présentent
Le management des risques de l’entreprise Cadre de Référence – Techniques d’application – COSO II Report –
Préface de PHILIPPE CHRISTELLE Président de l’Institut de l’Audit Interne et de SERGE VILLEPELET Président de PricewaterhouseCoopers
© Editions d’Organisation, 2005 ISBN : 2-7081-3432-9
Préface à l’édition française
L’«Enterprise Risk Management – Integrated Framework» s’inscrit dans le prolongement de l’«Internal Control – Integrated Framework », le « COSO Report », publié par le « Committee of Sponsoring Organizations of the Treadway Commission » (COSO) aux Etats-Unis en 1992. L’Institut Français de l’Audit et du Contrôle Internes (IFACI) et PricewaterhouseCoopers (PwC) s’étaient alors associés pour en présenter la traduction française en 1994 sous le titre «La Nouvelle pratique du Contrôle Interne». Dix ans plus tard, l’IFACI et PwC ont le plaisir de conjuguer à nouveau leurs expertises pour présenter au public français la traduction de cette nouvelle publication du COSO sous le titre «Le management des risques de l’entreprise». L’IFACI compte aujourd’hui plus de 2700 membres représentant 700 entreprises et organisations et PricewaterhouseCoopers rassemble en France 3700 personnes dans 25 bureaux. A l’origine des réflexions qui ont présidé au lancement de ce projet se trouve l’exigence pour le management de mettre en œuvre un mode de gestion adapté à un environnement de plus en plus risqué, faisant planer
© Éditions d’Organisation
VII
LE MANAGEMENT DES RISQUES DE L’ENTREPRISE
une menace importante sur la réalisation des objectifs des entreprises, et en particulier celui de «création de valeur». La pression accrue de la concurrence, l’impact grandissant des nouvelles technologies, la fluctuation des cours, le renchérissement des matières premières et la complexification des environnements juridiques sont parmi les principaux risques relevés par les dernières enquêtes annuelles conduites par PwC auprès des CEO internationaux dans le cadre du forum économique de Davos. Ainsi le management approprié de ces risques se place au cœur des préoccupations des dirigeants et ce d’autant plus que l’exigence de performance attendue par les investisseurs exclut la frilosité tout autant que la témérité. Si l’art délicat de la prise de risques a toujours été un attribut incontournable du management, les modalités d’appréhension des risques connaissent un renouvellement. L’approche traditionnelle, marquée notamment par un cloisonnement de la gestion des risques et par une vision très axée sur l’arbitrage entre «assumer» ou «recourir à l’assurance», est ainsi jugée insuffisante. La demande des dirigeants s’oriente vers des outils intégrant le management des risques dans le management global des activités. La prise en compte des opportunités et menaces doit irriguer l’organisation, de la fixation de sa stratégie jusqu’à la conduite quotidienne des opérations. La politique de management des risques doit être largement partagée pour éviter toute surexposition non souhaitée, et les dispositifs en place doivent faciliter un pilotage global des risques, qui embrasse les complexités métiers, géographiques et juridiques de l’entité. Ici, comme ailleurs, les maître-mots sont anticipation, réactivité et flexibilité. L’avantage compétitif reviendra ainsi à ceux qui, les premiers, sauront identifier, puis saisir et exploiter les opportunités nouvelles glissées dans le nuage d’incertitudes qui entoure l’organisation. C’est dans cet esprit, partagé par les organisations professionnelles qui composent le COSO, et notamment l’Institut des Auditeurs Internes (IIA), que PwC était mandaté pour conduire des travaux qui ont abouti en septembre 2004 à la publication de l’«Enterprise Risk Management – Integrated Framework». L’« Enterprise Risk Management – Integrated Framework » s’appuie sur la trame générale de l’«Internal Control Integrated Framework » et en étend significativement le cadre de
VIII
© Éditions d’Organisation
Préface à l’édition française
réflexion et d’action. La reconnaissance du caractère de plus en plus incertain et agressif de l’environnement économique se traduit par un approfondissement des concepts et outils de gestion des risques dans l’ensemble des composantes de la pyramide du COSO. L’origine de certaines défaillances spectaculaires qui ont émaillé la vie économique aux Etats Unis comme en Europe au cours de ces dernières années, a par ailleurs confirmé l’utilité de constituer un référentiel de risk management en complétant les trois objectifs assignés au Contrôle Interne (« COSO Report » de 1992), par un quatrième objectif de maîtrise des risques lié à la stratégie de l’entreprise. Cette approche fait aussi singulièrement écho aux messages des législateurs et régulateurs français qui entendent, notamment dans le cadre de l’application de la Loi de Sécurité Financière, renforcer la sécurité des marchés financiers et regagner la confiance des investisseurs. La traduction en français de ce document1 a été réalisée sous la supervision du comité pluridisciplinaire Risques et Contrôle interne de PwC France et du cabinet Landwell & Associés animé par Xavier Maitrier et comprenant pour PwC, Dominique Ménard, Dominique Perrier, MarieHélène Sartorius et Brian Towhill, et pour le cabinet d’avocats Landwell & Associés Sylvie Le Damany et Bruno Thomas. Ce comité a été assisté pour la traduction de Patricia Emeriau, Françoise Bergé, Muriel Soudry, François Guillon, Yves Grimaud et Christophe Thénégal. Une relecture attentive de cette version française a été effectuée par les membres du groupe de recherche de l’IFACI «De Coso1 à Coso 2 : des clés pour la mise en œuvre du contrôle interne» à savoir Annie Bressac (Annie Bressac Consulting), Florence Fradin (IFACI), Eglantine Mazel (France Telecom), Béatrice Michel (La Poste), Sophie Nicaise Gastineau (Banque de France), Jean-Michel Chaplain (AFPA), Hervé Dubuis (AXA-Ré), Michel Fautrat, Jean-Claude Kaiser (LVMH), Jacques Renard et Frédéric Robert (Renault). Cette relecture n’aurait pu
1. Cette version française d’«Enterprise Risk Management – Integrated Framework» du COSO suit le texte de la version américaine et ne prend donc pas en compte les spécificités juridiques propres à la France.
© Éditions d’Organisation
IX
LE MANAGEMENT DES RISQUES DE L’ENTREPRISE
être menée à bien sans l’implication de Louis Vaurs, Délégué Général de l’IFACI. Le « management des risques de l’entreprise » est un outil de réponse à un double défi : composer avec un environnement économique de moins en moins prévisible et de plus en plus agressif; satisfaire des investisseurs de plus en plus exigeants en termes de rentabilité, de transparence et de pérennité. Les dirigeants, les consultants internes et externes, le monde de l’enseignement et les autorités de tutelle qui souhaitent se pencher sur les problématiques de management des organisations trouveront dans cet ouvrage un cadre de réflexion et une aide à la structuration de leurs actions.
Serge Villepelet Président PricewaterhouseCoopers
X
Philippe Christelle Président IFACI
© Éditions d’Organisation