Vous êtes sur la page 1sur 69

L Audit Interne

vs.
La Gestion des Risques
Roland De Meulder, IEMSR-2011

Laudit interne: la dfinition


Laudit interne est une activit indpendante et
objective qui donne une organisation une assurance
sur le degr de matrise de ses oprations, lui apporte
ses conseils pour les amliorer, et contribue crer de
la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en
valuant, par une approche systmatique et
mthodique, ses processus de management des
risques, de contrle, et de gouvernement
dentreprise, et en faisant des propositions pour
renforcer leur efficacit.

Elments cls de cette dfinition


Aide apporte lorganisation afin quelle
atteigne ses objectifs;
Evaluation et amlioration de lefficacit des
processus de gouvernance dentreprise, de
gestion des risques et de contrle;
Activits dassurance et de conseil destines
crer de la valeur ajoute et amliorer les
oprations de lorganisation;
Indpendance et objectivit;
Approche systmatique et mthodique.

Aide apporte lorganisation afin


quelle atteigne ses objectifs
Les objectifs dune organisation, noncs dune
manire comprhensible et mesurable,
constituent les cibles atteindre et permettront
dvaluer les ralisations effectives;
Il nexiste pas de mthode unique pour
catgoriser les objectifs dune organisation, mais
le cadre de rfrence COSO II nous a propose
une typologie suivante des objectifs: des objectifs
stratgiques, oprationnels, de reporting et de
conformit.

Les Objectifs Stratgiques


Ont trait aux choix oprs par la direction en
vue de crer de la valeur ajoute pour
lorganisation.
OBJECTIF DE LA
OBJECTIF
STRATEGIQUE
Accrotre la part de
march par le
rachat dentreprises
complmentaires.

MISSION DAUDIT
Sassurer que les
informations sur
lesquelles la
direction se fonde
pour prendre cette
dcision sont
compltes et
valides

Les Objectifs Oprationnels


Concernent lefficacit et lefficience des
activits de lorganisation, notamment en
termes de performance et de rentabilit.
OBJECTIF
STRATEGIQUE
Expdier toutes les
commandes au
maximum
48 heures aprs
rception

OBJECTIF DE LA
MISSION DAUDIT
Vrifier si les
commandes sont
bien expdies
dans les 48 heures
aprs rception

Les Objectifs de Reporting


Portent sur la fiabilit de la communication
interne et externe de linformation financire
et non financire.
OBJECTIF DE LA
OBJECTIF DE
REPORTING
Comptabiliser
uniquement les
oprations de
vente valides

MISSION DAUDIT
valuer le design et
lefficacit
oprationnelle des
contrles mis en
place , afin de
sassurer que les
ventes
comptabilises ont
bien eu lieu

Les Objectifs de Conformit


Font rfrence au respect de la lgislation et
de la rglementation en vigueur.

OBJECTIF DE
CONFORMITE
Respecter la
rglementation relative
la scurit au travail

OBJECTIF DE LA MISSION
DAUDIT
vrifier que les
procdures pour assurer
la conformit la
rglementation relative
la scurit au travail
existent et sont bien
comprises, documentes,
diffuses et appliques

Evaluation et amlioration de lefficacit


des processus de gouvernance dentreprise
Le gouvernement (ou la gouvernance)
dentreprise dfinit les relations entre les
actionnaires, le Conseil (et ses comits
spcialiss) et la Direction Gnrale.
Dans ce cadre, le Conseil a un rle de
surveillance des activits de la Direction
Gnrale dans le but datteindre les objectifs
de lorganisation.

Principaux Elments du Gouvernance


dEntreprise
Gouvernance dentreprise

Conseil

Gestion des risques

DG

Contrle Interne

Dir.
Oprat
.

Evaluation et amlioration de lefficacit


des processus de gestion des risques
Le Management des Risques est troitement
li au gouvernement dentreprise: cest le
processus conduit par la direction qui consiste
comprendre les incertitudes (risques et
opportunits) qui pourraient influer sur la
capacit de lorganisation atteindre ces
objectifs, et agir en consquence.

