Atelier A7

Audit de la gestion globale des risques :

efficacité ou conformité ?

1
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com

Directeur de l’audit et du contrôle interne

Annie Bressac Fondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org

Directeur des risques du Groupe La Poste

Gilles.maindrault@laposte.fr
Gilles Maindrault

Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
2
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com

Directeur de l’audit et du contrôle interne

Annie Bressac Fondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org

Directeur des risques du Groupe La Poste

Gilles.maindrault@laposte.fr
Gilles Maindrault

Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
3
 Gestion des risques : un objet d’audit essentiel
Un processus à enjeux… présentant de nombreux challenges

• Complexité croissante des Risques émergents mal ou tardivement

organisations et du identifiés
business
Difficultéà expliciter une stratégie en
• Multiplication des crises matière de gestion des risques
non anticipées (appétence)
Dispositifparfois perçu comme
• Vitesse de communication amenant de la lourdeur à l’organisation

• Pression règlementaire Coexistence de multiples approches au

sein d’un même groupe
• … …

Audit de la gestion des risques

Jean-Pierre Hottin, PwC 4
 Une proposition des grandes lignes
d’un référentiel d’audit

Cinq thèmes :
 Environnement, culture du risque et gouvernance de la gestion des risques
 Processus, méthodes et outils
 Articulation avec le contrôle interne et les autres démarches contribuant à la
maîtrise des risques
 Intégration dans les processus de pilotage de l'organisation
 Intégration dans le processus de gestion des investissements et les projets

Audit de la gestion des risques

Jean-Pierre Hottin, PwC 5
 
Environnement, culture du risque et
gouvernance de la gestion des risques

Quelques exemples de questions à investiguer :

• Les rôles et responsabilités du management, des dirigeants et des
administrateurs sont-ils clairement définis ? Sont-ils cohérents avec les
principes généraux d’organisation de l’entreprise et les délégations de
pouvoirs ?
• L’attitude face aux des collaborateurs est-elle cohérente avec celle du
management et des dirigeants ? Existe-t-il une définition de l’appétence aux
risques partagée au sein de l’organisation ?
• Les équipes en charge de l’animation du dispositif de gestion des risques
ont-elles les compétences et la légitimité nécessaires à l’exercice de leurs
responsabilités?
• …
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 6
 
Processus, méthodes et outils

• Les méthodes préconisées pour évaluer les risques sont-elles comprises par tous les
managers contribuant à l’analyse des risques ?
• Le reporting sur les risques est-il fiable ?
• Comment sont abordés les risques émergents et les risques à très fort impact et faible
probabilité ?
• …
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 7
 
Articulation avec le contrôle interne et les autres démarches
contribuant à la maîtrise des risques

• Comprendre les zones d’intervention des différentes démarches, leur portée,

et s’assurer de leur cohérence : exemple de la cartographie des activités
d’assurance

Audit de la gestion des risques

Jean-Pierre Hottin, PwC 8
 
Intégration dans les processus de pilotage de l'organisation

• Comment et à quelle étape les risques sont-ils abordés dans les processus ?
Un exemple de pratiques intégrant risques et exercice budgétaire.

Audit de la gestion des risques

Jean-Pierre Hottin, PwC 9
 
Intégration dans le processus de gestion
des investissements et les projets

• Comment les risques sont-ils pris en compte à toutes les étapes du

processus d’investissement ?

Par exemple au niveau de la préparation du dossier les risques de non

réalisation de l’investissement sont-ils analysés ? Si oui quelles sont les
natures de risques considérées ? Comment sont pris en compte les risques
liés à la pérennité des actifs physiques ?

Audit de la gestion des risques

Jean-Pierre Hottin, PwC 10
 Conclusion
Les enjeux d’un audit de la gestion des risques
• Définir les objectifs de l’audit
– Existence ou performance du dispositif
– Périmètre couvert
• Avoir accès à l’ensemble des acteurs impliqués au delà des acteurs en charge de
l’animation et du contrôle du dispositif
– Principales directions fonctionnelles (Qualité, Ressources humaines, Contrôle de
Gestion, ….)
– Management opérationnel
– Organes de gouvernance
• Garantir indépendance et objectivité de l’auditeur
• Disposer des compétences au sein de l’équipe d’auditeurs

Audit de la gestion des risques

Jean-Pierre Hottin, PwC 11
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com

Directeur de l’audit et du contrôle interne

Annie Bressac Fondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org

Directeur des risques du Groupe La Poste

Gilles.maindrault@laposte.fr
Gilles Maindrault

Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
12
Le rôle de l’audit interne au regard du management des risques

