L’exposition des entreprises aux risques est de plus en plus forte, notamment en cette période de crise. L’instabilité des marchés, la faible visibilité sur les plans de charge et l’émergence de marchés de plus en plus concurrentiels font apparaitre des risques financiers, stratégiques, mais également légaux, réglementaires et de réputation. La complexification des processus suscite quant à elle de nouveaux risques opérationnels au sein des entreprises.
Les exigences réglementaires sont de plus en plus nombreuses, voire redondantes.
Les attentes des parties prenantes se renforcent (actionnaires, acteurs politiques, etc.), et les enjeux de gouvernance se complexifient.
Lire Aussi: Les indicateurs de gestion de l’entreprise
En effet, l’audit interne se propose bien comme un outil d’investigation permettant de traduire et d’accompagner la volonté de transparence et d’assister les membres de l’entreprise dans l’exercice efficace de leurs responsabilités.
Dans ce but, l’audit interne veille sur l’évaluation et la gestion des risques opérationnels tout en fournissant des analyses et des recommandations afin de stimuler les performances de l’entreprise.
L’objectif de cet article, consacré à l’audit interne et la gestion des risques, est la présentation et la définition du rôle de l’audit interne au sein de l’entreprise en tant qu’outil de la gestion des risques. Cet objectif peut se concrétiser par la réponse à la question suivante :
Lire Aussi: Pourquoi est-il essentiel pour la motivation des salariés de permettre l’auto-leadership ?
« Dans quelle mesure la mission d’audit interne permet-elle de réduire les risques au sein de l’entreprise ?»
Table de matières
Principes généraux des risques
Définition des risques
Définition et catégorisation des risques
Possibilité de survenance d’un dommage résultant d’une exposition à un danger ou à un phénomène dangereux. Le risque est la combinaison de la probabilité d’occurrence (likelihood) et la gravité de ses conséquences (significance) sur une cible donnée
– Eléments constitutifs :
Lire Aussi: La classification des projets
- Facteur de risque : élément susceptible de causer un risque (c’est-à-dire un accident);
- Criticité : combinaison de la probabilité et de la gravité;
Les risques vont dépendre de l’environnement analysé; il n’y a pas une liste arrêtée de risques applicables à toute situation.
– L’étude des risques se nomme la cyndinique, qui combine autant d’aspects de sciences naturelles que de sciences humaines.
Pour une entreprise :
– Dès lors qu’elle fonctionne avec un objectif de préservation ou d’accroissement de ses fonds propres et de sa rentabilité, l’entreprise partage avec d’autres les mêmes catégories de risques. Toutefois, ses activités, l’environnement dans lequel elle évolue, son organisation, ses ressources modifient obligatoirement son profil de
risque
Risques liés à l’environnement d’affaires : il s’agit de l’influence de facteurs exogènes sur les risques de l’entreprise
- Les activités développées par une entreprise ont un très important impact pour déterminer les risques qui lui sont attachés;
- La façon dont l’entreprise s’est organisée
- en matière de financement, de développement de sa production, de réseau de distribution
- a également une influence sur les risques, même si ces risques ne sont pas directement sous sa gestion, mais découlent indirectement des options qu’elle a prises.
Risques liés aux processus : il s’agit de risques directement sous le contrôle de l’entreprise : ils sont liés aux – Processus opérationnels mis en place pour conduire les activités
- Philosophie du management, notamment en matière d’intégrité et de contrôle
- Système d’information
- Risques financiers (risques de marché, de liquidité, de crédit)
Risques liés à la gestion de l’information : l’information, soit reçue de l’externe ou produite à l’interne, sert à décider; sa fiabilité est donc essentielle.
Evaluation des risques
La quantification du risque équivaut à évaluer sa criticité sur la base de ses deux éléments constitutifs :
- Probabilité (likelihood) : possibilité ou non qu’un événement se produise
- Gravité (significance) : impact des conséquences
La gestion des risques
Définition de la gestion des risque
Les activités de la gestion des risques servent à identifier, évaluer, gérer et contrôler les risques dans toutes les situations et pour tous les événements. La palette s’étend des projets uniques ou des catégories de risques très précises, par exemple le risque de marché, aux menaces et aux opportunités que rencontre une organisation dans son ensemble.
Les principes énoncés dans cette note de position peuvent servir de référence pour le travail de l’audit interne dans toutes les formes de gestion du risque, mais nous nous intéressons tout particulièrement à la gestion du risque à l’échelle de l’entreprise, qui est en mesure d’améliorer la gouvernance d’une organisation.
Le management des risques de l’entreprise est un processus structuré, cohérent et continu, opérant dans toute l’organisation qui permet d’identifier et d’évaluer les risques, de décider des mesures à prendre et de rendre compte des opportunités et des menaces qui affectent la réalisation des objectifs de l’organisation.
