L'audit des systèmes d'information


Introduction
La communication interne : quel rôle dans l’entreprise ?
La communication interne devient de plus en plus un outil stratégique qui tient une place importante dans le management de toute entreprise ou organisation. A tous les niveaux, les informations sont recueillies, propagées et communiquées à l’ensemble du personnel pour les valoriser et les inciter à contribuer de manière efficace à la réussite de l’organisation. D’une manière générale, elle accompagne le management ; et les entreprises qui réussissent sont celles qui utilisent la communication interne comme une clé « passe–partout » pour donner un sens au travail, levier de la motivation, et pour donner une orientation aux hommes de façon à ce qu’ils se sentent appartenir à l’organisation.
Cette importance de la communication interne comme moyen servant à maintenir la cohésion et la motivation de l’ensemble du personnel, rend nécessaire de réaliser, de temps en temps, un diagnostic d’état des lieus. C’est le rôle de l’audit de communication interne.
Qu’est-ce qu’un audit ?
Procédure par laquelle un portrait, qualitatif et quantitatif, des processus de la communication interne d’une organisation est dressé à un moment précis dans le temps. Conduire un audit signifie établir le diagnostic d’une situation (déterminer les forces/faiblesses et les menaces/opportunités) dans une perspective de compréhension et de prise de décision.
« L’audit interne, c’est comme l’odeur du gaz : c’est rarement agréable, mais cela peut parfois éviter l’explosion… »
Cependant, un audit ne peut être mené sans se baser sur un référentiel (des normes) qui sert à apprécier les résultats obtenus, car ce est avantage pour certains peut être perçus comme inconvénient par d’autre, d’où l’importance du référentiel pour interpréter objectivement un situation observée. Le référentiel de l’audit de communication est constitué par 14 dispositifs dont le dispositif d’écoute organisée.
Qu’est-ce qu’un dispositif d’écoute organisée ?
C’est un ensemble d’outils mis en place pour atteindre un objectif spécifique auprès d’une cible donnée.
Le dispositif d’écoute organisée consiste à se poser les 3 questions suivantes :
1.      L’entreprise dispose-elle d’un système d’information sur le personnel ?
2.      Est-ce qu’elle mène des enquêtes d’opinion de façon régulière ?
3.      Dispose-t-elle d’un tableau de bord social ?

1-                système d’information sur le personnel :
Il s’agit d’une base de données sociale exhaustive regroupant toutes les informations (familiales et professionnelles) relatives à l’ensemble du personnel.
Le système d’information relatif au personnel doit son importance au fait qu’il est nécessaire à toute décision concernant le personnel de l’entreprise (changement de structure, gestion de carrières, formation,…)
Vu cette importance qu’il revêt, le système d’information de l’entreprise doit être protéger contre tout risque pouvant porter atteinte à son fonctionnement normal.
« La sécurité du système d’information ne permet pas directement de gagner de l'argent mais évite d'en perdre.»
Pour cela le système d’information doit se conformer à certaines règles :
·                   La confidentialité : accès limité à l’information.
·                   La disponibilité : maintien de l'accessibilité en continu sans    interruption ni dégradation;
·                   La pérennité (aucune destruction): les données sont conservés et actualisées en permanence.

2-                les enquêtes d’opinion : le baromètre social.
De nombreuses entreprises passent à la mise en œuvre de changements qu’elles estiment particulièrement importants ou incontournables pour leur survie, sans toujours s’attacher à mesurer préalablement les perceptions des collaborateurs et leur degré prévisible d’appropriation de la stratégie choisie. De ce fait, les dispositifs de communication sensés mobiliser les acteurs du changement et par conséquent contribuer à la réussite du projet sont sous évaluées, voire oubliées.          

