29 septembre 2004 Le rle de laudit interne dans le management des risques de lentreprise

Dans le cadre du lancement rcent du rfrentiel Le management des risques de lentreprise Cadre de rfrence du Committee of Sponsoring Organizations of the Treadway Commission (COSO), lInstitute of Internal Auditors (IIA), en coordination avec ses membres affilis britannique et irlandais, publie une note de position sur Le Rle de laudit interne dans le management des risques de lentreprise. Ce document a pour objectif daider les responsables de laudit interne rsoudre les problmes lis au management des risques dans leur organisation. Il leur suggre des moyens de prserver lobjectivit et lindpendance requises par les Normes internationales pour la pratique professionnelle de laudit interne (les Normes) lorsquils effectuent des missions dassurance et de conseil.
Concernant le management des risques de lentreprise, le rle essentiel de laudit interne consiste apporter au Conseil une assurance objective quant lefficacit des cette activit, afin que les principaux risques de lentreprise soient grs correctement et que le systme de contrle interne fonctionne bien. Rles recommands

Lors de la dfinition du rle de laudit interne, les responsables de laudit interne doivent en priorit se demander si lactivit constitue une menace pour lindpendance et lobjectivit des auditeurs internes et si elle peut amliorer la gestion des risques, les contrles et la gouvernance de lorganisation. La note de position de lIIA indique les rles que laudit interne doit et ne doit pas jouer dans le processus de management des risques. Principaux rles de laudit interne dans le processus de management des risques Donner une assurance sur les processus de gestion des risques. Donner lassurance que les risques sont bien valus. valuer les processus de gestion des risques. valuer la communication des risques majeurs. Examiner la gestion des principaux risques.

Rles lgitimes de laudit interne, sous rserve de prendre les prcautions ncessaires Faciliter lidentification et lvaluation des risques. Accompagner la direction dans sa raction face aux risques. Coordonner les activits de management des risques. Consolider le reporting des risques. Actualiser et dvelopper le cadre de gestion des risques. Promouvoir de la mise en uvre du management des risques. laborer une stratgie de gestion des risques valider par le Conseil.

Rles que laudit interne NE doit PAS jouer Dfinir lapptence pour le risque. Dfinir des processus de gestion du risque. Grer lassurance sur les risques. Dcider de la manire de ragir face aux risques. Mettre en uvre des mesures de matrise du risque au nom de la direction. Prendre la responsabilit de la gestion des risques.

LIIA prcise que les organisations doivent bien comprendre que la direction reste responsable de la gestion des risques. Le travail des auditeurs internes consiste donner des conseils et contester ou soutenir les dcisions de la direction concernant le risque, mais en aucun cas les auditeurs ne prennent ces dcisions eux-mmes. La nature des responsabilits de laudit interne doit tre consigne dans la charte daudit et avalise par le comit daudit.
Le Rle de laudit interne dans le management des risques de lentreprise est joint en annexe. Cr en 1941, lIIA compte approximativement 95 000 membres oprant dans laudit interne, la gouvernance, le contrle interne, laudit des systmes dinformation, la formation et la scurit dans le monde entier. Cest une autorit reconnue, un acteur de premier plan dans la formation des auditeurs et un leader incontest dans la certification, la recherche et la formulation de recommandations sur les aspects technologiques lintention des professionnels du monde entier.

Introduction Depuis quelques annes, limportance de la gestion du risque pour un gouvernement dentreprise efficace est de plus en plus largement reconnue. Les organisations doivent imprativement identifier tous les risques sociaux, dontologiques, environnementaux, financiers et oprationnels auxquels elles sont exposes et expliquer comment elles les maintiennent un niveau acceptable. Dans le mme temps, lutilisation de rfrentiels de gestion intgre des risques de lentreprise sest rpandue, car les organisations comprennent que ces cadres sont plus efficaces que les approches moins coordonnes. Dans son rle dassurance et de conseil, laudit interne contribue la gestion du risque de diverses manires. En 2002, lInstitute of Internal Auditors, Royaume-Uni et Irlande (IIA), a publi une note de position sur le rle de laudit interne dans la gestion du risque [The Role of Internal Audit in Risk Management] afin dexpliquer ses membres les rles qui taient acceptables et les prcautions prendre pour protger lindpendance et lobjectivit de laudit interne. Cette position rvise remplace la prcdente et tient compte des volutions rcentes intervenues lchelle mondiale dans le domaine de la gestion du risque et de laudit interne.

