atelier a7 - amrae · l’audit interne participe, en dernier ressort et en tant que contrôle...

Atelier A7

Audit de la gestion globale des risques :

efficacité ou conformité ?

1

Intervenants

Modérateur

Gilles Maindrault

Directeur des risques du Groupe La Poste

[email protected]

Michel Pozzo di BorgoResponsable du pôle risques opérationnels de la Banque de [email protected]

Annie BressacDirecteur de l’audit et du contrôle interneFondation Apprentis d’Auteuil

[email protected]

Jean-Pierre Hottin

2

Associé, [email protected]

Intervenants

Modérateur

Gilles Maindrault


[email protected]



[email protected]

Jean-Pierre Hottin

3


Audit de la gestion des risques

Jean-Pierre Hottin, PwC

Gestion des risques : un objet d’audit essentiel

• Complexité croissante des

organisations et du

business

• Multiplication des crises

non anticipées

• Vitesse de communication

• Pression règlementaire

• …

Risques émergents mal ou tardivement

identifiés

Difficulté à expliciter une stratégie en

matière de gestion des risques

(appétence)

Dispositif parfois perçu comme

amenant de la lourdeur à l’organisation

Coexistence de multiples approches au

sein d’un même groupe

…

Un processus à enjeux… présentant de nombreux challenges

4



Une proposition des grandes lignes

d’un référentiel d’audit

Cinq thèmes :

Environnement, culture du risque et gouvernance de la gestion des risques

Processus, méthodes et outils

Articulation avec le contrôle interne et les autres démarches contribuant à la

maîtrise des risques

Intégration dans les processus de pilotage de l'organisation

Intégration dans le processus de gestion des investissements et les projets

5

Quelques exemples de questions à investiguer :

• Les rôles et responsabilités du management, des dirigeants et des

administrateurs sont-ils clairement définis ? Sont-ils cohérents avec les

principes généraux d’organisation de l’entreprise et les délégations de

pouvoirs ?

• L’attitude face aux des collaborateurs est-elle cohérente avec celle du

management et des dirigeants ? Existe-t-il une définition de l’appétence aux

risques partagée au sein de l’organisation ?

• Les équipes en charge de l’animation du dispositif de gestion des risques

ont-elles les compétences et la légitimité nécessaires à l’exercice de leurs

responsabilités?

• …

Environnement, culture du risque et

gouvernance de la gestion des risques


Jean-Pierre Hottin, PwC 6

Processus, méthodes et outils

• Les méthodes préconisées pour évaluer les risques sont-elles comprises par tous les

managers contribuant à l’analyse des risques ?

• Le reporting sur les risques est-il fiable ?

• Comment sont abordés les risques émergents et les risques à très fort impact et faible

probabilité ?

• …



Articulation avec le contrôle interne et les autres démarches

contribuant à la maîtrise des risques

• Comprendre les zones d’intervention des différentes démarches, leur portée,

et s’assurer de leur cohérence : exemple de la cartographie des activités

d’assurance



Intégration dans les processus de pilotage de l'organisation

• Comment et à quelle étape les risques sont-ils abordés dans les processus ?

Un exemple de pratiques intégrant risques et exercice budgétaire.



Intégration dans le processus de gestion

des investissements et les projets

• Comment les risques sont-ils pris en compte à toutes les étapes du

processus d’investissement ?

Par exemple au niveau de la préparation du dossier les risques de non

réalisation de l’investissement sont-ils analysés ? Si oui quelles sont les

natures de risques considérées ? Comment sont pris en compte les risques

liés à la pérennité des actifs physiques ?





Conclusion

Les enjeux d’un audit de la gestion des risques

• Définir les objectifs de l’audit

– Existence ou performance du dispositif

– Périmètre couvert

• Avoir accès à l’ensemble des acteurs impliqués au delà des acteurs en charge de

l’animation et du contrôle du dispositif

– Principales directions fonctionnelles (Qualité, Ressources humaines, Contrôle de

Gestion, ….)

