Siegfried relever les défis de la gouvernance et de la gestion de risques actuels dans les...

Conférence d’hiver 2010, ICGFM

6 décembre 2010

Relever les défis de la gouvernance et de la gestion de risques actuels dans les organisations gouvernementales et internationales

Alan SiegfriedCIA, CCSA, CFSA, CGAP, CPA, CISA, CBA, CSP, CITP, MBA

Auditeur général, Banque interaméricaine de développementPrésident d’IIA, Conseil nord‐américain

Addressing Current Governance and Risk Management Challenges in Governmental and International Organizations. Alan N. Siegfried 2

• Problèmes et défis économiques mondiaux• Évolution de l'environnement réglementaire• Turbulences des marchés financiers• Réduction de la force de travail et licenciements massifs• Restrictions budgétaires• Efforts de gestion des risques inefficaces• Confiance des actionnaires ébranlée• Incertitude et imprévisibilité

Notre monde en un clin d'œil

Opportunité pour la profession d'audit interne de démontrer son leadership dans la gestion des risques, de contrôle et de gouvernance


Le risque de ne pas répondre• Diminution de la taille de l'audit interne dans le

revêtement et la gestion de nouveaux risques

• Crédibilité en tant que partenaire de gouvernance fiable considérablement réduite

• Diminution de la valeur des activités d'audit interne

• Considéré comme étant rigide et ne faisant pas face aux nouveaux risques

Où étaient les auditeurs internes?


Les leçons apprises de la gestion des risques

• Des réductions de coût à court terme avec des conséquences dévastatrices sur les opérations ou la direction

• Le recours à un tiers fournisseur, distributeur, des partenaires d'entreprise commune ou des contreparties ayant des difficultés financières, quels plans d'urgence sont en place

• Insatisfaction des clients quant à des créances recouvrables• Problèmes de liquidité en raison du resserrement du crédit et de la

baisse de la demande• Augmentation des incitations à la fraude financière• Mécontentement des employés et anciens employés qui sabotent et

chapardent les actifs• Pertes ou dommages causés à la réputation

Rôle de l’auditeur interneAide la direction à identifier les risques, concevoir des stratégies de gestion des risques,

évaluer et suivre l'efficacité de contrôles applicables


Les défis actuels de la gouvernance et de la gestion des risques

1. Alignement de la couverture d’audit interne pour répondre aux nouvelles attentes

2. Pleine adoption d’une stratégie axée sur le risque3. Remaniement des compétences pour répondre aux nouvelles 4. Utiliser les technologies pour atteindre une plus grande efficacité 5. Faire face à la diminution des ressources6. Maintenir la stature avec le comité d’audit7. Intégrer la fraude et la prévention ainsi que les enquêtes d'éthique

dans les stratégies d'audit8. Faire preuve d'un plus grand engagement en faveur de la qualité9. Améliorer la coordination interne10. Démontrer la valeur et ajouter à la ligne de fond

The IIA 2009


L’implication potentielle de l’audit interne dans la gestion des risques et la gouvernance

Participe aux discussions communes sur la question « et si » afin de reconsidérer les risques et identifier les plans d‘action

Aide à concevoir les processus de gestion des risques et de suivi / (c'est‐à‐dire, de contrôle!) afin de faire face aux risques

Redirige les ressources d’audit pour réévaluer les plus grandes zones à risque

Examen de l’audit interne de la gestion des risques et de la gouvernance organisationnelle


Vidéohttp://www.youtube.com/watch?v=laKprX‐HP94


Comprendre la différence

• La gestion des risques« Un processus visant à identifier, évaluer, gérer et contrôler les événements ou situations potentiels afin de fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation »

• Contrôle « Toute mesure prise par la direction, le conseil, et d'autres parties pour gérer le risque et accroître les chances de voir les buts et objectifs fixés atteints »

• Gouvernance« La combinaison des processus et des structures mis en œuvre par le conseil afin d'informer, diriger, gérer et surveiller les activités de l'organisation dans la réalisation de ses objectifs »


Qu'est‐ce que la gouvernance organisationnelle?

Le processus par lequel

(1) les valeurs et les objectifs sont établis et communiqués, (2) la réalisation des objectifs est surveillée, (3) la responsabilité est assurée, et (4) les valeurs sont préservées.

