L’analyse des risques dans l’évaluation du dispositif de contrôle

L’analyse des risques dans l’évaluation du dispositif de contrôle

4.4) Le rôle de l’analyse des risques dans l’évaluation du dispositif de contrôle

L’analyse des risques (risques d’échec ou de dysfonctionnement) a toujours été un élément clé, implicitement du moins, du processus d’évaluation du dispositif de contrôle. Un processus d’évaluation axé sur les risques comporte nécessairement les phases suivantes :

• Analyse de l’activité concernée
• Identification et évaluation des risques inhérents encourus
• Vérification de l’existence des contrôles internes, constitution d’une documentation et évaluation de la qualité de ces contrôles, notamment à l’aide de tests
• Evaluation des points faibles, rédaction d’un rapport et émission de recommandations en vue de l’amélioration du dispositif le cas échéant.

La première phase, qui consiste en une analyse de l’activité, comporte les étapes suivantes :

• Identifier les objectifs liés à l’activité ou à la fonction dont l’examen est envisagé en consultant, en particulier, les acteurs du processus.
• Identifier les principaux processus liés à l’activité, ainsi que les liens d’interdépendance qui existent entre eux, d’une part, et entre ces processus et d’autres domaines d’activité, d’autre part. Fixer l’étendue et les limites de l’examen d’un commun accord avec les dirigeants.
• Classer, en accord avec les acteurs du processus, les activités par ordre de contribution la plus directe aux objectifs.
• Identifier, avec les acteurs du processus, quelle est la politique de contrôle relative aux objectifs liés à l’activité.
• Identifier la politique de risques acceptable au niveau de la société et le niveau de contrôle interne requis pour atteindre un niveau de risque acceptable par les dirigeants et / ou par les lois, réglementations, ou normes externes.

La deuxième phase est consacrée à l’analyse des risques inhérents. Elle comporte les étapes suivantes :

• Identifier les risques d’échec ou de dysfonctionnement pour chacun des principaux processus liés à l’activité, en tenant compte de tous les dangers potentiels provenant tant de sources externes que de sources internes.

Déterminer les actifs qui sont exposés aux risques (biens immobiliers, installations et matériel, stocks, informations, réputation, …) ainsi que les facteurs de risque.

• Déterminer les causes des échecs ou des dysfonctionnements éventuels, leurs modalités de survenance. Ce qu’il est important de bien appréhender, ce sont les causes profondes d’un risque, plutôt que ses symptômes.
• Déterminer quelle est la probabilité pour que les risques se matérialisent. Mieux on appréhende les facteurs de risque, plus on est en mesure de déterminer cette probabilité avec précision.
• Rechercher dans quelle mesure l’entreprise est vulnérable aux risques existants. Déterminer l’impact probable sur l’entreprise et / ou sur la réalisation des objectifs en cause.
• Evaluer le degré d’exposition aux risques (impact x probabilité) en tenant compte de toutes les possibilités et notamment de l’issue la plus probable ainsi que des scénarios les plus optimistes et les plus pessimistes.
• Evaluer les principaux risques inhérents et les classer par ordre de priorité en fonction des seuils de tolérance des risques et des échelles ou indicateurs définis et approuvés au niveau de l’entreprise.

A l’issue de la phase d’évaluation du dispositif de contrôle, on pourra revoir les trois ou quatre dernières étapes de l’analyse des risques inhérents afin d’analyser tout risque résiduel non couvert.

Les principales étapes de la phase suivante (évaluation du dispositif de contrôle) sont :

• Identifier les contrôles ou les stratégies d’atténuation des risques qui peuvent être mis en œuvre pour contrer les principaux risques recensés. Cette étape peut consister à dresser la liste des contrôles possibles dont on suppose l’existence, ou à faire l’inventaire des contrôles qui sont censés exister ou dont on prétend qu’ils existent.
• Déterminer quels sont les contrôles réellement en place, et quels sont ceux qui paraissent les plus importants, autrement dit les contrôles clés.
• Vérifier si les contrôles sont appliqués, et s’ils sont suffisants, fiables et efficaces en pratique. Mesurer leurs limites et évaluer le degré d’assurance qu’ils permettent d’obtenir.
• Rapprocher les contrôles en place avec les éléments suivants :
  • Lois, réglementations, normes externes, contrôles attendus selon les meilleures pratiques, technologies disponibles, …
  • Contrôles qui sont censés exister ou dont on prétend qu’ils existent en fonction des référentiels internes.
  • Risques évalués et zones de vulnérabilité
  • Coût prévisionnel de la mise en place des contrôles comparé aux avantages de la réduction des risques en fonction du degré et des types de risques jugés tolérables par les dirigeants.
• Examiner tous les cas suivants :
  • Risques résiduels : revoir les dernières étapes de l’analyse des risques et s’assurer que les risques encourus sont acceptables compte tenu du degré et des types de risques jugés tolérables par les dirigeants.
  • « Excès de contrôle » : cas dans lesquels les contrôles ne sont plus nécessaires ou ne se justifient plus compte tenu des normes fixées dans l’entreprise en matière de risques (degré et types) et / ou du rapport coûts / avantages associé à la réduction des risques. Il peut s’avérer opportun d’effectuer d’autres vérifications afin de s’assurer que ces contrôles ne sont pas nécessaires à la sauvegarde d’autres activités.

Enfin, il convient de conclure et de communiquer au niveau approprié les résultats de ces travaux ainsi que les recommandations éventuelles.

Par le passé, les auditeurs internes se sont surtout concentrés sur l’identification des faiblesses de contrôle interne et sur l’émission de recommandations visant à les résoudre, parfois semble-t-il sans tenir compte du coût de la mise en œuvre des recommandations, de leurs inconvénients ou de leur faisabilité sur le plan pratique.

Cette tendance peut s’avérer difficile à justifier, en particulier lorsque plusieurs auditeurs sont susceptibles de donner des conseils différents.

Lorsque l’analyse des risques est intégrée dans l’évaluation du dispositif de contrôle, l’identification des éléments à préserver, et des raisons pour lesquelles il faut les préserver, a lieu préalablement à l’examen des points faibles et aux contrôles.

Le dispositif mis en place permet d’évaluer les contrôles selon des modalités que les dirigeants peuvent comprendre et par lesquelles ils se sentent concernés.

L’évaluation du dispositif de contrôle s’applique indifféremment à l’approche traditionnelle de l’audit interne et à l’auto-évaluation (ateliers interactifs) . En principe, il est nécessaire de passer par chaque phase et par chaque étape du processus pour ces deux types de travaux.

Chaque approche répond à certaines exigences d’une façon qui lui est propre et, dans certains cas, les différentes approches peuvent être combinées.

Par exemple, on peut procéder à l’analyse de l’activité et à l’évaluation des risques dans le cadre de groupes de travail puis mettre en œuvre des techniques et des tests d’audit classiques en vue d’évaluer le dispositif de contrôle.

L’analyse des risques est une étape fondamentale de l’évaluation du contrôle interne. L’audit interne contribue au management des risques, en intégrant dans ses travaux l’identification des risques et la recommandation de contrôles appropriés, même lorsque les dirigeants n’ont pas expressément mis en place un processus de management des risques.