Académique Documents
Professionnel Documents
Culture Documents
ÉVALUER L’ADEQUATION DU
MANAGEMENT DES RISQUES
EN UTILISANT LA NORME ISO 31000
Décembre 2010
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
Sommaire
Synthèse ........................................................................................................................................... 3
Introduction ..................................................................................................................................... 5
Gouvernance ..................................................................................................................... 7
Les activités d’assurance relatives aux risques significatifs et aux affirmations du management .......... 14
Auteurs ........................................................................................................................................... 24
2/24
CRIPP – Guide Pratique
Synthèse
3/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
4/24
CRIPP – Guide Pratique
Introduction
Le management des risques est de plus en plus reconnu risque. Il vise à fournir une assurance raisonnable quant
comme l’une des composantes essentielles d’une à l’atteinte des objectifs de l’organisation »2.
bonne gouvernance. Des pressions s’exercent sur les
organisations pour identifier les risques significatifs Selon la norme ISO 31000 (section 4.1), « le succès
auxquels elles sont confrontées (les risques sociaux, du management du risque va dépendre de l'efficacité
déontologiques et environnementaux, mais aussi les du cadre organisationnel de management qui fournit
risques stratégiques, financiers et opérationnels) et les bases et les dispositions permettant son intégration
expliquer comment elles les gèrent. L’utilisation de à tous les niveaux de l'organisme3 ». On entend par
cadres de management des risques à l’échelle de toute « cadre de management du risque » les composantes
l’entreprise (ERM) se développe au fur et à mesure que et l’organisation du management du risque au sein
les organisations prennent conscience des avantages d’une entité.
d’approches coordonnées.
La Norme 2120 indique que « l'audit interne doit
Le glossaire des Normes internationales pour la évaluer l’efficacité des processus de management des
pratique professionnelle de l’audit interne (les Normes) risques et contribuer à leur amélioration ». L’interpréta-
définit le management des risques comme « un proces- tion de ce principe est présentée ci-après.
sus visant à identifier, évaluer, gérer et piloter les événe-
ments éventuels et les situations pour fournir une « Interprétation : Afin de déterminer si les processus de
assurance raisonnable quant à la réalisation des objec- management des risques sont efficaces, les auditeurs
tifs de l’organisation »1. Un cadre complet de mana- internes doivent s’assurer que :
gement des risques explicite l’enchaînement et les
relations entre les objectifs, la stratégie et son déploie-
ment, les risques, les contrôles et le processus d’assu- 1
Cette définition correspond à celle que donne l’Organisation
rance à tous les niveaux de l’organisation. internationale de normalisation (ISO) : « activités coordonnées
dans le but de diriger et piloter un organisme vis-à-vis du
On parle couramment de management des risques de risque » (Guide ISO 73, 2009, définition 2.1)
l’entreprise (ERM) ou, de façon plus appropriée, de 2
Le management des risques de l’entreprise – COSO Report II,
management des risques à l’échelle de l’entreprise. Le IFACI – PriceWaterhouseCoopers, octobre 2005 (page 5)
COSO (Committee of Sponsoring Organizations of 3
© ISO. Extrait soit de la norme ISO 31000:2009, soit du
the Treadway Commission) en donne la définition Guide ISO 73:2009, reproduit avec l’aimable autorisation de
suivante : « un processus mis en œuvre par le conseil l’American National Standards Institute (ANSI) pour le compte
d’administration, la direction générale, le management de l’Organisation internationale de normalisation (ISO). Aucune
partie ne peut en être copiée ni reproduite, sous quelque forme
et l’ensemble des collaborateurs de l’organisation. Il
que ce soit, avec un système d’extraction électronique, ni autre-
est pris en compte dans l’élaboration de la stratégie ment mise à disposition sur Internet, un réseau public, par satel-
ainsi que dans toutes les activités de l’organisation. Il lite, ou autre, sans l’accord préalable écrit de l’ANSI. On peut
est conçu pour identifier les événements potentiels se procurer des exemplaires de cette norme auprès de l’ANSI,
susceptibles d’affecter l’organisation et pour gérer les 25 West 43rd Street, New York, NY 10036, téléphone :
risques dans les limites de son appétence pour le (212) 642-4900, http://webstore.ansi.org
5/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
• les objectifs de l’organisation sont cohérents avec ses composantes pour évaluer un processus de mana-
sa mission et y contribuent ; gement des risques. L’ISO 31000 n’est pas le seul
• les risques significatifs sont identifiés et évalués ; cadre couramment utilisé pour le management des
• les modalités de traitement des risques retenues sont risques, et le présent guide n’implique pas que cette
appropriées et en adéquation avec l’appétence norme soit celle adoptée par l’organisation.
pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées
et communiquées en temps opportun au sein de l’or-
ganisation pour permettre aux collaborateurs, à leur
hiérarchie et au Conseil d’exercer leurs responsa-
bilités.
