSO


Le cadre COSO repose sur les notions d'objectifs et de composants. Les trois objectifs

Le rfrentiel COSO dfinit le contrle interne comme un processus mis en uvre par les dirigeants tous les niveaux de lentreprise et destin fournir une assurance raisonnable quant la ralisation des trois objectifs suivants :

l'efficacit et l'efficience des oprations, la fiabilit des informations financires, la conformit aux lois et rglements.

On notera que ces objectifs correspondent en grande partie aux proccupations des investisseurs. Les cinq composants Le contrle interne, tel que dfini par le COSO, comporte cinq composants. Ces composants procurent un cadre pour dcrire et analyser le contrle interne mis en place dans une organisation. Il sagit de :

l'environnement de contrle, qui correspond, pour l'essentiel, aux valeurs diffuses dans l'entreprise ;

l'valuation des risques l'aune de leur importance et frquence ; les activits de contrle, dfinies comme les rgles et procdures mises en uvre pour traiter les risques, le COSO imposant la matrialisation factuelle des contrles ;

l'information et la communication, qu'il s'agit d'optimiser ; le pilotage, c'est--dire le contrle du contrle interne.

Le cube Aprs les objectifs et composants, le COSO impose de distinguer les structures de l'entreprise (socits, entits, fonctions, ). La combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appel le cube COSO.

COSO 2 - Enterprise Risk Management Framework


Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de rfrence de la gestion des risques. Le prsent chapitre vise en raliser une synthse, notamment en se

basant sur les concepts dvelopps dans le COSO 1, "Internal Control Integrated Framework".

Positionnement du COSO 2 par rapport au COSO 1


Pour rappel, le COSO 1 propose un cadre de rfrence pour la gestion du contrle interne. Le contrle interne est un processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation, destin fournir une assurance raisonnable quant la ralisation des objectifs suivants :

L'efficacit et l'efficience des oprations, La fiabilit des informations financires, La conformit aux lois et aux rglementations en vigueur.

Le COSO 2 propose un cadre de rfrence pour la gestion des risques de lentreprise (Enterprise Risk Management Framework). La gestion des risques de lentreprise est un processus mis en uvre par le conseil dadministration, les dirigeants et le personnel dune organisation, exploit pour llaboration de la stratgie et transversal lentreprise, destin

identifier les vnements potentiels pouvant affecter lorganisation, matriser les risques afin quils soient dans les limites du Risk Appetite (apptence au risque) (cf. ci-dessous) de lorganisation, fournir une assurance raisonnable quant la ralisation des objectifs de lorganisation.

Il apparat que le COSO 2 inclut les lments du COSO 1 au travers du troisime point et le complte sur le concept de gestion des risques. Le COSO 2 est bas sur une vision oriente risques de lentreprise.

Une nouvelle notion, le Risk Appetite


La notion de Risk Appetite est nouvelle dans le COSO 2. Le Risk Appetite est le niveau de prise de risque accept par lorganisation dans le but daccrotre sa valeur. Diffrentes stratgies exposeront lorganisation diffrents risques. En consquence, le Risk Appetite doit tre pris en compte dans la dfinition de la stratgie de lorganisation afin de sassurer que les rsultats de cette stratgie sont cohrents avec le Risk Appetite dfini pour lorganisation.

Synthse des modifications opres sur le cube COSO


Le modle du cube et son architecture trois plans sont conservs: 1. Niveaux de lorganisation 2. lments de contrle interne (qui devient lments de gestion des risques) 3. Objectifs de lorganisation En revanche, les diffrents plans sont modifis ou enrichis. 1. Axe "Niveaux de lorganisation"

Apport dun cadre plus strict de dcomposition de la structure dune organisation Mise en vidence de la ncessit de prendre en compte lensemble de lorganisation pour que le COSO 2 soit appliqu avec succs.

2. Axe "Objectifs"

Apport dun nouvel objectif: stratgique . largissement de la notion de reporting : cette notion couvre dsormais non seulement le reporting financier, mais aussi la remonte dinformations non-financires. De plus, cette notion couvre dornavant la fois la remonte dinformations externes mais aussi internes.

