Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES EN UTILISANT LA NORME ISO 31000

ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES EN UTILISANT LA NORME ISO 31000 Décembre 2010 CRIPP – Guide Pratique 2/24 ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES Sommaire Synthèse ........................................................................................................................................... 3 Introduction ..................................................................................................................................... 5 Le management des risques dans l’organisation .................................................................... 7 Gouvernance ..................................................................................................................... 7 Responsabilités du management des risques ............................................................................. 8 Surveillance et assurance ...................................................................................................... 8 L’audit interne et le management des risques ........................................................................ 11 Revue du management des risques par l’audit interne ........................................................ 13 Les activités d’assurance relatives au processus de management des risques ................................. 14 Les activités d’assurance relatives aux risques significatifs et aux affirmations du management .......... 14 Le suivi du plan de traitement des risques ............................................................................... 15 Obtenir des preuves d’audit ....................................................................................................... 16 Assurance sur le processus de management des risques ..................................................... 19 L’approche par les éléments du processus .............................................................................. 19 L’approche par les principes clés .......................................................................................... 20 L’approche par le modèle de maturité ................................................................................... 21 Évaluer la qualité de la documentation portant sur le management des risques ........... 23 Auteurs ........................................................................................................................................... 24 Relecteurs et contributeurs .......................................................................................................... 24 Réviseurs pour la traduction française .................................................................................... 24 De nombreuses organisations s’engagent dans une approche cohérente et globale du management des risques. Celui-ci est considéré comme un processus de pilotage qui doit être pleinement intégré au manage- ment de l’organisation et être applicable à tous les niveaux : à un niveau global, au niveau des fonctions et au niveau des unités opérationnelles. Le cadre organisationnel de management des risques doit être conçu pour s’adapter à l’organisation, c’est-à- dire à son environnement interne et externe. Pour un management des risques efficace, ce cadre devra comporter des éléments incontournables quels que soient la taille et l’objectif de l’organisation. Le présent guide détaille trois manières de donner une assurance sur le processus de management des risques : l’ap- proche processus ; l’approche fondée sur les principes de management des risques et le modèle de maturité. Les activités qui permettent de donner une assurance devront être ajustées aux besoins de l’organisation. 3/24 CRIPP – Guide Pratique Synthèse Commentaire IFACI Les activités d’assurance (« assurance ») permettent d’attester que les opérations et les processus de l’or- ganisation sont conçus, réalisés et maîtrisés confor- mément aux instructions de ses organes dirigeants et de ses parties prenantes. Comme indiqué dans la MPA 2050-2, différents prestataires internes ou externes (commissaires aux comptes, auditeurs qualité, auditeurs HSE, anima- teurs des auto-évaluations, services fonctionnels – DRH, DSI, directions juridiques, responsables de la conformité, risk managers, auditeurs internes, etc.) peuvent fournir une assurance sur la conformité et l’efficacité des dispositifs d’une organisation. Ces prestataires se distinguent en fonction : de leur positionnement et donc de leur degré d’in- dépendance ; des destinataires de leurs opinions (management opérationnel, direction générale, Conseil, parties prenantes extérieures) ; de la méthode utilisée pour garantir l’objectivité de leurs opinions ; de leur périmètre d’intervention (métier, zone géo- graphique, entité juridique, groupe…). Parmi ces prestataires, l’audit interne se distingue par son indépendance par rapport aux activités contrôlées. En effet, le positionnement au plus haut niveau de l’organisation donne à l’audit interne une vue d’ensemble des processus et des risques tout en étant un interlocuteur privilégié des instances diri- geantes. Ainsi, selon le glossaire des Normes inter- nationales, les activités d’assurance de l’audit interne se traduisent par un examen objectif d’élé- ments probants, effectué en vue de fournir une évaluation indépendante des processus de gouvernement d’entreprise, de management des risques et de contrôle. La prise de position de l’IFACI sur l’urbanisme du contrôle interne illustre