L’audit du processus de management des risques
Chapitre 4 : Le rôle de l’audit interne dans le management des risques
La nouvelle définition de l’Audit interne reprend bien la notion de risque. Nous allons voir concrètement comment cela se traduit.
L’évaluation des risques, la détermination de niveaux de risque acceptables ou tolérables et la définition de stratégies de contrôle adéquates font partie des principales responsabilités des dirigeants.
Le rôle de l’audit interne est d’émettre un « avis indépendant » sur l’adéquation, l’application et l’efficacité du dispositif mis en place par les dirigeants.
Il est de plus en plus admis, toutefois, que l’audit interne doit « créer de la valeur ajoutée » pour l’entreprise, et qu’à cet effet il doit s’aligner étroitement sur les principales préoccupations des cadres dirigeants et concentrer ses efforts sur les points qui sont essentiels pour la réussite de l’entreprise.
Certains prétendent que les auditeurs internes doivent devenir des « conseillers spécialistes des risques et des contrôles ». Ils peuvent contribuer à créer de la valeur en aidant activement les dirigeants à identifier et à évaluer les risques, et à mettre au point des stratégies appropriées en vue de les maîtriser ou de les atténuer.
Cette évolution soulève un certain nombre de problèmes complexes, notamment en ce qui concerne ses répercussions sur l’indépendance et l’objectivité de l’audit.
« L’indépendance permet aux auditeurs internes de porter des jugements sans partialité et sans préjugé, ce qui est essentiel à la bonne conduite des audits » (Normes de l’IIA, 100.01) .
L’objet de ces Normes est de s’assurer que les opinions émises reposent sur un examen impartial et objectif des faits, et qu’elles sont le fruit d’un jugement neutre et honnête.
Selon les Normes, « l’objectivité de l’auditeur interne n’est pas compromise lorsqu’il est amené à recommander la mise en place de procédures et de systèmes de contrôle interne ou à examiner des procédures avant leur mise en application.
Par contre, la conception, la mise en place, l’exploitation de systèmes ne sont pas du ressort du service d’Audit Interne … De telles activités risquent en effet de compromettre l’indépendance et l’objectivité de l’Audit Interne » (120.03) .
Cependant, l’on admet aussi que « les auditeurs internes peuvent aider les managers à fixer les objectifs et à établir les systèmes, en déterminant si les hypothèses de base sont correctes, si les informations utilisées sont exactes, à jour et pertinentes, et si des contrôles appropriés ont été intégrés aux opérations et programmes » (350.02) .
Il existe une nette différence entre le fait de fournir une assistance à ceux qui sont chargés de concevoir et d’élaborer de nouveaux systèmes et de nouvelles procédures, et le fait d’assumer ou de prendre les principales décisions concernant la conception et l’élaboration de ces systèmes ou procédures.
A cet égard, les responsabilités des auditeurs internes sont similaires à celles des consultants. Les auditeurs internes sont responsables de la qualité technique de leurs conseils. Mais il appartient aux dirigeants de décider s’ils doivent suivre ces conseils compte tenu de la situation et de la façon dont ils l’appréhendent.
Les dirigeants ont d’autres moyens à leur disposition pour les aider à réaliser leurs objectifs. Il peut arriver, dans certains cas, que d’autres facteurs soient privilégiés.
Par ailleurs, on admet généralement que, lorsque le personnel du service d’audit interne fournit aux dirigeants des conseils et une assistance en matière de développement de systèmes et de travaux annexes (qu’il s’agisse de systèmes informatisés ou manuels) , les membres du service d’audit concernés ne doivent pas participer ultérieurement à l’audit des systèmes ainsi développés dans un délai raisonnable de façon à garantir l’indépendance des auditeurs internes.
Les auditeurs internes peuvent participer à l’évaluation des risques ou à l’identification des contrôles à plusieurs titres. Ils peuvent intervenir en qualité de consultants chargés de guider les dirigeants et le personnel à travers le processus, généralement dans le cadre d’un programme d’auto-évaluation.
Leur rôle consiste alors à organiser et à animer des discussions dans le cadre de groupes de travail, sans nécessairement s’impliquer dans le processus (par exemple, dans le cadre de l’auto-évaluation des contrôles) .
Ils peuvent aussi intervenir en qualité de membres d’une équipe. Ils font alors partie de groupes plus importants qui rassemblent souvent des personnes possédant une connaissance concrète des questions de gestion opérationnelle et des personnes possédant une compétence technique spécifique.
