Post on 27-Jul-2018
Intervenants
Modérateur
Gilles Maindrault
Directeur des risques du Groupe La Poste
Gilles.maindrault@laposte.fr
Michel Pozzo di BorgoResponsable du pôle risques opérationnels de la Banque de Francemichel.pozzodiborgo@banque-france.fr
Annie BressacDirecteur de l’audit et du contrôle interneFondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org
Jean-Pierre Hottin
2
Associé, PWCjean-pierre.hottin@fr.pwc.com
Intervenants
Modérateur
Gilles Maindrault
Directeur des risques du Groupe La Poste
Gilles.maindrault@laposte.fr
Michel Pozzo di BorgoResponsable du pôle risques opérationnels de la Banque de Francemichel.pozzodiborgo@banque-france.fr
Annie BressacDirecteur de l’audit et du contrôle interneFondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org
Jean-Pierre Hottin
3
Associé, PWCjean-pierre.hottin@fr.pwc.com
Audit de la gestion des risques
Jean-Pierre Hottin, PwC
Gestion des risques : un objet d’audit essentiel
• Complexité croissante des
organisations et du
business
• Multiplication des crises
non anticipées
• Vitesse de communication
• Pression règlementaire
• …
Risques émergents mal ou tardivement
identifiés
Difficulté à expliciter une stratégie en
matière de gestion des risques
(appétence)
Dispositif parfois perçu comme
amenant de la lourdeur à l’organisation
Coexistence de multiples approches au
sein d’un même groupe
…
Un processus à enjeux… présentant de nombreux challenges
4
Audit de la gestion des risques
Jean-Pierre Hottin, PwC
Une proposition des grandes lignes
d’un référentiel d’audit
Cinq thèmes :
Environnement, culture du risque et gouvernance de la gestion des risques
Processus, méthodes et outils
Articulation avec le contrôle interne et les autres démarches contribuant à la
maîtrise des risques
Intégration dans les processus de pilotage de l'organisation
Intégration dans le processus de gestion des investissements et les projets
5
Quelques exemples de questions à investiguer :
• Les rôles et responsabilités du management, des dirigeants et des
administrateurs sont-ils clairement définis ? Sont-ils cohérents avec les
principes généraux d’organisation de l’entreprise et les délégations de
pouvoirs ?
• L’attitude face aux des collaborateurs est-elle cohérente avec celle du
management et des dirigeants ? Existe-t-il une définition de l’appétence aux
risques partagée au sein de l’organisation ?
• Les équipes en charge de l’animation du dispositif de gestion des risques
ont-elles les compétences et la légitimité nécessaires à l’exercice de leurs
responsabilités?
• …
Environnement, culture du risque et
gouvernance de la gestion des risques
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 6
Processus, méthodes et outils
• Les méthodes préconisées pour évaluer les risques sont-elles comprises par tous les
managers contribuant à l’analyse des risques ?
• Le reporting sur les risques est-il fiable ?
• Comment sont abordés les risques émergents et les risques à très fort impact et faible
probabilité ?
• …
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 7
Articulation avec le contrôle interne et les autres démarches
contribuant à la maîtrise des risques
• Comprendre les zones d’intervention des différentes démarches, leur portée,
et s’assurer de leur cohérence : exemple de la cartographie des activités
d’assurance
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 8
Intégration dans les processus de pilotage de l'organisation
• Comment et à quelle étape les risques sont-ils abordés dans les processus ?
Un exemple de pratiques intégrant risques et exercice budgétaire.
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 9
Intégration dans le processus de gestion
des investissements et les projets
• Comment les risques sont-ils pris en compte à toutes les étapes du
processus d’investissement ?
Par exemple au niveau de la préparation du dossier les risques de non
réalisation de l’investissement sont-ils analysés ? Si oui quelles sont les
natures de risques considérées ? Comment sont pris en compte les risques
liés à la pérennité des actifs physiques ?
Audit de la gestion des risques
Jean-Pierre Hottin, PwC 10
Audit de la gestion des risques
Jean-Pierre Hottin, PwC
Conclusion
Les enjeux d’un audit de la gestion des risques
• Définir les objectifs de l’audit
– Existence ou performance du dispositif
– Périmètre couvert
• Avoir accès à l’ensemble des acteurs impliqués au delà des acteurs en charge de
l’animation et du contrôle du dispositif
– Principales directions fonctionnelles (Qualité, Ressources humaines, Contrôle de
Gestion, ….)
