Une gestion

intégrée plutôt
qu’autonome
INTÉGRER LA GESTION
DES RISQUES À LA GESTION
DE L’ORGANISATION

TEXTE REPRODUIT PAR CPA CANADA

Une gestion
intégrée plutôt
qu’autonome
INTÉGRER LA GESTION
DES RISQUES À LA GESTION
DE L’ORGANISATION

TEXTE REPRODUIT PAR CPA CANADA

 AVERTISSEMENT
Le présent document, reproduit et traduit par Comptables professionnels agréés
du Canada (CPA Canada), fournit des indications ne faisant pas autorité.
CPA Canada et les auteurs déclinent toute responsabilité ou obligation pouvant
découler, directement ou indirectement, de l’utilisation ou de l’application de cette
publication.

La présente traduction française de From Bolt-on to Built-in: Managing Risk as an Integral

Part of Managing an Organization, publication du Comité des professionnels comptables en
entreprise (PAIB) de l’International Federation of Accountants (IFAC) parue en mai 2015, a été
réalisée par CPA Canada en février 2016 et est utilisée avec l’autorisation de l’IFAC. Le texte
approuvé des publications de l’IFAC est celui qui est publié en anglais par l’IFAC. L’IFAC n’assume
aucune responsabilité quant à l’exactitude et à l’exhaustivité de la traduction, ou aux actions qui
pourraient découler de son utilisation.
Version anglaise de From Bolt-on to Built-in: Managing Risk as an Integral Part of Managing an
Organization © 2015 par l’International Federation of Accountants (IFAC). Tous droits réservés.
Version française de From Bolt-on to Built-in: Managing Risk as an Integral Part of Managing an
Organization © 2016 par l’International Federation of Accountants (IFAC). Tous droits réservés.
 iii

IFAC

La mission de l’IFAC consiste à servir l’intérêt public comme suit : en contri-

buant à l’élaboration de normes et d’indications de grande qualité; en facilitant
l’adoption et la mise en œuvre de normes et d’indications de grande qualité;
en contribuant au développement d’organismes comptables professionnels et
de cabinets comptables solides ainsi qu’aux pratiques exemplaires des profes-
sionnels comptables, et en faisant la promotion de la valeur des professionnels
comptables à l’échelle mondiale; et, enfin, en prenant position sur des ques-
tions d’intérêt public.

Le Comité des professionnels comptables en entreprise (PAIB) de l’IFAC sert

les intérêts des organismes membres de l’IFAC et des professionnels comp-
tables du monde entier qui travaillent dans le commerce, l’entreprise, le secteur
des services financiers, l’enseignement, la fonction publique et les organismes
sans but lucratif. Il vise à valoriser les professionnels comptables en entreprise.
Pour ce faire, ses activités sont centrées sur les deux éléments suivants :

• faire connaître le rôle important que jouent les professionnels comptables

dans la création, la matérialisation et la préservation de la valeur ainsi que
la communication d’information connexe pour les organisations et leurs
parties prenantes;

• aider les organismes membres à améliorer la compétence de leurs

membres aux fins de l’exercice de ce rôle en facilitant la mise en commun
et la diffusion des bonnes pratiques et des idées.

Le Comité PAIB tient à remercier Grant Purdy, codirecteur, Broadleaf Capital

International et Matthew Leitch, formateur, chercheur, auteur et consultant, qui
ont aidé le Comité à élaborer le présent document.
iv Une gestion intégrée plutôt qu’autonome

Si vous avez des questions ou commentaires

au sujet du présent document de réflexion,
veuillez communiquer avec Vincent Tophoff
(vincenttophoff@ifac.org) ou consulter la sec-
tion Gestion des risques et contrôle interne de
la passerelle Global Knowledge de l’IFAC.
 v

Table des matières

Introduction 1

Les rôles des professionnels comptables en entreprise 3

L’importance de gérer efficacement les risques 5

L’importance d’intégrer la gestion des risques 7

Les aspects à prendre en considération pour

l’intégration de la gestion des risques 13

La gestion des risques comme partie intégrante

de la gestion de l’organisation 19

Annexe A : Définitions 25

Annexe B : Ressources 27
 1

Introduction

Étant donné la volatilité accrue attribuable au contexte commercial moderne

et les crises économiques et financières, il est plus important que jamais que
les organisations effectuent une gestion efficace des risques – et qu’elles aient
en place un bon contrôle interne. Une gestion efficace des risques facilite
la réalisation des objectifs tout en assurant la conformité aux attentes sur les
plans juridique, réglementaire et sociétal, et elle permet à l’organisation de
mieux réagir en cas de surprises et de perturbations, et de s’adapter.

Dans certaines organisations, la gestion des risques et le contrôle interne se

sont éloignés de leur but initial, à savoir aider à la prise de décisions et réduire
l’incertitude quant à l’atteinte des objectifs. La gestion des risques y est ainsi
plutôt devenue elle-même un objectif, comme en témoigne la mise en place
d’une fonction de gestion des risques non intégrée et autonome.1 La respon-
sabilité de la gestion des risques n’incombe ainsi plus à ceux qui devraient
l’assumer, c’est-à-dire les cadres hiérarchiques. Une fonction distincte de ges-
tion des risques, même si elle est établie avec les meilleures intentions, peut
gêner plutôt que faciliter la prise de décisions éclairées et l’exécution ultérieure.
La gestion des risques au sein d’une organisation est la responsabilité de tous.

Dans le présent document, on soutient qu’il est temps de reconnaître que la

gestion des risques et un contrôle efficace font naturellement partie intégrante
du système de gestion visant essentiellement l’établissement et la réalisation
des objectifs d’une organisation. Une gestion des risques et un contrôle interne
efficaces, dûment mis en œuvre comme une partie intégrante de la gestion
d’une organisation, sont économiques et exigent moins d’efforts que la ges-
tion des conséquences d’un événement funeste. Ils génèrent également de
la valeur en ce qu’ils permettent de repérer des occasions et d’en tirer profit.

1 Par exemple, le document de consultation du Comité de Bâle sur le contrôle bancaire, intitulé Corporate
Governance Principles for Banks (2014), traite principalement de la fonction de gestion des risques,
oubliant pour l’essentiel les services fonctionnels, qui sont les premiers responsables de gérer les risques
au regard des objectifs de l’entreprise.
2 Une gestion intégrée plutôt qu’autonome

D’autre part, un cadre de gestion des risques mal appliqué ou une importance
exagérée accordée au contrôle interne peuvent éventuellement avoir des réper-
cussions néfastes et amener les employés à craindre les risques au point de
freiner l’évolution de leur organisation.

