Réaliser efficacement des activités internes d’assurance et de conseil requiert de bien comprendre l’activité de l’organisation. Pour ce faire, il est nécessaire de cerner le fonctionnement de l’organisation selon une perspective descendante. Habituellement, le dispositif global permettant ce fonctionnement est désigné par l’expression « gouvernement d’entreprise» ou« gouvernance ».
Le présent article décrit précisément la gouvernance, dont il expose les composantes et principes clés, ainsi que les rôles et responsabilités qui y ont trait. Des illustrations permettent de décrire, de manière plus approfondie, comment envisager les principaux éléments de la gouvernance.
Table de matières
Définition de la gouvernance
la gouvernance est un processus piloté par le Conseil qui consiste à autoriser, diriger et surveiller les activités de la direction générale en vue de réaliser les objectifs de l’organisation. La définition donnée par l’Organisation de coopération et de développement économiques (OCDE) est communément admise.
Cette organisation regroupe les gouvernements de pays attachés aux principes de démocratie et d’économie de marché: « Le gouvernement d’entreprise fait référence aux relations entre la direction d’une entreprise, son conseil d’administration, ses actionnaires et d’autres parties prenantes. Il détermine également la structure par laquelle sont définis les objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une surveillance des résultats obtenus. »
Lire Aussi: Qu’est-ce qu’un robot de trading crypto ?
Bien qu’il existe beaucoup d’autres définitions de la gouvernance, la plupart d’entre elles présentent des éléments communs. Le glossaire des Normes internationales pour la pratique professionnelle de l’audit interne (les Normes) de l’IIA décrit la gouvernance comme « le dispositif comprenant les processus et les structures mis en place par le Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’organisation en vue de réaliser ses objectifs » .
Dans le cadre du rôle du Conseil en matière d’information et de direction des activités de l’organisation, les paragraphes qui suivent à propos de la gouvernance portent sur la façon dont l’organisation détermine ses objectifs et ses valeurs, et fixe les limites de sa conduite.
Si l’on intègre les différentes définitions de la gouvernance ainsi que les éléments connexes, on peut décrire la gouvernance au moyen du diagramme présenté à l’encadré 1.
Lire Aussi: Les Mesures pour Prévenir l'Épuisement Professionnel des Salariés
Les domaines de la gouvernance
Le premier domaine de la gouvernance concerne l’orientation stratégique de l’entité. Il revient au Conseil de donner l’orientation stratégique et les lignes directrices relatives à la définition des objectifs clés de l’organisation, qui doivent cadrer avec le modèle économique de l’organisation et les priorités des parties prenantes.
Forts d’expériences diverses et variées, les administrateurs sont en position de fournir des informations et une orientation qui doivent permettre à l’organisation de réussir. Le Conseil peut également influencer la position de cette dernière vis-à-vis de la prise de risques et poser des limites en fonction de l’appétence générale pour le risque et des valeurs culturelles. Le Conseil doit, par ailleurs, suivre les avancées vers la réalisation des buts et objectifs de l’organisation.
Le deuxième domaine de la gouvernance décrit dans l’encadré est la supervision, qui concerne le rôle du Conseil en matière de gestion et de pilotage des activités de l’organisation. Prolongeant l’encadré 1, l’encadré 2 présente les principales composantes de la supervision de la gouvernance. Parce que c’est au niveau de cette supervision que la gestion des risques et les activités d’audit interne sont les plus pertinentes.
Lire Aussi: la gestion budgétaire : les aspects fondamenaux
Les principaux points à retenir de cette description de la gouvernance sont les suivants.
- Le Conseil et ses comités supervisent la gouvernance pour l’ensemble de l’organisation. Ils donnent une orientation à la direction générale, lui confèrent le pouvoir de prendre les mesures nécessaires pour suivre cette orientation et supervisent les résultats généraux des opérations.
- Après avoir cerné les besoins des principales parties prenantes, le Conseil s’attache à leur satisfaction. In fine, le Conseil a une responsabilité fiduciaire vis-à-vis des parties prenantes de l’organisation, auxquelles il doit rendre compte.
- Au quotidien, la gouvernance est exécutée par le management. La direction générale et les managers intermédiaires jouent un rôle important dans la gouvernance, quoique distinct. Ils exercent leur rôle via les activités de gestion des risques.
