On ne peut pas contrôler ce qu’on ne peut pas voir | KPMG | CA

On ne peut pas contrôler ce qu’on ne peut pas voir

On ne peut pas contrôler ce qu’on ne peut pas voir

Il importe de concevoir un cadre fiable permettant une détection précoce des risques.

Contenu connexe

On ne peut pas contrôler ce qu’on ne peut pas voir

Aujourd’hui, les conseils d’administration et les comités d’audit ne sont plus uniquement tenus d’en faire davantage, ils doivent également rendre plus de comptes qu’avant. Leur rôle fondamental n’a pas changé, mais leurs responsabilités ont augmenté, les attentes se sont accrues et les répercussions des erreurs sont de plus en plus importantes.

Bien que le rôle du comité d’audit ait toujours été axé sur les risques, il se concentrait habituellement sur les risques financiers et réglementaires associés aux états financiers et à l’information financière. Maintenant, leur mandat s’étend à l’ensemble du profil de risque d’une organisation, de sorte que de nombreuses organisations ont renommé leur comité d’audit « comité d’audit et de gestion des risques du conseil d’administration » et lui ont attribué la responsabilité expresse de tous les domaines de risque. Par conséquent, les défaillances et les lacunes dans le cadre de gestion des risques d’une organisation peuvent avoir des répercussions qui vont au-delà des considérations financières et qui peuvent éventuellement susciter une attention accrue du public, une insatisfaction des actionnaires et une perte de confiance de la part des investisseurs. Plusieurs conseils d’administration et comités d’audit ont de la difficulté à assumer ce rôle changeant, n’étant pas certains que leur cadre de gouvernance des risques soit assez solide pour anticiper, évaluer et traiter ces risques de plus en plus complexes et en constante évolution.

Dans ce contexte en pleine transformation, les conseils et les comités d’audit sont forcés d’élargir leur vision du risque et de déterminer si leurs processus et leurs contrôles sont adéquats pour identifier, évaluer, gérer et atténuer l’éventail des risques actuels et émergents auxquels font face les organisations.

Les cinq étapes d’une meilleure préparation à l’égard des risques

Les conseils d’administration et les comités d’audit comprennent que les risques modifient le spectre de la reddition de comptes; ils le voient et le ressentent, et ils comprennent que l’interprétation que chacun se fait du risque est de plus en plus changeante. Les personnes qui sont ultimement responsables de la gestion des risques ont besoin de processus et d’outils qui améliorent l’identification, l’évaluation et l’atténuation des risques, tout particulièrement les risques opérationnels non traditionnels ou les risques qui peuvent avoir une incidence sur la réputation et entraîner un blâme public, une insatisfaction des actionnaires ou une perte de confiance de la part des investisseurs.

Pour ce faire, certaines étapes clés peuvent contribuer à renforcer et à élargir le cadre de la surveillance des risques :

  1. Les membres du conseil d’administration et du comité d’audit sont convaincus que tous les risques pertinents qui se posent au sein de l’organisation ont été identifiés, analysés et traités de manière appropriée.
  2. Trois mesures de sécurité ont été mises en place, notamment :
    1. des contrôles au sein de la fonction de l’entreprise
    2. une fonction de surveillance par la direction visant à assurer la mise en œuvre de contrôles appropriés à l’égard des activités menées par la direction
    3. les fonctions de certification indépendantes telles que l’audit (interne et externe), de même que des évaluateurs externes.
  3. Toutes les fonctions de surveillance des risques fonctionnent efficacement, tant de façon indépendante qu’en interaction les unes avec les autres. Par exemple, la fonction audit interne a reçu du conseil d’administration le mandat de surveiller tous les risques au sein de l’organisation et, de concert avec la fonction audit externe, de les prendre en considération et de les évaluer objectivement au besoin.
  4. La fonction gestion du risque d’exploitation (« GRE ») a une visée stratégique et possède, ou cultive, la capacité d’anticiper les risques émergents. Une fonction GRE solide aura déjà identifié et, en collaboration avec la direction, évalué les risques liés à la cybersécurité, en plus d’avoir pris les mesures appropriées pour veiller à la mise en place de contrôles adéquats.
  5. Les exigences en matière de risque propres au secteur d’activité sont bien comprises (p. ex. en matière de santé et de sécurité), comme en témoigne la mise en place de fonctions, d’activités et de contrôles pour l’identification, l’évaluation et l’atténuation des risques.

Quelle est l’incidence sur les conseils d’administration et le comité d’audit?Cette incidence ne se limite pas aux tâches supplémentaires et aux attentes accrues. Le conseil d’administration doit également s’assurer que les risques sont couverts; s’il n’y a pas de comité de gestion des risques, cette responsabilité reviendra généralement au comité d’audit. Étant donné que les enjeux sont considérables, les comités d’audit devraient confirmer que l’organisation a mis en place des structures permettant d’identifier et d’évaluer tous les risques et les contrôles dont le comité d’audit doit assurer la surveillance.

Le conseil d’administration et les comités d’audit devraient poser les questions suivantes :

  • Notre point de vue concernant les risques est-il assez large pour couvrir l’ensemble de l’organisation?
  • Les trois mesures de sécurité ont-elles été mises en place, et fonctionnent-elles de façon coordonnée et efficace?
  • Comprenons-nous entièrement les principaux risques stratégiques auxquels fait face notre organisation, et sommes-nous convaincus d’avoir mis en place des contrôles permettant de gérer adéquatement ces domaines de risque particuliers?
  • Qu’est-ce qui pourrait nous empêcher de réagir assez vite à un risque majeur tel qu’une infraction à la sécurité?

Élargir ses horizons

Auparavant, les conseils d’administration et les comités d’audit se concentraient avec raison sur les risques liés aux états financiers, mais dans le contexte actuel, cela ne suffit tout simplement pas. Les responsabilités en matière de risques ont dépassé les considérations financières. La cybersécurité, les médias sociaux, l’évolution des technologies des affaires, les activités exercées dans des économies émergentes : voilà quelques exemples des nombreux aspects qui entraînent des risques de plus en plus complexes pour les conseils d’administration et les comités d’audit.

Si une gestion des risques et des contrôles inadéquats entraînent un incident ou une infraction, les clients tourneront le dos à l’organisation, les investisseurs perdront confiance et des pertes financières majeures (ainsi qu’une éventuelle responsabilité personnelle des administrateurs) pourraient en découler. Toutefois, l’établissement d’un cadre de gestion des risques solide (qui comprend un programme efficace de GRE, des processus d’identification précoce des risques, une fonction audit intégré efficiente et une relation active avec l’auditeur interne / externe) peut aider à faire en sorte que le mandat de gestion des risques élargi du comité d’audit soit rempli, de façon à protéger les actifs de l’organisation.

Communiquez avec nous

 

Appel d’offres

 

Soumettre