Découvrez nos solutions sans obligation d’achat
Le rôle familier de l’audit interne est en train de changer, et le processus de combinaison de l’audit interne et du management des risques en tant que partenaire est en cours. Alors que la nécessité d’intégrer le risque et la gestion au sein de l’organisation et dans l’ensemble de l’organisation s’accroît et s’approfondit, les auditeurs internes et les gestionnaires examinent de plus près les moyens de devenir plus agiles, d’améliorer l’efficacité de la couverture et d’optimiser l’utilisation des ressources d’audit et de risque au sein d’une organisation. Sources : 1,3]
L’Institut des auditeurs internes (IIA) définit l’audit interne basé sur le risque (RBIA) comme une méthode qui lie l’audit interne au cadre général de la gestion des risques de l’entreprise. Afin de reproduire l’impact des résultats de la norme ISO 31000 / 2009 sur l’audit interne basé sur le management du risque, il convient de peser la relation entre le risque et le management au sein de l’organisation et le rôle des auditeurs internes et externes dans ce processus. L’Iia définit « l’audit interne basé sur le risque » ou « RBIA » comme « une méthodologie liant l’audit interne au cadre général de la gestion des risques de l’organisation. » [Sources : 7,5,15]
Le rôle de l’audit interne est de fournir une indépendance objective et une certitude au Conseil et à la direction générale, y compris aux première et deuxième lignes de défense, sur la manière dont les objectifs de gestion des risques et de contrôle sont atteints d’une certaine manière. Le rôle de l’audit interne est d’assurer l’évaluation correcte des risques, de déterminer l’efficacité des processus GRE, d’évaluer et de signaler les risques importants et d’examiner les processus de gestion de ces risques. L’auditeur interne doit être en mesure d’identifier et d’évaluer les risques en examinant les contrôles et les activités, et en examinant et en rendant compte de la gestion des risques conformément aux contrôles internes et externes de l’entreprise. Il est également un élément clé du plan de gestion des risques, qui représente la capacité de l’organisation à répondre aux niveaux de risque actuels et à gérer les risques futurs. [Sources : 6,4,11,7]
Il n’y a pas vraiment de limite à la taille d’une équipe d’audit interne pour jouer un rôle efficace dans la gestion de la fraude et du risque. Les Chief Risk Officers, qui doivent trouver un équilibre entre le rôle des auditeurs internes et leur rôle de gestionnaires de risques, ont souvent du mal à trouver cet équilibre dans la pratique. La séparation des rôles et des responsabilités de l’audit interne et de la gestion des risques au sein d’une même organisation est une autre forme de ce qui précède. Sources : 7,10,7]
Bien que l’audit interne et le management des risques jouent des rôles différents et distincts dans le processus GRE, leur rapprochement peut être bénéfique pour l’entreprise à bien des égards. Des pratiques solides en matière de risque peuvent conduire à des pratiques plus solides en matière de risque et mieux répondre aux attentes des parties prenantes internes et externes », a déclaré le Dr. David D. Miller, Chief Risk Officer de la Chambre de commerce américaine. [Sources : 4,4]
Les audits internes donnent aux membres du conseil d’administration et à la direction générale la certitude de l’adéquation et de l’efficacité de leurs pratiques de gestion des risques. En outre, les audits internes ont également la capacité de vérifier le cadre de la gestion des risques et d’assurer la surveillance nécessaire pour garantir que l’entreprise respecte les lois et les règlements. [Sources : 13,7]
La responsabilité en matière de risque que les auditeurs internes assument lorsqu’ils évaluent le risque global d’une organisation doit être signalée à un autre comité d’audit du conseil d’administration. En combinant les fonctions de risque de l’audit interne avec la responsabilité de la gestion des risques pour les risques faibles, non sophistiqués et immatures, le Conseil d’administration doit s’assurer que son rôle n’est pas sapé par le manque de surveillance des audits internes et de leur rôle de gestionnaires de risques. Sources : 2,6]
Le risque soulevé dans l’évaluation de la gestion des risques peut être utilisé pour faire avancer le plan d’audit pour le prochain cycle opérationnel, ce qui permettra de mieux comprendre le risque. Les apports de l’audit interne évaluent le degré de maîtrise des risques et fournissent des conseils, des défis et un soutien dans les décisions du management – et non la prise en charge du risque de la décision du management elle-même. L’audit interne recevra des informations sur la planification des risques dans le cadre d’un processus de gestion des risques mené par les décideurs qui sont propriétaires et responsables de ces risques. Sources : 0,8,2]
Les ressources de l’audit interne, y compris le personnel et les consultants, seront utilisées pour atteindre le plus haut niveau d’efficience et d’efficacité dans la gestion des risques du Groupe. L’audit interne soutient la direction du groupe, qui gère les opérations, en examinant et en évaluant la performance de tous les aspects des opérations du groupe, tels que les systèmes de gestion financière, opérationnelle et de fonctionnement, et en fournissant des informations et des recommandations pour améliorer l’efficacité. Il est obligatoire de rendre compte de l’efficacité de l’audit interne et de sa contribution au processus global de gestion. Il doit être en mesure de fournir des informations sur la qualité de la gestion et des décisions de gestion et sur l’impact des risques sur les opérations. Sources : 0,12,14,12]
L’audit interne ne comporte pas beaucoup de risques, et son inclusion dans le management des risques peut conduire à des situations dans lesquelles il assume des responsabilités de management, ce qui entraîne une réduction de l’objectivité et de l’indépendance. Cela s’applique en particulier si le gestionnaire des risques retient des informations ou exclut des données de l’analyse des risques. Sources : 9,6]
Sources:
[0] : https://normanmarks.wordpress.com/2018/06/16/the-role-of-internal-audit-in-risk-management/
1] : https://www.journalofaccountancy.com/issues/2018/mar/effective-internal-audit.html
2] : https://www.iia.org.uk/resources/risk-management/position-paper-risk-management-and-internal-audit/
[3] : https://smallbusiness.chron.com/internal-audit-business-risk-60233.html
[4] : https://www.cfo.com/governance/2012/10/risk-management-internal-audit-should-kiss-and-make-up/
[5] : https://medium.com/w-i-t/the-internal-audit-and-risk-management-relationship-2c5661db6b71
[6] : https://www.linkedin.com/pulse/role-internal-audit-risk-management-arif-zaman-acca-
[7] : https://broadleaf.com.au/resource-material/relationship-between-internal-audit-and-risk-management/
[8] : https://erm.ncsu.edu/library/article/create-synergies-between-risk-management-and-internal-audit
[9] : https://riskacademy.blog/5-reasons-why-internal-audit-may-be-the-best-place-for-the-risk-manager-to-sit/
[10] : https://www.complianceweek.com/accounting-and-auditing/new-survey-highlights-internal-audits-vital-role-in-fraud-risk-management/29309.article
[11] : https://www.venminder.com/blog/7-elements-internal-audit-program-vendor-risk-management
[12] : https://www.idrc.ca/en/job/director-risk-management-and-internal-audit-rmia
[13] : https://www.investopedia.com/terms/i/internalaudit.asp
[14] : http://www.stockmanngroup.com/en/internal-control-internal-audit-and-risk-management
[15] : https://reciprocitylabs.com/resources/what-is-a-risk-based-internal-audit/