– Management opérationnel
– Organes de gouvernance
• Garantir indépendance et objectivité de l’auditeur
• Disposer des compétences au sein de l’équipe d’auditeurs
11
Intervenants
Modérateur
Gilles Maindrault
Directeur des risques du Groupe La Poste
Gilles.maindrault@laposte.fr
Michel Pozzo di BorgoResponsable du pôle risques opérationnels de la Banque de Francemichel.pozzodiborgo@banque-france.fr
Annie BressacDirecteur de l’audit et du contrôle interneFondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org
Jean-Pierre Hottin
12
Associé, PWCjean-pierre.hottin@fr.pwc.com
L’apport de l’audit interne à un management des risques efficient 13
Annie Bressac
Le rôle de l’audit interne au regard du management des risques
S’appuie sur /Réalise une évaluation
des risques
L’audit interne
Le dispositif de management des risques
Accompagne
Contribue
Evalue
13
L’apport de l’audit interne à un management des risques efficient 14
Annie Bressac
L’évaluation du management des risques au
cœur de la mission de l’audit interne
Définition (Cadre de référence international des pratiques
professionnelles de l’audit interne)
• L’audit interne est une activité indépendante et objective qui
donne à une organisation une assurance sur le degré de maîtrise
de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée.
• Il aide cette organisation à atteindre ses objectifs en évaluant,
par une approche systématique et méthodique, ses processus
de management des risques, de contrôle, et de
gouvernement d’entreprise, et en faisant des propositions
pour renforcer leur efficacité.
14
Audits de conformité ?
• Audit de conformité comparaison de l’existant par rapport
à un référentiel
– Référentiel interne : les principes, règles et composantes du dispositif de
management des risques de l’organisation
Exemple : s’assurer que la démarche d’auto-évaluation des risques est
déployée dans les différentes entités de l’organisation conformément aux
méthodes et procédures définies
– Référentiel externe : COSO 2, FERMA, ISO 31000, réglementation
bancaire, cadre de référence AMF…
Il peut être utilisé comme grille d’analyse du dispositif de management des
risques
15
L’apport de l’audit interne à un management des risques efficient 16
Annie Bressac
Audits d’efficacité?
• Audit d’efficacité Quels objets ? Quels critères ?
Normes professionnelles de l’audit interne (Modalités pratiques
d’application MPA 2120-1)
« Afin de déterminer si les processus de management des risques
sont efficaces, les auditeurs internes doivent s’assurer que :
• les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
• les risques significatifs sont identifiés et évalués ;
• les modalités de traitement des risques retenues sont appropriées et en
adéquation avec l’appétence pour le risque de l’organisation ;
• les informations relatives aux risques sont recensées et communiquées en
temps opportun au sein de l’organisation pour permettre aux collaborateurs,
à leur hiérarchie et au Conseil d’exercer leurs responsabilités.
les processus de management des risques sont surveillés par des activités de
gestion permanente, par des évaluations spécifiques ou par ces deux
moyens. » 16
L’apport de l’audit interne à un management des risques efficient 17
Annie Bressac
L’audit interne a vocation à évaluer la conformité ou
l’efficacité de toutes les composantes
du dispositif de gestion des risques
Cadre organisationnel:
• Rôles et responsabilités des acteurs,
• Politique de gestion des risques,
• Système d’information interne et externe
Processus de
gestion des risques
Identification
Analyse
Traitement
Pil
ota
ge e
n c
on
tin
u
Une condition :
indépendance et
objectivité
17
L’apport de l’audit interne à un management des risques efficient 18
Annie Bressac
Pour un management des risques efficace
Contrôles
Contrôles
Risques
Audits
•L’audit interne doit veiller au lien entre le processus de gouvernement
d’entreprise et celui de gestion des risques :
–Prise en compte du risque dans la détermination de la stratégie
–Cohérence du processus de gestion des risques avec la gouvernance : appétence
pour le risque, culture du risque,…
•L’audit interne doit veiller à la bonne coordination entre les différents
prestataires d’assurance, entre les acteurs de la gestion et de la maîtrise
des risques
18
L’apport de l’audit interne à un management des risques efficient 19
Annie Bressac
L’audit du dispositif de gestion des risques :
des formes et des modalités variées
• L’audit interne contribue à l’évaluation de la gestion des risques au
travers de l’ensemble de ses activités et de ses missions :
– Il valide ou actualise l’analyse des risques réalisée dans le cadre du
processus de cartographie des risques
– Il apporte une évaluation sur l’efficacité du traitement des risques (évaluation
du dispositif de contrôle interne)
– Il contribue à la surveillance des risques en concentrant ses missions sur les
domaines / activités les plus exposées
– Il évalue le processus d’information des managers et des dirigeants sur
l’exposition aux risques
– Il apprécie la diffusion d’une culture du risque et l’appropriation du processus
de gestion des risques
– Donne une assurance sur le degré de maîtrise des domaines / activités les
plus risquées
19
Intervenants
Modérateur
Gilles Maindrault
Directeur des risques du Groupe La Poste
Gilles.maindrault@laposte.fr
Michel Pozzo di BorgoResponsable du pôle risques opérationnels de la Banque de Francemichel.pozzodiborgo@banque-france.fr
Annie BressacDirecteur de l’audit et du contrôle interneFondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org
Jean-Pierre Hottin
20
Associé, PWCjean-pierre.hottin@fr.pwc.com
Audit interne et Management des risques
L’audit interne opère un contrôle de 3ème niveau (après le contrôle opérationnel hiérarchique et le contrôle permanent spécialisé).
