Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

59 LA REVUE COMPTABLE ET FINANCIÈRE N° 85 - TROISIÈME TRIMESTRE 2009 . CONTRÔLE

59 LA REVUE COMPTABLE ET FINANCIÈRE N° 85 - TROISIÈME TRIMESTRE 2009 . CONTRÔLE INTERNE Le cadre de gestion des risques du COSO 2 Report (2004) s'appuie sur le cadre de contrôle interne (COSO 1, 1992), corrige et complète le concept de contrôle interne en élargissant la réﬂexion sur un thème plus global de gestion des risques. Ainsi, en englobant le contrôle interne, the enterprise Risk Management - Integreted Framework vise à répondre aux besoins des entreprises et organisations en contrôle interne tout en leur permettant d'évoluer vers un processus de management des risques plus développé. Le postulat de base dans le concept de management des risques est la détermination du degré d'incertitude acceptable aﬁn d'optimiser la création de valeur. En effet, l'incertitude est une donnée intrinsèque à la vie de toute entreprise. Elle est source de risques et d'opportunités susceptibles de créer ou de détruire de la valeur. Le COSO 2 déﬁnit le risque comme étant la possibilité qu'un événement survienne et nuise à l'atteinte d'objectifs alors qu'une opportunité est la possibilité qu'un événement survienne et contribue à l'atteinte d'objectifs. Les présidents de PWC et de l'IFACI précisent en préface à l'édition française du COSO 2 (page VIII) que «la prise en compte des opportunités et menaces doit irriguer l'organisation, de la ﬁxation de sa stratégie jusqu'à la conduite quotidienne des opérations. La politique de management des risques doit être largement partagée pour éviter toute surexposition non souhaitée, et les dispositifs en place doivent faciliter un pilotage global des risques qui embrasse Le cadre de management des risques de l'entreprise (COSO 2) les complexités métiers, géographiques et juridiques de l'entité. Ici, comme ailleurs, les maître-mots sont anticipation, réactivité et ﬂexibilité». Section 1. Les concepts de management des risques Le dispositif de management des risques s'intègre dans le processus de management global et intègre le contrôle interne. Le cadre COSO de management des risques déﬁnit les concepts d'incertitude de création de valeur, d'événements, de risques et d'opportunité pour introduire une déﬁnition du management des risques. § 1. Dispositif de management des risques et processus de management global Le dispositif de management des risques est intégré au processus de management global de l'organisation mais toutes les actions accomplies par le management ne constituent pas un élément du dispositif de gestion des risques. Ainsi, les notions de jugement et d'appréciation servant à la prise de décision, qui sont une partie intégrante du processus de management global, ne relèvent pas du dispositif de management des risques. Le COSO 2 précise : «qu'en règle générale, le dispositif de management des risques intègre des éléments du processus du management global qui permettent à la direction de prendre des décisions avisées. Toutefois, le fait que des bons choix ont été faits ne permet pas de conclure que le dispositif est efﬁcace. Par ailleurs, si les objectifs spéciﬁques, les modes de traitement des risques et les activités de contrôle sélectionnées relèvent de l'appréciation et du jugement de la direction, les choix doivent se traduire par Présenté par Abderraouf YAICH 60 LA REVUE COMPTABLE ET FINANCIÈRE N° 85 - TROISIÈME TRIMESTRE 2009 . une diminution des risques à un niveau acceptable, correspondant à l'appétence de l'organisation pour le risque, et doivent donner une assurance raisonnable que les objectifs de celle-ci seront atteints». § 2. Objectifs du management des risques Toute organisation détermine ses objectifs stratégiques dans le cadre de sa mission et de sa vision, conçoit une stratégie et décline les objectifs qui en découlent à tous les niveaux pertinents de l'entité. Le cadre de management des risques a pour objectif d'aider l'organisation à atteindre ses objectifs qu'il regroupe en 4 grandes catégories, à savoir : - Les objectifs stratégiques ; - Les objectifs opérationnels ; - Les objectifs de reporting ; - Les objectifs de conformité. Tout en étant distincts, ces objectifs se recoupent, un objectif donné peut relever de plusieurs catégories. Le COSO 2 admet «qu'une autre catégorie, la protection des actifs, est également utilisée par certaines organisations. Il s'agit de prévenir les pertes des actifs ou des ressources d'une entité du fait : - de vols, - d'improductivité, - d'inefﬁcience ; ou de ce qui s'avère être simplement une mauvaise décision, comme : - de vendre un produit à un prix trop bas, - de ne pas être capable de conserver des collaborateurs clés, - d'éviter la contrefaçon d'un brevet, - ou de supporter des charges imprévues. Ces objectifs sont essentiellement opérationnels, bien que certains aspects de la protection puissent être rattachés à d'autres