Management des risques, entreprise, facteurs de risque, appétence aux risques, cartographie des risques, traitement des risques
Le management des risques est un processus :
- mis en oeuvre par le conseil d'administration, la direction générale, le
management et l'ensemble des collaborateurs de l'organisation
- pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités
de l'organisation
- conçu pour identifier les évènements potentiels susceptibles d'affecter
l'organisation et pour gérer les risques dans les limites de son appétence pour le
risque
- vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de
l'organisation
[...] Exemple d'appréciation : - financier : impact négatif sur le CA inférieur à 10 millions (significatif), supérieur à 10 et inférieur à 15 (très significatif), supérieur à 15 millions (critique) - capacité de production et délai de livraison : problème mineur pour produire ou expédier (significatif), difficulté à produire, retard important (très significatif), arrêt de la production (critique) - qualité service : pas d'augmentation dans les litiges clients (significatif), légère augmentation des litiges clients (très significatif), augmentation importante des litiges clients (critique). Idem avec les retours clients. [...]
[...] Mise en place de la cartographie : - sous forme de courbe : création d'un domaine à risque tolérable, domaine à risque accepté et domaine à risque inacceptable. Deux critères : probabilité et gravité. - Sous forme de tableau à cases de couleurs (clair vers foncé) - Sous forme de radar (toile d'araignée) Le traitement des risques - quelle réponse donner après avoir identifié un risque ? [...]
[...] Mais on doit chercher les moyens que l'occurrence d'un événement incertain n'affecte pas les objectifs. Les facteurs de risque - les facteurs de risque sont des lacunes de l'organisation qui, combinées à l'occurrence d'événements, vont entraîner des conséquences dommageables - le rôle de l'auditeur interne (risk manager) est de rechercher ces facteurs de risques dans l'organisation et ses systèmes de fonctionnements dans l'exemple précédent : facteurs de risques = pas de parapluie (événement incertain = il pleut ou pas, impact = arriver trempé à son entretien) Nature des risques - risque brut ou inhérent : - risque identifié et évalué avant la mise en place de tout dispositif de contrôle interne - risque intrinsèque lié à l'activité de l'organisation - risque net ou résiduel : - risque identifié et évalué après la mise en place de tout dispositif de contrôle interne Risk Appetite ou appétence aux risques - le risk appetite est le niveau de prise de risque accepté par l'organisation dans le but d'accroître sa valeur - différentes stratégies exposeront l'organisation à différents risques - le risk appetite doit être pris en compte dans la définition de la stratégie de l'organisation afin de s'assurer que les résultats de cette stratégie sont cohérents avec le risk appetite défini pour l'organisation - s'exprime soit en quantité (valeur monétaire de perte), soit en qualité (turn over, image/réputation) Les étapes du management des risques 1. [...]
[...] identification des risques pour chaque processus/activité/fonction 4. estimation et appréciation de chaque risque Elaboration d'une nomenclature des risques Risques politiques Risques Risques physiques et économiques moraux Risques Risques financiers Risques immatériels ETC . technologiques Et on décline : pour risques financiers (exemples) : détournements de fonds, gestion de la trésorerie déficiente, paiements non autorisés Identification de chaque processus/activité/fonction - lister toues les processus de façon à couvrir toutes les activités de l'organisation (processus métiers, supports ou managériaux) - la liste sera plus ou moins détaillée selon les objectifs Identification des risques pour chaque processus/activité/fonction Métier Domaine Processus top-down bottom-up Opérations Tâches élémentaires Même question pour chaque niveau : quels sont les événements susceptibles à l'organisation de ne pas atteindre les objectifs ? [...]
[...] - la possibilité que se produise un événement susceptible d'avoir un impact sur la réalisation des objectifs IIA - un ensemble d'aléas susceptible d'avoir des conséquences négatives sur une entité et dont le contrôle interne et l'audit ont notamment pour mission d'assurer autant que faire se peut la maîtrise IFACI - la menace qu'un événement ou une action ait un impact défavorable sur la capacité de l'entreprise à réaliser ses objectifs avec succès Mais qu'est-ce qu'un risque ? - il n'y a de risques que par rapport à l'atteinte d'un objectif - deux composantes fondamentales du risque : - la probabilité : l'incertitude qu'un ou plusieurs événements se produisent - la gravité (l'impact) : ce que l'on encourt si l'événement se réalise - attention : ne pas placer les deux composantes au même niveau : un risque avec un impact important est à prendre en compte même si sa probabilité ou sa fréquence est faible (exemple : Fukushima) - on appelle criticité du risque = probabilité x gravité Exemple - si l'objectif étant de rester sec car on se rend à un entretien d'embauche, l'incertitude est qu'il pleuve ou pas, et ce que l'on encourt (l'impact) c'est de se faire tremper par la pluie. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture