Atelier A7 Audit de la gestion globale des risques : efficacité ou conformité? 1
Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle interne Fondation Apprentis d Auteuil annie.bressac@apprentis-auteuil.org Gilles Maindrault Directeur des risques du Groupe La Poste Gilles.maindrault@laposte.fr Modérateur Michel Pozzo di Borgo Responsable du pôle risques opérationnels de la Banque de France michel.pozzodiborgo@banque-france.fr 2
Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle interne Fondation Apprentis d Auteuil annie.bressac@apprentis-auteuil.org Gilles Maindrault Directeur des risques du Groupe La Poste Gilles.maindrault@laposte.fr Modérateur Michel Pozzo di Borgo Responsable du pôle risques opérationnels de la Banque de France michel.pozzodiborgo@banque-france.fr 3
Gestion des risques : un objet d audit essentiel Un processus à enjeux présentant de nombreux challenges Complexité croissante des organisations et du business Multiplication des crises non anticipées Vitesse de communication Pression règlementaire Risques émergents mal ou tardivement identifiés Difficulté à expliciter une stratégie en matière de gestion des risques (appétence) Dispositif parfois perçu comme amenant de la lourdeur à l organisation Coexistence de multiples approches au sein d un même groupe Audit de la gestion des risques Jean-Pierre Hottin, PwC 4
Une proposition des grandes lignes d un référentiel d audit Cinq thèmes : Environnement, culture du risque et gouvernance de la gestion des risques Processus, méthodes et outils Articulation avec le contrôle interne et les autres démarches contribuant à la maîtrise des risques Intégration dans les processus de pilotage de l'organisation Intégration dans le processus de gestion des investissements et les projets Audit de la gestion des risques Jean-Pierre Hottin, PwC 5
Environnement, culture du risque et gouvernance de la gestion des risques Quelques exemples de questions à investiguer : Les rôles et responsabilités du management, des dirigeants et des administrateurs sont-ils clairement définis? Sont-ils cohérents avec les principes généraux d organisation de l entreprise et les délégations de pouvoirs? L attitude face aux des collaborateurs est-elle cohérente avec celle du management et des dirigeants? Existe-t-il une définition de l appétence aux risques partagée au sein de l organisation? Les équipes en charge de l animation du dispositif de gestion des risques ont-elles les compétences et la légitimité nécessaires à l exercice de leurs responsabilités? Audit de la gestion des risques Jean-Pierre Hottin, PwC 6
Processus, méthodes et outils Les méthodes préconisées pour évaluer les risques sont-elles comprises par tous les managers contribuant à l analyse des risques? Le reporting sur les risques est-il fiable? Comment sont abordés les risques émergents et les risques à très fort impact et faible probabilité? Audit de la gestion des risques Jean-Pierre Hottin, PwC 7
Articulation avec le contrôle interne et les autres démarches contribuant à la maîtrise des risques Comprendre les zones d intervention des différentes démarches, leur portée, et s assurer de leur cohérence : exemple de la cartographie des activités d assurance Audit de la gestion des risques Jean-Pierre Hottin, PwC 8
Intégration dans les processus de pilotage de l'organisation Comment et à quelle étape les risques sont-ils abordés dans les processus? Un exemple de pratiques intégrant risques et exercice budgétaire. Audit de la gestion des risques Jean-Pierre Hottin, PwC 9
Intégration dans le processus de gestion des investissements et les projets Comment les risques sont-ils pris en compte à toutes les étapes du processus d investissement? Par exemple au niveau de la préparation du dossier les risques de non réalisation de l investissement sont-ils analysés? Si oui quelles sont les natures de risques considérées? Comment sont pris en compte les risques liés à la pérennité des actifs physiques? Audit de la gestion des risques Jean-Pierre Hottin, PwC 10
Conclusion Les enjeux d un audit de la gestion des risques Définir les objectifs de l audit Existence ou performance du dispositif Périmètre couvert Avoir accès à l ensemble des acteurs impliqués au delà des acteurs en charge de l animation et du contrôle du dispositif Principales directions fonctionnelles (Qualité, Ressources humaines, Contrôle de Gestion,.) Management opérationnel Organes de gouvernance Garantir indépendance et objectivité de l auditeur Disposer des compétences au sein de l équipe d auditeurs Audit de la gestion des risques Jean-Pierre Hottin, PwC 11
Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle interne Fondation Apprentis d Auteuil annie.bressac@apprentis-auteuil.org Gilles Maindrault Directeur des risques du Groupe La Poste Gilles.maindrault@laposte.fr Modérateur Michel Pozzo di Borgo Responsable du pôle risques opérationnels de la Banque de France michel.pozzodiborgo@banque-france.fr 12
Le rôle de l audit interne au regard du management des risques Contribue S appuie sur / Réalise une évaluation des risques L audit interne Accompagne Evalue Le dispositif de management des risques L apport de l audit interne à un management des risques efficient 13 Annie Bressac 13
L évaluation du management des risques au cœur de la mission de l audit interne Définition (Cadre de référence international des pratiques professionnelles de l audit interne) L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité. L apport de l audit interne à un management des risques efficient 14 Annie Bressac 14
Audits de conformité? Audit de conformité comparaison de l existant par rapport à un référentiel Référentiel interne : les principes, règles et composantes du dispositif de management des risques de l organisation Exemple : s assurer que la démarche d auto-évaluation des risques est déployée dans les différentes entités de l organisation conformément aux méthodes et procédures définies Référentiel externe : COSO 2, FERMA, ISO 31000, réglementation bancaire, cadre de référence AMF Il peut être utilisé comme grille d analyse du dispositif de management des risques 15
Audits d efficacité? Audit d efficacité Quels objets? Quels critères? Normes professionnelles de l audit interne (Modalités pratiques d application MPA 2120-1) «Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s assurer que : les objectifs de l organisation sont cohérents avec sa mission et y contribuent ; les risques significatifs sont identifiés et évalués ; les modalités de traitement des risques retenues sont appropriées et en adéquation avec l appétence pour le risque de l organisation ; les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d exercer leurs responsabilités. les processus de management des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux moyens.» 16 L apport de l audit interne à un management des risques efficient 16 Annie Bressac
Pilotage en continu Une condition : indépendance et objectivité L audit interne a vocation à évaluer la conformité ou l efficacité de toutes les composantes du dispositif de gestion des risques Cadre organisationnel: Rôles et responsabilités des acteurs, Politique de gestion des risques, Système d information interne et externe Processus de gestion des risques Identification Analyse Traitement L apport de l audit interne à un management des risques efficient 17 Annie Bressac 17
Pour un management des risques efficace Contrôles Contrôles Risques Audits L audit interne doit veiller au lien entre le processus de gouvernement d entreprise et celui de gestion des risques : Prise en compte du risque dans la détermination de la stratégie Cohérence du processus de gestion des risques avec la gouvernance : appétence pour le risque, culture du risque, L audit interne doit veiller à la bonne coordination entre les différents prestataires d assurance, entre les acteurs de la gestion et de la maîtrise des risques L apport de l audit interne à un management des risques efficient 18 Annie Bressac 18
L audit du dispositif de gestion des risques : des formes et des modalités variées L audit interne contribue à l évaluation de la gestion des risques au travers de l ensemble de ses activités et de ses missions : Il valide ou actualise l analyse des risques réalisée dans le cadre du processus de cartographie des risques Il apporte une évaluation sur l efficacité du traitement des risques (évaluation du dispositif de contrôle interne) Il contribue à la surveillance des risques en concentrant ses missions sur les domaines / activités les plus exposées Il évalue le processus d information des managers et des dirigeants sur l exposition aux risques Il apprécie la diffusion d une culture du risque et l appropriation du processus de gestion des risques Donne une assurance sur le degré de maîtrise des domaines / activités les plus risquées 19 L apport de l audit interne à un management des risques efficient 19 Annie Bressac
Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle interne Fondation Apprentis d Auteuil annie.bressac@apprentis-auteuil.org Gilles Maindrault Directeur des risques du Groupe La Poste Gilles.maindrault@laposte.fr Modérateur Michel Pozzo di Borgo Responsable du pôle risques opérationnels de la Banque de France michel.pozzodiborgo@banque-france.fr 20
