Vous êtes sur la page 1sur 69

L’ Audit Interne

vs.

La Gestion des Risques

Roland De Meulder, IEMSR-2011

L’audit interne: la définition
L’audit interne: la définition

L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte

ses conseils pour les améliorer, et contribue à créer de

la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en

évaluant, par une approche systématique et

méthodique, ses processus de management des risques, de contrôle, et de gouvernement

d’entreprise, et en faisant des propositions pour

renforcer leur efficacité.

Eléments clés de cette définition

Aide apportée à l’organisation afin qu’elle

atteigne ses objectifs;

Evaluation et amélioration de l’efficacité des

processus de gouvernance d’entreprise, de

gestion des risques et de contrôle;

Activités d’assurance et de conseil destinées à créer de la valeur ajoutée et à améliorer les

opérations de l’organisation;

Indépendance et objectivité;

Approche systématique et méthodique.

Aide apportée à l’organisation afin qu’elle atteigne ses objectifs

Les objectifs d’une organisation, énoncés d’une

manière compréhensible et mesurable,

constituent les cibles à atteindre et permettront

d’évaluer les réalisations effectives;

Il n’existe pas de méthode unique pour catégoriser les objectifs d’une organisation, mais

le cadre de référence COSO II nous a proposée

une typologie suivante des objectifs: des objectifs

stratégiques, opérationnels, de reporting et de

conformité.

Les Objectifs Stratégiques

Ont trait aux choix opérés par la direction en

vue de créer de la valeur ajoutée pour l’organisation.

OBJECTIF DE LA MISSION D’AUDIT S’assurer que les informations sur

lesquelles la

direction se fonde pour prendre cette

décision sont

complètes et valides

OBJECTIF

STRATEGIQUE Accroître la part de marché par le

rachat d’entreprises complémentaires.

Les Objectifs Opérationnels

Concernent l’efficacité et l’efficience des

activités de l’organisation, notamment en termes de performance et de rentabilité.

OBJECTIF

STRATEGIQUE

Expédier toutes les commandes au maximum

48 heures après

réception

OBJECTIF DE LA MISSION D’AUDIT Vérifier si les commandes sont bien expédiées

dans les 48 heures

après réception

Les Objectifs de Reporting

Portent sur la fiabilité de la communication

interne et externe de l’information financière

et non financière.

OBJECTIF DE LA MISSION D’AUDIT

Évaluer le design et l’efficacité opérationnelle des

contrôles mis en

place , afin de s’assurer que les ventes comptabilisées ont bien eu lieu

OBJECTIF DE REPORTING Comptabiliser

uniquement les

opérations de vente valides

Les Objectifs de Conformité

Font référence au respect de la législation et

de la réglementation en vigueur.

OBJECTIF DE

CONFORMITE Respecter la

réglementation relative à

la sécurité au travail

OBJECTIF DE LA MISSION

D’AUDIT vérifier que les

procédures pour assurer

la conformité à la réglementation relative à la sécurité au travail

existent et sont bien

comprises, documentées, diffusées et appliquées

Evaluation et amélioration de l’efficacité

des processus de gouvernance d’entreprise

Le gouvernement (ou la gouvernance)

d’entreprise définit les relations entre les actionnaires, le Conseil (et ses comités

spécialisés) et la Direction Générale.

Dans ce cadre, le Conseil a un rôle de surveillance des activités de la Direction

Générale dans le but d’atteindre les objectifs

de l’organisation.

Principaux Eléments du Gouvernance

d’Entreprise

Gouvernance d’entreprise

Gouvernance d’entreprise Gestion des risques Contrôle Interne Conseil DG Dir. Opérat .
Gouvernance d’entreprise Gestion des risques Contrôle Interne Conseil DG Dir. Opérat .

Gestion des risques

Gouvernance d’entreprise Gestion des risques Contrôle Interne Conseil DG Dir. Opérat .
Gouvernance d’entreprise Gestion des risques Contrôle Interne Conseil DG Dir. Opérat .

