L Audit Interne vs. La Gestion des Risques Roland De Meulder, IEMSR-2011
L audit interne: la définition L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité.
Eléments clés de cette définition Aide apportée à l organisation afin qu elle atteigne ses objectifs; Evaluation et amélioration de l efficacité des processus de gouvernance d entreprise, de gestion des risques et de contrôle; Activités d assurance et de conseil destinées à créer de la valeur ajoutée et à améliorer les opérations de l organisation; Indépendance et objectivité; Approche systématique et méthodique.
Aide apportée à l organisation afin qu elle atteigne ses objectifs Les objectifs d une organisation, énoncés d une manière compréhensible et mesurable, constituent les cibles à atteindre et permettront d évaluer les réalisations effectives; Il n existe pas de méthode unique pour catégoriser les objectifs d une organisation, mais le cadre de référence COSO II nous a proposée une typologie suivante des objectifs: des objectifs stratégiques, opérationnels, de reporting et de conformité.
Les Objectifs Stratégiques Ont trait aux choix opérés par la direction en vue de créer de la valeur ajoutée pour l organisation. OBJECTIF STRATEGIQUE Accroître la part de marché par le rachat d entreprises complémentaires. OBJECTIF DE LA MISSION D AUDIT S assurer que les informations sur lesquelles la direction se fonde pour prendre cette décision sont complètes et valides
Les Objectifs Opérationnels Concernent l efficacité et l efficience des activités de l organisation, notamment en termes de performance et de rentabilité. OBJECTIF STRATEGIQUE Expédier toutes les commandes au maximum 48 heures après réception OBJECTIF DE LA MISSION D AUDIT Vérifier si les commandes sont bien expédiées dans les 48 heures après réception
Les Objectifs de Reporting Portent sur la fiabilité de la communication interne et externe de l information financière et non financière. OBJECTIF DE REPORTING Comptabiliser uniquement les opérations de vente valides OBJECTIF DE LA MISSION D AUDIT Évaluer le design et l efficacité opérationnelle des contrôles mis en place, afin de s assurer que les ventes comptabilisées ont bien eu lieu
Les Objectifs de Conformité Font référence au respect de la législation et de la réglementation en vigueur. OBJECTIF DE CONFORMITE Respecter la réglementation relative à la sécurité au travail OBJECTIF DE LA MISSION D AUDIT vérifier que les procédures pour assurer la conformité à la réglementation relative à la sécurité au travail existent et sont bien comprises, documentées, diffusées et appliquées
Evaluation et amélioration de l efficacité des processus de gouvernance d entreprise Le gouvernement (ou la gouvernance) d entreprise définit les relations entre les actionnaires, le Conseil (et ses comités spécialisés) et la Direction Générale. Dans ce cadre, le Conseil a un rôle de surveillance des activités de la Direction Générale dans le but d atteindre les objectifs de l organisation.
Principaux Eléments du Gouvernance d Entreprise Gouvernance d entreprise Conseil Gestion des risques DG Contrôle Interne Dir. Opérat.
Evaluation et amélioration de l efficacité des processus de gestion des risques Le Management des Risques est étroitement lié au gouvernement d entreprise: c est le processus conduit par la direction qui consiste à comprendre les incertitudes (risques et opportunités) qui pourraient influer sur la capacité de l organisation à atteindre ces objectifs, et à agir en conséquence.
Evaluation et amélioration de l efficacité des processus de contrôle Le contrôle interne, qui est intégré au management des risques, est le processus conduit par la direction qui consiste à ramener les risques à un niveau acceptable (càd, cohérent avec l appétence pour le risque déterminée par le Conseil)
Activités d Assurance de l Audit Interne Ont pour finalité première d évaluer l efficacité d un certain processus ou fonction de l organisation; Mettent en présence 3 parties: l audité, l auditeur interne et le client (l utilisateur) L auditeur interne détermine la nature et le champ de la mission et rend une conclusion/opinion
Activités de Conseil de l Audit Interne Ont pour finalité première de rendre un avis et d apporter d autres formes de d assistance généralement à la demande expresse du client de la mission (2 parties); Le client et l AI s entendent sur la nature et le champ de la mission.
