29septembre2004

Le rle de laudit interne dans le management des risques de lentreprise

Dans le cadre du lancement rcent du rfrentiel Le management des risques de lentreprise

Cadre de rfrence du Committee of Sponsoring Organizations of the Treadway Commission
(COSO), lInstitute of Internal Auditors (IIA), en coordination avec ses membres affilis
britannique et irlandais, publie une note de position sur Le Rle de laudit interne dans le
management des risques de lentreprise. Ce document a pour objectif daider les responsables
de laudit interne rsoudre les problmes lis au management des risques dans leur
organisation. Il leur suggre des moyens de prserver lobjectivit et lindpendance requises
par les Normes internationales pour la pratique professionnelle de laudit interne (les
Normes) lorsquils effectuent des missions dassurance et de conseil.
Concernant le management des risques de lentreprise, le rle essentiel de laudit interne consiste
apporter au Conseil une assurance objective quant lefficacit des cette activit, afin que les
principaux risques de lentreprise soient grs correctement et que le systme de contrle interne
fonctionne bien.
Rlesrecommands

Lors de la dfinition du rle de laudit interne, les responsables de laudit interne doivent en
priorit se demander si lactivit constitue une menace pour lindpendance et lobjectivit
des auditeurs internes et si elle peut amliorer la gestion des risques, les contrles et la
gouvernance de lorganisation. La note de position de lIIA indique les rles que laudit
interne doit et ne doit pas jouer dans le processus de management des risques.
Principaux rles de laudit interne dans le processus de management des risques

Donner une assurance sur les processus de gestion des risques.

Donner lassurance que les risques sont bien valus.
valuer les processus de gestion des risques.
valuer la communication des risques majeurs.
Examiner la gestion des principaux risques.

Rles lgitimes de laudit interne, sous rserve de prendre les prcautions ncessaires

Faciliter lidentification et lvaluation des risques.

Accompagner la direction dans sa raction face aux risques.
Coordonner les activits de management des risques.
Consolider le reporting des risques.
Actualiser et dvelopper le cadre de gestion des risques.
Promouvoir de la mise en uvre du management des risques.
laborer une stratgie de gestion des risques valider par le Conseil.

Rles que laudit interne NE doit PAS jouer

Dfinir lapptence pour le risque.

Dfinir des processus de gestion du risque.

Grer lassurance sur les risques.

Dcider de la manire de ragir face aux risques.

Mettre en uvre des mesures de matrise du risque au nom de la direction.

Prendre la responsabilit de la gestion des risques.

LIIA prcise que les organisations doivent bien comprendre que la direction reste responsable
de la gestion des risques. Le travail des auditeurs internes consiste donner des conseils et
contester ou soutenir les dcisions de la direction concernant le risque, mais en aucun cas les
auditeurs ne prennent ces dcisions eux-mmes. La nature des responsabilits de laudit
interne doit tre consigne dans la charte daudit et avalise par le comit daudit.
Le Rle de laudit interne dans le management des risques de lentreprise est joint en annexe.
Cr en 1941, lIIA compte approximativement 95 000 membres oprant dans laudit interne, la
gouvernance, le contrle interne, laudit des systmes dinformation, la formation et la scurit
dans le monde entier. Cest une autorit reconnue, un acteur de premier plan dans la formation des
auditeurs et un leader incontest dans la certification, la recherche et la formulation de
recommandations sur les aspects technologiques lintention des professionnels du monde entier.