Direction générale EA

IA

Conseil

RM

C

ORGANISATION


Parties dans le processus de gouvernance

Groupe de contrôle – conseil et des comités du conseil

Groupe de gérance – direction générale : Double rôle de la gestion des ressources allouées par le

conseil et la responsabilité des résultats d'exploitation

Groupe de performance – gérer et soutenir la direction et le personnel

Groupe d’assurance – les fonctions d'audit interne et externe, et dans certaines organisations, les fonctions du contrôle

de la gestion des risques et de la conformité, font également partie du groupe d'assurance.


Deux principales responsabilités du Conseil

CONSEIL

Gouvernance générale

Orientation stratégique

Valeurs

Limites

Contrôle de gouvernance

Responsabilité

Conservation des valeurs


Domaines de focalisation du comité d’audit

Rapport financier

Contrôle interne de la gestion des

risques

Auditexterne

Communiquer & Faire des

rapports

Maintenir Mesurer

L’efficacité

Conformitéréglementaire

&Questions éthiques

Auditinterne

Domaines de focalisation du comité d’audit


Éléments clés du contrôle de gouvernance

Parties prenantes

Gouvernance générale

BOD

Gestion des risques

Hauts Dirigeants - Preneurs de

risques

Assurance Interne-Externe


Opportunités de gouvernance« Le changement des conditions commerciales et économiques offre une occasion de

réévaluer les priorités du Conseil et de recentrer l'agenda »

KPMG

Les compétences et les capacités du Conseil reflètent le changement de l'environnement des entreprises

Renforcer le contrôle de gestion des risques

Anticiper l'agenda stratégique

Bénéficier au mieux des comités du conseil

Examiner la circulation de l'information de la direction au Conseil

Créer et maintenir une organisation éthique

Recruter, former et retenir des gestionnaires de talent

Renforcer la gouvernance du Conseil et les politiques organisationnelles


Que peut apporter l'audit interne ?

Fournir des évaluations indépendantes et objectives sur :

La pertinence de la structure de gouvernance L'efficacité opérationnelle des activités de gouvernance.

Agir en tant que catalyseurs de changement en :

Conseillant ou prônant l'amélioration de la structure et des pratiques de gouvernance

Fournissant une assurance sur la gestion des risques, le contrôle et la gouvernance

L’IIA


Risques et gestion des risques

• Le risque est la probabilité/forte chance de voir se produire quelque chose qui aura un impact négatif sur les objectifs.

• La gestion des risques est l'application systématique des processus et des structures qui permettent à une organisation d’identifier, d’évaluer, d’analyser, d’optimiser, de contrôler, d’améliorer ou de transférer des risques tout en communiquant les risques et décisions relatives à ces risques aux parties prenantes.

La gestion des risques d’entreprise (ERM) porte sur les risques et les possibilités affectant la création ou la conservation de valeur.

L’ERM est un processus mis en œuvre par la direction et le conseil de direction d’une entité qui est appliqué dans la définition de la stratégie et dans toute l'entreprise. Il est conçu pour identifier les événements potentiels qui peuvent affecter l'entité, et gérer ces risques pour fournir une assurance raisonnable quant à la réalisation des objectifs.

Source: Committee of Sponsoring Organizations, “Enterprise Risk Management – Integrated Framework, Executive Summary”,2004


Avantages de l'ERM Vision globale du risque dans l'organisation De meilleures chances d'atteindre les objectifs Rapports consolidés des risques au niveau du Conseil Une meilleure compréhension des principaux risques et des

implications Identification et partage des risques communs aux entreprises Plus grande attention de la direction sur les questions qui

importent vraiment Moins de surprises ou de crises Plus grandes chances de réalisation d'initiatives de changement Capacité à prendre davantage de risques pour une plus grande

récompense et Prise de risque et de décision plus informée.