Les résultats en pareil cas ne tardent pas à se faire sentir : le contexte du changement, l’urgence et la nécessité d’agir, les risques et conséquences à ne rien faire, les bénéfices attendus n’étant pas largement partagés; les énergies trouvent plus facilement à se manifester dans des résistances et d’éventuelles oppositions, qu’à s’investir dans le sens de la réforme.
D’où l’importance des enquêtes d’opinion comme moyen de mesure de la satisfaction interne.
L’enquête d’opinion interne est généralement réalisée à travers un questionnaire. Le mode de recueil des information dépend de la nature et du type d’informations recherchés, du profil de la personne à interviewer, de sa disponibilité, de la dispersion de la population, du délai de l’étude, du budget global de l’étude.
Ces éléments déterminent notamment le choix entre un questionnaire en face à face ou par téléphone, etc.
3-                le tableau de bord social :
Le tableau de bord est un outil de pilotage qui met en évidence de façon synthétique et conviviale, les écarts entre les objectifs recherchés par l’entreprise et la réalité, présente sous forme d’indicateurs de performance. Ces indicateurs sont sélectionnés pour leur simplicité, leur sensibilité et leur capacité à susciter de la part du dirigeant, une réaction immédiate et efficace.
Les avantages d’un tableau de bord :
o   Il donne des repères au responsable. 
o   Le tableau de bord est un reflet de ce qui se passe ; c’est au responsable de donner du sens à l’information reçue.
o   Le tableau de bord permet l’étude approfondie du système, de mettre au point des stratégies pour atteindre les objectifs.
o   Grâce aux informations qu’il donne, le responsable a les moyens de décider pour agir.
Les objectifs du tableau de bord :
Le constat : Les tableaux de bord ne remplissent qu’une fonction d’évaluation. Ils n’expliquent rien.
L’action : La réalisation d’un tableau de bord nécessite une volonté affirmée d’agir. Préalablement au constat, il est nécessaire de savoir où l’on souhaite aller. :
Limites du tableau de bord :
Un outil de sanction : le tableau de bord ne doit pas être un instrument répressif au service du management. Les dimensions de dialogue et de partage des réflexions constituent le socle incontournable de l’outil tableau de bord.
Un outil figé : le tableau de bord doit pouvoir évoluer. La pertinence des indicateurs et des informations induites est intimement liée au contexte. Il n’est donc pas question de concevoir un tableau de bord stable. Il faut au contraire veiller aux phénomènes d’évolution.
Un outil neutre : les indicateurs du tableau de bord reflètent les choix du responsable, en fonction de ses domaines et degrés de préoccupations à un instant donné, mais aussi de sa personnalité. Il ne peut y avoir de tableau de bord totalement rationnel !

Conclusion
Les documents ainsi établis dans le cadre du dispositif d’écoute organisée doivent faire l’objet d’une large diffusion d’abord au niveau interne pour tenir le personnel informé sur la situation actuelle de l’organisation et sur les changements visés, en suite au niveau externe pour promouvoir l’image de marque de l’entreprise auprès de ses partenaires et ses clients (communication institutionnelle).
Sources webographiques :
www.blog.netpme.fr
www.cegos.fr
www.opus.grenet.fr
www.statcan.gc.ca

Etude de cas
NSIA assurances est une compagnie d’assurances résidant sur Agadir et désireuse d ’effectuer un audit de sa communication interne.
Pour ce faire un dispositif d’analyse de l ’écoute organisée est effectué et tient en les questions suivantes.





Questions à Poser
Réponse
Niveau
A capitaliser
A  instaurer
Existe-t-il un système d’information allant au-delà des simples informations administratives ?
Oui, un réseau de partage de l’information est instauré
Bon


La connaissance des données sur le personnel (formation, qualification, carrière, désirs de formation) ?
Oui, mais seulement à titre indicatif


Rencontres permettant à chacun de préciser son besoin en formation
Des enquêtes d’opinions sont-elles effectuées de manière régulière ?
Oui, au  travers de questionnaires de prise d’opinion
Moyen

Intégrer la boîte à suggestion                                                                                                  
l’entreprise publie-t-elle un bilan social ou un tableau de bord social (taille de l’entreprise, niveau de détail) ?
Oui , ces informations sont accessibles auprès des  responsables syndicaux et sur le site officiel de l’entreprise



Les documents font-il l’objet d’une large diffusion ?
Non, seuls les cadres reçoivent des comptes-rendus écrits


affichage, journal d’entreprise




Aucun commentaire:
Libellés :

Procédure d'audit interne




I) OBJET/DOMAINE D’APPLICATION

Principe : les audits sont des outils importants pour établir, maintenir et améliorer la qualité. Ils permettent d’évaluer l’application, la conformité  et la performance du système qualité.

L’audit interne vise à établir périodiquement un état des lieux d’un secteur prédéfini de l’entreprise au niveau qualité.