Contrôle Interne

Conseil
Conseil
DG
DG
Dir. Opérat .
Dir.
Opérat
.

Evaluation et amélioration de l’efficacité

des processus de gestion des risques

Le Management des Risques est étroitement lié au gouvernement d’entreprise: c’est le

processus conduit par la direction qui consiste à comprendre les incertitudes (risques et

opportunités) qui pourraient influer sur la

capacité de l’organisation à atteindre ces objectifs, et à agir en conséquence.

Evaluation et amélioration de l’efficacité

des processus de contrôle

Le contrôle interne, qui est intégré au

management des risques, est le processus conduit par la direction qui consiste à ramener

les risques à un niveau acceptable (càd,

cohérent avec l’ appétence pour le risque

déterminée par le Conseil)

Activités d’Assurance de l’Audit Interne

Ont pour finalité première d’évaluer l’efficacité

d’un certain processus ou fonction de l’organisation;

Mettent en présence 3 parties: l’audité,

l’auditeur interne et le client (l’utilisateur)

L’auditeur interne détermine la nature et le

champ de la mission et rend une conclusion/opinion

Activités de Conseil de l’Audit Interne

Ont pour finalité première de rendre un avis

et d’apporter d’autres formes de d’assistance généralement à la demande expresse du client

de la mission (2 parties);

Le client et l’AI s’entendent sur la nature et le

champ de la mission.

Indépendance et Objectivité

L’indépendance a trait au statut de l’Audit Interne

au sein de l’organisation;

Pour que l’Audit Interne soit indépendant, son

responsable (RAI) doit relever d’un niveau

hiérarchique de l’organisation investi d’un pouvoir suffisant pour veiller à ce que la mission

ait une large étendue, que ses résultats soient dûment pris en compte et que des actions

appropriées découlent des recommandations.

Indépendance et Objectivité

L’objectivité signifie qu’un auditeur doit être à

même de rendre des jugements impartiaux, sans parti pris;

Pour qu’il y ait objectivité, les auditeurs

internes ne doivent pas exercer de responsabilités opérationnelles dans

l’organisation, prendre des décisions de

management ou se mettre dans une situation qui pourrait induire des conflits d’intérêts.

Indépendance et Objectivité

Concrètement le comité d’audit peut activement

contribuer à l’indépendance de l’Audit Interne en exigeant d’être:

informé sur les questions de nomination, de rémunération du responsable d’audit interne;

préalablement consulté dans des situations exceptionnelles (révocation, démission);

assuré que l’audit interne dispose des moyens

(quantitatifs et qualitatifs) adéquats pour la réalisation du plan d’audit;

Et, surtout, en assurant un accès direct du RAI au

président du comité d’audit.

Une Approche Systématique et

Méthodique

Une conditio sine qua non pour qu’il ait

réellement création de valeur ajoutée et améliorations des opérations;

Les quatre étapes fondamentales d’une mission

d’audit interne sont:

- la planification de la mission;

- la réalisation de la mission et;

- la communication de ses résultats;

- la surveillance des actions de progrès

Cadre de Référence International

des Pratiques Professionnelles (CRIPP)

de

l’Audit Interne (2011)

Cadre de Référence Professionnel

1. les lignes directrices obligatoires comprennent :

• la Définition de l’audit interne ;

• le Code de déontologie ;

• les Normes.

2. les lignes directrices recommandées

comprennent :

les prises de position ;

• les modalités pratiques d’application ;

• les guides pratiques.

Code de Déontologie

Principes fondamentaux

Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux suivants :

1.

Intégrité

2.

Objectivité

3.

Confidentialité

4.

