Risques

Qu’est-ce que le modèle COSO ? Comment gérer les risques

🕑 7 minutes read

QU’EST-CE QUE LE MODÈLE COSO ?

COSO (Committee of Sponsoring Organizations of the Tradeway Commission) est une organisation composée d’organismes privés, basée aux États-Unis, qui se consacre à la fourniture d’un modèle commun d’orientation aux entités sur des aspects fondamentaux de :

  • gestion exécutive et gouvernance,
  • éthique d’entreprise,
  • contrôle interne,
  • gestion des risques d’entreprise,
  • contrôle de la fraude, et
  • présentation de rapports financiers.

Évolution du modèle COSO :

1992 : publication de l’Internal Control – Integrated Framework (rapport COSO ou COSO I), un cadre intégré destiné à aider les entreprises à évaluer et à améliorer leurs systèmes de contrôle interne.

2004 : publication du modèle COSO ERM (Enterprise Risk Management – Integrated Framework) ou COSO II, qui permet aux compagnies d’améliorer leur gestion de contrôle interne grâce à un processus de gestion des risques plus complet.

2013 : publication du modèle COSO III, mis à jour dans le modèle COSO ERM 2017, qui améliore le cadre intégré pour permettre une plus grande couverture des risques auxquels les entreprises sont confrontées.

Conformité du modèle COSO

Découvrez comment un logiciel GRC peut vous aider à améliorer votre entreprise

Représentation du modèle COSO ERM 2017

coso-erm-graph

Source : coso.org présentation « 2017 ERM Slide Presentation »

Composantes du modèle COSO RISQUES de contrôle interne :

Gouvernance et culture :

l’entreprise doit renforcer l’importance et la compréhension de sa gestion des risques, établir les responsabilités de supervision nécessaires pour la mener à bien et définir ses valeurs éthiques à suivre.

Les principales actions à mener sont les suivantes :

  • Approuver une politique à suivre par le Conseil d’administration pour superviser les risques de l’Entité.
  • Établir la structure opérationnelle.
  • Définir la culture et les valeurs souhaitées.
  • La haute direction doit prouver son engagement envers les valeurs fondamentales en formant, par exemple, des comités et des organes collégiaux pour le contrôle de sa conformité.
  • Attirer, développer et retenir un personnel qualifié.

Stratégies et fixation d’objectifs :

processus de planification stratégique en définissant la gestion des risques de l’entreprise, les stratégies et les objectifs de travail et en établissant un appétit pour le risque aligné sur ceux-ci.

Pour réaliser ce bloc, l’organisation doit :

  • Analyser le contexte de l’activité.
  • Définir l’appétit pour le risque.
  • Évaluer les stratégies à suivre.
  • Formuler des objectifs de l’entreprise.

Performance :

il s’agit d’identifier et d’évaluer les risques qui peuvent affecter la réalisation des objectifs de l’entreprise. Les risques sont classés par ordre de priorité en fonction de leur gravité, selon l’appétit pour le risque défini. L’organisation choisit ensuite des réponses aux risques et vérifie la quantité de risques qu’elle a pris.

Accomplir cette performance implique ce qui suit :

  • Identifier les risques.
  • Évaluer la gravité de chaque risque identifié.
  • Identifier, sélectionner et mettre en œuvre des réponses aux risques.

Examen et suivi :

lors de l’examen de la performance, l’entreprise vérifie le fonctionnement de la gestion des risques de l’entreprise au fil du temps et, à la lumière des changements importants survenus, décide des révisions ou des modifications nécessaires.

Les points inclus dans l’examen sont les suivants :

  • Évaluer les changements importants survenus.
  • Examiner les risques et la performance au cours de leur gestion.
  • Chercher à améliorer la gestion des risques.

Information, communication et rapports :

la gestion des risques de l’entreprise exige un processus continu d’obtention et de partage des informations nécessaires provenant de sources internes et externes. La communication doit circuler vers le haut et vers le bas dans toute l’entreprise.

Cette section exige de :

  • Soutenir la gestion des risques à l’aide de systèmes et de technologies.
  • Utiliser les canaux de communication appropriés.
  • Informer toutes les parties prenantes sur les risques, la culture et la performance.

Qu’est-ce que la méthodologie ERM de gestion des risques de l’entreprise ?

La gestion des risques d’entreprise (ERM – Enterprise Risk Management, en anglais) est une stratégie d’entreprise basée sur un plan qui vise à identifier, évaluer et se préparer à tout risque ou événement susceptible d’affecter, positivement ou négativement, les opérations et les objectifs d’une entreprise.

L’objectif de l’ERM est d’évaluer les risques pertinents pour la compagnie (financiers, stratégiques et opérationnels), de hiérarchiser ces risques et de prendre des décisions éclairées sur la manière de les gérer. Les plans de gestion des risques créés évaluent l’impact de diverses menaces et décrivent les réponses possibles si l’une de ces menaces se concrétise.

Un processus ERM efficace devrait être un outil stratégique important pour les chefs d’entreprise. Les informations sur les risques qui ressortent du processus ERM doivent constituer un intrant important du plan stratégique de l’entreprise.

Étant donné que les risques émergent et évoluent constamment, il est important de comprendre que l’ERM est un processus qui doit être actif et vivant, avec des mises à jour et des améliorations continues.

La structure du cadre de gestion des risques d’entreprise s’applique indépendamment de la taille de l’institution ou de la manière dont elle souhaite catégoriser ses risques, et est conçue pour aider la direction et les conseils d’administration à gérer correctement les principaux aspects suivants :

  • Identification de tous les risques susceptibles d’affecter la stratégie et les opérations commerciales, ainsi que les relations entre eux.
  • Niveau de risque acceptable.
  • Comment gérer les risques (culture, gouvernance et politiques).
  • Comment obtenir les informations nécessaires à la gestion des risques.
  • Comment contrôler les risques.
  • Comment mesurer et évaluer les différents risques.
  • Comment réagir face aux risques.
  • Quels tests de réponse aux scénarios néfastes sont les plus appropriés.

L’un des principaux modèles développés pour une gestion efficace des risques d’entreprise (ERM) est actuellement le modèle COSO ERM 2017.

Avantages pour les entreprises :

– Il permet de mieux comprendre comment mener la gestion des risques et son rôle dans la mise en œuvre des meilleures stratégies à suivre.

– Il permet de fixer des objectifs qui lient performance et gestion intégrale des risques de l’entreprise afin d’accroître le bénéfice de l’entreprise.

– Il fournit des lignes directrices universelles pour la gouvernance et la supervision des entreprises.

– Il permet de reconnaître le nouveau contexte de la mondialisation de l’économie et la nécessité de s’adapter aux changements et à la complexité du monde des affaires qu’elle a entraînés.

– Il s’agit d’une base pour élargir la connaissance de la gestion des risques et répondre aux attentes des administrateurs et des autres parties prenantes.

– Il est compatible avec l’évolution et l’utilisation des nouvelles technologies de l’information et de la communication (TIC) et leur application au traitement des données et à la prise de décision.

Chez GlobalSuite Solutions, nous disposons du logiciel GlobalSuite®, entièrement développé par notre équipe, qui permet la mise en place, la gestion et la maintenance d’un système de gestion des risques basé sur des objectifs établis, ainsi que l’évaluation et le suivi du traitement du risque défini.