avec la gestion du risque d`entreprise
Transcription
avec la gestion du risque d`entreprise
Aller de l’ a vant avec la gestion du risque d’entreprise Se an de l a Ro sa, DCom(UP), CIA, CISA, CCSA DIRECTEUR DES SOLUTIONS RELATIVES A LA GESTION DU RISQUE D’ENTREPRISE - IQ BUSINESS GROUP (PTY) LTD. D EPUIS LES ORIGINES DE SON ASSURANCE, la gestion du risque d’entreprise s’est développée pour devenir une fonction de gestion à part entière progressant dans des secteurs commerciaux En travaillant ensemble, les directeurs de gestion du risque et les auditeurs internes peuvent guider leur organisation pour contourner les pièges de la gestion du risque d’entreprise. qui à l’origine étaient perçus comme distincts. Cette évolution vers une formule quantitative du risque reconnaît que les risques sont en corrélation et qu’il est possible de bénéficier d’avantages substantiels de l’évaluation et de la surveillance du risque à travers une organisation. Ces dernières années, les organisations ont institué en tant que meilleure pratique un apport plus important d’informations dans les rapports d’entreprise quant à leur progression dans la mise en ouvre de la gestion du risque d’entreprise. Ces organisations démontrent comment la gestion du risque est intégrée dans leur structure organisationnelle et 1 j u i n 2 0 0 7 I n t e r n a l Au d it o r son interface avec les activités d’assurance comme l’audit interne. Les secteurs dévoilés dans le rapport d’entreprise sur la gestion du risque d’entreprise incluent notamment : La définition de la façon dont la gestion du risque d’entreprise est liée aux structures des meilleures pratiques n internationales. L’explication du rôle du directeur de gestion du risque de l’organisation. n La proposition d’une explication globale sur le processus de la gestion du risque d’entreprise dans le contexte de n la configuration stratégique. Le récapitulatif de l’ensemble des objectifs commerciaux en parallèle avec les facteurs de risques n externes et internes. L’apport d’informations sur la technique de quantification pour chaque catégorie de risque et les détails associés n aux domaines et aux indicateurs de performance clé. La disposition des ambitions et des plages de tolérance de l’organisation en matière de risques pour les n objectifs stratégiques. 2 En tant que maître du processus de gestion du risque d’entreprise, le directeur de gestion du risque joue un rôle clé en regroupant les processus de gestion du risque disparates pour assurer que les ressources limitées de la société sont efficacement appliquées (consultez la section « Les principales obligations du directeur de gestion du risque » page 3). D’après l’Enterprise Risk Management–Integrated Framework du Comité des organisations de tutelle de la commission Treadway (COSO), le rôle du directeur de gestion du risque consiste à travailler avec d’autres directeurs pour établir une gestion efficace du risque, surveiller l’évolution et assister les autres directeurs dans leurs rapports sur les informations pertinentes relatives au risque à travers l’organisation. Les auditeurs internes doivent travailler avec le directeur de gestion du risque dans le cadre de leurs responsabilités en termes de gestion du risque. Dans ce rôle, les auditeurs internes sont chargés d’évaluer l’exactitude du rapport sur la gestion du risque d’entreprise et de fournir des recommandations indépendantes et à valeur ajoutée à la direction quant à son approche de la gestion du risque d’entreprise. Les Normes Internationales de l’IIA pour la pratique professionnelle de l’audit interne spécifient que la portée de l’audit interne doit englober la gestion du risque et les systèmes de contrôle. Ceci inclut l’évaluation de la fiabilité de l’efficacité des rapports, du rendement des opérations et de la conformité aux lois et réglementations. I n t e r n a l Au d it o r j u i n 2 0 0 7 RÉFÉRENCES DE LA GESTION DU RISQUE D’ENTREPRISE Des tentatives pour lancer la gestion du risque d’entreprise dans certaines organisations ont échoué ou connu des revers qui entravent la réalisation des bénéfices escomptés. L’une des principales causes est le manque d’adhésion de la part des cadres supérieurs et des comités de surveillance, comme les comités d’audit. D’autres causes sont notamment : n Le manque de connaissances théoriques en matière de gestion du risque d’entreprise. n Une approche mal personnalisée de la gestion du risque d’entreprise. n Une configuration incorrecte ou incomplète des structures de surveillance pour soutenir l’initiative de la gestion du risque d’entreprise, comme un comité d’administration du risque dans les cas où le comité d’audit n’est pas responsable de la fonction de gestion du risque d’entreprise. n Une politique médiocre au sommet, incluant une culture éthique et un manque de stratégies commerciales formalisées. n Des ressources financières et humaines insuffisantes pour soutenir la mise en oeuvre et la maintenance