3. Axe "lments de contrle" Enrichissement de laxe lments de contrle qui devient lments de gestion des risques et qui passe de cinq huit lments : 1. Llment environnement interne (anciennement environnement de contrle) est complt de la notion d' apptence au risque (qui signifie acceptation et tolrance dun risque, dans le cadre dun niveau defficacit recherche), 2. Llment valuation des risques est clat en quatre lments dont les notions existaient dj dans le COSO-1 mais taient moins dtailles: 2a Dfinition dobjectifs, 2b Identification des vnements, 2c valuation des risques, 2d Rponse aux risques, 3. Llment activits de contrle reste inchang, 4. Llment Information et Communication est complt des notions de temps et de granularit de linformation, 5. Llment Supervision (ou pilotage) reste inchang. Modifications opres sur l'axe Niveaux de lorganisation

Le COSO 2 sapplique lensemble de lentreprise, aussi bien au niveau le plus haut ( entit ) quau niveau oprationnel ( business unit ). Mais pour appliquer le COSO 2 avec succs, il faut prendre en compte lensemble du primtre des activits dune organisation. Le COSO 2 considre les activits diffrents niveaux de lorganisation :

Au niveau de lorganisation ( entity ) pour des activits telles que la planification stratgique ou lallocation des ressources,

Au niveau des units de mtier ( business unit ) pour des activits telles que le marketing, et les ressources humaines,

Au niveau des processus mtier ( business process ) pour des activits telles que la production, les achats, Et aussi aux niveaux des projets ou initiatives qui nont pas encore de place dfinie dans la structure de lorganisation.

Par rapport au COSO 1, le COSO 2 apporte :

un cadre plus strict de dcomposition de la structure dune organisation - par niveaux que le COSO 1 qui ne retient pas de structure de dcomposition spcifique pour une organisation. Cette dcomposition est utile la vision en portefeuille de risque (cf. cidessous) expose par le COSO 2.

la ncessit de prendre en compte lensemble de lorganisation pour tre appliqu avec succs.

La notion de portefeuille de risques ( Portfolio )

Il est demand lorganisation davoir une vision de ses risques sous forme dun portefeuille. Ce portefeuille doit caractriser les risques chaque niveau de lorganisation. La compilation du portefeuille permet donc davoir une vision globale des risques de lorganisation. Cette vision pourra alors tre rapproche de l apptence au risque dfinie pour lorganisation. De plus, la compilation du portefeuille de risques permet au management :

de mettre en vidence des risques qui peuvent tre tolrs au niveau dune unit mais qui en sadditionnant ne seraient plus dans les limites de l apptence au risque dfinie pour lorganisation.

dapprhender des vnements potentiels (au niveau global) plutt que des risques et donc de mieux comprendre comment les risques interagissent entre eux au niveau de lorganisation. Par exemple, une baisse des taux dintrt pourrait affecter positivement le cot du capital mais ngativement les produits de taux.

Modifications opres sur l'axe Objectifs de lorganisation Apport dun nouvel objectif : stratgique . Un objectif stratgique est un objectif high-level , qui soutient et concourt la mission/vision de lorganisation. Les objectifs stratgiques refltent les choix du management quant la recherche de cration de valeur par lorganisation pour ses actionnaires. Les trois autres types dobjectifs : oprationnel, reporting, et rglementaire, sont dpendants des objectifs stratgiques. Ils sont appels les related objectifs. Par exemple, pour une organisation, il sagira de dfinir :

Quelle est sa mission/vision, Quels sont les objectifs stratgiques soutenant cette mission/vision, Quelle est la stratgie mettre en uvre pour atteindre ces objectifs stratgiques, Et en dduire les related objectifs qui soutiennent la stratgie mise en uvre.

la diffrence du COSO 1, la mise en uvre de COSO 2 ncessite donc davoir une vision des objectifs stratgiques de lentreprise en plus des related objectifs. largissement de la notion de reporting Par rapport au COSO 1, cette notion couvre dsormais :

non seulement le reporting financier, mais aussi la remonte dinformations nonfinancires, non seulement la remonte dinformations externes mais aussi la remonte dinformations internes.

Modifications opres sur l'axe lments Laxe lments de contrles, qui devient lments de gestion des risques , a t lgrement modifi et surtout enrichi : Llment environnement de contrle est complt de la notion d apptence au risque ,

Llment valuation des risques est clat en quatre lments dont les notions existaient dj dans le COSO 1 mais sous forme moins dtaille : dfinition dobjectifs, Identification des vnements, valuation des risques, Rponse aux risques,

Llment activits de contrle reste inchang, Llment Information et Communication est complt des notions de temps et de granularit de linformation, Llment pilotage reste inchang.

Suite ces modifications, la lecture de ce nouveau plan met en vidence un bloc homogne que lon peut qualifier de bloc d'lments de risques * et qui contient les cinq lments : dfinition dobjectifs, identification des vnements, valuation des risques, rponse au risque et activits de contrle.
* cette notion de bloc d'lments de risques nest pas prsente dans le COSO 2. Elle est ici propose au lecteur dans un but pdagogique.