6/24
CRIPP – Guide Pratique
Pouvoirs et
responsabilités
7/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
8/24
CRIPP – Guide Pratique
la surveillance permanente est poussée et efficace, ganisation. Les instances de gouvernance trouvent dans
moins les évaluations spécifiques sont susceptibles leur mandat la légitimité pour mettre en place les
d’être nécessaires. C’est au management de décider processus pertinents de délégation et de limitation des
de la fréquence des évaluations spécifiques qui lui pouvoirs. Ainsi, ils pilotent et déploient la stratégie dans
permettront d’obtenir une assurance raisonnable sur l’ef- une perspective de succès à long terme de l’organisa-
ficacité de l’ERM. Pour déterminer cette fréquence, le tion. Les processus d’assurance permettent notamment
management doit prendre en considération la nature au Conseil de surveiller le bon exercice de ces délé-
et l’ampleur des changements, la compétence et l’ex- gations.
périence des personnes qui mettent en œuvre les trai-
tements du risque et les contrôles connexes, la nature L’audit interne apporte une assurance sur l’ensemble du
des risques gérés et leur importance pour l’activité, processus de management des risques. Cette assu-
ainsi que les résultats de la surveillance permanente. rance porte notamment sur la gestion du risque (tant du
point de vue de sa conception que de son efficacité
La surveillance permanente est intégrée aux activités opérationnelle), sur le management des risques réper-
opérationnelles usuelles et récurrentes d’une entité. Elle toriés comme risques « majeurs » (en incluant l’efficacité
peut se révéler plus efficace que les évaluations spéci- des contrôles et les autres traitements du risque, etc.),
fiques car c’est une surveillance en temps réel, qui sur la vérification de la rigueur et de la fiabilité des
s’adapte et permet de réagir immédiatement à l’évolu- évaluations des risques, ainsi que sur les remontées
tion de l’environnement, et qui est ancrée dans l’entité. d’informations relatives au statut des risques et aux
C’est souvent la surveillance permanente qui permet de contrôles qui leur sont associés.
détecter le plus rapidement des problèmes alors que
les évaluations spécifiques interviennent généralement La responsabilité des activités de surveillance et d’as-
a posteriori. Les entités dont les activités de surveillance surance étant traditionnellement répartie entre différents
permanente sont fiables, procèdent néanmoins à une intervenants, dont le management opérationnel, l’audit
évaluation spécifique de l’ERM ou de certains aspects. interne, les spécialistes du risk management et les fonc-
Le niveau d’objectivité perçu est plus élevé pour les tions de conformité, il importe de les coordonner de
évaluations indépendantes (voir précédemment dans manière à ce que l’utilisation des ressources soit la plus
le texte) que pour l’auto-surveillance. efficiente et la plus efficace possible. Une organisation
comporte souvent plusieurs groupes distincts qui exer-
Une entité qui perçoit la nécessité de procéder cent, indépendamment les uns des autres, différentes
fréquemment à des évaluations indépendantes doit s’at- fonctions de conseil, de conformité ou d’assurance
tacher à améliorer ses activités de surveillance perma- liées au management des risques. Une coordination et
nente et, donc, à les renforcer plutôt qu’à en ajouter de une information inefficaces peuvent générer des
nouvelles. doublons ou empêcher la détection ou l’évaluation
appropriée de risques majeurs.
