Présentez- vous :
- Nom et prénom,
- Formation initiale,
- Stages et/ou expériences professionnelles,
- ….
Les évolutions que connait le paysage économique et financier exercent sur les
gouvernements, les économies et les entreprises de fortes pressions et impliquent des
impératifs majeurs. En effet :
Pour réussir, aucun gouvernement ou économie ne peut fonctionner aujourd’hui
sans inter-connectivité mondiale,
La transparence des marchés et des industries est de plus en plus évidente :
certaines entreprises mondiales exercent leurs activités 24 h / 24,
La croissance de cette connectivité a augmenté les demandes de disponibilité et
de fiabilité des informations financières,
cette demande à l’égard des données est alimentée par l’utilisation, sans cesse
croissante, de Systèmes de gestion financière faisant appel à la Technologie de
l’Information (TI) intégrée.
Avant de réponde à cette question, posons – nous une autre : qu’est-ce que le contrôle ?
Le Littré, dictionnaire du français classique jusqu’au 19ème siècle constitué par Émile
Littré, définit le contrôle comme étant: « registre double qu’on tient pour la vérification
d’un autre».
Contrôle = Vérification
L’AFNOR définit le contrôle comme étant: « la vérification de la conformité à des
données préétablies suivie d’un jugement ».
Contrôle = Vérification + Jugement
Plusieurs théoriciens du management, dont Henri Bouquin, ont développé une
perception plus large du contrôle. En effet, Bouquin définit le contrôle comme suit : «
contrôler c’est maîtriser, et pas seulement vérifier. La vérification n’est qu’une des conditions
de la maîtrise : pour que vérifier soit utile, il faut avoir réuni les conditions à priori d’une bonne
maîtrise ».
Contrôle = Maîtrise
Selon les conclusions du COSO, constituent des risques « les événements probables ayant
un impact négatif pouvant freiner la création de valeur ou détruire la valeur existante. Le
risque est en général exprimé en multipliant sa probabilité d’occurrence et son impact ».
Risque = Probabilité x Impact
Selon le référentiel ISO, le risque se définit comme étant « l’effet de l’incertitude sur les
objectifs ».
Le risque en finance …
Pour les financiers, le risque est souvent synonyme de variation de valeur d’un titre
financier ou d’un actif que cette variation soit liée à des événements externes ou
internes. À ce niveau, quelques notions importantes sont à distinguer :
La notion de valeur: ou de rentabilité. Dans cette optique, une stratégie de gestion
de risque pertinente est celle qui permet d’accroître la rentabilité et donc les cash
flows futurs ou réduire le coût du capital,
Le risque est mesurable : de ce fait, son impact potentiel sur le patrimoine
de l’entreprise peut être évalué et provisionné,
Le risque peut être systémique ou spécifique : systémique, quand il s’agit d’un
risque lié à l’évolution générale des marchés (hausse générale des taux d’intérêt,
crise économique …) et spécifique quand ce risque est le fait de l’entreprise
(qualité du management, événement catastrophique, lancement d’un nouveau
produit …).
Avant – goût …
Plusieurs référentiels dédiés à la gestion des risques et au contrôle interne coexistent. Ces
référentiels ont vu le jour durant les deux dernières décennies.
Ces référentiels différent par :
Leur périmètre : à la fois géographique et fonctionnel. En effet, certains de ces référentiels
visent le contrôle interne ou la gestion des risques ou ces deux domaines. Certains
sont adaptés à des catégories de risques donnée quand d’autres peuvent avoir une portée
locale ou internationale,
Ou leur portée juridique : plus ou moins contraignante. Certains référentiels ont acquis,
au cours du temps, une portée quasi-légale dans certains pays.
Très important à noter :
Les référentiels de contrôle interne ont une vocation pédagogique dans le sens où ils
permettent de dresser les contours, mêmes flous, d’une discipline, de créer un langage
commun, afin d’en faciliter la compréhension et la diffusion.
La culture du risque : notion capitale dans la gestion des risques, le COSO 2 définit la
culture du risque comme « un ensemble de croyances et d’attitudes partagées
caractéristiques de la façon dont l’entité appréhende les risques dans toutes ses activités
depuis l’élaboration d’une stratégie jusqu’à sa mise en œuvre au quotidien ».
Et l’appétence pour le risque : simple dans son principe mais complexe dans sa mise
en œuvre, cette notion est définie par le COSO 2 comme étant « le niveau de risque
global qu’une organisation accepte de prendre pour répondre à son objectif de création
de valeur ». En d’autres termes, il s’agit du seuil de risque que l’organisation ne doit pas
dépasser.
Référentiel n° 3 : le COSO 3
Le COSO 3 s’articule logiquement avec le COSO ERM – COSO 2, le contrôle interne étant
défini comme une partie intégrante de l’ERM.
Le COSO 3 décline 17 principes essentiels liés aux cinq composantes du contrôle interne.
Les 17 principes essentiels applicables à tout secteur, nature d’activité et taille d’entreprise.
Chaque principe à sa raison d’être. Ainsi, dans certains cas un principe peut avoir été établi
Audit …
Terme employait par les Romains pour désigner un contrôle au nom de l’empereur
sur la gestion des provinces,
Fut introduit par les Anglo-Saxons au début du xiiie siècle pour la gestion.