Audit interne et Management des risques L audit interne opère un contrôle de 3ème niveau (après le contrôle opérationnel hiérarchique et le contrôle permanent spécialisé). 2 aspects / 2 angles de vue : 1. L audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion des risques, composé des contrôles de 1er et de 2ème niveau (vue «externe») ; 2. L audit interne participe, en dernier ressort et en tant que contrôle périodique, à ce dispositif de contrôle interne et de gestion des risques (contribution interne). 21
Audit interne et Management des risques 1. L audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion des risques. L audit interne doit conserver son indépendance de jugement et rapporter au plus haut niveau de l entreprise L audit interne assiste la direction générale dans sa responsabilité de mettre en place un dispositif efficace de contrôle interne et de gestion des risques L audit interne est un interlocuteur privilégié du comité d audit du CA dans sa mission de s assurer de l existence et de l efficacité du dispositif de management des risques (ordonnance du 8 décembre 2008) l audit interne contribue à l évaluation globale du dispositif de management des risques : il mène des missions sur l architecture et le fonctionnement du dispositif ; il apporte un jugement et une assurance «raisonnable» sur son efficacité 22
Audit interne et Management des risques 2. L audit interne participe, en dernier ressort et en tant que contrôle périodique, de ce dispositif de contrôle interne et de gestion des risques L indépendance est compatible avec la coopération L audit interne n ausculte pas que le dispositif global, mais aussi des sousensembles du dispositif : par domaine d activité, par unité d affaire ou société, par territoire, par fonction, par facteur de risque le plan d audit est élaboré en tout ou partie sur la base de la cartographie des risques : examen des dispositifs et plans de maîtrise des risques Les missions d audit contribuent à l identification et à l évaluation des risques et facteurs de risque (constats) ainsi qu à la définition des plans de maîtrise (recommandations) L échange formel et informel entre audit interne et management des risques favorise en soi l efficacité du dispositif (complémentarité des points de vue et contrôle de cohérence) 23
Une organisation qui facilite la coopération dans l indépendance Conseil d Administration Comité d audit COMEX Président directeur général Directeur de l audit et des risques du Groupe Directeur des risques du Groupe Audit de Groupe Cartographie des risques majeurs Plan d audit Missions d audit 24
Le processus d élaboration de la cartographie des risques majeurs du Groupe COMEX, puis Comité d audit Entretiens avec les dirigeants - leur analyse stratégique - leurs préoccupations Rapports d audit (constats et recommandations) Cartographie des risques majeurs et Plan de maîtrise des risques Cartographies / PMR sectoriels 25
Le processus d élaboration du plan d audit Demande des dirigeants COMEX, puis Comité d audit Échange avec audits des métiers Plan d audit du Groupe Cartographie des risques majeurs du Groupe 26
Audit interne et Management des risques Le cas particulier des groupes multi métiers et multi entités : l organisation matricielle du Groupe peut induire une organisation matricielle 1. du management des risques d une part, 2. de la fonction d audit d autre part avec, dans les deux cas, un croisement entre les axes «métiers» et «grandes fonctions». 27
Audit interne et Management des risques Cela nécessite : une coopération à tous les étages une consolidation et une animation fédérative au niveau corporate (Comité des risques du Groupe; Comité de liaison de l Audit) tant pour l audit interne que pour le management des risques, et se traduit par : une collaboration à la fois plus riche et plus complexe entre les filières «audit» et «management des risques» une organisation du management des risques qui reflète l arborescence des responsabilités avec un audit corporate intervenant davantage sur les macro risques du Groupe et des audits de métiers plus axés sur les risques opérationnels 28
Intervenants Jean-Pierre Hottin Associé, PWC jean-pierre.hottin@fr.pwc.com Annie Bressac Directeur de l audit et du contrôle interne Fondation Apprentis d Auteuil annie.bressac@apprentis-auteuil.org Gilles Maindrault Directeur des risques du Groupe La Poste Gilles.maindrault@laposte.fr Modérateur Michel Pozzo di Borgo Responsable du pôle risques opérationnels de la Banque de France michel.pozzodiborgo@banque-france.fr 29