Le présent document de réflexion redonne à la gestion des risques et au

contrôle interne le rôle qu’ils sont censés jouer, c’est-à-dire celui d’un processus
pertinent et utile servant à soutenir la prise des décisions et l’exécution, et sur
lequel le conseil et la direction s’appuient naturellement pour s’assurer que leur
organisation prend les meilleures décisions et réalise ses objectifs. Ce document
de réflexion concerne donc toutes les organisations qui veulent améliorer leur
gestion des risques, peu importe leur taille et leur structure, et qu’elles soient
ouvertes ou fermées.

Ce document : a) démontre les avantages d’une bonne intégration de la ges-

tion des risques, y compris du contrôle interne, à la gouvernance, à la gestion
et à l’exploitation d’une organisation; b) offre des idées et suggestions sur la
réalisation de cette intégration; et c) montre au moyen d’exemples pratiques
comment les professionnels comptables en entreprise peuvent aider leur orga-
nisation à effectuer cette intégration.

Ce document s’adresse aux professionnels comptables en entreprise et aux

personnes qui prennent part à la gouvernance, à la gestion ou à l’exploitation
d’une organisation et qui ont la responsabilité :
• d’établir, d’évaluer ou d’améliorer la gestion des risques au sein
de l’organisation;
• de gérer les risques dans le cadre de la gestion de l’organisation;
• de surveiller l’orientation stratégique et la gestion de l’organisation,
y compris la gestion efficace des risques.
 3

Les rôles des professionnels

comptables en entreprise

Partout dans le monde, plus d’un million de professionnels comptables tra-

vaillent dans le commerce, l’entreprise, le secteur des services financiers,
l’enseignement, la fonction publique et les organismes sans but lucratif et
contribuent à assurer la prospérité et la durabilité de leur organisation. Ils
forment un groupe très diversifié et peuvent agir comme employés,
consultants, propriétaires dirigeants ou conseillers.

Comme on l’explique également dans un document intitulé Competent and

Versatile — How Professional Accountants in Business Drive Sustainable
Organizational Success (2011), ces professionnels comptables en entreprise
remplissent des rôles que l’on peut désigner de manière générale selon les
types suivants : la création, la matérialisation et la préservation de la valeur
durable de l’organisation ainsi que la communication d’informations sur
cette valeur.

Les professionnels comptables en entreprise se préoccupent aussi générale-

ment de recueillir, d’analyser, d’interpréter et de fournir des informations aux
fins de la prise de décisions visant l’établissement et la réalisation des objec-
tifs de l’organisation. Ce faisant, ils aident les parties prenantes internes et
externes à comprendre et à influencer les inducteurs de performance, et à
imaginer ce que pourrait réserver l’avenir selon d’autres plans d’action pos-
sibles. Ils peuvent aussi établir des liens entre le risque et les indicateurs de
performance de l’entreprise, en fournissant, grâce aux évaluations des risques,
une information pertinente qui peut aider à gérer les sources internes et
externes de risques.
4 Une gestion intégrée plutôt qu’autonome

L’évaluation et l’amélioration de la gestion des risques et du contrôle interne

comptent parmi les compétences de base des professionnels comptables en
entreprise. Le présent document de réflexion vise à aider ces professionnels
à faire de la gestion des risques une composante indissociable du système
de gestion de leur organisation.

Il se peut que certains professionnels comptables en entreprise se retrouvent

au sein d’organisations dont la gestion des risques ou le contrôle interne sont
déficients. En favorisant l’intégration, ces professionnels comptables vont
contribuer à améliorer l’efficacité de la gestion des risques et du contrôle
interne et, de ce fait, la performance de l’organisation.
 5

L’importance de gérer
efficacement les risques

Les organisations sont exposées à une grande diversité de sources internes

et externes d’incertitude à la fois positive (occasions) et négative (menaces),
qui peuvent influer sur la réalisation de leurs objectifs. Le risque, c’est-à-dire
l’effet de l’incertitude sur la réalisation des objectifs, peut naturellement être
vu comme bénéfique ou nuisible selon son incidence sur les objectifs de
l’organisation. Par exemple, pour les entreprises agricoles, les phénomènes
météorologiques extrêmes sont nuisibles, alors que pour les entreprises qui se
spécialisent dans la réfection de routes et la reconstruction d’immeubles après
un ouragan, ils représentent une occasion positive. Les organisations sont
exposées à un risque inhérent dans toutes leurs activités, y compris l’établis-
sement de leur stratégie, l’exploitation et la gestion financière. La gestion des
risques permet d’aborder ces risques de manière systématique et plus efficace.

La gestion des risques aide les organisations à prendre des décisions éclairées
au sujet des éléments suivants :
• les objectifs qu’elles veulent réaliser;
• le niveau, la nature et l’ampleur des risques qu’elles sont disposées
à assumer pour réaliser ces objectifs;
• les contrôles nécessaires à l’appui de la réalisation de leurs objectifs.

Cependant, ni la gestion des risques ni le contrôle interne ne sont des objec-

tifs en eux-mêmes; ils font plutôt partie intégrante de l’établissement et de la
réalisation des objectifs de l’organisation.

Ce document se fonde sur le fait que le contrôle interne est plus efficace lors-
qu’il fait partie du processus de gestion des risques. Cette prémisse concorde
avec la définition largement reconnue de la gestion des risques, à savoir « les
activités coordonnées visant à orienter et à contrôler les risques auxquels une
6 Une gestion intégrée plutôt qu’autonome

organisation est exposée », présentée dans la norme 31000 de l’Organisation

internationale de normalisation (ISO) sur la gestion des risques, qui intègre le
contrôle interne au processus de gestion des risques.

Dans la publication du Committee of Sponsoring Organizations (COSO) de la

Treadway Commission, intitulée Enterprise Risk Management (ERM) —
Integrated Framework (2004), on peut lire également que puisque le cadre
de gestion des risques d’entreprise comprend le cadre de contrôle interne, les
sociétés pourraient s’appuyer sur ce cadre de gestion des risques d’entreprise
à la fois pour leur contrôle interne et la mise en place d’un processus plus com-
plet de gestion des risques.

La gestion des risques ne devrait jamais s’effectuer en vase clos; elle devrait
toujours être pleinement intégrée au système général de gestion de l’organisa-
tion. Ce système devrait comprendre les processus de bonne gouvernance, y
compris les processus relatifs à la stratégie et la planification, la prise de déci-
sions à l’égard de l’exploitation, la surveillance, les rapports et la reddition de
comptes.
 7

L’importance d’intégrer
la gestion des risques

Comme les employés pensent automatiquement aux questions susceptibles

d’empêcher ou de faciliter la réalisation des objectifs lorsqu’ils décident com-
ment agir, il existe donc déjà une certaine forme d’intégration de la gestion
des risques au sein des organisations. Cependant, il se peut que l’approche
adoptée ne soit pas cohérente, uniforme, exhaustive ou communiquée efficace-
ment, ce qui signifie que les résultats ne seront vraisemblablement pas fiables.