Quest-ce que le management des risques de lentreprise ? Les activits de management des risques servent identifier, valuer, grer et contrler les risques dans toutes les situations et pour tous les vnements. La palette stend des projets uniques ou des catgories de risques trs prcises, par exemple le risque de march, aux menaces et aux opportunits que rencontre une organisation dans son ensemble. Les principes noncs dans cette note de position peuvent servir de rfrence pour le travail de laudit interne dans toutes les formes de gestion du risque, mais nous nous intressons tout particulirement la gestion du risque lchelle de lentreprise, qui est en mesure damliorer la gouvernance dune organisation.

Le management des risques de lentreprise est un processus structur, cohrent et continu, oprant dans toute lorganisation qui permet didentifier et dvaluer les risques, de dcider des mesures prendre et de rendre compte des opportunits et des menaces qui affectent la ralisation des objectifs de lorganisation.

Responsabilit du management des risques de lentreprise Cest le Conseil qui est en gnral responsable de la gestion des risques. Dans la pratique, le Conseil dlgue le fonctionnement du cadre de la gestion du risque lquipe dirigeante, qui sera charge de mener bien les activits numres plus bas. Il se peut que lentreprise ait prvu une fonction distincte pour la coordination et la gestion de projet, confie des spcialistes. Tous les collaborateurs ont leur rle jouer pour que la gestion du risque soit un succs lchelle de lorganisation, mais cest la direction que revient la responsabilit premire didentifier les risques et de les grer. Avantages du management des risques de lentreprise

Le management des risques peut aider de manire dcisive lorganisation grer ses risques et atteindre ses objectifs. Voici ses avantages : Meilleures chances datteindre ses objectifs. Communication consolide de risques disparates au niveau du Conseil. Meilleure comprhension des principaux risques et de toutes leurs consquences. Identification et communication des risques transversaux au sein de lentreprise. Recentrage de lattention sur les aspects qui comptent vraiment. Moins de surprises ou de crises. Plus grande volont de faire ce quil faut comme il faut. Meilleures chances de faire aboutir les changements. Capacit daccepter des risques suprieurs, pour des avantages suprieurs. Prise de risque et de dcision plus claire.

Activits intervenant dans le management des risques de lentreprise Formuler et communiquer les objectifs de lorganisation. Dterminer lapptence pour le risque de lorganisation. Instaurer un environnement interne appropri, avec un cadre de gestion du risque. Identifier les menaces potentielles qui planent sur la ralisation des objectifs. valuer le risque, cest-a-dire la probabilit que lvnement se produise et son impact. Slectionner et mettre en uvre les ractions face au risque. Mettre en uvre des contrles et toute autre raction face au risque. Informer sur les risques de manire cohrente tous les niveaux de lorganisation. Surveiller et coordonner la gestion du risque et ses rsultats lchelon central, et Apporter lassurance que les risques sont grs efficacement.

Prise de position Le rle de laudit interne dans le management des risques de lentreprise Apporter une assurance sur lERM Lune des principales missions du Conseil (ou son quivalent), consiste sassurer que les processus de gestion du risque fonctionnent correctement et que les principaux risques sont maintenus un niveau acceptable. Il est probable que cette assurance proviendra de diffrentes sources. Parmi ces sources, lassurance provenant de la direction est fondamentale, mais doit tre complte par une assurance objective, manant principalement de laudit interne. Les autres sources sont laudit externe et les examens par des experts indpendants. Laudit interne apporte normalement des assurances dans trois domaines : Les processus de gestion du risque, la fois concernant leur conception et leur fonctionnement. La gestion des risques classs dans la catgorie majeurs , y compris lefficacit des contrles et autres mesures de matrise des risques, et

La fiabilit et la qualit de lvaluation et de la communication des risques et de ltat des contrles.

