L'ERM : bien plus qu'une conformité réglementaire
L'Enterprise Risk Management (ERM) est un processus structuré de gestion des risques, intégré à la stratégie et à la performance de l'organisation. Il ne s'agit pas d'une fonction support isolée, mais d'une capacité organisationnelle qui éclaire la prise de décision à tous les niveaux.
Pour les institutions financières africaines, l'ERM est une exigence prudentielle explicite. Pour toutes les organisations, c'est un outil de création et de préservation de valeur. Un ERM mature permet non seulement d'éviter les pertes, mais aussi d'identifier les opportunités que les concurrents moins structurés ne voient pas.
Le cadre COSO ERM 2017 : 5 composantes, 20 principes
Composante 1 — Gouvernance et Culture : le Conseil exerce la supervision des risques, établit la culture souhaitée, démontre l'engagement envers les valeurs fondamentales.
Composante 2 — Stratégie et Définition des Objectifs : analyse du contexte, définition de l'appétit au risque, évaluation des stratégies alternatives, formulation des objectifs.
Composante 3 — Performance : identification, évaluation et hiérarchisation des risques, mise en œuvre des réponses, développement du portefeuille de risques.
Composante 4 — Revue et Correction : évaluation des changements substantiels, revue de la performance, poursuite de l'amélioration.
Composante 5 — Information, Communication et Reporting : exploitation des systèmes d'information, communication des risques, reporting sur le risque, la culture et la performance.
Les trois lignes de défense
L'architecture de contrôle repose sur trois lignes :
1ère ligne — Management opérationnel : propriétaire des risques, conçoit et exécute les contrôles, gère les risques au quotidien.
2ème ligne — Fonctions risque et conformité : définit le cadre, anime la cartographie, contrôle le respect des politiques, conseille la 1ère ligne.
3ème ligne — Audit interne : évalue de manière indépendante l'efficacité du dispositif, rapporte au Conseil.
L'étanchéité entre les lignes est cruciale. La Circulaire CB-UMOA n°03-2017/CB/C exige explicitement cette séparation. Une confusion des rôles est un constat d'inspection critique.
Cet article vous a plu ?
Abonnez-vous pour recevoir nos prochaines publications directement dans votre boîte mail — sans spam, désinscription en un clic.
L'appétit au risque : le chaînon manquant
L'appétit au risque est le niveau de risque que l'organisation est prête à accepter dans la poursuite de ses objectifs stratégiques. Il se décline en :
- Déclaration d'appétit (qualitative) : approuvée par le Conseil, communiquée à toute l'organisation
- Limites de risque (quantitatives) : seuils par typologie (crédit, marché, liquidité, opérationnel)
- Indicateurs clés de risque (KRI) : suivis mensuellement, avec seuils d'alerte
L'absence d'appétit au risque formalisé est un constat d'inspection de plus en plus fréquent (criticité 3/5 à 4/5).
Spécificités du contexte africain
Risques pays : instabilité politique, volatilité réglementaire, risque de change, défaillance des infrastructures — ces risques doivent être intégrés dans l'ERM.
Risques de conformité : double régulation UEMOA/CEMAC, évolution rapide des exigences LBC/FT, réglementation ESG émergente.
Risques opérationnels : dépendance aux personnes clés, systèmes d'information peu matures, externalisation non maîtrisée.
Opportunités : un ERM mature différencie l'organisation auprès des investisseurs, des bailleurs et des régulateurs. C'est un avantage concurrentiel dans un environnement où la majorité des acteurs n'ont pas structuré leur gestion des risques.
Questions fréquentes
Réponses structurées pour investisseurs et régulateurs