Gestion des Risques de l'organisation: quel rôle pour l'auditeur interne?

Par Joseph-Marie NYASSA

La gestion des risques est de plus en plus au coeur des préoccupations des dirigeants d’entreprises ou d’institutions publiques. Dans un contexte de quête d’efficience plus marquée, de diversification d’outils de gestion et de développement de partenariats, la gestion de risques devient un élément incontournable du mangement au sein de toute organisation. Elle participe à l’optimisation des ressources comme à l’atteinte des objectifs. Quelle que soit l’excellence des approches verticales, elles ne sont pas suffisantes lorsque les risques se multiplient, s’entrecroisent, et interagissent les uns avec les autres. Désormais, le risque s’invite, au cœur du management partout dans le monde. Parce que l’information se déplace plus vite, la réputation d’une organisation est plus facilement affectée en bien ou en mal. La prise de risque peut être imposée par des circonstances ou recherchée consciemment : une entreprise peut ainsi décider de prendre plus de risques pour accroître ses opportunités, sa visibilité et sa compétitivité. Plus que jamais, des normes de gestions élevées doivent prendre en compte les contextes et les risques pour atteindre une qualité optimale et améliorer les résultats. Grâce à son éventail de compétences et à son expérience, l’auditeur interne est bien placé pour jouer un rôle précieux dans la gestion de risques d’une organisation. Il peut assumer divers rôles dans le cadre de ce dispositif, dont certains correspondent aux activités d’assurance définies

dans une charte d’audit interne, et d’autres peuvent être des activités de conseil visant à aider l’organisation à améliorer ses processus de gouvernance, de gestion de risques et de contrôle. Toutefois, l’auditeur interne doit mettre en place des mesures de précaution appropriées afin d’éviter d’accepter des rôles qui reviendraient à assumer des responsabilités de management, ce qui compromettrait son objectivité et son indépendance.

Il n’est nullement question ici de présenter toutes les approches notionnelles du risque, mais bien plutôt d’en cerner les points significatifs. Alors on dira simplement que le risque, désigne l'effet de l'incertitude sur l'atteinte des objectifs (Norme ISO 31 000 : 2018). Il exprime par ailleurs, la probabilité et les répercussions d'un événement plus ou moins prévisible, ne dépendant pas exclusivement de la volonté des parties, susceptible de nuire à l'atteinte des objectifs de l'organisation et pouvant menacer le succès d’une solution en termes de coûts, de revenus, d’échéancier et de qualité. Il est important de noter que le risque peut se rapporter à une incertitude négative, communément désignée menace, ou à une incertitude positive communément désignée opportunité. Le risque est aussi perçu comme l’expression de la probabilité et de l’impact d’un événement incertain, soudain et extrême qui, s’il advenait, pourrait avoir un impact positif ou négatif sur la réalisation d’un projet ou d’un objectif de programme. Enfin, un risque représente donc tout autant une opportunité potentiellement manquée qu’une menace potentielle.

La gestion de risques peut être considérée, comme une démarche systématique visant à établir la meilleure façon de procéder dans des circonstances incertaines par la détermination, l'évaluation, la compréhension, le règlement et la communication des questions liées aux risques. Autrement dit, la gestion de risques est une approche systématique du risque à l’échelle d’une organisation qui consiste à identi?er, apprécier, comprendre, traiter et communiquer les risques. La gestion de risques relève de la direction d'une entreprise. Outre son utilité et son importance, elle contribue à augmenter la performance et à améliorer l'efficacité d'une organisation. Ainsi, les exigences en termes de sécurité sont appliquées, les impondérables mieux évalués voire même contournés, ce qui permet de garantir les objectifs de l'organisation et des systèmes. Dans un environnement concurrentiel de plus en plus acharné, la gestion de risques devient alors une priorité primordiale. Adopter une gestion de risques et maitriser tous les aspects d’un processus permet à une organisation de :