les différents niveaux de pres- tation d’assurance. Dans leurs préconisations pour l’application de l’article 41 de la 8ème directive européenne (Directive 2006/43/CE), l’ECIIA et le Ferma propose l’adoption d’un modèle comportant 3 lignes de défense : En tant que première ligne de défense, le ma- nagement est propriétaire des risques. Il a donc la responsabilité de les évaluer et de les gérer. Il doit rendre compte de ces activités à la di- rection générale. En tant que seconde ligne de défense, le risk management (ainsi que les autres fonctions Les auditeurs internes devraient utiliser des méthodes d’évaluation de l’efficacité du management des risques dans l’organisation, notamment en examinant des caractéristiques du processus de management des risques. Ces règles doivent être pertinentes, fiables, compréhensibles et exhaustives. La consolidation de ces observations permettra à l’auditeur de déterminer la maturité du management des risques de l’organisation. Les auditeurs internes doivent en particulier évaluer si le cadre en place est à même de promouvoir une approche globale et systématique du management des risques. La qualité du processus de management des risques s’améliore au fil du temps. En effet, il faut souvent plusieurs années pour instaurer un management efficace des risques et aboutir à un véritable « ERM » (Entreprise Risk Management ou management des risques de l’entreprise). Ce guide pratique s’appuie sur la norme ISO 31000 « Management du risque, principes et lignes direc- trices, version 2009 », pour définir le cadre organisa- tionnel de management du risque. D’autres cadres ou référentiels peuvent être utilisés pour l’évaluation des risques. Le présent guide n’implique pas l’adoption implicite ou explicite de la norme ISO 31000 ou de tout autre référentiel. 4/24 ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES support telles que la conformité ou la qualité) facilite et surveille la mise en œuvre de la ges- tion des risques par le management. Il assiste ces propriétaires des risques dans la remontée d’informations adéquates sur les risques à tous les niveaux de l’organisation. En tant que troisième ligne de défense, l’audit interne fournit, à partir d’une approche fondée sur les risques, une assurance au Conseil et à la direction générale sur l’efficacité de l’évalua- tion des risques et sur leur gestion, y compris le fonctionnement de la première et de la seconde ligne de défense. Cette activité d’assurance re- couvre tous les éléments du cadre organisa- tionnel de management des risques (identification des risques, évaluation des risques et suites données à ces informations). Le management des risques est de plus en plus reconnu comme l’une des composantes essentielles d’une bonne gouvernance. Des pressions s’exercent sur les organisations pour identifier les risques significatifs auxquels elles sont confrontées (les risques sociaux, déontologiques et environnementaux, mais aussi les risques stratégiques, financiers et opérationnels) et expliquer comment elles les gèrent. L’utilisation de cadres de management des risques à l’échelle de toute l’entreprise (ERM) se développe au fur et à mesure que les organisations prennent conscience des avantages d’approches coordonnées. Le glossaire des Normes internationales pour la pratique professionnelle de l’audit interne (les Normes) définit le management des risques comme « un proces- sus visant à identifier, évaluer, gérer et piloter les événe- ments éventuels et les situations pour fournir une assurance raisonnable quant à la réalisation des objec- tifs de l’organisation »1. Un cadre complet de mana- gement des risques explicite l’enchaînement et les relations entre les objectifs, la stratégie et son déploie- ment, les risques, les contrôles et le processus d’assu- rance à tous les niveaux de l’organisation. On parle couramment de management des risques de l’entreprise (ERM) ou, de façon plus appropriée, de management des risques à l’échelle de l’entreprise. Le COSO (Committee of Sponsoring Organizations of the Treadway Commission) en donne la définition suivante : « un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation »2. Selon la norme ISO 31000 (section 4.1), « le succès du management du risque va dépendre de l'efficacité du cadre organisationnel de management qui fournit les bases et les dispositions permettant son intégration à tous les niveaux de l'organisme3 ». On entend par « cadre de management du risque » les composantes et l’organisation du management du risque au sein d’une entité. La Norme 2120 indique que « l'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration ». L’interpréta- tion de ce principe est présentée ci-après. « Interprétation : Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s’assurer que : 5/24 CRIPP – Guide Pratique Introduction 1 Cette définition correspond à celle que donne l’Organisation internationale de normalisation (ISO) : « activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque » (Guide ISO 73, 2009, définition 2.1) 2 Le management des risques de l’entreprise – COSO Report II, IFACI – PriceWaterhouseCoopers, octobre 2005 (page 5) 3 © ISO. Extrait soit de la norme ISO 31000:2009, soit du Guide ISO 73:2009, reproduit avec l’aimable autorisation de l’American National Standards Institute (ANSI) pour le compte de l’Organisation internationale de normalisation (ISO). Aucune partie ne peut en être copiée ni reproduite, sous quelque forme que ce soit, avec un système d’extraction uploads/Management/evaluer-l-adequation-du-management-des-risques.pdf