17
CADRE DE RÉFÉRENCE DE LA GESTION DES RISQUES FEDERATION OF EUROPEAN RISK MANAGEMENT ASSOCIATIONS

French Risk Management Standard 021203

Embed Size (px)

DESCRIPTION

Support à l'analyse de risque de type HAZOP

Citation preview

Page 1: French Risk Management Standard 021203

C A D R E D E R É F É R E N C ED E L A G E S T I O N D E S R I S Q U E S

F E D E R AT I O N O F

E U RO P E A N R I S K

M A N AG E M E N T

A S S O C I AT I O N S

Page 2: French Risk Management Standard 021203

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

2

IntroductionLe Cadre de Référence de la Gestion desRisques est l'œuvre d'un groupe de travailcomposé des principaux organismes de lagestion des risques au Royaume Uni : l'Institute of Risk Management (IRM),l'Association of Insurance and Risk Managers(AIRMIC) et le National Forum for RiskManagement in the Public Sector (ALARM).

Le groupe de travail a par ailleurs consulté etassocié à ses travaux de nombreuxprofessionnels ou enseignants concernés par lagestion des risques.

La gestion des risques est une discipline endéveloppement rapide. De nombreusesdéfinitions et différents points de vues existentsur ce qu'elle représente ou implique ainsi quesur la manière de la conduire. Une forme decadre de référence est donc nécessaire pourpréciser :

• la terminologie,• le processus de déploiement de la gestion

des risques,• l’organisation de la gestion des risques,• l’objectif de la gestion des risques.

Il est important de souligner que ce cadre deréférence prend en compte le fait que certainsrisques comportent à la fois une part positiveet une part négative.La gestion des risques concerne les entreprisesprivées et les organismes publics, mais aussitoutes les organisations dont l'activité entraînedes conséquences à court ou long terme.

Menaces et opportunités s'évalueront nonseulement du point de vue de l’activité elle-même mais aussi du point de vue del’ensemble des parties prenantes quipourraient être affectées.Il existe de nombreuses manières pouratteindre les objectifs de la gestion des risqueset il serait impossible de les énumérer toutesici. C'est pourquoi ce cadre de référence n’a pasvocation à être prescripteur ni à poser lesbases d’un processus de certification. Enrevanche, les organisations pourront s'appuyersur les différentes composantes de ce cadre deréférence pour rendre compte de leurconformité. Ce cadre de Référence représenteles meilleures pratiques actuelles à l'aunedesquelles les organisations peuvent semesurer. Autant que possible, le cadre de référenceutilise la terminologie présentée parl'International Organisation for Standardisation(ISO) dans son récent document ISO/IEC Guide73 Risk Management – Vocabulary – Guidelinesfor use in standards.Compte tenu des évolutions rapides dans cedomaine, les auteurs du présent documentapprécieraient les observations oucommentaires des organisations quil'utiliseront. Il est prévu de le faire évoluer à lalumière des meilleures pratiques.

Page 3: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

3

1. Risque La norme ISO/IEC Guide 73 définit le risquecomme la combinaison de la probabilité d’unévénement et des conséquences de celui-ci.Le simple fait d'entreprendre ouvre lapossibilité d'évènements dont lesconséquences sont potentiellement bénéfiques(aléa positif ) ou préjudiciables (aléa négatif ).On s'accorde de plus en plus à reconnaître quela gestion du risque s’intéresse à celui-ci sousles deux aspects de l'aléa positif et de l'aléanégatif. C'est pourquoi le présent documentadopte les deux perspectives.Dans le domaine de l’hygiène et la sécurité oude la sûreté, les conséquences sont en généraluniquement négatives et donc la gestion de cetype de risque est centrée sur leur préventionet leur atténuation.

2. Gestion du risqueLa gestion du risque fait partie intégrante de lamise en oeuvre de la stratégie de touteorganisation. C’est le processus par lequel lesorganisations traitent méthodiquement lesrisques qui s'attachent à leurs activités etrecherche ainsi des bénéfices durables dans lecadre de ces activités, considéréesindividuellement ou bien dans leur ensemble.La gestion du risque est centrée surl'identification et le traitement des risques. Ellea pour objectif d'ajouter le maximum de valeurdurable à chaque activité de l'organisation. Ellemobilise la compréhension des aléas positifsou négatifs qui dérivent de tous les facteursqui peuvent affecter l’organisation. Elle

augmente la probabilité de succès et réduit laprobabilité d’échec et l’incertitude qui s'yattache.La gestion du risque devrait être un processuscontinu d’amélioration qui commence avec ladéfinition de la stratégie et se poursuit avecl'exécution de celle-ci. Elle devrait traitersystématiquement de tous les risques quientourent les activités de l’organisation, quecelles-ci soient passées, présentes ou surtoutfutures.La gestion du risque doit faire partie intégrantede la culture de l’organisation et disposerd'une politique efficace et d'un programmed’actions soutenu et suivi par la direction auplus haut niveau. Lors de son exécution lastratégie de gestion du risque doit se déclineren objectifs tactiques et opérationnels et à cetitre la description de poste de chaqueemployé(e) ou responsable doit rappeler le rôlede cette personne dans la gestion des risques.Ceci encourage la transparence desresponsabilités, la mesure des performances etleur sanction. L’efficacité opérationnelle estalors promue à tous les niveaux.