Contribue

S’appuie sur / L’audit

Réalise une évaluation interne Accompagne
des risques

Evalue

Le dispositif de management des risques

13
L’apport de l’audit interne à un management des risques efficient 13
Annie Bressac
 L’évaluation du management des risques au
cœur de la mission de l’audit interne

Définition (Cadre de référence international des pratiques

professionnelles de l’audit interne)
• L’audit interne est une activité indépendante et objective qui
donne à une organisation une assurance sur le degré de maîtrise
de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.
• Il aide cette organisation à atteindre ses objectifs en évaluant,
par une approche systématique et méthodique, ses processus
de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions
pour renforcer leur efficacité.
14
L’apport de l’audit interne à un management des risques efficient 14
Annie Bressac
 Audits de conformité ?

• Audit de conformité  comparaison de l’existant par rapport

à un référentiel

– Référentiel interne : les principes, règles et composantes du dispositif de

management des risques de l’organisation
Exemple : s’assurer que la démarche d’auto-évaluation des risques est
déployée dans les différentes entités de l’organisation conformément aux
méthodes et procédures définies

– Référentiel externe : COSO 2, FERMA, ISO 31000, réglementation

bancaire, cadre de référence AMF…
Il peut être utilisé comme grille d’analyse du dispositif de management des
risques

15
 Audits d’efficacité?
• Audit d’efficacité  Quels objets ? Quels critères ?
Normes professionnelles de l’audit interne (Modalités pratiques
d’application MPA 2120-1)
« Afin de déterminer si les processus de management des risques
sont efficaces, les auditeurs internes doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en
adéquation avec l’appétence pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées et communiquées en
temps opportun au sein de l’organisation pour permettre aux collaborateurs,
à leur hiérarchie et au Conseil d’exercer leurs responsabilités.
 les processus de management des risques sont surveillés par des activités de
gestion permanente, par des évaluations spécifiques ou par ces deux
moyens. » 16
L’apport de l’audit interne à un management des risques efficient 16
Annie Bressac
 L’audit interne a vocation à évaluer la conformité ou
l’efficacité de toutes les composantes
Une condition :
indépendance et du dispositif de gestion des risques
objectivité
Cadre organisationnel:
• Rôles et responsabilités des acteurs,
• Politique de gestion des risques,
• Système d’information interne et externe
Pilotage en continu

Processus de
gestion des risques
Identification
Analyse
Traitement

17
L’apport de l’audit interne à un management des risques efficient 17
Annie Bressac
 Pour un management des risques efficace

Contrôles Risques
Contrôles

Audits

•L’audit interne doit veiller au lien entre le processus de gouvernement

d’entreprise et celui de gestion des risques :
–Prise en compte du risque dans la détermination de la stratégie
–Cohérence du processus de gestion des risques avec la gouvernance : appétence
pour le risque, culture du risque,…

•L’audit interne doit veiller à la bonne coordination entre les différents

prestataires d’assurance, entre les acteurs de la gestion et de la maîtrise
des risques
18
L’apport de l’audit interne à un management des risques efficient 18
Annie Bressac
 L’audit du dispositif de gestion des risques :
des formes et des modalités variées

• L’audit interne contribue à l’évaluation de la gestion des risques au

travers de l’ensemble de ses activités et de ses missions :
– Il valide ou actualise l’analyse des risques réalisée dans le cadre du
processus de cartographie des risques
– Il apporte une évaluation sur l’efficacité du traitement des risques (évaluation
du dispositif de contrôle interne)
– Il contribue à la surveillance des risques en concentrant ses missions sur les
domaines / activités les plus exposées
– Il évalue le processus d’information des managers et des dirigeants sur
l’exposition aux risques
– Il apprécie la diffusion d’une culture du risque et l’appropriation du processus
de gestion des risques
– Donne une assurance sur le degré de maîtrise des domaines / activités les
plus risquées
19
L’apport de l’audit interne à un management des risques efficient 19
Annie Bressac
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com

Directeur de l’audit et du contrôle interne

Annie Bressac Fondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org

Directeur des risques du Groupe La Poste

Gilles.maindrault@laposte.fr
Gilles Maindrault

Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr
20
Audit interne et Management des risques
L’audit interne opère un contrôle de 3ème niveau (après
le contrôle opérationnel hiérarchique et le contrôle
permanent spécialisé).
 2 aspects / 2 angles de vue :
1. L’audit interne contrôle le dispositif en tant que tel de
contrôle interne et de gestion des risques, composé des
contrôles de 1er et de 2ème niveau (vue « externe ») ;
2. L’audit interne participe, en dernier ressort et en tant
que contrôle périodique, à ce dispositif de contrôle
interne et de gestion des risques (contribution interne).