– Management opérationnel

– Organes de gouvernance

• Garantir indépendance et objectivité de l’auditeur

• Disposer des compétences au sein de l’équipe d’auditeurs

11

Intervenants

Modérateur

Gilles Maindrault


[email protected]



[email protected]

Jean-Pierre Hottin

12


L’apport de l’audit interne à un management des risques efficient 13

Annie Bressac

Le rôle de l’audit interne au regard du management des risques

S’appuie sur /Réalise une évaluation

des risques

L’audit interne

Le dispositif de management des risques

Accompagne

Contribue

Evalue

13


Annie Bressac

L’évaluation du management des risques au

cœur de la mission de l’audit interne

Définition (Cadre de référence international des pratiques

professionnelles de l’audit interne)

• L’audit interne est une activité indépendante et objective qui

donne à une organisation une assurance sur le degré de maîtrise

de ses opérations, lui apporte ses conseils pour les améliorer, et

contribue à créer de la valeur ajoutée.

• Il aide cette organisation à atteindre ses objectifs en évaluant,

par une approche systématique et méthodique, ses processus

de management des risques, de contrôle, et de

gouvernement d’entreprise, et en faisant des propositions

pour renforcer leur efficacité.

14

Audits de conformité ?

• Audit de conformité comparaison de l’existant par rapport

à un référentiel

– Référentiel interne : les principes, règles et composantes du dispositif de

management des risques de l’organisation

Exemple : s’assurer que la démarche d’auto-évaluation des risques est

déployée dans les différentes entités de l’organisation conformément aux

méthodes et procédures définies

– Référentiel externe : COSO 2, FERMA, ISO 31000, réglementation

bancaire, cadre de référence AMF…

Il peut être utilisé comme grille d’analyse du dispositif de management des

risques

15


Annie Bressac

Audits d’efficacité?

• Audit d’efficacité Quels objets ? Quels critères ?

Normes professionnelles de l’audit interne (Modalités pratiques

d’application MPA 2120-1)

« Afin de déterminer si les processus de management des risques

sont efficaces, les auditeurs internes doivent s’assurer que :

• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;

• les risques significatifs sont identifiés et évalués ;

• les modalités de traitement des risques retenues sont appropriées et en

adéquation avec l’appétence pour le risque de l’organisation ;

• les informations relatives aux risques sont recensées et communiquées en

temps opportun au sein de l’organisation pour permettre aux collaborateurs,

à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

les processus de management des risques sont surveillés par des activités de

gestion permanente, par des évaluations spécifiques ou par ces deux

moyens. » 16


Annie Bressac

L’audit interne a vocation à évaluer la conformité ou

l’efficacité de toutes les composantes

du dispositif de gestion des risques

Cadre organisationnel:

• Rôles et responsabilités des acteurs,

• Politique de gestion des risques,

• Système d’information interne et externe

Processus de

gestion des risques

Identification

Analyse

Traitement

Pil

ota

ge e

n c

on

tin

u

Une condition :

indépendance et

objectivité

17


Annie Bressac

Pour un management des risques efficace

Contrôles

Contrôles

Risques

Audits

•L’audit interne doit veiller au lien entre le processus de gouvernement

d’entreprise et celui de gestion des risques :

–Prise en compte du risque dans la détermination de la stratégie

–Cohérence du processus de gestion des risques avec la gouvernance : appétence

pour le risque, culture du risque,…

•L’audit interne doit veiller à la bonne coordination entre les différents

prestataires d’assurance, entre les acteurs de la gestion et de la maîtrise

des risques

18


Annie Bressac

L’audit du dispositif de gestion des risques :

des formes et des modalités variées

• L’audit interne contribue à l’évaluation de la gestion des risques au

travers de l’ensemble de ses activités et de ses missions :

– Il valide ou actualise l’analyse des risques réalisée dans le cadre du

processus de cartographie des risques

– Il apporte une évaluation sur l’efficacité du traitement des risques (évaluation

du dispositif de contrôle interne)

– Il contribue à la surveillance des risques en concentrant ses missions sur les

domaines / activités les plus exposées

– Il évalue le processus d’information des managers et des dirigeants sur

l’exposition aux risques

– Il apprécie la diffusion d’une culture du risque et l’appropriation du processus

de gestion des risques

– Donne une assurance sur le degré de maîtrise des domaines / activités les

plus risquées

19

Intervenants

Modérateur

Gilles Maindrault


[email protected]



[email protected]

Jean-Pierre Hottin

20


Audit interne et Management des risques

L’audit interne opère un contrôle de 3ème niveau (après le contrôle opérationnel hiérarchique et le contrôle permanent spécialisé).

