LE LIVRE DES RISQUES INSTRUMENT EFFICACE DANS L APPLICATION DE LA STRATEGIE D AUDIT INTERNE FONDE SUR LES RISQUES (RISK BASED AUDITING)



Documents pareils
L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Historique des normes et des règlements encadrant les contrôles internes

La gestion des risques IT et l audit

Norme ISA 510, Audit initial Soldes d ouverture

Présenté par : Imed ENNOURI

Le management des risques de l entreprise Cadre de Référence. Synthèse

CADRE CONCEPTUEL INTERNATIONAL POUR LES MISSIONS D ASSURANCE

Politique de gestion des risques

Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit

Discours du Ministre Tassarajen Pillay Chedumbrum. Ministre des Technologies de l'information et de la Communication (TIC) Worshop on Dot.

Scénarios économiques en assurance

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques

Conditions de l'examen

Stratégie IT : au cœur des enjeux de l entreprise

États financiers consolidés du GROUPE CGI INC. Pour les exercices clos les 30 septembre 2013 et 2012

The implementation of the financial reform in the Brussels-Capital Region has

RÈGLEMENT* CONCERNANT L'AUDIT DE QUALITÉ DANS LE DOMAINE DES SERVICES COMPTABLES

Conférence Bales II - Mauritanie. Patrick Le Nôtre. Directeur de la Stratégie - Secteur Finance Solutions risques et Réglementations

progena by PwC Une nouvelle approche du développement durable 31 mars 2011

TABLE DES MATIÈRES. Les auteurs. Préface par Walter Deffaa. Préface par André Kilesse

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

Public and European Business Law - Droit public et européen des affaires. Master I Law Level

États financiers consolidés du GROUPE CGI INC.

AUDIT COMMITTEE: TERMS OF REFERENCE

Charte d audit du groupe Dexia

Nouvelle norme de révision: Contrôle du rapport de gestion sur les comptes annuels (ou consolidés)

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Préconisations pour une gouvernance efficace de la Manche. Pathways for effective governance of the English Channel

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Société Financière Manuvie

Évaluation de la mise en oeuvre des recommandations issues des audits effectués à l Université Nationale du Bénin par la Banque mondiale et l UNESCO

Dans le présent rapport, l expression «Groupe» se rapporte à AXA SA (la «Société») ainsi qu à ses filiales consolidées, directes et indirectes.

Guide pour l utilisation des Normes Internationales d Audit dans l Audit des Petites et Moyennes Entreprises

DOSSIER MODÈLE D'AUDIT NAGR OSBL DU SECTEUR PRIVÉ TABLE DES MATIÈRES GÉNÉRALE PARTIE 1 NOTIONS THÉORIQUES PARTICULARITÉS POUR LES OSBL.

GOUVERNANCE DES SERVICES

Improving the breakdown of the Central Credit Register data by category of enterprises

Charte de l'audit informatique du Groupe

Norme ISA 330, Réponses de l auditeur à l évaluation des risques

Norme ISA 200, Objectifs généraux de l auditeur indépendant et réalisation d un audit conforme aux Normes internationales d audit

L'impact économique total (Total Economic Impact ) de PayPal France

Quels nouveaux outils pour accompagner le développement de nos professions?

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

REVITALIZING THE RAILWAYS IN AFRICA

RÈGLES DE CERTIFICATION D ENTREPRISE

Mise à jour du Manuel de l ICCA

NORME INTERNATIONALE D AUDIT 330 PROCÉDURES A METTRE EN ŒUVRE PAR L'AUDITEUR EN FONCTION DE SON ÉVALUATION DES RISQUES

L ESPACE À TRAVERS LE REGARD DES FEMMES. European Economic and Social Committee Comité économique et social européen

Archived Content. Contenu archivé

INTRODUCTION DES NORMES

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Introduction à la Sécurité Informatique

Grandes tendances et leurs impacts sur l acquisition de produits et services TI.

