Bien que l'idée de gestion des risques d'entreprise (ERM) existe depuis longtemps, ce n'est qu'à la crise financière de 2008 qu'elle est devenue largement reconnue comme un cadre important de la stratégie commerciale globale d'une entreprise. Mais, malgré l'accent accru mis sur la gestion des risques d'entreprise, de nombreux acteurs de l'industrie ont du mal à fournir une définition précise. En conséquence, le RMA ERM Council a entrepris d'élaborer des guides très réalistes pour la mise en œuvre d'un système rigoureux de gestion des risques d'entreprise qui aidera les organisations de toutes tailles à gérer les risques de manière holistique.
Définition de la gestion des risques d'entreprise
La GRE est décrite par le conseil comme "la capacité de la direction à gérer tous les risques commerciaux dans la poursuite de rendements appropriés".
Avec ce concept comme point de départ, le conseil a élaboré une politique pour aider la direction et les conseils d'administration à répondre aux questions commerciales pertinentes sur l'appétit pour le risque d'une institution, la stratégie commerciale et la couverture des risques, la gouvernance et les politiques, les données et l'infrastructure des risques, l'évaluation et l'évaluation, l'environnement de contrôle, la réponse et les tests de résistance.
Donc, loin des définitions, au cours de cet article, nous passerons en revue le cadre de gestion des risques d'entreprise. Cela inclut également une stratégie que vous pouvez suivre immédiatement.
Cadre de gestion des risques d'entreprise
La culture est au cœur du modèle de cadre de gestion des risques d'entreprise. Fondamentalement. aucun des autres éléments n'aurait d'importance si une organisation n'avait pas la bonne culture et un bon leadership au sommet. En d'autres termes, les entreprises qui comprennent et mettent en œuvre l'ERM comme un mode de pensée surpassent celles qui ne le font pas.
En fin de compte, un cadre de gestion des risques d'entreprise répondra à trois questions commerciales clés :
- Devrions-nous le faire (conformément à notre politique commerciale, notre appétit pour le risque, notre histoire, nos principes et notre éthique) ?
- Pouvons-nous le faire (en termes d'individus, de procédures, de structure et de technologie) ?
- Avons-nous réussi (évaluation des résultats prévus, apprentissage continu et système rigoureux de freins et contrepoids) ?
Cependant, quelle que soit la taille de l'institution ou la manière dont elle souhaite catégoriser ses risques, la structure du cadre de gestion des risques d'entreprise s'applique. La représentation circulaire du cadre est délibérée. En outre, les composants individuels (tels que la couverture ou l'appétit pour le risque) doivent circuler dans les deux sens, et non dans un ordre séquentiel. De plus, la culture est dépeinte comme le centre/cœur/fondation du modèle, car les autres composants sont quelque peu dénués de sens sans la bonne culture.
Ce que couvre un cadre de gestion des risques d'entreprise
Le cadre ERM a été créé pour aider la direction et les conseils d'administration à résoudre les problèmes commerciaux importants suivants :
- Quels sont tous les risques (couverture) pour notre plan de marché et nos opérations ?
- Quel est notre appétit pour le risque (combien de risques sommes-nous capables de prendre) ?
- Comment collectons-nous les données (données sur les risques et infrastructure) dont nous avons besoin pour gérer ces risques ?
- Quelles sont la culture, la gouvernance et les politiques qui réglementent la prise de risque ?
- Comment gardons-nous les risques sous contrôle (environnement de contrôle) ?
- Quelles sont les pires situations qui pourraient nous nuire (tests de résistance) ?
- Comment déterminons-nous l'ampleur des différentes menaces (mesure et évaluation) ?
- Quels sont nos plans pour faire face à ces dangers (réponse) ?
- Quelle est la relation entre les différentes menaces (tests de résistance) ?
Le RMA ERM Council a utilisé un ensemble de manuels très réalistes pour les praticiens de la gestion des risques afin d'établir ce cadre ERM et les compétences ERM connexes. Voici les classeurs :
- Cahier de travail sur la gouvernance et les politiques d'appétit pour le risque
- Mesure et évaluation des données sur les risques et de l'infrastructure (traité dans le cadre du manuel sur la gouvernance et les politiques)
- Un guide de base pour l'analyse de scénarios et les tests de résistance pour les banques communautaires
Compétences GRE
Voici les descriptions des éléments clés d'une stratégie réussie de gestion des risques d'entreprise :
#1. Stratégie commerciale et couverture
La gestion des risques doit s'inscrire dans le cadre de la stratégie d'entreprise et répondre à la question fondamentale ; « Quelle est notre stratégie commerciale et quels risques l'accompagnent ? »
Avant d'articuler son appétit pour le risque, une organisation doit d'abord définir ses priorités et ses objectifs, ou son plan d'affaires. En termes de marchés, de géographies, de divisions, de biens, de bénéfices, etc., l'institution doit identifier ses objectifs. L'organisation évalue ensuite le risque associé à ce plan et décide du niveau de risque qu'elle est prête à prendre pour l'exécuter. Pendant ce temps, une entreprise est vulnérable aux menaces suivantes, quelle que soit sa stratégie commerciale :
- Crédit
- Liquidité
- Marché
- Efficacité
- Conformité/juridique/réglementaire
- Services
- Adéquation des fonds propres
#2. Appétit pour le risque
Le Risk Appetite Workbook de RMA explique ce qu'est un appétit pour le risque et comment une organisation peut en développer un de manière très détaillée. Il définit l'appétit pour le risque comme "le montant de risque (volatilité des résultats attendus) qu'une entité est prête à tolérer dans la poursuite d'un résultat financier souhaité (rendements)".
En attendant, il est essentiel de noter que si les individus utilisent souvent les termes « appétit pour le risque » et « tolérance au risque » de manière interchangeable, ils ont des significations distinctes. L'appétit pour le risque fait référence au degré d'incertitude qu'une organisation est capable d'accepter afin de mener à bien son plan d'affaires. La tolérance au risque fait référence aux limites d'exploitation quotidiennes d'une entreprise qui sont fixées dans le sens de son appétit pour le risque spécifié (par exemple, les limites de concentration).
Les liens vitaux entre la politique, les stratégies commerciales et le risque doivent être compris par la direction et le conseil d'administration. Une ressource qui favorise ce lien est une déclaration d'appétit pour le risque. Dans ce contexte, la gestion des risques est une composante importante de la stratégie globale et des objectifs commerciaux de base de l'institution, ainsi que de sa performance, de ses rendements et de son développement de valeur.
#3. Culture, gouvernance et politique
La culture peut être décrite comme « ce que les gens font quand personne ne regarde ». Comme indiqué précédemment, l'élément le plus critique de toute compétence réussie en GRE est la culture. Le manuel de gouvernance de RMA traite de la gouvernance et des réglementations, ainsi que de nombreux exemples de comités de gouvernance au niveau du conseil d'administration et de la direction pour superviser les activités de prise de risques.
Pour le grand public, les politiques expriment l'appétit pour le risque de l'entreprise. Ils indiquent à toutes les parties prenantes ce que l'organisation est prête à faire et ce qu'elle n'est pas prête à faire. Des politiques (que faire ?) et des procédures (comment les faire ?) sont utilisées pour réaliser la déclaration d'appétence au risque.
En termes simples, l'histoire, la gouvernance et les politiques d'une institution fonctionnent ensemble pour l'aider à gérer ses activités à risque.
#4. Risque et infrastructure
La gestion des risques est assurée par les conseils d'administration et la direction ayant une compréhension approfondie du profil de risque de l'entreprise. La façon dont les informations sont recueillies, intégrées, traitées et converties en un récit cohérent est appelée données et infrastructure sur les risques.
