Introduction Au Risk Management - YAK [PDF]

Zitiervorschau

Introduction au Risk Management Janvier 2021 Yves-Aymard KISSI

Vos attentes  ???

Objectifs pédagogiques  Comprendre les concepts clés du Risk management  S’approprier le cadre réglementaire d’un dispositif de Risk Management  Mettre en place un dispositif global de Risk Management dans son organisation

Objectifs pédagogiques  Comprendre les concepts clés du Risk management  S’approprier le cadre réglementaire d’un dispositif de Risk Management  Mettre en place un dispositif global de Risk Management dans son organisation

1. Définition des notions clés 2. Objectifs et principes du Risk Management

3. Processus de gestion des risques 4. Etude de Cas

Définition des notions clés  Incertitude: L'incertitude est une donnée intrinsèque à la vie de toute organisation. La notion d'incertitude se traduit aussi bien en termes de risques que d'opportunités, pouvant potentiellement détruire comme créer de la valeur. [COSO 2]  Risque:

 Le risque est l’effet de l’incertitude sur l’atteinte des objectifs  Note 1 : Un effet est un écart, positif et/ou négatif, par rapport à une attente.  Note 2 : Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d'un projet, d'un produit, d'un processus ou d'un organisme tout entier).  Note 3 : Un risque est souvent caractérisé en référence à des événements et des conséquences potentiels ou à une combinaison des deux.  Note 4: Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement (incluant des changements de circonstances) et de sa vraisemblance.  Note 5 : L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la connaissance d'un événement, de ses conséquences ou de sa vraisemblance. [SOURCE: ISO Guide 73:2009, définition 1.1]

Définition des notions clés  Gestion des risques: La gestion des risques se définit comme étant :  Un processus mis en œuvre par le conseil d'administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation

 Il est pris en compte dans l'élaboration de la stratégie ainsi que toutes les activités de l'organisation.  Il est conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et, pour gérer les risques dans la limite de l'appétence de l'organisation pour le risque.

 Il vise, enfin, à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation [Source: COSO 2]

 Appétence au risque: l'appétence pour le risque est le niveau de risque global auquel l'organisation accepte de faire face, en cohérence avec ses objectifs de création de valeur. Il reflète sa conception en matière de management des risques et influence sa culture et son approche opérationnelle. [Source: COSO 2]

Définition des notions clés  Vraisemblance (Likelihood): Dans la terminologie du Risk Management , le mot «vraisemblance» est utilisé pour indiquer la possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de façon objective ou subjective, qualitative ou quantitative, et qu'elle soit décrite au moyen de termes généraux ou mathématiques telles une probabilité ou une fréquence sur une période donnée. [SOURCE: ISO Guide 73:2009, définition 3.6]  Impact: L’impact peut être apprécié selon plusieurs paramètres : impact financier, humain, impact sur l’image de l’entreprise. Généralement, il est souvent fait appel à la cotation selon une échelle de type : faible/moyen/élevé. La combinaison du critère 1 (probabilité d’occurrence) et du critère 2 (impact) permet d’attribuer au risque considéré une cotation globale. Ainsi la gestion des risques permet une meilleure connaissance et une bonne compréhension de l’impact du risque en cas de survenance

Objectifs et Principes du Risk Management  La gestion des risques crée et protège de la valeur  La gestion des risques fait partie intégrante de tous les processus organisationnels  La gestion des risques fait partie de la prise de décision  La gestion des risques aborde explicitement l'incertitude  La gestion des risques est systématique, structurée et opportune  La gestion des risques repose sur les meilleures informations disponibles

 La gestion des risques est adaptée aux besoins de l'entreprise  La gestion des risques tient compte des facteurs humains et culturels  La gestion des risques est transparente et inclusive 

La gestion des risques est dynamique, itérative et réactive au changement

 La gestion des risques facilite l'amélioration continue de l'organisation

Processus de gestion des risques  La gestion des risques est encadrée par différents référentiels dont les plus importants sont: ISO 31000 International Risk Management Standard soutenu des normes ISO 27001 et ISO 22301, le COSO framework et le référentiel King IV.  Les phases communes à ces différents référentiels sont:  Analyse de l'entreprise: établir le contexte de l'organisation  Évaluation des risques  Identification des risques  Analyse des risques

 Évaluation des risques  Traitement des risques  Suivi et revue des risques

Processus de gestion des risques

Phase 1: Analyse de l’entreprise  La première étape du processus de gestion des risques consiste à acquérir une compréhension de l'organisation, de ses activités et processus;  L'objectif de cette phase est de collecter des informations relatives à la portée de l'évaluation des risques et, par conséquent, cette phase est applicable à tous les types d'évaluations des risques effectuées au sein de l'organisation (au niveau exécutif, fonctionnel, processus).

