Le rôle de l’audit interne dans le management des risques de l’entreprise

Le rôle de l’audit interne dans le management des risques de l’entreprise

Dans le cadre du lancement récent du référentiel Le management des risques de l’entreprise – Cadre de référence du Committee of Sponsoring Organizations of the Treadway Commission (COSO), l’Institute of Internal Auditors (IIA), en coordination avec ses membres affiliés britannique et irlandais, publie une note de position sur Le Rôle de l’audit interne dans le management des risques de l’entreprise. Ce document a pour objectif d’aider les responsables de l’audit interne à résoudre les problèmes liés au management des risques dans leur organisation. Il leur suggère des moyens de préserver l’objectivité et l’indépendance requises par les Normes internationales pour la pratique professionnelle de l’audit interne (les Normes) lorsqu’ils effectuent des missions d’assurance et de conseil.

Concernant le management des risques de l’entreprise, le rôle essentiel de l’audit interne consiste à apporter au Conseil une assurance objective quant à l’efficacité des cette activité, afin que les principaux risques de l’entreprise soient gérés correctement et que le système de contrôle interne fonctionne bien.

Rôles recommandés

Lors de la définition du rôle de l’audit interne, les responsables de l’audit interne doivent en priorité se demander si l’activité constitue une menace pour l’indépendance et l’objectivité des auditeurs internes et si elle peut améliorer la gestion des risques, les contrôles et la gouvernance de l’organisation. La note de position de l’IIA indique les rôles que l’audit interne doit et ne doit pas jouer dans le processus de management des risques.

Principaux rôles de l’audit interne dans le processus de management des risques

•                     Donner une assurance sur les processus de gestion des risques.

•                     Donner l’assurance que les risques sont bien évalués.

•                     Évaluer les processus de gestion des risques.

•                     Évaluer la communication des risques majeurs.

•                     Examiner la gestion des principaux risques.

Rôles légitimes de l’audit interne, sous réserve de prendre les précautions nécessaires

•                     Faciliter l’identification et l’évaluation des risques.

•                     Accompagner la direction dans sa réaction face aux risques.

•                     Coordonner les activités de management des risques.

•                     Consolider le reporting des risques.

•                     Actualiser et développer le cadre de gestion des risques.

•                     Promouvoir  de la mise en œuvre du management des risques.

•                     Élaborer une stratégie de gestion des risques à valider par le Conseil.

Rôles que l’audit interne NE doit PAS jouer

•                     Définir l’appétence pour le risque.

•                     Définir des processus de gestion du risque.

•                     Gérer l’assurance sur les risques.

•                     Décider de la manière de réagir face aux risques.

•                     Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.

•                     Prendre la responsabilité de la gestion des risques.

L’IIA précise que les organisations doivent bien comprendre que la direction reste responsable de la gestion des risques. Le travail des auditeurs internes consiste à donner des conseils et à contester ou soutenir les décisions de la direction concernant le risque, mais en aucun cas les auditeurs ne prennent ces décisions eux-mêmes. La nature des responsabilités de l’audit interne doit être consignée dans la charte d’audit et avalisée par le comité d’audit.

Le Rôle de l’audit interne dans le management des risques de l’entreprise est joint en annexe.

Créé en 1941, l’IIA compte approximativement 95 000 membres opérant dans l’audit interne, la gouvernance, le contrôle interne, l’audit des systèmes d’information, la formation et la sécurité dans le monde entier. C’est une autorité reconnue, un acteur de premier plan dans la formation des auditeurs et un leader incontesté dans la certification, la recherche et la formulation de recommandations sur les aspects technologiques à l’intention des professionnels du monde entier.

Introduction

Depuis quelques années, l’importance de la gestion du risque pour un gouvernement d’entreprise efficace est de plus en plus largement reconnue. Les organisations doivent impérativement identifier tous les risques sociaux, déontologiques, environnementaux, financiers et opérationnels auxquels elles sont exposées et expliquer comment elles les maintiennent à un niveau acceptable. Dans le même temps, l’utilisation de référentiels de gestion intégrée des risques de l’entreprise s’est répandue, car les organisations comprennent que ces cadres sont plus efficaces que les approches moins coordonnées.

