Accueil Contact

Introduction


Enron, Worldcom, Xerox ! Ces noms de grandes sociétés ont fait l'objet d'une actualité retentissante dans les années 2001 et 2002. Cependant, le thème de cette sur médiatisation n'était pas un éloge de leurs activités commerciales, mais bien au contraire la mise au jour de quelques un des plus grands scandales financiers et comptables de cette dernière décennie.

La loi Sarbanes-Oxley (SOA) a été mise en place à la suite de ces scandales afin d'accroitre la transparence et l'exactitude des informations comptable et financière. Cette loi instaure également la mise en place de contrôle interne établit à l'aide d'un cadre conceptuel dont l'efficacité doit être évalué et prouvé. Le " Committee Of Sponsoring Of the TreadwayComission " qui est une commission Américaine à but non lucratif a créé en 2002 un référentiel de risque nommé COSO. Celui-ci répond aux exigences préconisées par la loi SOA et est appliqué par grand nombre d'organisation afin de pouvoir évoluer sur les marchés financiers américains.

Ces évènements vont marquer le démarrage de grandes évolutions en matière de contrôle interne et vont permettre l'apparition des activités de management du risque dans les organisations.

Certes le concept a fait son apparition de nombreuses années auparavant mais son application à l'ensemble des activités de l'entreprise est très récent, pour preuve l'ancienneté des cadres de références le conceptualisant. Les organisations, enclin à développer des systèmes de contrôle interne efficace et performant répondant aux exigences légales et réglementaires vont y ajouter l'aspect du management des risques.

Ainsi, suite à l'apparition de nouveaux scandales financiers tels que l'affaire Madoff en 2008, l'Organisation Internationale de Normalisation plus connue sous son acronyme anglophone ISO a formalisé une norme intitulée ISO 31000 : 2009 " Management du risque - Principes et lignes directrices ". Celle-ci répond aux attentes de nombreuses organisations souhaitant voir apparaître une norme internationale dans le domaine de management du risque.

Ce mémoire a pour objectif d'introduire la notion de management du risque et de présenter la norme ISO 31000 : 2009 en fournissant une interprétation de celle-ci dans le cadre d'une application à une organisation. La dernière partie du mémoire proposera un guide de mise en place pratique de cette norme nourrie d'un recueil d'expérience et d'un benchmark de différentes organisations qui l'ont déjà utilisé.





1. INTRODUCTION AU DOMAINE DU MANAGEMENT DU RISQUE :

La première partie de ce mémoire va définir le concept de management du risque et présenter la norme ISO 31000 : 2009 Management du risque.

En comparant plusieurs définitions du risque et du management du risque, nous définirons dans un premier temps les bases du management du risque.

Dans un second temps nous présenterons la norme et ces caractéristiques dans une revue détaillée de sa définition du risque et de son contenu.

Enfin, nous présenterons des référentiels de risques disponibles dans le secteur du risque et nous les comparerons à la norme ISO 31000.

1.1 Définition du concept de management du risque

Avant de définir le concept de management des risques, il convient de préciser ce qu'est un risque et un processus de management du risque au sein d'une organisation.

Bien des définitions du risque existe est il convient d'en citer quelques une afin de comprendre ce qu'il comporte et ces enjeux. Le Project Management Institute (PMI) défini le risque comme :

" Le risque est un événement ou une condition incertain, qui s'il advient, a un effet sur un ou plusieurs objectifs. "

Le risque peut donc avoir une ou plusieurs causes et s'il advient, il peut avoir un ou plusieurs impacts. Une cause peut être une exigence, une estimation ou hypothèse, une contrainte ou une condition qui va créer la possibilité d'obtenir des résultats négatifs ou positifs sur les objectifs.

D'après le dictionnaire juridique du droit privé de Serge Braudo le risque est :

" Un évènement dont l'arrivé est aléatoire, est susceptible de causer un dommage aux personnes ou aux biens ou aux deux à la fois "

Sous l'aspect juridique le risque correspond également à la succession d'un évènement aléatoire, impactant un objectif de droit privé. Dans ce cas, la protection des personnes et des biens.

Les définitions tendent vers un consensus qui revient à la combinaison d'un triptyque, Evénement, cause, conséquence

Evénement : tout ce qui arrive, circonstances.

Cause : ce qui produit une conséquence, une force productive engendrant un effet et se prolongeant en lui (facteur de risque dans le cadre du management du risque).

Conséquence : suite d'une action, résultat qui est engendré (effet indésirable dans le cadre du risque management).