2 aspects / 2 angles de vue :

1. L’audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion des risques, composé des contrôles de 1er et de 2ème niveau (vue « externe ») ;

2. L’audit interne participe, en dernier ressort et en tant que contrôle périodique, à ce dispositif de contrôle interne et de gestion des risques (contribution interne).

21


1. L’audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion des risques.

• L’audit interne assiste la direction générale dans sa responsabilité de mettre en place un dispositif efficace de contrôle interne et de gestion des risques

• L’audit interne est un interlocuteur privilégié du comité d’audit du CA dans sa mission de s’assurer de l’existence et de l’efficacité du dispositif de management des risques (ordonnance du 8 décembre 2008)

l’audit interne contribue à l’évaluation globale du dispositif de management des risques : il mène des missions sur l’architecture et le fonctionnement du dispositif ; il apporte un jugement et une assurance « raisonnable » sur son efficacité

L’audit interne doit conserver son indépendance de jugement et

rapporter au plus haut niveau de l’entreprise

22


2. L’audit interne participe, en dernier ressort et en tant que contrôle périodique, de ce dispositif de contrôle interne et de gestion des risques

• L’audit interne n’ausculte pas que le dispositif global, mais aussi des sous-ensembles du dispositif : par domaine d’activité, par unité d’affaire ou société, par territoire, par fonction, par facteur de risque

le plan d’audit est élaboré en tout ou partie sur la base de la cartographie des risques : examen des dispositifs et plans de maîtrise des risques

Les missions d’audit contribuent à l’identification et à l’évaluation des risques et facteurs de risque (constats) ainsi qu’à la définition des plans de maîtrise (recommandations)

• L’échange formel et informel entre audit interne et management des

risques favorise en soi l’efficacité du dispositif (complémentarité des points de vue et contrôle de cohérence)

L’indépendance est compatible avec la coopération

23

Conseil d’AdministrationComité d’audit

COMEX Président directeur général

Directeur des risques du Groupe

Directeur de l’audit et des risques du Groupe

Cartographie des risques majeurs

Missions d’audit

Plan d’audit

Audit de Groupe

Une organisation qui facilite la coopération dans l’indépendance

24

Le processus d’élaboration de la cartographie des risques majeurs du Groupe

Cartographie des risques majeurset

Plan de maîtrise des risques

COMEX, puisComité d’audit

Rapports d’audit(constats et

recommandations)

Cartographies / PMR sectoriels

Entretiens avec les dirigeants- leur analyse stratégique- leurs préoccupations

25

Le processus d’élaboration du plan d’audit

Plan d’audit du Groupe

COMEX, puisComité d’audit

Échange avec audits des métiers

Cartographie des risques majeurs

du Groupe

Demande des dirigeants

26


Le cas particulier des groupes multi métiers et multi

entités : l’organisation matricielle du Groupe peut induire

une organisation matricielle

1. du management des risques d’une part,

2. de la fonction d’audit d’autre part

avec, dans les deux cas, un croisement entre les axes

« métiers » et « grandes fonctions ».

27


Cela nécessite :

tant pour l’audit interne que pour le management des risques,

et se traduit par :

• une coopération à tous les étages

• une consolidation et une animation fédérative au niveau

corporate (Comité des risques du Groupe; Comité de liaison de

l’Audit)

• une collaboration à la fois plus riche et plus complexe entre les

filières « audit » et « management des risques »

• une organisation du management des risques qui reflète

l’arborescence des responsabilités avec un audit corporate

intervenant davantage sur les macro risques du Groupe et des

audits de métiers plus axés sur les risques opérationnels28

Intervenants

Modérateur

Gilles Maindrault


[email protected]



[email protected]