Dans son rôle d’assurance et de conseil, l’audit interne contribue à la gestion du risque de diverses manières. En 2002, l’Institute of Internal Auditors, Royaume-Uni et Irlande (IIA), a publié une note de position sur le rôle de l’audit interne dans la gestion du risque [The Role of Internal Audit in Risk Management] afin d’expliquer à ses membres les rôles qui étaient acceptables et les précautions à prendre pour protéger l’indépendance et l’objectivité de l’audit interne. Cette position révisée remplace la précédente et tient compte des évolutions récentes intervenues à l’échelle mondiale dans le domaine de la gestion du risque et de l’audit interne.

Qu’est-ce que le management des risques de l’entreprise ?

Les activités de management des risques servent à identifier, évaluer, gérer et contrôler les risques dans toutes les situations et pour tous les événements. La palette s’étend des projets uniques ou des catégories de risques très précises, par exemple le risque de marché, aux menaces et aux opportunités que rencontre une organisation dans son ensemble. Les principes énoncés dans cette note de position peuvent servir de référence pour le travail de l’audit interne dans toutes les formes de gestion du risque, mais nous nous intéressons tout particulièrement à la gestion du risque à l’échelle de l’entreprise, qui est en mesure d’améliorer la gouvernance d’une organisation.

Le management des risques de l’entreprise est un processus structuré, cohérent et continu, opérant dans toute l’organisation qui permet d’identifier et d’évaluer les risques, de décider des mesures à prendre et de rendre compte des opportunités et des menaces qui affectent la réalisation des objectifs de l’organisation.

Responsabilité du management des risques de l’entreprise

C’est le Conseil qui est en général responsable de la gestion des risques. Dans la pratique, le Conseil délègue le fonctionnement du cadre de la gestion du risque à l’équipe dirigeante, qui sera chargée de mener à bien les activités énumérées plus bas. Il se peut que l’entreprise ait prévu une fonction distincte pour la coordination et la gestion de projet, confiée à des spécialistes.

Tous les collaborateurs ont leur rôle à jouer pour que la gestion du risque soit un succès à l’échelle de l’organisation, mais c’est à la direction que revient la responsabilité première d’identifier les risques et de les gérer.

Avantages du management des risques de l’entreprise

Le management des risques peut aider de manière décisive l’organisation à gérer ses risques et à atteindre ses objectifs. Voici ses avantages :

§  Meilleures chances d’atteindre ses objectifs.

§  Communication consolidée de risques disparates au niveau du Conseil.

§  Meilleure compréhension des principaux risques et de toutes leurs conséquences.

§  Identification et communication des risques transversaux au sein de l’entreprise.

§  Recentrage de l’attention sur les aspects qui comptent vraiment.

§  Moins de surprises ou de crises.

§  Plus grande volonté de faire ce qu’il faut comme il faut.

§  Meilleures chances de faire aboutir les changements.

§  Capacité d’accepter des risques supérieurs, pour des avantages supérieurs.

§  Prise de risque et de décision plus éclairée.

Activités intervenant dans le management des risques de l’entreprise

§  Formuler et communiquer les objectifs de l’organisation.

§  Déterminer l’appétence pour le risque de l’organisation.

§  Instaurer un environnement interne approprié, avec un cadre de gestion du risque.

§  Identifier les menaces potentielles qui planent sur la réalisation des objectifs.

§  Évaluer le risque, c’est-a-dire la probabilité que l’événement se produise et son impact.

§  Sélectionner et mettre en œuvre les réactions face au risque.

§  Mettre en œuvre des contrôles et toute autre réaction face au risque.

§  Informer sur les risques de manière cohérente à tous les niveaux de l’organisation.

§  Surveiller et coordonner la gestion du risque et ses résultats à l’échelon central, et

§  Apporter l’assurance que les risques sont gérés efficacement.

Prise de position

Le rôle de l’audit interne dans le management des risques de l’entreprise

Apporter une assurance sur l’ERM

L’une des principales missions du Conseil (ou son équivalent), consiste à s’assurer que les processus de gestion du risque fonctionnent correctement et que les principaux risques sont maintenus à un niveau acceptable.

