Management des risques 10 : Aspect Réglementaire et Normatif
1. +
Chapitre 10 : Aspect
Réglementaire et Normatif
Ibtissam EL HASSANI
Management
des Risques II
08/01/2015
Management des Risques - Ibtissam
EL HASSANI
2. +
Une Norme ?
n Une norme technique est un référentiel publié par un
organisme de normalisation officiellement agréé par un État
(comme AFNOR, IMANOR) ou issu d'un traité international
(comme ISO).
n ISO : L'Organisation internationale de normalisation.
n AFNOR : Association française de normalisation.
n IMANOR : Institue Marocaine de la Normalisation.
08/01/2015Management des Risques - Ibtissam EL HASSANI
2
3. +
Quelle Norme pour la Gestion des
Risques
n COSO Enterprise Risk Management – Integrated Framework
n ISO 31000 Risk Management – Principles and Guidelines on
Implementation
n BS 31100 Code of Practice for Risk Management
n FERMA A Risk Management Standard
n OCEG Red Book 2.0 (GRC Capability Model)
n …
08/01/2015Management des Risques - Ibtissam EL HASSANI
3
4. +
L’ISO 31000:2009
n Il existe une multitude de normes traitant des risques selon le secteur
ou l’activité. Elles permettent cependant de traiter un aspect du risque
dans un périmètre restreint.
n L’ISO 31000:2009, référentiel de management du risque, propose des
axes pour mettre en place, quels que soient la taille, le secteur,
l’activité de l’organisme, un management des risques pertinent et
efficace qui assurera la pérennité de l’organisme.
n ISO 31000 désigne une famille de normes de gestion des risques
codifiés par l'Organisation internationale de normalisation. Le but de
la norme ISO 31000:2009 est de fournir des principes et des lignes
directrices du management des risques ainsi que les processus de
mise en œuvre au niveau stratégique et opérationnel.
08/01/2015Management des Risques - Ibtissam EL HASSANI
4
5. +
L’ISO 31000:2009
n En novembre 2009, la nouvelle norme internationale ISO
31000 en management des risques fut publiée avant d’être
rapidement adoptée en norme française par l’AFNOR sous :
NF ISO 31000 :2010.
08/01/2015Management des Risques - Ibtissam EL HASSANI
5
6. +
La famille ISO 31000
n la famille ISO 31000 comprend maintenant :
n ISO 31000:2009 – Management du risque — Principes et lignes
directrices.
n ISO/CEI 31010:2009 - Gestion des risques - Techniques
d'évaluation des risques.
n ISO Guide 73:2009 - Management du risque — Vocabulaire.
n ISO/TR 31004:2013 - Management du risque -- Lignes directrices
pour l'implémentation de l'ISO 31000.
08/01/2015Management des Risques - Ibtissam EL HASSANI
6
7. +
Structure de la norme ISO 31000
n La norme est structurée en des parties :
08/01/2015Management des Risques - Ibtissam EL HASSANI
7
Le schéma conceptuel de la norme ISO 31000
Les principes
répondent à la
question pourquoi fait-
on du management
des risques. Le
processus
d’intégration de ces
principes se fait
ensuite à deux
niveaux : le niveau
décisionnel et le
niveau opérationnel.
Le cadre d’organisation
explique comment
intégrer, via le processus
itératif de la roue de
Deming (Plan-Do-Check-
Act), le management des
risques dans la stratégie
de l’organisation (conduite
stratégique).
Le processus de
management précise
comment intégrer le
management des
risques au niveau
opérationnel de la
stratégie de
l’organisation (conduite
opérationnel). Ce
processus itératif est
bien connu des risk-
manager (voir schéma).
9. +
Les 11 Principes du Management
des Risques (1)
n 1 - Le management des risques crée de la valeur et la
préserve.
n Le management des risques contribue de façon tangible à l'atteinte
des objectifs et à l'amélioration des performances de l’organisation, à
travers la révision de son système de management et de ses
processus.
n 2 - Le management des risques est intégré aux processus
d’organisation.
n Le management des risques doit être intégrée dans le système de
management existant tant au niveau stratégique qu’au niveau
opérationnel.
n 3 - Le management des risques est intégré aux processus de
prise de décision.
n Le management des risques est une aide à la décision pour faire des
choix argumentés, pour définir des priorités et pour sélectionner les
actions les plus appropriées
08/01/2015Management des Risques - Ibtissam EL HASSANI
9
10. +
Les 11 Principes du Management
des Risques (2)
n 4 - Le management des risques traite explicitement de
l'incertitude.