Trois types de mesures existent afin d'éviter que les facteurs de risques entrainent des effets indésirables :

" Prévention : agir en amont, afin d'éviter que l'événement ne se produise, agir sur les éventuelles causes,

" Détection : identifier l'événement survenu afin de le traiter ultérieurement et

" Protection : mise en place de mesures de traitement dans le but de limiter le/les impacts.

Prenons par exemple le cas d'un employé de banque fraudant et lésant un client:

Evénement : Employé mal intentionné se décidant à frauder,

Cause : Manque de contrôle, possibilités trop nombreuses de fraude offertes à l'employé

Conséquence : Perte financière, et image dégradée.

Regardons maintenant ce que pourraient être les 3 types de mesures permettant d'éviter certains effets indésirables :

" Prévention : responsabilisation des employés, rappel régulier des règles de l'entreprise et des lois, politique de sanction connue,

" Détection : moyen de communication privilégié pour les clients afin de faire remonter toute anomalie au plus vite, divers contrôles,

" Protection : assurance, contrôles, délégation pour les tâches à risque.

A noter qu'un seul type de mesure ne suffit rarement, la combinaison de plusieurs étant la meilleure solution dans la majorité des cas.

Après la revue de ces quelques définitions, nous retiendrons celle présente dans la norme ISO 31000, correspondant le plus au risque tel qu'il est entendu dans le management des risques :

" Effet de l'incertitude sur l'atteinte des objectifs, les objectifs pouvant avoir plusieurs aspects (financiers, de santé, de sécurité ou environnementaux) et concerner différents niveaux (ex : niveau stratégique, niveau d'un produit, niveau d'un processus ou d'un organisme tout entier) "

Le risque étant à présent défini, il convient de s'atteler à la description de l'activité même du management du risque.

Le PMI livre une définition du management des risques assez claire qui reprend les exigences première du management du risque et précise ces objectifs:

" Le management du risque inclut le processus de conduite de la planification du management du risque, de l'identification, de l'analyse, de la planification des réponses aux risques et le processus de surveillance et le contrôle. Ses objectifs sont d'accroître la probabilité et l'impact des événements positifs et de réduire la probabilité et l'impact des événements négatifs "





1.2 Notions préalables au management du risque :

Les paragraphes qui vont suivre sont une introduction au management du risque et à ses principes.

Idéalement le management des risques établi un ordre de traitement des risques selon l'importance de leur impact et leur probabilité d'occurrence, ceux dont les probabilités d'occurrence et dont les impacts sont les plus forts étant bien-entendu traités en premier. En pratique l'établissement de cet ordre peut s'avérer difficile car l'arbitrage entre les risques à fortes probabilité d'occurrence mais à faible impact et les risques à faible probabilité d'occurrence mais à impact fort est souvent ardu.

Le management des risques permet d'identifier un risque qui a une probabilité d'occurrence de 100% mais est ignoré par l'organisation de par son manque de capacité à identifier les risques. Ceci peut par exemple se produire lorsqu'une organisation ne se rend pas compte de son manque de connaissance ou de ressource, ou dans le cadre d'une collaboration stérile mais pas identifiée en tant que telle. Le management des risques intangibles permet de créer de la valeur immédiatement grâce à la valeur de l'identification et de la réduction des risques.

Ceci constitue le premier principe du management du risque tel que défini par la norme ISO 31000 qui en compte 11 et qui seront présentés en partie 1.3 :

Il est également difficile de mettre en place le management des risques du fait de son coût. En effet, les ressources attribuées au management des risques auraient pu être utilisée pour d'autres activités plus rentables en apparence. Idéalement le management du risque doit minimiser les effets du risque tout en minimisant les dépenses.

L'existence de principes dans le management des risques étant désormais mise en évidence nous allons nous pencher sur le processus de management des risques lui-même.

Celui-ci se compose dans le cadre de la norme ISO 31000 de 3 étapes, l'établissement du contexte suivi, l'appréciation du risque et finalement le traitement du risque. Ces trois étapes étant bien entendu implémenter au fil de l'eau via les processus de surveillance et revue et de communication et concertation.

1ère étape :

Etablir le contexte d'une organisation est à faire en premier lieu dans le cadre d'un processus de management des risques. Ceci implique de définir les paramètres internes et externes qu'une organisation se doit de considérer au cours du processus de management des risques.