Remarque : La pyramide qui schmatisait la partie lments de contrle interne disparat dans le COSO 2.
Environnement interne

Llment environnement interne reprend les notions de llment environnement de contrle du COSO 1 : importance des individus (comptence, thique), du style de management, de la dlgation des responsabilits, En revanche, ce nouvel lment senrichit dune nouvelle notion : celle d Apptence au risque : cest--dire la prise de risque accepte par lentreprise dans le but daccrotre sa valeur. Cette apptence au risque permet ensuite de dterminer le niveau de la tolrance de risque aux diffrents niveaux de lorganisation. Cette notion est ncessaire et prcde la dfinition de la stratgie de lentreprise.
Le bloc lments de risques

Par rapport COSO 1, les diffrents composants de ce bloc sont plus dtaills et fixent un cadre plus prcis :

pour lidentification des vnements potentiels (tendances, vnements passs) pour lvaluation des risques (risque inhrent, risque rsiduel),

pour les rponses aux risques (catgorisation des types de rponses).

Ce bloc comporte les cinq lments suivants : 1. 2. 3. 4. 5. Dfinition dobjectifs Identification des vnements valuation des risques Rponses aux risques Activits de contrle

Le management doit tout dabord se fixer des objectifs(1) en dehors des vnements susceptibles de venir les perturber. Ces objectifs sont de quatre types : stratgiques, oprationnels, lis au reporting et ladquation avec la rglementation. Puis le management dtermine pour chacun de ses objectifs les vnements (2) susceptibles davoir des impacts, que ceux-ci soient positifs ou ngatifs. Les vnements avec impacts ngatifs reprsentent des risques, ceux avec des impacts positifs reprsentent des opportunits. Lidentification des vnements potentiels passe par lutilisation de combinaison de mthodes : tendances, vnements dclencheurs, corrlation avec les vnements passs. On passe ensuite une valuation des risques (3) pour les vnements ngatifs. Cette valuation doit dterminer la probabilit que cet vnement survienne et les impacts alors engendrs. Cette valuation des risques doit prsenter dans un premier temps le risque inhrent, cest--dire le risque qui existe si le management ne met en place aucune action corrective. Dans un second temps, lorsque llment de rponse au risque aura t trait, il sera possible de dterminer un risque rsiduel. (Boucle unique de processus itratif). Il est suggr dutiliser un systme dunit de mesure cohrent entre la mesure des Dfinition dobjectifs et lvaluation des risques. Le risque valu, il est ensuite demand de dfinir les diffrentes parades possibles. Cest la rponse au risque (4). Plusieurs options sont parfois possibles. Il est alors ncessaire de les expliciter. Ces rponses peuvent tre classes dans les quatre catgories suivantes : lvitement, la rduction, la mutualisation ou lacceptation du risque. Si la mthode de formalisation (option, classification) est incluse dans le primtre de COSO 2, le choix de la solution nen fait en revanche pas partie. Une fois la rponse au risque dfinie, lorganisation peut sassurer que le risque rsiduel correspond sa tolrance de risque (3). Il est ensuite ncessaire de mettre en place des activits de contrle (5) qui se concrtisent sous la forme de normes ( ce qui doit tre fait ) et se voient dcline en procdures ( comment le faire ).

Information et communication

Par rapport COSO 1, COSO 2 apporte les concepts suivants :

la ncessit de considrer que les informations sont issues des vnements passs, prsents et futurs. Cette vision doit notamment permettre :
o

une comparaison des performances de lorganisation (passes, et potentielles futures) et lidentification des volutions et tendances de lactivit de lorganisation, laide la dtection des potentiels vnements futurs qui affectent le profil de risques actuel de lorganisation, ce profil de risques devant donc tre rapproch de l apptence au risque .

la ncessit de sassurer que la granularit des informations (niveau de dtail et priodicit), est suffisante pour identifier, analyser, et rpondre aux risques et ainsi rester dans les limites de son apptence au risque .

De plus, COSO 2 insiste sur le concept de prsentation de linformation pour communiquer, i.e. linformation doit tre communique sous une forme adapte en fonction de linterlocuteur destinataire.
Pilotage

Pas dajout sur llment Pilotage .

Rles et responsabilits
Le COSO 2 souligne limportance de la prise de responsabilit dans une entreprise et dtaille ce quelle recouvre pour chacun des acteurs. On retrouve dans cette partie des analogies fortes avec la loi Sarbanes-Oxley. Par rapport au COSO 1, le COSO 2 apporte quelques modifications aux rles des intervenants :

Un nouveau rle apparat: le Risk officer , Le rle du board of directors est plus tendu que dans le COSO 1.