2.1 Facteurs Externes et InternesLes risques auxquels fait face une organisationsont d’origine interne ou externe.

Le diagramme au verso propose des exemplesdes principaux risques, et montre que certainsd'entre eux répondent à des facteurs à la foisinternes et externe : de ce fait ces zones serecoupent. Le classement des risques peut êtreaffiné en distinguant par exemple les risquepurs et ceux d’ordre stratégique, financier,opérationnel et cetera.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 4: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

4

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

2.1 Exemples de facteurs Externes et Internes

ORIGINE EXTERNE

ORIGINE EXTERNE

RISQUES FINANCIERS RISQUES STRATEGIQUES

RISQUES OPERATIONNELS PERILS

TAUX D'INTERETTAUX DE CHANGECREDIT

COMPETITIONCHANGEMENTS DES CLIENTS

CHANGEMENTS DANS L'ACTIVITEDEMANDE DES CLIENTS

FUSION ACQUISITIONINTEGRATIONS

LIQUIDITE &CASH FLOW

RECHERCHE & DEVELOPPEMENTCAPITAL INTELLECTUEL

ORIGINE INTERNE

SYSTEME DE CONTROLEDES COMPTES

SYSTEMES D'INFORMATION

RECRUTEMENTCHAINE D'APPROVISIONNEMENT

EMPLOYESMOBILIERBIENS & SERVICES

REGLEMENTATIONSCULTURECOMPOSITION DEL'INSTANCE DIRIGEANTE

CONTRATSEVENEMENTS NATURELS

FOURNISSEURSENVIRONNEMENT

Page 5: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

5

La gestion du risque protège le patrimoine del’organisation et crée de la valeur pour celle-ciet ses parties prenantes en:

• fournissant un cadre méthodologique quipermet à toute activité future d’être mise enplace de façon cohérente et maîtrisée,

• améliorant le processus des décisions, leurplanification et leur hiérarchisation par unecompréhension exhaustive et structurée desactivités de l’organisation, de la volatilitéde ses résultats et par l’analyse desopportunités ou menaces sur ses projets,

• contribuant à l’optimisation del’utilisation/allocation du capital et desressources dans l’organisation,

• réduisant la volatilité dans les secteurs nonessentiels de l’organisation,

• protégeant et augmentant le patrimoine etl’image de marque de l’organisation,

• développant et soutenant le potentiel desemployés et le capital de connaissance del’organisation,

• optimisant l’efficience opérationnelle.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

2.2 Le Processus de gestion des Risques

Modific

atio

n

Audit F

orm

el

Objectifs stratégiquesde l’organisation

Appréciation du risque

Analyse du risqueIdentification des risquesDescription des risquesEstimation du risque

Evaluation du risque

Compte-rendu sur le risqueMenaces et opportunités

Décision

Traitement du risque

Compte-rendu surle risque résiduel

Suivi

Page 6: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

6

3. Appréciation du risqueL’appréciation du risque est définie par le GuideISO/IEC 73 comme le processus générald’analyse du risque et d’évaluation du risque.(cf. appendice)

4. Analyse du risque

4.1 Identification des risquesL’identification des risques vise à identifierl’exposition d’une organisation à l’incertitude. Ellerequiert une connaissance précise del’organisation, des marchés où celle-ci opère, deson environnement juridique, social, politique etculturel. Elle requiert également de développerune solide compréhension de ses objectifsstratégiques et opérationnels, des facteurscritiques de succès et des menaces etopportunités qui s’y rapportent.L’identification des risques requiert une approcheméthodique pour garantir que chaque activitésignificative de l’organisation a été identifiée etque chaque risque qui en découle a bien reçu unedéfinition. Toute volatilité associée à ces activitéssera identifiée et classée dans une catégorie.

