b). La gouvernance
des risques
Une bonne gouvernance des risques nécessite une
participation adéquate de toute l'organisation au PMR par
l'intermédiaire de collaborateurs qualifiés et compétents
en la matière (IIA, 2019).
En effet, le soutien des dirigeants doit être acquis
dès le début de la mise en oeuvreduPMRafin qu'il soit efficace.
L'adhésion des dirigeants et l'obtention des ressources
nécessaires,nécessitent que les informations sur les risques
soient utilisées dans la prise de décision aux niveaux les plus
stratégiques d'une organisation. Les organes de gouvernance, comme le
comité d'audit ou le Conseil, joue un rôledéterminant pour
susciter la collecte, l'évaluation et la transmission des informations
sur les risques. Si le comité d'audit sollicite
régulièrement des informations sur les risques dans le cadre de
son activité de surveillance, alors le management trouvera
impérativement un moyen de les lui fournir.
En général, le PMR est conçu selon une
approche descendante. Une fois que les principaux managers
opérationnels, la direction générale et le Conseil sont
impliqués dans le PMR, la structure peut être clarifiée et
les politiques, les procédures, le reporting et les protocoles de
remontée d'alertes peuvent être mis en oeuvre.
Il est important de noter que la gouvernance constitue un
concept qui transcende la gestion des risques. La gouvernance au sens large du
terme peut être définie comme la façon dont le pouvoir est
organisé et exercé pour assurer le pilotage de l'organisation
(CABANE, 2018). La gouvernance fait allusion à la répartition des
rôles, des pouvoirs et des responsabilités entre les parties
prenantes, le conseil d'administration et la direction. Les aspects de la
gouvernance tel que le recrutement, l'évaluation des membres du conseil
d'administration, l'élaboration de la mission, de la vision et des
valeurs fondamentales de l'entité ne relève pas de la gestion des
risques (COSO, 2017). La gouvernance des risques est donc un aspect de la
gouvernance au sens large.
c). Le processus de
gestion des risques
Le processus opérationnel de gestion des risques
comprend les activités d'identification, de hiérarchisation etde
traitement des risques.
Le degré d'intégration de ces activités
aux processus opérationnels est un indicateur utile pour mesurer la
maturité de l'organisation. Si ces activités sont menées
régulièrement dans toute l'organisation, et si les informations
sur les risques sont utilisées dans les prises de décisions
importantes, l'organisation est perçue comme plus mature qu'une
organisation qui réalise une évaluation des risques une fois par
an ou uniquement lorsqu'elle est imposée par les
réglementations.
Remarque : le cadre de
référence de l'AMF (AMF, 2010) propose également trois
composantes propres à un processus de management des risques mature
à savoir : le cadre organisationnel (organisation,
politique de gestion des risques, et système d'information), le
processus de gestion des risques (identification, analyse et traitement des
risques) et le pilotage (surveillance et revues régulières des
risques et du dispositif). Toutefois, les composantes présentées
par l'AMF et celles présentées par l'IIA peuvent être
rapprochées. La composante « processus de gestion des
risques » est mentionnée par les deux
référentiels. Quant aux composantes
« Culture » et « Gouvernance » de
l'IIA, elles peuvent être rapprochées des composantes
« Cadre organisationnel » et
« Pilotage » de l'AMF. Pour l'essentiel, les
caractéristiques définiespar les deux référentiels
sont semblables : la différence réside surtout dans la
présentation.
| 