Ce sont les processus de gouvernance de l’organisa-
tion qui déterminent le besoin d’assurance. Il trouve son D’après la Norme 2050, le responsable de l’audit
origine dans les pouvoirs et les responsabilités respec- interne devrait coordonner ses activités avec ceux des
tives du Conseil et des autres parties prenantes de l’or- autres prestataires d’assurance. La cartographie des
9/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
10/24
CRIPP – Guide Pratique
La Norme 2100 dispose que « l'audit interne doit permettent le maintien et l’amélioration des contrôles
évaluer les processus de gouvernement d'entreprise, de existants ;
management des risques et de contrôle, et contribuer • les plans de traitement des risques sont exécutés ;
à leur amélioration sur la base d’une approche systé-
• le plan de management des risques prévoit un suivi
matique et méthodique ». La plupart du temps, l’audit
approprié et documenté des avancées.
interne a pour rôle de donner au Conseil une assu-
rance indépendante et objective sur l’efficacité des acti-
Pour soutenir le processus d’assurance, le processus de
vités de l’ERM. Cette approche permet de garantir que
management des risques :
les risques majeurs des activités sont gérés de façon
• définit un cadre de management des risques docu-
appropriée, et que le système de contrôle interne de
menté et spécifique à l’organisation ;
l’organisation est efficace et efficient.
• fournit une analyse structurée des risques de l’orga-
Le management des risques est un processus managé- nisation, en présentant :
rial qui favorise l’atteinte des objectifs de l’organisation - le ou les objectifs organisationnels et les risques
au meilleur rapport coût-efficacité ; les activités d’assu- qui y sont associés,
rance apportent des informations fiables sur les résultats - les expositions potentielles et les évaluations des
du management des risques. L’audit interne et le mana- risques actuels,
gement des risques sont donc des processus complé- - les propriétaires de la gestion de chaque risque,
mentaires.
- les principaux systèmes de contrôles mis en
place pour gérer chaque risque.
Pour soutenir le processus de management des risques,
il convient que l’audit interne et les autres prestataires
Il est fréquent que l’audit interne travaille en étroite
de services d’assurance indépendants évaluent si :
coopération avec la fonction de management des
• le processus de management des risques est mis en risques. Si cette fonction n’est pas dédiée, il arrive
œuvre de façon appropriée et si tous ses éléments souvent que l’audit interne fournisse un plus large éven-
sont adéquats et suffisants ; tail de services de conseil relatifs au management des
• le processus de management des risques est en risques. L’audit interne peut apporter ce type de
adéquation avec les orientations et les besoins stra- services sous certaines conditions :
tégiques de l’organisation. ; • Les managers doivent clairement rester responsables
• tous les risques significatifs ont été identifiés et sont du management des risques. Lorsque l’audit interne
traités ; les consulte pour mettre en place ou améliorer des
• les contrôles ont été correctement conçus et répon- processus de management des risques, son plan de
dent aux objectifs du processus de management du travail inclura une stratégie et un calendrier bien
risque ; définis pour transférer la responsabilité de ces acti-
• les contrôles critiques sont adéquats et efficaces ; vités au management.
• la revue effectuée par la direction opérationnelle et • L’audit interne ne peut pas donner une assurance
les autres activités d’assurance hors audit interne objective sur toute partie du management des
11/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
12/24
CRIPP – Guide Pratique
Dans les domaines à risque les plus élevés, pour pratique est axé sur les activités d’assurance qui appa-
lesquels le management a admis la nécessité d’amé- raissent dans la partie gauche de la figure 2, et que
liorer les contrôles, l’audit interne peut ajouter de la l’on peut classer en trois grandes catégories :
valeur par des activités de conseil. La partie centrale de • Assurance sur le processus de management des
la figure 2 présente les activités de conseil qui peuvent risques.
être fournies au niveau d’une entité ou d’une unité
• Assurance sur les risques significatifs et sur les affir-
opérationnelle/d’un département en préservant l’indé-
mations du management.
pendance et l’objectivité de l’audit interne.
• Suivi des progrès du plan de traitement des risques.
