Mise à jour : février 2014 Chapitre 6 La gestion des risques et l audit interne
Table des matières 1. La gestion des risques... 1 2. Le risque... 1 3. Le processus de gestion des risques... 1 3.1 La détermination des risques... 1 3.2 L évaluation préliminaire des risques... 1 3.3 La maîtrise des risques... 2 3.4 Le suivi des risques... 2 4. La valeur ajoutée... 3 5. Les rôles et les responsabilités... 3
1. La gestion des risques 1 La gestion des risques se définit comme «un processus élaboré et mis en place par la direction de l [institution] dans l optique de déterminer les risques auxquels elle fait face et de gérer ces risques à l intérieur de sa zone de tolérance afin de fournir une assurance raisonnable quant à l atteinte de ses objectifs stratégiques 2». La gestion efficace des risques vise à assurer la continuité des opérations, le maintien de la qualité des services et la protection des actifs des institutions. 2. Le risque Le risque est «la possibilité qu un événement survienne et affecte négativement l atteinte des objectifs de l [institution] 3». 3. Le processus de gestion des risques Le processus de gestion des risques se découpe en quatre étapes : la détermination, l évaluation préliminaire, la maîtrise et le suivi des risques. 3.1 La détermination des risques La détermination des risques permet de décrire les événements potentiels qui affecteront négativement l atteinte des objectifs de l institution, d en trouver la ou les causes ainsi que de prévoir les conséquences à court et à moyen termes s ils se matérialisent. 3.2 L évaluation préliminaire des risques Chaque risque doit être évalué afin de mesurer l impact général que ses conséquences peuvent avoir sur l institution ainsi que la probabilité qu il se produise, sans tenir compte des mesures d atténuation prévues (on obtient dans ce cas l évaluation du risque inhérent). L impact peut être «acceptable», «modéré», «important» ou «critique», alors que la probabilité que l événement survienne peut être «improbable», «possible», «probable» ou «quasi certaine». 1 Ce chapitre reproduit en grande partie, dans les sections 1 à 3, la Politique de gestion des risques du Vérificateur général du Québec. 2 Committee of Sponsoring Organizations, COSO Enterprise Risk Management Integrated Framework, septembre 2004 3 Vérificateur général du Québec, Politique de gestion des risques, adaptation de la définition proposée dans la source précédente Chapitre 6 La gestion des risques et l audit interne page 1
Cette évaluation permet de cartographier les risques et de hiérarchiser les travaux visant à apprécier l efficacité des mesures d atténuation actuelles et, s il y a lieu, de mettre en place de nouvelles mesures plus adéquates et réellement efficientes. Chaque risque est assigné à un «propriétaire» qui est responsable de le gérer afin de le maintenir en deçà du seuil de tolérance de l institution. 3.3 La maîtrise des risques Les mesures d atténuation des risques sont composées des différentes politiques, directives et processus mis en œuvre dans le cadre du fonctionnement normal de l institution. Chacune d entre elles peut toucher un risque en particulier ou se rapporter à plusieurs éléments. Elle est assignée à un «responsable» désigné, qui doit s assurer de son application et évaluer son efficacité. L efficacité des mesures d atténuation et le degré de maîtrise des risques y afférents doivent être évalués. L information recueillie est analysée en vue de se prononcer sur le degré de maîtrise de chaque risque. Cette évaluation indique si le niveau de risque résiduel (celui qui perdure en tenant compte de l efficacité des mesures d atténuation) est maintenu à un niveau qui se situe en deçà du seuil de tolérance fixé à l interne. La maîtrise peut être : adéquate : Les mesures existent et sont efficaces; le risque résiduel est acceptable. tolérable : Les mesures existent mais elles ne sont pas entièrement efficaces (par exemple, elles ne sont pas appliquées de manière systématique); le risque résiduel est toutefois jugé tolérable. insuffisante : Les mesures existent mais elles ne sont pas assez efficaces ou encore elles sont en implantation; le risque résiduel est jugé trop élevé. nulle : Les mesures n existent pas ou celles qui existent présentent des lacunes majeures; le risque résiduel est important, voire identique au risque inhérent et il est jugé trop élevé. Les correctifs nécessaires doivent être élaborés et mis en place lorsque l évaluation conduit à la conclusion que la maîtrise du risque est insuffisante ou nulle. L objectif est alors de ramener le risque résiduel à un niveau acceptable. 3.4 Le suivi des risques Annuellement, un suivi des risques est effectué pour : vérifier l état d avancement des correctifs apportés aux mesures d atténuation; s assurer de l efficacité des nouvelles mesures; recenser les principaux changements; Page 2 chapitre 6 La gestion des risques et l audit interne
mettre à jour les risques et identifier de nouveaux risques, s il y a lieu; revoir l évaluation des risques. 4. La valeur ajoutée Les institutions qui adoptent une approche proactive en matière de gestion des risques et exercent le contrôle de leur performance opérationnelle maîtrisent mieux les incidences sur les objectifs attendus. Une gestion efficace des risques permet notamment : une meilleure prise de décision. Une évaluation globale et exhaustive des risques fournit au gestionnaire une information de gestion de qualité qui améliore sa prise de décision et contribue à favoriser le succès de l institution. une meilleure gestion des contrôles. La prise de risques dans un contexte d opportunités permet à une institution d améliorer sa performance en éliminant des contrôles inutiles et sans valeur ajoutée. À l inverse, dans un contexte de menace, l institution ajoutera des contrôles aux bons endroits. Cette gestion efficace des contrôles se traduit, entre autres, par une réduction des coûts, une augmentation de la qualité et une réduction des délais. 5. Les rôles et les responsabilités Chacun des membres d une institution joue un rôle important en matière de gestion des risques. La direction est responsable : d assumer un rôle de chef de file dans la mise en place d un processus de gestion des risques et des contrôles afférents; de promouvoir la gestion des risques; d appuyer les gestionnaires dans la mise en place du processus de gestion des risques. Les gestionnaires sont responsables : d identifier, d évaluer et de gérer leurs risques; d accepter, de transférer, d éliminer, d atténuer, de réduire ou d augmenter le risque selon la situation afin d obtenir une garantie suffisante quant à la performance de leurs opérations; de rendre compte de l atteinte des objectifs et de la gestion des risques. Chapitre 6 La gestion des risques et l audit interne page 3
Le bureau de l audit interne est responsable : de fournir à la direction une assurance que les risques sont bien évalués ou que les contrôles sont efficaces; d auditer le processus de gestion des risques de l institution. Le comité d audit surveille la mise en place et la performance du processus de gestion des risques. Page 4 chapitre 6 La gestion des risques et l audit interne