L’audit interne et la gestion des risques

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Le rôle familier de l’audit interne est en train de changer, et le processus de combinaison de l’audit interne avec la gestion des risques en tant que partenaire est en cours. Alors que le rôle des auditeurs internes dans la gestion intégrée des risques (IAM) et la gestion des risques de l’entreprise (BMR) continue de croître et de s’approfondir, les dirigeants d’entreprise examinent de plus près les moyens de devenir plus agiles, d’améliorer l’efficacité de la couverture et d’optimiser l’utilisation des ressources d’audit et de risque au sein de l’organisation. Sources : 1,12]

Dawn Ward de Riskonnect compare la vision traditionnelle de la GRC à la gestion intégrée des risques (IRM), car elle fait référence aux équipes d’audit interne et de systèmes d’information et à leur rôle au sein de l’organisation. C’est ce que montre son article « Delivering ISO 31000 2009 – based risk management », qui a été reproduit ici dans le cadre d’une série de billets de blog sur le thème de l’audit interne par rapport à la gestion des risques (IAM). Sources : 9,3]

Si vous souhaitez en savoir plus sur la manière dont l’audit interne et la gestion des risques peuvent être intégrés dans les entreprises, veuillez envoyer un courriel à info @ protechtgroup.com. Si vous êtes préoccupé par le temps et le personnel nécessaires aux audits internes et aux évaluations initiales des risques, vous devriez envisager d’engager un auditeur interne indépendant. Les auditeurs internes doivent promouvoir les bonnes pratiques de gestion des risques tout en améliorant le système de contrôles internes. J’espère que cela vous aidera à mieux comprendre le rôle d’un audit interne, à anticiper le processus de votre prochain audit interne et à éviter les pièges potentiels qui pourraient le faire dérailler. [Sources : 10,8,4,2]

En outre, les auditeurs internes doivent également avoir une compréhension de la gestion des risques dans le cadre de laquelle ils sont audités. Les audits internes fournissent aux conseils d’administration et à la direction des certitudes quant à l’adéquation et à l’efficacité des contrôles internes, et il est essentiel que ce contrôle soit géré efficacement pour gérer les risques. L’audit interne fournit une évaluation indépendante de la conformité aux contrôles et audits internes et externes des risques dans un cadre de gestion des risques. Sources : 3,7]

L’audit interne devrait idéalement être orienté vers l’amélioration et la prise en charge des activités de gestion des risques ne devrait pas affecter le niveau et la qualité de l’audit interne. Les audits internes peuvent apporter des contributions précieuses, mais il devrait incomber à la direction de mettre en œuvre le management des risques et d’en accroître la maturité, comme pour tout autre aspect de l’organisation. Comment le processus de gouvernance et de gestion des risques peut-il être efficace pour gérer les risques et soutenir les objectifs de l’organisation ? Sources : 6,6,5]

Pour mettre en évidence ce qu’est réellement le management des risques, l’audit interne doit commencer par se concentrer sur la qualité du processus décisionnel. Il doit fournir des conseils, des défis et un soutien à la prise de décision par le management, plutôt que de prendre en charge la prise de décision elle-même. Sources : 11,7]

Il est très difficile de rendre compte de l’audit interne ou du management des risques à un dirigeant susceptible de produire un certain nombre de rapports et de représenter cette fonction auprès du conseil d’administration et de son comité d’audit et de risque. Lorsque les fonctions d’audit interne et de gestion des risques sont combinées, en particulier lorsque le risque est faible – au niveau, pas complexe ou pas risqué – le conseil d’administration doit veiller à ce que le rôle des auditeurs internes ne soit pas sapé. Transférer une fonction d’audit externe / gestion des risques à une équipe d’un ou deux managers, qui produiront probablement ensuite une série de rapports et représenteront ces fonctions auprès du Conseil d’administration, de son Comité d’audit et de risque, est extrêmement difficile en soi, mais aussi dans le contexte de la gestion globale d’une entreprise. Avoir une fonction d’audit interne / de gestion des risques dans un groupe de deux ou trois hommes, voire plus d’un homme ou d’une femme, qui va ensuite (vraisemblablement) présenter cette série de rapports à tous les organes et représenter vraisemblablement les fonctions de chacune de ces fonctions à un Conseil d’administration ou à un Comité d’audit ou de risque, c’est très difficile en soi. [Sources : 7,3,3]

La combinaison des activités de risque et d’audit interne augmente le risque pour le Conseil d’administration et son Comité d’audit et de risque. Les Chief Risk Officers, qui doivent équilibrer les rôles des auditeurs internes et des fonctions d’audit externe / gestion des risques, ont souvent du mal à trouver cet équilibre dans la pratique. Sources : 3,7]

Pour transformer la gestion des risques en une prise de décision éclairée et intelligente, l’audit interne doit repenser son approche. Je pense qu’il est préférable de veiller à ce que chaque responsable ait une responsabilité claire en matière de gestion des risques et que l’équipe centrale de gestion des risques ait des responsabilités claires vis-à-vis des auditeurs internes et externes et du Conseil. La séparation de l’audit interne et de la gestion des risques est une étape importante, comme vu plus haut, mais dans la plupart des organisations, il n’existe pas de « guichet unique » pour la gestion des risques et l’audit. Sources : 11,3,3,3].

Dans certains cas, la gestion des risques peut comprendre et évaluer les risques de conformité tout en gérant les risques de conformité, et dans d’autres, leur relation est considérée comme d’autres risques. Dans ces cas, ils peuvent à la fois évaluer et gérer le risque de conformité, mais l’audit interne ne devrait pas gérer le risque au nom du management et devrait être classé comme un audit externe et non comme une partie de la responsabilité de l’équipe de management. Sources : 0,7]

Sources:

[0] : https://www.complianceweek.com/internal-audit-and-compliance-getting-it-together/16911.article
[1] : https://www.journalofaccountancy.com/issues/2018/mar/effective-internal-audit.html
[2] : https://medium.com/w-i-t/the-internal-audit-and-risk-management-relationship-2c5661db6b71
[3] : https://broadleaf.com.au/resource-material/relationship-between-internal-audit-and-risk-management/
[4] : https://www.wipfli.com/insights/articles/ra-internal-audit-or-external-audit-which-is-better
[5] : https://quantivate.com/blog/internal-external-audit-comparison/
[6] : https://www.finyear.com/Should-the-head-of-the-internal-audit-function-also-direct-the-risk-management-program_a20896.html
[7] : https://www.iia.org.uk/resources/risk-management/position-paper-risk-management-and-internal-audit/
[8] : https://www.protechtgroup.com/blog/internal-audit
[9] : https://www.corporatecomplianceinsights.com/an-opportunity-to-drive-transparency-for-internal-audit/
[10] : https://linfordco.com/blog/what-is-internal-audit/
[11] : https://normanmarks.wordpress.com/2018/06/16/the-role-of-internal-audit-in-risk-management/
[12] : https://smallbusiness.chron.com/internal-audit-business-risk-60233.html

​​​​​​​