Il est probable que cette assurance proviendra de différentes sources. Parmi ces sources, l’assurance provenant de la direction est fondamentale, mais doit être complétée par une assurance objective, émanant principalement de l’audit interne. Les autres sources sont l’audit externe et les examens par des experts indépendants. L’audit interne apporte normalement des assurances dans trois domaines :

§  Les processus de gestion du risque, à la fois concernant leur conception et leur fonctionnement.

§  La gestion des risques classés dans la catégorie « majeurs », y compris l’efficacité des contrôles et autres mesures de maîtrise des risques, et

§  La fiabilité et la qualité de l’évaluation et de la communication des risques et de l’état des contrôles.

Le rôle de l’audit interne dans le management des risques

L’audit interne est une activité indépendante qui apporte des conseils et une assurance objectifs. Concernant le management des risques, son principal rôle consiste à donner au Conseil l’assurance objective que la gestion des risques est efficace. Des travaux de recherche ont montré que les membres du conseil et les auditeurs internes s’accordent à dire que les deux activités d’audit interne les plus porteuses de valeur ajoutée pour les organisations sont les suivantes : apporter l’assurance objective que les principaux risques sont bien gérés et apporter l’assurance que le cadre de la gestion des risques et du contrôle interne fonctionne correctement¹.

La figure 1 présente un éventail des activités du management des risques et indique les rôles qu’une fonction d’audit interne professionnelle doit, et surtout ne doit pas, jouer. Les principales questions à se poser pour la définition du rôle de l’audit interne sont : l’activité constitue-t-elle une menace pour l’indépendance et l’objectivité des auditeurs internes, et peut-elle améliorer la gestion des risques, les contrôles et la gouvernance de l’organisation ?

[en bleu foncé]

Principaux rôles de l’audit interne dans le processus de management des risques

•                     Donner une assurance sur les processus de gestion des risques.

•                     Donner l’assurance que les risques sont bien évalués.

•                     Évaluer les processus de gestion des risques.

•                     Évaluer la communication des risques majeurs.

•                     Examiner la gestion des principaux risques.

[en bleu clair]

Rôles légitimes de l’audit interne, sous réserve de prendre les précautions nécessaires

•                     Faciliter l’identification et l’évaluation des risques.

•                     Accompagner la direction dans sa réaction face aux risques.

•                     Coordonner les activités de management des risques.

•                     Consolider le reporting des risques.

•                     Actualiser et développer le cadre de gestion des risques.

•                     Promouvoir  de la mise en œuvre du management des risques.

•                     Élaborer une stratégie de gestion des risques à valider par le Conseil.

[en gris]

Rôles que l’audit interne ne doit pas jouer

•                     Définir l’appétence pour le risque.

•                     Définir des processus de gestion du risque.

•                     Gérer l’assurance sur les risques.

•                     Décider de la manière de réagir face aux risques.

•                     Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.

•                     Prendre la responsabilité de la gestion des risques.

Les activités présentées à gauche dans la figure 1 sont toutes des activités d’assurance. Elles s’inscrivent dans l’objectif plus large d’apporter une assurance sur la gestion du risque. Une fonction d’audit interne qui respecte les Normes internationales pour la pratique professionnelle de l’audit interne peut et doit exécuter ces activités, au moins partiellement.

L’audit interne peut apporter des services de conseil qui améliorent la gouvernance, la gestion du risque et les contrôles au sein d’une organisation. L’étendue de l’activité de conseil de l’audit interne dans le cadre du management des risques dépendra des ressources, internes et externes, dont dispose le Conseil et de la maturité de l’organisation en matière de risque. Elle peut varier au fil du temps. En raison de son savoir-faire dans le domaine de la gestion des risques, de sa compréhension des relations entre risques et gouvernance et de ses capacités de facilitation, l’audit interne est idéalement placé pour promouvoir le management des risques, voire pour diriger un projet de management des risques, surtout lors des premières phases. À mesure que l’organisation gagnera en maturité, en matière de risque, et que la gestion du risque s’ancrera plus profondément dans ses activités, ce rôle de promoteur perdra en importance. De même, si une organisation recourt aux services d’un spécialiste, ou à une fonction spécialisée, de la gestion des risques, il sera plus intéressant que l’audit interne se concentre sur son rôle d’assurance, plutôt que d’apporter des conseils redondants. Cependant, si l’audit interne n’a pas encore adopté l’approche fondée sur le risque représentée par les activités d’assurance à gauche dans la figure 1, il ne sera probablement pas encore équipé pour mener à bien les activités de conseil énumérées au centre de la figure.