Pour que la gestion des risques soit efficace et intégrée, il faut un cadre adéqua-
tement conçu de gestion des risques qui fait partie intégrante du système de
gestion de l’organisation. Un cadre qui comporte les éléments nécessaires, est
approprié et fonctionne efficacement contribue à garantir que le risque est en
tout temps géré de façon à procurer un avantage net maximal à l’organisation.
8 Une gestion intégrée plutôt qu’autonome

Unilever : Gestion des risques intégrée

« Chez Unilever, nous croyons qu’une gestion efficace des risques est
essentielle à une bonne gestion de l’entreprise et que notre réussite
dépend de notre capacité à repérer, puis à mettre à profit, les risques et
occasions d’importance. Les entreprises prospères abordent les risques
et occasions de manière éclairée, structurée, contrôlée et efficace. Notre
gestion des risques est intégrée à nos activités courantes. Avec notre
approche, la paperasserie est réduite et la responsabilisation est accrue.
La gestion des risques est maintenant l’affaire de tous, jour après jour. Elle
n’est plus une activité distincte, autonome, confiée à quelqu’un d’autre. »

— Unilever, l’un des grands fournisseurs à l’échelle mondiale de produits

de grande consommation à rotation rapide qui exerce des activités dans
une centaine de pays et vend ses produits dans plus de 190 pays.

Information communiquée par Unilever aux fins d’une étude de cas présen-
tée dans Integrating Governance for Sustainable Success (IFAC 2012).

De sérieuses lacunes
Certaines organisations n’ont pas encore mis en place un cadre officiel de
gestion des risques, ou alors, si elles en ont établi un, elles ne l’ont pas inté-
gré à leur système général de gestion. Ces organisations effectuent sans
doute une gestion ponctuelle des crises avec, comme but, de revenir au
statu quo. D’autres ont une certaine forme de cadre, mais qui comporte de
sérieuses lacunes (voir De sérieuses lacunes dans la gestion des risques et Autres
exemples). Dans l’un et l’autre cas, les organisations risquent de passer à
côté d’avantages ou de subir des conséquences néfastes plus importantes
que nécessaires.

De sérieuses lacunes dans la gestion des risques

Une gestion des risques ou un contrôle interne autonome ou mal appli-
qué est souvent à l’origine de coûts plus élevés et d’une performance
médiocre. Voici quelques exemples d’une gestion des risques mal intégrée
et inefficace :

A. Adopter à l’égard de questions comme les rôles et responsabilités

officiels, la prévention et la détection des fraudes et le respect des
lois et règlements une attitude axée uniquement sur la conformité,
et négliger de se préoccuper à la fois des aspects « conformité » et
« performance » de la gestion des risques.
 L’importance d’intégrerla gestion des risques 9

B. Traiter le risque comme une notion uniquement négative et oublier

que les organisations doivent prendre des risques pour réaliser leurs
objectifs. Une gestion efficace des risques permet à une organisation
de tirer profit des occasions et de prendre des risques supplémen-
taires tout en demeurant en contrôle, et donc de créer et de préserver
la valeur.

C. Axer exagérément le contrôle interne sur la communication externe

de l’information financière. Dans le contexte de l’information finan-
cière, le contrôle est important pour détecter et prévenir la fraude, de
même que pour garantir que les rapports financiers sont exacts, et il
intéresse sans doute tout particulièrement les autorités de réglementa-
tion qui régissent les sociétés. Cependant, un contrôle efficace devrait
tenir compte de tous les risques importants auxquels l’organisation
est exposée pour lui permettre de réaliser ses objectifs, de créer de
la valeur et d’éviter des pertes.

D. Voir la gestion des risques comme une fonction ou un processus

distinct. Les cadres hiérarchiques devraient avoir conscience qu’ils
gèrent le risque dans le cadre de leurs rôles et responsabilités de tous
les jours, dans le respect des intentions de l’organisation, exprimées
dans ses politiques, buts et objectifs. Le problème est exacerbé lorsque
les cadres hiérarchiques ne sont pas directement responsables du
respect des limites établies par l’organisation pour la prise de risques,
mais peuvent choisir leurs propres limites.

Ces lacunes sont ressorties d’entrevues menées par l’IFAC auprès de

25 importants chefs d’entreprise sur les causes des diverses crises finan-
cières et sur ce qu’il y aurait lieu de faire pour améliorer davantage
la gouvernance, la gestion des risques et le contrôle interne; elles sont
résumées dans la publication Integrating the Business Reporting Supply
Chain (2011).
10 Une gestion intégrée plutôt qu’autonome

Autres exemples de lacunes en matière de gestion des risques

Mauvaise pratique Bonne pratique

La gestion des risques vue comme La gestion des risques vue comme contribuant
un objectif en soi à la réalisation des objectifs
Déterminée par l’auditeur / Déterminée par les dirigeants, puis par
le personnel les échelons inférieurs, et appuyée par
un comportement exemplaire
Axée sur des règles Axée sur la performance et des principes
Appliquée à l’aide d’un système Adaptée à l’organisation
standard
Axée uniquement sur l’atténuation Axée également sur la création de valeur
des pertes
S’appuie essentiellement sur Tient compte de l’influence de la culture
des contrôles tangibles et des attitudes
Gestion des risques imposée Gestion des risques mise en œuvre dans
le cadre de la gestion du changement
Fonction autonome Gestion intégrée
Statique, dépassée Dynamique, évolutive
Vue comme un coût Vue comme un investissement judicieux

Courbe d’évolution
Une gestion efficace des risques contribue aux efforts de la direction d’assurer
une plus grande cohésion et intégration de toutes les parties de l’organisation
et de les aligner avec ses objectifs, tout en visant l’efficacité, l’efficience et le
respect de l’éthique et des lois. La figure 1 montre les étapes dans l’évolution
de la gestion des risques que suivent couramment de nombreuses organisa-
tions. Cependant, dans l’idéal, les organisations devraient intégrer la gestion
des risques, y compris le contrôle interne, dès le début.

Les étapes dans l’évolution de la gestion des risques et du contrôle interne

suivies par les organisations peuvent être résumées ainsi :
1. Une gestion des risques et un contrôle interne inexistants ou
ponctuels – ce stade est souvent caractérisé par une gestion réactive
des crises lorsque celles-ci surviennent;
2. Existence d’un contrôle interne seulement – exercice d’un contrôle interne
officiel souvent principalement axé sur la communication externe de l’infor-
mation financière;
3. Une gestion des risques et un contrôle interne comme fonction
autonome – fonctionne en vase clos, en parallèle et pas nécessairement
en liaison avec le système de gestion de l’organisation;
 L’importance d’intégrerla gestion des risques 11

4. Intégration de la gestion des risques – une gestion des risques, y compris

le contrôle interne, qui fait naturellement et intégralement partie du système
de gestion de l’organisation.