Lors de cet audit, les éléments suivants sont vérifiés :
·         L’adéquation des méthodes de travail et de l’organisation vis-à-vis du référentiel qualité et de la politique qualité
·         Le respect des règles établies (discipline opérationnelle)
·         La conformité des résultats

Cette procédure présente le programme d’audits internes mis en place dans l’entreprise.

Elle décrit comment sont formés les auditeurs internes, comment sont planifiés et comment se déroulent les audits internes, et comment sont exploités et suivis les résultats de ces audits.

II) REFERENCES

Exigence de la norme ISO 9001 relative à l’Audit interne.

III) RESPONSABILITES ET RESSOURCES

Le programme des audits internes est sous la responsabilité de l’Animateur Qualité (pilote).

Pour réaliser les audits internes, il dispose des ressources suivantes :
  • Des auditeurs internes qualifiés
  • Des prestataires extérieurs agréés

Qualification des auditeurs internes
L’auditeur interne est formé par l’Animateur Qualité sur :
  • Les principes de l’amélioration continue
  • Les principes de l’audit
  • La mise en pratique dans l’entreprise au travers de la présente procédure

L’auditeur interne doit réaliser un audit interne en doublon avec l’Animateur Qualité pour être qualifié.
L’auditeur interne perd sa qualification s’il passe 3 ans sans réaliser d’audit.

Agrément des prestataires extérieurs :
L’Animateur Qualité vérifie que le prestataire a une qualification d’auditeur ICA (ou IRCA) ou a suivi une formation à l’audit selon la norme ISO19011 « Lignes directrices pour l'audit des systèmes de management »
et a une pratique régulière de l’audit qualité (références présentées).
L’encadrement responsable du secteur audité est responsable de la mise en œuvre des actions correctives suite aux audits internes.

IV) PLANIFICATION DES AUDITS INTERNES

L’Animateur Qualité établit et tient à jour le planning des audits internes pour une période de 3 ans. L’objectif est de procéder à l’audit de toute l’organisation sur cet intervalle.
Le planning indique le secteur/processus/activité audité, la période de l’audit, le nom de l’auditeur.
Le planning d’audit est validé par la Direction.
(Voir exemple)

V) DEROULEMENT DE L’AUDIT INTERNE

5.1 Préparation de l’audit interne

L’auditeur interne fixe une date et les horaires de l’audit (la durée est de 4 h maximum) en concertation avec  les personnes auditées en tenant compte de la période indiquée sur le planning. En cas d’écart par rapport au planning, il en informe l’Animateur Qualité.

L’auditeur interne consulte la documentation nécessaire à la réalisation de l’audit :
·         manuel qualité, procédures/instructions et documents d’enregistrement
·         précédent rapport d’audit interne

Il prépare ses questions au vu des éléments consultés.

5.2 Conduite de l’audit interne PSM

L’auditeur rappelle l’objectif de l’audit puis présente le déroulement de l’audit.

L’audit intègre la vérification des actions menées suite au précédent audit.

L’auditeur évalue l’organisation dans sa globalité en faisant apparaître les points forts et les points à améliorer.

Il détermine les écarts qui sont enregistrés dans le rapport d’audit et peut proposer des recommandations.

5.3 Rapport d’audit interne

L’auditeur interne rédige le rapport d’audit interne et le transmet aux responsables audités et à l’Animateur Qualité. (voir exemple)

Il est possible de distinguer 3 types d’écarts :
*écart Système : écart entre les exigences et l’organisation dans l’entreprise
*écart Application : écart entre l’organisation prévue dans l’entreprise et l’application effective (discipline opératoire)
*écart Résultat : écart entre les résultats obtenus par l’application de l’organisation prévue dans l’entreprise et les exigences en terme de résultats (objectifs, performance)

5.4 Plan d’actions

L’Animateur Qualité vérifie qu’un plan d’actions suite aux écarts relevés lors d’un audit interne a été défini par l’encadrement responsable du secteur audité.


VI SUIVI DE L’AUDIT INTERNE

L’Animateur Qualité enregistre la réalisation des audits internes et vérifie que l’encadrement responsable du secteur audité assure la mise en œuvre des actions correctives suite aux écarts.

Les résultats sont communiqués à la Direction et revus lors de la Revue de Direction.
Lors des réunions avec le personnel, sont présentés les écarts d’audits ainsi que les plans d’actions qui en découlent.