Cadre de gestion du risque de fraude Rapport d audit Rapport n o 5/14 2 septembre 2014

COPYRIGHT Danish Standards. NOT FOR COMMERCIAL USE OR REPRODUCTION. DS/EN 61303:1997

RÉSULTATS FINANCIERS États financiers consolidés

CobiT une expérience pratique

Forthcoming Database

Olivier Terrettaz, Expert diplômé en finance et controlling 1

UE 13 Contrôle de gestion. Responsables : Henri Bouquin, Professeur Stéphanie Thiéry-Dubuisson, Maître de Conférences

plate-forme mondiale de promotion

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet ISO 27001:2013

UNIVERSITE CATHOLIQUE DE LOUVAIN Louvain School of Management

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

Projet de réorganisation des activités de T-Systems France

Club ISO Juin 2009

Une nouvelle norme mondiale sur la comptabilisation des produits

Etape 1 : paramétrage et choix du modèle d organisation

LES PARTICULARITES DU PROCESSUS DECISIONNEL D ACHAT SUR LE MARCHE D ASSURANCES 511

Normes pour la pratique professionnelle de l'audit interne

GARANTIES DE BONNE ECECUTION

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

ITIL V2. La gestion des changements

L Espagne est un pays qui bénéficie des

Business Intelligence avec SQL Server 2012 Maîtrisez les concepts et réalisez un système décisionnel

L Excellence Achats et l Evaluation 360

Le management des risques de l entreprise

Pré-requis Diplôme Foundation Certificate in IT Service Management.

ERA-Net Call Smart Cities. CREM, Martigny, 4 décembre 2014 Andreas Eckmanns, Responsable de la recherche, Office Fédéral de l énergie OFEN

Plan de cours ADM 992C Page 1. École des sciences de la gestion Département de management et technologie Université du Québec à Montréal

Contenu attendu des guides nationaux de bonnes pratiques d hygiène GBPH

Macroscope et l'analyse d'affaires. Dave Couture Architecte principal Solutions Macroscope

Passation des marchés

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Pourquoi externaliser? Petits déjeuners des PME & Start-up

FINANCIERS CONSOLIDÉS

PROGRAMME DE BOURSES POUR CHERCHEURS POSTGRADUÉS CONCOURS Cour des comptes européenne Luxembourg **********************************

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Business Intelligence avec SQL Server 2014 Maîtrisez les concepts et réalisez un système décisionnel

États financiers consolidés

Titre : La BI vue par l intégrateur Orange

PIB : Définition : mesure de l activité économique réalisée à l échelle d une nation sur une période donnée.

ENBRIDGE INC. ÉTATS FINANCIERS CONSOLIDÉS 31 décembre 2013

Name of document. Audit Report on the CORTE Quality System: confirmation of the certification (October 2011) Prepared by.

Critères de validation des modèles internes en assurance vie :

LE suivi de l efficacité des systèmes de contrôle interne et de gestion des risques

RÉSUMÉ DE THÈSE. L implantation des systèmes d'information (SI) organisationnels demeure une tâche difficile

FUTURES COMPRENDRE VOTRE RELEVE DE COMPTE. WH SELFINVEST Est Luxemburg, France, Belgium, Poland, Germany, Netherlands

Intelligence Economique - Business Intelligence

NORME INTERNATIONALE INTERNATIONAL STANDARD. Dispositifs à semiconducteurs Dispositifs discrets. Semiconductor devices Discrete devices

Transcription:

