Chapitre II : laudit interne et le management des risques: Concept et dfinitions

I. Laudit interne A. B. C. D. II. Dfinition de laudit interne Les finalits de laudit interne Les moyens de laudit interne Les outils de laudit interne

Le contrle interne A. Dfinition B. Le systme de contrle interne de la trsorerie

III.

Le management des risques A. Gnralits sur le management des risques 1. Dfinition 2. Elments du dispositif de management des risques 3. Relation entre objectifs de lorganisation et lments du management des risques 4. Efficacit et limites du management des risques B. Notion de risque 1. 2. 3. 4. Dfinition Classification des risques Maitrise des risques Les risques relatifs la trsorerie

Chapitre III : Cartographie de risques et rfrentiel daudit

I. La cartographie de risques A. B. C. D. II. Dfinition Objectifs et utilisateurs Processus dlaboration dune cartographie de risque Utilit de la cartographie de risques dans laudit interne.

Le rfrentiel daudit A. Dfinitions B. Objectifs C. Les apports du rfrentiel daudit

Chapitre II : Laudit interne et le management des risques: Concept et dfinitions I. Laudit interne
A. Dfinition

Laudit interne est une activit dassistance et conseil la gestion qui a beaucoup volu depuis la seconde guerre mondiale. Autrefois cantonn aux questions comptables, lAudit Interne touche aujourdhui toutes les activits de lentreprise et assure par consquent une grande varit de services daudit et de conseil. De simple point de vue du vocabulaire, observons que le terme Audit Interne trouve sa dfinition dans les mots : Audit qui, fidle sa racine latine (Audio, Audire : couter), montre la relle dfinition dcoute de la fonction. Son caractre gnrique est naturellement employ pour tout ce qui constitue une analyse et une opinion sur une situation. Interne car laudit est ici exerc par du personnel de lentreprise. Il soppose ainsi externe relevant dintervenants extrieurs.

Selon le code de dontologie de lInstitut de lAudit Interne The IIA lAudit Interne est dfini comme suit : Laudit Interne est une activit indpendante et objective qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisation atteindre ses objectifs en valuant, par une approche systmatique et mthodique, ses processus de management des risques, de contrle et de gouvernement dentreprise, efficacit . et en faisant des propositions pour renforcer leur

Laudit interne vise latteinte de trois objectifs : Evaluer le contrle interne : laudit est tenu didentifier les risques relatifs auxx dispositifs de contrle interne mis en place et proposer des actions pour les matriser. Apporter une valeur ajoute aux units audites tout en concou rant lintrt gnral de lentreprise. Obtenir le changement cest--dire une amlioration relle de la situation actuelle. Lauditeur nest pas seul responsable de la russite du changement, mais ne peut ignorer sa part de responsabilit.

B.

Les finalit s de laudit interne

Laudit interne vise latteinte de trois finalits : Evaluer le contrle interne : laudit est tenu didentifier les risques relatifs auxx dispositifs de contrle interne mis en place et proposer des actions pour les matriser. Apporter une valeur ajoute aux units audites tout en concourant lintrt gnral de lentreprise. Obtenir le changement cest--dire une amlioration relle de la situation actuelle. Lauditeur nest pas seul responsable de la russite du changement, mais ne peut ignorer sa part de responsabilit.

C.

Les normes de laudit interne

Les nouvelles normes de laudit interne impliquent une responsabilit accrue des auditeurs dans lvaluation du processus de management des risques ainsi que dans lefficacit dun tel processus. Ces nouvelles normes partent du postulat que le processus de management des risques peut et doit tre valu comme tout autre processus de lorganisation, important sur le plan stratgique. Dornavant il attendu des auditeurs internes quils anticipent les problmes et risques significatifs encours par lorganisation. Laudit interne doit accroitre sa capacit tourner son regard vers

lextrieur de lentrepris, son environnement, ses marchs. Audit interne ne signifie pas audit autocentr sur les oprations internes. Toutefois, il est essentiel de garder lesprit que lauditeur interne nest pas responsable du processus de management des risques, pas plus que des autres processus. Comme il incombe au conseil dadministration et au comit daudit de veiller ce que des processus de management des risques appropris et efficaces soient en place, il est attendu que laudit interne value ce dispositif.

D.