Les acteurs responsables ( Responsible parties )


Le Board of directors

Le Board of directors supervise avec attention la gestion des risques :


Il connat le primtre de couverture efficace de gestion des risques mis en place par le management de lorganisation, Il connat et il est daccord avec le Risk appetite de lorganisation, Il revoit le portefeuille de risques et effectue son rapprochement avec le Risk Appetite Il est inform des risques les plus significatifs et de la pertinence de la prise en charge de ces risques.

Le Risk Officer

Le Risk Officer est le facilitateur de la mise en uvre du COSO 2. Il travaille avec les autres responsables afin de les aider mettre en place une gestion efficace des risques pour leur primtre de responsabilit. Sans tre exhaustif, ses attributions pourraient tre :

llaboration de procdures de gestion des risques (incluant les rles, responsabilits), llaboration dun langage commun de gestion des risques (uniformisation des mesures de probabilit et dimpact, des catgories de risques..), laccompagnement des managers dans llaboration de leur rponse aux risques (aide directe, formation), la supervision des managers pour llaboration des tolrances de risques, laccompagnement des managers pour ltablissement des activits de contrles, la supervision du processus de reporting de gestion des risques,

Son intervention porte donc sur lensemble des lments de gestion des risques.
Les auditeurs internes

De la mme manire que dans COSO 1, ceux-ci nont pas la responsabilit premire de la mise en uvre de COSO 2. Par contre, ils ont un rle prpondrant dans lvaluation du systme de gestion des risques. Les auditeurs externes Ceux-ci travaillent au niveau entit . Ils donnent une opinion sur la constitution des tats financiers. et l'approche moderne pour se prononcer sur les etats, consiste en l'valuation du systme de contrle interne suivant les normes de travail de l'audit

xxxxxxxxxxxxxx

a gestion du risque s'attache identifier les risques qui psent sur les actifs de l'entreprise (c'est--dire ce qu'elle possde pour sa prennit, ses moyens, ses biens.) , ses valeurs au sens large, y compris, et peut tre mme avant tout, sur son personnel. On distingue gnralement deux catgories d'actifs : les financiers et les non financiers. Les dirigeants d'entreprises ont pour mission de rendre leur exploitation viable (quilibrer les charges avec les ressources) voire de la dvelopper (ressources suprieures aux charges = production de richesse). Le rsultat obtenu leur permettra de survivre (rsultat nul) voire d'en assurer la prennit en la dveloppant (rsultat positif). Au-del de la gestion financire des risques et du clivage risques financiers/non financiers, l'analyse approfondie des risques de l'entreprise impose une veille tendue qui peut s'assimiler de l'intelligence conomique. Cette prvention des risques pesant sur les actifs aboutit tablir une grille des risques avec chaque fois des veilles cibles adaptes chaque type de risques (politique, juridique, social, environnemental, etc.).

e phnomne de cause effet est de plus en plus dlicat analyser avec l'effet systmique que peut prsenter dsormais la mondialisation financire et l'conomie ouverte ou globalise.

Sommaire

1 Dfinition du terme risque 2 Le risque dans l'industrie et en gestion 3 Le risque de la grande entreprise la PME 4 Stratgies de gestion du risque 5 Le processus de la gestion de risque 6 Actifs non financiers 7 Les diffrents risques 8 Communication des entreprises en matire de risques

8.1 Les Processus d'implantation du management des risques d'entreprise 8.2 valuation des risques 9 Fonction de lvaluation des risques 10 Principales tapes o 10.1 La formalisation des risques 11 Voir aussi o 11.1 Articles connexes o 11.2 Liens externes o 11.3 Rfrences o 11.4 Bibliographie

o o

Dfinition du terme risque


Selon le rfrentiel ISO Guide 73 Vocabulaire du management du risque1 qui a t revu lors du dveloppement de la norme ISO 31000:2009 Management du risque Principes et lignes directrices2, le risque est nouvellement dfini comme leffet de lincertitude sur les objectifs et s'ajoute en note3 que Un risque est souvent caractris en rfrence des vnements et des consquences potentiels ou une combinaison des deux.

