Evaluation du processus de management des risques de la direction générale des impôts au Burkina Faso

V.1.2. Le management des risques

Le référentiel ISO 31000 définit le management (ou gestion) des risques comme: « Des  activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque » (ISO, 2018).Selon l'ISO,les caractéristiques du management des risques sont les suivantes :

- il a pour finalité la création et la préservation de la valeur. Il améliore la performance, favorise l'innovation et contribue à l'atteinte des objectifs ;

- c'est une activité itérative qui aide les organismes à développer une stratégie, atteindre des objectifs et prendre des décisions éclairées ;

- il fait partie intégrante de la gouvernance et du leadership et a une importance fondamentale dans la façon dont l'organisme est géré à tous les niveaux. Il contribue à l'amélioration des systèmes de management ;

- il est intégré à toutes les activités d'un organisme et inclut l'interaction avec les parties prenantes ;

- ilprend en considération le contexte interne et externe de l'organisme, y compris le comportement humain et les facteurs culturels.

Le COSO ERMquant à lui, définit le management des risques d'entreprise comme : « La culture, les capacités et les pratiques, intégrées à la définition de la stratégie et à la performance, sur lesquelles les organisations s'appuient pour gérer les risques dans la création, la préservation et la réalisation de la valeur » (COSO, 2017). Le COSO ERM utilise le terme « ERM » qui signifie en anglais « Enterprise Risk Management » et qui se traduit littéralement en français par « management des risques d'entreprise » ou plus explicitement par « management global des risques ».

Dans les caractéristiques soulignées par l'ISO 31000 et par le COSO ERM, on peut remarquer l'accent mis sur le caractère global que doit revêtir toute démarche de management des risques à travers la prise en compte de tous les acteurs, de tous les niveaux de l'entité, de toutes les activités et de tous les facteurs internes comme externes.La démarche de management global des risques traduit la volonté d'avoir une vision globale des risques d'une organisation (SUTRA, 2019). En effet, tous les risques sont intégrés dans l'analyse, quelle que soit leur nature oucatégorie(managérial, juridique, stratégique opérationnel, réputationnel, image, financier, interne ou externeetc.). Et l'analyse peut être menée, au niveau d'une organisation, d'une entité, d'un projet, d'une activité, etc.La démarche de management global des risques doit permettre, une fois les risques analysés, de les comparer afin de définir, en fonction du niveau d'appétenceune stratégie de traitement.

En synthèse, quel que soit le référentiel ou l'organisation, lebut du management des risques reste le même : « créer et préserver la valeur au profit des parties prenantes de l'organisation, parl'intégration du risque au processus de sélection, de développement et de mise en oeuvre de la stratégie ».

v Le processus de management des risques

Dans son guide consacré à l'évaluation du processus de management des risques, l'IIA définit le processus de management des risques comme :« L'ensemble des travaux d'une organisation en matière de management des risques » (IIA, 2019). Le guide a préféré le terme « processus demanagement des risques » au terme « programme de management des risques » souvent utilisé. Le guide considère le terme « programme » comme étant limité comparativement au terme processus qui implique une notion de démarche et d'effort en continu.

Notons que le cadre de référence de l'AMF^15(*)utilise le terme « dispositif »en lieu et place du terme« processus »(AMF, 2010). Il est donc également possible de parler de dispositif de management des risques pour désigner le processus de management des risques. Dans la suite de ce document, les deux termes pourraient être utilisés indifféremment.

Dans ce même sens, le terme « gestion des risques » est souvent utilisé en lieu et place du terme « management des risques ». Toutefois, il nous semble que le terme « gestion des risques » met en avantles aspects opérationnels du management des risques, notamment les l'identification, l'évaluation, le traitement et le suivi des risques. D'ailleurs, le guide d'évaluation du processus de management des risques de l'IIA (IIA, 2019), utilise d'une part le terme « processus de mangement des risques » pour désigner le dispositif dans sa globalité,ce qui inclue la culture et la gouvernance des risques, et d'autre part le terme « processus de gestion des risques » pour désigner les aspects opérationnelsque sont l'identification, l'évaluation, le traitement et le reporting des risques.

* ¹⁵ Autorité des Marchés Financiers (en France).