 Le point de départ de cette phase est de comprendre l'environnement opérationnel de l'organisation. Des événements internes et externes peuvent affecter la capacité de l’organisation à atteindre ses objectifs. Il est donc important de comprendre et d'évaluer le contexte interne et externe dans lequel l'organisation fonctionne.  Le résultat de cette phase est un récapitulatif détaillé de toutes les informations recueillies. Les informations doivent être utilisées comme données d'entrée dans le processus d'identification des risques. Les Risk Managers doivent éviter d'engager la direction dans l'identification des risques tant qu'ils n'ont pas analysé les informations relatives au périmètre de leur évaluation des risques.

Processus de gestion des risques Phase 2: Evaluation des risques Identification des risques  L’objectif de cette activité est d’identifier les risques susceptibles d’affecter la réalisation des objectifs de l’organisation et les possibilités d’améliorer les performances commerciales. L'identification des opportunités est aussi importante que l'identification des risques.  L’identification des risques commence par l’identification et le profilage des objectifs de l’organisation, qui doivent être bien définis, avant que la direction puisse identifier des événements potentiels affectant leur réalisation.  Les risques et opportunités sont consignés dans un registre des risques, qui constituera la base d'une identification plus poussée des risques afin de produire un registre complet des risques.  Un univers de risque commun, appelé les risques principaux, facilite l'identification des risques. L'univers des risques sera revu régulièrement pour s'assurer qu'il est à jour et adapté à ses besoins.  Diverses approches et outils d'identification des risques peuvent être adoptés pour faciliter l'identification des risques. Cela peut inclure des questionnaires, des entretiens et l'animation d'ateliers avec la direction. Les informations recueillies lors de la phase d'analyse commerciale, ainsi que l'univers des risques, doivent constituer la base de l'identification initiale des risques.

Processus de gestion des risques Phase 2: Evaluation des risques Analyse des risques  Le but de l'activité d'analyse des risques est de fournir une vue de la probabilité et de l'impact des risques et opportunités identifiés. Cela aide à comprendre le risque, sa hiérarchisation et sa prise de décision. Il est impératif que tous les risques enregistrés dans le registre des risques soient évalués.  Le résultat de l'activité d'analyse des risques sera un registre des risques mis à jour qui comprend les cotes de probabilité et d'impact de chaque risque et opportunité. L'analyse peut inclure une approche à la fois qualitative et quantitative.  Risques inhérents: Pour chaque risque identifié, le risque inhérent (risque en l'absence de contrôles) est évalué. Ceci est basé sur l'impact du risque s'il se produit.  Contrôles: Lors de l‘analyse des risques, les contrôles qui existent pour traiter le risque doivent être évalués pour leur adéquation et leur efficacité, afin de réduire le risque à un niveau acceptable. Les contrôles peuvent être préventifs, détectifs ou correctifs, mais ils doivent surtout être pertinents par rapport au risque, qu'ils visent à atténuer. Les contrôles identifiés doivent être enregistrés dans le registre des risques.  Risques résiduels: L'évaluation des risques résiduels suit ensuite (c'est-à-dire la situation du risque inhérent après examen de l'efficacité des contrôles). Le risque résiduel est évalué en examinant la probabilité d'occurrence et l'impact du risque s'il survient. Les mêmes échelles de probabilité et d'impact sont utilisées pour évaluer les risques.

Processus de gestion des risques Phase 2: Evaluation des risques Evaluation des risques  Cette activité correspond à l'évaluation des résultats de la phase d‘analyse des risques en termes de leur impact agrégé. Cela implique de comparer le risque à des critères prédéterminés pour déterminer leur effet net, spécifiant ainsi l’importance du risque par rapport aux objectifs de l’organisation. Le processus facilite la priorisation et la prise de décision concernant la mise en œuvre du traitement.  Lors de l'exécution de cette activité, les résultats des indicateurs clés de risque (KRI), lorsqu'ils sont disponibles, doivent être dûment pris en considération.  Les indicateurs de risques clés sont une mesure permettant de mieux comprendre les événements potentiels. Les KRI sont liés à des risques spécifiques et agissent comme un signal d'alerte précoce pour les risques identifiés.  Déterminer les tolérances pour chaque indicateur clé: Les niveaux / limites de tolérance au risque fixent les limites de l'évaluation des risques et fournissent à la direction un indicateur que les risques associés sont croissants. Les limites de tolérance sont généralement déterminées par la direction générale et approuvées par le conseil d'administration