- Les activités d’assurance internes et externes fournissent à la direction générale et au Conseil une assurance quant à l’efficacité des activités de gouvernance.
Rôles et responsabilités au sein de la gouvernance
Le Conseil et ses comités
La gouvernance relève de la responsabilité du Conseil, même si cette responsabilité est souvent exercée par le biais de ses divers comités (le comité d’audit, par exemple). La première des responsabilités du Conseil est d’identifier les principales parties prenantes d’une organisation, à savoir toute partie ayant un intérêt direct ou indirect dans les activités d’une organisation et leur résultat. On peut considérer que les parties prenantes présentent l’une ou plusieurs des caractéristiques suivantes :
- certaines parties prenantes participent directement au fonctionnement de l’organisation (ex. : collaborateurs);
- d’autres parties prenantes ne participent pas directement au fonctionnement de l’organisation, mais y ont un intérêt, ce qui signifie que la réussite ou toute autre résultante de l’activité a une incidence sur ces parties prenantes (ex. : clients, fournisseurs);
- certaines parties prenantes influentes ne sont pas directement impliquées dans le succès de l’organisation ni intéressées par celui-ci, mais peuvent néanmoins influencer certains aspects de l’activité de l’organisation et, par conséquent, la réussite de cette dernière (ex. : autorités de régulation).
Les principales parties prenantes sont les suivantes.
- Les collaborateurs travaillent pour une organisation, et participent directement à sa réussite.
Les collaborateurs ont intrinsèquement intérêt à ce que l’organisation soit prospère et viable, car si celle-ci fait faillite ou doit réduire ses effectifs par manque de succès sur le marché, ils risquent de perdre leur revenu. Le Conseil doit donc veiller à ce que l’organisation opère d’une façon qui serve au mieux les intérêts de ses collaborateurs.
- Les clients sont habituellement l’élément vital de l’activité de l’organisation et, en tant que tels, ils participent directement à sa réussite.
Les clients ont également un intérêt au succès d’une organisation, car l’échec de cette dernière peut réduire le nombre d’options viables qu’ils auront à leur disposition pour obtenir un bien ou un service de qualité.
Moyennant un paiement, les clients s’attendent à ce que l’organisation, pour fabriquer des produits sûrs et fiables, fournisse les services convenus et se conforme à d’autres aspects des contrats et accords de vente. Parce que l’organisation a des obligations vis-à-vis de ses clients, le Conseil a pour responsabilité de veiller au respect de ces obligations.
- Les fournisseurs procurent les biens et services nécessaires à l’organisation pour mener son activité et participent, par conséquent, directement à l’activité.
Comme les clients, les fournisseurs ont un intérêt dans la viabilité de l’organisation, qui constitue pour eux un client. Une organisation a certaines obligations vis-à-vis de ses fournisseurs, la plus évidente étant celle de payer les biens et services reçus. Le Conseil doit donc exercer une responsabilité de supervision afin de s’assurer que l’organisation respecte ses obligations conformément aux contrats et accords conclus avec ses fournisseurs.
- Les actionnaires/les investisseurs ne participent pas directement à l’activité, mais ont un très grand intérêt dans le succès de l’organisation.
En effet, ces parties prenantes ont investi dans l’organisation, que ce soit via des pa rts du capital, qui sont des unités de propriété, ou un autre instrument juridique. Les actionnaires peuvent être des particuliers, des organismes ou des fonds qui investissent pour le compte d’un groupe d’investisseurs.
Habituellement, les actionnaires ont le droit d’élire au Conseil les personnes qu’ils jugent à même de servir et de protéger au mieux leurs intérêts. Donc, parce qu’ils sont en mesure d’influencer le Conseil, les actionnaires sont souvent considérés comme les parties prenantes les plus importantes et les plus puissantes du point de vue du Conseil.
- Les autorités de régulation et de supervision représentent des organismes publics qui peuvent avoir un intérêt dans la réussite de l’organisation ou être capables d’influencer cette réussite.
Les règles et règlements qu’elles adoptent peuvent dicter à une organisation certains impératifs opérationnels et de reporting ou influencer les décisions prises par le management.