VII ARCHIVAGE DES DOCUMENTS

Le planning des audits internes, les rapports d’audits internes et les plans d’actions sont conservés 3 ans par l’Animateur Qualité.

VIII INDICATEURS DE PERFORMANCE

Des indicateurs peuvent être définis afin de suivre le programme d’audit interne :
·         les résultats des audits internes : nombre d’écarts suite aux audits internes
·         la performance du programme d’audit interne:
*Le nombre d’audits réalisés par rapport au nombre d’audits planifiés (en %)
*Le nombre d’actions clôturées (avancement)

*voire le nombre d’actions clôturées dans les délais prévus au plan d’actions.
Aucun commentaire:
Libellés :

Le rôle de l’audit interne dans le management des risques de l’entreprise



Le rôle de l’audit interne dans le management des risques de l’entreprise

Dans le cadre du lancement récent du référentiel Le management des risques de l’entreprise – Cadre de référence du Committee of Sponsoring Organizations of the Treadway Commission (COSO), l’Institute of Internal Auditors (IIA), en coordination avec ses membres affiliés britannique et irlandais, publie une note de position sur Le Rôle de l’audit interne dans le management des risques de l’entreprise. Ce document a pour objectif d’aider les responsables de l’audit interne à résoudre les problèmes liés au management des risques dans leur organisation. Il leur suggère des moyens de préserver l’objectivité et l’indépendance requises par les Normes internationales pour la pratique professionnelle de l’audit interne (les Normes) lorsqu’ils effectuent des missions d’assurance et de conseil.

Concernant le management des risques de l’entreprise, le rôle essentiel de l’audit interne consiste à apporter au Conseil une assurance objective quant à l’efficacité des cette activité, afin que les principaux risques de l’entreprise soient gérés correctement et que le système de contrôle interne fonctionne bien.

Rôles recommandés

Lors de la définition du rôle de l’audit interne, les responsables de l’audit interne doivent en priorité se demander si l’activité constitue une menace pour l’indépendance et l’objectivité des auditeurs internes et si elle peut améliorer la gestion des risques, les contrôles et la gouvernance de l’organisation. La note de position de l’IIA indique les rôles que l’audit interne doit et ne doit pas jouer dans le processus de management des risques.

Principaux rôles de l’audit interne dans le processus de management des risques

                     Donner une assurance sur les processus de gestion des risques.
                     Donner l’assurance que les risques sont bien évalués.
                     Évaluer les processus de gestion des risques.
                     Évaluer la communication des risques majeurs.
                     Examiner la gestion des principaux risques.

Rôles légitimes de l’audit interne, sous réserve de prendre les précautions nécessaires

                     Faciliter l’identification et l’évaluation des risques.
                     Accompagner la direction dans sa réaction face aux risques.
                     Coordonner les activités de management des risques.
                     Consolider le reporting des risques.
                     Actualiser et développer le cadre de gestion des risques.
                     Promouvoir  de la mise en œuvre du management des risques.
                     Élaborer une stratégie de gestion des risques à valider par le Conseil.

Rôles que l’audit interne NE doit PAS jouer
                     Définir l’appétence pour le risque.
                     Définir des processus de gestion du risque.
                     Gérer l’assurance sur les risques.
                     Décider de la manière de réagir face aux risques.
                     Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.
                     Prendre la responsabilité de la gestion des risques.



L’IIA précise que les organisations doivent bien comprendre que la direction reste responsable de la gestion des risques. Le travail des auditeurs internes consiste à donner des conseils et à contester ou soutenir les décisions de la direction concernant le risque, mais en aucun cas les auditeurs ne prennent ces décisions eux-mêmes. La nature des responsabilités de l’audit interne doit être consignée dans la charte d’audit et avalisée par le comité d’audit.

Le Rôle de l’audit interne dans le management des risques de l’entreprise est joint en annexe.

Créé en 1941, l’IIA compte approximativement 95 000 membres opérant dans l’audit interne, la gouvernance, le contrôle interne, l’audit des systèmes d’information, la formation et la sécurité dans le monde entier. C’est une autorité reconnue, un acteur de premier plan dans la formation des auditeurs et un leader incontesté dans la certification, la recherche et la formulation de recommandations sur les aspects technologiques à l’intention des professionnels du monde entier.
Introduction
Depuis quelques années, l’importance de la gestion du risque pour un gouvernement d’entreprise efficace est de plus en plus largement reconnue. Les organisations doivent impérativement identifier tous les risques sociaux, déontologiques, environnementaux, financiers et opérationnels auxquels elles sont exposées et expliquer comment elles les maintiennent à un niveau acceptable. Dans le même temps, l’utilisation de référentiels de gestion intégrée des risques de l’entreprise s’est répandue, car les organisations comprennent que ces cadres sont plus efficaces que les approches moins coordonnées.