Le rle de laudit interne dans le management des risques Laudit interne est une activit indpendante qui apporte des conseils et une assurance objectifs. Concernant le management des risques, son principal rle consiste donner au Conseil lassurance objective que la gestion des risques est efficace. Des travaux de recherche ont montr que les membres du conseil et les auditeurs internes saccordent dire que les deux activits daudit interne les plus porteuses de valeur ajoute pour les organisations sont les suivantes : apporter lassurance objective que les principaux risques sont bien grs et apporter lassurance que le cadre de la gestion des risques et du contrle interne fonctionne correctement1.

La figure 1 prsente un ventail des activits du management des risques et indique les rles quune fonction daudit interne professionnelle doit, et surtout ne doit pas, jouer. Les principales questions se poser pour la dfinition du rle de laudit interne sont : lactivit constitue-t-elle une menace pour lindpendance et lobjectivit des auditeurs internes, et peut-elle amliorer la gestion des risques, les contrles et la gouvernance de lorganisation ?

Figure 1 Rle de laudit interne dans lERM 5

[en bleu fonc] Principaux rles de laudit interne dans le processus de management des risques Donner une assurance sur les processus de gestion des risques. Donner lassurance que les risques sont bien valus. valuer les processus de gestion des risques. valuer la communication des risques majeurs. Examiner la gestion des principaux risques. [en bleu clair] Rles lgitimes de laudit interne, sous rserve de prendre les prcautions ncessaires Faciliter lidentification et lvaluation des risques. Accompagner la direction dans sa raction face aux risques. Coordonner les activits de management des risques. Consolider le reporting des risques. Actualiser et dvelopper le cadre de gestion des risques. Promouvoir de la mise en uvre du management des risques. laborer une stratgie de gestion des risques valider par le Conseil. [en gris] Rles que laudit interne ne doit pas jouer Dfinir lapptence pour le risque. Dfinir des processus de gestion du risque. Grer lassurance sur les risques. Dcider de la manire de ragir face aux risques. Mettre en uvre des mesures de matrise du risque au nom de la direction. [dans la figure, de gauche droite] Prendre la responsabilit de la gestion des risques.

Les activits prsentes gauche dans la figure 1 sont toutes des activits dassurance. Elles sinscrivent dans lobjectif plus large dapporter une assurance sur la gestion du risque. Une fonction daudit interne qui respecte les Normes internationales pour la pratique professionnelle de laudit interne peut et doit excuter ces activits, au moins partiellement. Laudit interne peut apporter des services de conseil qui amliorent la gouvernance, la gestion du risque et les contrles au sein dune organisation. Ltendue de lactivit de conseil de laudit interne dans le cadre du management des risques dpendra des ressources, internes et externes, dont dispose le Conseil et de la maturit de lorganisation en matire de risque2. Elle peut varier au fil du temps. En raison de son savoir-faire dans le domaine de la gestion des risques, de sa comprhension des relations entre risques et gouvernance et de ses capacits de facilitation, laudit interne est idalement plac pour promouvoir le management des risques, voire pour diriger un projet de management des risques, surtout lors des premires phases. mesure que lorganisation gagnera en maturit, en matire de risque, et que la gestion du risque sancrera plus profondment dans ses activits, ce rle de promoteur perdra en importance. De mme, si une organisation recourt aux services dun spcialiste, ou une fonction spcialise, de la gestion des risques, il sera plus intressant que laudit interne se concentre sur son rle dassurance, plutt 6