Evaluation et amlioration de lefficacit


des processus de contrle
Le contrle interne, qui est intgr au
management des risques, est le processus
conduit par la direction qui consiste ramener
les risques un niveau acceptable (cd,
cohrent avec l apptence pour le risque
dtermine par le Conseil)

Activits dAssurance de lAudit Interne


Ont pour finalit premire dvaluer lefficacit
dun certain processus ou fonction de
lorganisation;
Mettent en prsence 3 parties: laudit,
lauditeur interne et le client (lutilisateur)
Lauditeur interne dtermine la nature et le
champ de la mission et rend une
conclusion/opinion

Activits de Conseil de lAudit Interne


Ont pour finalit premire de rendre un avis
et dapporter dautres formes de dassistance
gnralement la demande expresse du client
de la mission (2 parties);
Le client et lAI sentendent sur la nature et le
champ de la mission.

Indpendance et Objectivit
Lindpendance a trait au statut de lAudit Interne
au sein de lorganisation;
Pour que lAudit Interne soit indpendant, son
responsable (RAI) doit relever dun niveau
hirarchique de lorganisation investi dun
pouvoir suffisant pour veiller ce que la mission
ait une large tendue, que ses rsultats soient
dment pris en compte et que des actions
appropries dcoulent des recommandations.

Indpendance et Objectivit
Lobjectivit signifie quun auditeur doit tre
mme de rendre des jugements impartiaux,
sans parti pris;
Pour quil y ait objectivit, les auditeurs
internes ne doivent pas exercer de
responsabilits oprationnelles dans
lorganisation, prendre des dcisions de
management ou se mettre dans une situation
qui pourrait induire des conflits dintrts.

Indpendance et Objectivit
Concrtement le comit daudit peut activement
contribuer lindpendance de lAudit Interne en
exigeant dtre:
inform sur les questions de nomination, de
rmunration du responsable daudit interne;
pralablement consult dans des situations
exceptionnelles (rvocation, dmission);
assur que laudit interne dispose des moyens
(quantitatifs et qualitatifs) adquats pour la
ralisation du plan daudit;
Et, surtout, en assurant un accs direct du RAI au
prsident du comit daudit.

Une Approche Systmatique et


Mthodique
Une conditio sine qua non pour quil ait
rellement cration de valeur ajoute et
amliorations des oprations;
Les quatre tapes fondamentales dune mission
daudit interne sont:
- la planification de la mission;
- la ralisation de la mission et;
- la communication de ses rsultats;
- la surveillance des actions de progrs

Cadre de Rfrence International


des Pratiques Professionnelles (CRIPP)
de
lAudit Interne (2011)

Cadre de Rfrence Professionnel


1. les lignes directrices obligatoires comprennent :
la Dfinition de laudit interne ;
le Code de dontologie ;
les Normes.
2. les lignes directrices recommandes
comprennent :
les prises de position ;
les modalits pratiques dapplication ;
les guides pratiques.

Code de Dontologie
Principes fondamentaux
Il est attendu des auditeurs internes quils
respectent et appliquent les principes
fondamentaux suivants :
1. Intgrit
2. Objectivit
3. Confidentialit
4. Comptence

Les Normes Internationales

Normes de qualification
1000 mission, pouvoirs et responsabilits
1100 Indpendance et objectivit
1200 Comptence et conscience
professionnelle
1300 Programme d'assurance et
d'amlioration qualit

Les Normes Internationales

Normes de Fonctionnement
2000 gestion de l'audit interne
2100 Nature du travail
2200 Planification de la mission
2300 Accomplissement de la mission
2400 Communication des rsultats
2500 Surveillance des actions de progrs
2600 Acceptation des risques par la direction
gnrale

Les Normes Internationales


1000 mission, pouvoirs et responsabilits
La mission, les pouvoirs et les responsabilits de
l'audit interne doivent tre formellement dfinis
dans une charte daudit interne, tre cohrents
avec la dfinition de laudit interne, le Code de
Dontologie ainsi quavec les Normes.
Le responsable de laudit interne doit revoir
priodiquement la charte daudit interne et la
soumettre lapprobation de la direction
gnrale et du Conseil.

