La gestion des risques d'entreprise (GRE) est un processus opérationnel continu qui évalue, identifie et planifie les risques pour la santé financière et opérationnelle d'une organisation tout en ciblant les opportunités de marché. Faisant souvent partie de la stratégie de gouvernance, de risque et de conformité (GRC) d'une organisation, les risques peuvent généralement inclure des préoccupations internes telles que la culture d'entreprise ainsi que des facteurs externes, tels que les réglementations sur la confidentialité des données comme le RGPD et le CCPA, les catastrophes, une pandémie ou une attaque de cybersécurité.
Stratégie commerciale proactive utilisée dans la plupart des secteurs d'activité, la GRE adopte une approche holistique pour évaluer et gérer les risques dans toute une organisation et fournit un processus structuré de gestion de ces risques. En plus de parer aux menaces potentielles, la GRE peut également offrir des avantages concurrentiels.
Objectifs de la gestion des risques d'entreprise
La GRE vise à atteindre les objectifs organisationnels plutôt que de détailler uniquement les problèmes potentiels. C'est la mise en œuvre d'une série d'actions et d'activités qui guident la manière dont une organisation évaluera et contrôlera les risques.
Les gestionnaires des risques utilisent une combinaison de politiques, de pratiques et de procédures pour créer des cadres de gestion des risques, en commençant par trois étapes clés:
- Mettre en place une gouvernance des risques dirigée par un conseil d'administration qui veille à ce que les décisions soient prises conformément aux objectifs et aux stratégies d'une organisation, une équipe de cadres supérieurs axée sur la gestion des risques sous la supervision du conseil d'administration et une équipe de gestion des risques indépendante chargée de l'exécution des des plans d affaires conformes au cadre de gestion des risques de l organisation
- Évaluation du niveau de risque qu'une organisation est prête à accepter avant que des mesures ne soient prises
- Mise en œuvre de techniques de gestion des risques qui mesurent les risques à travers les produits et les entreprises et qui garantissent la conformité avec les politiques et directives d'une organisation
Cadres de gestion des risques d'entreprise
Au cours des dernières années, plusieurs cadres de GRE ont vu le jour, chacun fournissant des approches variées pour identifier, analyser et gérer les risques d'entreprise. Voici trois des frameworks ERM les plus populaires:
- COSO (Le Comité des organisations parrains). Créé en 1985, le COSO est une initiative conjointe de cinq associations américaines, l'American Accounting Association (AAA), l'American Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA) et le Institute of Management Accountants (IMA) pour lutter contre la fraude en entreprise. L'objectif du COSO est de fournir un leadership éclairé sur trois sujets interdépendants: la gestion des risques d'entreprise, le contrôle interne et la dissuasion de la fraude. Le cadre COSO ERM comprend cinq composantes:
-
- Gouvernance et culture
- Stratégie et objectifs
- performance
- Examen et révision
- Information, communication et reporting
- ISO 31000 est un groupe de normes de gestion des risques établies par l'Organisation internationale de normalisation. En tant qu'ensemble de lignes directrices, l'ISO 31000 fournit des principes, un cadre et un processus de gestion des risques, dans le but d'améliorer l'identification des opportunités et des menaces et les meilleures pratiques d'allocation et d'utilisation des ressources pour la gestion des risques.
- La Casualty Actuary Society s Le comité de gestion des risques d'entreprise (CAS) a entrepris de définir la GRE en 2003 avec une approche à deux volets pour conceptualiser un cadre: définir le type de risque suivi d'un processus de gestion des risques qui identifie, analyse, intègre et hiérarchise les risques avant de mettre en œuvre des stratégies de gestion des risques parallèlement surveillance continue et examen du processus pour identifier ce qui fonctionne et ce qui ne fonctionne pas.