Introduction
Depuis quelques annes, limportance de la gestion du risque pour un gouvernement
dentreprise efficace est de plus en plus largement reconnue. Les organisations
doivent imprativement identifier tous les risques sociaux, dontologiques,
environnementaux, financiers et oprationnels auxquels elles sont exposes et
expliquer comment elles les maintiennent un niveau acceptable. Dans le mme
temps, lutilisation de rfrentiels de gestion intgre des risques de lentreprise sest
rpandue, car les organisations comprennent que ces cadres sont plus efficaces que
les approches moins coordonnes.
Dans son rle dassurance et de conseil, laudit interne contribue la gestion du
risque de diverses manires. En 2002, lInstitute of Internal Auditors, Royaume-Uni et
Irlande (IIA), a publi une note de position sur le rle de laudit interne dans la
gestion du risque [The Role of Internal Audit in Risk Management] afin dexpliquer
ses membres les rles qui taient acceptables et les prcautions prendre pour
protger lindpendance et lobjectivit de laudit interne. Cette position rvise
remplace la prcdente et tient compte des volutions rcentes intervenues
lchelle mondiale dans le domaine de la gestion du risque et de laudit interne.
Quest-ce que le management des risques de lentreprise ?
Les activits de management des risques servent identifier, valuer, grer et
contrler les risques dans toutes les situations et pour tous les vnements. La
palette stend des projets uniques ou des catgories de risques trs prcises, par
exemple le risque de march, aux menaces et aux opportunits que rencontre une
organisation dans son ensemble. Les principes noncs dans cette note de position
peuvent servir de rfrence pour le travail de laudit interne dans toutes les formes
de gestion du risque, mais nous nous intressons tout particulirement la gestion
du risque lchelle de lentreprise, qui est en mesure damliorer la gouvernance
dune organisation.
Le management des risques de lentreprise est un processus structur, cohrent
et continu, oprant dans toute lorganisation qui permet didentifier et dvaluer les
risques, de dcider des mesures prendre et de rendre compte des opportunits et
des menaces qui affectent la ralisation des objectifs de lorganisation.
Responsabilit du management des risques de lentreprise
Cest le Conseil qui est en gnral responsable de la gestion des risques. Dans la
pratique, le Conseil dlgue le fonctionnement du cadre de la gestion du risque
lquipe dirigeante, qui sera charge de mener bien les activits numres plus
bas. Il se peut que lentreprise ait prvu une fonction distincte pour la coordination et
la gestion de projet, confie des spcialistes.
Tous les collaborateurs ont leur rle jouer pour que la gestion du risque soit un
succs lchelle de lorganisation, mais cest la direction que revient la
responsabilit premire didentifier les risques et de les grer.
Avantages du management des risques de lentreprise

Le management des risques peut aider de manire dcisive lorganisation grer

ses risques et atteindre ses objectifs. Voici ses avantages :

Meilleures chances datteindre ses objectifs.

Communication consolide de risques disparates au niveau du Conseil.
Meilleure comprhension des principaux risques et de toutes leurs
consquences.
Identification et communication des risques transversaux au sein de lentreprise.
Recentrage de lattention sur les aspects qui comptent vraiment.
Moins de surprises ou de crises.
Plus grande volont de faire ce quil faut comme il faut.
Meilleures chances de faire aboutir les changements.
Capacit daccepter des risques suprieurs, pour des avantages suprieurs.
Prise de risque et de dcision plus claire.

Activits intervenant dans le management des risques de lentreprise

Formuler et communiquer les objectifs de lorganisation.
Dterminer lapptence pour le risque de lorganisation.
Instaurer un environnement interne appropri, avec un cadre de gestion du
risque.
Identifier les menaces potentielles qui planent sur la ralisation des objectifs.
valuer le risque, cest-a-dire la probabilit que lvnement se produise et son
impact.
Slectionner et mettre en uvre les ractions face au risque.
Mettre en uvre des contrles et toute autre raction face au risque.
Informer sur les risques de manire cohrente tous les niveaux de
lorganisation.
Surveiller et coordonner la gestion du risque et ses rsultats lchelon central,
et
Apporter lassurance que les risques sont grs efficacement.
Prise de position
Le rle de laudit interne dans le management des risques de lentreprise
Apporter une assurance sur lERM
Lune des principales missions du Conseil (ou son quivalent), consiste sassurer
que les processus de gestion du risque fonctionnent correctement et que les
principaux risques sont maintenus un niveau acceptable.
Il est probable que cette assurance proviendra de diffrentes sources. Parmi ces
sources, lassurance provenant de la direction est fondamentale, mais doit tre
complte par une assurance objective, manant principalement de laudit interne.
Les autres sources sont laudit externe et les examens par des experts
indpendants. Laudit interne apporte normalement des assurances dans trois
domaines :

Les processus de gestion du risque, la fois concernant leur conception et leur

fonctionnement.
La gestion des risques classs dans la catgorie majeurs , y compris
lefficacit des contrles et autres mesures de matrise des risques, et
La fiabilit et la qualit de lvaluation et de la communication des risques et de
ltat des contrles.