Ils apportent leur compétence en matière de méthodes d’audit interne au sein d’équipes pluridisciplinaires aux compétences multiples. Toutefois, toute prise de décision ou tout conseil est en général le fruit d’une réflexion collective et non d’une réflexion individuelle.
De même, ils peuvent intervenir en qualité d’analystes spécialistes des risques et des contrôles. Ils conseillent alors les dirigeants sur l’analyse des risques liés à l’activité, et sur la conception et l’élaboration de stratégies visant à maîtriser ou à atténuer les risques.
Ils peuvent aussi intervenir soit pour mettre à la disposition des dirigeants des techniques ou des outils utilisés par l’audit interne pour effectuer l’analyse des risques et des contrôles soit en vue de constituer un centre d’expertise spécialisé dans le management des risques.
Ils assument alors, pour le compte des dirigeants, des fonctions clés liées au management des risques de la société, telles que la mise en place et la mise à jour de profils de risques ou de bases de données.
Certains prétendront que les auditeurs internes peuvent aider les dirigeants à identifier les risques liés à l’activité sans que cette aide n’altère par la suite leur objectivité, ce qui suppose que :
- Les risques existent de façon « objective » et indépendamment de tout jugement ou de toute valeur.
- L’analyse des risques comprend non seulement l’identification des risques mais aussi leur évaluation et la définition de priorités.
- L’analyse et le management des risques sont étroitement liés en pratique. Il est souvent très difficile d’établir une séparation claire et nette entre les deux processus.
- Etant donné l’importance que revêtent les jugements et les valeurs lors de l’évaluation de tous les risques auxquels sont confrontées les entreprises et de l’appréciation de leurs avantages et inconvénients respectifs, on peut redouter que les auditeurs internes soient « pris au piège » de la politique interne de l’entreprise et de son processus décisionnel.
Il n’existe pas de règle simple et systématique qui soit applicable dans tous les cas. Il faut donc présumer que l’objectivité des auditeurs est « faussée » lorsqu’ils assument pour le compte des dirigeants des responsabilités significatives en matière de management des risques.
S’ils se voient « confier occasionnellement des tâches étrangères à l’Audit, il doit être clairement précisé que ces missions n’entrent pas dans le cadre des fonctions d’Audit Interne » (Norme 120.02.4) .
La difficulté de concilier le besoin d’objectivité et d’indépendance de l’audit avec les demandes de conseil et d’assistance des dirigeants, ainsi que la nécessité de faire en sorte que l’audit interne soit perçu comme une activité créatrice de valeur ne sont pas nouvelles.
Elles sont le reflet de tensions et de conflits inhérents au rôle des auditeurs internes (qui se situe à mi-chemin entre celui de « policiers » et celui de « conseillers ».
4.1) L’audit du processus de management des risques
Selon le COSO, l’évaluation des risques est l’une des cinq composantes interdépendantes d’un contrôle interne efficace. Pour apprécier si le dispositif mis en place par l’organisation est suffisant pour permettre une évaluation correcte des risques, l’auditeur interne doit rechercher :
- Dans quelle mesure des objectifs ont été fixés et communiqués au personnel, tant au niveau des organisations de l’entreprise qu’au niveau des activités, et s’ils sont étayés par des stratégies, des plans et des budgets cohérents
- S’il existe des dispositifs appropriés permettant d’identifier, d’analyser et d’atténuer les principaux risques liés à l’activité et provenant tant de sources externes que de sources internes
- S’il existe des dispositifs permettant d’identifier les changements courants ou exceptionnels susceptibles d’affecter la capacité de l’organisation à atteindre ses objectifs, et d’y apporter des réponses.
Selon l’avis de l’IIA UK, le management des risques n’est pas semblable aux autres fonctions ou activités de l’entreprise, telles que les achats, les ventes ou la paie. Les risques sont inhérents à toute opération de gestion, et leur management devrait faire partie intégrante de tous les processus de gestion.
Le management des risques n’est pas un système isolé et non intégré, mais une composante à part entière de toutes les activités de l’entreprise.
Cette constatation a deux conséquences importantes. Il convient d’adopter une approche « transversale » à l’échelle de l’organisation toute entière pour examiner le dispositif global au sein duquel les risques spécifiques sont gérés et le management des risques doit être considéré comme un sujet à part entière de l’audit interne dans tous les domaines d’activité de l’organisation.