Indépendance et Objectivité L indépendance a trait au statut de l Audit Interne au sein de l organisation; Pour que l Audit Interne soit indépendant, son responsable (RAI) doit relever d un niveau hiérarchique de l organisation investi d un pouvoir suffisant pour veiller à ce que la mission ait une large étendue, que ses résultats soient dûment pris en compte et que des actions appropriées découlent des recommandations.
Indépendance et Objectivité L objectivité signifie qu un auditeur doit être à même de rendre des jugements impartiaux, sans parti pris; Pour qu il y ait objectivité, les auditeurs internes ne doivent pas exercer de responsabilités opérationnelles dans l organisation, prendre des décisions de management ou se mettre dans une situation qui pourrait induire des conflits d intérêts.
Indépendance et Objectivité Concrètement le comité d audit peut activement contribuer à l indépendance de l Audit Interne en exigeant d être: informé sur les questions de nomination, de rémunération du responsable d audit interne; préalablement consulté dans des situations exceptionnelles (révocation, démission); assuré que l audit interne dispose des moyens (quantitatifs et qualitatifs) adéquats pour la réalisation du plan d audit; Et, surtout, en assurant un accès direct du RAI au président du comité d audit.
Une Approche Systématique et Méthodique Une conditio sine qua non pour qu il ait réellement création de valeur ajoutée et améliorations des opérations; Les quatre étapes fondamentales d une mission d audit interne sont: - la planification de la mission; - la réalisation de la mission et; - la communication de ses résultats; - la surveillance des actions de progrès
Cadre de Référence International des Pratiques Professionnelles (CRIPP) de l Audit Interne (2011)
Cadre de Référence Professionnel 1. les lignes directrices obligatoires comprennent : la Définition de l audit interne ; le Code de déontologie ; les Normes. 2. les lignes directrices recommandées comprennent : les prises de position ; les modalités pratiques d application ; les guides pratiques.
Code de Déontologie Principes fondamentaux Il est attendu des auditeurs internes qu ils respectent et appliquent les principes fondamentaux suivants : 1. Intégrité 2. Objectivité 3. Confidentialité 4. Compétence
Les Normes Internationales Normes de qualification 1000 mission, pouvoirs et responsabilités 1100 Indépendance et objectivité 1200 Compétence et conscience professionnelle 1300 Programme d'assurance et d'amélioration qualité
Les Normes Internationales Normes de Fonctionnement 2000 gestion de l'audit interne 2100 Nature du travail 2200 Planification de la mission 2300 Accomplissement de la mission 2400 Communication des résultats 2500 Surveillance des actions de progrès 2600 Acceptation des risques par la direction générale
Les Normes Internationales 1000 mission, pouvoirs et responsabilités La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d audit interne, être cohérents avec la définition de l audit interne, le Code de Déontologie ainsi qu avec les Normes. Le responsable de l audit interne doit revoir périodiquement la charte d audit interne et la soumettre à l approbation de la direction générale et du Conseil.
Les Normes Internationales 1000 mission, pouvoirs et responsabilités Interprétation : La charte définit la position de l'audit interne dans l'organisation y compris la nature de la relation fonctionnelle entre le responsable de l audit interne et le Conseil ; Autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ; Définit le champ des activités d'audit interne.
Les Normes Internationales 1100 Indépendance et objectivité L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité.
Les Normes Internationales 1100 Indépendance et objectivité Interprétation : L indépendance c est la capacité de l audit interne à assumer, de manière impartiale, ses responsabilités. Afin d atteindre un degré d indépendance nécessaire et suffisant à l exercice de ses responsabilités, le responsable de l audit interne doit avoir un accès direct et non restreint à la direction générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement.