LE LIVRE DES RISQUES INSTRUMENT EFFICACE DANS L APPLICATION DE LA STRATEGIE D AUDIT INTERNE FONDE SUR LES RISQUES (RISK BASED AUDITING) Sabau Elena Monica Academia de Studii Economice din Bucureşti, Facultatea Contabilitate, Audit si Control de gestiune, Bucuresti, Piata Romana Nr 6, e-mail: emsabau@gmail.com, 0728.301.810 Sgardea Florinel Marian Academia de Studii Economice din Bucureşti, Facultatea Contabilitate, Audit si Control de gestiune, e-mail: sgardeafm@gmail.com, 0741218040 Tutu Anca Academia de Studii Economice din Bucureşti, Facultatea Contabilitate, Audit si Control de gestiune, e-mail: tutzu2002@hotmail.com 0722.264.010 Turlea Carmen Academia de Studii Economice din Bucureşti, Facultatea de Management e-mail : turleacarmen@yahoo.com 0726.191.175 Risk occurrence is inherent in all the economic activities performed by an enterprise. Risk quantification is primordial when taking an economic decision until the completion thereof. Risk management responsibility or control in an organization, quality determination and its measurement or supervision belongs to an independent function attached to general management. This function has broad competence and the vocation to cover all the risks arising from the organization s work. Its role is to intervene at all levels in the risk management decision-making chain. Its permanent missions are primarily deemed to make recommendations on risk policies, portfolio analysis and company risk management tools, thus providing the quality and the effectiveness of the economic processes and ensuring reliable and comprehensive reports for general and strategic management. Mots Clés: relevance des risques, l audit interne, le livre de risques, plan d audit Code JEL: M42 Considérations générales L'atteinte des objectifs fixés par l'entreprise passe avant tout par la gestion et la maîtrise des risques. L'IFACI définit la notion de risque comme étant «un ensemble d'aléas susceptible d'avoir des conséquences négatives sur une entité et dont le contrôle interne et l'audit ont notamment pour mission d'assurer sa maîtrise». Ces risques pouvant être dus au fonctionnement de l'organisation ou à l'activité de l'entreprise. C'est pour cela que l'entreprise met en place un processus de contrôle interne pour identifier ses risques puis essayer de les minimiser voir de les supprimer. Suite à cette identification des risques, l'entreprise doit mettre en place une politique de changement. Or on constate que rare sont les responsables qui se préoccupent de cette notion de risque. En effet, selon une enquête conduite par Ernst and Young 4 et IFACI dans plusieurs pays d'europe, il en résulte que seul 53% des entreprises françaises prennent en considération la notion de Risk Management. Elles jugent le risque comme «un élément déterminant. Alors que 42% des entreprises estiment que le risque n'est pas un facteur déterminant pour la mise en place d'un contrôle interne de qualité. Les composants des risques Les différents types de risques : risque social, risque financier, risque informatique, risque de transport, risque commercial, risque politique, risque juridique... Le risque se décompose en 2 parties : 1158