Une gestion des risques efficace et intégrée à tous les processus décisionnels
de l’organisation et à l’exécution ultérieure concourt à la réalisation des objec-
tifs et à une création de valeur maximale pour toutes les parties prenantes.
Il existe une diversité de normes, cadres ou lignes directrices en matière de
gestion des risques qui peuvent aider les organisations à suivre ce processus
(voir l’annexe B).

La prochaine section présente un certain nombre de principes directeurs pour

une gestion efficace des risques intégrée au système général de gestion de
l’organisation. La dernière section montre un modèle pratique d’intégration
efficace de la gestion des risques au système de gestion.

FIGURE 1 : ÉVOLUTION COURANTE DE LA GESTION DES RISQUES

ET DU CONTRÔLE INTERNE

Niveau 1 :
Inexistants Gestion de crise
ou ponctuels

Niveau 2 :
Contrôle interne officiel, principalement axé sur la communication
Contrôle interne
externe de l’information financière
uniquement

Niveau 3 :
Au contrôle interne s’ajoute la gestion des risques, mais toujours
Fonction GR et
considérée comme une fonction distincte
CI en vase clos

Niveau 4 :
La gestion des risques, y compris le contrôle interne, est intégrée
Intégration de
au système de gestion de l’organisation
la GR et du CI
 13

Les aspects à prendre

en considération pour
l’intégration de la gestion
des risques

Il n’est pas toujours facile d’amener les organes de direction et la haute direc-
tion, et parfois même les comités sur le risque et membres du personnel
responsables de la gestion des risques, à mettre en œuvre de manière égale
et cohérente un cadre et des processus qui garantissent une gestion efficace
des risques. Et même lorsque ces intervenants s’occupent efficacement des
risques, l’attention qu’ils leur accordent peut se relâcher au fil du temps, en
particulier lorsque des personnes jouant un rôle crucial arrivent en poste ou
quittent leurs fonctions. Les paragraphes qui suivent contiennent des indica-
tions sur la façon d’intégrer efficacement la gestion des risques à la gestion
générale de l’organisation.

A. Les organisations devraient se concentrer principalement sur l’établis-

sement et la réalisation de leurs objectifs pour créer une valeur et une
croissance durables; la gestion des risques fait partie intégrante de ce
processus.

Une organisation n’a pas pour principal objectif d’avoir en place des
contrôles efficaces ni de gérer efficacement les risques; elle cherche plu-
tôt à se fixer des buts et à les atteindre, à assurer sa conformité, à bien
réagir face aux surprises et aux perturbations et, enfin, à créer une valeur
durable.

La gestion des risques en vue de la réalisation de ces objectifs doit

être indissociable de toutes ces activités et en faire partie intégrante.
14 Une gestion intégrée plutôt qu’autonome

Certaines organisations mettent en place un processus de gestion des

risques seulement après avoir établi leurs objectifs; elles négligent ainsi le
fait que l’établissement même des objectifs peut être l’une des sources de
risques les plus importantes. Cela vaut pour les objectifs stratégiques et
pour tous les autres processus décisionnels de l’organisation, du conseil
d’administration aux échelons inférieurs. En outre, ce ne sont pas toutes les
organisations qui mettent en place un processus officiel d’évaluation des
risques pour soumettre à une simulation de crise leurs principaux objec-
tifs stratégiques au moment où ceux-ci sont en cours d’élaboration. Par
conséquent, le risque devrait être pris en considération à toutes les étapes
du processus d’établissement des objectifs, de même qu’aux étapes ulté-
rieures de la planification, de l’exécution, de la surveillance et de l’examen.

En outre, comme la plupart des personnes travaillant au sein d’une orga-

nisation, en particulier celles qui exercent des fonctions opérationnelles, se
préoccupent surtout de bien faire leur travail et d’atteindre leurs objectifs,
l’établissement d’un lien clair entre les risques et leurs tâches et objectifs
les prédisposent davantage à gérer également les risques correspondants.

JC Penney : Pas de tests adéquats

On peut évoquer à titre d’exemple le cas de JC Penney, une chaîne
américaine de grands magasins de milieu de gamme qui s’est presque
effondrée à la suite d’une réorganisation désastreuse. « L’une de nos
grandes erreurs fut sans doute d’effectuer des changements trop
radicaux, trop rapidement, sans procéder à des tests adéquats pour
déterminer ce que serait l’incidence de ces changements », explique
Bill Ackman, actionnaire principal de JC Penney.

B. Les organisations devraient toujours identifier, évaluer, traiter, commu-

niquer, surveiller et examiner les risques au regard des objectifs qu’elles
veulent atteindre, tout en tenant compte de leur environnement, tant
interne qu’externe, en constante évolution.

Comme le risque est l’effet de l’incertitude sur la réalisation des objectifs, il

serait inopportun de le gérer sans tenir compte de l’effet sur les objectifs.
Malheureusement, pour certaines organisations, le lien entre les risques
communiqués périodiquement au conseil et les objectifs stratégiques qui
sont les plus cruciaux pour la réussite à long terme de la société est, au
mieux, obscur et, au pire, inexistant. Le risque est donc mal compris ou
 Les aspects à prendre en considération pour l’intégration de la gestion des risques 15

contrôlé, même si l’organisation accorde une certaine attention et affecte

certaines ressources à la gestion des risques. Une gestion des risques qui
ne tient pas compte des effets sur les objectifs est donc inefficace.

Il est également préférable de se préoccuper du risque avant de prendre

des décisions ou des actions en vue de la réalisation d’un objectif donné,
et il est aussi souhaitable que la gestion des risques s’effectue là où les
risques se posent et par les personnes concernées, peu importe la fonction
qu’elles exercent dans l’entreprise.

Dernier aspect, mais non le moindre : le contexte dans lequel l’organisation

établit ses objectifs et s’efforce de les réaliser change continuellement, et
il en va de même du risque. Par conséquent, l’organisation doit constam-
ment évaluer les progrès accomplis et, au besoin, ajuster ses objectifs ou
sa planification – y compris le traitement des risques – au vu des nouvelles
circonstances.

C. La gestion des risques repose sur un ensemble de connaissances com-

posé de cadres, normes et lignes directrices d’ampleur mondiale, mais
l’application de la gestion des risques doit être adaptée à l’organisation.

Comme une gestion des risques efficace est inextricablement liée à la stra-
tégie et aux activités de l’organisation, il s’ensuit que l’approche en matière
de gestion des risques doit être propre à l’organisation concernée. Et tout
comme la stratégie de l’organisation doit être adaptée aux circonstances
propres de cette dernière, il devrait en être ainsi de sa stratégie de gestion
des risques.

Le risque inhérent à l’établissement et à la réalisation des objectifs d’une

organisation est influencé par de nombreux facteurs comme la taille, la
structure, le modèle d’affaires, les systèmes de TI, la souplesse financière,
les employés et l’environnement de l’organisation (les clients, fournisseurs,
concurrents et autorités de réglementation ainsi que les inducteurs de
changements politiques, sociaux, économiques et techniques, etc.). Ainsi,
ce sont tous ces éléments mis ensemble qui déterminent le processus le
plus efficace de gestion des risques pour une organisation donnée, à un
moment précis.

