Cher Audit addict, après les fondamentaux liés à l’évaluation de l’environnement de contrôle, je partage avec vous dans ce nouveau billet, quelques clés liées à l’évaluation du processus d’évaluation des risques (ça en fait des Evaluations!😂).
Si vous venez de rejoindre la famille “Apprendre l’audit” je vous informe que cette série d’articles a pour but de rappeler aux professionnels de l’audit que l’évaluation du contrôle interne ne se limite pas à l’évaluation des procédures. Elle couvre en effet un champ beaucoup plus large que je me propose d’explorer avec vous, à travers ces billets. J’y inclus en outre des orientations pratiques pour faciliter la mise en œuvre de vos travaux d’évaluation du contrôle interne.
Vous voudrez sans doute lire ou relire les trois premiers articles de la série !😊 Si oui, voici les liens: Article #1, Article #2, Article #3
Décor planté…. Si vous êtes toujours avec moi, alors let’s go!
L’évaluation des risques… De quoi s’agit-il ?
« Un risque est défini comme la possibilité qu’un événement survienne et ait un impact défavorable sur la réalisation des objectifs. L’évaluation des risques implique un processus dynamique et itératif d’identification et d’analyse des risques susceptibles d’affecter la réalisation des objectifs. (…) Pour pouvoir procéder à cette évaluation, il est nécessaire d’avoir préalablement défini des objectifs cohérents aux différents niveaux de l’entité. »
Résumé exécutif du COSO report
L’évaluation des risques en tant que composante du COSO correspond donc au processus par lequel l’organisation identifie les risques pouvant l’empêcher d’atteindre ses objectifs, les évalue, les hiérarchise et définit les modalités de traitement appropriées.
Mais attention ! Elle se distingue de l’Enterprise Risk Management (ERM) que nous avions vu dans un article précédent, et qui entre dans le cadre d’un processus plus complexe. Cliquez ici pour relire l’article sur l’ERM et son évaluation.
La principale différence tient au fait que l’ERM constitue un processus formalisé et transversal prenant obligatoirement en compte toutes les activités de l’organisation et impliquant une vue d’ensemble des risques et de leurs relations. Sa mise en œuvre comporte des étapes précises et se fait généralement conformément à un cadre de référence (COSO – ERM, ISO 31000, TURNBULL, etc.). Le processus d’évaluation des risques existant au sein d’une organisation peut servir de base à la construction de son ERM. En d’autres termes, toutes les organisations disposent, dans le cadre de leur système de contrôle interne, d’activités d’évaluation et de gestion des risques plus ou moins élaborées… Mais toutes ne disposent pas d’un ERM !
Pourquoi examiner le processus d’évaluation des risques lors de l’évaluation du contrôle interne?
Tout d’abord parce que comme vous le savez déjà, évaluer le contrôle interne revient à en évaluer les composantes. Et comme vous le savez aussi, l’évaluation des risques constitue la deuxième composante du contrôle interne selon le COSO. Je vous laisse conclure cette démonstration scientifique de haut niveau! 😊
En outre, les professionnels de l’audit (moi y compris!😉) sont passés maîtres dans l’évaluation de la composante “activités de contrôle” (sur laquelle nous reviendrons dans un prochain article). Nous rivalisons ainsi d’ingéniosité, de méthodes et d’outils pour l‘évaluation des procédures. Et nous perdons parfois de vue le fait que l’efficacité des activités de contrôle contenues dans les procédures, dépend de la pertinence de l’évaluation des risques qui la précède. Une mauvaise identification et évaluation des risques conduit ainsi à des activités de contrôle peu pertinentes et peu efficaces, dont l’évaluation par l’auditeur est donc dépourvue de sens!
Evaluer le processus d’évaluation des risques est donc au moins aussi important qu’évaluer les activités de contrôle; ces dernières etant conçues pour couvrir les risques identifiés.
Comment évaluer le processus d’évaluation des risques?
L’évaluation de la composante 2 du contrôle interne selon le COSO a pour but d’obtenir des informations au sujet des risques identifiés et de la façon dont la direction y fait face.
La première étape de cette évaluation consiste à identifier les acteurs du processus d’évaluation des risques de l’organisation. Il peut s’agir de la direction générale elle-même et/ou des responsables de départements opérationnels. L’entité peut également disposer d’un “risk manager“ qui coordonne le processus ou bien une ou plusieurs parties du processus peuvent être exécutées par l’audit interne.
La seconde étape consiste à effectuer des entretiens avec les acteurs identifiés et d’autres membres du personnel, ainsi qu’une revue de documents afin de procéder a l’évaluation proprement dite.
Mais que regarder concrètement au cours des travaux?
1. Le management soutient-il le processus d’identification et d’évaluation des risques ?
Le management des risques et le contrôle interne ne peuvent être efficaces sans l’implication et le soutien du management qui doit non seulement donner le ton et mettre en place un environnement de contrôle adéquat, mais également soutenir et s’impliquer dans les activités de management des risques, dont il porte la responsabilité. Le questionnaire ci-après peut servir de canevas à l’évaluation du degré d’implication du management dans le processus d’évaluation et de gestion des risques.
- Le management comprend-il le rôle qui est le sien dans le processus de gestion des risques?
- le management a-t-il définit des objectifs suffisamment clairs au niveau des opérations, du reporting et de la conformité pour permettre l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation
- L’organisation dispose-t-elle d’une cartographie des risques?