Ces autorités de régulation et de supervision veillent à ce que les organisations respectent les réglementations relatives au bien public et témoignent donc d’un grand intérêt pour les opérations des organisations. Quasiment tous les pays ou tous les territoires disposent d’autorités ou d’organes analogues qui adoptent des réglementations. Le Conseil doit comprendre les exigences imposées par ces organismes afin de pouvoir exercer ses responsabilités de supervision.
- Les établissements financiers, comme des banques ou d’autres établissements, peuvent apporter un financement à une organisation.
Les établissements financiers acceptent de financer une organisation en échange d’une rémunération, le plus fréquemment sous la forme d’un taux d’intérêt appliqué à l’encours. Toutefois, ces établissements imposent fréquemment d’autres clauses (covenant) auxquelles l’organisation doit se conformer.
Celles-ci ont souvent trait à la santé financière et à la liquidité globale de l’organisation, si bien que les établissements financiers sont en permanence assurés de la capacité de l’organisation à rembourser ses dettes. Ils ont ainsi à la fois un intérêt dans le succès de l’organisation et une influence sur la manière dont l’organisation opérera pour r especter ses accords.
Le Conseil doit donc exercer une supervision et veiller à ce que la direction générale soit attentive à toutes les clauses des accords financiers conclus avec ces parties prenantes influentes et s’y conforme.
Bien que les parties prenantes énumérées ci-dessus soient les plus courantes, il peut en exister d’autres qui ont aussi un intérêt dans l’organisation ou qui peuvent l’influencer. Il s’agit par exemple des agences de notation, des associations professionnelles, des analystes financiers et des concurrents. Il est essentiel que le Conseil fasse les efforts et consacre le temps qui sont nécessaires pour identifier l’ensemble des principales parties prenantes de l’organisation.
Une fois que les principales parties prenantes sont identifiées, le Conseil doit comprendre leurs besoins et leurs attentes. Certains sont évidents : par exemple, les clients attendent que les produits soient exempts de défauts et les fournisseurs attendent que les créances soient réglées dans les temps.
Cependant, des recherches et analyses peuvent se révéler nécessaires pour cerner correctement d’autres attentes, telles que les desiderata des actionnaires (obtenir des dividendes ou plutôt une hausse du cours de l’action).
Le Conseil peut être à même de définir ces attentes au moyen de discussions internes, mais il peut aussi avoir besoin de débattre de ces questions directement avec les principales parties prenantes.
Enfin, le Conseil doit identifier les éventualités qui seraient inacceptables pour les principales parties prenantes. Ainsi, certains investisseurs seraient insatisfaits si l’organisation était en dessous de ses objectifs de bénéfices par action sur un trimestre donné, mais considéreraient encore cela acceptable dans la mesure où ils admettent que certaines composantes des bénéfices sont plus volatiles que d’autres.
En revanche, ces mêmes investisseurs pourraient trouver inacceptable que l’organisation n’atteigne pas ses objectifs de bénéfices sur plusieurs trimestres consécutifs et risqueraient de s’interroger sur l’opportunité d’un remaniement de la direction générale.
Les éventualités inacceptables peuvent être aussi bien des résultats qui portent atteinte à l’organisation que des résultats qui témoignent de l’incapacité de saisir une opportunité.
Parce que les diverses parties prenantes auront vraisemblablement des attentes différentes, on observe aussi des écarts entre ce
que chaque catégorie de partie prenante jugera inacceptable.
Le Conseil devra prendre en compte plusieurs types de résultats :
- Financiers. Par exemple : bénéfice par action, ratio de trésorerie, note de solvabilité, retour sur investissement, disponibilité du capital, exposition fiscale, faiblesses importantes et transparence de la communication financière.
- De conformité. Par exemple: contentieux, violation du code de conduite, violation des normes environnementales et de
- sécurité, ordonnance restrictive, enquête publique, amendes et pénalités réglementaires, mise en accusation et arrestation.
- Opérationnels. Par exemple : réalisation des objectifs, utilisation efficiente des actifs, protection des ressources (couverture par une assurance, dépréciation d’actifs, destruction d’actifs), protection des personnes (hygiène et sécurité, arrêts de travail), protection de l’information (intégrité des données, respect de la confidentialité des données) et protection de la population (répercussions sur l’environnement, fermetures d’usines).