• Cibler les points faibles de son activité pour faire en sorte de les atténuer, voire qu’elles deviennent des forces ;
• Diffuser la culture risques dans l’entreprise ;
• Prévoir des alternatives face aux risques ;
• Amélioration des conditions de travail dans l’entreprise ;
• Générer des gains socio-économiques ; 
• Mener des réflexions sur l’organisation du travail (gain de temps, meilleure gestion des ressources humaines. etc.) ; 
• Anticiper pour éviter les nouveaux risques liés aux évolutions techniques et aux changements d’organisation, ou encore prévenir des risques à effets différés;
• Améliorer l’efficacité productive de l’entreprise ;
• Avoir une démarche de prévention pérenne et efficace, etc.

Il faut dire que, dans pareille situation, le rôle essentiel de l’auditeur interne consiste à apporter au Conseil une assurance objective quant à l’efficacité de cette activité, afin que les principaux risques de l’organisation soient gérés correctement et que le système de contrôle interne fonctionne bien. Le Cadre de Référence International des Pratiques Professionnelles de l’Audit Interne, comprend une prise de position à cet effet qui expose les différentes possibilités d’action pour les auditeurs internes dans ce domaine. Elles sont au nombre de trois :

1/ Principaux rôles de l’auditeur interne, correspondant aux activités d’assurance et qui s’inscrivent dans un objectif plus large de donner une assurance sur les activités de gestion de risques qui sont les suivantes :

• Donner une assurance sur les processus de gestion de risques ;
• Donner l’assurance que les risques sont bien évalués ;
• Evaluer les processus de gestion de risques ;
• Evaluer la communication des risques majeurs ; examiner la gestion des principaux risques ;
• Examiner la gestion des principaux risques.

2/ Rôles légitimes de l’auditeur interne, sous réserve de prendre les précautions nécessaires.

L’auditeur interne, réalise des activités de conseil qui améliorent les

processus de gouvernance, de gestion de risques et de contrôle de l’organisation. Ces activités se présentent ainsi qu’il suit :

• Faciliter l’identification et l’évaluation des risques ;
• Accompagner la direction dans sa réaction face aux risques ;
• Coordonner les activités de gestion de risques ;
• Consolider le reporting de risques ;
• Actualiser et développer le cadre de gestion de risques ;
• Promouvoir la mise en œuvre de la gestion de risques ;
• Elaborer une stratégie de gestion de risques à valider par le Conseil.

3/ Rôles que l’auditeur interne ne doit pas jouer, car ceux-ci compromettraient l’indépendance et l’objectivité de l’auditeur interne, ces activités relevant du mangement. Il s’agit :

• Définir l’appétence pour le risque ;
• Définir des processus de gestion de risques ;
• Gérer l’assurance sur les risques, c’est-à-dire constituer la seule source d’assurance pour le management que les risques sont correctement gérés, ce qui reviendrait à exécuter une fonction de gestion, pour l’audit interne ;
• Décider de la manière de réagir face aux risques ;
• Mettre en œuvre des mesures de maitrise de risque au nom de l’organisation ;
• Prendre la responsabilité de la gestion de risques.

L’auditeur interne recueille des attentes de la direction en ce qui concerne le rôle de l’auditeur interne dans le processus de gestion de risques de l’organisation. Ce rôle est précisé dans une charte d’audit interne. Les responsabilités de l’auditeur interne doivent être coordonnées avec tous les groupes ou les personnes qui interviennent dans le processus de gestions de risques de l’organisation. Il faut dire que le rôle de l’auditeur interne dans le processus de gestion de risques d’une organisation peut évoluer dans le temps et revêtir les formes suivantes entre autres :

• Audit du processus de gestion de risques dans le cadre du programme d’audit interne ;
• Soutien actif et continu, participation au processus de gestion de risques, notamment dans le cadre de comités de surveillance, d’activités de suivi et de rapports officiels ;
• Gestion et coordination du processus de gestion de risques

En définitive, il incombe à la Direction et au Conseil, de déterminer le rôle de l’auditeur interne dans le processus de gestions de risques. Leur vision dans ce domaine dépend de facteurs tels que la culture de l’organisation, la compétence de l’équipe d’audit interne, les us et coutumes du pays.