" Le contexte externe inclut tous les paramètres et facteurs de l'environnement externe qui pourraient avoir une influence quelconque sur la gestion des risques et l'atteinte des objectifs. Il comprend les parties prenantes externes, l'environnement local, national et international ainsi que les tendances et " drivers " qui peuvent influer sur les objectifs. Le contexte externe comprend également les valeurs et perceptions des parties prenantes externes, la définition des relations entretenues avec l'organisation ainsi que plus généralement son environnement qu'il soit social, culturel, politique, légal, financier, technologique, économique, naturel ou compétitif.

" Le contexte interne inclut tous les paramètres et facteurs de l'environnement interne qui pourraient avoir une influence quelconque sur la gestion des risques et l'atteinte des objectifs. Il comprend les parties prenantes internes, la gouvernance, les relations contractuelles ainsi que les connaissances, les compétences, les standards et les cultures.

La gouvernance se définit comme l'ensemble des processus, réglementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée.Elle intègre la structure, les objectifs, les rôles, les comptes et le processus de décision de l'organisation. Les compétences comprennent les savoirs et savoirs faire, l'aspect humain, la technologie, le capital et les ressources.

Une fois le contexte établie, la suite du processus de management des risques est l'appréciation des risques.

2ème étape :

L'appréciation des risques comporte trois étapes qui sont autant d'outils permettant de se figurer les risques de la manière la plus exhaustive et la plus proche de la réalité.

1) Identification des risques.

L'identification des risques est un processus dont le but est de trouver, de reconnaitre et de décrire les risques qui pourraient affecter l'atteinte des objectifs d'une organisation. On l'utilise afin d'identifier les possibles sources de risque en plus des événements et circonstances pouvant empêcher l'organisation d'atteindre ses objectifs. Il comprend également l'identification des causes possibles et conséquences éventuelles.

2) Analyse des risques.

L'analyse des risques est un autre processus utilisé afin d'appréhender les sources, les causes et la nature des risques identifié précédemment afin d'en estimer le degré d'importance. Il permet également d'étudier les possibles impacts et conséquences qui pourraient être générées et ainsi de vérifier si les contrôles existants sont pertinents. Le degré de détails de l'analyse des risques dépendra du risque en lui-même, du but de l'analyse, des informations et ressources disponibles.

3) Evaluation des risques.

L'évaluation des risques est le processus utilisé pour comparer les résultats de l'analyse des risques et leurs critères (termes de référence vis-à-vis desquels l'importance d'un risque est évaluée) afin de déterminer si le niveau de risque est acceptable ou tolérable.

Les résultats de l'appréciation des risques donneront lieu au traitement des risques si besoin est.

3 ème étape :

Le traitement du risque qui correspond aux stratégies mise en place afin de modifier le risque. Il sera décrit plus en détails dans les chapitres suivants.

Pour finir, un processus de surveillance et de revue est également établi conjointement aux trois précédentes étapes. Il permet d'évaluer le processus à tous les niveaux et ainsi de le mettre à jour en étant au plus près de la réalité de l'application du management du risque.

De manière similaire le processus de communication et de concertation permet de faire " ressortir " les informations de ce seul processus et ce, à tous les niveaux encore une fois. Ceci permet une meilleure analyse de ce qui est mis en place ou pas et par qui à un instant donné dans l'organisation. Il permet donc un meilleur suivi par les responsables de la mise en place du management des risques et ainsi par exemple de mieux définir les responsabilités et une meilleure allocation des ressources. Enfin la notion plus rarement abordée qui reviendra souvent tout au long de cette étude est la notion de " culture de la gestion des risques ". En effet en plus d'intégrer à son activité, des processus de management des risques, une organisation volontaire se doit d'améliorer sa gestion des risques en adoptant " une culture de la gestion des risques ". Celle-ci amplifiera à tous les niveaux opérationnels, pour chaque personne et chaque jour l'importance du management du risque. Une telle culture aura pour but de créer une situation où employés et managers étudient les risques possibles et considèrent leurs impacts instinctivement au moment de la prise de décision. Toutefois, il est difficile de développer une culture du risque au sein d'une organisation. Afin d'y parvenir, il convient que l'organisation définisse clairement les responsabilités au sein des managers pour mettre en avant et assurer le contrôle du management du risque. Il convient aussi de faire en sorte que la Direction insiste sur le fait que l'aspect management des risques de leur activité soit aussi important que les autres aspects plus " traditionnels ". La Direction se doit, en contrepartie d'assurer la correcte allocation des ressources pour arriver à ces fins.



Remerciement :

NLS's Test 2012-12-28 17:41:53