21
Audit interne et Management des risques
1. L’audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion
des risques.

L’audit interne doit conserver son indépendance de jugement et

rapporter au plus haut niveau de l’entreprise

• L’audit interne assiste la direction générale dans sa responsabilité de mettre en

place un dispositif efficace de contrôle interne et de gestion des risques
• L’audit interne est un interlocuteur privilégié du comité d’audit du CA dans sa
mission de s’assurer de l’existence et de l’efficacité du dispositif de management
des risques (ordonnance du 8 décembre 2008)

 l’audit interne contribue à l’évaluation globale du dispositif de

management des risques : il mène des missions sur l’architecture et le
fonctionnement du dispositif ; il apporte un jugement et une assurance
« raisonnable » sur son efficacité

22
Audit interne et Management des risques
2. L’audit interne participe, en dernier ressort et en tant que contrôle périodique, de ce
dispositif de contrôle interne et de gestion des risques

L’indépendance est compatible avec la coopération

• L’audit interne n’ausculte pas que le dispositif global, mais aussi des sous-
ensembles du dispositif : par domaine d’activité, par unité d’affaire ou société,
par territoire, par fonction, par facteur de risque

 le plan d’audit est élaboré en tout ou partie sur la base de la

cartographie des risques : examen des dispositifs et plans de maîtrise des
risques

 Les missions d’audit contribuent à l’identification et à l’évaluation des

risques et facteurs de risque (constats) ainsi qu’à la définition des
plans de maîtrise (recommandations)

• L’échange formel et informel entre audit interne et management des

risques favorise en soi l’efficacité du dispositif (complémentarité des points de
vue et contrôle de cohérence) 23
Une organisation qui facilite la coopération dans l’indépendance
Conseil
d’Administration
Comité d’audit

COMEX Président directeur général

Directeur de l’audit et
des risques du Groupe

Directeur des risques

Audit de Groupe
du Groupe

Plan d’audit
Cartographie des
risques majeurs

Missions d’audit 24
Le processus d’élaboration de la cartographie des risques majeurs du Groupe
Entretiens avec les
COMEX, puis dirigeants
Comité d’audit - leur analyse stratégique
- leurs préoccupations

Rapports d’audit Cartographie des risques majeurs

(constats et et
recommandations) Plan de maîtrise des risques

Cartographies / PMR
sectoriels

25
Le processus d’élaboration du plan d’audit

Demande des dirigeants

COMEX, puis
Comité d’audit

Échange
avec audits Plan d’audit du Groupe
des métiers

Cartographie des risques

majeurs
du Groupe
26
Audit interne et Management des risques

Le cas particulier des groupes multi métiers et multi

entités : l’organisation matricielle du Groupe peut induire
une organisation matricielle

1. du management des risques d’une part,

2. de la fonction d’audit d’autre part

avec, dans les deux cas, un croisement entre les axes

« métiers » et « grandes fonctions ».

27
Audit interne et Management des risques
Cela nécessite :
• une coopération à tous les étages
• une consolidation et une animation fédérative au niveau
corporate (Comité des risques du Groupe; Comité de liaison de
l’Audit)

tant pour l’audit interne que pour le management des risques,

et se traduit par :
• une collaboration à la fois plus riche et plus complexe entre les
filières « audit » et « management des risques »
• une organisation du management des risques qui reflète
l’arborescence des responsabilités avec un audit corporate
intervenant davantage sur les macro risques du Groupe et des
audits de métiers plus axés sur les risques opérationnels 28
Intervenants
Associé, PWC
Jean-Pierre Hottin jean-pierre.hottin@fr.pwc.com

Directeur de l’audit et du contrôle interne

Annie Bressac Fondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org

Directeur des risques du Groupe La Poste

Gilles.maindrault@laposte.fr
Gilles Maindrault

Modérateur
Responsable du pôle risques opérationnels
Michel Pozzo di Borgo de la Banque de France
michel.pozzodiborgo@banque-france.fr