Le risque dans l'industrie et en gestion


Toute activit conomique entrane des risques, que les dirigeants doivent grer et avant tout valuer. Pour cela, il faut les identifier puis les minimiser, assumer financirement la charge de ceux qu'ils jugeront acceptables (en fonction de la taille et des capacits financires de l'entreprise), traiter par des tiers selon des processus d'externalisation (ex. assurance crdit) les risques lis certaines activits, et enfin transfrer certains risques auprs de professionnels de l'assurance qui assureront une garantie financire. L'identification des risques passe aujourd'hui par la comprhension du cycle de gestion, qui intgre les partenaires amont et aval (clients et fournisseurs), mais aussi, dans un environnement en interaction complexe avec l'entreprise, les autres parties prenantes (banques, socit civile). Dans cette optique, l'valuation des risques passe galement par une analyse du cycle de vie des produits. Cette dmarche d'analyse et d'identification systmatique est assez traditionnelle dans le monde industriel : maritime, aviation, nuclaire, ptrolier, industrie chimique mais cela n'limine pas totalement le risque (voir l'explosion de l'usine AZF Toulouse). Elle se dveloppe galement dans le domaine de la sant, et plus prcisment dans les tablissements

de sant, publics ou privs, o la gestion des risques et des vigilances sanitaires est devenue indissociable de la dmarche qualit. En revanche, l'analyse de risque est beaucoup plus rcente dans le domaine de la gestion et de l'conomie, qui en tait relativement cart du fait de l'absence (apparente) de risques directs sur la vie humaine[rf. ncessaire].

Le risque de la grande entreprise la PME


Dans les grandes entreprises, on trouve des quipes spcialises la tte desquelles uvre un gestionnaire du risque ou risk manager. Il a donc vocation grer les risques de l'entreprise qui l'emploie. Les entreprises de taille moyenne sont encore peu proccupes de gestion des risques. Selon une tude du cabinet d'audit Mazars, qui a interrog environ 200 entreprises affichant des chiffres d'affaires de 100 millions quelques milliards d'euros, les risques qui les inquitent le plus sont ceux qui peuvent entraner une sanction du client, suivis des risques techniques ou oprationnels. Viennent ensuite les risques industriels, juridiques, fiscaux et informatiques." (Les chos 09/05/2007 "La gestion des risques s'installe aussi dans les entreprises de taille moyenne"). Quelle que soit la taille de l'entreprise, chaque type de risque ncessite une rponse approprie avec des ressources humaines ddies externes et/ou internes. On a vu, avec le passage informatique l'an 2000, qu'il tait ncessaire de mettre en place dans les entreprises des quipes spcialises dans la gestion du risque sous l'angle du management du systme d'information. Aujourd'hui, les questions de responsabilit socitale des entreprises ncessitent, de la mme manire, la prise en compte d'un risque global, vis--vis de la socit civile (impacts de l'activit, risques lis aux produits dfectueux, etc, ), la dmatrialisation impose un traitement attentif des dirigeants. La gestion en continu de la grille de risques d'une entreprise suppose vision et vigilance du dirigeant et de ses conseils et cadres, pour la radapter aux ralits du terrain et des systmes rgulatoires qui s'y appliquent.

Stratgies de gestion du risque


On distingue quatre manires de grer le risque, par ordre croissant de cot :

La prvention : Des mesures peuvent tre prises pour limiter l'apparition de l'vnement redout. Cette stratgie est le plus souvent applique en premier lieu et surtout lorsque le danger est dramatique (brlure grave, chute de grande hauteur, coupure, pouvant entrainer la mort ou des effets sublthaux). La prvention peut aussi se faire par "vitement", c'est-dire, l'activit prsentant un risque peut tre suspendue. Du point de vue des dcideurs, cette stratgie est la moins risque et la moins chre, mais elle est un frein

au dveloppement de l'entreprise. De plus, la plupart du temps, elle reporte le risque sur d'autres entreprises, ou bien elle le remet plus tard.

L'acceptation : L'acceptation d'un risque fait suite une tude de danger. Cette tude permet d'valuer les dommages pouvant tre causs des personnes exposes si l'vnement redout a lieu. Ainsi, un risque sans gravit consquente peut tre accept par les travailleurs au compte de l'entreprise. Par exemple "certains lectriciens refusent de porter de gros gants en caoutchouc lorsqu'ils travaillent hors-tension, et de devoir les retirer toutes les 10 minutes pour dnuder un fil". L'acceptation est aussi valable lorsque le moyen de protection cote trop cher ou gne normment l'ouvrier dans sa tche. Cette approche ne permet pas de protger les personnels ni l'outil de production tant qu'aucune volont de rduction du risque ne se manifeste.

La rduction du risque : Veille, identification des risques par l'audit, analyse par la recherche des facteurs de risques et des vulnrabilits, matrise des risques par les mesures de prvention et de protection : c'est la dmarche classique de gestion des risques. Voir aussi : risque.