Les Normes Internationales


1000 mission, pouvoirs et responsabilits
Interprtation :
La charte
dfinit la position de l'audit interne dans l'organisation
y compris la nature de la relation fonctionnelle entre le
responsable de laudit interne et le Conseil ;
Autorise l'accs aux documents, aux personnes et aux
biens, ncessaires la ralisation des missions ;
Dfinit le champ des activits d'audit interne.

Les Normes Internationales


1100 Indpendance et objectivit
L'audit interne doit tre indpendant et les
auditeurs internes doivent effectuer leurs
travaux avec objectivit.

Les Normes Internationales


1100 Indpendance et objectivit
Interprtation :
Lindpendance cest la capacit de laudit interne
assumer, de manire impartiale, ses responsabilits.
Afin datteindre un degr dindpendance ncessaire et
suffisant lexercice de ses responsabilits, le
responsable de laudit interne doit avoir un accs direct
et non restreint la direction gnrale et au Conseil.
Cet objectif peut tre atteint grce un double
rattachement.

Les Normes Internationales


1100 Indpendance et objectivit
Interprtation :
Lobjectivit est une attitude impartiale qui permet aux
auditeurs internes daccomplir leurs missions de telle
sorte quils soient certains de la qualit de leurs
travaux mens sans le moindre compromis.
Lobjectivit implique que les auditeurs internes ne
subordonnent pas leur propre jugement celui
dautres personnes

Les Normes Internationales


1110 Indpendance dans l'organisation
Le responsable de l'audit interne doit relever dun niveau
hirarchique suffisant au sein de lorganisation pour
permettre au service daudit interne dexercer ses
responsabilits. Le responsable de laudit interne doit
confirmer au Conseil, au moins annuellement,
lindpendance de laudit interne au sein de lorganisation

1111 relation directe avec le Conseil


Le responsable de laudit interne doit pouvoir
communiquer et dialoguer directement avec le Conseil.

Les Normes Internationales


1120 objectivit individuelle
Les auditeurs internes doivent avoir une
attitude impartiale et dpourvue de prjugs,
et viter tout conflit d'intrt

Les Normes Internationales


1300 Programme d'assurance et
d'amlioration qualit
Le responsable de l'audit interne doit laborer et
tenir jour un programme d'assurance et
d'amlioration qualit portant sur tous les aspects
de l'audit interne.
Interprtation :
Un tel programme est conu de faon valuer :
la conformit de laudit interne avec la dfinition de laudit interne et les
Normes ;
le respect du Code de Dontologie par les auditeurs internes.
Ce programme permet galement de sassurer de lefficacit et de lefficience
de lactivit daudit

Les Normes Internationales


1311 valuations internes
Les valuations internes doivent comporter :
une surveillance continue de la performance
de l'audit interne ;
des revues priodiques, effectues par autovaluation ou par d'autres personnes de
l'organisation possdant une connaissance
suffisante des pratiques d'audit interne

Les Normes Internationales


1312 valuations externes
Des valuations externes doivent tre
ralises au moins tous les cinq ans par un
valuateur ou une quipe qualifis,
indpendants et extrieurs l'organisation.

Les Normes Internationales


2000 gestion de l'audit interne
Le responsable de laudit interne doit grer
efficacement cette activit de faon garantir
quelle apporte une valeur ajoute
lorganisation.
2010 Planification
2020 Communication et approbation
2060 Rapports la direction gnrale et au Conseil

Les Normes Internationales


2010 Planification
Le responsable de l'audit interne doit tablir
une planification fonde sur les risques afin
de dfinir des priorits cohrentes avec les
objectifs de l'organisation.

Les Normes Internationales


2020 Communication et approbation
Le responsable de l'audit interne doit
communiquer la direction gnrale et au
Conseil son plan d'audit et ses besoins, pour
examen et approbation, ainsi que tout
changement important susceptible d'intervenir
en cours d'exercice.
Le responsable de l'audit interne doit galement
signaler l'impact de toute limitation de ses
ressources.

