Auditer le risque opérationnel

L'universalité du risque opérationnel

Le risque opérationnel est particulier en concernant toutes les activités, tous les métiers, toutes les personnes, tous les systèmes, tous les tiers de l’organisation. En effet, l’erreur est universelle, rien ne lui échappe. La fraude aussi n’a que faire des limites organisationnelles et des frontières artificielles. Ou encore la panne n’est jamais totalement une perspective à exclure. Le risque opérationnel est l’affaire de tous et de toute chose puisqu’il est inhérent à tout moyen employé au sein de l’organisation pour atteindre un but, réaliser un objectif. Il est incontournable pour toute fonction et prépondérant pour les métiers du risque, du contrôle et bien-sûr de l’audit. L’auditeur interne ne peut donc faire l’impasse d’une évaluation de la maîtrise du risque opérationnel et ce quel que soit le sujet audité. Cette récurrence n’est pas pour autant un inconvénient, bien au contraire. L’auditeur en effet en apprendra bien plus sur les process à partir des anomalies et des dysfonctionnements rencontrés que d’un descriptif écrit ou d’un simple exposé oral sur les procédures en vigueur.

 

Les contrôles d'audit récurrents en matière de risque opérationnel

 

L’avantage avec le risque opérationnel est que son caractère universel permet d’identifier des points de programme transposables à toute mission d’audit. Citons parmi les principaux :

  • la collecte des incidents : tout risque opérationnel avéré se traduit par un incident, voire par un sinistre dès lors que les conséquences sont financières. On apprend de ses erreurs et de celles des autres. En matière de maîtrise de risque, il est important qu’un système existe au sein de l’organisation afin de collecter tout incident ou sinistre pour en distinguer la cause et en fonction, d’apprécier la nécessité ou pas de mettre en place une action corrective destinée à combler une carence opérationnelle. L’auditeur s’assurera donc qu’un tel dispositif est mis en place, relayé par des correspondants au sein de chaque métier afin de disposer d’une vision centralisée des dysfonctionnements constatés ;
  • le cadrage entre la collecte des sinistres et la comptabilité : le dispositif exposé ci-dessus repose sur une démarche déclarative. Il n’est cependant pas aisé de contrôler que celle-ci soit exhaustive. S’agissant des sinistres, leur caractère financier implique une trace comptable de leur survenance. L’auditeur prendra donc soin de vérifier qu’il existe au sein de son organisation un cadrage entre la comptabilité et les sinistres déclarés par les correspondants opérationnels. S’agissant des incidents, la démarche de contrôle est plus délicate puisqu’ils ne génèrent aucun flux financier. Ils n’en sont pas moins importants car une anomalie sans effet aujourd’hui peut représenter une menace lourde pour demain. Afin de circonscrire les incidents opérationnels, on pourra utiliser des indicateurs dont la nature est détaillée ci-après ;
  • la maîtrise des incidents au travers d’indicateurs : le contrôle interne consiste à prévenir les risques, mais aussi à détecter les erreurs et autres anomalies. Cette dimension détective s’appuie notamment sur des indicateurs dont la lecture renseigne sur de potentielles insuffisances opérationnelles. Les plus courants sont les suivants : nombre d’opérations annulées sur une période donnée, délai moyen de traitement, degré d’antériorité des affaires en cours et non clôturées, solde des comptes techniques par ancienneté, niveau des réclamations et insatisfactions émises par la clientèle. L’auditeur interne a tout intérêt à vérifier que de tels indicateurs existent au sein de la structure auditée pour la maîtrise du risque opérationnel. Il s’assurera que ceux-ci sont pertinents au regard des process employés, qu’ils sont suivis sur base d’une fréquence appropriée au regard du volume d’opérations et des traitements, qu’ils sont suffisamment révélateurs pour tout dysfonctionnement.

La diffusion d'une culture du risque opérationnel

 

Le risque opérationnel est singulier du fait, nous l’avons dit, de son universalité. Il l’est également de par les résistances qu’il provoque lorsqu’il s’agit d’en recenser les conséquences. En effet, les incidents et sinistres sont bien souvent le fait d’une intervention humaine. Divulguer que l’on s’est trompé et mesurer les impacts de ses erreurs ne sont pas en soi des comportements des plus naturels. Il est donc nécessaire de dépasser des penchants à la discrétion, grâce à la diffusion d’une culture du risque au sein de l’organisation afin que la déclaration des dysfonctionnements soit perçue comme bénéfique pour maîtriser les risques. Du fait de la transversalité de son métier, l’auditeur interne est bien placé pour participer à cette promotion. Ainsi les incidents et sinistres ne seront peut-être plus considérés par les collaborateurs comme le point de départ des sanctions.

 

A lire également :

 

Exploiter les irrégularités pour auditer la fonction conformité

 

Le positionnement de l'audit interne entre Comité d'audit et Direction générale

 

Les normes IFRS et la juste valeur en débat

 

Retour à l'accueil

 

Écrire commentaire

Commentaires: 0