que dapporter des conseils redondants. Cependant, si laudit interne na pas encore adopt lapproche fonde sur le risque reprsente par les activits dassurance gauche dans la figure 1, il ne sera probablement pas encore quip pour mener bien les activits de conseil numres au centre de la figure. Rles de conseil Le centre de la figure 1 prsente les rles de conseil que laudit interne peut jouer en relation avec le management des risques. De manire gnrale, plus lauditeur saventure vers la droite, plus il doit prendre de prcautions pour prserver son indpendance et son objectivit. Voici certains des rles de conseil que laudit interne peut assumer : Mettre la disposition de la direction les outils et les techniques utiliss par laudit interne pour analyser les risques et les contrles. Promouvoir lintroduction du management des risques dans lorganisation, tirer parti de son savoir-faire dans la gestion des risques et les contrles et de sa connaissance globale de lorganisation. Formuler des conseils, faciliter le travail en ateliers, accompagner lorganisation sur la question des risques et des contrles et promouvoir le dveloppement dun langage, dun cadre et dune conception communs. Centraliser la coordination, la surveillance et la communication des risques, et Soutenir la hirarchie lorsquelle sefforce didentifier le meilleur moyen dattnuer un risque.

Pour dcider si des services de conseil sont compatibles avec le rle dassurance, il est impratif de dterminer si lauditeur interne endosse une responsabilit de direction. Dans le cas du management des risques, laudit interne peut apporter des services de conseil dans la mesure o il ne participe pas la gestion des risques, cest--dire o il na pas une fonction de direction, et dans la mesure o la direction de lentreprise soutient le management des risques et y adhre activement. chaque fois que laudit interne aide lquipe dirigeante mettre en place ou amliorer des processus de gestion du risque, son plan de travail doit inclure une stratgie claire et un chancier pour le transfert de ces responsabilits lquipe dirigeante.

Mesures de prcaution Laudit interne peut tendre sa participation au management des risques, comme le montre la figure 1, sous certaines conditions : Il doit tre clair que la direction demeure responsable de la gestion du risque. La nature des responsabilits de laudit interne doit tre consigne dans la charte daudit et valide par le Comit daudit3. Laudit interne ne doit pas grer de risque au nom de la direction. Laudit interne doit formuler des conseils, contester ou au contraire appuyer les dcisions de la direction, mais en aucun cas prendre lui-mme des dcisions concernant la gestion des risques. Laudit interne ne peut pas donner dassurance objective quant tout volet du cadre de gestion des risques dont il est responsable. Ce sont dautres parties qualifies qui devront apporter une telle assurance4.

Toute tche sortant du cadre des activits dassurance doit tre considre comme une mission de conseil, qui donne lieu au respect des Normes rgissant ce type de missions5.

Qualifications et savoir Les auditeurs internes et les spcialistes de la gestion du risque ont en commun certains savoirs, certaines qualifications et certaines valeurs. Ces deux professions comprennent les impratifs du gouvernement dentreprise, possdent des comptences de gestion, danalyse et de facilitation, et sont attaches lquilibre des risques, par opposition aux prises de risques extrmes ou au contraire aux comportements dvitement. Cependant, les spcialistes de la gestion du risque ne rendent compte qu la direction de lorganisation et nont pas apporter une assurance indpendante et objective au comit daudit. Les auditeurs internes qui cherchent tendre leur rle dans le cadre du management des risques ne doivent pas non plus sous-estimer le savoir spcialis des gestionnaires du risque (par exemple sur le transfert du risque ou les techniques de quantification et de modlisation), qui sort habituellement du champ des connaissances de la plupart des auditeurs internes. Tout auditeur interne qui nest pas en mesure de prouver quil possde les qualifications et le savoir appropris doit sabstenir de participer la gestion des risques. De plus, le responsable de laudit interne ne doit pas fournir de services de conseil dans ce domaine si les qualifications et le savoir requis ne sont pas disponibles au sein de la fonction daudit interne et sil nest pas possible de se les procurer ailleurs6. Conclusion La gestion du risque constitue un lment fondamental du gouvernement dentreprise. Cest la direction qui doit instaurer un cadre de gestion des risques et le faire fonctionner la demande du Conseil. Le management des risques de lentreprise peut se rvler trs utile de nombreux gards en raison de son approche structure, cohrente et coordonne. Dans le cadre du management des risques, le rle essentiel de laudit interne doit consister apporter la direction et au Conseil lassurance de lefficacit de la gestion du risque. Lorsque laudit interne tend ses activits au-del de ce rle central, il doit prendre certaines prcautions, et notamment traiter les missions comme des services de conseil, et donc respecter toutes les Normes y affrentes. Laudit interne protge ainsi lindpendance et lobjectivit de ses services dassurance. Dans ce cadre, le management des risques peut contribuer rehausser le profil et accentuer lefficacit de laudit interne.