Jean-Pierre Hottin

29


Contexte

Appréciation des risques (opérationnels) lors des missions d’audit interne

Conclusion

Plan

30

LE CONTRÔLEUR GÉNÉRAL

Conseiller pour la sûreté

DPR

Direction de la prévention des risquesInspection générale

Détachements

RSI

Sécurité de l’information

PRAAC

Pôle risques : assistance à

l’analyse et à la consolidation

Division des

recherches extérieures

Cabinet de

l’Inspection générale

Audit des services

centrauxAudit du réseau

Contrôle sur place

des établissements

de crédit

Audit général

SRCCV

Audit informatique

SCCV

ContexteAppréciation des

risquesConclusion

La Direction de la Prévention des Risques

31

Rapports

de missions

Autorités de la Banque

Cartographie générale

des risques

Ligne d’activité 2

Succursale x

Ligne d’activité 1 Ligne d’activité N

« propriétaires » de leurs risques

Région 1

Succursale y

Région 22

AUDIT

Appréciation

du contrôle

de 1er niveau

(donc des risques)

PRAAC

Méthodologie

AssistanceReporting Risques

pour consolidation


risquesConclusion

L’organisation transversale de la maîtrise des risques

32

Sur le terrain : interactions entre l’audit interne et les acteurs du risque


risquesConclusion

AuditActeurs du risque

(RM, SRCMR)

• Rencontres avec les Risques Managers (RM) des lignes opérationnelles et

les correspondants régionaux (SRCMR)

• Vérifications / Appréciations des risques et des contrôles internes

auto-évalués par la ligne opérationnelle

• Discussions sur le niveau de risque proposé dans la recommandation (FAR)

33


risquesConclusion

Déroulement de la mission: Élaboration des constats /

recommandations

1. Les références des processus proviennent de la nomenclature définie par la

méthodologie de risque management (AMARIS).

2. Le constat exprime les faiblesses, les dysfonctionnements, les points

de non-conformité… et plus généralement les situations susceptibles de présenter

un risque pour la Banque.

3. Les risques sont décrits en identifiant :

• Les causes (facteurs explicatifs structurels du constat, sur lesquels il faut agir selon la

typologie AMARIS)

• L’impact (conséquences possibles des faiblesses diagnostiquées)

• La probabilité (potentialité de survenance du risque)

• La gravité résiduelle du risque (impact x probabilité)

4. La recommandation : action préconisée par l’Audit visant à réduire le risque.34


risquesConclusion

FAR N°FAR déposée le : « date de dépôt »

Constat validé le : « date de validation »

Plan d’action validé par l’Audit le : « date de validation »

Thème :

Typologie du risque Appréciation du risque

10 risques (niveau 2 de Amaris) Fort, moyen ou faible

Contexte

Référentiel

Constat

Risques

Causes

Recommandation n° X

Service responsable de la mise en œuvre : « nom du service »

Autre(s) Service(s) responsable(s) de la validation des

constats :

« nom du(es) service(s) »

Service(s) destinataire(s) pour information : « nom du(es) service(s) »

Réponse du service responsable de la mise en oeuvre

Acceptée :Plan d'action :

Responsable :Échéance : mois et annéeDescription des mesures :

Refusée :Motif du refus :

methodologieAMARIS

= évaluation du risque

= impact du risque

(financier, image, objectif)

= classification du risque

Les constats d’audit sont exprimés selon la méthodologie AMARIS

35

Appréciation du risque par l’audit interne : l’outil de terrain

Mise en œuvre de matrices de concordance entre cartographies de risques et FAR de l’audit pour :

• Mieux analyser les écarts de perception des risques entre RM et auditeurs.

• Disposer d’un support d’échanges pour une vision partagée du risque.

> Objectiver les cartographies

L’Audit


risquesConclusion

Cette table de concordance ne doit en aucun cas conduire à un alignement

automatique d’une des approches sur l’autre.!36

Audit et risk-management : des expressions du risque parfois différentes… et pourtant complémentaires

• Le risque est exprimé à partir

d’un constat factuel et

incontestable

• Les constats négatifs

s’expriment souvent à un niveau

très détaillé l’expression du

risque également

• Difficulté d’utilisation des

matrices de cotation globales

• Le risque correspond souvent

au meilleur « dire d’expert » à

un instant donné

• Le « niveau » d’analyse du

risque est variable

(progressivité des démarches)

• Auto-évaluation tendance

naturelle à sur / sous-

évaluation, subjectivité


risquesConclusion

37


risquesConclusion

Questions / Remarques ?

38

atelier a7 - amrae · l’audit interne participe, en dernier ressort et en tant que contrôle...

Documents