Responsabilité de la gestion des risques de l’entreprise :
C’est le Conseil qui est en général responsable de la gestion des risques. Dans la pratique, le Conseil délègue le fonctionnement du cadre de la gestion du risque à l’équipe dirigeante, qui sera chargée de mener à bien les activités énumérées plus bas. Il se peut que l’entreprise ait prévu une fonction distincte pour la coordination et la gestion de projet, confiée à des spécialistes.
Tous les collaborateurs ont leur rôle à jouer pour que la gestion du risque soit un succès à l’échelle de l’organisation, mais c’est à la direction que revient la responsabilité première d’identifier les risques et de les gérer.
Avantages du management des risques de l’entreprise
Le management des risques peut aider de manière décisive l’organisation à gérer ses risques et à atteindre ses objectifs. Voici ses avantages :
- Meilleures chances d’atteindre ses objectifs.
- Communication consolidée de risques disparates au niveau du Conseil.
- Meilleure compréhension des principaux risques et de toutes leurs conséquences.
- Identification et communication des risques transversaux au sein de l’entreprise.
- Recentrage de l’attention sur les aspects qui comptent vraiment.
- Moins de surprises ou de crises.
- Plus grande volonté de faire ce qu’il faut comme il faut.
- Meilleures chances de faire aboutir les changements.
- Capacité d’accepter des risques supérieurs, pour des avantages supérieurs.
- Prise de risque et de décision plus éclairée.
Objectifs de la gestion du risque
La gestion des risques est un levier de management de la société qui contribue à :
a) Créer et préserver la valeur, les actifs et la réputation de la société : La gestion des risques permet d’identifier et d’analyser les principales menaces et opportunités potentielles de la société. Elle vise à anticiper les risques au lieu de les subir, et ainsi à préserver la valeur, les actifs et la réputation de la société.
b) Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs : La gestion des risques vise à identifier les principaux événements et situations susceptibles d’affecter de manière significative la réalisation des objectifs de la société.
La maîtrise de ces risques permet ainsi de favoriser l’atteinte des dits objectifs.
La gestion des risques est intégrée aux processus décisionnels et opérationnels de la société. Elle est un des outils de
pilotage et d’aide à la décision.
La gestion des risques permet de donner aux dirigeants une vision objective et globale des menaces et opportunités potentielles de la société, de prendre des risques mesurés et réfléchis et d’appuyer ainsi leurs décisions quant à l’attribution des ressources humaines et financières.
c) Favoriser la cohérence des actions avec les valeurs de la société : De nombreux risques sont le reflet d’un manque de cohérence entre les valeurs de la société et les décisions et actions quotidiennes. Ces risques affectent principalement la crédibilité de la société.
d) Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques et les sensibiliser aux risques inhérents à leur activité
Composantes du dispositif de gestion des risques
Il appartient à chaque société de mettre en place un dispositif de gestion des risques adapté à ses caractéristiques propres. Le dispositif de gestion des risques prévoit:
Un cadre organisationnel comprenant :
- Une organisation qui définit les rôles et responsabilités des acteurs, établit les procédures et les normes claires et cohérentes du dispositif,
- Une politique de gestion des risques qui formalise les objectifs du dispositif en cohérence avec la culture de la société, le langage commun utilisé, la démarche d’identification, d’analyse et de traitement des risques, et le cas échéant, les limites que la société détermine (tolérance pour le risque),
- Un système d’information qui permet la diffusion en interne d’informations relatives aux risques.
2) Un processus de gestion des risques comprenant, au sein de son contexte interne et externe à la société, trois étapes :
- Identification des risques : étape permettant de recenser et de centraliser les principaux risques, menaçant l’atteinte des objectifs. Un risque représente une menace ou une opportunité manquée. Il se caractérise par un événement, une ou plusieurs sources et une ou plusieurs conséquences. L’identification des risques s’inscrit dans une démarche continue.
- Analyse des risques : étape consistant à examiner les conséquences potentielles des principaux risques (conséquences qui peuvent être notamment financières, humaines, juridiques, ou de réputation) et à apprécier leur possible occurrence. Cette démarche est continue.
- Traitement du risque : étape permettant de choisir le(s) plan(s) d’action le(s) plus adapté(s) à la société. Pour maintenir les risques dans les limites acceptables, plusieurs mesures peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un risque.
Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.
3) Un pilotage en continu du dispositif de gestion des risques : Le dispositif de gestion des risques fait l’objet d’une surveillance et d’une revue régulières, son suivi permet l’amélioration continue du dispositif. L’objectif est d’identifier et d’analyser les principaux risques, et de tirer des enseignements des risques survenus.
Les défis de la gestion des risques
La mise en place d’un cadre de gestion des risques permet d’identifier, de mesurer et de piloter les risques ;
La gestion des risques est devenue un enjeu majeur de la gestion des entreprises.
Maitriser les risques permet de mieux atteindre les objectifs et d’améliorer la performance de l’organisation ;
Un cadre efficace de gestion des risques permet d’améliorer la transparence en informant davantage les instances de gouvernance ;
La gestion des risques doit faire partie intégrante des processus de gestion et de production de toute organisation ;
La conformité aux lois et réglementations est souvent négligée dans le cadre de la constitution ou réorganisation de sociétés. A ce titre, l’analyse de la conformité aux lois et réglementations devient une impérieuse nécessité (et notamment pour les aspects santé et sécurité au travail, mais aussi pour les aspects environnementaux).
Audit interne et gestion des risques
Structurer l’audit interne pour une gestion efficace des risques
Pour que la fonction d’audit interne puisse remplir efficacement son rôle dans la gestion des risques, elle doit être structurée de manière appropriée. Voici quelques points clés à considérer :
- Positionnement au sein de l’organisation : Le positionnement de l’audit interne dans la structure organisationnelle est important. Tout en conservant leur indépendance, les auditeurs internes doivent avoir un accès suffisant à la direction générale et au conseil d’administration. Une structure courante consiste à placer la fonction d’audit interne sous le comité d’audit du conseil d’administration, ce qui lui garantit son indépendance vis-à-vis de la direction.
- Dotation en personnel et expertise : Il est crucial de constituer une équipe d’audit interne compétente et diverse, possédant une gamme de compétences et d’expertises, notamment en comptabilité, finance, gestion des risques et connaissances spécifiques à l’industrie. Il est également important d’avoir un mélange de professionnels expérimentés et de nouveaux venus pour promouvoir l’innovation et la pensée critique.
- Utilisation de la technologie : L’adoption de la technologie est essentielle pour une fonction d’audit interne moderne et efficace. Les logiciels de gestion des audits peuvent rationaliser les processus et améliorer l’efficacité des données analytiques. La technologie permet également un contrôle en temps réel et un audit continu, permettant aux auditeurs d’identifier les risques et les problèmes dès leur apparition.
- Sous-traitance et co-sourcing : La collaboration avec des spécialistes externes peut renforcer les capacités de la fonction d’audit interne. La sous-traitance ou le co-sourcing permettent d’accéder à des compétences spécifiques, telles que la sécurité informatique ou les enquêtes sur la fraude, assurant ainsi l’agilité et la réactivité de la fonction aux besoins de l’organisation.
Le rôle de l’audit interne dans le management des risques de l’entreprise
L’audit interne est une activité indépendante qui apporte des conseils et une assurance objectifs. Concernant le management des risques, son principal rôle consiste à donner au Conseil l’assurance objective que la gestion des risques est efficace.
Des travaux de recherche ont montré que les membres du conseil et les auditeurs internes s’accordent à dire que les deux activités d’audit interne les plus porteuses de valeur ajoutée pour les organisations sont les suivantes : apporter l’assurance objective que les principaux risques sont bien gérés et apporter l’assurance que le cadre de la gestion des risques et du contrôle interne fonctionne correctement.
Les principales questions à se poser pour la définition du rôle de l’audit interne sont : l’activité constitue-t-elle une menace pour l’indépendance et l’objectivité des auditeurs internes, et peut-elle améliorer la gestion des risques, les contrôles et la gouvernance de l’organisation ?
Principaux rôles de l’audit interne dans le processus de management des risques
- Donner une assurance sur les processus de gestion des risques.
- Donner l’assurance que les risques sont bien évalués.
- Évaluer les processus de gestion des risques.
- Évaluer la communication des risques majeurs.
- Examiner la gestion des principaux risques.
Rôles légitimes de l’audit interne, sous réserve de prendre les précautions nécessaires
- Faciliter l’identification et l’évaluation des risques.
- Accompagner la direction dans sa réaction face aux risques.
- Coordonner les activités de management des risques.
- Consolider le reporting des risques.
- Actualiser et développer le cadre de gestion des risques.
- Promouvoir de la mise en œuvre du management des risques.
- Élaborer une stratégie de gestion des risques à valider par le Conseil.
Rôles que l’audit interne ne doit pas jouer
- Définir l’appétence pour le risque.
- Définir des processus de gestion du risque.
- Gérer l’assurance sur les risques.
- Décider de la manière de réagir face aux risques.
- Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.
- Prendre la responsabilité de la gestion des risques.