Plan Contexte Appréciation des risques (opérationnels) lors des missions d audit interne Conclusion 30
Contexte Appréciation des risques Conclusion La Direction de la Prévention des Risques LE CONTRÔLEUR GÉNÉRAL Conseiller pour la sûreté Détachements Inspection générale DPR Direction de la prévention des risques Cabinet de l Inspection générale Audit des services centraux Audit général Audit du réseau Contrôle sur place des établissements de crédit RSI Sécurité de l information PRAAC Pôle risques : assistance à l analyse et à la consolidation SRCCV Audit informatique Division des recherches extérieures SCCV 31
Contexte Appréciation des risques Conclusion L organisation transversale de la maîtrise des risques Autorités de la Banque Rapports de missions Cartographie générale des risques Appréciation du contrôle de 1 er niveau (donc des risques) AUDIT Ligne d activité 1 Région 1 Ligne d activité 2 Méthodologie Assistance «propriétaires» de leurs risques Ligne d activité N Région 22 PRAAC Reporting Risques pour consolidation Succursale x Succursale y 32
Contexte Appréciation des risques Conclusion Sur le terrain : interactions entre l audit interne et les acteurs du risque Rencontres avec les Risques Managers (RM) des lignes opérationnelles et les correspondants régionaux (SRCMR) Vérifications / Appréciations des risques et des contrôles internes auto-évalués par la ligne opérationnelle Discussions sur le niveau de risque proposé dans la recommandation (FAR) Audit Acteurs du risque (RM, SRCMR) 33
Contexte Appréciation des risques Conclusion Déroulement de la mission: Élaboration des constats / recommandations 1. Les références des processus proviennent de la nomenclature définie par la méthodologie de risque management (AMARIS). 2. Le constat exprime les faiblesses, les dysfonctionnements, les points de non-conformité et plus généralement les situations susceptibles de présenter un risque pour la Banque. 3. Les risques sont décrits en identifiant : Les causes (facteurs explicatifs structurels du constat, sur lesquels il faut agir selon la typologie AMARIS) L impact (conséquences possibles des faiblesses diagnostiquées) La probabilité (potentialité de survenance du risque) La gravité résiduelle du risque (impact x probabilité) 4. La recommandation : action préconisée par l Audit visant à réduire le risque. 34
Contexte Appréciation des risques Conclusion Les constats d audit sont exprimés selon la méthodologie AMARIS FAR N FAR déposée le : «date de dépôt» Constat validé le : «date de validation» Plan d action validé par l Audit le : «date de validation» Thème : Typologie du risque Appréciation du risque 10 risques (niveau 2 de Amaris) Fort, moyen ou faible Contexte Référentiel Constat Risques = classification du risque methodologie AMARIS = évaluation du risque Causes = impact du risque (financier, image, objectif) Recommandation n X Service responsable de la mise en œuvre : «nom du service» Autre(s) Service(s) responsable(s) de la validation des constats : «nom du(es) service(s)» Service(s) destinataire(s) pour information : «nom du(es) service(s)» Réponse du service responsable de la mise en oeuvre Acceptée : Plan d'action : Responsable : Échéance : mois et année Description des mesures : Refusée : Motif du refus : 35
> Objectiver les cartographies L Audit Contexte Appréciation des risques Conclusion Appréciation du risque par l audit interne : l outil de terrain Mise en œuvre de matrices de concordance entre cartographies de risques et FAR de l audit pour : Mieux analyser les écarts de perception des risques entre RM et auditeurs. Disposer d un support d échanges pour une vision partagée du risque. Cette table de concordance ne doit en aucun cas conduire à un alignement! automatique d une des approches sur l autre. 36
Contexte Appréciation des risques Conclusion Audit et risk-management : des expressions du risque parfois différentes et pourtant complémentaires Le risque est exprimé à partir d un constat factuel et incontestable Le risque correspond souvent au meilleur «dire d expert» à un instant donné Les constats négatifs s expriment souvent à un niveau très détaillé l expression du risque également Difficulté d utilisation des matrices de cotation globales Le «niveau» d analyse du risque est variable (progressivité des démarches) Auto-évaluation tendance naturelle à sur / sousévaluation, subjectivité 37
Contexte Appréciation des risques Conclusion Questions / Remarques? 38