Les moyens de laudit interne

Les moyens utiliss par les auditeurs internes peuvent tre considrs comme des dmarches mthodologique. logiques qui vont sinscrire tout naturellement dans le cadre

Les questionnaires:
Le questionnaire de prise de connaissance Ce document est essentiellement utilis au cours de la phase de prise de connaissance de la mission. Il va permettre la collecte des informations dont la connaissance est ncessaire lauditeur : Pour bien dfinir le champ dapplication de sa mission, Pour prvoir en consquence lorganisation du travail et en particulier en mesurer limportance, Pour prparer llaboration des questionnaires de contrle interne.

Le questionnaire de contrle interne Une liste de questions auxquelles lauditeur rpond par OUI ou par NON (ou non applicable) afin de porter un diagnostic par simples lectures des rponses.

Les FRAP:
La Feuille de Rvlation et dAnalyse de Problme se prsente comme un document normalis, qui va conduire le raisonnement de lauditeur seule fin de lamener formuler une recommandation.

E.

Les outils de laudit interne

Ces outils sont nombreux, varis et volutifs. Ils peuvent tre classs dans deux catgories Les outils dinterrogation. Les outils de description

Les outils dinterrogation :

Les outils dinterrogation aident lauditeur formuler des questions ou rpondre des questions particulires quil se pose. Les plus utiliss sont les suivants : Les interviews ; Les vrifications et les rapprochements ; Les sondages statistiques ; Lanalyse causale ; Le Questionnaire de Contrle Interne Linterview est un outil que lauditeur interne utilise fr quemment, mais une mission daudit qui ne serait opre quavec des interviews ne pourrait tre

Les interviews

considre comme une mission daudit interne. De surcrot, linterview daudit interne ne saurait tre confondue avec des techniques dapparence similaire : ce nest ni une conversation, ni un interrogatoire. Lauditeur doit veiller assurer une bonne interview. Pour le faire, il faut quil respecte les rgles cites ci-dessous, qui sinspirent du ncessaire esprit de collaboration qui doit sinstaurer entre audit et auditeur : Respecter la voie hirarchique surtout quand il sagit dune interview qui na pas t programme au cours de la runion de lancement de la mission.

Rappeler clairement la mission et ses objectifs. Il sagit l du respect du principe de transparence qui gouverne toute mission daudit. Evoquer, avant toute autre chose, les difficults, les points faibles, les anomalies rencontres. En dautres termes, on situe dentre de jeu le dialogue au niveau de connaissance o se situe lauditeur dans le droulement de sa mission en rappelant le rsultat de ses toutes dernires investigations. Du mme coup, on vite toute digression laudative, telle que lon peut en rencontrer dans la narration. adhrer aux conclusions de linterview, Cette rgle est la contrepartie

logique de la premire : les conclusions de linterview, rsumes avec linterlocuteur, doivent recueillir son adhsion avant dtre communiques sous quelque forme que ce soit sa hirarchie. Rien ne serait plus ngatif que le rsultat dune interview communiqu en condence la hirarchie alors que lintress na pas encore vritablement donn son aval sur les conclusions tirer de ses propos. Conserver lapproche systme, en vertu de ce principe que lauditeur ne sintresse pas aux hommes. On doit donc se garder de toute question ayant un caractre subjectif et mettant en cause les personnes. Pour une intervie w constructive, cette optique doit galement tre celle de linterview : lauditeur nhsite pas le ramener dans le droit chemin si daventure et ce nest pas exceptionnel ce dernier drive dans ses rponses sur des questions de personnes Savoir couter, chacun sait que ce nest pas facile. Lauditeur doit viter dtre celui qui parle plus quil ncoute ; or le premier exercice est plus facile et plus agrable que le second. Dans cette coute lauditeur doit savoir tre nanmoins un faciliteu r , pratiquer dinstinct la maeutique de SOCRATE et conduire lentretien pour le maintenir sur les rails. Il y a l un subtil quilibre trouver entre le savoir couter et le ne rien dire . Lauditeur aura tout intrt suivre cette n une formation sur lcoute active .