- Stratégiques. Par exemple: réputation, viabilité de l’organisation, moral des collaborateurs et satisfaction de la clientèle.
Une fois que le Conseil a posé les limites de ce qui est acceptable pour les principales parties prenantes, il peut établir quels sont les seuils de tolérance pour ces différents aspects en fonction de l’appétence pour le risque de l’organisation, et les communiquer à la direction générale: ces seuils fixent la marge de manœuvre au sein de laquelle l’organisation peut opérer.
L’appétence pour le risque se prête bien à une métaphore alimentaire, car on peut facilement l’assimiler à l’envie de manger. Cette appétence représente le volume total de nourriture que l’on peut consommer pour atteindre certains objectifs, par exemple rester en bonne santé et conserver le poids souhaité.
Il est possible d’être rassasié en consommant une seule catégorie d’aliment (le chocolat, par exemple). Cependant, si l’on peut se sentir repu, se nourrir exclusivement de chocolat ne permettra pas d’atteindre son objectif à long terme, à savoir rester en bonne santé et conserver le poids souhaité.
Ainsi, le cerveau humain (que l’on peut comparer au Conseil d’une organisation) définit dans quelles quantités (y compris maximales et minimales) nous devons consommer certaines catégories d’aliments. Ces quantités sont analogues aux seuils de tolérance qui facilitent la réalisation des objectifs d’une organisation.
En s’appuyant sur les concepts décrits plus haut, le Conseil exercera au mieux ses responsabilités de gouvernance en:
- établissant un comité de gouvernance :
- ce comité peut être une entité entièrement nouvelle ou bien une extension d’un comité existant (par exemple de nombreuses sociétés cotées ont élargi les attributions de leur comité de nomination pour en faire un comité de nomination et de gouvernance) ;
- il doit être constitué d’administrateurs indépendants;
- ce comité doit exercer les responsabilités décrites plus haut ;
- précisant les exigences de reporting au Conseil :
- le Conseil doit déléguer à la direction générale l’autorité de gérer l’organisation en respectant les limites de tolérance qu’il a fixées. La direction générale doit avoir le pouvoir de prendre les décisions relatives à l’activité quotidienne, mais doit également bien comprendre les seuils de tolérance fixés par le Conseil ;
- dans le cadre de sa fonction de supervision, le Conseil doit également définir des seuils de reporting à l’intention de la direction générale, à savoir les événements qui doivent recevoir l’aval du Conseil, lui être directement communiqués ou simplement synthétisés lors des réunions trimestrielles ;
- réévaluant régulièrement (généralement tous les ans) les attentes concernant la gouvernance:
- les attentes des principales parties prenantes peuvent évoluer et se transformer. Le Conseil doit donc identifier ces changements et réévaluer l’orientation qu’il donne à la gouvernance ;
- à la suite de ces changements, les seuils de tolérance fixés par le Conseil doivent également être r éévalués.
En résumé, le Conseil joue un rôle essentiel et incontournable dans la gouvernance. Si la gouvernance ne recouvre pas à la fois l’autorité, l’orientation et la supervision, elle ne sera pas suffisamment efficace sur le long terme.
La direction générale
Une fois que le Conseil a déterminé les seuils de tolérance et le champ des opérations, il doit déléguer aux membres de la direction générale le pouvoir de gérer les opérations dans le respect de ces seuils. La direction générale a alors pour responsabilité de mettre en œuvre les orientations données par le Conseil de façon à atteindre les objectifs de l’organisation, tout en respectant les seuils de tolérance que celui-ci a définis.
Pour exercer ses responsabilités de gouvernance, la direction générale est chargée:
- de veiller à ce que l’ensemble des orientations et des pouvoirs délégués soient bien compris. La direction générale doit cerner les attentes du Conseil concernant la gouvernance, le pouvoir que celui-ci lui a délégué, ses seuils de tolérance ainsi que les exigences de reporting au Conseil ;
- d’identifier les processus et activités qui, au sein de l’organisation, font partie intégrante de la mise en œuvre des orientations fixées par le Conseil pour la gouvernance. En d’autres termes, la direction générale doit déterminer :
- où gérer, au sein de l’organisation, les risques spécifiques susceptibles d’aboutir à des événements inacceptables;
- qui est responsable de la gestion de ces risques (autrement dit, qui sont les « propriétaires de risques», ou risk owners);
- comment ces risques seront gérés.