Compétence

Les Normes Internationales

Normes de qualification

1000 mission, pouvoirs et responsabilités

1100 Indépendance et objectivité

1200 Compétence et conscience professionnelle

1300 Programme d'assurance et

d'amélioration qualité

Les Normes Internationales

Normes de Fonctionnement

2000 gestion de l'audit interne

2100 Nature du travail

2200 Planification de la mission

2300 Accomplissement de la mission

2400 Communication des résultats

2500 Surveillance des actions de progrès

2600 Acceptation des risques par la direction

générale

Les Normes Internationales

1000 mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis

dans une charte d’audit interne, être cohérents

avec la définition de l’audit interne, le Code de

Déontologie ainsi qu’avec les Normes.

Le responsable de l’audit interne doit revoir

périodiquement la charte d’audit interne et la

soumettre à l’approbation de la direction

générale et du Conseil.

Les Normes Internationales

1000 mission, pouvoirs et responsabilités

Interprétation :

La charte

définit la position de l'audit interne dans l'organisation

y compris la nature de la relation fonctionnelle entre le

responsable de l’audit interne et le Conseil ;

Autorise l'accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions ;

Définit le champ des activités d'audit interne.

Les Normes Internationales

1100 Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité.

Les Normes Internationales

1100 Indépendance et objectivité

Interprétation :

L’indépendance c’est la capacité de l’audit interne à

assumer, de manière impartiale, ses responsabilités.

Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsabilités, le

responsable de l’audit interne doit avoir un accès direct

et non restreint à la direction générale et au Conseil.

Cet objectif peut être atteint grâce à un double

rattachement.

Les Normes Internationales

1100 Indépendance et objectivité

Interprétation :

L’objectivité est une attitude impartiale qui permet aux

auditeurs internes d’accomplir leurs missions de telle

sorte qu’ils soient certains de la qualité de leurs travaux menés sans le moindre compromis.

L’objectivité implique que les auditeurs internes ne

subordonnent pas leur propre jugement à celui d’autres personnes

Les Normes Internationales

1110 Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d’un niveau hiérarchique suffisant au sein de l’organisation pour

permettre au service d’audit interne d’exercer ses

responsabilités. Le responsable de l’audit interne doit confirmer au Conseil, au moins annuellement, l’indépendance de l’audit interne au sein de l’organisation

1111 relation directe avec le Conseil

Le responsable de l’audit interne doit pouvoir

communiquer et dialoguer directement avec le Conseil.

Les Normes Internationales

1120 objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt

Les Normes Internationales

1300 Programme d'assurance et

d'amélioration qualité

Le responsable de l'audit interne doit élaborer et

tenir à jour un programme d'assurance et

d'amélioration qualité portant sur tous les aspects de l'audit interne.

Interprétation :

Un tel programme est conçu de façon à évaluer :

la conformité de l’audit interne avec la définition de l’audit interne et les Normes ;

le respect du Code de Déontologie par les auditeurs internes.

Ce programme permet également de s’assurer de l’efficacité et de l’efficience de l’activité d’audit

Les Normes Internationales

1311 Évaluations internes

Les évaluations internes doivent comporter :

une surveillance continue de la performance de l'audit interne ;

des revues périodiques, effectuées par auto-

évaluation ou par d'autres personnes de

l'organisation possédant une connaissance

suffisante des pratiques d'audit interne

Les Normes Internationales

1312 Évaluations externes

-

Des évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à l'organisation.

Les Normes Internationales

2000 gestion de l'audit interne

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir qu’elle apporte une valeur ajoutée à l’organisation.

2010

2020

2060

Planification

Communication et approbation

Rapports à la direction générale et au Conseil

Les Normes Internationales

2010 Planification

Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.

Les Normes Internationales

2020 Communication et approbation

Le responsable de l'audit interne doit communiquer à la direction générale et au

Conseil son plan d'audit et ses besoins, pour

examen et approbation, ainsi que tout changement important susceptible d'intervenir

en cours d'exercice.

Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses

ressources.