Les activités et les décisions de l’organisationpeuvent être classées dans un éventail decatégories, dont par exemple:

• stratégique : concerne les objectifsstratégiques à long terme de l’organisation;peut être affectée par des facteurs tels quedisponibilité des capitaux, risques politiquesou souverains, changements légaux etréglementaires, réputation et changementsdans l’environnement matériel,

• opérationnelle : concerne les questionsquotidiennes auxquelles l’organisation estconfrontée alors qu’elle poursuit ses objectifsstratégiques,

• financière : concerne la gestion et la maîtriseefficace des finances de l’organisation, et leseffets de facteurs externes comme ladisponibilité du crédit ou encore lesfluctuations des taux de change, des tauxd’intérêts ou encore d’autres références demarché,

• gestion des connaissances : concerne lagestion et de la maîtrise efficace desconnaissances et des savoirs, de leurproduction, de leur protection, et de leurcommunication; cette catégorie peut êtreaffectée par des facteurs externes commel’usage non autorisé ou la violation depropriété intellectuelle, les pannes de secteurélectriques ou encore l’apparition detechnologies concurrentes; au nombre desfacteurs internes figurent les défaut defonctionnement informatique ou la perte depersonnes clef,

• conformité : concerne entre autres l’hygiène,la sécurité et l’environnement, les lois sur lapublicité et la protection des consommateurs,la protection des données, les pratiques enmatière d’emploi et les questionsréglementaires.

Même si l’identification des risques peut êtremenée par des conseils externes, une approcheinterne sera probablement plus efficace si elle estdotée d'un ensemble d’outils et de méthodescohérents, coordonnés et bien communiqués (cf.appendice, page 14). Il est essentiel que lesacteurs internes soient les "propriétaires" duprocessus de gestion des risques.

4.2 Description des RisquesLa description des risques consiste à présenterles risques identifiés, dans format structurécomme par exemple un tableau. Le tableau dedescription des risques 4.2.1 peut faciliter ladescription et l’évaluation de certains risques. Lastructure de ce format sera conçue avec soin pours’assurer que les risques sont bien identifiés,décrits et appréciés exhaustivement et avecprécision. En examinant les conséquences et laprobabilité de chaque risque présenté dans letableau, il devrait être possible de déterminer lesrisques clefs qui doivent être analysés plus endétail. L’identification des risques liés auxactivités économiques et à la prise de décisionpeut recourir à des catégories comme"stratégique", "projet/tactique" ou encore"opérationnel". Il est important d’intégrer lagestion des risques dans chaque projetspécifique dès sa conception et pendant toute sadurée de vie.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 7: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

7

4.3 Estimation du risqueL’évaluation du risque peut être quantitative,semi-quantitative ou qualitative en termes deprobabilité d’occurrence et de conséquencespossibles.Par exemple, les conséquences à la fois enterme de menaces (aléa négatif ) etd’opportunités (aléa positif ) peuvent êtrequalifiées de fortes, moyennes ou faibles (table4.3.1). La probabilité peut se qualifier de haute,moyenne ou faible mais exige différentesdéfinitions selon qu'il s'agit de menace oud'opportunité (voir les tableaux 4.3.2 et 4.3.3).

Des exemples figurent dans les tableaux auverso. Les mesures les plus adaptées pour lesconséquences et les probabilités peuventvarier d’une organisation a une autre.Par exemple, beaucoup d’organisations jugentqu’évaluer les conséquences et les probabilitéscomme fortes, moyennes ou faibles selon unematrice 3x3 répond tout à fait leurs besoins. D’autres organisations préfèreront une matrice5x5.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

4.2.1 Table - Description des Risques

1. Nom du Risque

2. Portée du Risque

3. Nature du Risque

4. Parties prenantes

5. Quantification du Risque

6. Tolérance/Appétence·pour le Risque

7. Traitement du risque &Mécanismes de maîtrise

8. Actions d’améliorationpossibles

9. Développement de laStratégie et de Politiqueface au Risque

description qualitative des évènements, taille, type, nombre etinterdépendances

En général stratégique, opérationnelle, financière, liée auxconnaissances ou à la conformité

Parties prenantes et leurs attentes

Importance et Probabilité

Perte potentielle et impact financier du risque Valeur à risqueProbabilité et amplitude des gains/pertes potentiellesObjectif(s) de la maîtrise des risques et niveau désiré de performance

Principaux moyens par quoi le risque est actuellement géréDegré de confiance dans les moyens de maîtrise en placeIdentification des protocoles pour la surveillance des risques et leurexamen

Recommandations pour réduire le risque

Identification de la fonction responsable de développer la stratégie etla politique face à ce risque

Page 8: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

8

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Table 4.3.1 Conséquences - Menaces et Opportunités

Fort

Moyen

Faible

Impact financier sur l’organisation susceptible d’excéder €x.Impact significatif sur la stratégie ou les activités opérationnelles de l’organisation.Parties prenantes fortement préoccupées.