1) Dans le risque, on trouve la notion de gravité, des conséquences et de l'impact négatif que peut avoir le risque sur l'entreprise. Pour y faire face, une politique de protection s'avère être nécessaire. 2) Autre composant du risque consiste en la probabilité qu'une ou plusieurs situations se produisent et qu'elles échouent. D'où la nécessité d'une politique de prévention. On retrouve ces notions dans la définition du risque donné par COSO: la possibilité d'occurrence d'un événement ayant un impact sur les objectifs. Il se mesure en termes de conséquences et de probabilité. Cartographie des risques L'identification de la cartographie permet d'atteindre 3 objectifs : 1. Inventarier, évaluer, et classer les risques de l'organisation. 2. Informer les responsables afin que chacun soit en mesure de d'adapter le management de ces activités. 3. Permettre à la Direction Générale et avec l'assistance du Risk Manager, d'élaborer une politique de risque qui va s'imposer: -aux responsables opérationnels dans la mise en place de leur système de contrôle interne. - aux auditeurs pour élaborer leur plan d'audit, c'est à dire fixer les priorités. La stratégie RBA (l audit fondé sur les risques) au niveau de l organisation en conformité à la théorie du D. Griffiths consiste dans la réalisation des conditions suivantes: -les risques inhérents significatifs sont identifiés; -les risques sont évalués et sélectés; -les risques résiduels sont pris en compte. Ces trois conditions peuvent être réalisées si: - le Conseil Directeur de l entreprise a adopté un paquet de politiques de contrôle ; - l appétit du risque a été approuvé par le conseil ; - les directeurs exécutifs possèdent les habilités demandées pour l identification et l évaluation des risques, pour l étude, la mise en application et la surveillance des systèmes de contrôle qui assurent l implémentation des politiques adoptées. Nous présentons ci-joint les étapes de la stratégie de l audit fondé sur les risques: Etape No 1. L analyse du Livre des Risques et le choix des risques dont les auditeurs doivent formuler une opinion concernant le degré de contrôle exercé; Etape No 2. L élaboration du plan d audit (annuel) et l obtention de l approbation du comité d audit y afférent; Etape No 3. La réalisation des missions d audit qui vont fournir la base d informations fondement pour les opinions des auditeurs; Etape No 4. L actualisation des domaines d audit et de la liste de risques. Dans l étape L analyse du Livre des Risques seront obtenues les assurances concernant le niveau acceptable de risque que la direction doit établir. Les risques situés en dessus de ce niveau acceptable sont des risques majeurs (significatifs) et doivent être évalués et identifiés correctement. Les procédures utilisées par les auditeurs internes dans l Etape no. 1 sont les suivantes: - des interviews réalisées avec le management exécutif et le Conseil d Administration concernant les risques dont la société est exposée; - la documentation des aspects suivants: -la détermination des objectifs de l organisation; -les méthodes d évaluation des risques significatifs ; - l échelle d évaluation de la relevance des risques ; - la déclaration du conseil concernant la détermination de l appétit pour le risque; - la modalité d intégration des risques dans les processus décisionnels ; 1159

- l étude du livre des risques ; - l analyse des documents obtenus. L élaboration d une conclusion concernant la crédibilité et la possibilité d utiliser le livre des risques pour les actions ultérieures. Si le livre des risques n existe pas alors le susnommé doit être réalisé par un département distinct «L évaluation des risques» Les techniques d élaboration du livre des risques Définition: Le livre des risques représente un inventaire des risques (une base de données) identifies par la société qui mettent en danger les objectifs de la société. La responsabilité concernant la construction et l actualisation de cette base de données revient au département charge avec le management des risques. Dans cette situation le volume de travail des auditeurs internes est très diminue. En manque d un tel département du management des risques, les auditeurs internes ont le rôle de soutenir et conseiller la Direction de l entreprise en vue de l élaboration du Livre des risques, de leur évaluation et en vue de déterminer l appétit pour le risque. Le livre des risques comprend tous les risques significatifs. A abord on va identifier les risques potentiels qui menacent les objectifs de l organisation. Pour chaque risque potentiel on va attacher un procès de contrôle en vue de réduire et de contrôler l effet d un risque potentiel. Mais, par des analyses ultérieures, on va identifier comme suite un procès rationnel d itérations, quelles sont les menaces des processus de contrôle aux niveaux inférieurs. Autrement dit un risque engendre un processus de contrôle qui devient un objectif menace par d autres risques et pour lesquels nous avons d autres contrôles. En vue d identifier les risques on peut utiliser trois procédés: 1. L interview; 2. Les ateliers (équipes) de travail en vue d identifier les risques ( enl- risk work-shops) ; 3. Les enregistrements comptables. Comme suite l interview nous pouvons obtenir un point de vue individuel concernant les risques auxquels l organisation est exposée. Parmi les avantages de ce procédé on peut rappeler: la facilite de la réalisation de l interview (on travaille avec une personne); un plus de confort pour la personne interviewée dans la formulation des appréciation concernant les risques inhérentes (bruts, potentiels) par rapport à la situation du travail en équipe. Désavantages: la difficulté en vue d homogénéiser les points de vue individuels et dans le classement et la priorité des risques. Les ateliers de travail en vue d identifier les risques peuvent élaborer des listes de risques qui mettent en danger les objectifs de l organisation, une appréciation de la dimension de la probabilité d apparition et de leurs conséquences. Les avantages d un tel procédé consistent dans l apparition de nouvelles idées comme suite l interaction des personnes. Les enregistrements comptables: Par l analyse de chaque classe, groupe, position des situations financières ou des enregistrements comptables de l entreprise, ainsi que des événements et des plus importantes transactions qui peuvent mettre en évidence des risques potentiels importants. L appréciation de la relevance des risques (R) Dans cette phase l auditeur doit déterminer les risques signifiants par rapport à l appétit pour le risque. L appréciation de la relevance des risques peut être faite selon le modèle mathématique suivant, par le département de management des risques: R = C x P Soit C = conséquence résultée comme suite le déclenchement du risque une note sur l échelle de 1 a 5; Soit P = la probabilité d apparition des risques; 1160