Le rle de laudit interne dans le management des risques

Laudit interne est une activit indpendante qui apporte des conseils et une
assurance objectifs. Concernant le management des risques, son principal rle
consiste donner au Conseil lassurance objective que la gestion des risques est
efficace. Des travaux de recherche ont montr que les membres du conseil et les
auditeurs internes saccordent dire que les deux activits daudit interne les plus
porteuses de valeur ajoute pour les organisations sont les suivantes : apporter
lassurance objective que les principaux risques sont bien grs et apporter
lassurance que le cadre de la gestion des risques et du contrle interne fonctionne
correctement1.
La figure 1 prsente un ventail des activits du management des risques et indique
les rles quune fonction daudit interne professionnelle doit, et surtout ne doit pas,
jouer. Les principales questions se poser pour la dfinition du rle de laudit interne
sont : lactivit constitue-t-elle une menace pour lindpendance et lobjectivit des
auditeurs internes, et peut-elle amliorer la gestion des risques, les contrles et la
gouvernance de lorganisation ?

Figure 1 Rle de laudit interne dans lERM

[en bleu fonc]
Principaux rles de laudit interne dans le processus de management des risques

Donner une assurance sur les processus de gestion des risques.

Donner lassurance que les risques sont bien valus.

valuer les processus de gestion des risques.

valuer la communication des risques majeurs.

Examiner la gestion des principaux risques.

[en bleu clair]
Rles lgitimes de laudit interne, sous rserve de prendre les prcautions ncessaires

Faciliter lidentification et lvaluation des risques.

Accompagner la direction dans sa raction face aux risques.

Coordonner les activits de management des risques.

Consolider le reporting des risques.

Actualiser et dvelopper le cadre de gestion des risques.

Promouvoir de la mise en uvre du management des risques.

laborer une stratgie de gestion des risques valider par le Conseil.

[en gris]
Rles que laudit interne ne doit pas jouer

Dfinir lapptence pour le risque.

Dfinir des processus de gestion du risque.

Grer lassurance sur les risques.

Dcider de la manire de ragir face aux risques.

[dans la figure, de gauche droite]

Mettre en uvre des mesures de matrise du risque au nom de la direction.

6

Prendre la responsabilit de la gestion des risques.

Les activits prsentes gauche dans la figure 1 sont toutes des activits
dassurance. Elles sinscrivent dans lobjectif plus large dapporter une assurance sur
la gestion du risque. Une fonction daudit interne qui respecte les Normes
internationales pour la pratique professionnelle de laudit interne peut et doit excuter
ces activits, au moins partiellement.
Laudit interne peut apporter des services de conseil qui amliorent la gouvernance,
la gestion du risque et les contrles au sein dune organisation. Ltendue de lactivit
de conseil de laudit interne dans le cadre du management des risques dpendra des
ressources, internes et externes, dont dispose le Conseil et de la maturit de
lorganisation en matire de risque 2. Elle peut varier au fil du temps. En raison de son
savoir-faire dans le domaine de la gestion des risques, de sa comprhension des
relations entre risques et gouvernance et de ses capacits de facilitation, laudit
interne est idalement plac pour promouvoir le management des risques, voire pour
diriger un projet de management des risques, surtout lors des premires phases.
mesure que lorganisation gagnera en maturit, en matire de risque, et que la
gestion du risque sancrera plus profondment dans ses activits, ce rle de
promoteur perdra en importance. De mme, si une organisation recourt aux services
dun spcialiste, ou une fonction spcialise, de la gestion des risques, il sera plus
intressant que laudit interne se concentre sur son rle dassurance, plutt que
dapporter des conseils redondants. Cependant, si laudit interne na pas encore
adopt lapproche fonde sur le risque reprsente par les activits dassurance
gauche dans la figure 1, il ne sera probablement pas encore quip pour mener
bien les activits de conseil numres au centre de la figure.
Rles de conseil
Le centre de la figure 1 prsente les rles de conseil que laudit interne peut jouer en
relation avec le management des risques. De manire gnrale, plus lauditeur
saventure vers la droite, plus il doit prendre de prcautions pour prserver son
indpendance et son objectivit. Voici certains des rles de conseil que laudit interne
peut assumer :