catégories». La catégorie d'objectifs relatifs au reporting ﬁnancier est très large puisqu'elle englobe tous les rapports produits par une organisation, diffusés en interne comme en externe. Entrent ainsi dans cette catégorie d'objectifs : - les rapports utilisés par le management, - les rapports destinés à des tiers, - les documents établis à des ﬁns réglementaires ou pour d'autres parties prenantes. De même, le périmètre de ces rapports dépasse le cadre des états ﬁnanciers pour couvrir à la fois les données ﬁnancières et les données non ﬁnancières. Le COSO 2 précise que si l'on peut attendre du dispositif de management des risques qu'il donne une assurance raisonnable que les objectifs sont atteints en ce qui concerne la ﬁabilité du reporting et de la conformité aux lois et réglementations, puisque l'atteinte de ce type d'objectifs fait partie du champ de contrôle de l'organisation et est intrinsèquement liée à la façon dont les activités sont gérées, l'atteinte des objectifs stratégiques peut, en revanche, échapper au contrôle de l'organisation. Le COSO 2 souligne «qu'un dispositif de management des risques ne saurait prévenir des jugements erronés ou des mauvaises décisions, ni un événement extérieur imprévisible faisant échouer un projet. Il doit cependant renforcer la possibilité, pour la direction, de prendre de meilleures décisions. Par conséquent, pour les catégories d'objectifs stratégiques et opérationnelles, le dispositif de management des risques peut fournir une assurance raisonnable que la direction et le conseil d'administration, dans son rôle de contrôle et de supervision, sont informés régulièrement de la progression de l'organisation dans l'atteinte de ses objectifs». § 3. Incertitude, valeur, événements, risques et opportunités La raison d'être de toute organisation est la création de valeur pour les parties prenantes. Ceci constitue le postulat de base du management des risques de l'entreprise. Le COSO 2 précise que «l'incertitude est une donnée intrinsèque à la vie de toute organisation. L'un des principaux déﬁs pour la direction est de déﬁnir le degré d'incertitude que l'entité est prête à accepter dans son effort de création de valeur. La notion d'incertitude se traduit aussi bien en termes de risques que d'opportunités, pouvant potentiellement détruire comme créer de la valeur». La valeur est créée, préservée ou détruite par des décisions, tant au niveau de la stratégie que dans la 61 LA REVUE COMPTABLE ET FINANCIÈRE N° 85 - TROISIÈME TRIMESTRE 2009 . gestion quotidienne des activités. Il y a création de valeur quand les avantages procurés sont supérieurs à l'ensemble des coûts des ressources utilisées. L'identiﬁcation des risques et des opportunités est inhérente à toute prise de décision rationnelle. Elle implique la prise en compte des informations disponibles sur l'environnement interne et externe et entraîne le déploiement des ressources en fonction des besoins, de même qu'elle requiert un ajustement des activités à mesure que les circonstances évoluent. Pour le COSO 2, la survenance d'un événement d'origine interne ou externe peut avoir des répercussions sur l'atteinte des objectifs. Les événements peuvent avoir un impact négatif, positif ou les deux simultanément. Les événements ayant un potentiel d'impact négatif constituent des risques. Un risque représente la possibilité qu'un événement survienne et nuise à l'atteinte d'objectifs. Les événements ayant un potentiel d'impact positif peuvent : - compenser les impacts négatifs, - ou constituer des opportunités. Une opportunité est la possibilité qu'un événement survienne et contribue à l'atteinte d'objectifs. § 4. Déﬁnition du management des risques Le COSO 2 déﬁnit le management des risques comme étant : - Un processus ; - Mis en œuvre par le conseil d'administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation ; - Il est pris en compte dans l'élaboration de la stratégie ainsi que toutes les activités de l'organisation ; - Il est conçu pour identiﬁer les événements potentiels susceptibles d'affecter l'organisation et, pour gérer les risques dans la limite de l'appétence de l'organisation pour le risque ; - Il vise, enﬁn, à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation. Le dispositif de management des risques inclut l'identiﬁcation des événements potentiels susceptibles d'affecter l'organisation et le maintien de son exposition aux risques en cohérence avec son appétence (globale) pour le risque. § 5. Le concept d'appétence pour le risque et le concept de tolérance au risque Selon le cadre COSO, «l'appétence pour le risque est le niveau de risque global auquel l'organisation accepte de faire face, en cohérence avec ses objectifs de création de valeur. Il reﬂète sa conception en matière de management des risques et inﬂuence sa culture et son approche opérationnelle. L'appétence pour le risque est uploads/Management/le-cadre-de-management-des-risques.pdf