Lauditeur qui procde une interview doit considrer son interlocuteur comme un gal. Non pas un gal au sens hirarchique du terme, mais un gal dans la conduite du dialogue. Dans le respect de ces principes, linterview daudit se droule normalement

en 4 tapes : Prparation de linterview : il sagit ce stade de dfinir au pralable le sujet de linterview, de connatre la personne interviewer, dlaborer les questions et de prendre rendez-vous-mme si lentrevue a t prvue lors de la runion de lancement. Dbut de linterview : il faut commencer par se prsenter et prciser la technique qui sera utilise. Lauditeur devra galement sadapter son interlocuteur et bien observer ses attitudes. Les questions : pour obtenir linformation recherche ; lauditeur doit toujours vrifier quil a bien compris la rponse de linterlocuteur, il doit le laisser sexprimer mais il doit savoir ramener le propos sur le thme voqu sans bloquer le discours. La conclusion : lauditeur doit procder une validation gnrale en rsumant les principaux points nots. Il doit demander sil existe dautres points aborder, dautres personnes interviewer ou dautres documents consulter. Les vrifications et les rapprochements : Ce ne sont pas des outils proprement parler mais plutt des procds et qui sont utiliss par lauditeur au cours de la phase de ralisation. Les auditeurs internes ny ont recours que pour sassurer de la validit des oprations effectues : toute erreur donne lieu une recherche causale . o Vrifications : Elles ont extrmement diverses : les plus nombreux sont les vrifications arithmtiques. Signalons ce propos les erreurs croissantes dues la pratique des tableurs. Cest pourquoi les auditeurs aviss utilisent des logiciels permettant de vrifier la logique des tableurs.

Lauditeur peut galement avoir recours des ratios mais condition de disposer dun rfrentiel et des ordres de grandeurs lui permettant de faire des comparaisons et dceler les dviations. Ajoutons la vrification de lexistence de documents et la recherche dindices. o Rapprochements : Les rapprochements constituent pour lauditeur interne une technique de validation : il confirme lexactitude et lauthenticit dune information ds linstant quelle provient de deux sources diffrents : cest le cross control. Ces techniques sont souvent riches denseignements, toute diffrence rvlant une anomalie en chercher les causes et redresser. Les sondages statistiques : Le sondage statistique est une mthode qui permet, partir dun chantillon prlev de faon alatoire dans une population de rfrence, dextrapoler la population les observations faites sur lchantillon. Pour lauditeur interne, le sondage statistique nest pas une fin en soi. Il ne sagit pas seulement dobtenir une information, mais galement et surtout de rechercher les causes du phnomne aprs en avoir mesur lampleur. Lauditeur interne va utiliser trois niveaux dinformation statistique pour mener son investigation : Premier niveau : les donnes lmentaires quil va, le plus souvent, trier pour pouvoir en tirer soit des conclusions, soit des pistes dobservations. Deuxime niveau : les statistiques internes, labores par tous et en particulier par le contrle de gestion. Troisime niveau : lchantillonnage statistique mis en uvre par la technique du sondage. Lanalyse causale : Lanalyse causale bien conduite aboutit tout naturellement lexamen des dispositifs de contrle interne . Lorsque lauditeur identifie clairement et prcisment

la cause, il peroit lusage efficace quil peut en faire, lorsquil sagit dnoncer la recommandation. Il sagit dune mthode simple et souvent utilise : le diagramme dIshikawa ou dit darte de poisson . Ce nest quun simple moyen qui sous cinq vocables commenant tous par un M (mthode des 5M) rappelle quil convient dexplorer les 5 domaines possibles dans lesquels sont susceptibles de se nicher les causes dun phnomne : Main-duvre ; Milieu ; Matire ; Matriel ; Mthode. Ces cinq points constituent les artes fondamentales conduisant lexplication du phnomne.

Donc il est essentiel de remonter la cause ou aux causes du phnomne. Et lauditeur saura quil est parvenu au bout de son analyse lorsquil aura identifi la dfaillance dun dispositif spcifique du contrle interne. Lauditeur interne trouve dans cette dmarche la satisfaction de la dcouverte, trs vite il manie avec efficacit les techniques danalyse les plus sophist iques et peut dceler, partir dun constat dapparence bnigne, des insuffisances trs graves

dans les dispositifs de contrle interne et donc des faiblesses majeurs dans la matrise des oprations. Cest par de telles analyses, conduites au niveau le plus lmentaire, et partir des constats rels que lauditeur interne va apporter au management une assistance efficace dont la productivit dpasse largement le cot du temps pass.