Mettre la disposition de la direction les outils et les techniques utiliss par laudit
interne pour analyser les risques et les contrles.
Promouvoir lintroduction du management des risques dans lorganisation, tirer
parti de son savoir-faire dans la gestion des risques et les contrles et de sa
connaissance globale de lorganisation.
Formuler des conseils, faciliter le travail en ateliers, accompagner lorganisation
sur la question des risques et des contrles et promouvoir le dveloppement dun
langage, dun cadre et dune conception communs.
Centraliser la coordination, la surveillance et la communication des risques, et
Soutenir la hirarchie lorsquelle sefforce didentifier le meilleur moyen dattnuer
un risque.

Pour dcider si des services de conseil sont compatibles avec le rle dassurance, il
est impratif de dterminer si lauditeur interne endosse une responsabilit de
direction. Dans le cas du management des risques, laudit interne peut apporter des
7

services de conseil dans la mesure o il ne participe pas la gestion des risques,

cest--dire o il na pas une fonction de direction, et dans la mesure o la direction
de lentreprise soutient le management des risques et y adhre activement.
chaque fois que laudit interne aide lquipe dirigeante mettre en place ou
amliorer des processus de gestion du risque, son plan de travail doit inclure une
stratgie claire et un chancier pour le transfert de ces responsabilits lquipe
dirigeante.
Mesures de prcaution
Laudit interne peut tendre sa participation au management des risques, comme le
montre la figure 1, sous certaines conditions :

Il doit tre clair que la direction demeure responsable de la gestion du risque.

La nature des responsabilits de laudit interne doit tre consigne dans la charte
daudit et valide par le Comit daudit 3.
Laudit interne ne doit pas grer de risque au nom de la direction.
Laudit interne doit formuler des conseils, contester ou au contraire appuyer les
dcisions de la direction, mais en aucun cas prendre lui-mme des dcisions
concernant la gestion des risques.
Laudit interne ne peut pas donner dassurance objective quant tout volet du
cadre de gestion des risques dont il est responsable. Ce sont dautres parties
qualifies qui devront apporter une telle assurance 4.
Toute tche sortant du cadre des activits dassurance doit tre considre
comme une mission de conseil, qui donne lieu au respect des Normes rgissant
ce type de missions5.

Qualifications et savoir
Les auditeurs internes et les spcialistes de la gestion du risque ont en commun
certains savoirs, certaines qualifications et certaines valeurs. Ces deux professions
comprennent les impratifs du gouvernement dentreprise, possdent des
comptences de gestion, danalyse et de facilitation, et sont attaches lquilibre
des risques, par opposition aux prises de risques extrmes ou au contraire aux
comportements dvitement. Cependant, les spcialistes de la gestion du risque ne
rendent compte qu la direction de lorganisation et nont pas apporter une
assurance indpendante et objective au comit daudit. Les auditeurs internes qui
cherchent tendre leur rle dans le cadre du management des risques ne doivent
pas non plus sous-estimer le savoir spcialis des gestionnaires du risque (par
exemple sur le transfert du risque ou les techniques de quantification et de
modlisation), qui sort habituellement du champ des connaissances de la plupart des
auditeurs internes. Tout auditeur interne qui nest pas en mesure de prouver quil
possde les qualifications et le savoir appropris doit sabstenir de participer la
gestion des risques. De plus, le responsable de laudit interne ne doit pas fournir de
services de conseil dans ce domaine si les qualifications et le savoir requis ne sont
pas disponibles au sein de la fonction daudit interne et sil nest pas possible de se
les procurer ailleurs6.
Conclusion