La plupart des lignes directrices abordent explicitement certaines de ces

caractéristiques, en soulignant par exemple que la gestion des risques au
sein des petites organisations peut être moins formelle et moins structurée,
même si ces dernières ont aussi besoin de bien intégrer tous les éléments
d’une bonne gestion des risques.
16 Une gestion intégrée plutôt qu’autonome

D. Les responsables de l’établissement et de la réalisation des objectifs

de l’organisation devraient aussi avoir la responsabilité de gérer
efficacement le risque correspondant.

Comme le risque est inextricablement lié aux objectifs de l’organisation,

la responsabilité de la gestion des risques ne peut incomber qu’à la per-
sonne qui a la responsabilité d’établir et de réaliser ces objectifs. Une
bonne gestion des risques est, en ce sens, la responsabilité de chacun
au sein de l’organisation, car chacun est d’une façon ou d’une autre
responsable de veiller à ce que l’organisation réalise ses objectifs.

L’organe de direction et la haute direction devraient élaborer, approuver et

mettre en œuvre la stratégie de l’organisation en matière de gouvernance,
de même que toute politique précise concernant la gestion des risques et
le contrôle interne. L’organe de direction devrait aussi s’assurer que tous au
sein de l’organisation, y compris les membres de cet organe eux-mêmes,
agissent en conséquence.

Les cadres hiérarchiques doivent accepter leurs responsabilités et s’abstenir

de déléguer la gestion des risques et le contrôle interne à des services
fonctionnels spécialisés. En attribuant la responsabilité aux cadres hiérar-
chiques, on sous-entend également que les fonctions consultatives ou de
soutien ne devraient pas, ou ne devraient plus, être les « responsables » de la
gestion des risques. Cependant, ces fonctions de soutien jouent néanmoins
un rôle crucial auprès des cadres hiérarchiques à l’égard d’une gestion
efficace des risques.

Lorsque la gestion des risques fait partie intégrante du système de gestion

de l’organisation, la fonction de gestion des risques joue des rôles impor-
tants, notamment :
• elle facilite la mise en place de bons processus de gestion des risques
et de contrôle interne au sein de l’organisation;
• elle veille sur le cadre général de gestion des risques et de contrôle
interne;
• elle fournit une assurance en interne sur l’efficacité de la gestion
des risques et du contrôle interne.

E. Les décisions devraient être fondées sur une évaluation appropriée

des risques.

Le succès durable n’est possible que si un processus de prise de décisions

éclairé et structuré préside à l’établissement des objectifs de l’organisa-
tion et à la planification, à la mise en œuvre, à l’exécution, à l’évaluation
 Les aspects à prendre en considération pour l’intégration de la gestion des risques 17

et à l’amélioration de sa stratégie. Lors de la prise de décisions, on doit

tenir compte des risques susceptibles de provenir de sources externes et
internes, car les organisations et leurs objectifs peuvent être touchés par
de nombreux facteurs qui, souvent, échappent à tout contrôle direct.
La gestion des risques doit donc faire partie intégrante du processus
décisionnel à tous les niveaux de l’organisation et pour toutes les activités
(intégration).

L’organe de direction doit porter une attention particulière à la prise de

décisions, car certains échecs retentissants en matière de gestion des
risques ont été le fait de l’émotion, de la cupidité ou de la peur. Les
conseils oublient souvent les éléments fondamentaux d’une prise de
décision sensée et négligent de procéder à une évaluation adéquate des
risques. On envoie ainsi un mauvais message au reste de l’organisation
(le « ton donné par la direction »). Supposons par exemple qu’une orga-
nisation ait une politique exigeant explicitement que toutes les décisions
soient étayées par des évaluations des risques. Or, si la haute direction est
prête à prendre des décisions importantes – qui supposent, par exemple,
des changements organisationnels, des investissements ou des acquisi-
tions – sans évaluer correctement les risques, elle indique clairement à
l’organisation que sa propre politique lui importe peu et qu’elle tolère des
pratiques non conformes aux normes. 2 Il s’ensuit inévitablement que les
membres du personnel des paliers inférieurs de l’organisation vont aussi
prendre des décisions sans évaluer adéquatement les risques, malgré
l’existence d’une politique officielle.

F. Une information de grande qualité est essentielle à une bonne prise

de décision, car elle atténue l’incertitude.

L’organisation doit s’assurer d’avoir accès à des données à jour et fiables

pour étayer ses décisions, de même qu’à des ressources et à une expertise
techniques pour l’analyse des données et leur transformation en une infor-
mation utile, y compris l’ajout d’une note au sujet des limites inhérentes
aux données ou à l’analyse.

Il est souvent nécessaire de recourir au jugement professionnel pour

prendre une décision. Il peut arriver qu’il n’y ait pas suffisamment de
données, que les techniques d’évaluation fournissent des réponses
contradictoires ou qu’il y ait plusieurs réponses possibles au vu des

2 Voir par exemple l’analyse de l’acquisition de la banque ABN AMRO par RBS, que l’on a caractérisée en
ces termes « l’empressement à entraîner la banque dans une acquisition risquée en n’ayant étonnamment
qu’une vague idée de ce que l’on voulait acheter ».
18 Une gestion intégrée plutôt qu’autonome

risques. Cependant, il importe que le jugement soit toujours celui d’un

professionnel, c’est-à-dire d’une personne qui possède la formation, les
compétences et l’expérience voulues pour l’exercer en s’appuyant sur la
meilleure information disponible.

G. La gestion efficace des risques est tout aussi importante pour toutes
les étapes de gestion qui suivent le processus décisionnel.

Lorsqu’une décision est prise, il y a de nombreuses étapes à franchir en

vue de l’obtention des résultats souhaités, par exemple la conception,
la planification, l’exécution, la surveillance et l’examen, de même que la
reddition de comptes aux diverses parties prenantes. Évidemment, toutes
ces étapes requièrent la prise d’autres décisions. Cependant, à mesure que
les circonstances internes ou externes changent – ou que des informations
supplémentaires deviennent disponibles – il en va de même des risques.
Les effets de cette évolution des risques doivent ultérieurement être pris
en compte.

H. Les organisations doivent demeurer suffisamment agiles pour pouvoir

apporter les changements nécessaires afin de continuer de créer et de
préserver la valeur.