2 aspects / 2 angles de vue :
1. L’audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion des risques, composé des contrôles de 1er et de 2ème niveau (vue « externe ») ;
2. L’audit interne participe, en dernier ressort et en tant que contrôle périodique, à ce dispositif de contrôle interne et de gestion des risques (contribution interne).
21
Audit interne et Management des risques
1. L’audit interne contrôle le dispositif en tant que tel de contrôle interne et de gestion des risques.
• L’audit interne assiste la direction générale dans sa responsabilité de mettre en place un dispositif efficace de contrôle interne et de gestion des risques
• L’audit interne est un interlocuteur privilégié du comité d’audit du CA dans sa mission de s’assurer de l’existence et de l’efficacité du dispositif de management des risques (ordonnance du 8 décembre 2008)
l’audit interne contribue à l’évaluation globale du dispositif de management des risques : il mène des missions sur l’architecture et le fonctionnement du dispositif ; il apporte un jugement et une assurance « raisonnable » sur son efficacité
L’audit interne doit conserver son indépendance de jugement et
rapporter au plus haut niveau de l’entreprise
22
Audit interne et Management des risques
2. L’audit interne participe, en dernier ressort et en tant que contrôle périodique, de ce dispositif de contrôle interne et de gestion des risques
• L’audit interne n’ausculte pas que le dispositif global, mais aussi des sous-ensembles du dispositif : par domaine d’activité, par unité d’affaire ou société, par territoire, par fonction, par facteur de risque
le plan d’audit est élaboré en tout ou partie sur la base de la cartographie des risques : examen des dispositifs et plans de maîtrise des risques
Les missions d’audit contribuent à l’identification et à l’évaluation des risques et facteurs de risque (constats) ainsi qu’à la définition des plans de maîtrise (recommandations)
• L’échange formel et informel entre audit interne et management des
risques favorise en soi l’efficacité du dispositif (complémentarité des points de vue et contrôle de cohérence)
L’indépendance est compatible avec la coopération
23
Conseil d’AdministrationComité d’audit
COMEX Président directeur général
Directeur des risques du Groupe
Directeur de l’audit et des risques du Groupe
Cartographie des risques majeurs
Missions d’audit
Plan d’audit
Audit de Groupe
Une organisation qui facilite la coopération dans l’indépendance
24
Le processus d’élaboration de la cartographie des risques majeurs du Groupe
Cartographie des risques majeurset
Plan de maîtrise des risques
COMEX, puisComité d’audit
Rapports d’audit(constats et
recommandations)
Cartographies / PMR sectoriels
Entretiens avec les dirigeants- leur analyse stratégique- leurs préoccupations
25
Le processus d’élaboration du plan d’audit
Plan d’audit du Groupe
COMEX, puisComité d’audit
Échange avec audits des métiers
Cartographie des risques majeurs
du Groupe
Demande des dirigeants
26
Audit interne et Management des risques
Le cas particulier des groupes multi métiers et multi
entités : l’organisation matricielle du Groupe peut induire
une organisation matricielle
1. du management des risques d’une part,
2. de la fonction d’audit d’autre part
avec, dans les deux cas, un croisement entre les axes
« métiers » et « grandes fonctions ».
