Audit interne et gestion des risques

L’exposition des entreprises aux risques est de plus en plus forte, notamment en cette période de crise. L’instabilité des marchés, la faible visibilité sur les plans de charge et l’émergence de marchés de plus en plus concurrentiels font apparaitre des risques financiers, stratégiques, mais également légaux, réglementaires et de réputation. La complexification des processus suscite quant à elle de nouveaux risques opérationnels au sein des entreprises.

Les exigences réglementaires sont de plus en plus nombreuses, voire redondantes.

Les attentes des parties prenantes se renforcent (actionnaires, acteurs politiques, etc.), et les enjeux de gouvernance se complexifient.

En effet, l’audit interne se propose bien comme un outil d’investigation permettant de traduire et d’accompagner la volonté de transparence et d’assister les membres de l’entreprise dans l’exercice efficace de leurs responsabilités.

Dans ce but, l’audit interne veille sur l’évaluation et la gestion des risques opérationnels tout en fournissant des analyses et des recommandations afin de stimuler les performances de l’entreprise.

L’objectif de cet article, consacré à l’audit interne et la gestion des risques, est la présentation et la définition du rôle de l’audit interne au sein de l’entreprise en tant qu’outil de la gestion des risques. Cet objectif peut se concrétiser par la réponse à la question suivante :

« Dans quelle mesure la mission d’audit interne permet-elle de réduire les risques au sein de l’entreprise ?»

Principes généraux des risques

Définition des risques

Définition et catégorisation des risques

Possibilité de survenance d’un dommage résultant d’une exposition à un danger ou à un phénomène dangereux. Le risque est la combinaison de la probabilité d’occurrence (likelihood) et la gravité de ses conséquences (significance) sur une cible donnée

– Eléments constitutifs :

  • Facteur de risque : élément susceptible de causer un risque (c’est-à-dire un accident);
  • Criticité : combinaison de la probabilité et de la gravité;

Les risques vont dépendre de l’environnement analysé; il n’y a pas une liste arrêtée de risques applicables à toute situation.

– L’étude des risques se nomme la cyndinique, qui combine autant d’aspects de sciences naturelles que de sciences humaines.

Pour une entreprise :

– Dès lors qu’elle fonctionne avec un objectif de préservation ou d’accroissement de ses fonds propres et de sa rentabilité, l’entreprise partage avec d’autres les mêmes catégories de risques. Toutefois, ses activités, l’environnement dans lequel elle évolue, son organisation, ses ressources modifient obligatoirement son profil de
risque

Risques liés à l’environnement d’affaires : il s’agit de l’influence de facteurs exogènes sur les risques de l’entreprise

  • Les activités développées par une entreprise ont un très important impact pour déterminer les risques qui lui sont attachés;
  • La façon dont l’entreprise s’est organisée
  • en matière de financement, de développement de sa production, de réseau de distribution
  • a également une influence sur les risques, même si ces risques ne sont pas directement sous sa gestion, mais découlent indirectement des options qu’elle a prises.

Risques liés aux processus : il s’agit de risques directement sous le contrôle de l’entreprise : ils sont liés aux – Processus opérationnels mis en place pour conduire les activités

  • Philosophie du management, notamment en matière d’intégrité et de contrôle
  • Système d’information
  • Risques financiers (risques de marché, de liquidité, de crédit)

Risques liés à la gestion de l’information : l’information, soit reçue de l’externe ou produite à l’interne, sert à décider; sa fiabilité est donc essentielle.

Evaluation des risques

La quantification du risque équivaut à évaluer sa criticité sur la base de ses deux éléments constitutifs :

  • Probabilité (likelihood) : possibilité ou non qu’un événement se produise
  • Gravité (significance) : impact des conséquences
La gestion des risques

La gestion des risques

Définition de la gestion des risque

Les activités de la gestion des risques servent à identifier, évaluer, gérer et contrôler les risques dans toutes les situations et pour tous les événements. La palette s’étend des projets uniques ou des catégories de risques très précises, par exemple le risque de marché, aux menaces et aux opportunités que rencontre une organisation dans son ensemble.

Les principes énoncés dans cette note de position peuvent servir de référence pour le travail de l’audit interne dans toutes les formes de gestion du risque, mais nous nous intéressons tout particulièrement à la gestion du risque à l’échelle de l’entreprise, qui est en mesure d’améliorer la gouvernance d’une organisation.

Le management des risques de l’entreprise est un processus structuré, cohérent et continu, opérant dans toute l’organisation qui permet d’identifier et d’évaluer les risques, de décider des mesures à prendre et de rendre compte des opportunités et des menaces qui affectent la réalisation des objectifs de l’organisation.