Le Questionnaire de contrle Interne : Le questionnaire est une grille danalyse dont la finalit est de permettre lauditeur dapprcier le niveau et de porter un diagnostic sur le dispositif de contrle interne de lentit ou de la fonction audite. Il est compos d une liste de questions nadmettant en principe que les rponses oui ou non qui servent recenser les moyens mis en place pour atteindre les objectifs du contrle interne. Le questionnaire est bti pour que les rponses ngatives dsignent les points faibles du dispositif de contrle interne, et que les rponses positives signalent les points en thorie forts. Lexploitation du QCI consiste ensuite pour lauditeur valuer limpact des non et vrifier la ralit des oui .

Les outils de description

Les outils de description ne prsupposent pas de questions particulires, mais vont aider mettre en relief les spcificits des situations rencontres. Nous pouvons citer : La grille danalyse des tches. Elle va vritablement relier lorganigramme fonctionnel lorganigramme hirarchique et justier les analyses de postes. Tous ces documents retant une situation une date donne, il en est de mme de la grille danalyse des tches, qui est la photographie un instant T de la rpartition du travail. Sa lecture va permettre de dceler sans erreur possible les manquements la sparation des tches et donc dy porter remde. Elle permet galement de faire le premier pas dans lanalyse des charges de travail de chacun. Le diagramme de circulation.

Si la grille danalyse des tches est statique, le diagramme de circulation est dynamique : lun est la photographie, lautre le cinma. Le diagramme de cir culation, ou ow-chart, permet de reprsenter la circulation des documents entre les diffrentes fonctions et centres de responsabilit, dindiquer leur origine et leur destination et donc de donner une vision complte du cheminement des informations et de leurs supports. Cette mthode de schmatisation remplace une longue de scription et ses avantages lemportent largement sur ses inconvnients. Lobservation physique. Lauditeur interne nest pas quelquun qui reste dans son bureau : il saisit toutes les occasions pour aller sur le terrain et pratiquer lobservatio n physique. Aller sur le terrain ce peut tre aller dans une usine, visiter un secteur commercial ou aller dans un autre bureau. Dans tous ces cas, il ne procde pas seulement des interviews, il va galement observer. La pratique de lobservation physique exige trois conditions :

Lobservation ne doit pas tre clandestine. Lobservation ne doit pas tre ponctuelle. Lobservation doit toujours tre valide car elle est incertaine, sauf le cas o elle est elle-mme une validation.

II.

Le contrle interne
A. Dfinition

Toute entreprise a pour but dassurer, en fonction de ses moyens, latteinte des objectifs quelle sest fix. Pour ce faire, elle doit mettre en place des dispositifs de contrle interne lui permettant la bonne matrise de ses activits et le respect des procdures et rglement tous les niveaux. Les dfinitions du contrle interne ont t nombreuses et ont eu le plus souvent comme auteurs des organisations professionnelles financires et comptables. Elles se sont modifies au fur et mesure que le temps et l environnement de lentreprise ont volu, et comme suit les dfinitions les plus pertinentes et universelles et qui ont apport une clart sur le concept et les objectifs du contrle interne : Dfinition du contrle interne selon lordre des experts compt ables franais (1977) : Le contrle interne est lensemble des scurits contribuant la matrise de lentreprise. Il a pour but dun ct dassurer la protection, la sauvegarde du patrimoine et la qualit de linformation, de lautre lapplication des instructions de la direction et de favoriser lamlioration des performances. Il se manifeste par lorganisation, les mthodes et les procdures de chacune des activits de lentreprise, pour maintenir la prennit de celle -ci. Dfinition du contrle interne selon le COSO (1992) :

 Le contrle interne est un processus mis en uvre par le conseil dAdministration, les dirigeants et le personnel dune organisation destin fournir une assurance raisonnable que : Les oprations sont ralises, scurises, optimises et permettant ainsi lorganisation datteindre ses objectifs de base, de performance, de rentabilit et de protection du patrimoine ; Les informations financires sont fiables ; Les lois, les rglementations et directives de lorg anisation sont respectes. Le contrle interne est un processus intgr et dynamique qui sadapte constamment aux changements auxquels une organisation est confronte. Le management et le personnel, tous les niveaux, doivent tre impliqus dans ce processus afin de traiter les risques et fournir une assurance raisonnable quant la ralisation des missions de lorganisation et des objectifs gnraux. Les dfinitions du contrle interne reposent sur certains concepts fondamentaux, savoir :

Le contrle interne est un processus Le contrle interne constitue un moyen darriver ses fins et non pas une fin en soi. En effet, le contrle interne nest pas un vnement isol ou une circonstance unique mais un ensemble dactions qui se rpandent travers les activits de lentreprise. Ces actions sont perceptibles tous les niveaux et sont inhrents la faon dont lactivit est gnre. Le contrle interne ainsi dfini est, par consquent, diffrent de la description quen font certains observateurs, qui le peroivent comme une activit

supplmentaire dune organisation ou comme un fardeau ncessaire. Le systme de contrle interne fait partie intgrante des activits dune organisation et est particulirement efficace lorsquil est intgr dans linfrastructure et la culture de lorganisation.