du processus de la gestion du risque d’entreprise. n Incapacité à maintenir l’élan du projet de mise en oeuvre de la gestion du risque d’entreprise au-delà de la première année. n Définition floue du langage de la gestion du risque d’entreprise. n Supervision inefficace des consultants. GARDER UNE GESTION DU RISQUE D’ENTREPRISE SIMPLE AU DEPART. Avec tout le battage sur les erreurs de gouvernance d’entreprise et le besoin de plus de transparence, beaucoup d’organisations affectent de grosses quantités de ressources pour lancer ou accélérer des projets de gestion du risque d’entreprise. Certaines de ces organisations ont les yeux plus gros que le ventre, ce qui entraîne une perte de concentration et l’incapacité d’identifier les secteurs aux victoires rapides.Les cadres supérieurs doivent assurer que l’initiative de gestion du risque d’entreprise se concentre sur les principaux risques au cours de sa phase de développement initial. Cela revient à permettre à la discipline de gestion du risque d’entreprise de maîtriser les fondamentaux avant de lancer un plan triennal de projet majeur de gestion du risque d’entreprise par exemple. Les auditeurs internes doivent informer la direction de la nécessité pour l’approche de la gestion du risque d’entreprise d’être « globale», avec le cadre supérieur identifiant les principaux problèmes liés aux objectifs stratégiques clé. Ils doivent recommander que les directeurs se familiarisent avec la théorie de la gestion du risque d’entreprise et qu’ils comprennent sa finalité et dans quelle mesure elle leur fournit un avantage compétitif. Il peut être utile d’obtenir qu’un consultant externe dispense cette formation. Deuxièmement, à travers des sessions facilitées manuellement et un bon débat, Aller de l’avant avec la gestion du risque d’entreprise la gestion doit identifier ses 20 à 40 risques les plus majeurs. Bien que beaucoup de logiciels de gestion du risque d’entreprise soient disponibles, comme le fait remarquer un adage commercial : « si vous automatisez un désordre, vous obtenez un désordre automatisé ». Pour éviter de mal utiliser l’automatisation, les organisations doivent avoir en place une approche efficace et flexible de la gestion du risque d’entreprise avant de mettre le logiciel en oeuvre. De plus, l’équipe de gestion doit adhérer à cette approche avant de s’embarquer dans la mise en oeuvre. Ce n’est qu’une fois que l’équipe de direction possède de toute évidence une compréhension de la gestion du risque d’entreprise que le logiciel doit être envisagé. Dans l’idéal, cela n’arrive pas dans la première année d’un déploiement de gestion du risque d’entreprise. De plus, les auditeurs internes doivent assurer que toute mise en oeuvre de logiciel de gestion du risque d’entreprise est suffisamment flexible pour prendre en charge le langage commun unique de gestion du risque d’entreprise de l’organisation et que la fonctionnalité des rapports puisse être personnalisée pour s’adapter aux besoins des parties prenantes de l’organisation. PLANIFIER De nombreuses organisations s’embarquent dans la gestion du risque d’entreprise sans définir leur situation actuelle et ce qu’elles souhaitent accomplir. L’encadrement supérieur doit se référer à son directeur de la gouvernance d’entreprise pour élaborer un modèle de maturité qui permette de mesurer l’état des pratiques en matière de gestion du risque d’entreprise et ce qu’impliquerait le chemin à parcourir pour l’améliorer. De plus, la direction doit s’assurer que les consultants qui assistent la mise en oeuvre de la gestion du risque d’entreprise possèdent une expérience professionnelle dans le secteur d’activité de l’entreprise. Les auditeurs internes peuvent suggérer que la direction utilise un modèle de maturité de gestion du risque d’entreprise pour évaluer l’état et les attentes de l’organisation dans ce domaine. L’évaluation de la maturité de l’organisation provient généralement de sessions organisées avec diverses équipes de dirigeants ou d’entretiens individuels. Il est important que le comité d’audit ou de gestion du risque vérifie que la direction comprend facilement le modèle de maturité choisi et que ce dernier aborde les principaux composants des cadres de référence en termes de gestion du risque d’entreprise. Les secteurs généralement couverts par les modèles de maturité incluent : L’équipe de cadres supérieurs doit se référer à son directeur de gouvernance d’entreprise pour fournir un modèle d’échéance qui permette de jauger l’état des pratiques en matière de gestion du risque d’entreprise et les implications de la feuille de route pour l’amélioration. n La perception du leadership au sein de l’organisation. n Le style de management (par ex. : style bureaucratique contre management libre). n Le comportement des employés par rapport au changement. n L’alignement des objectifs de l’activité sur les risques et les plans d’action. n La maturité de la gestion du risque au sein de