Management des risques d'entreprise : COSO se refait une beauté



Avec son nouveau look « revampé », COSO 2017 se fait une nouvelle beauté et se recentre davantage sur les objectifs d’affaires spécifiques à l’organisation en analysant davantage l’impact des risques sur les performances.

Les technologies y tiennent une place prépondérante et les cyber-risques font enfin leur entrée officielle au plus haut niveau de gouvernance de l’entreprise. Les relations entre les référentiels d’audit interne et de gestion intégrée des risques sont clarifiées. Enfin, cette nouvelle mise à jour prend acte de l’impact de la mondialisation et permet de moduler l’approche selon les risques propres à chaque zone géographique. COSO 2017 élargit le reporting en demandant davantage de transparence et d’analyses pour étayer les prises de décisions, et force à tirer davantage partie des retours d’expériences sur les incidents récents.

On devine ainsi le « vécu » derrière cette nouvelle version de COSO : ces entreprises qui d’année en année reviennent avec les mêmes contrôles défaillants sans qu’aucune remédiation n’est été apportée. On devine aussi l’impact que les cyber-incidents tels que ceux d’Équifax ont pu avoir. Et finalement, on reconnaît qu’il faut adresser les risques technologiques au même niveau que les risques d’affaires. C’est donc un COSO 2017 axé sur la préservation de la valeur de l’entreprise qui a fait son entrée en 2017. Un référentiel qui réaffirme encore davantage la nécessité d’une gouvernance intégrée des risques au plus haut niveau de l’organisation avec davantage d’obligations de moyens et de résultats.

Rappelons brièvement les 5 principes de COSO :


1. Gouvernance et culture

La culture et les valeurs éthiques jouent un rôle prépondérant dans l'appréhension de la gestion des risques de l'entreprise.

2. Stratégie et définition des objectifs

La stratégie de gestion des risques permet de définir les différents critères de risques, les seuils d'impact et de potentialité et donc l’appétence au risque de l'entreprise. Cette appétence au risque est intimement liée au plan d'affaires de l'organisation. Elle doit couvrir aussi bien les risques financiers, non financiers, internes, externes, opérationnels, d'image, humains etc...Elle doit décrire la démarche d'identification, d'évaluation et de traitement des risques.

3. Performance

Les risques critiques pour l'organisation sont identifiés et communiqués pour traitement aux parties prenantes. Il ne s'agit donc pas forcément de traiter tous les risques mais de traiter ceux qui sont critiques pour l'organisation, au sens de la grille d’appétence au risque.

4. Revue et amendement

Au fil du temps, des expériences, de l'évolution du marché et des changements internes la stratégie de gestion des risques peut être révisée et actualisée pour rester aligner sur la valeur de l'entreprise.

5. Information, communication et reporting

Un process permanent de contrôle, d'obtention et de partage des informations relatives au risque doit être mis en place pour assurer un traitement en temps adéquat par les parties prenantes.

Besoin d'en savoir davantage ? N'hésitez pas à nous contacter ici. Nous intervenons dans la gestion des risques depuis de nombreuses années. COSO et COBIT n'ont aucun secret pour nous !

#français #cybersécurité #management #vérification #gouvernance #COSO #ERM