Au niveau de l’évaluation du risque inhérent, l’auditeur doit d’abord apprécier la stratégie globale de succès de l’entreprise. Ensuite, il doit comprendre la position de l’entreprise dans son environnement concurrentiel, et analyser les rapports de l’entreprise avec cet environnement pour identifier les risques stratégiques potentiels.
Au niveau de l’évaluation du risque de contrôle, et pour les risques identifiés, l’auditeur s’intéresse à la manière avec laquelle ces risques sont gérés au niveau du contrôle interne et suivis par l’entité. L’auditeur évalue les process internes en les considérant aussi bien comme une source de risques que comme un instrument pour réduire les risques.
Suite à cette analyse, les risques sur les états de synthèse sont déterminés parmi ceux identifiés qui sont considérés comme importants et difficiles à contrôler, qu’ils proviennent de l’analyse stratégique ou de l'analyse des process. Ces risques deviennent le centre d’intérêt de l’auditeur.
2.1 Evaluation du risque inhérent
2.1.1 L’analyse stratégique
En comprenant les objectifs et stratégies de l’entreprise ainsi que l'organisation en place pour les atteindre, l’auditeur comprend mieux ses risques business. Il peut ainsi conduire son audit de façon à identifier de manière plus complète les implications de ces risques sur les états de synthèse. En particulier, l'identification des facteurs clés de succès (FCS) lui permet de sélectionner les business process critiques.
a) La compréhension de la stratégie de l’entreprise
Comprendre la démarche stratégique de l’entreprise consiste à comprendre les risques rattachés aux options stratégiques retenues par le management, dans le but de concevoir la stratégie d’audit. Il ne s’agit pas d’apporter un conseil sur la stratégie de l’entreprise.
La prise de connaissance de la stratégie amène l’auditeur à s’intéresser principalement aux points suivants :
• Quelles sont les missions de l’entreprise, en terme de produit ou de marché ?
• Quels sont les objectifs de l’entreprise ?
• Quelles sont les stratégies tracées par l’entreprise pour atteindre ses objectifs ?
Les éléments de réponse sont généralement collectés durant les entretiens avec la direction générale ou financière, ou sont parfois disponibles dans les rapports annuels ou dans la charte de l’entreprise.
b) La détermination des facteurs clés de succès
Les principales questions auxquelles l’auditeur cherche à répondre sont les suivantes :
• Quels sont les aspects essentiels de l'activité qui doivent être maîtrisés par la société pour réaliser ses stratégies ?
• Existe-il un alignement entre les objectifs, les stratégies et les FCS ?
Dans sa réflexion, l’auditeur peut utiliser le tableau suivant, qui lui permet de faire le lien entre les objectifs, les stratégies et les facteurs clés de succès :
Objectifs Stratégies Facteurs clés de succès Alignement ?
c) Le découpage de l’activité en business process et l’identification des business process critiques
Il existe différentes manières d’approcher l’entreprise, notamment à travers :
ses comptes : Partir d’une analyse financière et apprécier la cohérence des agrégats pour pouvoir les valider, et ainsi remonter aux données financières sources ;
son organisation : Partir de l’organigramme, et analyser les relations entre services ainsi que les procédures appliquées ;
ses process : Partir des process qui correspondent au métier de l’entreprise et donc analyser la façon avec laquelle elle crée de la valeur.
Cette dernière dimension d’analyse est celle privilégiée par l’approche risque business.
Pour contrôler ses activités, la direction fractionne explicitement ou implicitement les objectifs de l’entreprise en sous-objectifs qui s’associent aux diverses activités, que l’on appelle process de l’entreprise ou business process. Ces objectifs au niveau des business process peuvent être contrôlés plus efficacement que ceux qui touchent l’ensemble de l’organisation, parce que les actions à exécuter sont plus faciles à déterminer.
Les business process critiques sont les business process qui permettent la réalisation des facteurs clés de succès de l’entreprise. Or un business process critique qui n’est pas conçu pour atteindre les objectifs de l’entreprise, ou qui n’est pas contrôlé d’une manière permanente pour maintenir cette capacité d’atteindre les objectifs fixés, peut également devenir la source de risques business.
De même, des risques business apparaissent quand les buts, les objectifs, les stratégies, les facteurs clés de succès et le pilotage des business process de l’entreprise ne sont pas alignés.
Ces sources de risques business montrent l’intérêt pour l’auditeur d’intégrer l’étude des business process dans le cadre de l’élaboration de sa stratégie, et de ne pas se limiter aux cycles comptables.
Dans cette étape, l’auditeur modélise l’entreprise sous forme de process pour s’assurer de la cohérence entre son organisation et sa stratégie. Son objectif n’est pas de proposer des améliorations, mais de cibler son approche car la compréhension générale des process est indispensable pour déterminer la capacité de l’entreprise à maintenir les FCS.
La modélisation des process peut prendre les formes suivantes :
• une forme graphique :
• une forme matricielle :
Process Sous-process Objectif Description Gestionnaire Début Fin Input Output
Ces représentations permettent de mettre en évidence l’enchaînement des process, du plus général au plus détaillé. Elles sont indispensables à une bonne vision de l’entreprise ainsi qu’à une bonne articulation de la démarche.
Pour identifier les business process critiques, il suffit de croiser les business process et les FCS.
Les business process qui conditionnent la réalisation des FCS sont perçus comme critiques et, par conséquent, nécessitent une plus grande attention de la part de l’auditeur.