I. Culture du risque : intégration des risques à tous les niveaux du processus de décision et de fixation des objectifs

Éléments caractéristiques d'une culture du risque adéquate

Documents

Questions/Investigations

Compréhension du risque au sein de l'organisation

· Le rôle et l'intérêtde la gestion des risques sont compris et communiqués dans l'ensemble de l'organisation.

· Tous les membres de l'organisation comprennent que la gestion des risques fait partie de leurs responsabilités quotidiennes.

· Le personnel est formé au management des risques.

· Lepersonnelest formé sur les différents risques existants ainsi que sur les attitudes et les comportements qu'il faut adopter pour réagir efficacement (par exemple cybercriminalité, santé sécurité au travail etc.).

· Le risque et la gestion du risque sont abordés dans le plan stratégique, dans l'élaboration des objectifs en particulier dans la planification des contrôles fiscaux ;

· PTBA

· Déclaration d'intention sur la gestion des risques ;

· Politique de gestion des risques ;

· Plan stratégique ;

· Procès-verbaux de réunions ;

· Rapports de formations ; 

1. Comment le management des risques est-il perçu dans l'organisation ? Comme un moyen de créer et préserver de la valeur ou plutôt comme un exercice bureaucratique ou une exigencerèglementaireà laquelle il faudrait se conformer ?

2. Le personnel est-il formé au management des risques ?

3. Les managers perçoivent-ils le risque comme leur propriété et non celle des auditeurs ou des fonctions de contrôle ?

4. Le risque est-il abordé dans le plan stratégique et dans l'élaboration des objectifs ? Autrement dit une analyse des risques a-t-elle été effectuée dans le cadre de la sélection des stratégies et des projets ?

Fluidité de la circulation et échanges d'informations sur les risques

· La direction générale encourage les réunions et les discussions régulières ainsi que l'échange d'informations à tous les niveaux de la chaîne managériale ;

· Il existe une communication ouverte sur les risques : les politiques de dénonciation, de non-représailles combinées à l'existence de différents types de canaux (forums anonymes, boite à idée etc.) favorise la remontée et le traitement d'informations sur les risques et opportunités.

· Déclarations culturelles ou d'éthique de l'entité ;

· Rapport d'investigation sur l'éthique ou la fraude

· Résultats d'enquêtes sur le climat social

5. Existe-t-il des forums confidentiels permettant aux collaborateurs de s'exprimer sur des questions culturelles ou sur des obstacles à la communication d'informations sur les risques ?

6. Les mauvaises nouvelles remontent-elles facilement au sein de l'organisation ?

7. L'organisation est-elle réceptive aux propositions innovantes ou aux opportunités ?

Définition de l'appétence pour le risque ou critères de risques

· Exercices de définition des risques menés avec la direction pour établir des limites (tolérance ; acceptation)

· Les collaborateurs sont informés de l'appétence pour le risque de l'organisation

8. L'appétence pour le risque, a-t-elle été défini ?

9. Est-elle connu et comprise par les collaborateurs ?

II. Gouvernance des risques : participation de toute l'organisation au processus de management des risques par l'intermédiaire de collaborateurs qualifiés et compétents en la matière

Bonne pratique

Documents

Questions/Investigations

Implication et leadership des dirigeants

· La direction et les organes de surveillance ont affecté les ressources nécessaires à la mise en oeuvre du management des risques( compétences, méthodes et procédures documentés, planning, outil de gestion des informations, formation etc.)

· Les membres de ladirection sont formés au management des risques notamment à sa surveillance

· La direction remplit son rôle de surveillance de manière adéquate, elle se réunit périodiquement dans le cadre du management des risques

· La direction démontre et définit clairement son engagement permanent en matière de management du risque par le biais d'une politique, d'une déclaration ou d'autres formes de moyen permettant de communiquer clairement les objectifs et l'engagement de l'organisation en matière de management des risques ;

· La direction aborde régulièrement les risques dans les réunions ou d'autres occasions ?

· Fiches de description de poste  ;

· Procès-verbaux de réunions ;

1. La direction et les organes de surveillance, ont-ellesalloués des ressources au développement de l'ERM (compétences, formation, procédures, politiques, budget) ?

2. Les membres de ladirectionont-t-il été formés à la surveillance de l'ERM ?

3. Comprennent-ils le management des risques ?

4. Ladirection est-elle à l'aise avec les risques encourus par l'organisation ?

5. La direction dispose-t-elle d'informations pour prendre des décisions sur les risques ? Comment les utilise-t-il pour prendre des décisions ?

Définition des structures organisationnelles( entités, rôles, pouvoirs et responsabilités)

· Les rôles et responsabilités en matière de management des risques sont-ils clairement définis, communiqués et compris dans l'ensemble de l'organisation. La responsabilité du management des risques est clairement énumérée comme une attributionde la direction générale

· La définition des rôles prend en compte les différentes entités intervenant dans le management des risques ( conseil, direction, collaborateur) à travers l' existence d'un comité d'audit, d'un comité de risques ou d'un service de gestion des risques etc.

· Charte du conseil ;

· Descriptions de poste

· Organigrammes ;

· Politiques et procédures

6. Les rôles et responsabilités en matière de management des risques sont-ils clairement définis ?

7. Le management des risques est-il une responsabilité spécifique énumérée dans les attributions de la direction générale ?

8. Existe-t-il un comité des risques ou un autre comité de surveillance en charge des risques ?

9. La haute direction fait-elle partie du processus de gestion des risques ?

10. Le cadre organisationnel est-il adapté au contexte externe et interne de l'organisation (exigence des parties prenantes, valeurs de l'entité, stratégie, etc.)

Surveillance exercée parleconseil

Le conseil reçoit des rapports réguliers sur les risques qui contiennent toutes les informations pertinentes (informations, indicateurs, etc.) dont il a besoin pour prendre des décisions éclairées ?

· Calendrier des rapports ;

· Copies des rapports et des résultats ;

· Preuves des mesures prises pour combler les lacunes.

11. Ladirectiona-t-elle instauré une exigence d'informations sur les risques diffusée au sein de l'organisation ?

12. Un reporting sur les risques (inventaire, importance, option de traitement, suivi ) est-il adressé à la direction ?

13. Ladirection est-elle régulièrement informé des risques ? Des mesures sont-elles prises pour combler les lacunes déclarées ?

III. Processus de gestion des risques:identification, évaluation, traitement, suivi et reporting des risques dans toute l'organisation

Bonne pratique

Documents

Questions/Investigations

Formalisationdu processus d'évaluation, de traitement, de suivi et de reporting des risques

· L'organisation s'accorde sur le(s) référentiel(s) de management des risques à utiliser.

· Il existe un glossaire des termes liés au management des risques.

· Les étapes d'identification, d'évaluation, de traitement, de suivi des risques et de reporting sont formalisés et cohérents à l'échelle de l'organisation (description des étapes, modèle d'analyse, etc.)

· Il existe un système de reporting standard surles risque (p. ex. délai, format)

· Politique de gestion des risques ou modèles d'analyse des risques utilisés.

· Référentiels de management des risques utilisé ;

1. L'organisation dispose-t-elle d'une politique de gestion des risques qui :

- précisele (s) référentiel (s) à utiliser ;

- définit une terminologie commune ;

- formalise une démarche cohérente d'identification, d'évaluation et de traitement des risques (modèle d'analyse des risques, critères de probabilité et d'impact, critères de sélection des stratégiedes traitement) ;

- formalise les rôles et responsabilités des acteurs en matière de gestion des risques

- formalise le système de reporting standard sur les risques(p. ex. délai, format)

Identification et évaluation des risques

· Il existe un univers de risques pertinent couvrant les stratégies, processus opérationnelsde l'organisation.

· Les évaluations de risques sont réalisées sur la base de critères objectifs d'impact et de probabilité.

· La fréquence d'évaluation des risques est adaptée ?

· Il existe des outils spécifiques d'évaluation des risques fiscaux (profilage des contribuables).

· Rapport de cartographie des risques

2. L'univers des risques est-il adéquat (exhaustivité et pertinence au regard des objectifs stratégique et opérationnels et domaines clés) ?

3. Les évaluations de risques sont-elles réalisées sur la base de critères objectifs d'impact et de probabilité définis au préalable ?

4. La fréquence d'évaluation des risques est-elle adéquate ?

5. Existe-t-il des outils d'évaluation des risques servant à sélectionner et exclure les contribuables devant faire l'objetd'investigations complémentaires, y compris une vérification fiscale ou d'autres mesures de discipline fiscale ?

Traitement des risques

· Les plans de traitement des risques sont cohérentsavecles stratégies, les objectifs, les priorités, l'appétit, la gravité et le rapport coût/bénéfice

· Les plans de traitement des risques sont-ils mise en oeuvre ?

· Procédures de traitement des risques ;

· Plan de traitement des risques ;

6. Les plans de traitement des risques sont-ils pertinents et cohérents?

7. Sont-ils mis en oeuvre ?

8. Les risques sont-ils gérés conformément aux plans de traitement prévus ?

Suivi permanent des risques

· La mise en oeuvre des plans de traitement des risques fait l'objet d'un suivi (état de mis en oeuvre et impact sur l'atténuation des risques);

· Un suivi des incidents est réalisé ;

· Il existe des indicateurs de suivi de l'évolution des risques ;

· Procédures d'examen de l'ERM ;

· Rapport d'examen de l'ERM ;

· Base d'incidents ;

· Rapports de suivi des risques

9. Un suivi de la mise en rouvre des plans d'actions de traitement ders risques est-il réalisé ?

10. Un suivi des incidents est-il réalisé au sein de l'organisation (existence et tenue d'une base des incidents) ?

11. Existent-ils des indicateurs de suivi permanent des risques qui sont mesurés ?

Reporting sur les risques dans l'organisation

· Existence d'un mécanisme de reportingrendant comptedes risques majeurs de l'organisation ?

· Rapports sur les risques

12. Existe-t-il au sein de l'organisation un mécanisme de reporting rendant compte des risques majeurs de l'organisation ?