Les Normes Internationales


2060 Rapports la direction gnrale et au
Conseil
Le responsable de l'audit interne doit rendre
compte priodiquement la direction
gnrale et au Conseil des missions, des
pouvoirs et des responsabilits de l'audit
interne, ainsi que du degr de ralisation du
plan daudit.

Les Normes Internationales


2110 gouvernement d'entreprise
L'audit interne doit valuer si le processus de gouvernement
d'entreprise rpond aux objectifs suivants :
promouvoir des rgles d'thique et des valeurs appropries
au sein de l'organisation ;
garantir une gestion efficace des performances de
l'organisation, assortie d'une obligation de rendre compte ;
communiquer aux services concerns de l'organisation les
informations relatives aux risques et aux contrles ;
fournir une information adquate au Conseil,

Les Normes Internationales


2120 management des risques
L'audit interne doit valuer lefficacit des
processus de management des risques et
contribuer leur amlioration.
Interprtation
Afin de dterminer si les processus de
management des risques sont efficaces, les
auditeurs internes doivent sassurer que :

Les Normes Internationales


2120 management des risques
les objectifs de lorganisation sont cohrents avec
sa mission et y contribuent ;
les risques significatifs sont identifis et valus ;
les modalits de traitement des risques retenues
sont appropries et en adquation avec
lapptence pour le risque de lorganisation ;
les informations relatives aux risques sont
recenses et communiques en temps opportun
au sein de lorganisation pour permettre aux
collaborateurs, leur hirarchie et au Conseil
dexercer leurs responsabilits.

Les Normes Internationales


2130 Contrle
Laudit interne doit aider lorganisation
maintenir un dispositif de contrle appropri
en valuant son efficacit et son efficience et
en encourageant son amlioration continue.

Les Normes Internationales


2130 Contrle
Interprtation
Cette valuation du dispositif de contrle doit porter sur
les aspects suivants :
la fiabilit et l'intgrit des informations financires et
oprationnelles ;
l'efficacit et l'efficience des oprations et des
programmes ;
la protection des actifs ;
le respect des lois, rglements, rgles, procdures et
contrats.

Les Normes Internationales


2500 Surveillance des actions de progrs
Le responsable de l'audit interne doit mettre
en place et tenir jour un systme permettant
de surveiller la suite donne aux rsultats
communiqus au management.

Les Normes Internationales


2600 Acceptation des risques par la direction
gnrale
Lorsque le responsable de l'audit interne estime
que la direction gnrale a accept un niveau de
risque rsiduel qui pourrait s'avrer inacceptable
pour l'organisation, il doit examiner la question
avec elle. Si aucune dcision concernant le risque
rsiduel nest prise, le responsable de laudit
interne doit soumettre la question au Conseil aux
fins de rsolution.

Les Normes Internationales


Synthse: Les Quatre piliers dun AI efficace

INDEPENDANCE
OBJECTIVITE

COMPETENCE

CONSCIENCE
PROFESSION
NELLE

ASSURANCE et
AMELIORATION
QUALITE

L Audit Interne et lefficacit de la


gouvernance et du management
des risques

L Audit Interne et lefficacit de la


gouvernance
Le conseil et ses comits supervisent la gouvernance pour
lensemble de lorganisation et lui confrre le pouvoir pour
prendre les mesures ncessaires;
Le conseil a une responsabilit fiduciaire vis--vis les parties
prenantes auxquelles il doit rendre compte;
Au quotidien, la gouvernance est excut par la direction
(suprieures et intermdiaires). Ce rle est exerc via les
activits de management des risques;
Les auditeurs internes et externes fournissent la direction
et au Conseil une assurance quant lefficacit des activits
de gouvernance et notamment le management des risques
en tant que strate intermdiaire de la structure de
gouvernance

L Audit Interne et le Management des


Risques de lEntreprise
PLAN
Le cadre de rfrence labor par le COSO:
ERM- Integrated Framework
Dcrire les diffrents rles attribus lAI dans
le management des risques de lentreprise
Evaluer limpact du management des risques
dentreprise sur les activits de laudit interne