Responsabilité de la gestion des risques de l’entreprise :

C’est le Conseil qui est en général responsable de la gestion des risques. Dans la pratique, le Conseil délègue le fonctionnement du cadre de la gestion du risque à l’équipe dirigeante, qui sera chargée de mener à bien les activités énumérées plus bas. Il se peut que l’entreprise ait prévu une fonction distincte pour la coordination et la gestion de projet, confiée à des spécialistes.

Tous les collaborateurs ont leur rôle à jouer pour que la gestion du risque soit un succès à l’échelle de l’organisation, mais c’est à la direction que revient la responsabilité première d’identifier les risques et de les gérer.

Avantages du management des risques de l’entreprise

Le management des risques peut aider de manière décisive l’organisation à gérer ses risques et à atteindre ses objectifs. Voici ses avantages :

  • Meilleures chances d’atteindre ses objectifs.
  • Communication consolidée de risques disparates au niveau du Conseil.
  • Meilleure compréhension des principaux risques et de toutes leurs conséquences.
  • Identification et communication des risques transversaux au sein de l’entreprise.
  • Recentrage de l’attention sur les aspects qui comptent vraiment.
  • Moins de surprises ou de crises.
  • Plus grande volonté de faire ce qu’il faut comme il faut.
  • Meilleures chances de faire aboutir les changements.
  • Capacité d’accepter des risques supérieurs, pour des avantages supérieurs.
  • Prise de risque et de décision plus éclairée.

Objectifs de la gestion du risque

La gestion des risques est un levier de management de la société qui contribue à :

a) Créer et préserver la valeur, les actifs et la réputation de la société : La gestion des risques permet d’identifier et d’analyser les principales menaces et opportunités potentielles de la société. Elle vise à anticiper les risques au lieu de les subir, et ainsi à préserver la valeur, les actifs et la réputation de la société.

b) Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs : La gestion des risques vise à identifier les principaux événements et situations susceptibles d’affecter de manière significative la réalisation des objectifs de la société.

La maîtrise de ces risques permet ainsi de favoriser l’atteinte des dits objectifs.

La gestion des risques est intégrée aux processus décisionnels et opérationnels de la société. Elle est un des outils de
pilotage et d’aide à la décision.

La gestion des risques permet de donner aux dirigeants une vision objective et globale des menaces et opportunités potentielles de la société, de prendre des risques mesurés et réfléchis et d’appuyer ainsi leurs décisions quant à l’attribution des ressources humaines et financières.

c) Favoriser la cohérence des actions avec les valeurs de la société : De nombreux risques sont le reflet d’un manque de cohérence entre les valeurs de la société et les décisions et actions quotidiennes. Ces risques affectent principalement la crédibilité de la société.

d) Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques et les sensibiliser aux risques inhérents à leur activité

Composantes du dispositif de gestion des risques

Il appartient à chaque société de mettre en place un dispositif de gestion des risques adapté à ses caractéristiques propres. Le dispositif de gestion des risques prévoit:

Un cadre organisationnel comprenant :

  • Une organisation qui définit les rôles et responsabilités des acteurs, établit les procédures et les normes claires et cohérentes du dispositif,
  • Une politique de gestion des risques qui formalise les objectifs du dispositif en cohérence avec la culture de la société, le langage commun utilisé, la démarche d’identification, d’analyse et de traitement des risques, et le cas échéant, les limites que la société détermine (tolérance pour le risque),
  • Un système d’information qui permet la diffusion en interne d’informations relatives aux risques.

2) Un processus de gestion des risques comprenant, au sein de son contexte interne et externe à la société, trois étapes :

  • Identification des risques : étape permettant de recenser et de centraliser les principaux risques, menaçant l’atteinte des objectifs. Un risque représente une menace ou une opportunité manquée. Il se caractérise par un événement, une ou plusieurs sources et une ou plusieurs conséquences. L’identification des risques s’inscrit dans une démarche continue.
  • Analyse des risques : étape consistant à examiner les conséquences potentielles des principaux risques (conséquences qui peuvent être notamment financières, humaines, juridiques, ou de réputation) et à apprécier leur possible occurrence. Cette démarche est continue.
  • Traitement du risque : étape permettant de choisir le(s) plan(s) d’action le(s) plus adapté(s) à la société. Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un risque.

Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.

3) Un pilotage en continu du dispositif de gestion des risques : Le dispositif de gestion des risques fait l’objet d’une surveillance et d’une revue régulières, son suivi permet l’amélioration continue du dispositif. L’objectif est d’identifier et d’analyser les principaux risques, et de tirer des enseignements des risques survenus.

Les défis de la gestion des risques

La mise en place d’un cadre de gestion des risques permet d’identifier, de mesurer et de piloter les risques ;

La gestion des risques est devenue un enjeu majeur de la gestion des entreprises.

