Selon la norme 2120 du cadre de référence des pratiques professionnelles de l’audit interne (CRIPP) « l’audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration ».
Comment concrètement cette évaluation peut-elle être mise en oeuvre? 🤔
L’objectif de cet article est de répondre à cette question en vous fournissant des indications sur les éléments à évaluer et les différentes approches de mise en oeuvre de l’évaluation.
Cet article fait suite à un premier dans lequel j’avais abordé les fondamentaux liés à l’audit et au management des risques.
A quoi sert l’évaluation du processus de management des risques par l’audit interne?
Au-delà de l’objectif de conformité aux normes du CRIPP 😊, l’évaluation par l’audit interne des processus de management des risques de l’organisation permet de s’assurer que :
- les objectifs stratégiques et opérationnels de l’organisation sont cohérents avec sa mission et y contribuent ;
- les risques significatifs sont identifiés et évalués ;
- les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ;
- les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre au personnel, aux membres du management et au Conseil d’exercer leurs responsabilités.
Comment évaluer le processus de management des risques?
Pour évaluer le processus de management des risques de votre organisation, vous pouvez recourir à trois approches qui se suffisent chacune à elle-même:
1. L’approche par les éléments du processus
Elle consiste à évaluer l’existence et l’adéquation de chacune des composantes du cadre de référence mis en œuvre par l’organisation. Si des composantes manquent, alors il y a de fortes chances que le management des risques ne soit pas efficace.
Dans le cas d’une organisation appliquant la norme ISO 31000 par exemple, il s’agira de vérifier les éléments suivants pour chacune des sept composantes de ce cadre de référence:
- Communication et concertation : Existe-t-il des échanges structurés et réguliers avec les personnes concernées par les opérations de l’organisation et au sein du secteur d’activité ?
- Établissement du contexte : Les responsables de la gestion des risques disposent-ils d’une bonne compréhension de l’environnement externe (politique, social, etc.) et interne (objectifs, stratégies, structures, déontologie, discipline, etc.) et des activités de l’organisation afin de pouvoir identifier tous les risques?
- Identification du risque : L’identification des risques est-elle un processus formel et structuré qui tient compte des sources de risques, des domaines d’impact, des événements ainsi que de leurs causes et conséquences potentielles ?
- Analyse du risque : L’organisation recoure-t-elle à une technique formalisée pour prendre en compte les conséquences de chaque risque et sa probabilité de survenance ?
- Évaluation du risque : L’organisation dispose-t-elle d’un mécanisme (matrice de hiérarchisation par exemple) permettant de classer les risques en fonction de leur importance relative, de façon à déterminer l’ordre de priorité dans la mise en œuvre des traitements ?
- Traitement du risque : Les décisions concernant le traitement des risques sont-elles rationnelles ?
- Surveillance et revue : Un suivi de la mise en œuvre des plans de traitement des risques est-il effectué ? Les contrôles et leur efficacité sont-ils surveillés ? Les activités proscrites sont-elles évitées ? L’évolution du contexte est-elle sans incidence sur les risques ?
Votre travail d’évaluation consistera à collecter des preuves d’audit dans le but de répondre à chacune de ces questions, et de vous permettre de vous forger une opinion sur le processus de management des risques.
Toute réponse négative à l’une de ces questions remet donc en cause l’efficacité du processus de management des risques.
2. L’approche par les principes clés
Cette approche repose sur l’idée que, pour être pleinement efficace, tout processus de management des risques doit respecter les caractéristiques ou principes minimum requis par le cadre de référence adopté.
Dans le cas de l’organisation appliquant la norme ISO 31000 retenue précédemment, les principes à revoir seront les suivants :
- Le management du risque crée de la valeur et la préserve.
- Le management du risque ne peut se dissocier des opérations et processus de prise de décision de l’organisation. Il n’est donc pas perçu comme une tâche supplémentaire.
- Le management du risque traite de l’incertitude de façon explicite, structurée et ordonnée, et prévoit des méthodes pour y remédier au mieux.
- Le management du risque s’appuie sur la meilleure information disponible
- Le management du risque est adapté aux activités de l’organisation et prend en compte l’environnement d’exploitation, les facteurs humains et culturels, notamment la compétence et à la culture des utilisateurs.
- Le management du risque est transparent, vérifiable et participatif et implique donc l’ensemble des parties prenantes de l’organisation.