Classifications de l’ERM en matière de qualité

Excellent

• Capacités avancées pour identifier, mesurer, gérer toutes les expositions aux risques dans la limite de ce qui est toléré

• Mise en œuvre avancée, développement et exécution des paramètres ERM• Optimise constamment les résultats ajustés en fonction du risque dans toute l'organisation

Fort

• Vision claire de la tolérance au risque et profil de risque global• Le contrôle des risques est suffisamment fort pour la plupart des risques majeurs• Dispose de processus solides permettant d’identifier et de se préparer à de nouveaux risques• Intègre la gestion des risques et la prise de décision pour maximiser les résultats ajustés en fonction du risque

Adéquate

• Dispose pleinement de systèmes de contrôle opérationnels en place pour l'ensemble de leurs risques majeurs• Peut manquer d’un solide processus d'identification et de préparation à de nouveaux risques• Applique la gestion des risques sur la base du bon modèle classique « silo »• Le processus n'est pas pleinement développé pour maximiser les résultats ajustés en fonction du risque

Faible• Processus de contrôle incomplet pour un ou plusieurs risques majeurs• Capacités inconsistantes ou limitées pour identifier, mesurer ou gérer l’exposition aux risques majeurs

Source : Standard & Poor’s


Principes fondamentaux d'une stratégie de gestion des risques efficace dans les organisations internationales

Définition commune du risque et du cadre des

risques

Principaux rôles, responsabilités et

autorités clairement définis

Infrastructure commune de gestion des risques

Transparence appropriée et visibilité des organes

de gouvernance

Direction générale chargée de la

conception, de la mise en œuvre, et du maintien d’une gestion efficace

des risques

Unités commerciales tenues pour

responsables de la gestion des risques

Les fonctions de soutien ont des répercussions

négatives sur les affaires et la gestion des risques

Les fonctions de contrôle fournissent une

assurance objective, un suivi et des rapports


Pratiques efficaces de gestion des risques

Adopter une politique de gestion des risques

et des définitions spécifiques des

éléments de risque

Nommer un gestionnaire de

risques

Fournir des informations sur les

risques significatifs à la haute direction et

au Conseil

Quantifier et communiquer les pertes de risque

Définir et examiner les limites de risque avec

le Conseil Effectuer des

évaluations régulières.

Transférer les risques si le coût est moins

que le coût de rétention.

Former la direction et le Conseil en matière

de risque.

Fournir l'assurance annuelle sur l'état de

la gestion des risques.


Responsabilités du gestionnaire de risques

Mettre en œuvre une stratégie globale de gestion des risques, les processus et les contrôles

Proposer la politique de gestion des risques pour approbation du Conseil

Coordonner les efforts de gestion des risques dans toute l'organisation

Recueillir et combiner des informations sur les risques Évaluer les informations recueillies Identifier, évaluer et signaler les risques Communiquer les informations sur les risques au Conseil et à la

direction Fournir l'assurance annuelle sur l'état de la gestion des risques Affirmer que les politiques sont appropriées pour l'avenir

prévisible.


Rôle de l’audit interne dans l’ERM


Proposition de valeur de l’audit interne

Passer de la profession reconnue ‐ à la profession de confiance –apportant finalement de la valeur à votre organisation et de l'assurance aux parties prenantes

Comprendre les stratégies et objectifs de la gestion des affaires

Se focaliser sur les bons domaines et les bons risques Fournir des recommandations pratiques, pertinentes et

convaincantes Devenir un catalyseur proactif pour un changement positif Faire l’équilibre entre les services de conseil et d'assurance Aider à protéger ET faire croître l'entreprise Gagner une « place à table » Agir en tant que conseiller de confiance sur les questions de

risque, de contrôle et de gouvernance

Recognized.

Trusted.

Valued.


Responsabilités AUJOURD'HUI Chercher à comprendre les attentes des parties prenantes et évaluer

l'efficacité à répondre à ces attentes

Développer et démontrer de solides compétences en communication pour transmettre efficacement les conclusions et recommandations

Adopter et exécuter un plan d’audit fondé sur le risque équilibré

Faire preuve de leadership sur les questions de gouvernance d'entreprise, de fraude, de gestion des risques, de contrôle interne et des rapports financiers

Disposé à défier le statu quo, et fonctionner comme agents de changement

Fournir un environnement d'apprentissage et de cheminement de carrière


Outils utilesCadre d’évaluation de la gestion de risques

Niveau Critères d'évaluation des risques

Niveau 1

Fournir des politiques claires en matière de gestion des risques et des procédures

Fournir des structures claires en matière de gestion des risques et de gouvernance d'entreprise