Glossaire Apptence pour le risque : niveau de risque acceptable pour le Conseil ou la direction. Il peut tre dfini en relation avec lorganisation dans son ensemble, pour diffrentes catgories de risque ou au niveau de chaque risque. Cadre de gestion du risque : ensemble des structures, mthodes, procdures et dfinitions quune organisation a choisies pour mettre en uvre ses processus de gestion du risque.

Conseil : organe qui gouverne une organisation. Il peut sagir dun conseil dadministration, dun conseil de surveillance, de la direction dune administration ou dune instance lgislative, dun conseil des gouverneurs ou des administrateurs dune organisation but non lucratif. Contrle : toute action engage par la direction, le Conseil et dautres parties pour grer le risque et accrotre la probabilit que les objectifs dfinis seront atteints. La direction planifie, organise et dirige lexcution des actions qui apporteront lassurance raisonnable que ces objectifs seront atteints. Entreprise : toute organisation cre dans le but datteindre un ensemble donn dobjectifs. Facilitation : travailler avec un groupe (ou des individus) afin que ce groupe ait davantage de facilit atteindre les objectifs quil a accepts, pour une runion ou pour lactivit. La facilitation consiste couter, contester, observer, interroger et soutenir le groupe et ses membres. Elle ne suppose ni de faire le travail ni de prendre les dcisions. Management des risques de lentreprise : processus structur, cohrent et continu mis en uvre dans toute lorganisation afin didentifier et dvaluer les opportunits et les menaces pour la ralisation des objectifs, de dcider de la manire dy ragir et den rendre compte. Maturit face au risque : niveau de solidit de lapproche de la gestion du risque adopte et applique, conformment au plan, par la direction dans toute lorganisation, afin didentifier et dvaluer les risques, de dcider dune raction et de rendre compte des opportunits et des menaces lis la ralisation des objectifs de lorganisation. Processus de gestion du risque : processus visant identifier, valuer, grer et matriser tout vnement ou situation potentiels, afin dapporter une assurance raisonnable concernant la ralisation des objectifs de lorganisation Ractions face au risque : moyens par lesquels une organisation choisit de grer chaque risque. Les principales possibilits sont les suivantes : tolrer le risque ; le traiter en rduisant son impact ou sa probabilit ; le transfrer une autre organisation ou mettre fin lactivit lorigine du risque. Les contrles internes constituent un moyen de traiter le risque. Risque : possibilit quun vnement se produise et quil ait des consquences sur la ralisation des objectifs. Le risque se mesure en termes de consquences et de probabilit. Services dassurance : examen objectif des preuves dans le but dapporter une valuation indpendante des processus de gestion des risques, de contrle et de gouvernance pour lorganisation. La mission peut porter sur les donnes financires, les performances, la conformit aux normes, le systme de scurit ou avoir pour objet un contrle diligent.

Services de conseil : activits de service la clientle qui ont un caractre consultatif et autres, dont la nature et ltendue sont convenues avec le client et qui sont destines crer de la valeur et amliorer la gouvernance, la gestion des risques et les contrles dans lorganisation, sans que lauditeur interne nassume de responsabilit de direction. Parmi ces services, on peut citer la formulation de recommandations et davis, la facilitation et la formation.

