Académique Documents
Professionnel Documents
Culture Documents
1
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com
Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
2
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com
Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
3
Gestion des risques : un objet d’audit essentiel
Un processus à enjeux… présentant de nombreux challenges
Cinq thèmes :
Environnement, culture du risque et gouvernance de la gestion des risques
Processus, méthodes et outils
Articulation avec le contrôle interne et les autres démarches contribuant à la
maîtrise des risques
Intégration dans les processus de pilotage de l'organisation
Intégration dans le processus de gestion des investissements et les projets
• Les méthodes préconisées pour évaluer les risques sont-elles comprises par tous les
managers contribuant à l’analyse des risques ?
• Le reporting sur les risques est-il fiable ?
• Comment sont abordés les risques émergents et les risques à très fort impact et faible
probabilité ?
• …
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 7
Articulation avec le contrôle interne et les autres démarches
contribuant à la maîtrise des risques
• Comment et à quelle étape les risques sont-ils abordés dans les processus ?
Un exemple de pratiques intégrant risques et exercice budgétaire.
Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
12
Le rôle de l’audit interne au regard du management des risques
Contribue
Evalue
15
Audits d’efficacité?
• Audit d’efficacité Quels objets ? Quels critères ?
Normes professionnelles de l’audit interne (Modalités pratiques
d’application MPA 2120-1)
« Afin de déterminer si les processus de management des risques
sont efficaces, les auditeurs internes doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en
adéquation avec l’appétence pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées et communiquées en
temps opportun au sein de l’organisation pour permettre aux collaborateurs,
à leur hiérarchie et au Conseil d’exercer leurs responsabilités.
les processus de management des risques sont surveillés par des activités de
gestion permanente, par des évaluations spécifiques ou par ces deux
moyens. » 16
L’apport de l’audit interne à un management des risques efficient 16
Annie Bressac
L’audit interne a vocation à évaluer la conformité ou
l’efficacité de toutes les composantes
Une condition :
indépendance et du dispositif de gestion des risques
objectivité
Cadre organisationnel:
• Rôles et responsabilités des acteurs,
• Politique de gestion des risques,
• Système d’information interne et externe
Pilotage en continu
Processus de
gestion des risques
Identification
Analyse
Traitement
17
L’apport de l’audit interne à un management des risques efficient 17
Annie Bressac
Pour un management des risques efficace
Contrôles Risques
Contrôles
Audits
Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
20
Audit interne et Management des risques
L’audit interne opère un contrôle de 3ème niveau (après
le contrôle opérationnel hiérarchique et le contrôle
permanent spécialisé).
2 aspects / 2 angles de vue :
1. L’audit interne contrôle le dispositif en tant que tel de
contrôle interne et de gestion des risques, composé des
contrôles de 1er et de 2ème niveau (vue « externe ») ;
2. L’audit interne participe, en dernier ressort et en tant
que contrôle périodique, à ce dispositif de contrôle
interne et de gestion des risques (contribution interne).
21
Audit interne et Management des risques
1. L’audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion
des risques.
22
Audit interne et Management des risques
2. L’audit interne participe, en dernier ressort et en tant que contrôle périodique, de ce
dispositif de contrôle interne et de gestion des risques
• L’audit interne n’ausculte pas que le dispositif global, mais aussi des sous-
ensembles du dispositif : par domaine d’activité, par unité d’affaire ou société,
par territoire, par fonction, par facteur de risque
Directeur de l’audit et
des risques du Groupe
Plan d’audit
Cartographie des
risques majeurs
Missions d’audit 24
Le processus d’élaboration de la cartographie des risques majeurs du Groupe
Entretiens avec les
COMEX, puis dirigeants
Comité d’audit - leur analyse stratégique
- leurs préoccupations
Cartographies / PMR
sectoriels
25
Le processus d’élaboration du plan d’audit
COMEX, puis
Comité d’audit
Échange
avec audits Plan d’audit du Groupe
des métiers
27
Audit interne et Management des risques
Cela nécessite :
• une coopération à tous les étages
• une consolidation et une animation fédérative au niveau
corporate (Comité des risques du Groupe; Comité de liaison de
l’Audit)
Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
29
Plan
Contexte
Conclusion
30
Appréciation des
Contexte Conclusion
risques
La Direction de la Prévention des Risques
LE CONTRÔLEUR GÉNÉRAL
Conseiller pour la sûreté
Détachements
DPR
Inspection générale Direction de la prévention des risques
RSI
Sécurité de l’information
Contrôle sur place
Cabinet de Audit des services
Audit du réseau des établissements
l’Inspection générale centraux
de crédit PRAAC
Pôle risques : assistance à
l’analyse et à la consolidation
Audit général
SCCV
31
Appréciation des
Contexte Conclusion
risques
L’organisation transversale de la maîtrise des risques
Autorités de la Banque
AUDIT PRAAC
Méthodologie
Assistance Reporting Risques
Appréciation
du contrôle pour consolidation
de 1er niveau Ligne d’activité 1 Ligne d’activité 2 Ligne d’activité N
(donc des risques)
« propriétaires » de leurs risques
Région 1 Région 22
Succursale x Succursale y 32
Appréciation des
Contexte Conclusion
risques
Sur le terrain : interactions entre l’audit interne et les acteurs
du risque
• Rencontres avec les Risques Managers (RM) des lignes opérationnelles et
les correspondants régionaux (SRCMR)
• Vérifications / Appréciations des risques et des contrôles internes
auto-évalués par la ligne opérationnelle
Acteurs du risque
Audit (RM, SRCMR)
33
Appréciation des
Contexte Conclusion
risques
Déroulement de la mission: Élaboration des constats /
recommandations
1. Les références des processus proviennent de la nomenclature définie par la
méthodologie de risque management (AMARIS).
2. Le constat exprime les faiblesses, les dysfonctionnements, les points
de non-conformité… et plus généralement les situations susceptibles de présenter
un risque pour la Banque.
3. Les risques sont décrits en identifiant :
• Les causes (facteurs explicatifs structurels du constat, sur lesquels il faut agir selon la
typologie AMARIS)
• L’impact (conséquences possibles des faiblesses diagnostiquées)
• La probabilité (potentialité de survenance du risque)
• La gravité résiduelle du risque (impact x probabilité)
Thème :
Constat methodologie
Risques AMARIS
Causes = impact du risque
(financier, image, objectif)
Recommandation n° X
Acceptée :
Plan d'action :
Responsable :
Échéance : mois et année
Description des mesures : 35
Refusée :
Motif du refus :
> Objectiver les cartographies
L’Audit
Appréciation des
Contexte Conclusion
risques
Questions / Remarques ?
38