Ces orientations, mettent en évidence, la nécessité de porter à la connaissance du management les conséquences d’une absence de gestion de risques, et de formuler des suggestions en vue de la mise en place initiale d’un processus de gestions de risques au sein de l’organisation. Les auditeurs internes, outre leur mission classique d’assurance, assument alors un rôle de conseil en vue de l’amélioration des processus fondamentaux.

En conséquence, il :

• Détermine si les objectifs de l’organisation, qui constituent le point de départ de la gestion de risques, sont clairement définis et suffisamment compris dans l’ensemble de l’organisation ;
• Apporte un point de vue sur la nature et l’efficacité de l’environnement de contrôle, afin de donner une assurance à la Direction et au Conseil, quant à l’absence de facteurs, répandus à l’échelle de l’entité, susceptibles de compromettre l’efficacité de la gestion de risques ;
• Facilite la détermination de l’appétence pour le risque et des seuils de tolérance au risque de l’organisation afin de s’assurer que ces critères sont définis, approuvés par le Conseil, et compris dans l’ensemble de l’organisation 

• Identifie les évènements susceptibles de comporter des risques et compléter la liste établie par le mangement ;
• Facilite l’évaluation et la hiérarchisation des risques afin d’aider le management à s’assurer que les risques appropriés sont traités ;
• Apporte des conseils sur les critères d’évaluation des risques autres que l’impact et la probabilité, à savoir la vitesse et la volatilité, qui peuvent influencer la hiérarchisation des risques ;
• Apporte des conseils sur le choix des modalités de traitement de risques afin d’aider le mangement à déterminer si les solutions choisies permettront d’optimiser la gestion des risques prioritaires ;
• Aide le management à surveiller les environnements interne et externe afin d’identifier les risques nouveaux et émergents ;
• Présente les constats d’audit sous une forme qui permette au management de comprendre l’adéquation de la conception et le fonctionnement effectif des activités de gestion de risques ;
• Réalise une évaluation globale du système de gestion de risques, en l’occurrence référentiel et processus, afin de donner une assurance quant à l’adéquation de sa conception et à son fonctionnement effectif.

Il faut dire que la norme ISO 31 000 : 2018, donne une vue d’ensemble de la gestion des risques, qui comprend des principes, un cadre organisationnel et un processus de gestion de risques. Elle est de plus en plus reconnue sur le plan mondial et est, en règle générale, cohérente avec le dispositif de mangement de risques du COSO.

La gestion de risques signifie tirer profit des perspectives profitables et prendre des risques sur la base d’une décision informée et d’une analyse de résultats. Dans une acception globale, la gestion de risques n'est pas destinée à contraindre le développement de l’organisation, à l'immobiliser ou à limiter les risques qu'elle prend. Au contraire, son but est de contribuer à maximiser la finalité de chaque organisation pour un profil de risque choisi, de faire en sorte que le choix de ce profil de risque soit aussi conscient et transparent que possible pour l'ensemble des partenaires.

Ainsi, l’augmentation des risques et la fréquence des défaillances mettent en évidence la nécessité de disposer d’outils de maîtrise de risques de plus en plus efficaces. La conduite d’activités impose désormais une véritable culture de contrôle diffusée aussi bien dans les fonctions administratives que dans les fonctions opérationnelles des organisations. C’est à ce niveau que l’auditeur interne intervient.

L'auditeur interne doit renforcer la gestion et la maitrise des risques, en apportant un niveau de protection supplémentaire. Son rôle et son importance augmentent considérablement ainsi que les attentes des principales parties prenantes que sont le Conseil et la Direction générale. L’auditeur interne dispose d’un large mandat qui couvre les aspects ?nanciers et opérationnels, les technologies de l’information, la conformité/la réglementation ainsi que les risques stratégiques. À ce titre, son rôle est désormais primordial dans le processus de gestion de risques, en tant que troisième ligne de maitrise interne.