COSO / Analyse de risques

Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) est une initiative commune de cinq organisations privées créée en 1992. Le comité a pour objectif de devenir leader dans le développement de cadres de référence et de conseils dans les domaines du contrôle interne, du management des risques en entreprise et de la dissuasion des fraudes.
L’objectif inhérent de ces cadres de référence COSO est l’amélioration de la performance et de la gouvernance des entreprises ainsi que la réduction des fraudes au sein des organisations.

Un dispositif de management des risques efficace est centré sur l’atteinte des objectifs fixés pour une entreprise donnée. La méthodologie COSO vise à aider l’organisation à atteindre ces objectifs classés en quatre catégories :
– Stratégique : objectifs stratégiques servant la mission de l’organisation
– Opérationnel : objectifs visant l’utilisation efficace et efficiente des ressources
– Reporting : objectifs liés à la fiabilité du reporting
– Conformité : objectifs de conformité aux lois et aux réglementations en vigueur

Le dispositif de management des risques comprend huit éléments

– Environnement interne : appréhension des risques, conception du management, appétence pour le risque, intégrité, valeurs éthiques et environnement
– Fixation des objectifs : processus de fixation des objectifs en ligne avec la mission de l’entité et son appétence pour le risque
– Identification des évènements : évènements internes et externes susceptibles d’affecter l’atteinte des objectifs et distinction entre risques et opportunités
– Evaluation des risques : analyse des risques avec leur probabilité et leurs impacts et évaluation des risques inhérents et des risques résiduels

– Traitement des risques : mesures pour déterminer le niveau des risques en fonction du seuil de tolérance et de l’appétence et proposition de solutions (évitement, acceptation, réduction ou partage)
– Activités de contrôle : politiques et procédures déployées pour veiller à l’application effective des mesures de traitement des risques
– Information et communication : informations identifiées, collectées et communiquées verticalement et transversalement au sein de l’organisation
– Pilotage : activités permanentes de management, évaluations indépendantes

Il existe une relation directe entre les objectifs à atteindre et les éléments du dispositif de management des risques. Cette relation est illustrée par la matrice en trois dimensions suivante :

– Les quatre catégories d’objectifs sont représentées par les colonnes
– Les huit éléments du management des risques par les lignes
– Les unités de l’organisation par la troisième dimension

Cette représentation illustre la façon d’appréhender le management des risques dans sa globalité ou par catégorie d’objectifs, par élément, par unité ou bien en les combinant.

Points forts

Les huit éléments de la matrice constituent un critère d’efficacité du dispositif de management des risques. Un dispositif efficace exclut toute faiblesse majeure dans l’un de ces éléments et peut justifier que le niveau des risques soit contenu dans les limites de l’appétence pour le risque et l’organisation.

Points faibles

Les limites du COSO qui pourraient compromettre l’atteinte des objectifs :
– Il est mis en œuvre par des hommes : il subsiste toujours des possibilités de défaillances humaines, de collusion ou d’erreurs de jugement dans la prise de décision
– Les activités de contrôle permettent difficilement de maitriser l’exceptionnel (ex : gestion de crise). Tous les cas ne peuvent être prévus dans les procédures
– Il nécessite une prise en compte du rapport coûts/bénéfices dans le choix du traitement des risques et la mise en place de contrôles
– Le management peut outrepasser les décisions prises en matière de gestion des risques

 

 

COSO / Analyse de risques