Les Normes Internationales

2060 Rapports à la direction générale et au

Conseil

Le responsable de l'audit interne doit rendre compte périodiquement à la direction générale et au Conseil des missions, des

pouvoirs et des responsabilités de l'audit

interne, ainsi que du degré de réalisation du plan d’audit.

Les Normes Internationales

2110 gouvernement d'entreprise

L'audit interne doit évaluer si le processus de gouvernement

d'entreprise répond aux objectifs suivants :

promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;

garantir une gestion efficace des performances de

l'organisation, assortie d'une obligation de rendre compte ;

communiquer aux services concernés de l'organisation les informations relatives aux risques et aux contrôles ;

fournir une information adéquate au Conseil,

Les Normes Internationales

2120 management des risques

L'audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration.

Interprétation

Afin de déterminer si les processus de

management des risques sont efficaces, les

auditeurs internes doivent s’assurer que :

Les Normes Internationales

2120 management des risques

les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;

les risques significatifs sont identifiés et évalués ;

les modalités de traitement des risques retenues sont appropriées et en adéquation avec

l’appétence pour le risque de l’organisation ;

les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

Les Normes Internationales

2130 Contrôle

L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue.

Les Normes Internationales

2130 Contrôle

Interprétation

Cette évaluation du dispositif de contrôle doit porter sur

les aspects suivants :

la fiabilité et l'intégrité des informations financières et opérationnelles ;

l'efficacité et l'efficience des opérations et des

programmes ;

la protection des actifs ;

le respect des lois, règlements, règles, procédures et

contrats.

Les Normes Internationales

2500 Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.

Les Normes Internationales

2600 Acceptation des risques par la direction

générale

Lorsque le responsable de l'audit interne estime

que la direction générale a accepté un niveau de

risque résiduel qui pourrait s'avérer inacceptable

pour l'organisation, il doit examiner la question

avec elle. Si aucune décision concernant le risque

résiduel n’est prise, le responsable de l’audit interne doit soumettre la question au Conseil aux

fins de résolution.

Les Normes Internationales

Synthèse: Les Quatre piliers d’un AI efficace

INDEPENDANCE OBJECTIVITE
INDEPENDANCE
OBJECTIVITE
COMPETENCE
COMPETENCE
CONSCIENCE PROFESSION NELLE
CONSCIENCE
PROFESSION
NELLE
ASSURANCE et AMELIORATION QUALITE
ASSURANCE et
AMELIORATION
QUALITE

L’ Audit Interne et l’efficacité de la

gouvernance et du management

des risques

L’ Audit Interne et l’efficacité de la

gouvernance

Le conseil et ses comités supervisent la gouvernance pour

l’ensemble de l’organisation et lui confrère le pouvoir pour prendre les mesures nécessaires;

Le conseil a une responsabilité fiduciaire vis-à-vis les parties

prenantes auxquelles il doit rendre compte;

Au quotidien, la gouvernance est exécuté par la direction (supérieures et intermédiaires). Ce rôle est exercé via les activités de management des risques;

Les auditeurs internes et externes fournissent à la direction

et au Conseil une assurance quant à l’efficacité des activités de gouvernance et notamment le management des risques en tant que strate intermédiaire de la structure de

gouvernance

L’ Audit Interne et le Management des

Risques de l’Entreprise

PLAN

Le cadre de référence élaboré par le COSO:

« ERM- Integrated Framework »

Décrire les différents rôles attribués à l’AI dans le management des risques de l’entreprise

Evaluer l’impact du management des risques

d’entreprise sur les activités de l’audit interne

L’ Audit Interne et le Management des

Risques de l’Entreprise

LA DEFINITION

ERM is a process, effected by an entity’s board of directors, management and other personnel,

applied in strategy setting and across the

enterprise, designed to identify potential events that may effect the entity, and manage risk to be within its risk appetite, to provide reasonable

assurance regarding the achievement of entity

objectives.