Le contrle interne doit tre intgr et non superpos ? ce faisant, il devient une partie intgrante des processus de gestion de base en matire de planification, dexcution et de vrification.

Le contrle interne est mis en uvre par des personnes : Le contrle interne nexiste pas sans les personnes qui le font fonctionner. Il nat des personnes qui composent lorganisation, travers de ce quelles font et de ce quelles disent. En consquence, le fait que le contrle interne soit suivi deffets est tributaire des personnes. Elles doivent connatre leur rle et leurs responsabilits ainsi que les limites de leur autorit. Quand on parle des personnes qui composent lorganisation, on vise la fois les responsables et les autres membres du personnel. Si le management exerce en priorit un rle de supervision, il arrte aussi les objectifs de lorganisation et assume une responsabilit globale sur le systme de contrle interne. Comme celui-ci contribue, de par les mcanismes quil suppose, une meilleure comprhension des risques qui menacent la ralisation des objectifs de lorganisation, il appartient la direction de mettre en place les activits de contrle interne, dassurer leur suivi et de les valuer.

Le management et le conseil dadministration ne peuvent attendre du contrle interne quune assurance raisonnable et non une assurance absolue Le contrle interne aussi bien conu et aussi bien appliqu quil soit ne peut offrir quune assurance raisonnable quant la ralisation des objectifs de lentit. La probabilit datteindre ceux-ci est soumise aux limites inhrentes tout le systme de contrle interne. La notion dassurance raisonnable correspond un degr de confiance satisfaisant pour un niveau de cots, de bnfices et de risques donn. La dtermination de ce degr dassurance raisonnable est une affaire de jugement. Cet exercice suppose que les responsables identifient les risques inhrents leurs

oprations, dfinissent les niveaux de risques acceptables en fonction de divers scnarios et valuent le risque tant en termes qualitatifs que quantitatifs. Le contrle interne est ax sur la ralisation dobjectifs

Le contrle interne est ax sur la ralisation dobjectifs dans un ou plusieurs domaines qui sont distincts mais qui se recoupent. Les objectifs peuvent tre classs en trois catgories : o Oprationnels : sagissant de la ralisation et loptimisation des ressources de lentreprise. o Informations financires : sagissant de la prparation des tats financires publis fiables. o Conformit : sagissant du respect par lorganisation des lois et des rglements en vigueur.

B.

Les objectifs du contrle interne

Le contrle interne est un acte inhrent tout acte de management et constitue un pralable indispensable la matrise et au dveloppement des activits de lentreprise. De ce fait, il doit permettre lentreprise de garantir :

La fiabilit, la qualit et la scurit des informations Les dispositifs du contrle interne doivent assurer la fiabilit, la qualit et la

scurit des informations la fois financires et non financires utilises pour la prise de dcision ou communiques.

La protection du patrimoine Le contrle interne a pour objectif, entre autres, de protger les actifs de la

socit contre toute ventuelle perte, notamment la fraude et la mauvaise utilisation. Le terme patrimoine doit tre pris au sens large : financier, hommes, images, technologies, matriel, etc.

Le respect des lois, rglements, politiques et directives de la direction

Le contrle interne doit assurer la conformit et la rgularit de lensemble des oprations et activits de lentreprise par rapport aux lois et rglementations en vigueurs. Il doit aussi garantir le respect et lapplicatio n des directives par la direction gnrale de lentreprise.

La rgularit, loptimisation et lefficacit des oprations ainsi que lamlioration des performances Pour que le contrle interne soit efficace, les lments du contrle dans une

organisation doivent convenir atteindre les objectifs fixs, la fois les objectifs gnraux et spcifiques chacune des activits ou fonctions de lentreprise. Le processus du contrle interne permet didentifier des insuffisances dans lorganisation et dans lexcution des diffrentes activits de lentreprise. Ainsi, lanalyse du processus met en vidence des tches non effectues, des activits effectues par des personnes ne disposant pas de la comptence requise ou des informations ncessaires laccomplissement correct de ces tches. Ces constatations peuvent ainsi conduire rorganiser certaines fonctions, et automatiser certains contrles.

