La Norme 2120 pour la pratique professionnelle de l’audit interne indique que « l’audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration ».
Le contenu de cette norme, bien que clairement énoncé, peut se révéler difficile à mettre en œuvre, lorsque l’on ne dispose pas d’outils et/ou de méthodes pratiques pour la mise en œuvre d’une telle évaluation.
Cette série d’articles se propose donc de fournir aux auditeurs internes, responsables des risques et autres professionnels, des indications pratiques pour faciliter leur évaluation des processus de management des risques.
Qu’entend-on par management des risques ?
Le COSO (Committee of Sponsoring Organizations of the Treadway Commission) définit le management des risques de l’entreprise (ERM) comme suit:
« Un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation.
Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation.
Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque.
Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation ».
COSO (Committee of Sponsoring Organizations of the Treadway Commission)
Le terme entreprise désigne ici toutes les organisations, quels que soient leurs buts et leur taille et pas uniquement les entreprises commerciales.
La gestion des risques de l’organisation n’est donc pas seulement l’affaire du Top management, mais constitue un processus transversal qui implique l’ensemble des employés et concerne toutes les activités de l’organisation.
Le succès du management des risques dépend de l’efficacité du cadre organisationnel de management des risques. Ce dernier fournit en effet les bases et les dispositions permettant l’intégration du management des risques à tous les niveaux de l’organisation.
Qu’est-ce que le cadre de management des risques ?
Le cadre de management des risques englobe les composantes et l’organisation du management du risque au sein d’une entité. Il s’agit donc de définir l’enchaînement et les relations entre les objectifs de l’organisation, la stratégie et son déploiement, les risques, les contrôles et le processus d’assurance à tous les niveaux de l’organisation.
Les organisations peuvent choisir de mettre en œuvre la gestion des risques de l’entreprise de différentes manières. Cependant, l’utilisation d’un cadre peut améliorer l’efficacité de l’ERM car :
- Il permet d’organiser de façon formelle les activités et les responsabilités liées à la gestion des risques et facilite ainsi l’atteinte des objectifs stratégiques
- Il permet de s’assurer que la gestion des risques est effectivement mise en œuvre à l’échelle de l’organisation et non au niveau fonctionnel et que le risque est géré de manière proactive.
Il existe plusieurs cadres de référence couramment utilisés pour le management des risques de l’entreprise (ERM), notamment:
- La norme ISO 31000
- Le cadre de référence du COSO
- Les recommandations TURNBULL.
Ces trois référentiels présentent de nombreuses similitudes et quelques différences subtiles (sur lesquelles nous reviendrons dans un prochain article).
Cependant, la norme ISO 31000 est de plus en plus populaire en partie parce qu’elle est plus succincte et que de nombreuses organisations la considèrent plus claire et plus facile à expliquer à la Direction Générale et au Conseil d’Administration.
Responsabilités liées au management des risques
Comme nous l’avons vu plus haut, chaque membre de l’organisation contribue au succès de l’ERM, mais la responsabilité de l’identification et de la gestion des risques revient en premier lieu au management.
1. Le Conseil d’administration
Le Conseil a la responsabilité globale de s’assurer que les risques sont gérés et qu’un système adéquat de management des risques est en place. Il aide à définir la stratégie ainsi que l’appétence pour le risque de l’organisation et énonce les objectifs de haut niveau. Il doit connaître les risques les plus significatifs de l’organisation et s’assurer que la Direction y répond de façon appropriée. En résumé, le Conseil donne le ton et ses décisions, son engagement et ses activités influent significativement sur la gestion des risques au sein de l’organisation.
Dans la pratique, le Conseil délègue souvent la mise en œuvre du management des risques à l’équipe de direction.
2. La Direction générale
le Directeur général est le principal responsable de la mise en œuvre du management des risques de l’entreprise. Il détermine avec le Conseil l’appétence pour le risque de l’organisation, encadre les membres de la direction chargés des principales fonctions afin de comprendre les risques inhérents aux opérations, les réponses existantes, les améliorations requises et l’avancement des initiatives en cours.
L’autorité de la Direction générale est impérative pour un management des risques de l’entreprise efficace, chaque Directeur étant responsable devant le Directeur Général et ce dernier devant rendre compte au Conseil.
Dans certaines organisations, une fonction dédiée qui dispose de compétences et de connaissances spécialisées, coordonne et gère les activités d’ERM.
3. Le responsable de la gestion des risques
Le responsable de la gestion des risques également appelé directeur des risques, centralise la gestion des risques de l’entreprise à travers toute l’organisation. Il est nommé par le Directeur général et a pour rôle d’élaborer des pratiques efficaces de gestion des risques (politiques pertinentes, définition des rôles et responsabilités, encadrement, etc.), un langage commun de gestion des risques et des indicateurs de mesure, de faciliter les protocoles de reporting et de communiquer au DG les progrès effectués ainsi que les recommandations d’améliorations.
Rôle de l’audit interne dans l’ERM
La plupart du temps, l’audit interne a pour rôle de fournir au Conseil d’Administration une assurance indépendante et objective sur l’efficacité des activités de l’ERM. Cette assurance permet de garantir que les risques majeurs des activités sont gérés de façon appropriée, et que le système de contrôle interne de l’organisation est efficace et efficient.
Il arrive cependant que l’audit interne fournisse d’autres catégories de services de conseils relatifs au management des risques. Ce type de services ne peut être fournit que sous certaines conditions :
- Les managers doivent clairement rester les seuls responsables du management des risques. L’audit interne ne prend aucune décision relative au management des risques quels que soient les conseils ou les avis qu’il donne sur les décisions prises par le management
- L’audit interne ne peut pas donner une assurance objective sur toute partie du management des risques dont il est chargé
- Les services fournis doivent être énoncés dans la charte d’audit interne et ne pas être en contradiction avec les autres responsabilités de l’audit interne.
La figure suivante récapitule le rôle de l’audit interne dans l’ERM.
Afin d’améliorer le management des risques d’une organisation, il convient, dans un premier temps, de dresser un état des lieux des processus et systèmes en place et de les évaluer. Le prochain article de cette série sera donc consacré à l’évaluation pratique du management des risques au sein de l’organisation.
En attendant, si les informations contenues dan cet article vous paraissent utiles, merci de les partager pour ajouter de la valeur à un ami.😉
Et n’oubliez pas de vous inscrire à ma newsletter pour recevoir les prochains articles de la série.😊
A bientôt!
Cet article a 2 commentaires
Bonjour Eunice,
Article assez claire et précis! Merci pour ton travail qui apporte un peu plus de lumière. je te suis déjà sur linkedin.
Ce serait bien qu’on se rencontre.
Agréable journée!
Bonjour Ida et merci pour ton message!
Je serais très heureuse de te rencontrer.
On s’écrit sur LINKEDIN pour organiser ça!
À bientôt 😉