Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Cahier de recherche 2015-04 Les meilleures pratiques en matière de gestion de

1 Cahier de recherche 2015-04 Les meilleures pratiques en matière de gestion des risques opérationnels : une approche actuelle. Jaime Leonardo Henriques Audit, Risk manager, Prudential Brésil Hanen Khemakhem Ph.D. Université du Québec (Montréal), École des sciences de la gestion, 315 est Ste-Catherine, R- 4570, Montréal, Québec; Chaire d’information financière et organisationnelle, ESG-UQAM. Juin 2015 2 Les meilleures pratiques en matière de gestion des risques opérationnels : une approche actuelle 1. Introduction Traités auparavant comme des risques résiduels, les risques opérationnels sont devenus une catégorie de risque propre et règlementée d’abord par le secteur bancaire (Formule de Bâle II, 2004) et, ensuite, par le secteur européen d’assurance (Solvabilité II, 2009). Le COSO II, lancé en 2004, a procuré aux sociétés un modèle de gestion intégrée des risques plus robuste, y compris le risque opérationnel, ce qui protège et améliore la valeur de l’entreprise en permettant l’identification, l’évaluation et la gestion des risques selon le niveau de risque qu’elle est prête à accepter. D’abord, on met en lumière les définitions de risque et de gestion des risques et l’importance de la définition de l’appétence au risque, ainsi que les approches et les techniques les plus utilisés en matière de gestion des risques, de risques opérationnels et de mappage de risques. Selon le grand dictionnaire terminologique (GDT) de l’office québécois de la langue française, l’exposition à un risque est définie comme « le fait d’être en situation d'assumer ou de subir un risque »1.Quant à lui, COSO2 (2004) a défini le risque comme un évènement qui empêche ou mine la création de valeur d’une entreprise. Dans le monde des affaires, l’interprétation du risque ne repose pas seulement sur cette vision strictement négative. Selon le standard ISO3 31000 (2009), « le risque, c’est la conséquence de la définition et de la poursuite des objectifs ciblés par la société dans un environnement incertain.» Encore selon ce standard, le 1 Article tiré du Dictionnaire de la comptabilité et de la gestion financière, version 1.2, reproduit sous licence. 2 COSO – “Committee of Sponsoring Organizations of the Treadway Commission” 3 ISO – “International Organization for Standardization” 3 risque n’est ni positif ni négatif; il s’agit tout simplement des conséquences des expériences d’une société, ceux qui peuvent apporter des pertes ou des gains. Cette définition est corroborée par Naciri (2011). Selon cet auteur, les évènements qui se produisent dans une société peuvent influencer son résultat positivement ou négativement. Donc, le risque d’affaires est associé à l’incertitude qui caractérise les résultats de la société selon son secteur d’activité. Des facteurs internes et externes de risque peuvent générer des résultats négatifs à une entreprise, comme la situation économique ou des faiblesses opérationnelles. Aussi, des résultats positifs peuvent ressortir lors de l’identification et de la mise en pratique d’opportunités reliées aux objectifs, à la stratégie et à l’appétence au risque de l’entreprise. Donc, afin de préserver leur pérennité, les entreprises doivent être en mesure de mitiger leurs expositions aux facteurs internes et externes de risque les affectant négativement, ainsi que profiter des opportunités de création de valeur pour atteindre ou dépasser leurs objectifs. La gestion des risques vise justement à mitiger ces expositions aux facteurs de risque. Selon Naciri (2011), la capacité de traiter le risque en termes quantifiables est une des forces de la gestion moderne. 2. L’appétence au risque et l’établissement d’une politique de gestion des risques Selon Knight et Pretty (2000), afin d’évaluer des risques et de prendre des décisions de la meilleure façon possible, il faut que des sociétés déterminent leur appétence au risque pour des fins de protection ainsi que pour qu’ils créent de la valeur. Cette appétence définit la tolérance au risque que l’entreprise est prête à accepter, ainsi que les dispositions avec lesquelles ils seront traités. Encore selon ces chercheurs, la tolérance aux risques guidera les gestionnaires lors de l’établissement de la stratégie et des objectifs de l’entreprise, où des traitements d’évitement, de réduction, de partage ou d’acceptation des risques seront mis en pratique afin d’assurer les résultats attendus. L’appétence au risque entrainera une politique du risque où, selon Knight et Pretty (2000), le facteur clé sera l’assurabilité des valeurs tangibles et intangibles de l’entreprise. Cette politique définira les risques comme assurables (transfert au marché et capacité de se prémunir à court terme) et non assurables (gestion 4 stratégique). Cette politique traite d’un certain nombre d’aspects et définit les paramètres de mise en œuvre qui seront appelés «principes directeurs». Le COSO a lancé en 2012 un document appelé « Understanding and Communicating Risk Appetite » où il définit l’appétence au risque comme le montant de risque, à un niveau général, qu’une société est prête à accepter lors de la poursuite de création de valeur. Ce document sert à aider les sociétés à créer et à communiquer de façon claire leur appétence au risque, ce qui les aidera à déterminer et poursuivre leurs objectives selon les risques qu’elles sont prêtes à accepter. 