Même si ces activités de conseil peuvent constituer une
composante utile du plan d’audit, le présent guide
Consolider
stion
es
Coo
des r ment
des risqu
s
isque
e cadre de ge
rdon
Ac
c on es
ge
l
u
com
sei
mana
pa es risq
ner l
le reporting
pa
Fa
e
es
gne
qu
r le
cil
re du
ri s
ite
alid on
activ
r
développer l
r
Ex
la d
à v gesti
l’id
rl
v
er
am
u
ité
ou
e
en
en œ
qu
irec
in
ep
s de
er ri s
e
tifi
ie d
l
tion
ca
nc
a
ge du
éte
ti
mise
on
man
tég
on
Év sti sti
da
pp
alu on s
ue
Actualiser et
e
stra
et
e g
ns
l’a
agem
r la isq
ir la
de
l’é
de sr
sa
sp
ir
co
ne
le
v
s
s
f in
alu
mm su su r
ouvo
rin
r
er u
es
ent d
Dé
éac
un
ale
ati
ci
Éva ica pa oc éri
pr
on
bor
lue tio
ti o n
Prom
ux g
r le n es na ues
es ri
de
sp su r is ma risq
Éla
roc r le r d x
s
fac
qu i e u
ess sr fin c ea
ris
sque isque
us d isq es an fac
Dé
ea
sur
qu
eg
esti ue s éa gir
es
sm l’a er ue
ux
s
Donn on
des aje rer re d u risq
er ni è ise d
r
l’assu risq u rs Gé a a î tr ti on
rance ue s la m de m direc
que le
s risque e r de m e sures nom de la
id es au
s
s s on Déc vre d
t bien
évalu re e n œu
és Mett
Donner une assurance sur les la gestion des risques
processus de gestion des risq
ues Prendre la responsabilité de
Principaux rôles de l’audit Rôles légitimes de l’audit Rôles que l’audit interne
interne dans le processus de interne, sous réserve de ne doit pas jouer
management des risques prendre les précautions
nécessaires
13/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
14/24
CRIPP – Guide Pratique
15/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
Concernant les audits du processus de management communication et d’atténuation des risques, et des
des risques d’une organisation, la Modalité pratique activités de contrôle correspondantes ;
d’application 2120-1, Évaluer la pertinence des • déterminer si les informations ou rapports relatifs au
processus de management des risques, paragraphe 8, suivi des risques sont adressés au niveau hiérar-
indique : chique approprié ;
« Afin de se forger une opinion sur l’adéquation des • vérifier si les rapports concernant les résultats du
processus de management des risques, les auditeurs management des risques sont diffusés selon des
internes devront disposer d’éléments suffisamment modalités et dans des délais appropriés ;
probants et appropriés pour avoir l’assurance que les
• s’assurer du caractère exhaustif de l’analyse des
principaux objectifs de ces processus sont bien remplis.
risques effectuée par le management et des mesures
Pour recueillir ces éléments, l’auditeur interne peut
prises pour résoudre les points soulevés dans le
recourir aux procédures d’audit décrites ci-après :
cadre du processus de management des risques, et
• rechercher et analyser des informations sur le secteur proposer des améliorations ;
d’activité de l’organisation, l’évolution récente et les
• apprécier l’efficacité du processus d’auto-évaluation
tendances, ainsi que toute autre source d’informa-
mis en œuvre par le management, au moyen d’ob-
tion appropriée, afin de déterminer les risques
servations et de tests sur les procédures de suivi et
susceptibles d’affecter l’organisation et les procé-
de contrôle testant l’exactitude des informations utili-
dures de contrôle utilisées pour gérer, suivre et
sées dans le cadre des opérations de suivi, et par
réévaluer ces risques ;
d’autres techniques appropriées ;
• examiner les règles de l’entreprise ainsi que les
• examiner les signes de faiblesse éventuels du dispo-
procès-verbaux des délibérations du Conseil et du
sitif de management des risques et, le cas échéant,
comité d’audit afin de déterminer les stratégies de
les analyser avec la direction générale et le Conseil.
