Atténuation efficace des risques : intégrer les fonctions d’assurance et d’audit interne

Depuis le début des années 2000, les domaines de l’identification et de l’atténuation des risques ont connu une véritable explosion au sein des organisations. Cybermenaces, risques financiers et risques d’atteinte à la réputation sont autant d’enjeux auxquels les conseils d’administration et les parties prenantes doivent trouver des solutions tant efficientes qu’efficaces.

Lorsqu’il est question d’exprimer une assurance, une approche intégrée et fondée sur les risques qui repose sur l’audit interne et s’applique à la gouvernance, à la gestion du risque et aux contrôles internes favorise la prise de décisions éclairées et la bonne affectation des ressources. Elle permet de s’assurer que l’organisation concentre ses activités d’assurance et d’audit sur les principales menaces qui la guettent ou sur ses contrôles et stratégies d’atténuation essentiels. Résultat? Un portrait clair des vulnérabilités, des possibilités d’amélioration et des inducteurs de valeur.

Malgré ces avantages, bon nombre d’organisations se privent d’une stratégie intégrée ou ne parviennent pas à la mettre en œuvre efficacement. Les étapes qui suivent les guideront pour atteindre le niveau d’assurance et d’atténuation des risques requis afin de tirer leur épingle du jeu dans le contexte d’affaire complexe d’aujourd’hui.

METTRE LA TABLE

Pour concevoir une stratégie intégrée efficace, il faut d’abord évaluer en profondeur le risque organisationnel. Le plan d’audit interne fondé sur les risques pourra ainsi pointer vers les domaines de l’organisation qui posent le plus grand risque et qui présentent aussi la plus grande valeur.

Compréhension des risques : En premier lieu, assurez-vous de revoir et de comprendre les priorités stratégiques de votre organisation. Connaissez ses objectifs et sachez à quel moment elle souhaite les réaliser. Quand les visées sont précises, atteignables, réalistes et assorties d’un échéancier, il est plus facile de soupeser les risques auxquels l’organisation est exposée et de déterminer les obstacles à son succès. En faisant cet exercice, tâchez de comprendre non seulement les principaux risques avec lesquels votre organisation doit composer, mais aussi les contrôles clés nécessaires pour les atténuer. L’objectif premier de la fonction d’audit interne est de s’assurer que la direction s’occupe des principales menaces et de confirmer que des contrôles efficaces sont bel et bien en place.

Établissement d’un plan : À partir de votre évaluation des risques, établissez un plan d’audit interne robuste sur un ou deux ans pour traiter les domaines qui posent le risque le plus élevé et qui sont les plus importants pour l’organisation, c’est-à-dire ceux qui apportent la plus grande valeur. Un audit interne peut comporter plusieurs volets : conformité, consultation, optimisation des ressources, contrôles internes, juricomptabilité et examen des programmes.

Collaboration et coordination : Dans la plupart des organisations, les fonctions de conformité, de communication de l’information et d’assurance sont distinctes et se déroulent indépendamment de la gestion du risque (et de l’audit interne). En établissant une liaison et une collaboration avec les fonctions d’assurance et de conformité, l’audit interne peut servir de point central pour la coordination des diverses activités et permettre d’éviter une double revue. Un tel procédé améliore l’efficacité globale des fonctions d’audit et de conformité, en plus d’éliminer la lassitude liée à l’audit. De plus, une démarche d’assurance intégrée permet de relever les principaux risques, que ce soit par la fonction d’audit interne ou par celle d’assurance. En obtenant une vue d’ensemble des activités d’assurance pour tous les fournisseurs (y compris l’audit interne et l’audit externe) qui sont de toute évidence associés aux risques à l’échelle de l’organisation, vous vous dotez d’un solide plan d’atténuation des risques dans toute votre entreprise.

FOURNISSEURS D’ASSURANCE EXTERNES

Outre l’intégration des fonctions internes d’assurance et d’audit, la coordination avec l’audit externe peut également se traduire par des économies de temps et d’argent pour votre organisation. En effet, en intégrant les auditeurs externes, vous leur permettez de tirer parti de votre audit interne dans des domaines comme les contrôles internes à l’égard de l’information financière ou les tests des contrôles informatiques.

Par exemple, les organisations qui reçoivent des subventions de tierces parties peuvent adopter une stratégie d’audit intégrée (chapeautée par la fonction d’audit interne) afin de remplir les critères de subvention et de financement avant l’audit externe de conformité ou en soutien à celui-ci. Non seulement cette solution réduit les coûts associés à une évaluation externe de la conformité, mais elle allège aussi la tâche de la direction qui doit travailler avec un auditeur externe et élimine les mauvaises surprises si la fonction d’audit interne a déjà identifié les risques ou les écarts non corrigés et que la direction y travaille déjà activement. Qui plus est, la fonction d’audit interne peut collaborer avec les autres services pour les informer des critères de conformité de l’organisme de subvention, veiller au maintien d’un système de contrôle adéquat et efficace et se préparer à un audit externe.

AVANTAGES

En prenant ces dispositions, la fonction d’audit interne renforce sa réputation de conseiller de confiance auprès de la haute direction puisqu’elle lui fournit les analyses et les renseignements nécessaires pour réduire les risques au minimum et optimiser l’utilisation des ressources.

Pour en savoir plus, communiquez avec Héloïse Bédard, leader du groupe Gouvernance et gestion du risque pour le Québec, au 438.469.4724, ou à l’adresse [email protected].