Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Rencontre du 8/9 Septembre 2021 « Les synergies audit - contrôle interne - risk

Rencontre du 8/9 Septembre 2021 « Les synergies audit - contrôle interne - risk management » Sommaire q Introduction, définitions et gouvernance q Synergies « attendues », passages obligés q Obstacles sur le terrain q Synergies hors des sentiers battus q Conclusion 2 Introduction Synergies : – Associations de plusieurs organes pour l'accomplissement d'une fonction physiologique – Mise en commun de plusieurs actions concourant à un effet unique et aboutissant à une économie de moyens 3 Introduction q Risk management – COSO-ERM (2017) : La culture, les capacités et les pratiques, intégrées à la définition de la stratégie et à ses performances, sur lesquelles les organisations s'appuient pour gérer les risques en créant, préservant et réalisant de la valeur. q Contrôle interne – IFACI : Le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité. q Audit interne – IFACI : L’audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernance, et en faisant des propositions pour renforcer leur efficacité. 4 Introduction 5 Que dit le Code de gouvernance ? Panorama 2020 de la Gouvernance Three lines model Introduction 6 Code de gouvernance Afep-MEDEF 1 Les missions du Conseil d’Administration 1.1 – Le CA agit dans l’intérêt social de l’entreprise 1.2 – Première mission du CA = déterminer la stratégie 1.3 – Autres missions principales (…/…) 1.4 – Le CA est informé de l’évolution des marchés et de l’environnement concurrentiel 1.5 – Le Conseil d’Administration examine régulièrement, en lien avec la Stratégie, les opportunités et les risques ainsi que les mesures prises en conséquence. Introduction 7 Ce qu'il faut retenir Le Panorama 2020 de la Gouvernance des Sociétés cotées analyse les documents publics de près de 250 entreprises européennes. Transformations rapides et nouvelles exigences marquent cette année exceptionnelle : plus de diversité au sein des instances de gouvernance, montée en puissance des comités RSE dans les Conseils, ouverture des thèmes de travail des administrateurs au profit des sujets de long terme (RSE, projets de transformation) et « régaliens » (gestion des risques, plans de continuité, éthique), attente toujours plus forte pour une information sur les risques davantage intégrée, plus dynamique et mieux outillée. https://www.ey.com/fr_fr/assurance/panorama-de-la-gouvernance-2020 Introduction 8 Introduction 9 Introduction 10 Introduction Les parties prenantes concernées par les synergies RCA: q Le Conseil d’Administration (via son Comité d’Audit) q La Direction Générale (COMEX, CODIR) q Les Opérationnels en Première Ligne Leurs attentes : q Assurance (sur la maitrise des risques et l’efficacité du contrôle interne) q Pertinence (alignement sur la Stratégie) q Performance (création de valeur, surtout pas de bureaucratie!) 11 Introduction 12 Risque Controle Audit Risque Controle Audit ? JOKER! 13 Postulat pour cette présentation : Les opérationnels de la 1ère ligne sont pleinement associés aux fonctions Risk, Contrôle, et Audit. Sondage 1 Synergies « attendues » 14 Synergies entre Risk et Contrôle – Mise à jour régulière et coordonnée de la cartographie des risques et des référentiels de contrôle interne – Mise à jour régulière de l’appétence au risque sur chaque risque avec la DG (Note : une définition globale de l’appétence au risque n’a ni sens ni valeur) – Dimensionner les contrôles en fonction des caractéristiques intrinsèques du risque (impact, probabilité, vélocité, vitesse de propagation interne, persistance, rétablissement) – Proposer des indicateurs de risques imminents (les canaris dans la mine) – Identifier les « coupe-feux » à mettre en place avec les opérationnels pour limiter la propagation du risque dans l’entreprise (vitesse ou impact) – Identifier et supprimer les contrôles redondants et/ou caduques – Identifier et communiquer sur les chaines de risques (risques causaux, risques conséquence, effet domino…) pour mieux positionner et optimiser les contrôles-clés – Effectuer des stress-test des risques et des contrôles – Analyser l’impact sur les ressources (en cas d’aggravation d’un risque ou d’une concentration accrue de l’attention sur un risque, ne pas dépeupler des fonctions connexes – ce qui pourrait justement être source de risque ailleurs) Synergies « attendues » 15 Synergies entre Risk et Audit – Présentation détaillée de la cartographie des risques quand elle est mise à jour – Le Risk donne son input sur le Plan d’Audit Annuel – Se co-saisir de sujets moins routiniers, moins ‘micro’, plus actuels (ESG, AFA, nouveaux risques règlementaires « Loi sur le