Fournir des outils et cadres pour former le personnel à la gestion de risques

Accroître la connaissance de l'entreprise pour identifier et évaluer des risques

Se focaliser sur les avantages et désavantages du risque afin de d’optimiser la prise de risques stratégique

Faire des risques basés sur la probabilité et l'impact inhérent une priorité

Offrir une bonne visibilité quant aux principaux risques et l’état de mitigation

Rassembler les informations sur les risques et la mitigation dans une base de données centrale

Niveau 2

Faire des risques basés sur la probabilité et l'impact résiduel une priorité

Intégrer les facteurs de risque dans la planification au jour le jour et la prise de décision

Lier la gestion des risques à la performance des employés

Évaluer l'efficacité des efforts de mitigation des risques

Coordonner les activités d'assurance des risques dans toute l'organisation

Niveau 3

Évaluer la vélocité des risques afin de faire des efforts de mitigation des risques une priorité

Définir formellement l’appétit pour le risque des Unités commerciales dans le cadre de l'analyse des possibilités de risque

Intégrer les sections omises des commentaires pour l'amélioration continue de la stratégie des risques

Développer les mesures de risques prévisibles afin d’évaluer les impacts probables et stratégies de mitigation

Développer une vision à 360 degrés des risques de contrepartie pour souligner les niveaux d'exposition

Conseil exécutif d’entreprise


Les risques à prendre en considération en 2010

Type de risque Risques

Financier •Rapport d'intégrité

• Les déclarations financières/divulgations sont erronées selon les normes comptables

• Manque de fiabilité dans les systèmes de déclaration des données financières clés

• Vulnérabilités de la sécurité du système

• Enregistrement /contrôle de l'information financière inadéquate

• Les estimations ne sont pas adéquates

• Taux d'intérêt/risque de marché

• Échange de devises étrangères

• Insuffisance de liquidité

• Arrêt des risques du bilan

• Les transactions ne sont pas dûment approuvées

• Incapacité à mobiliser des capitaux

• Risque des avoirs/dettes

• Risque de placement

• Risque de crédit

De conformité • Non‐respect des pratiques d'emploi

• Contamination environnementale

• Politique de conservation des registres

• Incapacité à satisfaire aux obligations contractuelles

• Violation des exigences de fonds propres existants

• Non‐respect des accords de dette

• Les données utilisées pour soutenir la conformité ne sont pas fiables

• Adhésion au régime de retraite

exigences

• Opérations d'initiés

• Violations de la vie privée sur la sécurité de la santé

• Fraude

Stratégique • Alliances stratégiques

• La planification stratégique ne considère pas les impacts externes

• Nouveaux produits et services

• Réduction de la demande des clients

• Pression concurrentielle

• Perte de clients clés

• Échec des contreparties

• Pression des prix à la clientèle

• Ruptures technologiques

• Tendances contentieuses et incertitudes judiciaires

• Risque de réputation

• Structure et pratiques de gouvernance insuffisantes

Opérationnel • Perte de personnel clé

• Technologie obsolète

• Manque d'informations

gouvernance de la technologie

• Efficacité du développement insuffisante

• Catastrophes naturelles

• Actes de terreur

• Recours à des tiers

• Atteintes à la sécurité

• Manque de continuité des activités et planification de reprise après sinistre

• Qualité du service

• Gestion du projet/changement

• Perturbation d'entreprises/ défaillances du système

• Manque de contrôle contractuel suffisant

• Risque du contrôle du processus

Grant Thornton,


Réflexions finales Les risques auxquels font face nos organisations sont

sans précédent et les attentes des parties prenantes continuent de croître

La profession de l'audit interne à l'occasion de se mettre en avant afin de jouer un rôle clé en matière de gouvernance et de gestion des risques

Les praticiens individuels et les organisations doivent « faire susciter de plus grandes attentes » en représentant et plaidant de manière plus efficace pour une gouvernance forte et une gestion des risques


Réflexions finales

Hindsight

Insight

Foresight

Valeur

Focus

Questions?

Siegfried relever les défis de la gouvernance et de la gestion de risques actuels dans les...

Business

Transcript of Siegfried relever les défis de la gouvernance et de la gestion de risques actuels dans les...