27
Audit interne et Management des risques
Cela nécessite :
tant pour l’audit interne que pour le management des risques,
et se traduit par :
• une coopération à tous les étages
• une consolidation et une animation fédérative au niveau
corporate (Comité des risques du Groupe; Comité de liaison de
l’Audit)
• une collaboration à la fois plus riche et plus complexe entre les
filières « audit » et « management des risques »
• une organisation du management des risques qui reflète
l’arborescence des responsabilités avec un audit corporate
intervenant davantage sur les macro risques du Groupe et des
audits de métiers plus axés sur les risques opérationnels28
Intervenants
Modérateur
Gilles Maindrault
Directeur des risques du Groupe La Poste
Gilles.maindrault@laposte.fr
Michel Pozzo di BorgoResponsable du pôle risques opérationnels de la Banque de Francemichel.pozzodiborgo@banque-france.fr
Annie BressacDirecteur de l’audit et du contrôle interneFondation Apprentis d’Auteuil
annie.bressac@apprentis-auteuil.org
Jean-Pierre Hottin
29
Associé, PWCjean-pierre.hottin@fr.pwc.com
Contexte
Appréciation des risques (opérationnels) lors des missions d’audit interne
Conclusion
Plan
30
LE CONTRÔLEUR GÉNÉRAL
Conseiller pour la sûreté
DPR
Direction de la prévention des risquesInspection générale
Détachements
RSI
Sécurité de l’information
PRAAC
Pôle risques : assistance à
l’analyse et à la consolidation
Division des
recherches extérieures
Cabinet de
l’Inspection générale
Audit des services
centrauxAudit du réseau
Contrôle sur place
des établissements
de crédit
Audit général
SRCCV
Audit informatique
SCCV
ContexteAppréciation des
risquesConclusion
La Direction de la Prévention des Risques
31
Rapports
de missions
Autorités de la Banque
Cartographie générale
des risques
Ligne d’activité 2
Succursale x
Ligne d’activité 1 Ligne d’activité N
« propriétaires » de leurs risques
Région 1
Succursale y
Région 22
AUDIT
Appréciation
du contrôle
de 1er niveau
(donc des risques)
PRAAC
Méthodologie
AssistanceReporting Risques
pour consolidation
ContexteAppréciation des
risquesConclusion
L’organisation transversale de la maîtrise des risques
32
Sur le terrain : interactions entre l’audit interne et les acteurs du risque
ContexteAppréciation des
risquesConclusion
AuditActeurs du risque
(RM, SRCMR)
• Rencontres avec les Risques Managers (RM) des lignes opérationnelles et
les correspondants régionaux (SRCMR)
• Vérifications / Appréciations des risques et des contrôles internes
auto-évalués par la ligne opérationnelle
• Discussions sur le niveau de risque proposé dans la recommandation (FAR)
33
ContexteAppréciation des
risquesConclusion
Déroulement de la mission: Élaboration des constats /
recommandations
1. Les références des processus proviennent de la nomenclature définie par la
méthodologie de risque management (AMARIS).
2. Le constat exprime les faiblesses, les dysfonctionnements, les points
de non-conformité… et plus généralement les situations susceptibles de présenter
un risque pour la Banque.
3. Les risques sont décrits en identifiant :
• Les causes (facteurs explicatifs structurels du constat, sur lesquels il faut agir selon la
typologie AMARIS)
• L’impact (conséquences possibles des faiblesses diagnostiquées)
• La probabilité (potentialité de survenance du risque)
• La gravité résiduelle du risque (impact x probabilité)
4. La recommandation : action préconisée par l’Audit visant à réduire le risque.34
ContexteAppréciation des
risquesConclusion
FAR N°FAR déposée le : « date de dépôt »
Constat validé le : « date de validation »
Plan d’action validé par l’Audit le : « date de validation »
Thème :
Typologie du risque Appréciation du risque
10 risques (niveau 2 de Amaris) Fort, moyen ou faible
Contexte
Référentiel
Constat
Risques
Causes
Recommandation n° X
Service responsable de la mise en œuvre : « nom du service »
Autre(s) Service(s) responsable(s) de la validation des
constats :
« nom du(es) service(s) »
Service(s) destinataire(s) pour information : « nom du(es) service(s) »
Réponse du service responsable de la mise en oeuvre
Acceptée :Plan d'action :
Responsable :Échéance : mois et annéeDescription des mesures :
Refusée :Motif du refus :
methodologieAMARIS
= évaluation du risque
= impact du risque
(financier, image, objectif)
= classification du risque
Les constats d’audit sont exprimés selon la méthodologie AMARIS
35
Appréciation du risque par l’audit interne : l’outil de terrain
Mise en œuvre de matrices de concordance entre cartographies de risques et FAR de l’audit pour :
• Mieux analyser les écarts de perception des risques entre RM et auditeurs.
• Disposer d’un support d’échanges pour une vision partagée du risque.
> Objectiver les cartographies
L’Audit
ContexteAppréciation des
risquesConclusion
Cette table de concordance ne doit en aucun cas conduire à un alignement
automatique d’une des approches sur l’autre.!36
Audit et risk-management : des expressions du risque parfois différentes… et pourtant complémentaires
• Le risque est exprimé à partir
d’un constat factuel et
incontestable
• Les constats négatifs
s’expriment souvent à un niveau
très détaillé l’expression du
risque également
• Difficulté d’utilisation des
matrices de cotation globales
• Le risque correspond souvent
au meilleur « dire d’expert » à
un instant donné
• Le « niveau » d’analyse du
risque est variable
(progressivité des démarches)
• Auto-évaluation tendance
naturelle à sur / sous-
évaluation, subjectivité
ContexteAppréciation des
risquesConclusion
37