- d’évaluer quels autres considérations et facteurs pourraient justifier de déléguer aux propriétaires de risques un seuil de tolérance inférieur à celui délégué par le Conseil. Le Conseil peut en effet spécifier que la direction générale doit réaliser les contrôles lui permettant de s’assurer qu’aucune faiblesse de contrôle ne dépasse un niveau de sévérité donné. Néanmoins, désireuse d’éviter une situation dans laquelle de multiples déficiences de contrôle significatives s’agrégeraient à un niveau inacceptable, la direction générale peut commander aux propriétaires de risques de veiller, par leurs contrôles, à ce qu’aucune déficience ne dépasse un niveau de sévérité moins élevé ;
- de veiller à ce que suffisamment d’informations soient recueillies auprès des propriétaires de risques pour satisfaire aux exigences de reporting au Conseil.
La direction générale exercera au mieux ses responsabilités de gouvernance en :
- instaurant un comité des risques:
- ce comité est généralement dirigé par un cadre supérieur: le directeur des risques, s’il y en a un, ou bien un autre cadre qui a une vaste responsabilité de supervision des risques ;
- il est chargé de déterminer si tous les principaux risques sont identifiés, mis en relation avec des activités de gestion des risques et assignés à un propriétaire de risques. Dans le cadre de cette responsabilité, le comité doit veiller à prendre en considération de manière exhaustive l’ensemble des éventuelles répercussions des principaux risques, et non les seuls impacts financiers ;
- il évalue le niveau actuel d’appétence pour le risque de l’organisation et s’assure que les seuils de tolérance délégués aux propriétaires de risques permettent de le respecter ;
- précisant les exigences de reporting:
- les propriétaires de risques doivent comprendre la nature, le format et le calendrier des communications requises à propos de l’efficacité des activités de gestion des risques. De manière générale, ces communications doivent correspondre au seuil de tolérance délégué aux propriétaires de risques ;
- ce reporting peut intervenir lors des réunions du comité des risques programmées à intervalles réguliers ou dans le cadre de la synthèse des informations à communiquer au Conseil ;
- réévaluant régulièrement (généralement tous les ans) les attentes concernant la gouvernance:
- à mesure qu’une organisation évolue et se transforme, la direction générale doit réexaminer les orientations qu’elle donne pour la gouvernance, ainsi que les seuils de tolérance correspondants qu’elle a délégués aux propriétaires de risques. Ces changements peuvent émaner du Conseil ou d’autres facteurs, externes ou internes. Ils peuvent appeler l’introduction de nouvelles activités de gestion des risques ou la modification des activités en place ;
- à la suite de ces changements, les seuils de tolérance fixés par la direction générale doivent également être réévalués;
- cette situation donne également à la direction générale l’occasion d’évaluer l’efficacité globale du programme de gestion des risques de l’organisation.
La direction générale joue un rôle indispensable dans la gestion des risques, qui est une composante clé de la gouvernance.
Propriétaires de risques
On appelle propriétaires de risques les personnes qui ont la responsabilité, au quotidien, de veiller à ce que les activités de gestion des risques permettent de gérer efficacement les risques conformément aux seuils de tolérance au risque de l’organisation.
Généralement, le directeur général et les autres dirigeants sont, en fin de compte, les propriétaires de risques au sein de l’organisation.
Cependant, ce terme est utilisé ici pour faire référence aux personnes qui mènent des activités quotidiennes dans le but de gérer des risques spécifiques.
Ces personnes doivent identifier, mesurer, gérer et piloter les risques, puis en rendre compte à leur hiérarchie, habituellement aux membres de la direction générale. Dans certains cas, les propriétaires de risques se situent à un niveau inférieur dans la hiérarchie de l’organisation. Cependant, ils collaborent avec la direction générale pour mener à bien les activités de gestion des risques.
