Le caractère non absolu et évolutif du management des risques
Aucun dispositif de gestion de risques ne peut fournir la certitude que l’organisation sera exonérée de toute erreur, de toute fraude, de toute malversation. Le management des risques n’a rien d’absolu. Il existe certes des cadres de référence sur lesquels s’appuyer pour mettre en œuvre et suivre les risques inhérents aux activités d’une organisation. Mais ces référentiels sont avant tout des méthodes, non des recettes. Un dispositif de gestion des risques n’est jamais non plus définitif, ceci principalement pour deux raisons. La première est liée au fait que les risques sont fonctions d’éléments évolutifs, comme les processus, les activités, la réglementation. La seconde concerne la construction du management des risques dans la durée, par séries d’ajustements sur base de retours expériences, notamment en exploitant les anomalies, voire les fraudes, dont l’organisation a été sujette. Gérer les risques s’inscrit ainsi dans une dynamique progressive, par tâtonnement en dépassant les insuffisances révélées. Pour évaluer le système de couverture des risques effectif au sein de son organisation, l’auditeur doit avoir en tête le caractère non absolu et évolutif du dispositif audité. A défaut, les recommandations qu’il pourrait émettre seraient très vite inadéquates au moindre changement…
Les écueils classiques en matière de gestion des risques
Même s’il n’existe pas de modèle unique pour le management des risques, des écueils classiques peuvent être relevés en matière de couverture globale des activités. L’auditeur interne a tout intérêt à les connaître lorsqu’il évalue la gestion des risques au sein de son organisation. Ces écueils sont les suivants :
- évaluation des risques limitée aux seuls aspects financiers : l’auditeur s’assurera que le dispositif s’appuie sur une cartographie qui recense l’ensemble des risques auxquels est exposée son organisation du fait de ses activités, de ses processus, de son environnement économique, de la réglementation ;
- cartographie par trop standardisée des risques : même s’il existe des référentiels génériques sur lesquels s’appuyer pour développer une démarche de management des risques, attention à ce que l’organisation ne se satisfasse pas de standards qui par nature excluent des spécificités pourtant significatives ;
- cloisonnement de la Direction des risques : la mise en œuvre de l’identification, de la mesure, du suivi des risques doit s’inscrire dans une démarche conjointe entre la Direction des risques, laquelle impulse et encadre le dispositif, et les Directions opérationnelles qui sont les "sachants" en matière d’exposition de risques ;
- effet « usine à gaz » : le système de management des risques ne doit pas conduire à l’identification d’un volume trop important de risques, lesquels ne seront peut-être pas suivis compte tenu de cette volumétrie, ni aboutir à des méthodes de mesure par trop complexes dont les résultats sont ensuite difficilement interprétables ;
- absence de reporting : ce n’est pas tout d’identifier et de mesurer les risques. Encore faut-il les suivre pour ajuster le cas échéant les dispositifs pour une meilleure couverture des activités. Le management des risques ne doit pas rester lettre morte !
A lire également :
La mesure des risques opérationnels et de marché avec les accords de Bâle
Immobiliser l'environnement de contrôle pour renforcer les fonds propres
Écrire commentaire
Soro (samedi, 04 novembre 2017 11:48)
Omettre le caractère évolutif des risques auxquels l’entité est soumis revient à condamner le système de contrôle interne à être inadéquat vis à vis des tiques qu’il est censé maîtrisé. Cet article est à la fois synthétique et pertinent.
AKANI Arnauld (vendredi, 16 mars 2018 09:27)
Je suis vraiment heureux de découvrir ces réflexions poussées dans ce domaine que j'aime m'epanouir.
AKANI Arnauld (vendredi, 16 mars 2018 09:28)
Je suis vraiment heureux de découvrir ces réflexions poussées dans ce domaine auquel j'aimerais m'epanouir
KOFFI (samedi, 11 mai 2019 16:44)
TRES BIEN