Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Master : Management audit et contrôle Module : Risk management  Présentée par

Master : Management audit et contrôle Module : Risk management  Présentée par :  Encadrée par : Nada Nemri Mernissi Pr. JOUAHRI ANNEE UNIVERSITAIRE 2020 /2021 Fiche de lecture 3 3. Le rôle de l’audit interne dans le PMR : 3.1. En présence d’un PMR L’évaluation du PMR est un des objectifs prioritaires de l’audit interne. Il peut prendre des formes très diversifiées d’une entreprise à l’autre et doit être adapté à la culture, au style de management, à la taille, la structure et aux objectifs de l’entreprise. Il peut englober plusieurs niveaux de cartographies des risques. L’audit interne doit aller vérifier, chaque fois qu’il y a un risque significatif que ce risque est couvert sur la totalité du périmètre de l’entreprise et sur la totalité de son extension géographique. Objectifs de PMR 1. Risques identifiés, hiérarchisés et détermination d’un niveau de risques acceptable par le management : Intervenant 1.1 Existe-t-il un/des responsable(s) du PMR ? 1.2 A-t-il/ont-ils un positionnement hiérarchique en rapport avec sa/leur mission ? 1.3 La fonction est-elle clairement définie ? 1.4 Permet-elle de couvrir toute l'entreprise ? 1.5 Le Management fait-il partie intégrante de l'élaboration du PMR ? Identification 1.6 A-t-on l'assurance raisonnable que le PMR a permis d'identifier tous les risques majeurs en s'assurant notamment que : – les objectifs (objectifs liés aux opérations, objectifs liés aux informations financières et objectifs de conformité – classification COSO et les buts de l'entreprise seront atteints ? – tous les domaines de l'entreprise sont intégrés dans le PMR ? 1.7 L'identification des risques a-t-elle été faite par le management de l'entreprise ? A-t-il évoqué ses sujets de préoccupation ? 1.8 Existe-t-il une démarche d'auto-évaluation des risques par les managers ? 1.9 Les préoccupations du Conseil ou du comité d'audit ontelles été intégrées dans l'analyse ? 1.10 A-t-on fait appel à des prestataires externes (assureurs, conseils …) pour une approche globale du PMR ? 1.11 Existe-t-il : – une documentation appropriée sur les risques, – une formalisation de la cartographie des risques, – une synthèse des éléments constitutifs de la cartographie ? 1.12 Cette cartographie s'appuie-t-elle sur une hiérarchisation des risques ? 1.13 L'entreprise a-t-elle une culture de risque étendue à tous ses métiers ? Évaluation des risques 1.14 Y a-t-il une valorisation des impacts éventuels des risques ? 1.15 Une probabilité d’occurrence est-elle définie (pour certains risques majeurs, graves, déterminer une probabilité d’occurrence n’est pas pertinent) ? 1.16 A-t-on et exploite-t-on des indicateurs de mesure des risques (incidents, défaillances, accidents …) ? 1.17 Mesure-t-on le niveau de maîtrise/de contrôle des risques ? 1.18 Les risques sont-ils évalués en fonction des trois critères ci-dessus (impact, probabilité d’occurrence, niveau de maîtrise/ de contrôle) ? Validation du PMR 1.19 Le PMR fait-il l'objet d'une procédure de validation ? 1.20 La direction générale est-elle impliquée dans la procédure de validation (directement ou par délégation) ? 1.21 Les risques identifiés ont-ils tous un propriétaire ? Niveau d’acceptabilité 1.22 Des seuils de niveau d’acceptabilité des risques ont-ils été définis par le management ? 2. Mesures de traitement des risques Rattachement 2.1 Pour chacun des risques identifiés, a-t-on mis en place l’une des mesures de traitement suivantes : – acceptation, – réduction, – élimination, – assurance/transfert ? Risques résiduels 2.2 Ces données sont-elles transmises à la direction générale ? 2.3 Existe-t-il un plan d'action sur les risques qui nécessitent d'être réduits ? 2.4 Si oui, la responsabilité de mise en œuvre de ce plan est-elle définie ? 2.5 La mise en œuvre de ce plan est-elle suivie ? 3. Suivi permanent des activités : réévaluer périodiquement les risques et le contrôle interne Périodicité de mise à jour 3.1 La périodicité de mise à jour du PMR est-elle définie ? 3.2 Est-elle respectée ? Contrôle 3.3 Le responsable du PMR a-t-il procédé à un inventaire des différentes évaluations réalisées (par l’audit interne, les commissaires aux comptes, les risk managers,…) ? 3.4 La périodicité de contrôle du PMR (par l'audit interne ou d’autres fonctions) est-elle définie et adaptée ? 3.5 Cette périodicité prévoit-elle la prise en compte de changements importants survenus en interne ou en externe à l’entreprise ? 4. Communication à la direction générale, au comité d'audit et au Conseil des résultats du PMR et de son évaluation Élaboration 4.1 La direction générale est-elle impliquée dans l’élaboration du PMR ? 