Comme les effets des risques ne peuvent jamais être complètement élimi-
nés, les organisations doivent intégrer la résilience et l’agilité à toutes leurs
activités, de façon à pouvoir réagir adéquatement aux changements de
circonstances ou aux conséquences d’événements imprévus. Après tout,
à long terme, ce n’est pas l’individu le plus fort de l’espèce qui survit, ni
même le plus intelligent, mais plutôt celui qui peut s’adapter le mieux au
changement.
 19

La gestion des risques

comme partie intégrante
de la gestion de l’organisation

L’intégration de la gestion des risques devrait signifier l’adoption de moyens

d’influencer les processus de gestion qui existent déjà – pour les améliorer,
mais pas nécessairement pour les remplacer ou les renforcer. À cette fin, il faut
travailler depuis l’intérieur vers l’extérieur en acquérant d’abord une compré-
hension de la façon dont les décisions sont prises et mises en œuvre, puis en
déterminant comment la gestion des risques devrait être intégrée au processus
décisionnel.

Dans cette section, on présente

d’abord une base technique puis
un modèle pratique d’intégration
efficace de la gestion des risques au
système de gestion de l’organisation.
À cette fin, on a choisi comme point
de départ une représentation simple
d’un système de gestion d’une orga-
nisation, c’est-à-dire un cycle de
planification et de contrôle de gestion
(ou cycle « planifier, exécuter, contrô-
ler, agir »3) :

Grâce à ce cycle, abordé plus en détail ci-dessous, on dispose d’un modèle

pour intégrer naturellement une gestion des risques efficace aux étapes de
gestion qui existent déjà.

3 Le cycle « planifier, exécuter, contrôler, agir », appelé également le cycle P-E-C-A, ou cycle de Deming,
est un processus de gestion itératif en quatre étapes que les organisations emploient couramment pour
la planification, le contrôle et l’amélioration continue des processus et produits.
20 Une gestion intégrée plutôt qu’autonome

Comment fonctionne un cycle de planification et de contrôle de gestion? Sup-

posons que nous voulions lancer une flèche sur une cible mouvante. Le risque
est l’effet de l’incertitude quant à la possibilité d’atteindre la cible, et il est
plus grand si la cible est éloignée ou se déplace plus rapidement. Le contrôle
permet à l’organisation de modifier ce risque pour que la flèche soit lancée
dans la bonne direction, à la bonne vitesse et qu’elle suive la bonne trajectoire,
ou alors qu’elle retrouve sa trajectoire ou soit redirigée vers une cible qui s’est
déplacée (voir la figure 2).

FIGURE 2 : ÉQUILIBRE ENTRE LES OBJECTIFS, LE RISQUE ET LES CONTRÔLES

Niveau d’incertitude

Risque Contrôles

Objectif

La trajectoire entre l’établissement d’un objectif et sa réalisation est généra-

lement gérée au moyen d’une série de cycles interreliés de planification et de
contrôle, chacun comportant son propre intervalle et s’appuyant sur l’évolution
des activités et de l’environnement. Prenons par exemple un cycle général
de planification et de contrôle stratégiques qui comporte plusieurs cycles
de planification et de contrôle tactiques et un plus grand nombre encore de
cycles de planification et de contrôle opérationnels. En outre, la plupart des
organisations ont des cycles de planification et de contrôle continus dans
le cadre desquels, par exemple, une stratégie sur quatre ans est mise à jour
annuellement de façon à refléter les objectifs et activités révisés à la lumière
de circonstances qui changent (voir la figure 3).
 La gestion des risques comme partie intégrante de la gestion de l’organisation 21

FIGURE 3 : CYCLES DE PLANIFICATION ET DE CONTRÔLE

En général, les cycles initiaux de planification et de contrôle stratégiques au

cours desquels on établit les objectifs et la trajectoire à suivre pour leur réali-
sation doivent tenir compte d’un niveau d’incertitude maximal; ils comportent
donc un plus grand nombre d’étapes que les cycles ultérieurs. Grâce à une
série de processus de planification et de contrôles itératifs, l’organisation réduit
progressivement son niveau d’incertitude à mesure qu’elle s’approche de la
réalisation de ses objectifs précis.4 Par conséquent, le nombre d’étapes dimi-
nuera considérablement et sera de nature davantage opérationnelle (voir la
figure 4).

FIGURE 4 : COMBINAISON DES CYCLES DE PLANIFICATION ET DE CONTRÔLE

ET DU TRIANGLE DE LA GESTION DES RISQUES

Niveau d’incertitude
Période

Niveau
stratégique

Niveau
tactique

Risque Contrôles

Niveau
opérationnel

Objectif

4 Cela ne signifie pas qu’aucun incident majeur ne peut empêcher l’atteinte des objectifs à des étapes
ultérieures du processus, tout comme un navire peut s’échouer alors qu’il est en vue du port.
22 Une gestion intégrée plutôt qu’autonome

Modèle
Une fois que la gestion des risques est entièrement intégrée à la gestion de
l’organisation, elle devient pratiquement invisible : elle est implicite dans tout
ce que fait l’organisation et on ne peut plus en distinguer les étapes (voir
l’exemple ci-après).

En pratique, bon nombre des activités de ces étapes seront exécutées intuiti-
vement. Cependant, les bonnes décisions et actions intuitives sont étayées par
un processus décisionnel éclairé, c’est-à-dire une bonne gestion des risques.
Le modèle ci-après n’est pas une liste de contrôle convenant à tout cycle de
planification et de contrôle. Il vise plutôt à démontrer comment le risque peut
être traité comme partie intégrante de la gestion d’une organisation.

A: Préparation préalable à la prise de décision

• Comprendre la portée générale et le but de ce que nous tentons

d’accomplir. Qu’est-ce que cela suppose?
• Définir les résultats que l’on tente d’obtenir et leur lien avec
les objectifs généraux de l’organisation. Définir comment nous
évaluerons ces résultats.
E A
• Déterminer qui devra prendre part à la décision et aux actions
qui suivront. S’agira-t-il de personnes à l’intérieur ou à l’extérieur
D B de l’organisation?
• Examiner les principales sources d’incertitude pour ce que l’on
C
tente d’accomplir. S’agit-il de sources internes ou externes?
Quelles sont leurs répercussions sur nos objectifs généraux?
• Déterminer les critères que nous utiliserons pour la prise de
décision. Sur quoi sont-ils fondés et comment saurons-nous s’il
s’agit de la bonne décision au regard de nos objectifs généraux?
• Déterminer comment nous prendrons la décision – le processus
et les étapes. De quoi tiendrons-nous compte et qu’est-ce qui
sera considéré sans importance?
 La gestion des risques comme partie intégrante de la gestion de l’organisation 23

B: Prise de décision

• Préciser les hypothèses et présomptions clés relatives aux

décisions et aux résultats et s’entendre sur ces hypothèses
et présomptions.
• Examiner la gamme des événements pouvant survenir ou
déjà en cours qui nous empêcheraient d’obtenir les résultats
E A souhaités.
• Examiner la gamme des événements pouvant survenir ou
déjà en cours qui entraîneraient des résultats meilleurs que
D B les résultats souhaités.
C • Examiner, pour tous les événements, l’effet des événements
pouvant survenir ou déjà en cours sur nos objectifs généraux.
• Examiner notre performance récente dans les domaines
concernés. Que nous apprend-elle sur l’efficacité des contrôles
existants qui visent à permettre la réalisation des objectifs de
l’organisation?
• Examiner les résultats des examens récents qui sont pertinents
pour ce que nous tentons d’accomplir. Quelles leçons peut-on
tirer?