L Audit Interne et le Management des


Risques de lEntreprise
LA DEFINITION
ERM is a process, effected by an entitys board of
directors, management and other personnel,
applied in strategy setting and across the
enterprise, designed to identify potential events
that may effect the entity, and manage risk to be
within its risk appetite, to provide reasonable
assurance regarding the achievement of entity
objectives.
Source: COSO II

L Audit Interne et le Management des


Risques de lEntreprise
ERM- Integrated Framework :
Les lments du management des risques de lEntreprise
1. Lenvironnement interne
2. La fixation des objectifs
3. Lidentification des vnements
4. Lvaluation des risques
5. Le traitement des risques
6. Activits de Contrle
7. Information et Communication
8. Pilotage

Rles et responsabilits dans le cadre du


dispositif du management des risques

Le Conseil
Approuve lapptence au risque de lorganisation;
Examine le portefeuille de risques auxquelles
lorganisation est soumise au regard de lapptence
pour ceux-ci.
Ainsi, le Conseil est lun des lments de
lenvironnement interne du dispositif de management
des risques.
Pour tre efficace il doit donc sattacher au
management des risques.
Le Conseil exerce ses responsabilits via diffrents
comits tels que le comit daudit,

Rles et responsabilits dans le cadre du


dispositif du management des risques
La Direction Gnrale
A la responsabilit ultime de lefficacit du
management des risques;
Lun des aspects les plus importants consiste
veiller un environnement interne propice: la DG
donne le ton, exerce un leadership, et pilote
lensemble des activits lies au risque;
Dlgue aux managers des processus
oprationnels et fonctionnels de certaines
procdures de management des risques.

Rles et responsabilits dans le cadre du


dispositif du management des risques
Le Management des processus oprationnels et des
units fonctionnels
Rle plus actif dans la dfinition et lexcution des
procdures applicables aux objectifs de leur
processus/unit et dans la conception des traitements
spcifiques des risques.
Exemple: dveloppement des rgles et procdures
applicables
- lachat de matires premires ou
- lacceptation de nouveaux clients

Rles et responsabilits dans le cadre du


dispositif du management des risques
Le Directeur des Risques (CRO)
point de coordination centralis pour faciliter
le management des risques;
Travaille avec les managers oprationnels et
fonctionnels pour tablir un dispositif de
management des risques efficace au sein de
leur sphre de responsabilit
Plus spcifiquement..

Rles et responsabilits dans le cadre du


dispositif du management des risques
Le Directeur des Risques (CRO)

Dfinit des politiques de management des risques;


Participe la fixation des objectifs de mise en uvre;
Facilite le dveloppement dun savoir-faire technique;
Aide les responsables mettre en uvre des traitements du
risque en fonction des tolrances au risque de lorganisation
Aide dvelopper une vision ERM plutt quune approche
silo ;
Etablit un langage commun de management des risques avec
des indicateurs de probabilit et dimpact homognes;
Supervise le processus de reporting;
Rend compte au Directeur Gnral des progrs et des
rsultats, en recommandant des actions ncessaires.

Rles et responsabilits dans le cadre du


dispositif du management des risques
Les autres collaborateurs
Le dispositif de management des risques de lorganisation
relve de la responsabilit de lensemble des
collaborateurs et doit donc, ce titre, faire partie
intgrante du descriptif de chaque poste pour au moins
deux raisons:
Pas tous les collaborateurs peuvent tre considr
comme propritaire des risques , mais tous jouent
un rle dans le dispositif de management des risques;
Tous les collaborateurs sont responsables des flux
dinformation et de communication inhrent au
dispositif .

Le Rle de lAudit Interne dans le


Management des Risques de lOrganisation
RAPPEL
Pour atteindre ses objectifs, la DG sassure de la mise en
place et du bon fonctionnement de processus rigoureux de
management des risques.
Il incombe au Conseil de veiller ce que des processus de
management des risques appropris, suffisants et efficaces
soient en uvre
A cet effet, ils peuvent demander laudit interne de les
assister en examinant et valuant les processus de
management des risques mis en uvre, en vrifiant quils
sont suffisants et efficaces, puis en mettant des rapports
et des recommandations en vue de leur amlioration.