Source: COSO II

L’ Audit Interne et le Management des

Risques de l’Entreprise

« ERM- Integrated Framework » :

Les éléments du management des risques de l’Entreprise

1. L’environnement interne

2. La fixation des objectifs

3. L’identification des événements

4. L’évaluation des risques

5. Le traitement des risques

6. Activités de Contrôle

7. Information et Communication

8. Pilotage

Rôles et responsabilités dans le cadre du

dispositif du management des risques

Le Conseil

Approuve l’appétence au risque de l’organisation;

Examine le portefeuille de risques auxquelles l’organisation est soumise au regard de l’appétence

pour ceux-ci.

Ainsi, le Conseil est l’un des éléments de l’environnement interne du dispositif de management

des risques.

Pour être efficace il doit donc s’attacher au management des risques.

Le Conseil exerce ses responsabilités via différents comités tels que le comité d’audit, …

Rôles et responsabilités dans le cadre du

dispositif du management des risques

La Direction Générale

A la responsabilité ultime de l’efficacité du management des risques;

L’un des aspects les plus importants consiste à

veiller à un environnement interne propice: la DG

donne le ton, exerce un leadership, et pilote

l’ensemble des activités liées au risque;

Délègue aux managers des processus opérationnels et fonctionnels de certaines

procédures de management des risques.

Rôles et responsabilités dans le cadre du

dispositif du management des risques

Le Management des processus opérationnels et des

unités fonctionnels

Rôle plus actif dans la définition et l’exécution des procédures applicables aux objectifs de leur

processus/unité et dans la conception des traitements

spécifiques des risques.

Exemple: développement des règles et procédures

applicables à

- l’achat de matières premières ou

- l’acceptation de nouveaux clients

Rôles et responsabilités dans le cadre du

dispositif du management des risques

Le Directeur des Risques (CRO)

point de coordination centralisé pour faciliter le management des risques;

Travaille avec les managers opérationnels et fonctionnels pour établir un dispositif de

management des risques efficace au sein de

leur sphère de responsabilité

Plus spécifiquement……

Rôles et responsabilités dans le cadre du

dispositif du management des risques

Le Directeur des Risques (CRO)

Définit des politiques de management des risques;

Participe à la fixation des objectifs de mise en œuvre;

Facilite le développement d’un savoir-faire technique;

Aide les responsables à mettre en œuvre des traitements du risque en fonction des tolérances au risque de l’organisation

Aide à développer une vision « ERM » plutôt qu’une approche « silo »;

Etablit un langage commun de management des risques avec des indicateurs de probabilité et d’impact homogènes;

Supervise le processus de reporting;

Rend compte au Directeur Général des progrès et des résultats, en recommandant des actions nécessaires.

Rôles et responsabilités dans le cadre du

dispositif du management des risques

Les autres collaborateurs

Le dispositif de management des risques de l’organisation relève de la responsabilité de l’ensemble des collaborateurs et doit donc, à ce titre, faire partie

intégrante du descriptif de chaque poste pour au moins

deux raisons:

Pas tous les collaborateurs peuvent être considéré

comme « propriétaire des risques », mais tous jouent

un rôle dans le dispositif de management des risques;

Tous les collaborateurs sont responsables des flux d’information et de communication inhérent au

dispositif .

Le Rôle de l’Audit Interne dans le

Management des Risques de l’Organisation

RAPPEL

Pour atteindre ses objectifs, la DG s’assure de la mise en place et du bon fonctionnement de processus rigoureux de management des risques.

Il incombe au Conseil de veiller à ce que des processus de

management des risques appropriés, suffisants et efficaces soient en œuvre

A cet effet, ils peuvent demander à l’audit interne de les

assister en examinant et évaluant les processus de

management des risques mis en œuvre, en vérifiant qu’ils sont suffisants et efficaces, puis en émettant des rapports et des recommandations en vue de leur amélioration.