Ils ont notamment pour responsabilité :
- d’évaluer si les activités de gestion des risques sont conçues de manière adéquate pour gérer les risques dans le respect des seuils de tolérance spécifiés par la direction générale. Bien que cette dernière imprime une orientation relative à ces activités, ce sont généralement les propriétaires de risques qui définissent les tâches spécifiques à accomplir;
- d’évaluer les capacités actuelles de l’organisation à mener à bien ces activités de gestion des risques. Cette évaluation doit prendre en compte la maturité des procédures en place, la compétence et l’expérience des personnes qui les exécutent, le caractère suffisant de toutes les technologies d’appui (par exemple le système informatique) et la disponibilité d’informations internes et externes étayant la prise de décisions concernant la gestion des risques ;
- de déterminer si les activités de gestion des risques sont effectuées conformément à ce qui était prévu, c’est-à-dire si les personnes et les systèmes appliquent les processus de manière à permettre d’atteindre les objectifs visés;
- de mener des activités quotidiennes de pilotage afin d’identifier rapidement toute anomalie ou tout écart par rapport aux résultats attendus ;
- de veiller à ce que les informations dont la direction générale et le Conseil ont besoin soient exactes, facilement accessibles et transmises à la direction générale en temps voulu.
Les propriétaires de risques exercent au mieux leurs responsabilités de gouvernance en :
- présentant au comité des risques des propositions pour la gouvernance:
si une personne est désignée propriétaire de risques, ou si elle est responsable d’un risque qui, auparavant, ne faisait pas l’objet d’une gestion des risques et d’un reporting formels, elle doit élaborer une recommandation à l’intention du comité des risques. Cette recommandation doit couvrir la nature intrinsèque et la source du risque, son impact potentiel, les seuils de tolérance envisagés et les activités de gestion des risques prévues. Ces informations sont présentées au comité des risques, où elles sont débattues puis validées ;
- réévaluant régulièrement (au moins tous les ans, plus souvent si nécessaire) les activités de gestion des risques :
- le contenu des activités de gestion des risques doit en permanence correspondre à la stratégie de gestion des risques appliquée à l’ensemble de l’organisation, et permettre que les risques soient gérés conformément aux seuils de tolérance délégués ;
- les capacités de gestion des risques doivent être réévaluées en fonction de la rotation des effectifs, des changements de systèmes et des autres événements susceptibles d’avoir une incidence sur leur maturité et leur efficacité;
- les activités de surveillance de la gestion des risques doivent fournir, en temps opportun, aux propriétaires de risques, toute information sur l’efficacité des activités de gestion des risques;
- le reporting des résultats de la gestion des risques à la direction générale, au moment opportun et dans les délais prévus, doit être périodiquement évalué avec la direction générale, afin d’assurer qu’il répond aux besoins de cette dernière.
Les propriétaires de risques sont en première ligne de la gestion des risques et, en tant que tels, sont des acteurs essentiels de la bonne gouvernance. Leur rôle dans l’exécution et le pilotage des activités de gestion des risques, ainsi que dans le reporting sur l’efficacité de ces activités, influence fortement la capacité de l’organisation à éviter ou atténuer l’impact des événements inacceptables.
Les activités d’assurance
Les activités indépendantes d’assurance forment la dernière composante de la gouvernance: elles donnent au Conseil et à la direction générale une évaluation objective de l’efficacité des activités de gouvernance et de gestion des risques. Elles peuvent être effectuées par diverses parties, appartenant ou non à l’organisation. Le service qui donne le plus souvent ces assurances est l’audit interne.
La Norme IIA 2110, Gouvernement d’entreprise, précise à propos du rôle de l’audit interne:
« L’audit interne doit évaluer le processus de gouvernement d’entreprise et formuler des recommandations appropriées en vue de son amélioration. A cet effet, il détermine si le processus répond aux objectifs suivants :
- promouvoir des règles d’éthique et des valeurs appropriées au sein de l’organisation ;
- garantir une gestion efficace des performances de l’organisation, assortie d’une obligation de rendre compte ;
- communiquer aux services concernés de l’organisation les informations relatives aux risques et aux contrôles ;
- fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et assurer une coordination de leurs activités. »
La Norme IIA 2120, Management des risques, indique: « L’audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration. » Ces deux normes partent du principe que l’audit interne peut réaliser à la fois des activités d’assurance et de conseil pour une organisation.
