7 Apport de l'audit interne dans la gestion des risques

Définition de risque
Selon COSO : la possibilité qu’un événement survienne et ait un impact défavorable sur la réalisation des objectifs
Selon ISO : l’effet de l’incertitude sur les objectifs
La classification des risques
Jean-David a présenté les différentes classes de risques auxquelles l’entreprise est exposée, selon deux approches :
l’une, relative à l’homme
l’autre, relative à l’environnement de l’entreprise elle-même
Sur la base de cette représentation, du macroéconomique vers le microéconomique, de l’individu vers le groupe, il a
défini et positionner les différentes classes de risques au sein de cette
pyramide.

La gestion des risques

Selon COSO : « Le management des risques est un processus mis en œuvre par le Conseil d’administration, la
Direction générale, le management et l'ensemble des collaborateurs de l’organisation.
Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu
pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites
de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de
l'organisation ».

Dans la pratique, toute organisation définit une stratégie, puis la décline en objectifs auxquels tous
les processus devront répondre.

Les objectifs de la gestion des risques

 Créer et préserver la valeur, les actifs et la réputation de la société;

 Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs;
 Favoriser la cohérence des actions avec les valeurs de la société;
 Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques et les sensibiliser
aux risques inhérents à leur activité.

Processus de gestion des risques

Le processus de management du risque établi par la norme ISO 31000 comprend les activités suivantes:

 L'établissement du contexte : Consiste à comprendre et à accepter les facteurs tant internes qu'externes qui
influeront sur le management du risque.
 L'appréciation du risque : Consiste à identifier les risques, à les analyser en tenant compte de leurs causes, leurs
origines et leurs conséquences, et à les évaluer afin de déterminer lesquels
devraient être traités en premier.
 Le traitement du risque : Les différentes solutions possibles sont :
Évitement des risques: Il s'agit d'éviter le risque en ne s'engageant pas dans des activités qui pourraient déclencher le
risque;
Réduction des risques: La réduction des risques consiste à mettre en place des contrôles pour réduire la probabilité et
l’impact des risques;
Partage de risque: Dans cette technique, le risque est transféré à une autre partie, comme un assureur;
Acceptation du risque : l'organisation préfère accepter le risque à son niveau actuel plutôt que de dépenser de
précieuses ressources pour appliquer l'une des autres modalités de traitement des risques.

 La surveillance du risque : Afin d'identifier la survenue d'un événement comportant un risque et de déterminer si
les modalités de traitement des risques ont les effets escomptés.
 L'établissement d'un processus de communication : Afin de s'assurer que l'information circule de manière
ascendante, descendante et transversale au sein de l'organisation et contribue ainsi au processus de management
du risque
Le rôle de l'audit interne dans la gestion des risques

« La Norme 2120, Management des risques, précise que « l'audit interne doit évaluer l'efficacité des processus de
management des risques et contribuer à leur amélioration »
« Concernant le management des risques de l’entreprise, le rôle essentiel de l’audit interne consiste à apporter au
Conseil une assurance objective quant à l’efficacité des cette activité, afin que les principaux risques de l’entreprise
soient gérés correctement et que le système de contrôle interne fonctionne bien ».

Principaux rôles de l'audit interne :

 Donner une assurance sur les processus de gestion des risques ;
 Donner l'assurance que les risques sont bien évalués; •
 Evaluer les processus de gestion des risques ;
 Evaluer la communication des risques majeurs ;
 Examiner la gestion des principaux risques.

Rôles légitimes de l'audit interne, sous réserve de prendre les précautions nécessaires :
 Faciliter l'identification et l'évaluation des risques ;
 Accompagner la direction dans sa réaction face aux risques;
 Coordonner les activités de management des risques;
 Consolider le reporting des risques ;
 Actualiser et développer le cadre de gestion des risques ;
 Promouvoir la mise en œuvre du management des risques ;
 Elaborer une stratégie de gestion des risques à valider par le Conseil.

Rôles que l'audit interne ne doit pas jouer :

 Définir l'appétence pour le risque;
 Définir des processus de gestion des risques ;
 Gérer l'assurance sur les risques ;
 Décider de la manière de réagir face aux risques ;
 Mettre en œuvre des mesures de maîtrise du risque au nom de la direction ;
 Prendre la responsabilité de la gestion des risques.
 Le choix de traitement des risques