Impact financier sur l’organisation compris entre €y et €x.Impact modéré sur la stratégie ou les activités opérationnelles de l’organisation.Parties Prenantes modérément préoccupées.

Impact financier sur l’organisation susceptible inférieur à €yFaible impact sur la stratégie ou les activités opérationnelles de l’organisation.Parties Prenantes faiblement préoccupées

Table 4.3.2 Probabilité d’Occurrence - Menaces

Estimation

Forte (Probable)

Modérée(Possible)

Faible(peu probable)

Description

Susceptible de survenir chaqueannée ou plus de 25% de chancesde survenir.

Susceptible de survenir dans les dixprochaines années ou moins de25% de chances de survenir.

Peu susceptible de survenir dansles dix prochaines années ou moinsde 2% de chances de survenir.

Indicateurs

A le potentiel de survenir plusieursfois dans la période considérée (parexemple dix ans).S’est produit récemment.

Pourrait survenir plus d’une fois dansla période considérée (par exempledix ans).Peut être difficile à maîtriser enraison d’influences externes.Y -a-t-il un historique de survenance?

Ne s’est pas encore produit.Peu susceptible de survenir.

Page 9: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

9

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

4.4 Méthodes et techniques d’analyse durisque Un éventail de techniques peuvent servir àanalyser les risques. Elles peuvent êtrespécifiques à l'aléa positif ou à l'aléa négatifou bien au contraire convenir aux deux. (VoirAppendice).

4.5 Profil de risqueLe résultat de l’analyse du risque peut servir àproduire un profil de risque qui donne une noted’importance à chaque risque et permet ainside déterminer les risques qui demandent uneffort de traitement prioritaire. Un tel profil

classe les risques identifiés et met ainsi enévidence leurs importances relatives.Ce processus fournit la correspondance entreles risques et les secteurs d’activités, décrit lesprincipaux moyens de maîtrise des risques enplace et indique les secteurs où le niveaud’investissement dans la maîtrise du risquepourrait être augmenté, diminué ou re-proportionné.Une bonne définition des responsabilités aideà faire reconnaître clairement le/la“propriétaire” de chaque risque et à assurerque les ressources de gestion appropriées sontcorrectement allouées.

Table 4.3.3 Probabilité d’Occurrence - Opportunités

Estimation

Forte (Probable)

Modérée(Possible)

Faible(peu probable)

Description

Issue favorable probable dansl’année ou plus de 75% de chancesde survenir.

Perspective raisonnablementd’issue favorable dans l’année ouentre 25% et 75% de chances desurvenir.

Quelques chances d’issue favorabledans l’année ou moins de 2% dechances de survenir.

Indicateurs

Opportunité claire etraisonnablement certaine, devant seréaliser à court terme sur la base desprocessus de gestion actuels.

Opportunités qui ne sont pas horsd’atteinte mais demande une gestionattentive. Opportunités pouvant survenir endépassement des résultats planifiés.

Opportunité éventuelle qui demandeencore à être investiguéecomplètement par la direction.Opportunité à faible probabilité desuccès compte tenu des ressourcesqui lui sont allouées actuellement.

Page 10: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

10

5. Evaluation du risqueAprès avoir analysé les risques, il estnécessaire de comparer les risques estimésaux critères de risque que l’organisation aétablis. Les critères de risque peuventcomprendre les coûts et bénéfices associés, lescontraintes juridiques, les facteurs socio-économiques et environnementaux, lespréoccupations des parties prenantes, etcetera. Par conséquent l’évaluation du risqueaide à décider de l’importance de chaquerisque spécifique pour l’organisation, et àdéterminer s’il convient d’accepter ce risque enl'état ou bien de le traiter.

6. Traitement du risqueLe processus de traitement du risque consisteà sélectionner et mettre en place des mesurespropres à modifier le risque. Le traitement durisque a pour principales composantes lamaîtrise et l'atténuation du risque, mais il nes’y limite pas et s’étend entre autres àl’évitement, au transfert et à son financementdu risque, et cetera.

NOTE: Dans ce cadre de référence, lefinancement du risque fait référence auxmécanismes (par exemple programmesd’assurance) de financement desconséquences financières du risque. Engénéral le terme de financement du risque nese rapporte pas au financement de la mise enplace du traitement du risque (comme définipar le guide 73 d’ISO/IEC).

Tout système de traitement de risque doitassurer au minimum:

• le bon fonctionnement de l’organisation,

• l’efficacité du système de contrôle interne,

• la conformité avec les lois et lesrèglements.