l’organisation, son approche du management des
S’il estime que le management a accepté un niveau
risques, son appétence pour le risque et son accep-
de risques non compatible avec la stratégie et les
tation des risques ;
procédures de l’organisation en matière de mana-
• examiner les rapports d’évaluation des risques gement des risques, ou jugé inacceptable pour l’or-
précédemment établis par le management, les audi- ganisation, l’auditeur se réfèrera à la Norme 2600
teurs internes ou externes et par tout autre interve- relative à l’acceptation des risques par le manage-
nant ; ment et aux lignes directives correspondantes pour
• organiser des entretiens avec l’encadrement opéra- des orientations complémentaires. »
tionnel et leur direction afin de déterminer les objec-
tifs de chaque branche d’activité, les risques Différentes techniques permettent d’obtenir des preuves
correspondants, et les mesures de suivi, de contrôle d’audit, notamment :
et d’atténuation des risques prises par le manage- • les observations, par exemple en étant présent
ment ; lorsque des activités relatives au management des
• recueillir des informations afin d’évaluer, en toute risques sont conduites aux différents échelons de
indépendance, l’efficacité du processus de suivi, de l’organisation ; au niveau des organes dirigeants et
16/24
CRIPP – Guide Pratique
jusqu’aux différents départements, programmes, Les preuves d’audit nécessaires diffèrent suivant le type
projets et collaborateurs ; d’avis que l’auditeur souhaite rendre. C’est l’assurance
• les entretiens ; affirmative qui apporte le niveau d’assurance le plus
élevé et qui requiert également le plus de preuves d’au-
• l’examen de documents, par exemple des ordres du
dit pour étayer l’opinion. A titre d’exemple, une telle
jour, des documents de travail et des procès-
opinion indique non seulement si les contrôles/proces-
verbaux, émanant notamment du conseil, de la
sus d’atténuation des risques sont adéquats et effi-
direction générale et d’autres comités de la direc-
caces, mais donne également une assurance
tion générale, des plans stratégiques ou des docu-
raisonnable que, si des preuves du contraire existaient,
ments d’aide aux décisions relatives aux
elles auraient été identifiées.
ressources ;
• les résultats des audits antérieurs ;
L’assurance négative n’apporte pas un niveau d’assu-
• les travaux réalisés par des tiers ; rance aussi important et ne nécessite donc pas autant
• les techniques analytiques, par exemple l’analyse de preuves d’audit. Lorsque l’auditeur rend une assu-
causale (root cause analysis) des défaillances détec- rance négative, il affirme, par exemple, que, sur la
tées ; base des travaux effectués, aucun point n’a attiré son
• la cartographie des processus ; attention. En rendant ce type d’opinion, l’auditeur n’en-
• l’analyse statistique, par exemple, l’analyse des dosse aucune responsabilité quant au caractère suffi-
types d’incidents ou de quasi-incidents (near-misses). sant du champ et des procédures d’audit pour déceler
tous les problèmes significatifs. Une telle opinion a
• l’analyse et l’évaluation des modèles de risques ;
généralement moins de valeur qu’une assurance posi-
• les enquêtes ; tive.
• l’analyse des auto-évaluations du contrôle interne.
On trouvera des recommandations plus complètes sur
Souvent, on utilisera une combinaison de plusieurs tech- les opinions dans le Guide pratique « Formuler et expri-
niques d’audit afin de rassembler des informations et mer une opinion d’audit ».
preuves d’audit suffisantes pour aboutir à une conclu-
sion. L’auditeur choisit la procédure la mieux appro- Les conclusions d’audit doivent être factuelles, objec-
priée compte tenu de l’objectif de sa mission. Il tives et reposer sur des preuves d’audit suffisantes. Les
détermine également si les ressources et les compé- preuves d’audit sont suffisantes lorsqu’elles sont docu-
tences requises sont disponibles pour effectuer tous les mentées, adéquates et concluantes, de sorte qu’une
travaux nécessaires à l’obtention d’une opinion suffi- personne prudente et informée pourrait parvenir aux
samment étayée. Si tel n’est pas le cas, l’auditeur doit mêmes conclusions que l’auditeur. Les preuves d’audit
se demander s’il ne serait pas prudent soit de refuser doivent être correctement documentées et organisées.
d’exprimer une opinion, soit d’assortir cette opinion de
réserves en excluant certains domaines ou risques de Le service d’audit ne doit pas donner, sans le savoir, de
l’univers sur lequel porte l’opinion. fausse assurance (cf. MPA 2120-2 : Évaluer la perti-
17/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
18/24
CRIPP – Guide Pratique
Un organe de direction doit être à même de détermi- sus de management des risques doit être défini en fonc-
ner dans quelle mesure le processus de management tion de l’organisation, de sa taille, de sa culture, de
des risques en place dans son organisation répond aux ses objectifs et de son profil de risque. Par conséquent,
besoins de cette dernière et respecte les bonnes le processus d’assurance doit lui aussi être défini en
pratiques généralement acceptées. La gestion des fonction des besoins de l’organisation.