L’audit est une activité indépendante et objective qui donne à une organisation, grâce
à ses constats et diagnostics, une assurance sur le degré de maitrise de ses opérations,
lui apporte ses conseils pour les améliorer, et contribue ainsi à une meilleure efficacité,
et à l’accroissement de la productivité.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle,
de gestion et de pilotage, et en faisant des propositions pour renfoncer leur efficacité.
Avant - goût …
Plusieurs rôles dont notamment celui de surveiller et de définir les règles du jeu pour
les enfants et leur latitude,
À ce titre, la gouvernante accomplit deux fonctions majeures :
Une fonction disciplinaire contraignante,
Une fonction éducative « habilitante ».
Ces deux fonctions sont liées : la définition de l’aire et de la nature des activités,
tout en facilitant la surveillance, conditionne également l’apprentissage.
Si on se résume …
La Conformité c’est :
9. La démarche de l’audit
La science des risques s’est développée autour de trois principales approches qui
sont, souvent, mises en opposition dans les débats.
Chaque approche a développé sa propre culture des risques.
À ce titre :
• les scientifiques s’intéressent plus à l’évaluation des risques,
=> Où sont les risques ? Et quels sont-ils ?
• les décideurs sont préoccupés par la gestion des risques,
=> Que peut – on faire pour réduire ces risques ?
• et le public s’attachent à la communication des risques.
=> Devons – nous nous en préoccuper ?
Le schéma ci-dessous résume les interactions qui existent entre les trois cultures :
Modélisation et Espace Physique
La cartographie
cartographie des
des risques outil indispensable pour
Évaluation du risque
l’audit
risques… Scientifiques
Décideurs Public
Espace Décisionnel Espace du Perçu
Gestion du risque Communication du risque
Les trois approches, bien que différentes, se retrouvent dans la nécessité de cartographier et
de modéliser des risques.
Mesurer la probabilité …
À travers :
De données statistiques internes
De la perception des responsables et des collaborateurs
D’informations externes (Experts, observatoires, …)
À travers :
Mise en place d'un dispositif de vigilance et de pilotage des évènements (référentiel)
• Indicateurs clefs,
• Tableau de bord risque,
• Mise à jour de la cartographie.
Définition et déploiement d'un plan de maîtrise des risques
• Durcissement des mesures de prévention,
• Gouvernance des risques,
Définition d'une ou plusieurs stratégies de continuité des activités
• Orientation du PCA,
• Dispositif de gestion de crise.
5.
6.
7.
L’Audit des risques (Risk Based Audit – RBA) est une méthodologie qui permet de
lier l'audit au cadre global de management des risques au sein d'une organisation.
A ce titre, le RBA permet de fournir au conseil d’administration et au Management
l'assurance que les processus de risk management permettent une gestion efficace des
risques auxquels une organisation est exposée et ce conformément à l’appétence au
risque de cette dernière.
La diversité des schémas organisationnels et des modes opératoires des organisation fait
que chacune ait des attitudes spécifiques face aux risques. L’auditeur se doit donc de
s’adapter à l’environnement de l’entité qu’il audite afin que sa démarche RBA puisse
être porteuse de valeur ajoutée.
La mise en place d’une démarche RBA nécessite l’existence d’un dispositif
de management des risques au sein de l’organisation. De manière plus générale,
l’inexistence d’un dispositif de risk management signifie que le Contrôle Interne de
l’organisation est faible.
L’Audit des risques (Risk Based Audit – RBA) repose sur trois principaux piliers:
Un Risk Assesment (R.A) : il s’agit d’un exercice permettant d’obtenir une vue
d’ensemble des méthodes utilisées par le Management pour identifier, évaluer, gérer et
surveiller les risques. Cette étape est importante dans la mesure où elle permet
d’orienter les interventions des auditeurs en fonction de l’importance des risques relevés.
Un plan d’audit périodique : le RBA permet de définir un plan d’audit périodique,
généralement annuel, qui a pour vocation de viser les processus englobant des risques
majeurs. De plus, ce plan doit également porter sur la revue des processus de gestion des
risques, de déclaration des incidents, d’enregistrement des risques et de reporting.
Des missions d’audit thématiques : il s’agit ici de conduire des mission d’audit
spécifiques qui permettront d’évaluer les risques, auxquels est confrontée l’organisation,
ainsi que les procédures et mécanismes de gestion des risques mis en place.
Au-delà de l’audit des risques et du process de leur management, l’Audit des risques
(Risk Based Audit – RBA) est focalisé, également, sur les actions mises en œuvre
par le Management pour répondre aux risques.
A ce titre, plusieurs d’étapes doivent être respectées dans la démarche
RBA.
Etape 1 : Définir le scope de la
mission
Il s’agit, dans cette première étape, de définir le scope de la mission en se basant sur
le résultat du risk assesment réalisé. De manière générale, l’auditeur se base sur la
cartographie des risques mise en place par l’entreprise et définit, entre-autres, les éléments
suivants :
• Les objectifs majeurs à atteindre,
• Les process / entités concernés par l’audit et les personnes clefs à contacter,
• Les principaux contrôles à réaliser,
• Le budget temps de la mission,
• …
L’Audit des risques 59
Démarche de l’audit des risques (RBA)
…
5.
6.
7.
Problème :
Faits :
Causes :
Conséquences :
Solution proposée :
5.
6.
7.
Ce qu’est l’auditeur
un professionnel du traitement de l’information qui aide les managers à mieux
maîtriser leurs risques, à fonctionner plus efficacement, afin d ’atteindre les objectifs
qui leur sont assignés.
un conseiller dont la mission est de sécuriser le développement de l’entreprise.