Rôles de conseil

Le centre de la figure 1 présente les rôles de conseil que l’audit interne peut jouer en relation avec le management des risques. De manière générale, plus l’auditeur s’aventure vers la droite, plus il doit prendre de précautions pour préserver son indépendance et son objectivité. Voici certains des rôles de conseil que l’audit interne peut assumer :

§  Mettre à la disposition de la direction les outils et les techniques utilisés par l’audit interne pour analyser les risques et les contrôles.

§  Promouvoir l’introduction du management des risques dans l’organisation, tirer parti de son savoir-faire dans la gestion des risques et les contrôles et de sa connaissance globale de l’organisation.

§  Formuler des conseils, faciliter le travail en ateliers, accompagner l’organisation sur la question des risques et des contrôles et promouvoir le développement d’un langage, d’un cadre et d’une conception communs.

§  Centraliser la coordination, la surveillance et la communication des risques, et

§  Soutenir la hiérarchie lorsqu’elle s’efforce d’identifier le meilleur moyen d’atténuer un risque.

Pour décider si des services de conseil sont compatibles avec le rôle d’assurance, il est impératif de déterminer si l’auditeur interne endosse une responsabilité de direction. Dans le cas du management des risques, l’audit interne peut apporter des services de conseil dans la mesure où il ne participe pas à la gestion des risques, c’est-à-dire où il n’a pas une fonction de direction, et dans la mesure où la direction de l’entreprise soutient le management des risques et y adhère activement. À chaque fois que l’audit interne aide l’équipe dirigeante à mettre en place ou à améliorer des processus de gestion du risque, son plan de travail doit inclure une stratégie claire et un échéancier pour le transfert de ces responsabilités à l’équipe dirigeante.

Mesures de précaution

L’audit interne peut étendre sa participation au management des risques, comme le montre la figure 1, sous certaines conditions :

§  Il doit être clair que la direction demeure responsable de la gestion du risque.

§  La nature des responsabilités de l’audit interne doit être consignée dans la charte d’audit et validée par le Comité d’audit.

§  L’audit interne ne doit pas gérer de risque au nom de la direction.

§  L’audit interne doit formuler des conseils, contester ou au contraire appuyer les décisions de la direction, mais en aucun cas prendre lui-même des décisions concernant la gestion des risques.

§  L’audit interne ne peut pas donner d’assurance objective quant à tout volet du cadre de gestion des risques dont il est responsable. Ce sont d’autres parties qualifiées qui devront apporter une telle assurance.

§  Toute tâche sortant du cadre des activités d’assurance doit être considérée comme une mission de conseil, qui donne lieu au respect des Normes régissant ce type de missions.

Qualifications et savoir

Les auditeurs internes et les spécialistes de la gestion du risque ont en commun certains savoirs, certaines qualifications et certaines valeurs. Ces deux professions comprennent les impératifs du gouvernement d’entreprise, possèdent des compétences de gestion, d’analyse et de facilitation, et sont attachées à l’équilibre des risques, par opposition aux prises de risques extrêmes ou au contraire aux comportements d’évitement. Cependant, les spécialistes de la gestion du risque ne rendent compte qu’à la direction de l’organisation et n’ont pas à apporter une assurance indépendante et objective au comité d’audit. Les auditeurs internes qui cherchent à étendre leur rôle dans le cadre du management des risques ne doivent pas non plus sous-estimer le savoir spécialisé des gestionnaires du risque (par exemple sur le transfert du risque ou les techniques de quantification et de modélisation), qui sort habituellement du champ des connaissances de la plupart des auditeurs internes. Tout auditeur interne qui n’est pas en mesure de prouver qu’il possède les qualifications et le savoir appropriés doit s’abstenir de participer à la gestion des risques. De plus, le responsable de l’audit interne ne doit pas fournir de services de conseil dans ce domaine si les qualifications et le savoir requis ne sont pas disponibles au sein de la fonction d’audit interne et s’il n’est pas possible de se les procurer ailleurs.

