Evaluation du processus de management des risques de la direction générale des impôts au Burkina Faso

b). Le référentiel ISO 31000 : 2018

L'ISO 31000est un référentiel de management des risques publié en 2009 et mis à jour en 2018. Il est présenté comme un guide pour les organisations, sur la manière d'intégrer la prise de décision fondée sur le risque aux processus de gouvernance, de planification, de management, de rapport, ainsi qu'aux politiques, aux valeurs et à la culture d'ensemble de l'organisation (ISO, 2018).

L'ISO 31000 s'articule autour de trois composantes interdépendantes :

- les principes: ils abordent les critères clés de la réussite d'un PMR efficace et efficient ;

- un cadre organisationnel : le dispositif repose sur des personnes qui doivent l'animer. Les synergies et la coopération à chaque étape du cycle de vie doivent être organisées.Le cadre organisationnel permet à l'organisation de structurer le fonctionnement du management des risques et de le positionner au coeur de la gouvernance ;

- etun processus: le management desrisques relève aussi de la méthode ; les analyses doivent être structurées et obéir à une logique qui permette la comparaison entre les risques, entre les entités d'une même organisation, et enfin d'une année à l'autre.

La figure suivante illustre l'écho voulu entre les trois composantes :

Figure 3: illustration de l'interconnexion entre les trois composantes de la norme ISO 31000

Source : (ISO, 2018)

c). Analyse comparée de l'ISO 31000:2018 et du COSO ERM 2017

L'ISO 31000 et le COSO ERMprônenttousune approche globale de management des risquesapplicable à toute organisation, quel que soit sa structure, sa taille, ou son pays.Ils n'édictent que des lignes directrices tout en laissant le choix à chaque organisation de les décliner en fonction de sa culture et de son contexte.

Ils partagent tous une vision commune sur beaucoup d'aspects, maiscomportent aussi des différences.La comparaison établie par SUTRA (2019), nous éclaire surles points de convergences et les différences entre les deux référentiels. C'est la synthèse de cette comparaison qui est offerte dansles paragraphes suivants.

v Les points communs significatifs de l'ISO 31000:2018 et du COSO ERM 2017

· Un lien marqué avec la stratégie

Les deux référentiels insistent sur la prise en compte du risque dans la sélection, la mise en oeuvre et le pilotage de la stratégie.

· Une implication de la gouvernance, affirmation du leadership

L'ISO 31000 et le COSO ERM insistent sur la nécessité de l'implication régulière des dirigeants qui se doivent de donner l'impulsion et d'allouer les ressources nécessaires.

· Une place prépondérante donnée aux parties prenantes

L'ISO 31000 et le COSO ERM accordent tous deux une place significative aux parties prenantes de l'organisation. Leurs attentes et points de vue, doivent être pris en compte.

· Une prise en compte des opportunités et de la part positive des risques

L'ISO 31000 et le COSO ERM exigent la prise en compte des risques aussi bien positifs que négatifspour créer et préserver de la valeur.

· Une prise en compte des facteurs humains

L'ISO 31000 et le COSO ERM insistentsur la prise en compte des facteurs humains dans les dispositifs de management des risques par l'intégration des aspects culturels, des risques liés aux ressources humaines (recrutement, rétention des talents, départ de personnes clés, etc. ), de la compétence des acteurssur le plan métier et surle plan du management des risques.

v Les différences significatives de l'ISO 31000:2018 et du COSO ERM 2017

· Une philosophie versus un processus

Le COSO ERM est porteur avant tout d'un état d'esprit dans lequel le management du risque est invité à se déployer. Son implémentation est plus susceptible de nécessiter d'élaborer en interne un cadre méthodologique plus précis pour sa mise en oeuvre.

L'ISO 31000 aun caractère plus opérationnel et directement applicable. La structuration de la norme en trois chapitres : « Principes », « Cadre organisationnel » et « Processus »,entend proposer d'ores et déjà un cadre opérationnel. Il est mieux présenté sous forme de processus.

Étant plus opérationnel, l'ISO 31000 peut-être plus adaptée pour une organisation dont la fonction de management des risques est naissante. Aussi, la perspective de déploiement et de coordination avec d'autres systèmes ISO rend aussi pertinent l'adoption de l'ISO 31000.

En revanche, une organisation déjà familiarisée avec le management des risques peut trouver dans le COSO ERM un cadrepour enrichir les réflexions et franchir des caps significatifs.

· Un challenge du processus décisionnel dès l'amont

Pour les deux textes, le lien entre management des risques et stratégie peut se mettre en oeuvre en analysant les risques en amont et en aval de la prise de décision. En amont, en pesant les coûts et bénéfices de chaque alternative avant de prendre la décision ; puis en aval en réfléchissant aux risques susceptibles d'impacter la réalisation des décisions prises.

Toutefois, le COSO ERM part au-delà, en invitant les organisations à travailler sur les risques liés au processus de prise de décision en lui-même.Ainsi, le dispositif de management des risques, tel qu'envisagé par le COSO ERM aurait un périmètre d'analyse plus large.

· L'appétence aux risques versus les critères de risque

Le COSO ERM et l'ISO 31000 considèrent tous les deux, que le niveau des risques doit s'apprécier au regard d'éléments objectifs et prédéfinis par l'organisation.Toutefois,les modalités d'établissement de ces critères diffèrent.

Les concepts, d'appétence pour le risque utilisé par le COSO ERM, et de critères de risque utilisé par l'ISO 31000, permettent tous deuxde distinguerles risques acceptables, de ceux non-acceptables compte tenu de la nature et des objectifs de l'organisation.

Toutefois, le concept de critère utilisé par l'ISO 31000 part bien au-delà en invitant les organisations à définir au préalable des critères^20(*)pourun ciblage objectif et pertinentdes risques sur lesquels des analyses plus approfondies doivent être menées.

* ²⁰ Ces critères de risque ne doivent pas être confondus avec la grille de cotation des risques