La gestion du risque constitue un lment fondamental du gouvernement

dentreprise. Cest la direction qui doit instaurer un cadre de gestion des risques et le
faire fonctionner la demande du Conseil. Le management des risques de
lentreprise peut se rvler trs utile de nombreux gards en raison de son
approche structure, cohrente et coordonne. Dans le cadre du management des
risques, le rle essentiel de laudit interne doit consister apporter la direction et
au Conseil lassurance de lefficacit de la gestion du risque. Lorsque laudit interne
tend ses activits au-del de ce rle central, il doit prendre certaines prcautions, et
notamment traiter les missions comme des services de conseil, et donc respecter
toutes les Normes y affrentes. Laudit interne protge ainsi lindpendance et
lobjectivit de ses services dassurance. Dans ce cadre, le management des risques
peut contribuer rehausser le profil et accentuer lefficacit de laudit interne.
Glossaire
Apptence pour le risque : niveau de risque acceptable pour le Conseil ou la
direction. Il peut tre dfini en relation avec lorganisation dans son ensemble, pour
diffrentes catgories de risque ou au niveau de chaque risque.
Cadre de gestion du risque : ensemble des structures, mthodes, procdures et
dfinitions quune organisation a choisies pour mettre en uvre ses processus de
gestion du risque.
Conseil : organe qui gouverne une organisation. Il peut sagir dun conseil
dadministration, dun conseil de surveillance, de la direction dune administration ou
dune instance lgislative, dun conseil des gouverneurs ou des administrateurs
dune organisation but non lucratif.
Contrle : toute action engage par la direction, le Conseil et dautres parties pour
grer le risque et accrotre la probabilit que les objectifs dfinis seront atteints . La
direction planifie, organise et dirige lexcution des actions qui apporteront
lassurance raisonnable que ces objectifs seront atteints.
Entreprise : toute organisation cre dans le but datteindre un ensemble donn
dobjectifs.
Facilitation : travailler avec un groupe (ou des individus) afin que ce groupe ait
davantage de facilit atteindre les objectifs quil a accepts, pour une runion ou
pour lactivit. La facilitation consiste couter, contester, observer, interroger et
soutenir le groupe et ses membres. Elle ne suppose ni de faire le travail ni de
prendre les dcisions.
Management des risques de lentreprise : processus structur, cohrent et continu
mis en uvre dans toute lorganisation afin didentifier et dvaluer les opportunits
et les menaces pour la ralisation des objectifs, de dcider de la manire dy ragir
et den rendre compte.
Maturit face au risque : niveau de solidit de lapproche de la gestion du risque
adopte et applique, conformment au plan, par la direction dans toute

lorganisation, afin didentifier et dvaluer les risques, de dcider dune raction et de

rendre compte des opportunits et des menaces lis la ralisation des objectifs de
lorganisation.
Processus de gestion du risque : processus visant identifier, valuer, grer et
matriser tout vnement ou situation potentiels, afin dapporter une assurance
raisonnable concernant la ralisation des objectifs de lorganisation
Ractions face au risque : moyens par lesquels une organisation choisit de grer
chaque risque. Les principales possibilits sont les suivantes : tolrer le risque ; le
traiter en rduisant son impact ou sa probabilit ; le transfrer une autre
organisation ou mettre fin lactivit lorigine du risque. Les contrles internes
constituent un moyen de traiter le risque.
Risque : possibilit quun vnement se produise et quil ait des consquences sur
la ralisation des objectifs. Le risque se mesure en termes de consquences et de
probabilit.
Services dassurance : examen objectif des preuves dans le but dapporter une
valuation indpendante des processus de gestion des risques, de contrle et de
gouvernance pour lorganisation. La mission peut porter sur les donnes financires,
les performances, la conformit aux normes, le systme de scurit ou avoir pour
objet un contrle diligent.
Services de conseil : activits de service la clientle qui ont un caractre
consultatif et autres, dont la nature et ltendue sont convenues avec le client et qui
sont destines crer de la valeur et amliorer la gouvernance, la gestion des
risques et les contrles dans lorganisation, sans que lauditeur interne nassume de
responsabilit de direction. Parmi ces services, on peut citer la formulation de
recommandations et davis, la facilitation et la formation.