Les Normes Internationales 1100 Indépendance et objectivité Interprétation : L objectivité est une attitude impartiale qui permet aux auditeurs internes d accomplir leurs missions de telle sorte qu ils soient certains de la qualité de leurs travaux menés sans le moindre compromis. L objectivité implique que les auditeurs internes ne subordonnent pas leur propre jugement à celui d autres personnes
Les Normes Internationales 1110 Indépendance dans l'organisation Le responsable de l'audit interne doit relever d un niveau hiérarchique suffisant au sein de l organisation pour permettre au service d audit interne d exercer ses responsabilités. Le responsable de l audit interne doit confirmer au Conseil, au moins annuellement, l indépendance de l audit interne au sein de l organisation 1111 relation directe avec le Conseil Le responsable de l audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil.
Les Normes Internationales 1120 objectivité individuelle Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt
Les Normes Internationales 1300 Programme d'assurance et d'amélioration qualité Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne. Interprétation : Un tel programme est conçu de façon à évaluer : la conformité de l audit interne avec la définition de l audit interne et les Normes ; le respect du Code de Déontologie par les auditeurs internes. Ce programme permet également de s assurer de l efficacité et de l efficience de l activité d audit
Les Normes Internationales 1311 Évaluations internes Les évaluations internes doivent comporter : une surveillance continue de la performance de l'audit interne ; des revues périodiques, effectuées par autoévaluation ou par d'autres personnes de l'organisation possédant une connaissance suffisante des pratiques d'audit interne
Les Normes Internationales 1312 Évaluations externes Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à l'organisation. -
Les Normes Internationales 2000 gestion de l'audit interne Le responsable de l audit interne doit gérer efficacement cette activité de façon à garantir qu elle apporte une valeur ajoutée à l organisation. 2010 Planification 2020 Communication et approbation 2060 Rapports à la direction générale et au Conseil
Les Normes Internationales 2010 Planification Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.
Les Normes Internationales 2020 Communication et approbation Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources.
Les Normes Internationales 2060 Rapports à la direction générale et au Conseil Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d audit.
Les Normes Internationales 2110 gouvernement d'entreprise L'audit interne doit évaluer si le processus de gouvernement d'entreprise répond aux objectifs suivants : promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ; garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ; communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ; fournir une information adéquate au Conseil,
Les Normes Internationales 2120 management des risques L'audit interne doit évaluer l efficacité des processus de management des risques et contribuer à leur amélioration. Interprétation Afin de déterminer si les processus de management des risques sont efficaces, les auditeurs internes doivent s assurer que :
Les Normes Internationales 2120 management des risques les objectifs de l organisation sont cohérents avec sa mission et y contribuent ; les risques significatifs sont identifiés et évalués ; les modalités de traitement des risques retenues sont appropriées et en adéquation avec l appétence pour le risque de l organisation ; les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d exercer leurs responsabilités.
Les Normes Internationales 2130 Contrôle L audit interne doit aider l organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue.
Les Normes Internationales 2130 Contrôle Interprétation Cette évaluation du dispositif de contrôle doit porter sur les aspects suivants : la fiabilité et l'intégrité des informations financières et opérationnelles ; l'efficacité et l'efficience des opérations et des programmes ; la protection des actifs ; le respect des lois, règlements, règles, procédures et contrats.
Les Normes Internationales 2500 Surveillance des actions de progrès Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.
Les Normes Internationales 2600 Acceptation des risques par la direction générale Lorsque le responsable de l'audit interne estime que la direction générale a accepté un niveau de risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec elle. Si aucune décision concernant le risque résiduel n est prise, le responsable de l audit interne doit soumettre la question au Conseil aux fins de résolution.