risques étant une composante cruciale du dispositif de
contrôle interne, une lacune dans les processus de Il convient de valider les résultats de toute analyse théo-
management des risques indiquerait que le système de rique en examinant si, en pratique, le cadre de mana-
contrôle interne de l’organisation est déficient. gement du risque fonctionne efficacement. Autrement
dit, ce type d’activité d’assurance ne doit pas être
Il est important pour une organisation d’obtenir une mené isolément et doit toujours accompagner ou asso-
assurance sur son processus de management des cier les activités classiques d’assurance fondée sur le
risques. Il faut que cette assurance tienne compte du contrôle :
fait que l’auditeur interne n’est peut-être pas indépen- • si les risques sont efficacement identifiés et correc-
dant de la fonction risk management. Dans ce cas, on tement analysés ;
pourra faire appel à une tierce partie pour obtenir une
• si un traitement des risques et un contrôle adéquats
telle assurance.
et appropriés sont en place ;
• si la direction procède à une surveillance et à un
Pour évaluer un processus de management du risque,
examen efficaces pour détecter les changements
on peut recourir aux trois formes d’assurance
dans les risques et les contrôles.
suivantes6 :
• Approche par les éléments du processus.
• Approche par les principes clés. Approche par les éléments du proces-
sus
• Approche par le modèle de maturité.
19/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
20/24
CRIPP – Guide Pratique
et déterminent comment remédier au mieux à l’in- consacré et sont souvent considérés comme des coûts
certitude identifiée. de mise en conformité ou comme un poste obligatoire,
• Le management du risque est systématique, struc- qui vise davantage à rendre compte des risques qu’à
turé et utilisé en temps utile11. y remédier efficacement. Les processus de manage-
ment des risques efficaces sont construits progressive-
• Le management du risque s'appuie sur la meil-
ment, chaque étape du processus de maturité
leure information disponible12. L’obtention d’infor-
apportant une valeur additionnelle. L’approche par le
mations peut se révéler onéreuse et le processus doit
modèle de maturité permet d’évaluer le processus de
donner des indications sur ce qui peut être consi-
management des risques de l’organisation sur la
déré comme des informations suffisantes.
courbe de maturité, de sorte que le Conseil et la direc-
• Le management du risque est adapté13. Il ne s’agit tion générale peuvent juger s’il répond aux besoins de
pas d’un processus prêt à l’emploi : il doit être l’organisation et s’il se développe comme prévu.
adapté en fonction des activités de l’organisation.
• Le management du risque prend en compte les Un aspect crucial de l’approche par le modèle de
facteurs humains et culturels14. Les processus maturité est la mise en relation de la performance et
doivent être adaptés à la compétence et à la culture des progrès du management des risques concernant
des utilisateurs. l’avancement dans l’exécution du plan de management
• Le management du risque est transparent et du risque, et d’un système de mesure et de manage-
participatif15. La participation adéquate et en ment des performances. Les résultats ainsi obtenus
temps opportun des parties prenantes est néces- peuvent être présentés à la direction générale et au
saire. Conseil comme des preuves de l’amélioration du
management des risques. Un tel système se compose
• Le management du risque est dynamique, itéra-
généralement des éléments suivants :
tif et réactif au changement16. Le processus doit
être régulièrement examiné et adapté aux change- • Des règles de fonctionnement, tenant compte des
ments dans l’organisation et dans son environne- approches du management des risques en vigueur
ment, de sorte qu’il reste pertinent. et anticipant les besoins stratégiques à venir. Les
règles de fonctionnement s’appuient généralement
• Le management du risque facilite l'amélioration
sur une liste de d’exigences détaillées à l’aune
continue de l’organisme17. Le management du
desquelles tout progrès dans la mise en œuvre
risque doit gagner en maturité parallèlement aux
pourra être mesuré.
processus de l’organisation.
• Un guide sur la manière concrète de respecter les
règles et les exigences associées.
L’approche par le modèle de maturité • Un moyen de mesurer les performances effectives
au regard de chaque règle et de chaque exigence.