l’organisation. n Les lacunes en termes de ressources humaines et la mesure de la répartition entre tous les employés, des rôles et des responsabilités en matière de gestion du risque. n L’étendue de la communication et de la formation sur la gestion du risque d’entreprise. n La rigueur du pilotage et de la surveillance par la direction des employés et des comités. Les principales obligations du directeur de gestion du risque Les directeurs de gestion du risque jouent une variété de rôles dans le processus de gestion du risque d’entreprise d’une organisation. L’Enterprise Risk Management– Integrated Framework du COSO et d’autres cadres de référence fournissent des directives sur ce qu’implique les principales obligations du directeur de gestion du risque : n Superviser la fonction de gestion du risque d’entreprise et incarner le maître absolu du processus de gestion du risque. n Agir en tant qu’accompagnateur de la direction en l’aidant à concevoir et à mettre en oeuvre une architecture de gestion du risque adaptée et en contrôlant régulièrement le caractère approprié et l’efficacité de tels systèmes. nSurveiller le profil de risque à l’échelle de l’organisation et s’assurer que les principaux risques sont identifiés et qu’ils font l’objet d’un rapport ascendant. nS’assurer de l’appropriation adéquate de la gestion du risque par les responsables opérationnels et d’une supervision efficace par les équipes de direction. nValider que la gestion du risque d’entreprise fonctionne dans chaque unité conformément à la politique et à la structure de la gestion du risque. nServir de conseiller et de partenaire au président directeur général (PDG), au directeur financier et au directeur de l’exploitation sur les problèmes liés à la gestion du risque. n Assister les auditeurs internes et externes à se baser sur ce que produit la gestion du risque d’entreprise pour les besoins de planification et de réalisation d’audit. n Assister le conseil dans l’accomplissement de ses responsabilités en matière de gouvernance d’entreprise. n Accompagner le déroulement du processus approuvé de gestion du risque. n Faciliter, remettre en question et orienter l’approche intégrée de la gestion du risque d’entreprise. nLe directeur de gestion du risque peut avoir autorité pour gérer une sélection de types de risques importants. nIl fait partie du comité de gestion du risque et rend des comptes au PDG ou à un autre membre du conseil. La complexité de l’approche de gestion du risque d’entreprise dépendra du niveau de maturité en matière de gestion du risque d’entreprise de l’organisation. En conséquence, le rôle que l’on attend du directeur de gestion du risque doit correspondre au niveau de maturité en matière de gestion du risque d’entreprise souhaité. j u i n 2 0 0 7 I n t e r n a l Au d it o r Une fois que le directeur de la gouvernance d’entreprise a rassemblé les informations sur ce que pense la direction quant à son approche actuelle en matière de gestion du risque et sur ce qu’elle souhaite atteindre, il est possible de mettre à jour l’approche formalisée de gestion du risque d’entreprise. Beaucoup d’organisations pensent qu’il est nécessaire d’atteindre les niveaux de maturité de gestion du risque d’entreprise les plus avancés, mais ne n’est pas faisable. Les auditeurs internes doivent rappeler à la direction que les niveaux de maturité de gestion du risque d’entreprise les plus avancés nécessiteront d’importantes ressources financières et humaines. Les organisations doivent rechercher un équilibre entre la performance et de bonnes mesures de gouvernance d’entreprise. SAVOIR cE QUI EST IMPORTANT. A notre époque où la surabondance d’informations se manifeste partout, les présidents directeurs généraux (PDG) doivent s’assurer que les problèmes les plus importants font l’objet d’un temps de discussion suffisant au cours des réunions stratégiques et au cours d’autres réunions de la direction. Souvent, les ordres du jour des réunions de la direction comprennent des éléments de nature trop tactique ou opérationnelle. Ceci fait perdre de vue la perspective générale et les problèmes qui nécessitent un débat stratégique. La structuration des ordres du jour des réunions autour des 10 à 20 risques majeurs doit garantir que les problèmes stratégiques importants sont traités. Les informations produites par un logiciel de gestion du risque d’entreprise bien structuré et mis à jour peuvent aider à s’assurer que les problèmes opérationnels et / ou secondaires ne figurent pas sur la liste des priorités des dirigeants. Les auditeurs internes doivent s’assurer que le directeur se base sur les informations produites par le processus de gestion du risque d’entreprise pour gérer l’organisation de manière plus efficace. Les informations produites par le processus de gestion du risque d’entreprise doivent être coordonnées de façon à promouvoir la précision et la complétude des résultats. Les auditeurs doivent également