C: Actions après la prise de décision

• Lorsqu’on a pris la décision d’agir, déterminer ce qu’il y a lieu

de faire, qui doit le faire et à quel moment.
• Examiner les autres mesures à prendre, y compris mettre en
œuvre des contrôles, pour limiter l’incertitude associée aux
résultats que l’on souhaite obtenir.
E A
• Examiner les coûts et avantages d’autres actions possibles
et déterminer quelles actions créent la plus grande valeur et
D B favorisent davantage l’obtention des résultats souhaités.
• Examiner la séquence de toutes les actions et le chemin critique
C menant à l’obtention des résultats.
• Affecter des ressources et attribuer les responsabilités pour
toutes les actions.
• Consigner et communiquer les résultats des processus décision-
nels et de planification et s’assurer que toutes les personnes
concernées savent en quoi consistent leurs responsabilités.
• Établir un processus de suivi des progrès et de l’achèvement
pour toutes les actions.
24 Une gestion intégrée plutôt qu’autonome

D: Surveillance et examen

• Suivre les progrès et les actions et faire exercer une surveillance

par la direction. Poser des questions sur tout retard dans les
actions se trouvant sur le chemin critique qui mène à l’obtention
des résultats. Affecter ou réaffecter des ressources au besoin.
• Surveiller les principales sources d’incertitude précédemment
identifiées et évaluer l’environnement pour déceler de nouvelles
E A sources d’incertitude. Comprendre les répercussions de tout
changement sur ce que nous tentons d’accomplir et sur nos
objectifs généraux.
D B • Surveiller les contrôles en place qui visent à permettre la réalisa-
tion des objectifs de l’organisation.
C
• Faire en sorte que la direction procède à des examens
périodiques de ces contrôles et proposer les modifications
appropriées.
• Surveiller la prise de décision et la mise en œuvre dans le cadre
de l’évaluation de la performance de chaque employé, en encou-
rageant et en favorisant une prise de décision éclairée.
• Faire valider la surveillance continue et les examens périodiques
par des certificateurs compétents et suffisamment indépendants
(par exemple l’audit interne).

E: Apprentissage

• S’entendre sur la mesure dans laquelle les résultats ont été

atteints.
• S’entendre sur la question de savoir si les résultats repré-
E A sentent une réussite ou un échec au regard des objectifs
de l’organisation.
• S’entendre sur la question de savoir si les effets qui en découlent
D B représentent une réussite ou un échec.

C • S’entendre sur les causes des réussites ou des échecs et sur

le rôle des contrôles en place.
• Examiner les répercussions pour les décisions futures et définir
les leçons que l’organisation devrait tirer.
• Communiquer les leçons tirées à l’ensemble de l’organisation.
• Codifier les leçons tirées et en tenir compte dans les politiques
et procédures, et les intégrer aux processus de gestion.

La caractéristique la plus importante de ce modèle est la quasi totale invisibi-

lité d’une terminologie sur la gestion des risques et le contrôle interne, car le
risque est traité comme une partie intégrante de la gestion de l’organisation.
Cette approche correspond aussi au principal objectif d’une organisation,
qui consiste non pas à gérer efficacement le risque ou à avoir en place des
contrôles efficaces, mais bien à prendre les meilleures décisions et à réaliser
ses objectifs.
 25

Annexe A : Définitions

Cadre de gestion des risques : selon la norme ISO 31000 sur la gestion des
risques (2009), le cadre de gestion des risques désigne « un ensemble de com-
posantes qui établissent les fondements et les dispositions organisationnelles
pour la conception, la mise en œuvre, la surveillance, l’examen et l’amélioration
continue de la gestion des risques dans l’ensemble de l’organisation. »

Contrôle interne : selon l’IFAC, l’expression « contrôle interne » peut avoir

plusieurs significations, y compris :
• un système ou processus : l’intégralité du système de contrôle interne
d’une organisation;
• une activité ou mesure : la mesure même qui consiste à traiter le risque
ou à effectuer le contrôle interne, c’est-à-dire les contrôles individuels;
• un état ou résultat : le résultat du système ou du processus de contrôle
interne, c’est-à-dire l’exercice ou le maintien efficace ou approprié du
contrôle interne par l’organisation.

Gestion des risques : selon la norme ISO 31000 sur la gestion des risques
(2009), la gestion des risques désigne « les activités coordonnées visant à
orienter et à contrôler les risques auxquels une organisation est exposée ».

Gouvernance : ensemble des responsabilités et des pratiques exercées par

l’organe de direction aux fins de : a) fournir une orientation stratégique;
b) garantir la réalisation des objectifs; c) déterminer que les risques sont
gérés de manière appropriée; d) vérifier que les ressources de l’organisation
sont utilisées de manière responsable. Cette définition concorde avec la défi-
nition de la gouvernance présentée dans le document Board Briefing on
IT Governance, 2e édition (IT Governance Institute, 2003).

Organe de direction : personnes ou groupe de personnes (par exemple un

conseil d’administration) dont la responsabilité première consiste à surveil-
ler l’orientation stratégique, l’exploitation et la reddition de comptes au sein
26 Une gestion intégrée plutôt qu’autonome

de l’organisation, y compris le processus de communication de l’information

financière. Les organes de direction peuvent être composés d’administrateurs
indépendants ou non et peuvent mettre sur pied divers sous-comités, par
exemple des comités sur l’audit, sur la rémunération et sur la déontologie.
L’organe de direction de certaines entités de certains pays peut comprendre le
personnel de direction, les administrateurs-dirigeants d’un conseil de gouver-
nance d’une entité du secteur privé ou du secteur public qui participent à la
gestion, ou un propriétaire dirigeant.

Partie prenante : toute personne, groupe ou entité qui s’intéresse aux activités,
ressources ou extrants d’une organisation ou qui est touchée par ces extrants.
Les parties prenantes peuvent comprendre les autorités de réglementation,
actionnaires, détenteurs de titres d’emprunt, employés, clients, fournisseurs,
groupes de défense, gouvernements et la société dans son ensemble.

Processus de gestion des risques : selon la norme ISO 31000 sur la gestion
des risques (2009), le processus de gestion des risques désigne « l’application
systématique des politiques, procédures et pratiques en matière de gestion aux
activités de communication, de consultation, d’établissement du contexte et
d’identification, d’analyse, d’évaluation, de traitement, de surveillance et d’exa-
men des risques. »

Risque : selon la norme ISO 31000 sur la gestion des risques (2009), le risque
désigne « l’effet de l’incertitude sur les objectifs ».