Dans son rôle d’assurance et de conseil, l’audit interne contribue à la gestion du risque de diverses manières. En 2002, l’Institute of Internal Auditors, Royaume-Uni et Irlande (IIA), a publié une note de position sur le rôle de l’audit interne dans la gestion du risque [The Role of Internal Audit in Risk Management] afin d’expliquer à ses membres les rôles qui étaient acceptables et les précautions à prendre pour protéger l’indépendance et l’objectivité de l’audit interne. Cette position révisée remplace la précédente et tient compte des évolutions récentes intervenues à l’échelle mondiale dans le domaine de la gestion du risque et de l’audit interne.


Qu’est-ce que le management des risques de l’entreprise ?
Les activités de management des risques servent à identifier, évaluer, gérer et contrôler les risques dans toutes les situations et pour tous les événements. La palette s’étend des projets uniques ou des catégories de risques très précises, par exemple le risque de marché, aux menaces et aux opportunités que rencontre une organisation dans son ensemble. Les principes énoncés dans cette note de position peuvent servir de référence pour le travail de l’audit interne dans toutes les formes de gestion du risque, mais nous nous intéressons tout particulièrement à la gestion du risque à l’échelle de l’entreprise, qui est en mesure d’améliorer la gouvernance d’une organisation.


Le management des risques de l’entreprise est un processus structuré, cohérent et continu, opérant dans toute l’organisation qui permet d’identifier et d’évaluer les risques, de décider des mesures à prendre et de rendre compte des opportunités et des menaces qui affectent la réalisation des objectifs de l’organisation.


Responsabilité du management des risques de l’entreprise
C’est le Conseil qui est en général responsable de la gestion des risques. Dans la pratique, le Conseil délègue le fonctionnement du cadre de la gestion du risque à l’équipe dirigeante, qui sera chargée de mener à bien les activités énumérées plus bas. Il se peut que l’entreprise ait prévu une fonction distincte pour la coordination et la gestion de projet, confiée à des spécialistes.

Tous les collaborateurs ont leur rôle à jouer pour que la gestion du risque soit un succès à l’échelle de l’organisation, mais c’est à la direction que revient la responsabilité première d’identifier les risques et de les gérer.

Avantages du management des risques de l’entreprise
Le management des risques peut aider de manière décisive l’organisation à gérer ses risques et à atteindre ses objectifs. Voici ses avantages :

§  Meilleures chances d’atteindre ses objectifs.
§  Communication consolidée de risques disparates au niveau du Conseil.
§  Meilleure compréhension des principaux risques et de toutes leurs conséquences.
§  Identification et communication des risques transversaux au sein de l’entreprise.
§  Recentrage de l’attention sur les aspects qui comptent vraiment.
§  Moins de surprises ou de crises.
§  Plus grande volonté de faire ce qu’il faut comme il faut.
§  Meilleures chances de faire aboutir les changements.
§  Capacité d’accepter des risques supérieurs, pour des avantages supérieurs.
§  Prise de risque et de décision plus éclairée.


Activités intervenant dans le management des risques de l’entreprise
§  Formuler et communiquer les objectifs de l’organisation.
§  Déterminer l’appétence pour le risque de l’organisation.
§  Instaurer un environnement interne approprié, avec un cadre de gestion du risque.
§  Identifier les menaces potentielles qui planent sur la réalisation des objectifs.
§  Évaluer le risque, c’est-a-dire la probabilité que l’événement se produise et son impact.
§  Sélectionner et mettre en œuvre les réactions face au risque.
§  Mettre en œuvre des contrôles et toute autre réaction face au risque.
§  Informer sur les risques de manière cohérente à tous les niveaux de l’organisation.
§  Surveiller et coordonner la gestion du risque et ses résultats à l’échelon central, et
§  Apporter l’assurance que les risques sont gérés efficacement.