Le transfert : A titre financier, le transfert de risque s'tablit lorsque qu'une assurance ou toute autre forme de couverture de risque financier ou garantie financire est contracte par le dirigeant confront au risque (ex. assurance crdit). Ces garanties ne sont pas exhaustives pour couvrir le risque conomique et financier. En cas de risque pnal pris par le dirigeant, ce transfert peut tre rduit nant. A titre oprationnel et conomique, ce transfert s'effectue lorsque l'entreprise soustraite l'activit risque sous une forme ou une autre (sous-traitance directe, en cascade, cotraitance, externalisation ou outsourcing en anglais) ; un sous-traitant srieux et qualifi pourra faire payer trs cher sa prestation mais aussi dmontrer qu'il gre mieux le risque pour un prix quivalent voire infrieur, et le recours un soustraitant non qualifi ou ddaigneux du risque fera courir un risque encore plus grand.

Le processus de la gestion de risque


Pour enclencher une action, il faut identifier des signaux dalarme face aux dangers, c'est une question dinformation. Mais pour penser stratgie, la question est bien plus celle du tri comme des prises de responsabilit autour des informations juges pertinentes. C'est une question de gestion intelligente de linformation, donc de gestion des savoirs (Jean -Yves Mercier, 2002). Parfois, les risques sont identifis par des lanceurs d'alerte qui agissent titre individuel. Comme il n'existe pas toujours de dispositif public de traitement des alertes (comme c'est le cas en France par exemple), les lanceurs d'alerte peuvent s'exposer aux reprsailles de leur hirarchie lorsque des intrts financiers sont en jeu4. De ce fait, si la cration dune cellule dobservatoire des risques est utile, elle ne sera pas suffisante. Il faut activer les rseaux de comptences disponibles. On parle alors despaces de gestion au sein desquels les lments du rseau peuvent interagir. Ces espaces sont au nombre de cinq : Un espace de rflexion et dorientation Des espaces de tri individuel de linformation potentielle Un espace de recensement de linformation Un espace de traitement collectif des signaux Et un espace de dcision collective Espace de rflexion et dorientation Lespace de rflexion et dorientation est celui reprsent par un observatoire du risque qui conduit lensemble de la dmarche. Cet observatoire se veut un organe transversal, charg dans un premier temps de diagnostiquer les risques ventuels vus depuis linstitution, puis de les organiser en grandes familles de proccupations. titre dexemple, lObservatoire du risque de Catalogne a choisi de concentrer son travail sur les risques de la circulation, du travail, de lenvironnement, de sant publique, de rupture sociale et sur ceux lis lvolution du march du travail (Albert Serra). Une fois ces orientations valides par le politique, lobservatoire devient un organe pilote. Espace de recensement de linformation

Autour de chaque axe de travail, des quipes de recensement de linformation sont constitues. Celles-ci sont idalement lies au dpartement touchs par les risques quelles ont dtecter, telle que la sant publique. Leur travail seffectue pas pas par une suite de questionnements typiques de la gestion des connaissances (Gilbert Probst), questions que ces quipes approfondissent par diagnostic avec les spcialistes gravitant au sein comme autour de linstitution : ainsi, par exemple, quels signaux nous informent de de la progression des dommages psychosociaux dans les entreprises ? comment les recenser alors que les liens entre travail et troubles psychosomatiques ne sont pas clairs? comment en analyser la pertinence ? comment en valuer le cot ? chaque tape, les rsultats sont croiss entre quipes sous lgide de lObservatoire du risque pour favoriser lapprentissage mutuel autour de ces questions nouvelles. Espace de traitement collectif des signaux Paralllement, des groupes de projets transversaux entre thmes et dpartements sont crs pour organiser le traitement collectif de linformation collecte par ces diffrentes quipes. Quels outils statistiques communs sont ncessaires ? Quel instrument informatique peut permettre daccder aux donnes et de les enrichir ? Et comment structurer la base gnrale des connaissances ? Des enseignements rcents prouvent que linstrument informatique est extrmement structurant pour les changes de savoir. Comme linformation est difficile cerner. Lide est ici de btir un outil a posteriori, en fonction des situations rencontres dans lapprofondissement des diffrents types de risque. Espaces de tri individuel de linformation potentielle La question est ensuite de nourrir cet ensemble qui sinstitutionnalise peu peu. Cest donc le rle danimateurs de forums du risque de soutenir le tri individuel de linformation potentielle en structurant des espaces de dialogue, que ce soit via Intranet ou via workshops par exemple. Comme nous crons ou percevons rgulirement de nouveaux risques (Michel Serres), le but en est la fois de reprer les rcurrences de signaux non encore connus cest la dimension de frquence, comme dans le cas des risques psychosociaux comme ceux plus pars qui semblent toucher un sujet limpact potentiel important cest le critre de gravit, comme dans le cas de lESB. Il ne sagit ici pas de crer un filtre linformation, mais au contraire de lui donner un canal qui te toute validit la dresponsabilisation individuelle. Ces animateurs de rseau sont rpartis dans lorganisation autour des familles de risques mises en vidence par lObservatoire.