n En identifiant les risques potentiels, l’organisation peut mettre en place des
outils de réduction et de financement des risques dans le but de maximaliser
les chances de succès et minimiser les possibilités de pertes.
n 5 - Le management des risques est systématique, structuré et
utilisé en temps utile .
n Les processus du management des risques devraient être cohérents à travers
l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la
fiabilité des résultats.
n 6 - Le management des risques s'appuie sur la meilleure
information disponible.
n Pour un management des risques efficace, il est important de considérer et de
comprendre toutes les informations disponibles et pertinentes pour une
activité, tout en reconnaissant les limites des données et des modèles utilisés
08/01/2015Management des Risques - Ibtissam EL HASSANI
10
11. +
Les 11 Principes du Management
des Risques (3)
n 7 - Le management des risques est adapté.
n Le management des risques d’une organisation doit être adapté en fonction
des ressources disponibles – ressources de personnel, de finance et de temps
– ainsi qu’en fonction de son environnement interne et externe
n 8 - Le management des risques intègre les facteurs humains et
culturels .
n Le management des risques doit reconnaitre la contribution des personnes et
des facteurs culturels à la réalisation des objectifs de l'organisation.
n 9 - Le management des risques est transparent et participatif.
n En impliquant les parties prenantes, internes et externes, lors des processus
de management des risques, l’organisation reconnait l’importance de la
communication et de la consultation lors des étapes d’identification,
d’évaluation et de traitement des risques.
08/01/2015Management des Risques - Ibtissam EL HASSANI
11
12. +
Les 11 Principes du Management
des Risques (4)
n 10 - Le management des risques est dynamique, itératif
et réactif au changement .
n Le management des risques doit être flexible. L’environnement
concurrentiel oblige l’organisation à s’adapter au contexte
interne et externe, spécialement lorsque de nouveaux risques
apparaissent, lorsque certains risques sont modifiés, tandis que
d'autres disparaissent.
n 11 - Le management des risques facilite l'amélioration
continue de l'organisation.
n Les organisations possédant une maturité en matière de
management des risques sont celles qui investissent à long terme
et qui démontrent la réalisation régulière de ses objectifs.
08/01/2015Management des Risques - Ibtissam EL HASSANI
12
13. +
ISO 31000:2009
n Management du risque — Principes et lignes directrices
08/01/2015
Management des Risques - Ibtissam EL HASSANI
13
Relations entre les principes, le cadre organisationnel et le processus de management du risque
16. +
COSO 2 - Enterprise Risk
Management Framework
n Le COSO(*) 2 propose un cadre de référence pour la gestion des
risques de l’entreprise (Enterprise Risk Management
Framework). Il défini par le Committee Of Sponsoring
Organizations of the Treadway Commission.
n identifier les événements potentiels pouvant affecter l’organisation,
n maîtriser les risques afin qu’ils soient dans les limites du « Risk
Appetite (appétence au risque)», c’est-à-dire le niveau de risque que
l’organisation accepte de prendre dans le but d’accroître sa
rentabilité.
n fournir une assurance raisonnable quant à la réalisation des objectifs
de l’organisation.
(*) Committee Of Sponsoring Organizations of the Treadway Commission
08/01/2015Management des Risques - Ibtissam EL HASSANI
16
17. +
COSO2
n Enterprise Risk Management — Integrated Framework (2004)
n Demystifying Sustainability Risk: Integrating the triple bottom line into an enterprise
risk management program.(2013)
n ERM Risk Assessment in Practice (2012)
n Enterprise Risk Management for Cloud Computing. (2012)
n Enterprise Risk Management - Understanding and Communicating Risk Appetite (2012)
n Embracing Enterprise Risk Management: Practical Approaches for Getting Started.
(2011)
n Developing Key Risk Indicators to Strengthen Enterprise Risk Management. (2011)
n Board Risk Oversight – A Progress Report:Where Boards of Directors Currently Stand in
Executing their Risk Oversight Responsibilities. (2010)
n COSO's 2010 Report on ERM: Current State of Enterprise Risk Oversight and Market
Perceptions of COSO's ERM Framework (2010)
n Strengthening Enterprise Risk Management for Strategic Advantage. (2009)
n Effective Enterprise Risk Oversight:The Role of the Board of Directors. (2009)
08/01/2015Management des Risques - Ibtissam EL HASSANI
17
19. +
Le Cube de COSO 2 ERM
Huit
Composantes
08/01/2015Management des Risques - Ibtissam EL HASSANI
19
Quatre Catégories d’Objectifs
Quatre niveaux
au sein de
l’organisation