Le Rôle de l’Audit Interne dans le

Management des Risques de l’Organisation

1. Principal rôle de l’Audit Interne:

donner une assurance concernant l’efficacité de tous les éléments (8) du processus de

management des risques (cf. le model des « 3

lignes de défense »)

Le Rôle de l’Audit Interne dans le

Management des Risques de l’Organisation

2. Rôles légitimes de l’Audit Interne

L’ Audit Interne peut apporter des services de conseil

qui améliorent la gestion des risques au sein d’une

organisation. L’étendue de cette activité de conseil dépendra des autres ressources dont dispose le Conseil

et de la maturité de l’organisation sur la question du

risque;

Dans le cadre de ces missions de conseil l’AI doit toujours prendre des précautions pour préserver son

indépendance et son objectivité;

Quelques exemples d’une activité de conseil pour l’AI dans ce domaine…………

Le Rôle de l’Audit Interne dans le

Management des Risques de l’Organisation

2. Rôles légitimes de l’Audit Interne (suite)

Faciliter l’identification et l’ évaluation des risques;

Accompagner la direction dans le traitement des risques;

Actualiser et développer le cadre de l’ERM;

Centraliser la communication des risques;

Élaborer une stratégie de management des

risques à valider par le Conseil

Le Rôle de l’Audit Interne dans le

Management des Risques de l’Organisation

3. Rôles que L’Audit Interne ne peut pas jouer:

Définir l’appétence au risque;

Imposer des processus de management des

risques;

Décider de la manière de traiter les risques;

Mettre en œuvre des mesures de traitement des

risques

Prendre la responsabilité du management des

risques

Impact du Management des Risques sur

l’Assurance apportée par l’Audit Interne

Au niveau du développement du plan d’audit annuel;

Au niveau du développement du programme de travail pour chaque mission d’audit.

Les relations de l’audit interne avec

les acteurs de la gestion des

risques

Les relations de l’audit interne avec

les acteurs de la gestion des risques

De nombreuses fonctions participent au

dispositif de la gestion des risques (le contrôle de gestion, le risk management, le juridique,

les ressources humaines, la qualité, la

sécurité…)

La multiplicité des acteurs du contrôle interne

crée donc de la complexité. Elle peut entraîner des redondances qui nuisent à son efficacité.

Les relations de l’audit interne avec

les acteurs de la gestion des risques

La question de la bonne coordination de cet ensemble est donc de la plus haute importance et doit faire l’objet d’une claire définition.

à cet effet, FERMA1 et ECIIA2 - dans les conclusions d’un groupe de travail commun -

préconisent une définition des différentes rôles et

responsabilités selon le model des « 3 Lignes de Défense »

1. Federation of European Risk Management Associations

2. European Confederation of Institutes of Internal Auditing

Les relations de l’audit interne avec

les acteurs de la gestion des risques

Les relations de l’audit interne avec les acteurs de la gestion des risques

Les relations de l’audit interne

avec l’audit externe

L’audit externe a pour principale mission de certifier la

régularité, la sincérité et l’image fidèle des comptes et s’appuie, pour ce faire, sur les procédures qui concourent à la production de l’information comptable et financière.

L’audit interne fournit au conseil/comité d’audit et la DG une assurance sur le degré de maîtrise de ses activités et, pour ce

faire, s’appuie sur une analyse des risques opérationnels, de

conformité et financiers, et sur une évaluation du dispositif de contrôle interne y afférent.

Les interactions entre l’Audit Interne et

le Management des risques.

L’ Audit interne utilise les informations fournies par le système de management des risques et notamment la cartographie des risques pour préparer et mettre à jour

son plan annuel, ainsi que pour l’élaboration d’un

programme de travail pour chaque mission.

Le Risk Officer utilise les observations, conclusions et

recommandations émises par l’Audit Interne pour focaliser ses activités sur les insuffisances dans le management des risques et le contrôle interne

communiquées par l’Audit Interne.

roland.meulder@wanadoo.fr