Espace de dcision quipes thmatiques, groupes de projets de traitement du savoir, animateurs de forums du risque, tous ces outils ne fonctionnent que de concert, sous lgide de lObservatoire dj mentionn. Mais encore une fois, celui-ci nest pas organe responsable. Il est simplement un facilitateur du rseau dinformations. Il a donc aussi pour rle de centraliser les questions susceptible de ncessiter traitement du risque, et didentifier le niveau de responsabilit adquat. Le problme avec les risques mergents est finalement de crer les espaces de dcision et de responsabilit collective (Anthony Giddens). Cest lObservatoire de proposer les bonnes constellations aux dirigeants de l'entreprise ou de l'institution. Et cest l que se situe la vraie responsabilit de ces derniers, non dans le fait dassumer tout le poids de linconnu, mais de structurer et doctroyer un budget une cellule de gestion dun nouveau risque encore flou mais identifi.

Actifs non financiers


Ce sont les actifs non circulant ou immobiliss de l'entreprise : btiments, vhicules, machines, auxquels s'ajoute le personnel employ dans le cadre de l'activit y compris les sous traitants (voir la responsabilit des mandataires sociaux) Les outils de gestion du risque sont

La prvention (ce qui suppose l'valuation pralable du risque, La diversification des risques, L'assurance, qui ne couvre que le risque assurable, Et en matire financire, certains outils permettant de transfrer le risque des oprateurs disposs le prendre, (soit dans une optique de spculation, soit pour couvrir un risque inverse). o La couverture du risque (aussi appele hedging ) par l'utilisation de contrats drivs o La titrisation, cest--dire la transformation de l'lment risqu (par exemple une crance) en titre ngociable. La titrisation permet de se dbarrasser du risque en le transformant en "papier" et de le revendre.

Les diffrents risques


Les principaux risques lis la dtention d'actifs financiers peuvent tre lists et couvrent gnralement quatre risques, savoir :

Le risque de march. Le risque de contrepartie ou actions, c'est le risque que la partie avec laquelle un contrat a t conclu ne tienne pas ses engagements. (livraison, paiement, remboursement, etc.)

Le risque de taux, c'est le risque des prts-emprunts. C'est le risque que les taux de crdit voluent dfavorablement. Ainsi si vous tes emprunteur taux variable, vous tes en risque de taux lorsque les taux augmentent car vous payerez plus cher. l'inverse, si vous tes prteur, vous tes en risque de taux lorsque les taux baissent car vous perdez des revenus.

Le risque de change, c'est le risque sur les variations des cours des monnaies entre elles. Risque sensiblement li au facteur temps.

Le risque de liquidit, c'est le risque sur la facilit acheter ou revendre un actif. Si un march n'est pas liquide, vous risquez de ne pas trouver d'acheteur quand vous le voulez ou de ne pas trouver de vendeur quand vous en avez absolument besoin. C'est un risque li la nature du sous-jacent (de la marchandise) mais aussi la crdibilit de l'acheteur-Vendeur. En effet, il est facile d'acheter ou de vendre un produit courant une contrepartie de confiance, mais plus difficile avec un produit trs spcialis. C'est la liquidit de ce produit. De plus, si l'acheteur/vendeur n'est pas crdible, le risque de contrepartie pour les ventuels fournisseurs/clients, les dissuade de traiter. L'acheteur/vendeur est en risque d'approvisionnement; en risque de "Liquidit".

Le risque mto, c'est le risque de perte potentielle de chiffre daffaires ou de profit due aux variations de la mto. Il concerne les quatre grandes familles climatiques que sont la temprature, les prcipitations, lensoleillement et le vent. Le risque mto ne concerne que les variations ordinaires de la mto. Il sagit de limpact potentiel sur la performance dune entreprise, dune anomalie mto, cest--dire de la fluctuation autour de sa valeur moyenne. En mtorologie, la moyenne (appele aussi la normale) est en gnral calcule sur 30 ans.

Il y a d'autres risques mais la plupart se rapprochent de ceux-l. Par exemple, on parle de risque pays. Si un pays connat une crise trs grave (guerre, rvolution, faillite en cascade, etc.) alors mme les entreprises de confiance, malgr leur crdibilit vont se retrouver en difficult. C'est un risque de contrepartie li l'environnement de la contrepartie.

Communication des entreprises en matire de risques


Pour les entreprises cotes soumises des obligations de communication financire de plus en plus lourdes, les experts estiment avec les autorits boursires que cette communication est arrive "maturit".

