Jusqu'où l'audit peut-il aller en matière de conseil sur la gestion des risques

Des règles à respecter pour conseiller

Rien n’interdit à l’audit interne de tenir le rôle de conseiller à condition de respecter certaines règles. L’objet de celles-ci est de déterminer jusqu’où l’auditeur peut aller dans ses travaux de conseil. Premièrement, quelle que soit la situation et la nature de la sollicitation, il lui est interdit de s’immiscer dans la gestion. Un auditeur ne décide pas à la place des autres, ni ne gère ce qui fonctionnellement ne lui revient pas. Une mission de conseil n’exonère donc pas l’audit de respecter les impératifs déontologiques en matière d’indépendance et d’objectivité. Deuxièmement, l’auditeur interne doit éviter de faire ce qu’il est censé évaluer par la suite. On n’est certes jamais mieux servi que par soi-même, mais cette maxime ne saurait s’appliquer à l’audit…Enfin, pour conseiller, encore faut-il être en mesure de le faire, de détenir les connaissances et les compétences requises. Les auditeurs doivent ainsi disposer des aptitudes professionnelles suffisantes par rapport à l’objet des travaux, aussi bien pour une mission de conseil que lors de la formulation d’une assurance. Cette condition induit que l’audit interne, bien souvent, soit sollicité pour conseiller la direction sur des points ayant trait au management des risques et au contrôle interne.

 

Ce qu'il est possible de faire par l'auditeur en matière de conseil sur la gestion des risques et le contrôle

Même si l’audit interne intervient dans une mission de conseil dédiée à la gestion des risques, la Direction de l’organisation reste seule responsable de la maîtrise des activités. Les auditeurs peuvent par contre assister l’exécutif en réalisant les prestations suivantes :

  • former la Direction aux enjeux et aux problématiques relatifs à la gestion des risques et au contrôle interne. Des actions de formation en direction de la gouvernance, y compris les membres du Conseil ou de comité de surveillance, contribuent au développement dans la structure d’un environnement propice au contrôle ;
  • promouvoir le dispositif de gestion des risques au sein de l’organisation, en sensibilisant l’ensemble des collaborateurs sur des questions qui les concernent tous même s’ils ne se les ont jamais posées ;
  • participer aux travaux de cartographie des risques sans être acteur. C’est certainement sur ce point que la frontière entre conseil et immixtion dans la gestion est parfois poreuse. Concrètement, l’auditeur peut apporter une méthode de travail, en organisant par exemple des ateliers réunissant la Direction et les métiers opérationnels afin d’identifier et mesurer les risques inhérents aux activités. Sauf que l’audit interne coordonne les travaux, en aucune façon il ne doit produire les résultats.

Ce que l'auditeur ne doit pas faire en matière de conseil sur la gestion des risques et le contrôle

 

Le conseil nécessite des auditeurs qu’ils s’impliquent sans compromettre leur indépendance et leur objectivité. Même si l’audit appartient aux fonctions clés du contrôle, conseiller ne signifie pas que tout peut être fait. Ainsi, s’agissant d’accompagner la direction dans la gestion des risques, l’audit interne évitera de :

  • définir le cadre d’appétence aux risques applicable au sein de l’organisation. Cette définition appartient à la gouvernance et à elle-seule, plus précisément au Conseil représentant les propriétaires, puis respecté par l’exécutif, soit la direction générale ;
  • déterminer les processus de gestion des risques. Même si l’auditeur interne peut sensibiliser les directions opérationnelles sur les éléments clés de maîtrise des risques, la création des dispositifs de contrôle appartient au contrôle permanent de 1er et de 2nd niveau. L’audit contribue à leur amélioration en formulant des recommandations une fois ces dispositifs audités et non en les rédigeant ;
  • assurer la gestion des risques, notamment en identifiant et en mesurant les risques, en lieu et place de la Direction générale et des directions opérationnelles. Le conseil délivré par l’audit est en effet  ponctuel, non permanent ;
  • prendre des décisions, comme arbitrer entre différentes techniques de couverture des risques. Seule la direction générale est responsable de cette gestion, même si fonctionnellement elle la délègue à une fonction dédiée. La-aussi, en matière de couverture des risques, l’auditeur est une partie prenante lorsqu’il audite, moins quand il conseille.



A lire également :



Écrire commentaire

Commentaires: 4
  • #1

    GBANE (jeudi, 02 novembre 2017 12:08)

    MERCI BIEN

  • #2

    maskini najat (mercredi, 08 novembre 2017 13:35)

    Bonjour
    Je tiens à vous encourager pour tous ce que vous écrivez.
    Merci

  • #3

    Kossi Mangua NABIA (lundi, 13 novembre 2017 01:56)

    C'est un article précis et qui permet de lever toute équivoque. Il ne saurait se limiter aux seuls auditeurs internes car il permet aux auditeurs venant des cabinets de se rappeler les lignes à ne pas franchir pour ne pas se retrouver dans une situation d'auto contrôle. Merci simplement.

  • #4

    ben (lundi, 19 septembre 2022 15:15)

    en ce qui concernes le respect des données à caractère personnel lors d'un audit ?