29
 Plan

Contexte

Appréciation des risques

(opérationnels) lors des
missions d’audit interne

Conclusion

30
 Appréciation des
Contexte Conclusion
risques
La Direction de la Prévention des Risques

LE CONTRÔLEUR GÉNÉRAL
Conseiller pour la sûreté

Détachements
DPR
Inspection générale Direction de la prévention des risques

RSI
Sécurité de l’information
Contrôle sur place
Cabinet de Audit des services
Audit du réseau des établissements
l’Inspection générale centraux
de crédit PRAAC
Pôle risques : assistance à
l’analyse et à la consolidation
Audit général

Audit informatique Division des

recherches extérieures
SRCCV

SCCV

31
 Appréciation des
Contexte Conclusion
risques
L’organisation transversale de la maîtrise des risques

Autorités de la Banque

Rapports Cartographie générale

de missions des risques

AUDIT PRAAC
Méthodologie
Assistance Reporting Risques
Appréciation
du contrôle pour consolidation
de 1er niveau Ligne d’activité 1 Ligne d’activité 2 Ligne d’activité N
(donc des risques)
« propriétaires » de leurs risques
Région 1 Région 22

Succursale x Succursale y 32
 Appréciation des
Contexte Conclusion
risques
Sur le terrain : interactions entre l’audit interne et les acteurs
du risque
• Rencontres avec les Risques Managers (RM) des lignes opérationnelles et
les correspondants régionaux (SRCMR)
• Vérifications / Appréciations des risques et des contrôles internes
auto-évalués par la ligne opérationnelle

• Discussions sur le niveau de risque proposé dans la recommandation (FAR)

Acteurs du risque
Audit (RM, SRCMR)
33
 Appréciation des
Contexte Conclusion
risques
Déroulement de la mission: Élaboration des constats /
recommandations
1. Les références des processus proviennent de la nomenclature définie par la
méthodologie de risque management (AMARIS).
2. Le constat exprime les faiblesses, les dysfonctionnements, les points
de non-conformité… et plus généralement les situations susceptibles de présenter
un risque pour la Banque.
3. Les risques sont décrits en identifiant :
• Les causes (facteurs explicatifs structurels du constat, sur lesquels il faut agir selon la
typologie AMARIS)
• L’impact (conséquences possibles des faiblesses diagnostiquées)
• La probabilité (potentialité de survenance du risque)
• La gravité résiduelle du risque (impact x probabilité)

4. La recommandation : action préconisée par l’Audit visant à réduire le risque.

34
 Appréciation des
Contexte Conclusion
risques
Les constats d’audit sont exprimés selon la méthodologie AMARIS
FAR N°
FAR déposée le : « date de dépôt »
Constat validé le : « date de validation »
Plan d’action validé par l’Audit le : « date de validation »

Thème :

Typologie du risque Appréciation du risque

10 risques (niveau 2 de Amaris) Fort, moyen ou faible

Contexte = classification du risque = évaluation du risque

Référentiel

Constat methodologie
Risques AMARIS
Causes = impact du risque
(financier, image, objectif)
Recommandation n° X

Service responsable de la mise en œuvre : « nom du service »

Autre(s) Service(s) responsable(s) de la validation des « nom du(es) service(s) »
constats :
Service(s) destinataire(s) pour information : « nom du(es) service(s) »

Réponse du service responsable de la mise en oeuvre

Acceptée :
Plan d'action :
Responsable :
Échéance : mois et année
Description des mesures : 35
Refusée :
Motif du refus :
 > Objectiver les cartographies

L’Audit
Appréciation des
Contexte Conclusion
risques

Appréciation du risque par l’audit interne : l’outil de terrain

Mise en œuvre de matrices de concordance entre cartographies de risques et FAR de l’audit pour :
• Mieux analyser les écarts de perception des risques entre RM et auditeurs.
• Disposer d’un support d’échanges pour une vision partagée du risque.

Cette table de concordance ne doit en aucun cas conduire à un alignement

! automatique d’une des approches sur l’autre. 36
 Appréciation des
Contexte Conclusion
risques
Audit et risk-management : des expressions du risque parfois
différentes… et pourtant complémentaires

• Le risque est exprimé à partir • Le risque correspond souvent

d’un constat factuel et au meilleur « dire d’expert » à
incontestable un instant donné

• Les constats négatifs • Le « niveau » d’analyse du

s’expriment souvent à un niveau risque est variable
très détaillé  l’expression du (progressivité des démarches)
risque également
• Auto-évaluation  tendance
• Difficulté d’utilisation des naturelle à sur / sous-
matrices de cotation globales évaluation, subjectivité
37
 Appréciation des
Contexte Conclusion
risques

Questions / Remarques ?

38