Tableau 1. Estimation de la relevance des risques Si le risque est déclenché Note les accordée La probabilité La relevance conséquences sont: pour d apparition la du risque conséquence Degré i est: 0 1 2 3=1x2 Clôture partielle ou totale de l unité pour une longue période de temps 5 Très grande Note 5 Très grande 5x5 = 25 L impossibilité de réaliser les objectifs majeurs pendant une longue période 4 Elevée Note 4 Elevée 4x4=16 L impossibilité de réaliser les objectifs majeurs pendant une période limitée 3 Moyenne Note 3 Moyenne Résultat 9 L apparition des dommages sans influence 2 Diminuée Diminuée pour les objectifs majeurs de Note 2 Note 4 l organisation L apparition des dommages mineurs sans influence pour les objectifs majeurs de l organisation 1 Très diminuée Note1 1161 Très diminuée Note1 Nous utilisons la terminologie suivante en matière d évaluation des risques: Le risque inhérent (brut, absolu) c est le risque dimensionne avant l évaluation de l efficacité et l efficience des contrôles internes; Le risque inhérent est utilisé en vue de fonder les plans d audit annuels et d identifier les missions d audit qui seront entreprises. Le risque résiduel (net, contrôle) c est le risque dimensionne après l évaluation de l efficience et de l efficacité des contrôles internes de l organisation. Le risque résiduel est déterminé pendant les missions d audit, en vue d évaluer l efficacité et l efficience des contrôles effectues sur les dits risques. L évaluation de la signification des risques inhérentes peut être réalisée par l élaboration d une matrice ou seront inscrits à cote de chaque élément le résultat entre la conséquence du risque inhérent et la probabilité de l apparition dudit risque. Soit A la matrice de la signification des risques avec les éléments aij ou a la ligne i sont définies les conséquences du risque inhérent et sur la colonne j nous avons la probabilité de l apparition dudit risque. Tableau 2. La Matrice A avec les résultats obtenus dans l étape d analyse du risque La probabilite du risque inherent 5 4 3 2 1 La 5 25 20 15 10 5 conséquence 4 20 16 12 8 4 du risque 3 15 12 9 6 3 inhérent 2 10 8 6 4 2 1 5 4 3 2 1 Le conseil de direction va définir son appétit pour le risque pour l intervalle (1;4) comme zone de risques acceptables et qui ne fait pas l objet de l audit intern. Pour l intervalle (5-25) nous avons la zone d intérêt pour l audit interne et qui peut être regroupée comme suit: Pour l intervalle (5-9) seront réalisées des missions d audit une fois a trois ans; Pour l intervalle (10-15) seront réalisées des missions d audit une fois a deux ans;

