Gestion des risques d'entreprise (ERM)
Qu'est-ce que la gestion des risques d'entreprise (ERM) ?
La gestion des risques d'entreprise (ERM) est une méthodologie qui examine la gestion des risques de manière stratégique du point de vue de l'ensemble de l'entreprise ou de l'organisation. Il s'agit d'une stratégie descendante qui vise à identifier, évaluer et se préparer aux pertes, dangers, dangers et autres potentiels de préjudice susceptibles d'interférer avec les opérations et les objectifs d'une organisation et/ou d'entraîner des pertes.
L'ERM adopte une approche holistique et nécessite une prise de décision au niveau de la direction qui n'a pas nécessairement de sens pour une unité commerciale ou un segment individuel. Ainsi, au lieu que chaque unité d'affaires soit responsable de sa propre gestion des risques, la surveillance à l'échelle de l'entreprise est privilégiée. Par exemple, si un gestionnaire de risques d'une banque d'investissement remarque que deux pupitres de négociation positionnés dans différents domaines de l'entreprise ont des expositions similaires au même risque, il peut forcer le moins important des deux à éliminer cette même position. Cette décision est prise avec l'ensemble de l'entreprise à l'esprit (et non avec le pupitre de négociation spécifique).
Comprendre la gestion des risques d'entreprise (ERM)
La GRE demande non seulement aux entreprises d'identifier tous les risques auxquels elles sont confrontées et de décider quels risques gérer activement (comme d'autres formes de gestion des risques peuvent le faire), mais elle permet également aux cadres supérieurs de prendre des décisions exécutives concernant la gestion des risques qui peuvent ou non être en l'intérêt particulier d'un certain segment, mais qui optimise pour l'entreprise dans son ensemble. En effet, les risques peuvent être cloisonnés dans des unités commerciales individuelles qui ne voient pas ou ne peuvent pas voir l'image globale des risques.
Il s'agit aussi souvent de mettre à disposition de l'ensemble des parties prenantes le plan d'action risques dans le cadre d'un rapport annuel. Des secteurs aussi variés que l'aviation, la construction, la santé publique, le développement international, l'énergie, la finance et l'assurance ont tous opté pour l'ERM.
Les entreprises gèrent les risques depuis des années. La gestion traditionnelle des risques reposait sur l'évaluation et la gestion de leurs propres risques par chaque unité commerciale, puis sur un rapport ultérieur au PDG. Plus récemment, les entreprises ont commencé à reconnaître la nécessité d'une approche plus holistique.
Un directeur des risques (CRO), par exemple, est un poste de direction d'entreprise qui est requis du point de vue de la GRE. Le CRO est chargé d'identifier, d'analyser et d'atténuer les risques internes et externes qui affectent l'ensemble de l'entreprise. Le CRO veille également à ce que l'entreprise se conforme aux réglementations gouvernementales, telles que Sarbanes-Oxley (SOX), et examine les facteurs susceptibles de nuire aux investissements ou aux unités commerciales d'une entreprise. Le mandat du CRO sera précisé en collaboration avec d'autres cadres supérieurs, ainsi qu'avec le conseil d'administration et d'autres parties prenantes.
Alors que les meilleures pratiques et normes ERM évoluent encore, elles ont été formalisées par le COSO, un groupe industriel qui maintient et met à jour ces directives pour les entreprises et les professionnels ERM.
Les entreprises favorables à la GRE peuvent être attrayantes pour les investisseurs car elles signalent des investissements plus stables.
Une approche holistique de la gestion des risques
Les entreprises modernes sont confrontées à un ensemble diversifié de risques et de dangers potentiels. Dans le passé, les entreprises géraient traditionnellement leurs expositions aux risques via chaque division gérant ses propres activités.
En effet, de nombreuses grandes entreprises ont fait face à la croissance en attribuant de plus en plus de responsabilités aux chefs d'unités commerciales individuelles, le PDG et d'autres cadres supérieurs n'étant pas impliqués dans ces opérations quotidiennes.
Cependant, à mesure que les entreprises se développent et prennent en charge plusieurs divisions ou segments d'activité, cette approche peut conduire à l'inefficacité et à l'amplification ou à la mauvaise reconnaissance des risques. Dans ce cas, chaque division d'une entreprise devient son propre "silo".
Ils sont incapables de voir les expositions aux risques des autres divisions, comment leurs expositions aux risques interagissent avec d'autres unités et comment les différentes expositions entre les unités interagissent dans leur ensemble. Ainsi, bien qu'un directeur de division puisse reconnaître un risque potentiel, il peut ne pas réaliser (ni même être capable de réaliser) l'importance de ce risque pour d'autres aspects de l'entreprise.
Une bonne indication qu'une entreprise travaille à une GRE efficace est la présence d'un directeur des risques (CRO) ou d'un responsable dédié qui coordonne les efforts de GRE.
La GRE considère chaque unité commerciale comme un « portefeuille » au sein de l'entreprise et essaie de comprendre comment les risques pour les unités commerciales individuelles interagissent et se chevauchent. Il est également capable d'identifier les facteurs de risque potentiels invisibles pour aucune unité individuelle.
Par conséquent, la GRE peut contribuer à minimiser les risques à l'échelle de l'entreprise ainsi qu'à identifier des opportunités uniques à l'échelle de l'entreprise. La communication et la coordination entre les différentes unités commerciales sont essentielles au succès de l'ERM, car la décision de risque prise par la direction peut sembler en contradiction avec les évaluations locales sur le terrain. Les entreprises qui utilisent la GRE disposent généralement d'une équipe dédiée à la gestion des risques d'entreprise qui supervise le fonctionnement de l'entreprise.
Points forts
La gestion traditionnelle des risques, qui laisse la prise de décision entre les mains des chefs de division, peut conduire à des évaluations cloisonnées qui ne tiennent pas compte des autres divisions.
Les techniques de GRE ont considérablement évolué au cours des dernières décennies.
L'ERM permet aux gestionnaires de façonner la position de risque globale de l'entreprise en obligeant certains secteurs d'activité à s'engager ou à se désengager d'activités particulières.
La gestion des risques d'entreprise (ERM) est une stratégie à l'échelle de l'entreprise pour identifier et se préparer aux dangers avec les finances, les opérations et les objectifs d'une entreprise.