Maitriser les risques permet de mieux atteindre les objectifs et d’améliorer la performance de l’organisation ;

Un cadre efficace de gestion des risques permet d’améliorer la transparence en informant davantage les instances de gouvernance ;

La gestion des risques doit faire partie intégrante des processus de gestion et de production de toute organisation ;

La conformité aux lois et réglementations est souvent négligée dans le cadre de la constitution ou réorganisation de sociétés. A ce titre, l’analyse de la conformité aux lois et réglementations devient une impérieuse nécessité (et notamment pour les aspects santé et sécurité au travail, mais aussi pour les aspects environnementaux).

Audit interne et gestion des risques

Le rôle de l’audit interne dans le management des risques de l’entreprise

L’audit interne est une activité indépendante qui apporte des conseils et une assurance objectifs. Concernant le management des risques, son principal rôle consiste à donner au Conseil l’assurance objective que la gestion des risques est efficace.

Des travaux de recherche ont montré que les membres du conseil et les auditeurs internes s’accordent à dire que les deux activités d’audit interne les plus porteuses de valeur ajoutée pour les organisations sont les suivantes : apporter
l’assurance objective que les principaux risques sont bien gérés et apporter l’assurance que le cadre de la gestion des risques et du contrôle interne fonctionne correctement.

La figure 1 présente un éventail des activités du management des risques et indique les rôles qu’une fonction d’audit interne professionnelle doit, et surtout ne doit pas, jouer. Les principales questions à se poser pour la définition du rôle de l’audit interne sont : l’activité constitue-t-elle une menace pour l’indépendance et l’objectivité des auditeurs internes, et peut-elle améliorer la gestion des risques, les contrôles et la gouvernance de l’organisation ?

Audit interne et gestion des risques

Principaux rôles de l’audit interne dans le processus de management des risques

  • Donner une assurance sur les processus de gestion des risques.
  • Donner l’assurance que les risques sont bien évalués.
  • Évaluer les processus de gestion des risques.
  • Évaluer la communication des risques majeurs.
  • Examiner la gestion des principaux risques.

Rôles légitimes de l’audit interne, sous réserve de prendre les précautions nécessaires

  • Faciliter l’identification et l’évaluation des risques.
  • Accompagner la direction dans sa réaction face aux risques.
  • Coordonner les activités de management des risques.
  • Consolider le reporting des risques.
  • Actualiser et développer le cadre de gestion des risques.
  • Promouvoir de la mise en œuvre du management des risques.
  • Élaborer une stratégie de gestion des risques à valider par le Conseil.

Rôles que l’audit interne ne doit pas jouer

  • Définir l’appétence pour le risque.
  • Définir des processus de gestion du risque.
  • Gérer l’assurance sur les risques.
  • Décider de la manière de réagir face aux risques.
  • Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.
  • Prendre la responsabilité de la gestion des risques.

Les activités présentées à gauche dans la figure 1 sont toutes des activités d’assurance. Elles s’inscrivent dans l’objectif plus large d’apporter une assurance sur la gestion du risque. Une fonction d’audit interne qui respecte les Normes internationales pour la pratique professionnelle de l’audit interne peut et doit exécuter ces activités, au moins partiellement.

L’audit interne peut apporter des services de conseil qui améliorent la gouvernance, la gestion du risque et les contrôles au sein d’une organisation.

L’étendue de l’activité de conseil de l’audit interne dans le cadre du management des risques dépendra des ressources, internes et externes, dont dispose le Conseil et de la maturité de l’organisation en matière de risque2. Elle peut varier au fil du temps.

En raison de son savoir-faire dans le domaine de la gestion des risques, de sa compréhension des relations entre risques et gouvernance et de ses capacités de facilitation, l’audit interne est idéalement placé pour promouvoir le management des risques, voire pour diriger un projet de management des risques, surtout lors des premières phases.

À mesure que l’organisation gagnera en maturité, en matière de risque, et que la gestion du risque s’ancrera plus profondément dans ses activités, ce rôle de promoteur perdra en importance.

De même, si une organisation recourt aux services d’un spécialiste, ou à une fonction spécialisée, de la gestion des risques, il sera plus intéressant que l’audit interne se concentre sur son rôle d’assurance, plutôt que d’apporter des conseils redondants.

Cependant, si l’audit interne n’a pas encore adopté l’approche fondée sur le risque représentée par les activités d’assurance à gauche dans la figure 1, il ne sera probablement pas encore équipé pour mener à bien les activités de conseil énumérées au centre de la figure.

Limites de la gestion des risques et du audit interne

Les dispositifs de gestion des risques et de audit interne aussi bien conçus et aussi bien appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de la société.

Il existe en effet des limites inhérentes à tout système et processus. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison de défaillances techniques ou humaines ou de simples erreurs.

Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses.

Article précédentla loi de finances : définition et typologies
Article suivantL’autofinancement : source de financement des entreprises

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici