Nouvelle édition du COSO ERM : un outil crucial pour le management des risques au 21ème siècle

L’actualité professionnelle est marquée par un événement majeur dont les auditeurs internes devraient prendre connaissance : il s’agit de la publication de la nouvelle édition du cadre de référence COSO relatif au management des risques de l’entreprise (Enterprise Risk Management - ERM). L’année dernière, j’ai rédigé plusieurs articles sur les exigences croissantes des parties prenantes à l’égard de l’audit interne ainsi que sur l’importance pour la profession d’être capable d’accomplir les nouvelles tâches qui lui sont confiées. Cette nouvelle réalité reflète la complexité grandissante des processus de gouvernance, de management des risques et de contrôle dans un monde en constante évolution dans lequel de puissantes forces technologiques, socioéconomiques et géopolitiques peuvent rapidement transformer le panorama des risques. De ce fait, tous ceux qui interviennent dans la gestion et l’évaluation des risques au sein de l’organisation doivent avoir les meilleurs outils et processus à leur disposition. Avec la nouvelle édition du COSO ERM intitulée « Une démarche à intégrer avec la stratégie et la performance », les professionnels des risques ont un outil complet et précieux qui met en exergue l’intérêt de l’ERM lors de la définition et la mise en œuvre de la stratégie. Beaucoup de choses ont changé en matière de risques et de management des risques depuis la publication, en 2004, du premier cadre de référence du COSO ERM. Par exemple, les progrès technologiques ont créé d’incroyables opportunités pour les entreprises et les gouvernements mais ont aussi engendré une nouvelle catégorie de risques dans le domaine de la cybercriminalité. Le cadre de référence actualisé traite de ces différents changements et fournit un outil qui permet aux organisations non seulement d’améliorer leur management des risques mais aussi de mieux comprendre l’impact des risques sur la performance. La nouvelle édition offre également des explications plus précises sur ce qu’est et n’est pas l’ERM. Un véritable management des risques de l’entreprise réside dans le fait qu’il favorise une approche et une compréhension des risques à l’échelle de l’organisation. Bien souvent, les dirigeants et membres du Conseil aux agendas surchargés cantonnent l’ERM à un département ou le relèguent à une liste de tâches à faire. Mais ils devraient reconnaître qu’il est bien plus que cela. Selon le cadre de référence mis à jour : Le management des risques de l’entreprise n’est ni une fonction ni un département. C’est la culture, les capacités et les pratiques que les organisations intègrent à l’élaboration de la stratégie et appliquent lorsqu’elles mettent en œuvre cette stratégie, dans le but de gérer les risques en créant de la valeur, en la préservant et en la matérialisant. Cette définition souligne dans quelle mesure les risques et le management des risques influencent tous les domaines de l’organisation. Afin d’aider les responsables des risques à mieux appréhender la complexité et les dynamiques à l’œuvre, le cadre de référence identifie cinq composantes interdépendantes indispensables à la réussite du management des risques de l’entreprise : - Gouvernance et culture - Stratégie et définition des objectifs - Performance - Revue et actualisation - Information, communication et reporting. En outre, il précise les principes qui étayent chaque composante. Par exemple, la composante stratégie et définition des objectifs est renforcée par l’analyse du contexte de l’organisation, la définition de l’appétence pour le risque, l’évaluation des stratégies alternatives et la formulation des objectifs opérationnels. Toutes les organisations, y compris celles qui utilisent toujours le premier cadre de référence du management des risques de l’entreprise, peuvent tirer des bénéfices de la mise à jour. En résumé, elle permet de : - donner une meilleure perspective de l’intérêt du management des risques de l’entreprise lors de l’élaboration et de l’exécution d’une stratégie ; - renforcer la cohérence entre la performance et le management des risques de l’entreprise afin d’améliorer la définition d’objectifs de performance et la compréhension de l’impact des risques sur la performance ; - reconnaître la mondialisation des marchés et des activités ainsi que la nécessité d’avoir une approche commune, bien que modulée selon les zones géographiques ; - élargir le reporting pour répondre aux attentes d’une plus grande transparence des parties prenantes ; - tenir compte de l’évolution des technologies et de la prolifération des données et des analyses de données pour étayer la prise de décisions etc. La mise à jour illustre clairement l’approche approfondie et réfléchie que le COSO a adoptée pour la révision de l’un de ses produits phares. J’ajouterais que « Management des risques de l’entreprise - Une démarche à intégrer avec la stratégie et la performance » ne s’appuie pas que sur l’expertise de PwC, partenaire de la mise à jour, mais aussi sur un groupe diversifié de talentueux professionnels des risques qui forment son comité consultatif. Ce dernier a contribué à conduire la mise à jour qui vise non seulement à revoir et à améliorer l’utilité du cadre de référence mais aussi à faciliter son utilisation ainsi que sa mise en œuvre dans des secteurs différents et des organisations de tailles diverses. J’encourage toutes les personnes impliquées dans le management des risques, membres du Conseil et de la direction comme les auditeurs internes junior, à se procurer et à examiner ce nouveau cadre de référence. En effet, avoir une compréhension solide des liens entre les risques, la performance, la stratégie et la valeur devrait être un prérequis pour tous les acteurs du management moderne des risques. La synthèse du cadre de référence du COSO est téléchargeable gratuitement[1]. Le document intégral est disponible à l’achat sur le site de l’IIA. Comme toujours, vos remarques sont les bienvenues. Richard Chambers   Pour information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne. [1] Cet article se réfère à l’executive summary du nouveau COSO ERM dont la version française est actuellement en cours de traduction.