Devoir de Vigilance » FR.2017 ; UE 2021) – Faire preuve d’un réel scepticisme professionnel dans l’analyse des risques – Le Risk présente/explique l’appétence au risque pour chaque changement majeur (et/ou avant chaque mission d’audit) – Diagnostiques plus précis de « risque résiduel » sur les risques émergents (pour lesquels le contrôle interne n’est pas encore mature) – Partager tous les constats d’audits (y-c signaux faibles) afin de quantifier les risques sur des données réelles et pour faire remonter des risques agrégés avec un niveau de granularité significatif – Embarquer un Risk Manager sur les mission d’audits Synergies « attendues » 16 Synergies entre Contrôle et Audit – Phase préliminaire classique d’un audit : Passer en revue de façon exhaustive les contrôles du process audité (y-c contrôles automatisés) – Débriefer les résultats des campagnes d’auto-évaluation des contrôles: discuter des changements de contrôles, des changements de personnes, des changements des résultats d’auto-évaluation – L’Audit sollicite le Contrôle Interne pour parfaire l’analyse causale des constats d’audit – Le Contrôle donne son input sur le Plan d’Audit Annuel – Embarquer des Contrôleurs sur les audits Synergies « attendues » 17 Synergies tripartites – Analyses post-mortem des défaillances majeures – Mises à jour des matrices de risques & contrôles – Promouvoir RCA auprès des opérationnels en 1ère Ligne (campagnes de pub sur l'Intranet, évangélisation des pairs, « brown-bag » lunches, …) – Séminaire annuel RCA (teambuilding, amélioration continue, objectifs annuels) – Croiser les réseaux professionnels (IFACI, AMRAE, etc..) – Considérer les risques de façon holistique (liens avec la stratégie pluriannuelle, les risques connexes, les contrôles-clés, les résultats d’audits) Synergies « attendues » 18 q Exercice pratique – Comprendre ce qu’il se passe aux intersections des trois fonction (zones de frictions ou zones fertiles?) – Pour chaque synergie « attendue », faire un état des lieux précis que ce qui est fait réellement dans votre entreprise – Réorienter les pratiques pour davantage de valeur ajoutée Les obstacles : climat hostile Guerres de territoires Risk, Contrôle, Audit 19 è Choisir ses batailles et ses alliés, éviter les combats d’arrière-garde - Convoquer un Yalta du RCA ! Déterminer clairement le scope, les objectifs et les ressources de chacun. Se référer aux normes en vigueur et aux best practices des associations professionnelles, mais il est primordial d’avoir une approche pragmatique en fonction de la taille et des enjeux de l’entreprise. Eviter la bureaucratie, éviter le non-sens, éviter les angles-morts et les redondances. - Construire des ponts entre chaque pilier et décrire ces points de rencontre très précisément. Compléter les chartes, les Politiques & Procédures, et les faire approuver par la DG et le Conseil qui ont un rôle de supervision de ces sujets (bonne gouvernance) et qui ont des attentes fortes en matière de synergies (c-à-d : RCA doivent faire plus avec moins) - Concéder un peu de sa souveraineté pour créer l’espace nécessaire aux synergies. Les obstacles : climat aride Pas d’engagement des instances de gouvernance 20 è Fertiliser les relations avec le Conseil et/ou la DG : - Commencer par bien coopérer au niveau RCA, le prouver et le faire savoir (Gagner les cœurs avant de gagner les cerveaux !) - Faire la promotion des premiers succès concrets issus de cette coopération (par exemple: meilleur alignement des contrôles avec les risques à un niveau de granularité plus approprié, meilleure analyse des findings d’audit grâce au soutien du Contrôle Interne, et donc meilleures recommandations d’audit) - Amorcer le sponsoring sur des thèmes à enjeux moindre, puis monter en puissance - Solliciter le « Tone-at-the-top » Les obstacles : climat froid Manque d’intérêt des opérationnels 21 è Réchauffer la confiance des opérationnels envers le RCA : - Expliquer et répéter sans cesse la démarche RCA, ses objectifs, ses moyens - Être à la fois théorique et pratique - La 2e Ligne doit se mettre au service des opérationnels (les aider à mieux identifier, documenter et concrétiser leurs carto des risques et leurs contrôles) - La 3e Ligne peut offrir des diagnostiques, des analyses de données, et être plus pragmatique dans ses recommandations - Aider les opérationnels à préparer les audits (internes ou externes) - Aider les opérationnels à mettre en œuvre les actions correctives Les obstacles techniques Manque d’outils communs, ou outils inadaptés (Excel) 22 è Rendre les synergies possibles en créant un éco-système commun (GRC) - uploads/Management/2021-09-08-09-club-dai-presentation-synergies-audit-controle-risk.pdf