La gestion des risques d’entreprise, également appelée ERM, est un concept qui a une définition assez simple et une mise en œuvre beaucoup plus complexe. C’est un terme financier d’entreprise qui décrit les méthodes de gestion des risques – identification des risques et des opportunités – au sein d’une entreprise. Ce concept est large et peut être assez complexe pour les grandes entreprises. Avant la loi Sarbanes-Oxley aux États-Unis et plus tard la norme internationale pour la gestion des risques (ISO 31000), la gestion des risques d’entreprise était en grande partie facultative et bien que de nombreuses entreprises aient utilisé des stratégies pour gérer les risques, les directives étaient beaucoup plus vagues. Les aspects de la gestion des risques d’entreprise peuvent inclure l’identification des objectifs commerciaux et la création d’un plan stratégique pour les atteindre ; évaluer la probabilité que le plan, ou des parties du plan, réussisse ; et la création d’un plan d’intervention et d’évaluation des progrès.
La planification stratégique peut être définie comme la formulation et la mise en œuvre d’un plan à l’échelle de l’organisation, qui permet à ceux qui en font partie de prendre des décisions qui se concentrent uniquement sur la réalisation des objectifs fixés par l’organisation. En affaires, des risques doivent généralement être pris pour aider à atteindre au maximum les objectifs fixés par l’entreprise. La gestion des risques d’entreprise est la façon dont les entreprises et les organisations gèrent ces risques. Une partie de la prise de risque sur une opportunité consiste à savoir qu’elle ne sera peut-être pas rentable ; tout le temps, l’argent et les ressources investis pourraient être perdus. La loi Sarbanes-Oxley, par exemple, met en place des lois sur l’audit afin que les entreprises puissent garder à l’esprit ce qu’est un niveau de risque acceptable. L’objectif des lois sur l’audit est de protéger les parties prenantes et d’aider à garantir que la corruption au sein d’une organisation puisse être arrêtée avant de causer un préjudice irréparable.
Quelques exemples de types courants de risques auxquels une entreprise peut être confrontée comprennent les risques de crédit, d’assurance, juridiques, comptables, d’audit, de qualité et autres. La loi Sarbanes-Oxley oblige les entreprises américaines à mettre en place un système de gestion des risques d’entreprise, et c’est ainsi qu’un certain nombre de cadres ont été créés. Les deux principaux référentiels aux États-Unis ont été élaborés par la Casualty Actuarial Society (CAS) et le Committee of Sponsoring Organizations (COSO). Le cadre du COSO est plus communément adopté. Il stipule que la gestion des risques d’entreprise est un processus de contrôles internes qui doit être partagé par l’ensemble de l’entreprise et que les personnes au sein de l’entreprise doivent connaître son niveau de risque acceptable. Les grandes lignes de la NCA sont davantage axées sur la gestion des risques de manière à accroître la valeur de l’entreprise pour ses parties prenantes. Grâce à de nombreux événements défavorables survenus dans le monde des affaires, les législateurs et les hommes d’affaires ont réalisé qu’un système de gestion des risques d’entreprise qui inclut tous les départements d’une organisation est le meilleur moyen de protéger les parties prenantes et donc de se protéger.