VI.2. Outils d'analyse du processus de management des risques
de la DGI
VI.2.1. Les référentiels de management des
risques
Il existe plusieurs référentiels pour la
conception, la mise en place et le pilotage d'un dispositif de management des
risques : les plus utilisés sont le COSO ERM 2017et l'ISO
31000 :2018.
a). Le
référentiel COSO ERM 2017
En 1992, le COSO a publié « La pratique
du contrôle interne » surnommé « COSO
1 » qui a fait l'objet de révision en
2013. Sur le plan international, le COSO 1 a été largement
adopté et fait autorité pour la mise en place et le pilotage du
contrôle interne.À la suite du COSO 1, le COSO va publier en 2004,
un second référentiel axé sur le management des risques
appelé COSO ERMsurnommé« COSO
2 »etmis à jour en 2017. Il constitue un
référentiel pour la conception, la mise en place et le pilotagedu
management des risques.Le COSO ERM propose un ensemble de principes
organisés en cinq composantes:
1. Gouvernance et culture : la gouvernance
donne le ton dans l'organisation, en insistant sur l'importance du management
des risques et en définissant les responsabilités de surveillance
de cette démarche. La culture correspond aux valeurs éthiques,
aux comportements souhaités et à la compréhension des
risques dans l'entité. La culture influe sur la manière dont le
risque est identifié, évalué et traité depuis la
définition de la stratégie jusqu'à son exécution.
Elle peut affecter les types d'alternatives stratégiques
envisagés, mais également la perceptiondes risques
côté menaces ou opportunités. Elle influera
également sur l'allocation des ressources et la typologie des
réponses apportées à la gestion du risque.
2. Stratégie et définition des
objectifs : le management des risques, la stratégie et la
définition des objectifs,contribuent conjointement au processus de
planification stratégique. L'appétence pour le risque est
définie et ajustée à la stratégie ; les objectifs
opérationnels permettent de mettre en oeuvre la stratégie tout en
servant de base pour l'identification, l'évaluation et le traitement des
risques.
3. Performance : les risques qui peuvent
affecter la réalisation de la stratégie et des objectifs
opérationnels doivent être identifiés et
évalués. Les risques sont priorisés selon leur
criticité dans le contexte de l'appétence pour le risque de
l'organisation. L'organisation sélectionne ensuite les modalités
de traitement des risques et analyse en termes de portefeuille le niveau de
risque assumé. Les résultats de ce processus sont
communiqués aux parties prenantes clés concernées par les
risques.
4. Revue et amendement : en examinant la
performance de l'entité, une organisation peut prendre en
considération la manière dont les composantes du management des
risques fonctionnent au fil du temps, et en fonction de changements
substantiels, ainsi que les éventuels amendements nécessaires.
5. Information, communication et reporting :
le management des risques exige un processus permanent d'obtention et de
partage des informations nécessaires, provenant de sources internes et
externes.
La figure suivante présente les
composantesd'unPMRefficace selon le COSO ERM :
Figure 2: les cinq composantes du
COSO ERM
Source : (COSO, 2017)
| 
