Audits

f6640-monitoring2bafrica2blogoDu management des risques à l’audit basé sur le risque?

Les « novices » peuvent se perdre dans ce méandre des modèles de management des risques et d’audit basé sur les risques (COSO, ISO 31000, OCEG/GRC, modèles d’experts) et ne pas entrevoir les synergies ou les particularités existantes entre ces modèles. Pour le profane, il y a également cette panoplie des modèles et démarches. Par exemple, si l’audit financier et comptable tend à accorder une importance primordiale aux processus qui protègent les actifs, voire le patrimoine, et qui peuvent donner ainsi l’assurance que les états financiers sont corrects et sincères, l’audit basé sur les risques (ABR) se concentre sur les risques et les contrôles internes qui permettent de maitriser ces risques et de les confiner à des niveaux acceptables. Ainsi, les audits internes basés sur les risques évaluent l’efficacité des contrôles internes qui permettent de gérer les risques qui constituent une grande menace pour la réalisation des objectifs de l’organisation. En réalité, on retrouve cet impératif dans les processus d’audit, en général. Au demeurant, certaines questions sont à convoquer pour mieux comprendre ce qu’est l’audit basé sur les risques. Une première d’entre elles c’est évidement « Qu’est-ce qu’un risque? ». Une autre question est celle relative à la spécificité de l’audit basé sur les risques ! Qu’est-ce qui le rend si spécial ou complémentaire par rapport à d’autres formes d’audit ?

Spécifiquement, le management des risques tend à se développer dans plusieurs administrations publiques au niveau international. Les guides, manuels, circulaires, la norme ISO 31000 vont dans ce sens. De ce point de vue, les Etats considèrent de plus en plus qu’il est important de gérer les risques, voire de les atténuer au niveau du secteur public, ceci par exemple en vue de:

 maitriser les coûts ou pertes résultant d’opérations et d’activités;
 gérer les risques qui peuvent accepter les capacités de livraison de services aux citoyens.

Retenons une approche simplifiée (source http://www.internalaudit.biz/ ) selon laquelle « le risque est un ensemble de circonstances qui entravent la réalisation des objectifs. » Dans cette perspective, l’audit basé sur les risques suppose donc et avant tout la détermination des risques qui entravent la réalisation des objectifs de l’organisation », d’où la nécessité d’outils pertinents « préalables »: diagrammes ou organigrammes des objectifs et des risques, organigrammes de processus, registres Objectifs, Risques et Contrôles, tableau d’évaluation de la maturité des risques, univers des risques, grille de notation des risques, etc. C’est là un idéal qui n’est peut-être pas encore suffisamment concrétisé dans le management des organisations publiques en Afrique francophone

Cependant le mouvement est lancé !

La gestion des risques, d’un point de vue managérial, suppose une culture de prudence concrétisée par des processus permettant d’identifier et d’évaluer les risques, d’y faire face et de communiquer à temps sur leurs impacts. Gérer les risques supposerait aussi une bonne connaissance du lexique en dépit des formalisations variées qui existent selon les entités, les manuels, les législations. A titre d’exemple, certains référentiels consacrent la typologie risques stratégiques, risques opérationnels, risque de non-conformité, risque financier, risque de réputation. Dans cette perspective, les risques stratégiques se réfèrent principalement aux processus de management et de planification stratégique au cas où ces référentiels sont élaborés de faons professionnels par exemple en mettant en évidence des domaines d’intervention, des objectifs stratégiques, etc. Le risque stratégique sont ainsi ceux qui impactent fondamentalement la réalisation de la vision et des objectifs stratégiques prévus dans ce genre de documents, notamment les plans stratégiques. Dès lors il est important que le top management, la gouvernance (conseil d’administration, par exemple) et la surveillance (inspecteurs, contrôleurs, auditeurs, etc.), pour employer le modèle GRC/OCEG les identifie, les traitent, en opère la surveillance effective. Parallèlement, il existe les risques opérationnels qui impacte de façon significative les activités prévues, plus précisément leur atteinte. Le management stratégique et la planification stratégique, la gestion axée sur les performances, bien compris, reposent sur une logique simple :

 il faut planifier de façon stratégique, décliner des objectifs stratégiques, de activités à réaliser décrits dans des plans d’actions ;
 il faut formaliser les indicateurs et tableaux de bord, formaliser le système de compte rendu (rapports ou/et déclarations de performance, tableaux de bord, audit des performances, évaluations sommatives ou formatives, au besoin, etc.).