L’approche par le modèle de maturité part du postulat
de l’amélioration continue de la qualité du manage-
ment des risques d’une organisation. Les systèmes de
management des risques immatures ont un rendement 11
Ibid. 12
Ibid. 13
Ibid. 14
Ibid. 15
Ibid.
très faible par rapport à l’investissement qui y a été 16
Ibid. 17
Ibid.
21/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
• Un moyen d’enregistrer les performances et les L’évaluation des performances effectives est réalisée au
progrès et d’en rendre compte. regard de chaque règle de fonctionnement au moyen
• La vérification périodique indépendante de l’auto- d’un système de mesure de la maturité en fonction des
évaluation effectuée par le management. intentions, mais n’accorde la meilleure note que dans
le cas d’une mise en œuvre complète et d’une appli-
Les « principes » pratiques et essentiels détaillés dans cation effective de la règle. Le tableau ci-dessous
l’ISO 31000 doivent constituer le point de départ de présente un modèle envisageable pour mesurer la
toute évaluation de la maturité. Ces principes s’inté- maturité (d’après le concept original du Capability
ressent non seulement à la question « cet élément du Maturity Model développé par la Carnegie Mellon
processus ou du système existe-t-il ? » mais ils permet- University).
tent également de savoir si l’élément concerné est « effi-
cace et pertinent pour l’organisation ? » et si l’élément
concerné « est créateur de valeur ? ». En réalité, le prin-
cipe fondamental est que le management des risques
doit créer de la valeur.
NIVEAU DE
NUL TRÈS FAIBLE FAIBLE BON COMPLET
MATURITÉ
Signification Très peu voire Une conformité Conformité limi- Le manage- Conformité
pas de confor- limitée avec les tée à l’énoncé ment souscrit totale à
mité avec les exigences. Le des éléments. totalement au l’énoncé des
exigences. management Adhésion au principe, mais, éléments- en
soutient le prin- principe mais en pratique, la principe et en
cipe d’un mana- conformité limi- conformité n’est pratique, à tout
gement des tée en que partielle. moment et
risques, mais en pratique. partout.
pratique, l’appli-
cation des règles
est médiocre.
22/24
CRIPP – Guide Pratique
23/24
ÉVALUER L’ADEQUATION DU MANAGEMENT DES RISQUES
Auteurs
Relecteurs et contributeurs
24/24
À PROPOS DE L’IIA
Fondé en 1941, The Institute of Internal Auditors (IIA) est une organisation professionnelle internationale dont le
siège mondial se situe à Altamonte Springs, en Floride, aux États-Unis. L’Institute of Internal Auditors est la voix
mondiale, une autorite reconnue, un leader inconteste et le principal defenseur de la profession d’auditeur interne.
C’est egalement un acteur de premier plan pour la formation des auditeurs internes. Il est represente en France par
l’IFACI.
Les guides pratiques détaillent la réalisation des activités d’audit interne. Ils contiennent des processus et des pro-
cédures, tels que les outils et techniques, les programmes et les approches pas-à-pas, et donnent des exemples de
livrables. Les guides pratiques s’inscrivent dans le Cadre de référence international des pratiques professionnelles
de l'audit interne de l’Institute of Internal Auditors. Ces guides pratiques relèvent de la catégorie des dispositions
fortement recommandées. La conformité à ces guides pratiques n’est donc pas obligatoire, mais fortement re-
commandée. Ces guides ont été officiellement révisés et approuvés par l’IIA.
Pour de plus amples informations sur les documents de référence proposés par l’Institute, vous pouvez consulter notre
site Web, www.theiia.org/guidance ou www.ifaci.com.
AVERTISSEMENT
L’Institute of Internal Auditors publie ce document à titre informatif et pédagogique. Cette ligne directrice n’a pas
vocation à apporter de réponses définitives à des cas précis, et doit uniquement servir de guide. L’Institute of In-
ternal Auditors vous recommande de toujours solliciter un expert indépendant pour avoir un avis dans chaque si-
tuation. L’Institute dégage sa responsabilité pour les cas où des lecteurs se fieraient exclusivement à ce guide.
COPYRIGHT
Le copyright de ce guide pratique est détenu par l’Institute of Internal Auditors et par l’IFACI pour sa version fran-
çaise. Pour l’autorisation de reproduction, prière de contacter l’Institute of Internal Auditors à l’adresse
guidance@theiia.org ou l’IFACI à l’adresse recherche@ifaci.com