3. La gestion des risques 3.1 Définition et historique Selon le Secrétariat du Conseil du Trésor du Canada (2010), la gestion du risque est « une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension, le règlement et la communication des questions liées aux risques.» Cet organisme a aussi définit la gestion intégrée des risques comme : « une démarche systématique, continue et proactive visant à comprendre, à gérer et à communiquer les risques du point de vue de l'ensemble de l'organisation. Elle favorise la prise de décisions stratégiques qui contribuent à l'atteinte des objectifs globaux de l'organisation ». Le standard ISO 31000 (2009) définit la gestion de risques comme « un processus d’optimisation qui fait l’accomplissement des objectifs plus probable ». L’ISO est l’acronyme abrégé de « organisation mondial de normalisation ». C’est le premier producteur de normes internationales d'application volontaire dans le monde. Élaborées dans le cadre d'un consensus mondial, elles aident à supprimer les obstacles au commerce international. En 2009, cet organisme a publié l’ISO 31000-2009, une norme globale sur la gestion des risques, avec le but de fournir une façon plus simple de penser les risques et leur gestion, tout en réglant les incohérences et les diverses ambiguïtés existant aujourd’hui à cause des différentes approches et définitions (Purdy, 2010). 5 Le COSO 2 (2004) définit la gestion intégrée des risques comme « le processus appliqué dans la stratégie et à travers les activités de la société relevant du conseil d’administration, des dirigeants, des cadres et du personnel de la société. Ce processus vise à identifier les événements potentiels qui peuvent affecter la société et gérer les risques selon sa tolérance pour fournir une assurance raisonnable quant à la réalisation des objectifs corporatifs.» Le COSO est l’acronyme de « Committee of Sponsoring Organizations ». C’est une organisation sans but lucratif du secteur privé qui sert à guider les entreprises vers une gestion d’affaires efficiente, efficace et éthique. Au début des années 90, le COSO a diffusé le système d’évaluation des contrôles internes (COSO 1), ce qui est devenu le référentiel des entreprises suite à la promulgation de la loi SOX4 aux États-Unis. Ce référentiel traite le contrôle interne comme un moyen de certifier l’efficience et l’efficacité des opérations, la fiabilité des informations financières et la conformité de l’entreprise aux règlements et lois existants. L’an 2001 marque le départ du nouveau projet de la commission : le COSO 2. Ce nouveau projet visait le développement d’un outil de gestion intégrée des risques plus robuste qui permettait aux entreprises l’identification, l’évaluation et la gestion de leurs risques selon leur niveau de tolérance. En 2004, le COSO (Committee of Sponsoring Organizations) a lancé un cadre modèle de la gestion intégrée des risques, ce que l’on appelle COSO 2. Selon le COSO (2004), il ne remplace pas le système des contrôles internes. En fait, il l’incorpore afin de donner les résultats les plus solides possible. Ce modèle est un outil de gestion intégrée des risques plus robuste qui protège et améliore la valeur de l’entreprise en permettant l’identification, l’évaluation et la gestion des risques selon le niveau de risque qu’elle est prête à accepter (tolérance au risque). Le modèle de gestion intégrée des risques des entreprises (COSO 2, 2004) repose sur huit éléments inter reliés directement attachés aux objectifs de la société: l’environnement interne, la fixation des objectifs, l’identification des événements, l’évaluation des risques, le traitement des risques, les activités de contrôle, l’information et communication et le pilotage. Ces huit éléments constituent un critère d’efficacité de la gestion des risques au moment où ils sont mis en pratique efficacement par la gestion de la société. 4 Sarbanes-Oxley Act, 2002. 6 3.2 Les intervenants dans le processus de la gestion des risques Selon le COSO 2 (2004), la gestion intégrée des risques est « le processus appliqué dans la stratégie et à travers les activités de la société relevant du conseil d’administration, des dirigeants, des cadres et du personnel de la société ». - Rôle du conseil d’administration La séparation entre la propriété uploads/Management/ management-des-risques-pour-debutant.pdf