Audit interne dans un environnement axé sur le management des risques

Audit interne dans un environnement axé sur le management des risques

4.2) Examen du dispositif de management des risques mis en place par l’entreprise

Un management efficace des risques nécessite la mise en place d’un dispositif au niveau de l’entreprise. A défaut de dispositif, les risques ne peuvent être analysés, divulgués, comparés et gérés d’une manière cohérente et efficace à tous les niveaux de l’organisation considérée dans son ensemble.

Les principaux éléments d’un dispositif de management des risques sont les suivants :

• Des politiques et des directives claires et cohérentes en matière de management des risques
• Des moyens adaptés à la diffusion d’informations sur les risques et à leur analyse
• Une définition claire des responsabilités et des pouvoirs en matière de management des risques, et leur attribution à des personnes clés
• Des procédures et des programmes de management des risques adéquats
• Et un dispositif adéquat de suivi et de revue des processus de management des risques permettant notamment (ce point est très important) de tirer en permanence les enseignements de l’expérience acquise au sein de l’entreprise.

L’audit interne du processus de management des risques peut consister à examiner le dispositif global dans le cadre duquel sont exercées les responsabilités liées au management des risques, ainsi que quelques cas précis sélectionnés à travers l’organisation entière.

On peut ainsi s’assurer à la fois de l’existence d’un dispositif global, de son adéquation et de l’efficacité avec laquelle ce dispositif, et d’une façon plus générale les compétences en matière de management des risques, sont mis en œuvre en pratique.

C’est dans le cadre des éléments décrits ci-dessus que chaque entreprise doit définir ses propres critères d’évaluation ainsi que des solutions adaptées à sa situation, à sa culture et à son style de management.

4.3) L’audit interne dans un environnement axé sur le management des risques

Une approche dynamique et fondée sur les risques revient en fait ni plus ni moins à gérer l’activité dans un environnement complexe, en rapide évolution, ambiguë et incertain, voire hostile.

Le rôle de l’audit interne est de donner aux dirigeants une assurance raisonnable que toutes les mesures sont prises en pratique pour assurer la réussite des projets des dirigeants et que tout échec éventuel sera la conséquence d’une absence de management de ces risques.

Le management est un processus continu et itératif qui comporte plusieurs niveaux et dans lequel trois éléments interdépendants interviennent constamment :

• La planification des travaux à accomplir
• La réalisation de tous les principaux objectifs prévus dans le plan, c’est-à-dire en fait des facteurs clés du succès
• Et la gestion (reporting, analyse, définition et mise en place des actions correctrices) de tous les dysfonctionnements qui surviennent au cours du processus.

Non seulement ces trois éléments sont étroitement imbriqués en pratique mais, dans la grande majorité des organisations, c’est le processus de management proprement dit qui fait l’objet d’une revue des dirigeants, et ce généralement à plusieurs niveaux en dépit de l’écrasement des niveaux hiérarchiques auquel on assiste aujourd’hui.

Les contrôles internes sont utiles pour permettre aux dirigeants de s’assurer que les salariés assument les tâches et fonctions qui leur ont été confiées, pour agir en tenant compte des difficultés liées à chaque activité et pour gérer les risques et les incertitudes liées à toute activité. La nécessité de gérer les risques est un aspect important d’un contrôle interne efficace.

Lorsqu’ils procèdent à l’examen du management des risques, que ce soit au niveau des processus ou de l’activité de l’entreprise, les auditeurs internes doivent s’assurer que les principales étapes du cycle de management des risques sont correctement traitées.

Il est important que le service d’audit interne soit continuellement en ligne avec les pratiques et les systèmes de gestion de l’organisation pour promouvoir et améliorer le management des risques.

Pour les auditeurs internes, l’adoption d’une approche davantage axée sur les risques a principalement deux types de conséquences : certaines concernent le contexte dans lequel l’audit se déroule et les autres ont trait à la nature du produit d’audit.

Le processus d’audit doit être adapté au contexte dans lequel il se déroule. Il convient notamment de tenir compte des éléments suivants :

• Les plans offrent des références qui permettent d’évaluer la performance des résultats réels en tenant compte d’une évolution du contexte.
• Pour évaluer la performance d’une action, il faut tenir compte des circonstances dans lesquelles on trouvait le management au moment de l’élaboration des plans. Il est plus facile de juger après coup.
• Une distinction est établie entre une évolution de l’environnement qui ne s’avère pas conforme au scénario et la mauvaise gestion. Si le scénario qui s’est produit est le moins favorable alors qu’il était raisonnable de définir les stratégies d’atténuation des risques sur le scénario le plus probable, c’est un manque de chance.
• Personne n’est infaillible. Les erreurs pures et simples doivent être distinguées de la négligence et de l’indifférence, par exemple.
• Les pratiques adoptées dans le domaine du management des risques reflètent le style de management, la culture de l’entreprise, ainsi que toute évolution des exigences des dirigeants, etc…
• Il est fait appel aux connaissances et à l’expérience de l’ensemble du personnel.
• Les décisions concernant l’acceptation des risques sont prises sciemment, à un niveau hiérarchique adapté à l’importance des risques encourus.
• L’efficacité des contrôles ne se mesure pas simplement à la réalisation des objectifs mais également à l’analyse des échecs, ou de la réussite.

L’adoption d’une approche davantage axée sur les risques a également des répercussions sur la nature du produit d’audit et notamment sur les points suivants :

•  Les rapports d’audit interne reflètent les différences de niveau d’efficacité, les exigences à cet égard étant fonction des objectifs de contrôle. Lorsque certains niveaux de risques sont jugés inacceptables, les auditeurs internes doivent être fermes dans leurs recommandations si le dispositif de contrôle comporte des signes évidents de faiblesses.

Dans des domaines moins critiques, leur rôle est plutôt celui d’un « conseiller expert » qui conseille les dirigeants sur les options envisageables, tout en leur laissant le soin de décider en définitive.

• L’audit interne donne aux dirigeants l’assurance raisonnable que les échecs ou les dysfonctionnements éventuels, qui ne peuvent être totalement exclus, sont le résultat d’une absence de gestion.
• Il est primordial de donner cette assurance aux dirigeants, de façon régulière et en toute indépendance, en particulier en cas de risques critiques. C’est la principale mission de l’audit interne dans tout le processus de management des risques.
• Enfin, les auditeurs internes reconnaissent que leurs travaux sont également affectés par les risques et les incertitudes. Les fonctions de contrôle et d’audit interne ne sont pas des processus sans risque.