Les Normes Internationales Synthèse: Les Quatre piliers d un AI efficace INDEPENDANCE OBJECTIVITE COMPETENCE CONSCIENCE PROFESSION NELLE ASSURANCE et AMELIORATION QUALITE
L Audit Interne et l efficacité de la gouvernance et du management des risques
L Audit Interne et l efficacité de la gouvernance Le conseil et ses comités supervisent la gouvernance pour l ensemble de l organisation et lui confrère le pouvoir pour prendre les mesures nécessaires; Le conseil a une responsabilité fiduciaire vis-à-vis les parties prenantes auxquelles il doit rendre compte; Au quotidien, la gouvernance est exécuté par la direction (supérieures et intermédiaires). Ce rôle est exercé via les activités de management des risques; Les auditeurs internes et externes fournissent à la direction et au Conseil une assurance quant à l efficacité des activités de gouvernance et notamment le management des risques en tant que strate intermédiaire de la structure de gouvernance
L Audit Interne et le Management des Risques de l Entreprise PLAN Le cadre de référence élaboré par le COSO: «ERM- Integrated Framework» Décrire les différents rôles attribués à l AI dans le management des risques de l entreprise Evaluer l impact du management des risques d entreprise sur les activités de l audit interne
L Audit Interne et le Management des Risques de l Entreprise LA DEFINITION ERM is a process, effected by an entity s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may effect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. Source: COSO II
L Audit Interne et le Management des Risques de l Entreprise «ERM- Integrated Framework» : Les éléments du management des risques de l Entreprise 1. L environnement interne 2. La fixation des objectifs 3. L identification des événements 4. L évaluation des risques 5. Le traitement des risques 6. Activités de Contrôle 7. Information et Communication 8. Pilotage
Rôles et responsabilités dans le cadre du dispositif du management des risques Le Conseil Approuve l appétence au risque de l organisation; Examine le portefeuille de risques auxquelles l organisation est soumise au regard de l appétence pour ceux-ci. Ainsi, le Conseil est l un des éléments de l environnement interne du dispositif de management des risques. Pour être efficace il doit donc s attacher au management des risques. Le Conseil exerce ses responsabilités via différents comités tels que le comité d audit,
Rôles et responsabilités dans le cadre du dispositif du management des risques La Direction Générale A la responsabilité ultime de l efficacité du management des risques; L un des aspects les plus importants consiste à veiller à un environnement interne propice: la DG donne le ton, exerce un leadership, et pilote l ensemble des activités liées au risque; Délègue aux managers des processus opérationnels et fonctionnels de certaines procédures de management des risques.
Rôles et responsabilités dans le cadre du dispositif du management des risques Le Management des processus opérationnels et des unités fonctionnels Rôle plus actif dans la définition et l exécution des procédures applicables aux objectifs de leur processus/unité et dans la conception des traitements spécifiques des risques. Exemple: développement des règles et procédures applicables à - l achat de matières premières ou - l acceptation de nouveaux clients
Rôles et responsabilités dans le cadre du dispositif du management des risques Le Directeur des Risques (CRO) point de coordination centralisé pour faciliter le management des risques; Travaille avec les managers opérationnels et fonctionnels pour établir un dispositif de management des risques efficace au sein de leur sphère de responsabilité Plus spécifiquement..
Rôles et responsabilités dans le cadre du dispositif du management des risques Le Directeur des Risques (CRO) Définit des politiques de management des risques; Participe à la fixation des objectifs de mise en œuvre; Facilite le développement d un savoir-faire technique; Aide les responsables à mettre en œuvre des traitements du risque en fonction des tolérances au risque de l organisation Aide à développer une vision «ERM» plutôt qu une approche «silo»; Etablit un langage commun de management des risques avec des indicateurs de probabilité et d impact homogènes; Supervise le processus de reporting; Rend compte au Directeur Général des progrès et des résultats, en recommandant des actions nécessaires.
Rôles et responsabilités dans le cadre du dispositif du management des risques Les autres collaborateurs Le dispositif de management des risques de l organisation relève de la responsabilité de l ensemble des collaborateurs et doit donc, à ce titre, faire partie intégrante du descriptif de chaque poste pour au moins deux raisons: Pas tous les collaborateurs peuvent être considéré comme «propriétaire des risques», mais tous jouent un rôle dans le dispositif de management des risques; Tous les collaborateurs sont responsables des flux d information et de communication inhérent au dispositif.