Le processus d’analyse de risque aide au bonfonctionnement de l’organisation en identifiantles risques qui exigent l’attention desresponsables. Ceux-ci devront déterminer lesactions de maîtrise du risque qui sontprioritaires en terme de bénéfice potentiel pourl’organisation.

L’efficacité du système de contrôle interne semesure au degré d’élimination ou de réductiondu risque que procurent les mesures demaîtrise proposées.L’efficacité économique du système decontrôle interne dépend du rapport entre lescoûts d’implémentation de celui-ci et lesbénéfices attendus de la réduction du risque.

Pour évaluer un projet de dispositif de maîtrisedes risques, il convient de mesurer et decomparer :

• l’effet économique potentiel si aucunemesure n’est prise,

• le coût de l’action (ou des actions)proposée(s).

Invariablement ceci demande des informationset des hypothèses plus détaillées que cellesdont on dispose dans l’immédiat.Tout d’abord il convient d’établir le coût demise en place, avec une certaine précisiondans la mesure où ce chiffre devientrapidement la référence de base pour lamesure de la rentabilité du dispositif. Ilconvient également d’évaluer la perteescomptée si les mesures proposées ne sontpas prises. Après comparaison, lesresponsables peuvent décider ou non demettre en place les mesures de maîtrise durisque étudiées.La conformité avec les lois et les règlements nepeut pas se discuter. Une organisation doitcomprendre les lois auxquelles elle estsoumise et doit mettre en place un système decontrôle pour s’assurer de sa conformité. Unecertaine flexibilité n’est possible que lorsque lecoût de réduction d’un risque est endisproportion totale avec celui-ci.Une méthode pour se protéger financièrementcontre l’impact du risque réside dans lefinancement du risque, qui comprendl’assurance. Cependant, il faut noter quecertaines pertes sont non-assurables commepar exemple certains coûts liés à la santé, auxconditions de travail, à la sûreté ou auxincidents environnementaux, qui peuventcomporter des atteintes au moral du personnelet à la réputation de l’organisation.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 11: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

11

7. Compte-rendu etCommunication relatifs aurisque

7.1 Compte rendu InterneLe processus de gestion des risques fournit desinformations différentes aux différents niveauxde l’organisation.

L'instance dirigeante devrait :

• connaître les risques les plus significatifsauxquels l’organisation fait face,

• connaître les effets potentiel de la nonréalisation des fourchettes de performanceprévues sur la valeur actionnariale,

• s'assurer que le niveau de sensibilisationaux risques est approprié dans toutel’organisation,

• savoir comment l’organisation gérerait unecrise,

• connaître le degré de la confiance desparties prenantes de l’organisation,

• savoir comment gérer les communicationsavec la communauté des investisseurs s'il ya lieu,

• être assuré que le processus de gestion desrisques fonctionne efficacement,

• produire une politique de gestion desrisques écrite qui définisse l’approchegénérale et les responsabilités.

Les Unités Opérationnelles devraient :

• se tenir informées des risques qui relèventde leur responsabilité, de leurs impactspossibles sur d’autres secteurs etinversement de l’effet des risques d’autressecteurs sur elles-mêmes,

• disposer d’indicateurs de performance quileur permettent, de surveiller les activitésclef, les données financières clef et les

progrès vers les objectifs. Ces indicateursdoivent permettre d’identifier lesdéveloppements qui nécessitent uneintervention (par exemple : prévisions etbudgets),

• disposer des systèmes qui permettent defaire connaître les écarts par rapport auxbudgets et aux prévisions à un rythmesuffisant pour permettre les réactionsappropriées,

• rendre compte systématiquement etpromptement aux responsables del’organisation tout nouveau risque ou échecdes mesures de maîtrise des risquesexistantes.

Les individus devraient :

• comprendre leur responsabilité pourchaque risque individuel,

• comprendre comment ils peuventcontribuer à l’amélioration continue de lagestion des risques,

• comprendre que la gestion et la consciencedes risques prennent une part déterminantedans la culture de l’organisation,

• Rendre compte systématiquement etrapidement aux responsables del’organisation de tout nouveau risque ou detout échec des mesures de maîtriseexistantes.

7.2 Compte-Rendu ExterneUne organisation a besoin de rendre compte àses parties prenantes régulièrement, sur sespolitiques de gestion des risques et leurefficacité du point de vue de ses objectifs.

De plus en plus les parties prenantes attendentqu’une organisation fasse la preuve de sabonne performance non financière dans desdomaines tels que les affaires de la sociétécivile, les droits de l’homme, l’emploi, la santé,l’hygiène la sécurité et l’environnement.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 12: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

12

Un bon gouvernement d’entreprise exige desorganisations une approche méthodique de lagestion des risques qui :

• protège les intérêts de leurs partiesprenantes,

• assure que l'instance dirigeante exerce sesfonctions de direction de la stratégie, decréation de valeur et de surveillance de laperformance de l’organisation,

• s'assurer que des dispositifs de maîtrise dela gestion sont en place et fonctionnentcorrectement.