Pour l intervalle (15-25) seront réalisées des missions d audit une fois par an. L étape L élaboration du plan d audit. Par le plan d audit l auditeur va essayer les suivantes: d identifier les risques qu il les inclut dans les plan d audit, d affecter des missions d audit pour ces risques et d assurer que le plan d audit est en concordance avec le livre d audit. Le critère prioritaire reste l appétit pour le risque précisé par la direction pour un intervalle qui a la moindre relevance du risque (dans la situation ci-dessus entre 1 et 4). Pour la zone d intérêt de l auditeur l échelle (5-25) ci-dessus peut être détaillée ou restreinte selon les préférences de l auditeur. Dans ce sens, sont élaborés des plans d audit multi-annuels ou semestriels selon les nécessités de l organisation pour les priorités des missions. Concernant les risques situes au-dessus du niveau de l appétit pour le risque, peuvent exister les situations suivantes pour l acceptation du plan d audit de ces risques: Les risques pour lesquels la direction les accepte au niveau dimensionné antérieurement et qui ont attaches des programmes contingentes de surveillance, pourront être inscrits dans le plan d audit; Les risques pour lesquels ont été adoptés des programmes de mesures de prévention du type des transferts; Les risques que la direction envisage de les éliminer ou de les contrôler; Les risques examinés et évalués par un tiers et qui peuvent fournir une assurance directe au conseil d administration sur le degré de contrôle exercé; Les risques passes qui ont été apportés à la limite de l appétit pour le risque, fait prouve par les rapports d audit interne antérieurs. La théorie du reste sera appliquée également dans la phase d élaboration du plan d audit dans le sens que tous les autres risques qui ont été filtrés seront inclus dans le plan d audit. Le plan d audit doit être approuvé par le comite d audit et par le Conseil d Administration et il doit comprendre au moins les éléments suivants: - La nature de la mission d audit; - La période de temps nécessaire et la date de début de l action d audit; - Les risques et les processus de contrôle y afférents; - Le nom des auditeurs qui vont participer a ces missions En plus le comité d audit peut demander des informations supplémentaires concernant les suivantes: - Les risques et les processus qui vont faire l objet de la mission d audit; - Les risques et les contrôles sur lesquels les auditeurs internes vont formuler une opinion au vu des résultats cumules; Les activités de conseil qui seront fournies par l auditeur interne pour le but de diminuer les risques résiduels aux niveaux inférieurs de l appétit pour le risque; Les risques non couverts à cause des politiques de l organisation ou des ressources limitées; En Roumanie l activité d audit interne est réglementée par Les Normatifs du 19/04/2007 concernant les STANDARDS D AUDIT INTERNE publiée dans le Bulletin Officiel, I-ere Partie no. 416 du 21/06/2007 Bibliographie 1. American Institute of Certified Public Accountants (2006), Statements on Auditing Standard No. 55, 78, 94: 2. American Institute of Certified Public Accountants (2006), Statements on Auditing Standard No. 99: 3. American Institute of Certified Public Accountants (2006), Statements on Auditing Standard No. 96: Analytical 1162

4. Procedures, AU Section 329. Available on www.aicpa.org 5. American Institute of Certified Public Accountants (2006), Statements on Auditing Standard No. 109: Understanding the Entity and Its Environment and Assessing the Risks of Material Misstatement. Available on www.aicpa.org 6. Bell T. B., Peecher M. et Solomon I. (2002), The Strategic-Systems Approach to Auditing. In: Cases in Strategic-Systems Auditing, edited by T. Bell and I. Solomon. KPMG LLP: pp. 1-34. 7. Boyd C. (2004) The Structural Origins of Conflicts of Interest in the Accounting Profession, Business Ethics Quarterly, vol. 14, n 3, pp. 377-398. 8. Champlain J. J. (2003), Auditing Information Systems, 2nd edition, John Wily & Sons, Inc., USA. 9. Committee of Sponsoring Organizations of the Treadway Commission (1992): Internal Control- Integrated Framework. www.coso.org 1163

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back