Le Rôle de l Audit Interne dans le Management des Risques de l Organisation RAPPEL Pour atteindre ses objectifs, la DG s assure de la mise en place et du bon fonctionnement de processus rigoureux de management des risques. Il incombe au Conseil de veiller à ce que des processus de management des risques appropriés, suffisants et efficaces soient en œuvre A cet effet, ils peuvent demander à l audit interne de les assister en examinant et évaluant les processus de management des risques mis en œuvre, en vérifiant qu ils sont suffisants et efficaces, puis en émettant des rapports et des recommandations en vue de leur amélioration.
Le Rôle de l Audit Interne dans le Management des Risques de l Organisation 1. Principal rôle de l Audit Interne: donner une assurance concernant l efficacité de tous les éléments (8) du processus de management des risques (cf. le model des «3 lignes de défense»)
Le Rôle de l Audit Interne dans le Management des Risques de l Organisation 2. Rôles légitimes de l Audit Interne L Audit Interne peut apporter des services de conseil qui améliorent la gestion des risques au sein d une organisation. L étendue de cette activité de conseil dépendra des autres ressources dont dispose le Conseil et de la maturité de l organisation sur la question du risque; Dans le cadre de ces missions de conseil l AI doit toujours prendre des précautions pour préserver son indépendance et son objectivité; Quelques exemples d une activité de conseil pour l AI dans ce domaine..
Le Rôle de l Audit Interne dans le Management des Risques de l Organisation 2. Rôles légitimes de l Audit Interne (suite) Faciliter l identification et l évaluation des risques; Accompagner la direction dans le traitement des risques; Actualiser et développer le cadre de l ERM; Centraliser la communication des risques; Élaborer une stratégie de management des risques à valider par le Conseil
Le Rôle de l Audit Interne dans le Management des Risques de l Organisation 3. Rôles que L Audit Interne ne peut pas jouer: Définir l appétence au risque; Imposer des processus de management des risques; Décider de la manière de traiter les risques; Mettre en œuvre des mesures de traitement des risques Prendre la responsabilité du management des risques
Impact du Management des Risques sur l Assurance apportée par l Audit Interne Au niveau du développement du plan d audit annuel; Au niveau du développement du programme de travail pour chaque mission d audit.
Les relations de l audit interne avec les acteurs de la gestion des risques
Les relations de l audit interne avec les acteurs de la gestion des risques De nombreuses fonctions participent au dispositif de la gestion des risques (le contrôle de gestion, le risk management, le juridique, les ressources humaines, la qualité, la sécurité ) La multiplicité des acteurs du contrôle interne crée donc de la complexité. Elle peut entraîner des redondances qui nuisent à son efficacité.
Les relations de l audit interne avec les acteurs de la gestion des risques La question de la bonne coordination de cet ensemble est donc de la plus haute importance et doit faire l objet d une claire définition. à cet effet, FERMA1 et ECIIA2 - dans les conclusions d un groupe de travail commun - préconisent une définition des différentes rôles et responsabilités selon le model des «3 Lignes de Défense» 1. Federation of European Risk Management Associations 2. European Confederation of Institutes of Internal Auditing
Les relations de l audit interne avec les acteurs de la gestion des risques
Les relations de l audit interne avec l audit externe L audit externe a pour principale mission de certifier la régularité, la sincérité et l image fidèle des comptes et s appuie, pour ce faire, sur les procédures qui concourent à la production de l information comptable et financière. L audit interne fournit au conseil/comité d audit et la DG une assurance sur le degré de maîtrise de ses activités et, pour ce faire, s appuie sur une analyse des risques opérationnels, de conformité et financiers, et sur une évaluation du dispositif de contrôle interne y afférent.
Les interactions entre l Audit Interne et le Management des risques. L Audit interne utilise les informations fournies par le système de management des risques et notamment la cartographie des risques pour préparer et mettre à jour son plan annuel, ainsi que pour l élaboration d un programme de travail pour chaque mission. Le Risk Officer utilise les observations, conclusions et recommandations émises par l Audit Interne pour focaliser ses activités sur les insuffisances dans le management des risques et le contrôle interne communiquées par l Audit Interne.
roland.meulder@wanadoo.fr