Ce thme est systmatiquement abord dans les documents de rfrence, tmoin d'une gestion globale des risques en interne (Enterprise Risk Management). Si la trame varie en fonction du droit applicable l'entreprise, les entreprises franaises cotes Paris suivant la grille de l'Autorit des Marchs Financiers qui dfinit cinq rubriques : 1. 2. 3. 4. 5. risques financiers risques juridiques risques industriels et risques environnementaux autres risques assurances et couvertures de risques

Le degr d'information peut en tous les cas varier suivant la famille de risques considre, le profil sectoriel de l'entreprise, le caractre typique de ses mtiers, produits et services et de ses implantations gographiques. Pour les entreprises non cotes, leur capacit financire sera dtermine souvent la lumire de leur profil de risque dont la trame plus simplifie est assez proche de celle des entreprises cotes.

Les Processus d'implantation du management des risques d'entreprise


Le management des risques contient trois grands processus:

l'evaluation des risques la formalisation des risques l'exploitation des risques

Ces processus permet d'estimer et de transfrer des risques dans le but d'atteindre les objectifs d'une organisation. Ainsi, cette approche prsente des opportunits qui permettent d'exploiter des ventuels avantages concurrentiels. 5 Si ces processus identifient les risques, ils sont utiles aussi pour les valuer.

valuation des risques

Fonction de lvaluation des risques


Lvaluation des risques a comme fonction dexaminer et de dterminer la probabilit doccurrence ou de survenance dun vnement.
5

Cest un processus primordial lors de la

prise de dcision dans une entreprise. Pour valuer correctement un risque il faut galement mesurer l'importance des effets des vnements probables. Ainsi on catgorisera le risque d'un vnement en fonction de sa probabilit doccurrence et de son niveau d'importance. Les risques peuvent tre dus des facteurs externes ou internes.

Les facteurs externes sont les suivants:


facteurs dordre conomique : changement du niveau de comptition, des forces du march, de lconomie facteurs dordre naturel et environnemental : catastrophes naturelles facteurs dordre politique : changement de gouvernement, de lgislation facteurs dordre social : changements dmographiques, de priorits sociales facteurs dordre technologique : virage technologique

Les facteurs internes sont les suivants:


linfrastructure : rparations inattendues, problmes le personnel: accidents de travail, erreurs humaines, grves les processus : problmes de qualit, technologie)

Pour tre capable de bien valuer un risque, le gestionnaire doit tre capable de bien comprendre ce quest une dcision. Une dcision est un choix important effectuer lorsquon fait partie dune entreprise. Tous les gestionnaires doivent savoir comment bien prendre une dcision afin de porter fruit l'entreprise. Un gestionnaire qui prend toujours de bonnes dcisions peut tre considr comme un excellent gestionnaire. Dans le processus de dcision, il faut toujours analyser les avantages et dsavantages du choix entreprendre. De plus, il est aussi important pour le gestionnaire de bien comprendre ce quest un risque. Un risque est une action entreprise par une personne en esprant davoir un gain mais aussi possibilit de perte. Les risques sont importants dans les entreprises puisquils permettent aux gestionnaires de surmonter des dfis. Sans des risques, une entreprise ne peut crotre correctement dans ce monde qui est constamment en volution. Il faut tre capable de bien intgrer la notion de risque ainsi que la notion de dcision pour tre capable de bien valuer les risques dans une entreprise.

Principales tapes
Il y a trois tapes qui sont comprises dans lvaluation des risques :

lidentification des facteurs ; classement par priorit ; classification.

La premire tape de lvaluation des risques, soit lidentification des facteurs, permet de se familiariser avec les facteurs qui pourraient causer un problme lentreprise. C'est dans cette tape que le gestionnaire doit collecter tout l'information pertinente. La deuxime tape consiste bien classer tout linformation pertinente de chaque facteur et les regrouper avec les facteurs de risques concerns. La troisime et dernire tape de lvaluation des risques consiste en classifier linformation dans un schma de classification afin de pouvoir mieux comprendre et analyser les risques de lentreprise. Ce schma va permettre de mieux reconnatre les facteurs de risques dans lentreprise.

La formalisation des risques


La formalisation des risques consiste la deuxime tape du management des risques. Elle permet d'utiliser les mthodes scientifiques comme les mthodes techniques de recherche oprationnelle. Ce processus contient quatre tapes :

modliser les diffrentes sources de risques ; lier les sources des mesures financires ; dvelopper un portfolio des stratgies pour remdier ces risques ; optimiser les investissements avec ce portfolio des stratgies.