Les moyens mis en place pour le compte renduofficiel sur la gestion des risques doivent êtreclairement exposés et tenues à la dispositiondes parties prenantes.

Le compte-rendu officiel doit traiter :

• des méthodes de maîtrise et en particulierde l’attribution des responsabilités pour lagestion du risque

• des processus utilisés pour l’identificationdes risques, et de la manière dont lesystème de gestion des risques les prenden compte

• des principaux systèmes de maîtrise enplace pour gérer les risques significatifs

• de la surveillance et de l’examen dessystèmes en place

Il convient de rendre compte de toutedéfaillance significative mises à jour par lesystème, ou dans le système lui-même, ainsique des mesures prises pour faire face à cesdéfaillances.

8. Structure et Administrationde la gestion du risque

8.1 Politique de gestion du RisqueLa politique de gestion des risques d’uneorganisation doit présenter son appétencepour le risque et son approche de la gestiondes risques. Ce document devrait égalementdéfinir les responsabilités pour la gestion desrisques dans toute l’organisation.

De plus ce texte fera référence à toute exigencelégale de compte-rendu, comme par exempleen matière d’hygiène et de sécurité.Le processus de gestion des risquess’accompagne d’un ensemble intégré d’outilset de techniques valables aux différents stadesdes activités de l’organisation.

Pour fonctionner efficacement, le processus degestion des risques exige:

• l’engagement du directeur général et desdirecteurs exécutifs de l’organisation,

• l’attribution des responsabilités au sein del’organisation,

• l’attribution de ressources appropriées pourla formation et le développement d’unesensibilité renforcée aux risques chez toutesles parties prenantes.

8.2 Rôle de l’Instance DirigeanteL’instance dirigeante (par exemple le Conseild’Administration) porte la responsabilité dedéterminer l’orientation stratégique del’organisation et de créer l’environnement etles structures pour que la gestion des risquess’effectue efficacement.Il peut s’agir d’un comité exécutif, un comiténon-exécutif, un comité d’audit ou toute autrestructure adaptée au mode de fonctionnementde l’organisation et capable d’agir en«sponsor» de la gestion des risques.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 13: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

13

L’instance dirigeante doit appréhender, auminimum, en évaluant son système decontrôle interne:

• la nature et l’ampleur des menaces que l’onpeut laisser l’organisation supporter dansle cadre de son activité propre,

• la probabilité que de tels risques seréalisent,

• comment les risques inacceptables doiventêtre maîtrisés,

• la capacité de l’organisation à réduire auminimum la probabilité du risque et sonimpact sur les affaires,

• les coûts et les avantages des activités demaîtrise des risques,

• l’efficacité du processus de gestion desrisques,

• les implications des décisions de l’InstanceDirigeante en terme de risques.

8.3 Rôle des Unités OpérationnellesLes responsabilités des UnitésOpérationnelles comprennent:

• la responsabilité principale de la maîtrisedu risque au quotidien,

• la responsabilité pour leurs directions depromouvoir la sensibilité aux risques dansles unités et d’y faire connaître les objectifsde gestion des risques,

• l’obligation de faire un point régulier sur lagestion des risques lors des réunions dedirection de manière à examiner lesexpositions aux risques et à redéfinir lespriorités à la lumière de l’analyse desrisques,

• la responsabilité pour leurs directions des’assurer que la gestion des risques estintégrée dès la conception des projets etainsi que pendant tout leur déroulement.

8.4 Rôle des personnes responsables de lagestion du risque

Selon de la taille de l’organisation la fonctionde gestion des risques peut s’étendre d’unsimple «promoteur» des risques, à ungestionnaire des risques à temps partiel, voireà un département complet de gestion desrisques.

Le rôle de la fonction de gestion des risquesdoit comprendre les tâches suivantes:

• définir la politique et la stratégie pour lagestion des risques,

• être «promoteur» principal de la gestiondes risques au niveau stratégique etopérationnel,

• créer une culture de risque au sein del’organisation, avec les actions deformation appropriée,

• établir et la politique de risque internes etles structures [correspondantes] pour lesunités opérationnelles,

• concevoir et passer en revue les processusde gestion des risques,

• coordonner les diverses unitésfonctionnelles qui sont amenées à donnerun avis sur la gestion des risques au sein del’organisation,

• développer des processus de réponse aurisque, y compris des plans d’urgence et decontinuité des activités,

• préparer les rapports sur les risques pourl’instance dirigeante et les partiesprenantes.

