Evaluation du processus de management des risques de la direction générale des impôts au Burkina Faso

V.2.2. Les composantesd'un processus de management des risques efficace

Le guide d'évaluation du processus de management des risques de l'IIA^16(*) publié en 2019 (IIA, 2019), identifie trois caractéristiques (composantes) fondamentales propres à un management des risques mature indépendamment du référentielutilisé à savoir:

- la culture du risquequi concerne l'intégration des risques à tous les niveaux du processus de décision, de rémunération et de primes, et de fixation des objectifs.

- la gouvernance des risquesqui concerne laparticipation de toute l'organisation au processus de management des risques par l'intermédiaire de collaborateurs qualifiés et compétents en la matière.

- le processus de gestion des risquesqui concerne les activités d'identification, depriorisation, detraitement, desuivi et dereporting des risques dans toute l'organisation.

a). La culture du risque

La culture du risque se reflète dans l'intégration des risques dans la prise de décision. Elle détermine l'efficacité du processus de management des risques. Si la culture ne favorise pas des échanges ouverts et la prise en compte des risquespositifs comme négatifs, alors le processus de management des risques ne pourra pas créer de la valeur ajoutée. Des politiques, procédures et processus d'évaluation des risques bien conçusseront inopérants ou inefficaces si la culture est inadéquate.La culture peut remettre en cause toute argumentation ou action engageante en matière de management des risques.

Le COSO ERM 2017 souligne que l'intégration des risques dans le processus de prise de décisionnécessite un effort continu. Les facteurs qui influencent l'intégration sont la culture initiale de l'entité, sa taille, sa complexité et le temps écoulé depuis l'adoption d'une culture consciente des risques (COSO, 2017).

En effet, une entité dans laquelle la fonction de management des risques est naissante, disposera de pratiques et de capacités limitées sur lesquelles elle pourra s'appuyer. Mais à mesure que l'entité mûrit, elle met en oeuvre des pratiques et des capacités plus développées qui améliorent la prise de décision. Une fois que l'organisation intègre systématiquement les considérations relatives aux risques, elledevient moins dépendante des pratiques et de l'infrastructure formalisées et autonomes. Par exemple, dans une entité entièrement intégrée, le personnel identifiera les écarts de performance et comprendra l'effet potentiel sur le profil de risque sans s'appuyer sur un programme d'évaluation autonome.

Le temps n'est pas le seul facteur qui affecte la capacité d'une entité à intégrer pleinement la gestion des risques d'entreprise. La taille et le type d'entité comptent également (c'est-à-dire si l'entité est à but lucratif, sans but lucratif, fortement réglementée, etc.). Par exemple, une grande entreprise pharmaceutique peut avoir une culture bien développée de prise en compte des risques, mais peut être obligée de conserver certaines pratiques autonomes de surveillance et de reporting imposées par ses régulateurs. En comparaison, les petites entités non réglementées peuvent se concentrer davantage sur le développement de la conscience du risque et sur l'intégration du risque dans les rapports de performance.

* ¹⁶Fondé en 1941, l'IIA est l'institut qui édicte les normes internationales en matière d'audit interne.Son siège mondial se situe à Lake Mary (Floride, États-Unis). L'IIA compte actuellement plus de260 000 membres dans plus de 170 pays et territoires.