Conclusion

La gestion du risque constitue un élément fondamental du gouvernement d’entreprise. C’est la direction qui doit instaurer un cadre de gestion des risques et le faire fonctionner à la demande du Conseil. Le management des risques de l’entreprise peut se révéler très utile à de nombreux égards en raison de son approche structurée, cohérente et coordonnée. Dans le cadre du management des risques, le rôle essentiel de l’audit interne doit consister à apporter à la direction et au Conseil l’assurance de l’efficacité de la gestion du risque. Lorsque l’audit interne étend ses activités au-delà de ce rôle central, il doit prendre certaines précautions, et notamment traiter les missions comme des services de conseil, et donc respecter toutes les Normes y afférentes. L’audit interne protège ainsi l’indépendance et l’objectivité de ses services d’assurance. Dans ce cadre, le management des risques peut contribuer à rehausser le profil et à accentuer l’efficacité de l’audit interne.

Glossaire

Appétence pour le risque : niveau de risque acceptable pour le Conseil ou la direction. Il peut être défini en relation avec l’organisation dans son ensemble, pour différentes catégories de risque ou au niveau de chaque risque.

Cadre de gestion du risque : ensemble des structures, méthodes, procédures et définitions qu’une organisation a choisies pour mettre en œuvre ses processus de gestion du risque.

Conseil : organe qui gouverne une organisation. Il peut s’agir d’un conseil d’administration, d’un conseil de surveillance, de la direction d’une administration ou d’une instance législative, d’un conseil des gouverneurs ou des administrateurs d’une organisation à but non lucratif.

Contrôle : toute action engagée par la direction, le Conseil et d’autres parties pour gérer le risque et accroître la probabilité que les objectifs définis seront atteints. La direction planifie, organise et dirige l’exécution des actions qui apporteront l’assurance raisonnable que ces objectifs seront atteints.

Entreprise : toute organisation créée dans le but d’atteindre un ensemble donné d’objectifs.

Facilitation : travailler avec un groupe (ou des individus) afin que ce groupe ait davantage de facilité à atteindre les objectifs qu’il a acceptés, pour une réunion ou pour l’activité. La facilitation consiste à écouter, contester, observer, interroger et soutenir le groupe et ses membres. Elle ne suppose ni de faire le travail ni de prendre les décisions.

Management des risques de l’entreprise : processus structuré, cohérent et continu mis en œuvre dans toute l’organisation afin d’identifier et d’évaluer les opportunités et les menaces pour la réalisation des objectifs, de décider de la manière d’y réagir et d’en rendre compte.

Maturité face au risque : niveau de solidité de l’approche de la gestion du risque adoptée et appliquée, conformément au plan, par la direction dans toute l’organisation, afin d’identifier et d’évaluer les risques, de décider d’une réaction et de rendre compte des opportunités et des menaces liés à la réalisation des objectifs de l’organisation.

Processus de gestion du risque : processus visant à identifier, évaluer, gérer et maîtriser tout événement ou situation potentiels, afin d’apporter une assurance raisonnable concernant la réalisation des objectifs de l’organisation

Réactions face au risque : moyens par lesquels une organisation choisit de gérer chaque risque. Les principales possibilités sont les suivantes : tolérer le risque ; le traiter en réduisant son impact ou sa probabilité ; le transférer à une autre organisation ou mettre fin à l’activité à l’origine du risque. Les contrôles internes constituent un moyen de traiter le risque.

Risque : possibilité qu’un événement se produise et qu’il ait des conséquences sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité.

Services d’assurance : examen objectif des preuves dans le but d’apporter une évaluation indépendante des processus de gestion des risques, de contrôle et de gouvernance pour l’organisation. La mission peut porter sur les données financières, les performances, la conformité aux normes, le système de sécurité ou avoir pour objet un contrôle diligent.

Services de conseil : activités de service à la clientèle qui ont un caractère consultatif et autres, dont la nature et l’étendue sont convenues avec le client et qui sont destinées à créer de la valeur et à améliorer la gouvernance, la gestion des risques et les contrôles dans l’organisation, sans que l’auditeur interne n’assume de responsabilité de direction. Parmi ces services, on peut citer la formulation de recommandations et d’avis, la facilitation et la formation.