8.5 Rôle de l’Audit InterneLe rôle de l’Audit Interne est susceptible dedifférer d’une organisation à l’autre.

Dans la pratique, le rôle de l’Audit Internepeut inclure tout ou partie des points suivants:

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 14: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

14

• centrer le travail de l’audit interne sur lesrisques significatifs, tels qu’identifiés parles responsables de l’organisation ; auditerles processus de gestion du risque dansl’ensemble de l’organisation,

• fournir des assurances sur la qualité de lagestion du risque,

• soutenir et prendre une part active dans leprocessus de gestion des risques,

• faciliter l’identification / l’évaluation desrisques et former le personnel à la gestiondes risques et aux dispositifs internes demaîtrise,

• coordonner le compte-rendu des risques àl’instance dirigeante et au comité d’auditentre autres.

En déterminant le rôle le plus approprié, pourune organisation particulière, l’Audit Internedoit s’assurer que les exigencesprofessionnelles d’indépendance etd’objectivité sont respectées.

8.6 Ressources et Mise en OeuvreLes ressources nécessaires pour mettre enoeuvre la politique de gestion des risques del’organisation doivent être clairement établiesà chaque niveau de gestion et dans chaqueunité opérationnelle.En plus des autres fonctions opérationnellesqu’ils peuvent avoir, les personnes impliquéesdans la gestion des risques doivent avoir desrôles clairement définis dans la coordination dela politique et la stratégie de la gestion desrisques. Une définition tout aussi précise estégalement nécessaire pour les personnesimpliquées d’une part dans l’audit et l’examendes dispositifs internes de maîtrise et d’autrepart dans la facilitation du processus degestion des risques. La gestion des risques doit faire partieintégrante de l’organisation par le biais desprocessus stratégiques et budgétaires. Sonrôle doit être souligné lors de l'intégration desnouveaux employés, lors de toute autre actionde formation, tout comme dans le cadre dechaque projet opérationnel comme lesdéveloppements de produits et de services.

9. Surveillance et Revue duprocessus de gestion du risqueUne gestion des risques efficace requiert unestructure de compte-rendu et de revue pourassurer que les risques sont efficacementidentifiés et évalués et que les dispositifs demaîtrise et les réponses appropriées sont enplace. Il convient d’auditer régulièrement laconformité à la politique et aux normes, et depasser régulièrement les performances enrevue pour identifier les opportunitésd’amélioration. Il faut garder à l’esprit que lesorganisations sont dynamiques et opèrentdans des environnements dynamiques. Leschangements dans l’organisation et dansl’environnement dans lequel elle opère doiventêtre identifiés et les systèmes modifiés enconséquence.Le processus de surveillance doit fournirl’assurance que les dispositifs de maîtriseappropriés sont en place pour les activités del’organisation et que les procédures sontcomprises et suivies.Les changements dans l’organisation etl’environnement dans lequel elle opère doiventêtre identifiés et les systèmes modifiés enconséquence.

Tout procédé de surveillance et de revue doitégalement déterminer si:

• les mesures adoptées ont produit lesrésultats escomptés,

• les procédures adoptées et les informationsrecueillies pour entreprendre l’évaluationétaient appropriées,

• Une meilleure connaissance aurait aidé àprendre de meilleures décisions etidentifier quelles leçons pourraient êtreretenues pour l’évaluation et la gestion desrisques dans le futur.

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 15: French Risk Management Standard 021203

APPENDICE

15

10. AppendiceTechniques d’identification de risque -exemples

• Brainstorming,

• Questionnaires,

• [Etudes économiques] qui observent chaqueprocessus et décrivent les processusinternes et les facteurs externes qui peuventinfluencer ces processus,

• Comparaisons sectorielles; (benchmarking),

• Analyse de scénario,

• Ateliers d’appréciation des risques,

• Enquêtes sur les accidents,

• Audit et inspection,

• HAZOP (Études de Risque et d’Opérabilite)

Méthodes et techniques d’analyse desrisques - exemples

Aléa positif• étude de marché,

• prospection,

• test marketing,

• recherche et développement,

• analyse d’impact sur l’activité.

Aléa positif et négatif

• modèle d’[inter]dépendance,

• analyse SWOT forces, faiblesses,opportunités, menaces,

• analyse d’arbre d’événement,

• planification de continuité de l’activité,

• analyse BPEST (affaires, politique,économique, social, technologique),

• modélisation des options réelles,

• prise de décision dans des conditions derisque et d’incertitude,

• inférence statistique,

• mesures de moyenne et de variance,

• PESTLE (Ambiant Légal Technique SocialÉconomique Politique).