Prise de position
Le rôle de l’audit interne dans le management des risques de l’entreprise

Apporter une assurance sur l’ERM
L’une des principales missions du Conseil (ou son équivalent), consiste à s’assurer que les processus de gestion du risque fonctionnent correctement et que les principaux risques sont maintenus à un niveau acceptable.

Il est probable que cette assurance proviendra de différentes sources. Parmi ces sources, l’assurance provenant de la direction est fondamentale, mais doit être complétée par une assurance objective, émanant principalement de l’audit interne. Les autres sources sont l’audit externe et les examens par des experts indépendants. L’audit interne apporte normalement des assurances dans trois domaines :
§  Les processus de gestion du risque, à la fois concernant leur conception et leur fonctionnement.
§  La gestion des risques classés dans la catégorie « majeurs », y compris l’efficacité des contrôles et autres mesures de maîtrise des risques, et
§  La fiabilité et la qualité de l’évaluation et de la communication des risques et de l’état des contrôles.


Le rôle de l’audit interne dans le management des risques
L’audit interne est une activité indépendante qui apporte des conseils et une assurance objectifs. Concernant le management des risques, son principal rôle consiste à donner au Conseil l’assurance objective que la gestion des risques est efficace. Des travaux de recherche ont montré que les membres du conseil et les auditeurs internes s’accordent à dire que les deux activités d’audit interne les plus porteuses de valeur ajoutée pour les organisations sont les suivantes : apporter l’assurance objective que les principaux risques sont bien gérés et apporter l’assurance que le cadre de la gestion des risques et du contrôle interne fonctionne correctement1.



La figure 1 présente un éventail des activités du management des risques et indique les rôles qu’une fonction d’audit interne professionnelle doit, et surtout ne doit pas, jouer. Les principales questions à se poser pour la définition du rôle de l’audit interne sont : l’activité constitue-t-elle une menace pour l’indépendance et l’objectivité des auditeurs internes, et peut-elle améliorer la gestion des risques, les contrôles et la gouvernance de l’organisation ?


[en bleu foncé]
Principaux rôles de l’audit interne dans le processus de management des risques
                     Donner une assurance sur les processus de gestion des risques.
                     Donner l’assurance que les risques sont bien évalués.
                     Évaluer les processus de gestion des risques.
                     Évaluer la communication des risques majeurs.
                     Examiner la gestion des principaux risques.

[en bleu clair]
Rôles légitimes de l’audit interne, sous réserve de prendre les précautions nécessaires
                     Faciliter l’identification et l’évaluation des risques.
                     Accompagner la direction dans sa réaction face aux risques.
                     Coordonner les activités de management des risques.
                     Consolider le reporting des risques.
                     Actualiser et développer le cadre de gestion des risques.
                     Promouvoir  de la mise en œuvre du management des risques.
                     Élaborer une stratégie de gestion des risques à valider par le Conseil.

[en gris]
Rôles que l’audit interne ne doit pas jouer
                     Définir l’appétence pour le risque.
                     Définir des processus de gestion du risque.
                     Gérer l’assurance sur les risques.
                     Décider de la manière de réagir face aux risques.
                     Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.
                     Prendre la responsabilité de la gestion des risques.


Les activités présentées à gauche dans la figure 1 sont toutes des activités d’assurance. Elles s’inscrivent dans l’objectif plus large d’apporter une assurance sur la gestion du risque. Une fonction d’audit interne qui respecte les Normes internationales pour la pratique professionnelle de l’audit interne peut et doit exécuter ces activités, au moins partiellement.

L’audit interne peut apporter des services de conseil qui améliorent la gouvernance, la gestion du risque et les contrôles au sein d’une organisation. L’étendue de l’activité de conseil de l’audit interne dans le cadre du management des risques dépendra des ressources, internes et externes, dont dispose le Conseil et de la maturité de l’organisation en matière de risque. Elle peut varier au fil du temps. En raison de son savoir-faire dans le domaine de la gestion des risques, de sa compréhension des relations entre risques et gouvernance et de ses capacités de facilitation, l’audit interne est idéalement placé pour promouvoir le management des risques, voire pour diriger un projet de management des risques, surtout lors des premières phases. À mesure que l’organisation gagnera en maturité, en matière de risque, et que la gestion du risque s’ancrera plus profondément dans ses activités, ce rôle de promoteur perdra en importance. De même, si une organisation recourt aux services d’un spécialiste, ou à une fonction spécialisée, de la gestion des risques, il sera plus intéressant que l’audit interne se concentre sur son rôle d’assurance, plutôt que d’apporter des conseils redondants. Cependant, si l’audit interne n’a pas encore adopté l’approche fondée sur le risque représentée par les activités d’assurance à gauche dans la figure 1, il ne sera probablement pas encore équipé pour mener à bien les activités de conseil énumérées au centre de la figure.