Par expérience, élaborer de tels documents, sans prendre en compte le management des risques, mais aussi un leadership et un coaching producteur d’impacts et capable de mobiliser, d’aiguillonner, de motiver, de récompenser ou de sanctionner, peut conduire à des illusions de performance en fin de parcours : le plan échoue, les objectifs ne sont réalisés qu’à moitié ou faiblement. En outre, au niveau des états africains qui ont entamé ce processus, il faudrait renoncer à la démesure des structures, des effectifs et construire tout un système intégré convenablement:

 un processus de planification stratégique efficient, continu et durable, qui s’incruste dans la gestion au quotidien ;
 une organisation rationnelle des structures et des fonctions qui exclut la dispersion d’objectifs et ne consacre guère un focus un cœur de métier pertinent ;
 des textes juridiques bien écrits de sorte à permettre la lisibilité de visions, de missions, d’objectifs par exemple consacrent une diversité d’objectifs et de structures ;
 une allocation des ressources pertinentes à des objectifs stratégiques majeurs et non par exemple à des choix politique de pute politique politicienne ;
 un environnement qui promeut l’obligation de rendre compte tout au long de la chaine des résultats et de la prise de décision ;
 des consensus positifs entre le management et la gouvernance sur les objectifs, la nature et la portée des risques susceptibles d’affecter les objectifs ;
 des outils permettant de spécifier, de hiérarchiser et de classifier les objectifs avant toute identification des risques ;
 des processus permettant d’évaluer les risques les plus importants qui menacent les objectifs de l’organisation pour ensuite les gérer les risques par le biais de contrôles internes pertinents et en évaluant l’efficacité des contrôles internes.

Au total, le management des risques est aujourd’hui une préoccupation qui commence à intégrer le champ du management des organisations publiques. A cet égard, plusieurs experts ont fait le pari d’intégrer les processus de planification stratégique, de management des performances (par exemple de gestion axée sur les résultats), de management des risques sans qu’il soit prouvé que ceux-ci, ainsi que les agents publics, comprennent les profondes interactions qui doivent exister entre ces processus et systèmes qui sont intimement liés. Au démurant, ces processus, à eux seuils, ne suffisent pas: il faut en aval tout un système d’assurance (audit des performances, audit basé sur les risques) ; concomitamment un système de contrôle de gestion publique, etc.) et du leadership pour l’exécution effective.

A mon avis, toutes ces longues années dans les méandres des services publics et des organisations m’ont convaincu que ce dont il s’agit c’est de construire le système intégré qui allie planification stratégique, management des risques et de la conformité, gestion du changement, de leadership transformationnel et de coaching, en un tout cohérent. Cela nécessite les profils adaptés. C’est là un pari stratégique fondamental, en matière de réformes, de renforcement des capacités. Monitoring Africa entend rester au cœur de ces enjeux de formalisation de tels défis. C’est aussi le sens des différents articles qui seront publiés à la suite de celui

Abdou Karim GUEYE
Ancien Directeur général de l’Ecole Nationale d’Administration et de Magistrature du Sénégal. Inspecteur général d’Etat à la retraite. International Certified JMT Coach, Speaker and Teacher. Président de sociétés.

Des outils en ligne : diagrammes ou organigrammes des objectifs et des risques, organigrammes de processus, registres Objectifs, Risques et Contrôles, tableau d’évaluation de la maturité des risques, univers des risques, grille de notation des risques, etc.

Publicités