Cependant, c'est probablement la partie la plus difficile de la GRE. Certaines entreprises investissent souvent entre 200 et 300 millions de dollars sans voir de retour sur leur investissement.
Par conséquent, un système d'information de gestion hautement fiable est utile lors de la création d'un cadre efficace de gestion des risques. Et pour l'essentiel, le Conseil ERM a l'intention de consacrer un manuel entier à ce sujet en raison de son importance.
#5. Environnement de contrôle
L'environnement de contrôle interne est l'un des outils les plus critiques de la boîte à outils de gestion pour la gestion des risques. Les contrôles internes aident à réduire le niveau de risque inhérent à un niveau que la direction peut accepter. Une partie du cadre de contrôle interne comprend la culture, la gouvernance, les réglementations, les contrôles préventifs et de détection et la planification de scénarios.
De plus, les contrôles internes aident la direction à maintenir le risque résiduel à un niveau minimal.
#6. Mesure et évaluation
Les conseils d'administration et la direction doivent gérer un portefeuille de risques à tout moment. Cela va de la qualité des actifs, de la liquidité, des taux d'intérêt à la continuité des activités, à la sécurité des informations, à la confidentialité, etc.
Cependant, dans la GRE, les calculs sont la science et l'art de déterminer quels risques sont importants et lesquels ne le sont pas. Il évalue également où consacrer du temps, des ressources et des efforts.
Par exemple, une organisation peut utiliser un modèle de code couleur simple (vert, jaune et rouge), un rendement du capital ajusté au risque (RAROC) très sophistiqué ou une analyse intermédiaire des modes de défaillance et des effets ( FMEA) pour atteindre l'objectif de mesure et d'évaluation.
Pendant ce temps, la mesure et l'évaluation, quel que soit le processus, aident les conseils d'administration et la direction à répondre à la question ; "Et alors?" Le système de contrôles internes doit être inclus dans le processus d'appréciation et d'évaluation, ainsi qu'une détermination de la manière dont les risques peuvent être gérés.
#7. Planification de scénarios et tests de résistance
La capacité de répondre à la question : « Qu'est-ce qui peut mal tourner et donc entraîner un écart par rapport aux résultats prévus ? » est l'art de la GRE. La direction doit résoudre les menaces documentées, connaissables et inconnues afin d'atteindre cet objectif.
Fondamentalement, la gestion de scénarios et les tests de résistance sont des méthodes qui se concentrent sur les risques connus et, dans certains cas, inconnus. Par conséquent, du point de vue de la planification des immobilisations, une solide discipline en matière de planification de scénarios et de tests de résistance est importante.
Quels sont les quatre objectifs de la GRE ?
Le cadre actuel comporte huit couches, chacune avec quatre objectifs : Stratégique | Opérations | Rapports | Conformité : l'environnement interne fait référence au ton de l'organisation, à sa volonté de prendre des risques et à des éléments tels que la surveillance du conseil d'administration.
Quels sont les 5 composants de la gestion des risques d'entreprise ?
Le processus ERM comporte cinq composants particuliers :
stratégie/établissement d'objectifs, identification des risques, évaluation des risques, réponse aux risques, communication sur les risques et suivi de ceux-ci.
Quels sont les 3 types de risques d'entreprise ?
Le processus de GRE comporte cinq composantes particulières : définition de la stratégie/des objectifs, identification des risques, évaluation des risques, réponse aux risques, communication sur les risques et suivi de ceux-ci.
Qu'est-ce que l'ERM et ses avantages ?
Quels sont les avantages de l'ERM ?
- Meilleure compréhension des dangers affectant l'organisation et capacité d'y répondre efficacement.
- Assurance accrue dans l'accomplissement des objectifs stratégiques.
- La conformité aux normes légales, réglementaires et de reporting a été améliorée.
- Amélioration de l'efficacité et de l'efficience opérationnelles