Le champ des missions d’assurance exécutées par l’audit interne dépend (1) de la charte d’audit interne, qui précise le rôle de l’audit interne dans la gouvernance, et (2) des orientations spécifiques données par le Conseil s’agissant des attentes actuelles et à venir pour ces activités. En fonction de ces deux facteurs, les responsabilités de l’audit interne concernant la gouvernance peuvent comprendre un ou plusieurs des aspects suivants:
- déterminer si les diverses activités de gestion des risques sont conçues de manière adéquate au regard des événements susceptibles d’avoir des impacts inacceptables;
- vérifier que les diverses activités de gestion des risques fonctionnent comme prévu;
- évaluer l’adéquation de la conception et le fonctionnement effectif du programme/système de gestion des risques dans son ensemble;
- vérifier si les déclarations faites par les propriétaires de risques à la direction générale au sujet de l’efficacité des activités de gestion des risques donnent une image exacte de l’efficacité actuelle de la gestion des risques ;
- vérifier si les déclarations faites par la direction générale au Conseil au sujet de l’efficacité des activités de gestion des risques lui apportent les informations qu’il désire concernant l’efficacité actuelle de la gestion des risques ;
- déterminer si les informations relatives à la tolérance au risque sont communiquées efficacement et rapidement par le Conseil à la direction générale, puis par la direction générale aux propriétaires de risques ;
- déterminer s’il existe des domaines de risques qui ne sont actuellement pas couverts par le processus de gouvernance, alors qu’ils le devraient (par exemple, un risque pour lequel la tolérance et les attentes de reporting n’ont pas été déléguées à un propriétaire de risques précis).
L’audit interne est un acteur efficace du processus de gouvernance s’il:
- s’efforce de comprendre pleinement les orientations et les attentes du Conseil s’agissant de la gouvernance:
- l’audit interne doit comprendre l’orientation donnée à la direction générale, y compris les seuils de tolérance au risque et les attentes vis-à-vis du reporting ;
- en outre, il est important qu’il comprenne ce que le Conseil attend de lui concernant les missions d’assurance;
- soutient le programme de gestion des risques établi par le management:
- compte tenu de certaines similarités avec les activités d’audit interne, la fonction d’audit interne contribue à la structuration et à la rigueur du programme de gestion des risques ;
- elle peut contribuer à sensibiliser le management et les collaborateurs aux questions relatives au risque et au contrôle ;
- l’audit interne peut faciliter ou piloter les évaluations des risques au niveau de l’organisation et des différentes divisions;
- l’audit interne peut apporter des contributions et mener une surveillance continue et formelle (par exemple par la participation à un comité directeur sur le risque) ou informelle (notamment par le biais de discussions régulières avec le management);
- élabore un plan d’audit interne qui englobe de manière appropriée les missions d’assurance concernant la gouvernance et prévoit des communications périodiques à la direction générale et au Conseil au sujet de l’efficacité des activités de gestion des nsques.
Modèle des trois lignes de maitrise
Si, comme indiqué ci-dessus, l’audit interne donne une assurance précieuse, dans la plupart des organisations, d’autres catégories de parties prenantes fournissent également une certaine forme d’assurance (les services chargés de l’environnement et de la sécurité, les acteurs de l’assurance qualité, les services de contrôle des transactions, etc.) soit directement au Conseil, soit par des communications aux membres de la direction générale chargés de donner une assurance au Conseil.
Conscientes que l’assurance peut émaner d’activités différentes, tant en interne qu’en externe, de nombreuses organisations ont mis en place différents niveaux d’assurance pour maîtriser les risques tel que requis ou souhaité ou pour opérer conformément aux seuils de tolérance au risque de l’organisation.
Cette stratégie est souvent désignée comme un modèle de «lignes de maîtrise multiples ». Le Modèle des trois lignes de maîtrise illustré dans l’encadré 3 est un exemple classique.
Dans ce modèle, le rôle du Conseil et de la direction générale n’est pas différent de celui décrit précédemment. En revanche, les trois lignes de maîtrise nécessitent une explication.
- La première ligne de maîtrise représente les activités de contrôle interne réalisées par des collaborateurs et le management.
Elles comprennent à la fois les activités de contrôle interne spécifiques, ou «mesures de contrôle interne», et les contrôles de gestion qui permettent de superviser et de surveiller les activités individuelles.
