Vous êtes sur la page 1sur 2

Zahrane hajar

Le cadre COSO ERM 2017

En septembre 2017, le Comité des organisations de parrainage (COSO)


de la Commission Treadway a publié un cadre de gestion des risques
d'entreprise (GRE) mis à jour, intitulé « Gestion des risques d'entreprise -
Intégration à la stratégie et à la performance », pour aider les chefs
d'entreprise à comprendre et à hiérarchiser les risques qu'ils les
organisations sont confrontées et mesurent l'impact de ces risques sur les
performances de l'entreprise.
Le cadre COSO ERM 2017 s'appuie sur les bases solides du document
précédent, publié en 2004, et intègre mieux la relation entre les risques, la
stratégie et la performance. Chaque élément influence les deux autres, et
essayer de gérer chacun séparément, c'est comme essayer de ramasser
une barre de savon avec les mains mouillées: chaque fois que vous pensez
avoir une poignée dessus, elle vous échappe.
Sur une note plus sérieuse, le COSO ERM souligne également la relation
entre le risque et la valeur. Il élève la discussion sur la stratégie et le risque,
en examinant la possibilité que la stratégie et les objectifs commerciaux ne
soient pas en parfaite adéquation avec la mission, la vision et les valeurs
de l'organisation. Il permet de mieux comprendre les implications des
diverses stratégies envisagées par la direction et les risques qui découlent
de l'exécution d'une stratégie choisie.
La mise à jour du COSO ERM a été conçue pour aider les organisations à
faire face aux risques qui ont augmenté en volatilité et en complexité face
à des pressions réglementaires accrues . Le cadre est conçu pour être
utilisable par des entités de toutes tailles, quel que soit leur secteur
d'activité ou leur situation géographique. Comme l'a souligné le résumé du
COSO , l'adoption du cadre permet au conseil et à la direction de «mieux
comprendre comment la prise en compte explicite du risque peut avoir un
impact sur le choix de la stratégie».
Le cadre COSO GRE se compose de 20 principes qui sont regroupés pour
soutenir l'un des cinq éléments suivants: gouvernance et culture; stratégie
et définition des objectifs; performance; examen et révision; et information,
communication et rapports.
Les composants et leurs principes sous-jacents forment une lentille simple
mais efficace avec laquelle le conseil d'administration et la haute direction
peuvent évaluer leur capacité à lier clairement stratégie, performance et
risques. En tant qu'avantage supplémentaire d'une vision claire et d'un
engagement fort, les organisations sont également susceptibles d'améliorer
leurs capacités de résilience et leur capacité à voir les problèmes et à
prendre le meilleur plan d'action pour les contourner - ou peut-être les
traverser.
Selon le résumé analytique du cadre, «la gestion des risques d'entreprise
permet aux organisations d'anticiper les risques qui pourraient affecter les
performances et de mettre en place les actions nécessaires pour minimiser
les perturbations et maximiser les opportunités.»
En liant fortement la stratégie, la performance et la gestion des risques, le
cadre COSO ERM fournit une feuille de route pour les administrateurs et
les hauts dirigeants afin d'améliorer leur engagement en veillant à ce que
l'entreprise offre une valeur continue face à des risques nouveaux et en
évolution rapide. Le document est écrit pour les chefs d'entreprise et non
pour les experts en cybersécurité, mais chaque énoncé du mot «risque»
peut être remplacé par «cyber-risques» et a un sens parfait pour les chefs
d'entreprise et les directeurs de la sécurité de l'information (RSSI) .
Un rapide coup d'œil sur les 20 principes confirme la forte pertinence de la
GRE COSO pour améliorer la gestion et la surveillance des risques de
cybersécurité, y compris la culture souhaitée, trouver et retenir les talents,
définir l'appétit pour le risque, identifier et évaluer les risques, déterminer
les options risque, culture et performance. Le cadre souligne
spécifiquement la nécessité de veiller à ce que le conseil d'administration
dispose de l'expertise appropriée ou d'un accès à une expertise
externe pour assurer une surveillance efficace des cyberrisques. Un
principe supplémentaire qui se démarque est l'accent mis sur l'amélioration
continue appliquée au processus GRE lui-même.

Vous aimerez peut-être aussi