Aléa négatif

• analyse des menaces,

• analyse de l’arbre des défaillances,

• FMEA (analyse des modes et effets desdéfaillances).

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Page 16: French Risk Management Standard 021203

CADRE DE RÉFÉRENCEDE LA GESTION DES RISQUES

16

Notes du traducteur

La traduction s'appuie autant que possible surle "Guide 73 Iso/Iec, Risk management-vocabulary - guidelines for use in standards".

Le tableau ci-dessous commente par ailleurscertains choix de traduction:

© AIRMIC, ALARM, IRM: 2002, translation copyright FERMA: 2003.

Terme de la version anglaise

internal control

entreprise

the board

stakeholders

management

standard

risk avoidance

to control

knowledge base

downside

upside

reporting

formal

Terme français

système de contrôle interne

organisation

l'instance dirigeante

parties prenantes

Gestion

cadre de référence

évitement du risque

maîtriser

capital de connaissance

aléa négatif

aléa positif

compte-rendu

officiel

Commentaire

le texte s'applique à toutes lesorganisations sans perte de sens

même remarque

plus proche de l'intention que"norme" ou "standard"

Page 17: French Risk Management Standard 021203

FOR LOCAL INFORMATION, PLEASE CONTACT THE OFFICE OF THE NATIONAL ASSOCIATION

AGERS - Asociacion Española de Gerencia de Riesgos y SegurosPríncipe de Vergara, 86 - 1ª Esc., 2º Izda.– 28006 Madrid - SPAINTel: + 34-91-562.84.25– Fax: + 34-91-561.54.05– Email: [email protected]

AIRMIC - The association of Insurance and Risk ManagersLloyd’s Avenue, 6 – London EC3N3AX - UKTel: + 44-207-480.76.10 – Fax: + 44-207-702.37.52 – Email: [email protected]: www.airmic.com

AMRAE - Association pour le Management des Risques et des Assurances de l'Entreprise Avenue Franklin Roosevelt, 9-11 – 75008 Paris - FRANCETel: + 33-1-42.89.33.16 – Fax: + 33-1-42.89.33.14 – Email: [email protected]: www.amrae.asso.fr

ANRA - Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali Viale Coni Zugna, 53 – 20144 Milano - ITALYTel: + 39-02-58.10.33.00 – Fax: + 39-02-58.10.32.33 – Email: [email protected]: www.anra.it

BELRIM - Belgian Risk Management AssociationRue Gatti de Gamond, 254 – 1180 Bruxelles - BELGIUMTel: + 32-2-380.03.94 – Fax: + 32-2-370.34.93 – Email: [email protected]: www.belrim.com

BfV - Bundesverband firmenverbundener Versicherungsvermittler und -Gesellschaften E. V.Hattenbergstrasse 10, 55122 Mainz - DTel. + 49 - 6131 – 662226 - Fax. + 49 - 6131 – 662059 - Email. [email protected]: www.bfv-fvv.de

DARIM - Dansk Industris Risk Management ForeningDK-1787 Copenhagen – DENMARKTel: + 45-33-77.33.77 – Fax: + 45-33-77.33.00 – Email: [email protected]

DVS - Deutscher Versicherungs-Schutzverband e.V.Breite Strasse 98 - D 53111 Bonn - GermanyTel: + 49-228-98.22.30 - Fax: + 49-228-63.16.51- Email: [email protected]: www.dvs-schutzverband.de

NARIM - Nederlandse Associatie van Risk en Insurance ManagersPostbus 65707 – 2506 EA Den Haag – THE NETHERLANDSTel: + 31-70-345.74.26 – Fax: + 31-70-427.32.63 – Email: [email protected]: www.narim.com

SIRM - Swiss Association of Insurance and Risk ManagersRoute du Jura, 37- Case Postale, 74 – 1706 Fribourg - SWITZERLANDTel: + 41-26-347.12.20 – Fax: + 41-26-347.12.39 – Email: [email protected]: www.sirm.ch

FERMA - RUE DE LA PRESSE 4 PHONE: + 32 2 227.11.44 EMAIL: [email protected] 1000 BRUSSELS - BELGIUM FAX: + 32 2 227.11.48 WEB: www.ferma-asso.org

FOR MORE INFORMATION ABOUT FERMA

ALARM - The National Forum for Risk Management in the Public SectorQueens Drive, Exmouth - Devon, EX8 2AYTel: 01395 223399 - Fax: 01395 223304 - Email [email protected] - www.alarm-uk.com

IRM - The Institute of Risk Management6 Lloyd’s Avenue - London EC3N 3AXTel: 020 7709 9808 - Facsimile 020 7709 0716 - Email [email protected] - www.theirm.org