- Le management au niveau adéquat de l’organisation a-t-il revu et approuvé cette cartographie?
- La responsabilité de la coordination des activités de management des risques a-t-elle été clairement confiée à une personne? Par exemple, le Directeur général, un directeur métier, un risk manager, etc.?
- Le Comité de Direction ou son équivalent procède-t-il a une revue périodique de la cartographie des risques afin de s’assurer de sa pertinence au regard des changements dans l’entreprise et son environnement et d’assurer le suivi de la mise en œuvre des actions de mitigation?
- Le management prend-il en compte les risques identifiés dans la cartographie lors des décisions de gestion? Vous pouvez pour cela, analyser les comptes rendus de réunions du comité de direction.
- Le management a-t-il prévu les ressources (budget, personnel, etc.) nécessaires à la mise en œuvre des actions de mitigation définies dans la cartographie des risques?
- Le management a-t-il defini des indicateurs de performance relatifs à la gestion des risques? Effectue-t-il un suivi de ces indicateurs?
2. Le personnel a-t-il connaissance du processus et est-il impliqué dans sa mise en œuvre?
- Le personnel de l’organisation a-t-il reçu une formation de base à la gestion des risques?
- Les outils nécessaires à une gestion appropriée des risques sont-ils disponibles?
- L’orientation reçue par les nouveaux employés prend-elle en compte les aspects lies à l’identification et à la gestion des risques?
- L’ensemble du personnel a-t-il connaissance des décisions importantes relatives à la gestion des risques (risques significatifs, changements dans les mesures de mitigation retenues, changements dans les contrôles, etc.)?
- Les personnes pertinentes (responsables de département, spécialistes à divers niveaux, etc.) sont-elles impliquées dans l’identification et l’évaluation des risques?
3. Les mécanismes d’identification, d’évaluation, de hiérarchisation et de traitement des risques sont-ils adéquats?
- L’organisation dispose-t-elle d’un processus formalisé d’identification et de gestion des risques?
- Le management a-t-il définit un seuil de tolérance pour chaque nature de risques? Ce seuil acceptable est-il mis à jour compte tenu des modifications dans l’environnement interne et externe de l’organisation?
- La cartographie des risques integre-t-elle les risques relatifs à l’environnement interne et externe de l’organisation?
- La cartographie des risques prend-elle en compte les risques identifiés lors de l’élaboration de la stratégie?
- La formulation des risques dans la cartographie met-elle en évidence la cause, l’évènement et la conséquence? Lire cet article pour en savoir plus !
- Les risques sont-ils évalués compte tenu de leur probabilité de survenance et de leur impact?
- Les mesures de traitement (accepter, transférer, réduire, éviter ou prévenir), retenues pour chaque risque sont-elles définies dans la cartographie des risques?
- Chaque risque identifié dans la cartographie est-il correctement évalué et fait-il l’objet d’une action de mitigation appropriée?
- Chaque action de mitigation a-t-elle un propriétaire d’action clairement identifié? Ce propriétaire d’action dispose-t-il de l’autorité nécessaire pour prendre des décisions dans le cadre de la gestion du risque concerné?
- La cartographie prevoit-elle une date pour la mise en place effective des actions de mitigation?
- Des contrôles pertinents sont-ils définis et mis en place pour chaque risque identifié au-delà du seuil de tolérance l’organisation? Ces contrôles sont-ils cohérents avec les mesures de traitement retenues?
- Chaque contrôle prevu a-t-il un propriétaire de contrôle clairement identifié ?
- Les incidents éventuels sont-ils analysés afin d‘en évaluer l’impact sur les risques de l’organisation? Par exemple, la nécessité de mettre à jour la formulation, l’évaluation et/ou les mesures de mitigation d’un risque déjà présent dans la cartographie est-elle analysée lors de la survenance d’une brèche malgré les contrôles existants ? Ou bien un nouveau risque est-il ajouté à la cartographie suite à un cas de fraude?
- Les risques de fraude sont-ils clairement identifiés dans la cartographie et gérés de manière appropriée ?
- La cartographie des risques est-elle mise à jour de manière dynamique ?
Ce questionnaire est donné à titre indicatif et certains aspects peuvent ne pas être applicables à votre organisation, compte tenu de sa taille ou de sa structure. De même, certaines particularités de votre organisation peuvent ne pas être prises en compte. Il vous faudra donc l’adapter afin d’en tirer le meilleur profit !!😉
Si vous avez aimé le contenu de cet article, alors la section des commentaires vous tend les bras et vous pouvez aussi le partagez avec vos contacts. C’est gratuit ! 😁
Sinon, dites-moi ce que vous n’avez pas aimé afin que je puisse le corriger… mais partagez-le quand même!😅
Enfin, vous pouvez vous inscrire gratuitement à ma newsletter (ci-dessous) pour ne pas rater les épisodes suivants de cette série. Vous recevrez en bonus mon livre « RAI – 5 clés pour construire l’équipe d’audit de vos rêves« . 😊
Cet article a 4 commentaires
Un article simplement écrit, précis et très didactique sur un sujet n’est pas toujours aussi évident à expliquer et à traiter… tous mes encouragements Eunice !
Merci Olivier!😊
Merci Eunice pour cet article très utile! Ya t-il un article sur l’identification des risques déjà publié?
Oui effectivement et en voici le lien: https://apprendrelaudit.com/evaluer-le-processus-devaluation-des-risques/
Bonne lecture !😊