Système de gouvernance intégrée : gouvernance intégrée à la stratégie, la

gestion, la surveillance et la reddition de comptes par l’organe de direction et
les autres niveaux de direction pour assurer le succès durable de l’organisation

Ton donné par la direction : les mots et les actes de l’organe de direction et
de la haute direction d’une organisation qui déterminent ses valeurs, sa culture
et le comportement et les actions des personnes de l’organisation; cette
expression est synonyme de « prêcher par l’exemple ».

Valeur pour les parties prenantes : valeur qui est générée par l’organisation
pour les parties prenantes grâce à la création, la mise en œuvre et la gestion
de stratégies efficaces, de processus, d’activités, d’actifs, etc. Il y a création de
valeur durable pour les parties prenantes lorsque les avantages que l’organisa-
tion leur procure sont plus importants que les ressources consacrées. La valeur
est généralement déterminée au moyen de données financières, pour les
actionnaires par exemple, mais elle peut aussi être évaluée en fonction d’avan-
tages sociétaux ou environnementaux, comme c’est le cas pour les actionnaires
et les autres parties prenantes.
 27

Annexe B : Ressources

La gestion des risques est une activité dynamique et aucune liste de ressources
ne peut satisfaire à tous les besoins; les ressources mentionnées ne sont donc
peut-être pas suffisantes pour répondre aux besoins de tous les utilisateurs. On
peut trouver d’autres ressources de l’IFAC, ses organismes membres et des tiers
dans la passerelle Global Knowledge de l’IFAC.

www.ifac.org/Gateway

Ressources de l’IFAC
• Defining and Developing an Effective Code of Conduct for Organizations
(IFAC, 2007). Cette publication vise à aider les organisations à favori-
ser une culture axée sur l’éthique et à définir et à élaborer un code de
conduite. Elle renvoie aussi aux ressources les plus importantes dans ce
domaine.

• Internal Control from a Risk-Based Perspective (IFAC, 2007). Cette publi-

cation présente les expériences et points de vue de dix professionnels
comptables occupant des postes supérieurs en entreprise sur l’élaboration
de systèmes de contrôle interne efficaces.
28 Une gestion intégrée plutôt qu’autonome

• Evaluating and Improving Governance in Organizations (IFAC, 2009).

Cette publication présente un cadre, comportant une série de principes
fondamentaux, de lignes directrices et de renvois, sur la contribution des
professionnels comptables à l’évaluation et à l’amélioration de la gouver-
nance au sein des organisations.

• Global Survey on Risk Management and Internal Control—Results, Analy-

sis, and Proposed Next Steps (IFAC, 2011). Cette publication présente plus
de 600 réponses provenant du monde entier, une analyse des résultats
du sondage et un résumé des recommandations des répondants sur les
prochaines étapes dans ce domaine.

• Competent and Versatile: How Professional Accountants in Business Drive

Sustainable Organizational Success (IFAC, 2011). Cette publication expose
les divers rôles des professionnels comptables en entreprise et les nom-
breuses façons dont ces derniers servent les employeurs et l’intérêt public.

• Evaluating and Improving Internal Control in Organizations (IFAC, 2012).

Cette publication établit un point de référence pour les bonnes pratiques
relativement au maintien d’un contrôle interne efficace en réponse au
risque, et elle vise à aider les professionnels comptables en entreprise
et leurs organisations à créer un cycle d’amélioration continue pour leurs
systèmes de contrôle interne.

• Integrating Governance for Sustainable Success (IFAC, 2012). Cette

publication montre comment les professionnels comptables en entreprise
peuvent aider leurs organisations et accroître la performance en intégrant
la gouvernance aux principaux inducteurs du succès durable d’une orga-
nisation. À l’aide d’études de cas provenant de partout dans le monde, le
rapport démontre qu’une bonne gouvernance ne consiste pas uniquement
à protéger les intérêts des parties prenantes ou à assurer la conformité aux
exigences réglementaires.

Ressources de tiers
• Enterprise Risk Management—Integrated Framework (COSO, 2004). Cette
publication traite du contrôle interne et expose les principes et concepts
clés du sujet plus vaste qu’est la gestion des risques d’entreprise.

• Internal Control—Integrated Framework (COSO, 2013) et documents

connexes. Cette publication a pour but d’aider les organisations dans
la conception et la mise en œuvre d’un contrôle interne au vu des nom-
breux changements dans l’environnement commercial et l’environnement
opérationnel.
 Annexe B : Ressources 29

• Standard 31000:2009—Risk Management (International Organization for

Standardization, 2009). Cette norme de l’ISO présente les principes, un
cadre et un processus pour la gestion des risques qui s’appliquent à tout
type d’organisation du secteur public ou du secteur privé.

• King Code of Governance for South Africa (King III). Cette publication
recommande aux sociétés de maintenir une gouvernance, une gestion des
risques et un contrôle interne efficaces. Elle est entrée en vigueur en 2010.

• Risk Management Guidelines—Companion to AS/NZS ISO 31000:2009

(Standards Australia, Standards New Zealand, 2013). Cette publication
expose et explique les éléments présentés dans la norme ISO 31000 et
fournit des conseils sur l’application de la norme; l’approche préconisée
à l’égard de la gestion des risques est semblable à celle du présent docu-
ment de réflexion.

• Improving Organizational Performance and Governance: How the COSO

Frameworks Can Help (COSO, 2014). Cette publication établit un lien entre
les cadres du COSO sur la gestion des risques d’entreprise et le contrôle
interne, d’une part, et un modèle d’entreprise global, d’autre part, et elle
décrit comment les éléments clés de chaque cadre contribuent au succès
à long terme d’une organisation.

• Mixing Strategy with Risk (CGMA Magazine, 2014). Ce texte présente des
exemples pratiques qui montrent comment la gestion des risques s’inscrit
naturellement dans la planification stratégique, de même que le rôle de la
fonction des finances dans ce processus.

• Guidance on Risk Management, Internal Control, and Related Financial

and Business Reporting (UK Financial Reporting Council, 2014). Cette
publication précise, notamment, que la gestion des risques et le contrôle
interne devraient être intégrés à la gestion courante de la société de même
qu’aux processus de gouvernance et ne pas être traités comme une acti-
vité distincte de conformité.

• A Risk Challenge Culture (Association of Chartered Certified Accountants

and the Institute of Management Accountants, 2014). Cette publication
présente neuf éléments cruciaux de la conception et de la mise en œuvre
d’un environnement qui encourage, exige et récompense des investigations
qui mettent en doute les conditions existantes.
277, RUE WELLINGTON OUEST
TORONTO (ONTARIO) CANADA M5V 3H2
TÉL. 416 977.3222 TÉLÉC. 416 977.8585
WWW.CPACANADA.CA