Rôles de conseil
Le centre de la figure 1 présente les rôles de conseil que l’audit interne peut jouer en relation avec le management des risques. De manière générale, plus l’auditeur s’aventure vers la droite, plus il doit prendre de précautions pour préserver son indépendance et son objectivité. Voici certains des rôles de conseil que l’audit interne peut assumer :

§  Mettre à la disposition de la direction les outils et les techniques utilisés par l’audit interne pour analyser les risques et les contrôles.
§  Promouvoir l’introduction du management des risques dans l’organisation, tirer parti de son savoir-faire dans la gestion des risques et les contrôles et de sa connaissance globale de l’organisation.
§  Formuler des conseils, faciliter le travail en ateliers, accompagner l’organisation sur la question des risques et des contrôles et promouvoir le développement d’un langage, d’un cadre et d’une conception communs.
§  Centraliser la coordination, la surveillance et la communication des risques, et
§  Soutenir la hiérarchie lorsqu’elle s’efforce d’identifier le meilleur moyen d’atténuer un risque.

Pour décider si des services de conseil sont compatibles avec le rôle d’assurance, il est impératif de déterminer si l’auditeur interne endosse une responsabilité de direction. Dans le cas du management des risques, l’audit interne peut apporter des services de conseil dans la mesure où il ne participe pas à la gestion des risques, c’est-à-dire où il n’a pas une fonction de direction, et dans la mesure où la direction de l’entreprise soutient le management des risques et y adhère activement. À chaque fois que l’audit interne aide l’équipe dirigeante à mettre en place ou à améliorer des processus de gestion du risque, son plan de travail doit inclure une stratégie claire et un échéancier pour le transfert de ces responsabilités à l’équipe dirigeante.


Mesures de précaution
L’audit interne peut étendre sa participation au management des risques, comme le montre la figure 1, sous certaines conditions :

§  Il doit être clair que la direction demeure responsable de la gestion du risque.
§  La nature des responsabilités de l’audit interne doit être consignée dans la charte d’audit et validée par le Comité d’audit.
§  L’audit interne ne doit pas gérer de risque au nom de la direction.
§  L’audit interne doit formuler des conseils, contester ou au contraire appuyer les décisions de la direction, mais en aucun cas prendre lui-même des décisions concernant la gestion des risques.
§  L’audit interne ne peut pas donner d’assurance objective quant à tout volet du cadre de gestion des risques dont il est responsable. Ce sont d’autres parties qualifiées qui devront apporter une telle assurance.
§  Toute tâche sortant du cadre des activités d’assurance doit être considérée comme une mission de conseil, qui donne lieu au respect des Normes régissant ce type de missions.


Qualifications et savoir
Les auditeurs internes et les spécialistes de la gestion du risque ont en commun certains savoirs, certaines qualifications et certaines valeurs. Ces deux professions comprennent les impératifs du gouvernement d’entreprise, possèdent des compétences de gestion, d’analyse et de facilitation, et sont attachées à l’équilibre des risques, par opposition aux prises de risques extrêmes ou au contraire aux comportements d’évitement. Cependant, les spécialistes de la gestion du risque ne rendent compte qu’à la direction de l’organisation et n’ont pas à apporter une assurance indépendante et objective au comité d’audit. Les auditeurs internes qui cherchent à étendre leur rôle dans le cadre du management des risques ne doivent pas non plus sous-estimer le savoir spécialisé des gestionnaires du risque (par exemple sur le transfert du risque ou les techniques de quantification et de modélisation), qui sort habituellement du champ des connaissances de la plupart des auditeurs internes. Tout auditeur interne qui n’est pas en mesure de prouver qu’il possède les qualifications et le savoir appropriés doit s’abstenir de participer à la gestion des risques. De plus, le responsable de l’audit interne ne doit pas fournir de services de conseil dans ce domaine si les qualifications et le savoir requis ne sont pas disponibles au sein de la fonction d’audit interne et s’il n’est pas possible de se les procurer ailleurs.