s’assurer que les conclusions tirées par les dirigeants concernés à partir des informations produites par le processus de la gestion du risque d’entreprise sont solides et relativement similaires à l’opinion de l’audit interne à propos des mêmes activités ou processus. LE DIRECTEUR DE GESTION DU RISQUE Les responsabilités en matière de gestion du risque d’entreprise au sein des organisations sont de plus en plus délimitées. De plus en I n t e r n a l Au d it o r j u i n 2 0 0 7 plus couramment, les organisations désignent officiellement un directeur de gestion du risque dans leurs chartes. Un avantage clé du fait d’avoir un directeur de gestion du risque est la capacité d’étendre la gestion du risque pour englober une gamme plus large de problèmes de risques. Toutefois, les organisations ont peu de chances de trouver un directeur de gestion du risque qui possède une expertise totale allant de la gestion du risque financier, des risques légaux ou des risques spécifiques en rapport avec les différents marchés. Un directeur de gestion du risque gestion du risque dans l’organisation et il minimise la duplication des efforts à travers les diverses activités d’assurance au sein de l’entreprise. A l’avenir, le principal rôle du directeur de la gestion du risque consistera à assurer une conformité réglementaire, suivie du besoin d’identifier et de surveiller efficacement les risques dans les marchés émergeants. Le rapprochement des aspects qualitatifs et quantitatifs des risques, soutenu par des modèles solides basés sur les données relatives aux pertes passées, prendra également de l’importance. Le directeur de gestion du risque doit être le ciment qui relie toutes les activités de gestion du risque dans l’organisation et il minimise la duplication des efforts à travers les diverses activités d’assurance au sein de l’entreprise. talentueux doit être un véritable généraliste et un fervent défenseur du travail d’équipe et de la communication. Bien que le rôle du directeur de gestion du risque puisse sembler passionnant, il possède ses propres défis uniques. Les directeurs de gestion du risque doivent penser de manière stratégique avant d’engager l’organisation dans une démarche de gestion du risque d’entreprise. De plus, ils doivent compléter ces caractéristiques par des qualités comme : n Une conscience du risque bien développée. n Une compréhension efficace des principaux processus de l’organisation. n U n d i p l ô m e d ’ é t u d e s u n i v e r s i t a i r e s supérieures et une formation adaptée pour suivre les évolutions du domaine de la gestion du risque. n Des compétences relationnelles, comme la capacité d’interagir à différents niveaux de la direction et des opérations. n Une expertise en termes de facilitation. n Des connaissances financières, comptables et en assurance. En travaillant étroitement avec le directeur de gestion du risque, les directeurs d’audit peuvent s’assurer d’être au courant des nouveaux domaines dans lesquels le risque est élevé et des défaillances de contrôles importants précédemment considérés comme efficaces. Pour formaliser cette relation, il peut être utile que les auditeurs internes se réunissent fréquemment avec les responsable de la gestion du risque d’entreprise de l’organisation et que la direction de l’audit participe aux réunions de la direction sur la gestion du risque. Pour finir, le directeur de gestion du risque doit être le ciment qui relie toutes les activités de UN PORTEFEUILLE DE RISQUES L’encadrement supérieur doit considérer la gestion du risque d’entreprise comme une discipline qui consolide des approches disparates de gestion du risque à travers une organisation et qui permet à la direction de percevoir le risque dans une perspective de portefeuille. Qu’il s’agisse de risque opérationnel, de marché ou de crédit, ce n’est que lorsque l’ensemble de ces domaines de risque sont rassemblés que la direction peut déterminer les problèmes les plus urgents pour l’organisation et les types de ressources qu’il est nécessaire d’allouer pour traiter les défis potentiels. L’audit interne ajoute de la valeur au processus de gestion du risque d’entreprise dans deux domaines clé. Premièrement, les auditeurs peuvent, selon les besoins, garantir au comité d’audit et à l’équipe de cadres dirigeants que le processus de gestion du risque d’entreprise est efficace et qu’il est conforme à l’approche acceptée par tous. Deuxièmement, l’audit interne peut utiliser les informations produites par le processus de gestion du risque d’entreprise pour développer son plan d’audit en fonction des risques et pour identifier les secteurs à haut risque qui émergeraient au cours de l’année. Pour tout commentaire sur cet article, envoyez un courriel à l’auteur à l’adresse [email protected]. Cet article de Internal Auditor, l’édition le 2007 juin, est publié avec la permission de l’éditeur, The Institute of Internal Auditors. L’article a été traduit de l’anglais à français