Pour en savoir plus :

Si vous souhaitez en savoir plus sur la gestion du risque, vous pouvez vous reporter
aux publications suivantes :
Publication et auteurs
Risk Management: Changing the Internal Auditors Paradigm,
Georges Selim et David McNamee

diteur
IIA Research Foundation

IIA Professional Briefing Note 13: Managing Risk

IIA-Royaume-Uni et Irlande

The Complete Guide to Business Risk Management Kit Sadgrove

Operational Risk and Resilience: Understanding and minimising operational risk to
secure shareholder value PriceWaterhouseCoopers

Gower
Butterworth Heinemann

Risk Management Guide 2001

White Page

Its a Risky Business

CIPFA

The Risk Management Standard

IRM, AIRMIC et ALARM

AN Z Risk Management Standard

Standards Australia and Standards

New Zealand

10

Le management des risques de lentreprise Cadre de rfrence

COSO

Risk Management in the Public Services

CIPFA et ALARM

Independence and Objectivity Professional Issues Bulletin 2003

IIA - Royaume-Uni et Irlande

Embedding Risk Management into the Culture of your organisation

Professional Briefing Note 2003

IIA - Royaume-Uni et Irlande

Managing business risk Adam Jolly

IOD, Ernst & Young et Kogan Page

The universe of risk Pamela Shimell

Pearson Education et FT

Management of risk OGC

TSO

Enterprise wide risk management James Deloach

Pearson Education et FT

Risk John Adams

Routledge

Risk management for company executives John Smullen

Pearson Education et Financial Times

Prentice Hall

Enterprise Risk Management: Trends & Emerging Practices Miccolis,Hively et Merkley IIA Research Foundation
Enterprise Risk Management: Pulling it All Together Walker, Shenkir et Barton

IIA Re search Foundation

Le dpartement des publications de lIIA sera ravi de vous aider vous procurer ces ouvrages. Vous pouvez contacter
publications@iia.org.uk ou +44 20 78 19 19 24

Vous pouvez galement trouver des informations intressantes sur les sites Web
suivants :
Adresse du site
www.iia.org.uk
www.theiia.org
www.gee.co.uk
www.corpgov.net
www.coso.org
www.theirm.org
www.airmic.com
www.alarm-uk.com
www.whitepage.co.uk
www.standards.org.au
www.standards.co.nz

Titre ou organisation
Institute of Internal Auditors RoyaumeUni et Irlande
IIA Global
Gee Publishing
Corporate Governance Site
The
Committee
for
Sponsoring
Organizations (COSO)
The Institute of Risk Management (IRM)
The Association of Insurance and Risk
Managers (AIRMIC)
The
National
Forum
for
Risk
Management in the Public Sector
(ALARM)
White Page web-site
Standards Australia
Standards New Zealand

propos de lIIA
Copyright
Cette prise de position est protge par un copyright. Pour une autorisation de
reproduction au Royaume-Uni et en Irlande, prire de contacter IIA-Royaume-Uni et
Irlande. Pour une autorisation de reproduction ailleurs, prire de contacter lInstitute
of Internal Auditors ladresse : issues@theiia.org.
propos des prises de position
11

Les prises de position sont des documents dorientation techniques et professionnels

rdigs par lIIA lintention de ses membres. Ils sont conus pour expliciter la
position officielle de lIIA-Royaume-Uni et Irlande sur les questions importantes et
potentiellement complexes que se posent les auditeurs internes.
Pour de plus amples dtails sur les documents dorientation communiqus par lIIA,
vous pouvez consulter notre site Web, www.iia.org.uk ou nous envoyer un courrier
lectronique ladresse : technical@iia.org.uk
Avertissement
Ce document dorientation technique na pas vocation apporter de rponse
dfinitive des cas prcis, et doit uniquement servir de guide. LInstitute of Internal
Auditors Royaume-Uni et Irlande vous recommande de toujours solliciter un expert
indpendant pour avoir un avis dans chaque situation. LIIA dgage sa responsabilit
pour les cas o des lecteurs se fieraient exclusivement ce document technique.
www.iia.org.uk
Institute of Internal Auditors UK and Ireland Ltd
13 Abbeville Mews, 88 Clapham Park Road, London SW4 7BX
Tlphone : 020 7498 0101 ; tlcopie : 020 7978 2492 ; courrier lectronique :
technical@iia.org.uk
Enregistr en Angleterre et au Pays de Galles, n 1 474735
Septembre 2004

12

13