Conclusion
La gestion du risque constitue un élément fondamental du gouvernement d’entreprise. C’est la direction qui doit instaurer un cadre de gestion des risques et le faire fonctionner à la demande du Conseil. Le management des risques de l’entreprise peut se révéler très utile à de nombreux égards en raison de son approche structurée, cohérente et coordonnée. Dans le cadre du management des risques, le rôle essentiel de l’audit interne doit consister à apporter à la direction et au Conseil l’assurance de l’efficacité de la gestion du risque. Lorsque l’audit interne étend ses activités au-delà de ce rôle central, il doit prendre certaines précautions, et notamment traiter les missions comme des services de conseil, et donc respecter toutes les Normes y afférentes. L’audit interne protège ainsi l’indépendance et l’objectivité de ses services d’assurance. Dans ce cadre, le management des risques peut contribuer à rehausser le profil et à accentuer l’efficacité de l’audit interne.


Glossaire

Appétence pour le risque : niveau de risque acceptable pour le Conseil ou la direction. Il peut être défini en relation avec l’organisation dans son ensemble, pour différentes catégories de risque ou au niveau de chaque risque.

Cadre de gestion du risque : ensemble des structures, méthodes, procédures et définitions qu’une organisation a choisies pour mettre en œuvre ses processus de gestion du risque.

Conseil : organe qui gouverne une organisation. Il peut s’agir d’un conseil d’administration, d’un conseil de surveillance, de la direction d’une administration ou d’une instance législative, d’un conseil des gouverneurs ou des administrateurs d’une organisation à but non lucratif.

Contrôle : toute action engagée par la direction, le Conseil et d’autres parties pour gérer le risque et accroître la probabilité que les objectifs définis seront atteints. La direction planifie, organise et dirige l’exécution des actions qui apporteront l’assurance raisonnable que ces objectifs seront atteints.

Entreprise : toute organisation créée dans le but d’atteindre un ensemble donné d’objectifs.

Facilitation : travailler avec un groupe (ou des individus) afin que ce groupe ait davantage de facilité à atteindre les objectifs qu’il a acceptés, pour une réunion ou pour l’activité. La facilitation consiste à écouter, contester, observer, interroger et soutenir le groupe et ses membres. Elle ne suppose ni de faire le travail ni de prendre les décisions.

Management des risques de l’entreprise : processus structuré, cohérent et continu mis en œuvre dans toute l’organisation afin d’identifier et d’évaluer les opportunités et les menaces pour la réalisation des objectifs, de décider de la manière d’y réagir et d’en rendre compte.

Maturité face au risque : niveau de solidité de l’approche de la gestion du risque adoptée et appliquée, conformément au plan, par la direction dans toute l’organisation, afin d’identifier et d’évaluer les risques, de décider d’une réaction et de rendre compte des opportunités et des menaces liés à la réalisation des objectifs de l’organisation.

Processus de gestion du risque : processus visant à identifier, évaluer, gérer et maîtriser tout événement ou situation potentiels, afin d’apporter une assurance raisonnable concernant la réalisation des objectifs de l’organisation

Réactions face au risque : moyens par lesquels une organisation choisit de gérer chaque risque. Les principales possibilités sont les suivantes : tolérer le risque ; le traiter en réduisant son impact ou sa probabilité ; le transférer à une autre organisation ou mettre fin à l’activité à l’origine du risque. Les contrôles internes constituent un moyen de traiter le risque.

Risque : possibilité qu’un événement se produise et qu’il ait des conséquences sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité.

Services d’assurance : examen objectif des preuves dans le but d’apporter une évaluation indépendante des processus de gestion des risques, de contrôle et de gouvernance pour l’organisation. La mission peut porter sur les données financières, les performances, la conformité aux normes, le système de sécurité ou avoir pour objet un contrôle diligent.

Services de conseil : activités de service à la clientèle qui ont un caractère consultatif et autres, dont la nature et l’étendue sont convenues avec le client et qui sont destinées à créer de la valeur et à améliorer la gouvernance, la gestion des risques et les contrôles dans l’organisation, sans que l’auditeur interne n’assume de responsabilité de direction. Parmi ces services, on peut citer la formulation de recommandations et d’avis, la facilitation et la formation.






















Aucun commentaire:
Libellés :
Inscription à : Articles (Atom)