Le Rle de lAudit Interne dans le


Management des Risques de lOrganisation
1. Principal rle de lAudit Interne:
donner une assurance concernant lefficacit
de tous les lments (8) du processus de
management des risques (cf. le model des 3
lignes de dfense )

Le Rle de lAudit Interne dans le


Management des Risques de lOrganisation
2. Rles lgitimes de lAudit Interne
L Audit Interne peut apporter des services de conseil
qui amliorent la gestion des risques au sein dune
organisation. Ltendue de cette activit de conseil
dpendra des autres ressources dont dispose le Conseil
et de la maturit de lorganisation sur la question du
risque;
Dans le cadre de ces missions de conseil lAI doit
toujours prendre des prcautions pour prserver son
indpendance et son objectivit;
Quelques exemples dune activit de conseil pour lAI
dans ce domaine..

Le Rle de lAudit Interne dans le


Management des Risques de lOrganisation
2. Rles lgitimes de lAudit Interne

(suite)

Faciliter lidentification et l valuation des


risques;
Accompagner la direction dans le traitement des
risques;
Actualiser et dvelopper le cadre de lERM;
Centraliser la communication des risques;
laborer une stratgie de management des
risques valider par le Conseil

Le Rle de lAudit Interne dans le


Management des Risques de lOrganisation
3. Rles que LAudit Interne ne peut pas jouer:
Dfinir lapptence au risque;
Imposer des processus de management des
risques;
Dcider de la manire de traiter les risques;
Mettre en uvre des mesures de traitement des
risques
Prendre la responsabilit du management des
risques

Impact du Management des Risques sur


lAssurance apporte par lAudit Interne
Au niveau du dveloppement du plan daudit
annuel;
Au niveau du dveloppement du programme
de travail pour chaque mission daudit.

Les relations de laudit interne avec


les acteurs de la gestion des
risques

Les relations de laudit interne avec


les acteurs de la gestion des risques
De nombreuses fonctions participent au
dispositif de la gestion des risques (le contrle
de gestion, le risk management, le juridique,
les ressources humaines, la qualit, la
scurit)
La multiplicit des acteurs du contrle interne
cre donc de la complexit. Elle peut entraner
des redondances qui nuisent son efficacit.

Les relations de laudit interne avec


les acteurs de la gestion des risques
La question de la bonne coordination de cet
ensemble est donc de la plus haute importance et
doit faire lobjet dune claire dfinition.
cet effet, FERMA1 et ECIIA2 - dans les
conclusions dun groupe de travail commun prconisent une dfinition des diffrentes rles et
responsabilits selon le model des
3 Lignes de Dfense
________________________________________
1.
2.

Federation of European Risk Management Associations


European Confederation of Institutes of Internal Auditing

Les relations de laudit interne avec


les acteurs de la gestion des risques

Les relations de laudit interne


avec laudit externe
Laudit externe a pour principale mission de certifier la
rgularit, la sincrit et limage fidle des comptes et
sappuie, pour ce faire, sur les procdures qui concourent la
production de linformation comptable et financire.
Laudit interne fournit au conseil/comit daudit et la DG une
assurance sur le degr de matrise de ses activits et, pour ce
faire, sappuie sur une analyse des risques oprationnels, de
conformit et financiers, et sur une valuation du dispositif de
contrle interne y affrent.

Les interactions entre lAudit Interne et


le Management des risques.
L Audit interne utilise les informations fournies par le
systme de management des risques et notamment la
cartographie des risques pour prparer et mettre jour
son plan annuel, ainsi que pour llaboration dun
programme de travail pour chaque mission.

Le Risk Officer utilise les observations, conclusions et


recommandations mises par lAudit Interne pour
focaliser ses activits sur les insuffisances dans le
management des risques et le contrle interne
communiques par lAudit Interne.

roland.meulder@wanadoo.fr