Les contrôles de la première ligne de maîtrise sont très importants. Néanmoins, ils sont réalisés par des collaborateurs et le management qui en sont directement responsables. C’est pourquoi ils constituent la ligne de maîtrise la moins indépendante et la moins objective des trois.
- La deuxième ligne de maîtrise représente les autres activités d’assurance, telles que celles qui figurent dans l’encadré.
Ces activités sont réalisées par des collaborateurs rattachés à des niveaux hiérarchiques différents de celui qui est directement responsable des activités de contrôle interne.
C’est pourquoi le degré d’indépendance et d’objectivité de cette ligne est supérieur à celui de la première ligne. Toutefois, les collaborateurs fournissant une assurance de la deuxième ligne de maîtrise exercent souvent d’autres responsabilités de gestion en sus de leurs responsabilités d’assurance.
- La troisième ligne de maîtrise représente la forme d’assurance la plus indépendante et la plus objective.
L’audit interne est généralement le seul à être fonctionnellement rattaché au Conseil et n’exerce pas d’autres responsabilités de gestion. La troisième ligne de maîtrise est donc la plus indépendante et la plus objective des trois.
L’assurance peut également émaner de tiers. Bien que moins courante que les activités d’assurance internes, cette assurance demeure néanmoins importante pour le Conseil.
Ainsi, même si les attestations délivrées par des auditeurs externes visent en premier lieu à satisfaire des exigences réglementaires ou contractuelles, ces opinions peuvent aussi procurer au Conseil et à la direction générale une assurance quant à l’efficacité des activités conçues pour maîtriser les risques liés au reporting financier.
De même, des cabinets de conseil externes peuvent être sollicités et chargés de donner à la direction générale ou au Conseil une assurance concernant telle ou telle activité de gestion des risques. Enfin, les inspecteurs chargés de la vérification de la conformité aux règles en vigueur pour le compte d’une autorité de tutelle donnent aussi certaines formes d’assurance au management.
Si la multiplicité des niveaux d’assurance est bénéfique, les organisations doivent néanmoins veiller à éviter l’excès d’assurance, au risque d’entraîner une « usure de l’audit » ou une « fatigue de l’audit ».
C’est notamment le cas lorsque les différentes activités d’assurance ne collaborent pas et ne sont pas suffisamment coordonnées, à tel point que certaines d’entre elles deviennent redondantes et superflues. Certains diront qu’il ne peut y avoir trop d’assurance. Les activités d’assurance ont cependant besoin de ressources précieuses au sein de l’organisation, qu’il s’agisse des activités qui fournissent l’assurance ou de celles qui sont évaluées.
L’assurance a donc un coût qu’il convient de prendre en compte.
Afin de lutter contre l’« usure de l’audit », certaines organisations ont élaboré des modèles d’assurance «combinés» ou « intégrés».
Ces modèles varient d’une organisation à une autre et peuvent être mis en œuvre à grande ou petite échelle.
En règle générale, ces modèles permettent d’appréhender les différents types d’assurance. Selon le niveau de risque évalué et le degré d’assurance fourni, un plan ou un calendrier coordonné est élaboré. Il indique quand et par quelle activité d’assurance les évaluations sont réalisées, et précise à quel moment et dans quelle mesure les autres activités pourront s’appuyer sur ses travaux.
Quelle que soit leur structure, les activités d’assurance indépendantes exécutées par des auditeurs internes, par d’autres lignes de maîtrise et par des tiers donnent à la direction générale et au Conseil de précieuses informations qui leur permettent de surveiller l’efficacité des activités de gouvernance et de gestion des risques.
Ces activités d’assurance sont essentielles à la bonne gouvernance.
Conclusion
Les organisations doivent veiller à mettre en œuvre des structures de gouvernance et un dispositif de gestion des risques efficaces. La structure de gouvernance encadre les activités de ceux qui se chargent quotidiennement de la gestion des risques inhérents au modèle économique de leur organisation. Il convient de piloter ces activités afin d’en assurer la cohérence.
Les trois éléments qui composent la gouvernance peuvent être représentés comme dans l’encadré 4.
Encadré 4 : Principaux élements de la gouvernance