4.2 Le comité d'audit et/ou le Conseil donne-t-il son avis sur le PMR ? Reporting 4.3 Le PMR et les résultats de son évaluation font-ils l'objet d'une présentation en Comité de Direction/ à la direction générale ? 4.4 S’il y a plusieurs PMR dans l’entreprise, sont-ils consolidés ? Cette consolidation est-elle pertinente (non pertinente dans le cas d’activités ou de zones géographiques très diversifiées) ? 4.5 Le PMR et les résultats de son évaluation sont-ils diffusés : – à la direction générale, – au comité d'audit, – à la direction de l'audit ? 4.6 La liste des risques forts acceptés est-elle : – approuvée par la direction générale ? – communiquée au comité d'audit/Conseil ? 5. Plan d'audit 5.1 Le plan d'audit est-il élaboré en s'appuyant notamment sur les risques identifiés dans le cadre du PMR ? 5.2 Les risques significatifs, identifiés lors des missions d'audit, sont-ils communiqués au Responsable du PMR ? 3.2. En l’absence d’un PMR Les missions de l’audit interne peuvent être diverses : • Faire prendre conscience des risques et de l’importance du contrôle interne • Promouvoir la démarche du PMR L’audit interne doit convaincre la direction générale de constituer un véritable processus de management des risques. Parfois, la direction générale demandera à l’audit interne d’initier cette démarche et de l’aider à identifier et évaluer les risques. L’audit interne, par la mise à jour de risques non formalisés par la direction générale par exemple, ne pourra que plus facilement la convaincre de la nécessité de s’approprier cette démarche. L’existence d’un PMR apporte une certaine assurance quant à la capacité de l’entreprise à répondre rapidement et de manière appropriée aux risques émergents, plus particulièrement dans un environnement fluctuant et imprévisible. La production ponctuelle d’une cartographie des risques ne permet pas d’assurer une réactivité optimale face à de nouveaux risques. Il est donc nécessaire de prévoir des mécanismes permettant de l’adapter en permanence en fonction des évolutions de l’entreprise et de l’environnement. • Aider l’entreprise à identifier, évaluer les risques Si un processus de management des risques n’existe pas dans l’entreprise, une des premières contributions de l’audit interne à la création d’un tel processus peut être d’aider cette dernière à identifier et évaluer ses risques. L’audit interne peut organiser complètement cette identification et cette évaluation au travers d’entretiens avec les principaux managers de l’entreprise, ces derniers étant les plus à même de connaître les risques qui touchent leurs opérations et de les mesurer. Ces managers seront choisis de telle sorte que tous les processus de l’entreprise soient couverts : recherche et développement, industrialisation, vente, … et donc qu’aucun risque majeur ne soit écarté. Il sera également demandé aux managers de donner une mesure du risque identifié en quantifiant : – l’impact du risque (ou matérialité), – la probabilité d’occurrence, – Niveau de maîtrise/de contrôle (6) Les risques ainsi identifiés, classés et mesurés sont alors communiqués dans l’entreprise aux niveaux appropriés à même de mettre en place les mesures pour les couvrir. En aucun cas, l’audit interne ne doit s’impliquer dans cette gestion des risques : ce n’est pas à l’audit interne de décider du mode de traitement du risque. Il doit cependant tenir compte de la cartographie des risques ainsi constituée pour bâtir son plan d’audit. • Gérer et coordonner le processus afin de le faire évoluer et vivre L’audit interne peut se voir confier la responsabilité de gérer le processus global et de coordonner les actions des divers acteurs du processus. À ce titre, il peut être appelé à participer aux comités des risques, aux activités de suivi, etc. Il n’en devient pas pour autant le propriétaire du processus. Les Normes Professionnelles de l’Audit Interne apportent un garde-fou en précisant que : – Ce rôle, qui dépasse sa mission traditionnelle d’assurance (évaluation du processus et propositions de recommandations), doit être clairement inscrit dans la charte d’audit interne et expressément confié par la direction générale et/ou le comité d’audit. – Ce rôle ne rend pas pour autant l’audit interne responsable du Management des Risques. Cette responsabilité demeure assumée par le management. « Pour éviter de se voir attribuer la responsabilité des risques, les auditeurs internes doivent obtenir du management la confirmation que ce dernier veille à l’identification, à l’atténuation et au suivi des risques et qu’il en assume la responsabilité » uploads/Management/ rm-fl-3.pdf