- Le management du risque est dynamique, itératif et réactif au changement. Il fait ainsi l’objet d’un examen et d’une mise à jour réguliers pour s’adapter aux évolutions de l’organisation et de son environnement.
- Le management du risque facilite l’amélioration continue de l’organisation.
Le niveau de conformité de votre organisation à l’ensemble de ces principes déterminera donc le niveau d’efficacité de son processus de management des risques.
3. L’approche par le modèle de maturité
L’approche par le modèle de maturité repose sur l’hypothèse d’une amélioration continue de la qualité du management des risques de l’organisation. Elle consiste à évaluer la performance et les progrès du management des risques:
- compte tenu du niveau d’exécution du plan de management des risques
- et en se basant sur un système de mesure et de gestion des performances.
La mise en œuvre de cette approche nécessite la définition préalable:
- de règles de fonctionnement s’appuyant généralement sur une liste d’exigences détaillées, par rapport auxquelles tout progrès dans la mise en œuvre pourra être mesuré
- d’un guide sur la manière concrète de respecter les règles et les exigences associées
- de moyens de mesurer (indicateurs) les performances effectives au regard de chaque règle et de chaque exigence
- d’outils permettant d’enregistrer les performances et les progrès et d’en rendre compte
- d’une vérification périodique indépendante de l’autoévaluation effectuée par le management.
L’évaluation des performances effectives est réalisée au regard de chaque règle de fonctionnement au moyen d’un système de mesure de la maturité. Ce système n’accorde la meilleure note que dans le cas d’une mise en œuvre complète et d’une application effective de la règle.
Le tableau ci-dessous présente un modèle envisageable pour mesurer la maturité (d’après le concept original du Capability Maturity Model développé par la Carnegie Mellon University).
La synthèse des évaluations effectuées sur cette base pour l’ensemble des règles de fonctionnement permet d’obtenir l’évaluation globale du processus de gestion des risques.
Eléments additionnels à examiner dans le cadre de l’évaluation de l’ERM
L’examen du processus de management des risques constitue la première étape de l’évaluation de l’ERM, qui comprend en outre:
- L’examen des risques significatifs et des affirmations du management
- Le suivi du plan de traitement des risques.
1. Examen des risques significatifs et des affirmations du management
Cet examen constitue la deuxième étape de l’évaluation de l’ERM. Il consiste à :
- effectuer un comparatif entre l’évaluation des risques effectuée par le management et celle mise en œuvre par l’audit interne
- évaluer les affirmations du management concernant l’efficacité des contrôles destinés à mitiger les risques significatifs et
- évaluer la capacité desdits contrôles à réduire ces risques à un niveau tolérable pour l’organisation.
Les conclusions de cet examen des risques significatifs, associées à celles des travaux réalisées dans le cadre d’un plan d’audit fondé sur les risques, vous permettront de fournir une assurance non seulement sur ces domaines de risques spécifiques, mais également sur l’efficacité du processus global de management des risques.
2. Suivi du plan de traitement des risques
Le suivi du plan de traitement des risques représente la dernière étape de l’évaluation de l’ERM.
Ce suivi consiste à évaluer:
- la structure du plan,
- les ressources affectées à sa mise en œuvre,
- l’attribution des responsabilités en relation avec chaque action du plan,
- l’efficacité de la mise en œuvre des actions de traitement et de contrôle des risques
- etc…
Le suivi du plan de traitement des risques donne lieu à des recommandations et à des remarques visant à améliorer la pertinence du plan et ses chances de succès.
Enfin, précisons que de nombreux aspects du management des risques de l’organisation peuvent être informels et non-documentés. Le fait que des éléments de l’ERM ne soient pas documentés ne signifie pas nécessairement qu’ils ne sont pas efficaces ou ne peuvent être évalués. Vous devrez donc penser à évaluer ces aspects au même titre que les activités documentées.
Si vous avez aimé cet article, n’hésitez pas à me laisser un commentaire et à le partager avec vos contacts. 😉
Vous pouvez aussi vous inscrire gratuitement à ma newsletter (ci-dessous) pour ne pas rater les suivants. Vous recevrez en bonus mon livre « RAI – 5 clés pour construire l’équipe d’audit de vos rêves« . 😊
A bientôt! 😁
Cet article a 2 commentaires
Des trois méthodes je choisirai l’approche par principes clés
Merci Robale Adam pour votre commentaire. L’approche par principes cles est en effet interessante.
Mais je suis curieuse de savoir ce qui motive votre choix! 🙂