Pour en savoir plus : Si vous souhaitez en savoir plus sur la gestion du risque, vous pouvez vous reporter aux publications suivantes :
Publication et auteurs Risk Management: Changing the Internal Auditors Paradigm, Georges Selim et David McNamee IIA Professional Briefing Note 13: Managing Risk The Complete Guide to Business Risk Management Kit Sadgrove Operational Risk and Resilience: Understanding and minimising operational risk to secure shareholder value PriceWaterhouseCoopers Risk Management Guide 2001 Its a Risky Business The Risk Management Standard AN Z Risk Management Standard diteur IIA Research Foundation

IIA-Royaume-Uni et Irlande Gower Butterworth Heinemann

White Page CIPFA IRM, AIRMIC et ALARM Standards Australia and Standards New Zealand COSO CIPFA et ALARM IIA - Royaume-Uni et Irlande IIA - Royaume-Uni et Irlande

Le management des risques de lentreprise Cadre de rfrence Risk Management in the Public Services Independence and Objectivity Professional Issues Bulletin 2003 Embedding Risk Management into the Culture of your organisation Professional Briefing Note 2003 Managing business risk Adam Jolly The universe of risk Pamela Shimell Management of risk OGC Enterprise wide risk management James Deloach Risk John Adams Risk management for company executives John Smullen

IOD, Ernst & Young et Kogan Page Pearson Education et FT TSO Pearson Education et FT Routledge Pearson Education et Financial Times Prentice Hall

Enterprise Risk Management: Trends & Emerging Practices Miccolis,Hively et Merkley IIA Research Foundation Enterprise Risk Management: Pulling it All Together Walker, Shenkir et Barton IIA Re search Foundation

Le dpartement des publications de lIIA sera ravi de vous aider vous procurer ces ouvrages. Vous pouvez contacter publications@iia.org.uk ou +44 20 78 19 19 24

Vous pouvez galement trouver des informations intressantes sur les sites Web suivants :

10

Adresse du site www.iia.org.uk www.theiia.org www.gee.co.uk www.corpgov.net www.coso.org www.theirm.org www.airmic.com www.alarm-uk.com

www.whitepage.co.uk www.standards.org.au www.standards.co.nz propos de lIIA

Titre ou organisation Institute of Internal Auditors RoyaumeUni et Irlande IIA Global Gee Publishing Corporate Governance Site The Committee for Sponsoring Organizations (COSO) The Institute of Risk Management (IRM) The Association of Insurance and Risk Managers (AIRMIC) The National Forum for Risk Management in the Public Sector (ALARM) White Page web-site Standards Australia Standards New Zealand

Copyright Cette prise de position est protge par un copyright. Pour une autorisation de reproduction au Royaume-Uni et en Irlande, prire de contacter IIA-Royaume-Uni et Irlande. Pour une autorisation de reproduction ailleurs, prire de contacter lInstitute of Internal Auditors ladresse : issues@theiia.org. propos des prises de position Les prises de position sont des documents dorientation techniques et professionnels rdigs par lIIA lintention de ses membres. Ils sont conus pour expliciter la position officielle de lIIA-Royaume-Uni et Irlande sur les questions importantes et potentiellement complexes que se posent les auditeurs internes. Pour de plus amples dtails sur les documents dorientation communiqus par lIIA, vous pouvez consulter notre site Web, www.iia.org.uk ou nous envoyer un courrier lectronique ladresse : technical@iia.org.uk

Avertissement Ce document dorientation technique na pas vocation apporter de rponse dfinitive des cas prcis, et doit uniquement servir de guide. LInstitute of Internal Auditors Royaume-Uni et Irlande vous recommande de toujours solliciter un expert indpendant pour avoir un avis dans chaque situation. LIIA dgage sa responsabilit pour les cas o des lecteurs se fieraient exclusivement ce document technique.

www.iia.org.uk Institute of Internal Auditors UK and Ireland Ltd 13 Abbeville Mews, 88 Clapham Park Road, London SW4 7BX Tlphone : 020 7498 0101 ; tlcopie : 020 7978 2492 ; courrier lectronique : technical@iia.org.uk

11

Enregistr en Angleterre et au Pays de Galles, n 1 474735 Septembre 2004

12

13