Les activités présentées à gauche dans la figure 1 sont toutes des activités d’assurance. Elles s’inscrivent dans l’objectif plus large d’apporter une assurance sur la gestion du risque. Une fonction d’audit interne qui respecte les Normes internationales pour la pratique professionnelle de l’audit interne peut et doit exécuter ces activités, au moins partiellement.
L’audit interne peut apporter des services de conseil qui améliorent la gouvernance, la gestion du risque et les contrôles au sein d’une organisation.
L’étendue de l’activité de conseil de l’audit interne dans le cadre du management des risques dépendra des ressources, internes et externes, dont dispose le Conseil et de la maturité de l’organisation en matière de risque2. Elle peut varier au fil du temps.
En raison de son savoir-faire dans le domaine de la gestion des risques, de sa compréhension des relations entre risques et gouvernance et de ses capacités de facilitation, l’audit interne est idéalement placé pour promouvoir le management des risques, voire pour diriger un projet de management des risques, surtout lors des premières phases.
À mesure que l’organisation gagnera en maturité, en matière de risque, et que la gestion du risque s’ancrera plus profondément dans ses activités, ce rôle de promoteur perdra en importance.
De même, si une organisation recourt aux services d’un spécialiste, ou à une fonction spécialisée, de la gestion des risques, il sera plus intéressant que l’audit interne se concentre sur son rôle d’assurance, plutôt que d’apporter des conseils redondants.
Cependant, si l’audit interne n’a pas encore adopté l’approche fondée sur le risque représentée par les activités d’assurance, il ne sera probablement pas encore équipé pour mener à bien les activités de conseil énumérées au centre de la figure.
Surmonter les défis courants
La réalisation d’audits internes axés sur les risques présente des défis non négligeables. Voici quelques obstacles courants et stratégies pour les surmonter :
- Obtention de l’adhésion : Il peut être difficile d’obtenir l’adhésion de la direction et du conseil d’administration pour une approche d’audit axée sur les risques. Pour y remédier, les auditeurs internes doivent communiquer les avantages de l’audit axé sur les risques, en montrant comment il fournit des assurances sur les domaines critiques et contribue à la réussite de l’organisation. Partager des exemples de réussite et des meilleures pratiques d’organisations similaires peut également aider à obtenir un soutien.
- Accès aux informations : Les auditeurs peuvent rencontrer des résistances ou des limitations dans l’accès aux informations et au personnel lors du processus d’audit. L’établissement de relations avec les principales parties prenantes et la promotion d’une culture de collaboration peuvent être utiles. Les auditeurs internes doivent également souligner la valeur de leur travail, garantir la confidentialité et expliquer comment leurs insights peuvent contribuer à une meilleure gestion des risques.
- Paysage risque en constante évolution : L’évolution rapide du paysage des risques peut rendre les audits moins pertinents. Les auditeurs internes doivent être au fait des évolutions de leur secteur, des risques émergents et des changements réglementaires. Le suivi continu et un plan d’audit souple permettent aux auditeurs de s’adapter aux nouveaux risques et de fournir des assurances là où elles sont les plus nécessaires.
- Compétences et ressources : Il peut être difficile de suivre le rythme de l’évolution du paysage des risques et de développer les compétences et les ressources nécessaires. L’investissement dans la formation et le développement professionnel garantit que l’équipe d’audit interne reste compétente et à la hauteur. La collaboration avec des spécialistes externes par le biais de sous-traitance ou de services de conseil peut également fournir un accès aux compétences et aux connaissances spécialisées.
Limites de la gestion des risques et d’audit interne
Les dispositifs de gestion des risques et de audit interne aussi bien conçus et aussi bien appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de la société.
Il existe en effet des limites inhérentes à tout système et processus. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison de défaillances techniques ou humaines ou de simples erreurs.
Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses.
Conclusion
La fonction d’audit interne joue un rôle intégral dans la gestion des risques, en fournissant des assurances, des insights et des recommandations pour renforcer l’environnement de contrôle de l’organisation. En structurant efficacement la fonction, en effectuant des audits axés sur les risques et en collaborant avec les principales parties prenantes, les auditeurs internes peuvent aider leur organisation à naviguer dans un paysage complexe et incertain.
À mesure que les entreprises sont confrontées à des défis de plus en plus complexes, le rôle de l’audit interne acquerra une importance croissante. Le présent article fournit des conseils et des insights pour aider les organisations à renforcer leur fonction d’audit interne, afin qu’elle reste un partenaire précieux et fiable dans le processus de gestion des risques. En adoptant une approche proactive et tournée vers l’avenir, les auditeurs internes peuvent contribuer à la réussite et à la résilience de leur organisation face aux adversités.