3.3.
Articulation entre la gestion des risques et le contrôle interne
L'entreprise regroupe des individus, qui lui gèrent et
qui prennent des décisions; en outre, ce n'est pas facile de
prévoir et de décrire les actions et les décisions des
membres de l'organisation de façon certaine ; une incertitude qui
représente une source de richesse mais également une source de
menace.
Les risques peuvent empêcher l'entreprise à
unifier son comportement et atteindre ses objectifs, mais ils peuvent
également porter sur de comportements opportunistes ou
malhonnêtes ; ce qui fait l'objet su contrôle interne d'une
organisation.
Le contrôle interne assure une cohésion de
l'équipe et que les membres n'adoptent pas des comportements qui peuvent
lui porter des préjudices ; Dans la plupart des cas le SCI est plus
significatif concernant les employés et non pas sur les dirigeants ou
sur les actionnaires. (Pigé, 2008, p. 145).
3.3.1. Le contrôle interne et
la gestion des risques
Nous avons déjà parlé dans le premier
chapitre sur le référentiel COSO 2qui a développer le
concept de contrôle interne en s'appuyant sur la notion du managementdes
risques de l'entreprise « Enterprise Risk
Management », en attribuant au contrôle interne
unequatrième catégorie d'objectifs« objectifs
stratégique » qui concernela maîtrise des
risques.
Le COSO 2 a introduit une nouvelle notion le «
riskappetite » qui est le niveau de prisede risque accepté par
l'organisation dans le but d'accroître sa valeur. Afin de s'assurer que
les résultats de la stratégie de l'entreprise sont
cohérents avec le « riskappetite » défini par
l'entreprise ; ce dernier doit être comprit dans la définition de
cette stratégie.(Elmenzhi, 2011, p. 221)
3.3.2. Les éléments
constitutifs du management des risques
Le référentiel COSO 2 a également
apporté trois autres composantes du contrôle interne, à
l'addition des cinq premiers, sachant que le tout s'est projeté plus
vers le management des risques. Ce qui constitue le dispositif de gestion des
risques par le contrôle interne.
Pour avoir un management des risques efficace au sein de
l'entreprise il faut distinguer trois niveaux reliés entre
eux (Mandzila& Zégha, 2009, p. 20):
1. Le premier niveau concerne les relations qui doivent
exister entre les différentes structures qui composent l'entreprise.
Autant qu'une organisation efficace qui passe par la définition formelle
des responsabilités, des pouvoirs et des procédures
d'exécution et de contrôle.
Les relations établies entre la structure de
l'organisation et l'environnement interne déterminent la fixation
d'objectifs. Ces derniers devront être définis en prenant en
considération le « riskappetite » de
l`entreprise :
Ø Environnement interne
L'environnement interne englobe la culture et l'esprit de
l'entreprise. Il influence la façon dont les risques sont
appréhendés par l'ensemble des collaborateurs de l'entité.
Il agit particulièrement sur la conception du management, sur
l'appétence pour le risque, sur l'intégrité des valeurs
éthiques et sur l'environnement dans lequel l'entreprise opère.
(Elmenzhi, 2011, p. 223)
Ø Définition des objectifs
Afin que le management puisse identifier les
événements potentiels susceptibles d'en affecter la
réalisation, les objectifs doivent être définis au
préalable. Le management des risques permet de s'assurer que la
direction a mis en place un processus de définition des objectifs et que
ces objectifs sont compatibles avec la mission de l'entité ainsi qu'avec
son appétence pour le risque. Il est nécessaire de
procéder a priori à l'évaluation des risques, une
étape constitue une condition préalable à l'exercice du
contrôle interne. (Elmenzhi, 2011, p. 223)
2. Les processus d'estimation, de formalisation et
d'exploitation des risques qui doivent nécessairement être
décrits ; ils constituent le deuxième niveau du management
des risques d'entreprise (Elmenzhi, 2011, p. 223):
Ø Identification des événements
Il faut distinguer les risques des opportunités
à partir des événements internes et externes qui peuvent
affecter l'atteinte des objectifs d'une entreprise, ces
événements doivent être identifiés ; ceux qui
ont un impact négatif constituent des risques qui exigent une
évaluation du management, et ceux qui ont un impact positif
représentent des opportunités que le management doit
intégrer à la stratégie et au processus de
définition des objectifs.
Ø Evaluation des risques
L'ensemble de risques externes et internes doivent être
évalués ; les dirigeants déterminent le niveau de
risque acceptable pour une gestion prudente de l'activité. Ce processus
consiste en l'identification et l'analyse des facteurs susceptibles d'affecter
la réalisation des objectifs ; il permet de déterminer comment
ces risques devraient être gérés.
Les risques doivent être identifiés à
l'échelle de l'entreprise, et au niveau de chaque activité. Une
fois les risques inhérents et résiduels sont identifiés au
niveau de l'entreprise et de chaque activité, il faut procéder
à une analyse des risques en fonction de leur probabilité et de
leur impact, cette analyse sert à déterminer la façon dont
ils doivent être gérés.
Ø Traitement des risques
Après l'évaluation des risques le management
définit des solutions permettant de faire face aux risques. Les
différentes solutions possibles sont :
- Eviter le risque : cesser les
activités à l'origine du risque ;
- Réduire le risque : prendre des
mesures afin de réduire la probabilité d'occurrence ou d'impact
du risque ou les deux à la fois ;
- Accepter le risque : ne prendre aucune
mesure pour modifier la probabilité d'occurrence du risque et son
impact ;
- Partager le risque : diminuer la
probabilité ou l'impact d'un risque en transférant ou en
partageant le risque.
Le choix doit porter sur une solution en élaborant un
ensemble de mesures permettant de mettre en adéquation le niveau des
risques avec le seuil de tolérance et l'appétence pour le risque
de l'organisation.
3. Le troisième niveau du management des risques
d'entreprise concerne les activités de contrôle, le système
de surveillance, d'information et de communication (Elmenzhi, 2011, p. 223):
Ø Activités de contrôle
Elles sont diverses, et englobent, la validation,
l'autorisation, la vérification, le rapprochement de données et
la revue des performances opérationnelles, la sécurité des
actifs ou la séparation des tâches. Des politiques et
procédures sont définies et étendues pour veiller à
l'application des mesures de traitement des risques.
Ø Information et communication
Les informations utiles sont identifiées,
collectées, et communiquées sous un format et dans des
délais permettant aux collaborateurs d'exercer leurs
responsabilités.
La circulation de la communication doit être verticale
et transversale au sein de l'entreprise de façon efficace.
Ø Pilotage
Le processus de management des risques est piloté dans
sa globalité et modifié en fonction des besoins. Le pilotage
s'effectue au travers des activités permanentes de management ou par le
biais d'évaluations indépendantes ou encore par une combinaison
de ces deux modalités.
Si ces trois niveaux sont établis, la mise en place
d'un programme de management des risques se trouve facilitée. Le
programme de management des risques et le service d'audit interne ou la
direction financière de l'entreprise fonctionnent ensemble parce que ces
derniers connaissent les circuits de l'entreprise.
| 