Processus de gestion des risques

Phase 3: Traitement des risques  Le traitement des risques prend en compte les réponses et les plans d'action spécifiques pour faire face aux risques et opportunités identifiés avec une stratégie de réponse aux risques déterminée pour chacun des risques identifiés.  Une stratégie de réponse aux risques fait simplement référence aux efforts supplémentaires, le cas échéant, qui doivent être déployés par la direction pour réduire la probabilité de survenance du risque et / ou pour minimiser l'impact sur l'organisation si le risque se matérialise.  Il existe quatre approches pour répondre au risque (les quatre T):  Traiter / atténuer le risque: cela implique de contrôler le risque en incorporant des étapes dans les processus associés au risque pour réduire l'impact et / ou la probabilité d'occurrence ou en mettant en place une série de mesures d'atténuation pour contenir le risque à un niveau acceptable.  Terminer / éviter le risque: cela implique une action rapide et décisive pour éviter un risque en éliminant ou en modifiant les activités afin que le risque ne se produise pas. En considération de mettre fin / éviter comme réponse, trois aspects doivent être pris en compte:  1) Opportunité: Une opportunité significative peut être réalisée une fois le risque éliminé?  2) Objectif commercial: Un autre plan d'action satisfera-t-il toujours les objectifs commerciaux ?

 3) Coût: Le coût d'élimination du risque l'emporte-t-il sur l'impact s'il se concrétise ?

Processus de gestion des risques

Phase 3: Traitement des risques  Transférer / partager le risque: cela implique de transférer le risque vers une autre entreprise ou organisation en mettant en place un arrangement, généralement un contrat ou un accord financier, par lequel le risque est assumé par d'autres. Le transfert d'un risque ne réduit pas son impact si le risque se matérialise, il transfère simplement le risque à une autre partie. Cela peut être par exemple en achetant une couverture d'assurance ou en contractant avec un tiers pour faire exécuter un service au lieu de le fournir en interne.  Tolérer / accepter le risque: la capacité de prendre des mesures efficaces contre certains risques peut être limitée, ou le coût de l'action peut être disproportionné par rapport au bénéfice potentiel obtenu. Dans ce cas, la seule action requise est d'absorber le risque et de surveiller pour s'assurer que sa probabilité ou son impact change. Si de nouvelles options se présentent, il peut être approprié de traiter / mettre fin / transférer ce risque à l'avenir. En envisageant d'accepter un risque, les éléments suivants doivent être pris en compte:

 Plans d'action alternatifs: Des alternatives auraient dû être envisagées et il est clair que toutes les options possibles ont été examinées  Capacité à accepter le risque: Il doit être clair quel est l'impact du risque s'il se concrétise

 Durée de l'acceptation - La décision d'accepter un risque ne doit pas être considérée comme une réponse permanente et des mécanismes de surveillance doivent être mis en œuvre pour envisager les alternatives qui peuvent survenir.

Processus de gestion des risques

Phase 4: Suivi et revue des risques  L'objectif est de s'assurer que les risques sont surveillés, escaladés en temps opportun et signalés aux bons niveaux au sein de l’entreprise. Pour atteindre cet objectif, il doit y avoir un processus de filtrage des risques identifiés. Il est donc impératif qu'un mécanisme existe pour garantir que les risques sont signalés au département compétent en temps opportun  Le processus de suivi consiste à assurer l’implémentation du plan d'action et à mesurer son taux réalisation. Les résultats du suivi et de la revue doivent être consignés et correctement rapportés aux instances appropriées (Comité de Risque) suivant une périodicité régulière.

Etude de Cas  Après avoir passé une dizaine d’années dans une Compagnie d’Assurance, vous avez monté votre propre compagnie d’assurance.  Sur la base de votre riche expérience, concevez un registre complet des risques incluant :  10 risques inhérents à votre activité et leur évaluation (Faible, Modéré, Elevé)  Les contrôles en place, leur type et leur effectivité/efficacité

 Les risques résiduels et leur évaluation (Faible, Modéré, Elevé)  4 des 10 risques résiduels doivent être évalués comme « Elevé ». Pour ces 4 risques, décrivez de manière détaillée et précise votre approche de réponse en utilisant chaque élément des 4T tout en tenant compte des contraintes si applicables.

ARIGATO

KLOUAO

THANK YOU

MERCI ANITCHE

ASSE

DANKE OBRIGADO

AYOKA

GRACIAS