C.

Les lments de base de contrle interne :

Le contrle Interne est compos de cinq lments interdpendants qui dcoulent de la faon dont lactivit est gre et qui sont intgrs aux processus de gestion :

Environnement de contrle Les individus et lenvironnement dans lequel ils oprent sont lessence mme

de toute organisation. Ils en constituent le socle et le moteur. Lenvironnement de contrle reflte la culture dune organisation puisquil dtermine le niveau de sensibilisation de son personnel au besoin de contrle.

Lenvironnement de contrle constitue le fondement de toutes les autres composantes du Contrle Interne, en fournissant une discipline et une structure. Les facteurs constitutifs de lenvironnement de contrle interne sont :
Lintgrit tant personnelle que professionnelle et les valeurs thiques des responsables et du personnel ; Lengagement un niveau de comptence ; Le style de management en loccurrence, la philosophie des responsables et leur manire doprer ; La structure de lorganisation ; Les politiques et pratiques en matire de ressources humaines.

Evaluation des risques Lentreprise doit tre consciente des risques et doit mes matriser. Elle doit

galement fixer des objectifs et les intgrer aux activits commerciales, financires, de production, de marketing et autres, afin de fonctionner de faon harmonieuse. Elle doit galement instaurer des mcanismes permettant didentifier, analyser et grer les risques correspondants. Lvaluation des risques est le processus qui consiste identifier et analyser les risques pertinents, susceptibles daffecter la ralisation des objectifs d e lorganisation et dterminer la rponse y apporter. Elle implique les lments suivants : Identification des risques. Analyse des risques. Evaluation du degr daversion au risque de lorganisation. Mise au point des rponses y apporter. Compte tenu de lvolution permanente des donnes politiques, conomiques, industrielles, rglementaires et oprationnelles, lvaluation des risques doit constituer un processus continu et itratif. Cela implique didentifier et danalyser les changements, les opportunits et les risques qui en dcoulent et de modifier les

dispositifs de contrle interne pour ladapter aux changements intervenus dans les risques.

Activits de contrle : Les normes et procdures de contrle interne doivent tre labores et

appliques pour sassurer que les mesures identifies par le management comme ncessaire la rduction des risques lis la ralisation des objectifs sont excutes. Les activits de contrle sont prsentes travers une srie dactivits orientes vers la dtection et la prvention, aussi diverses que : Des procdures dautorisation et dapprobation ; La sparation des fonctions (entre autorisation, traitement, enregistrement, vrification) ; Les contrles portant sur laccs aux ressources et aux documents ; Les vrifications ; Les rconciliations ; Les analyses de performances oprationnelles ; Les analyses doprations, de processus et dactivits ; La supervision (affectation, analyse, approbation, directives et formation) Les organisations doivent atteindre un quilibre adquat entre les activits de contrle orientes vers la dtection et celles qui visent la prvention. Des actions correctives sont un complment indispensable aux activits de contrle en vue de la ralisation des objectifs.

Information et communication : Les systmes dinformation et de communication sont articuls autour des

activits de contrle. Ils permettent au personnel de recueillir et changer les informations ncessaires la conduite, la gestion et au contrle des oprations. La premire des conditions lobtention dune information susceptible dtre jug fiable et pertinente, rside dans lenregistrement rapide et le classement convenable des transactions et des vnements. Linformation pertinente doit tre identifie, recueillie et communique sous une forme et dans des dlais qui permettent au personnel de procder aux activits de Contrle Interne dont il a la charge et dassumer ses autres responsabilits. Ds lors, le systme de contrle

interne en tant que tel et lensemble des transactions et des vnements importants que lorganisation peut avoir grer, doivent faire lobjet dune documentation complte. Les systmes dinformation produisent des rapports contenant des

informations oprationnelles, financires et non financires, ainsi que des informations lies au respect des obligations lgales et rglementaires qui permettent de grer et de contrler les activits. Ils traitent non seulement les donnes produites en interne, mais galement linformation lie aux vnements externes, aux activits et aux conditions ncessaires la prise de dcisions et ltablissement de rapports. La capacit des responsables prendre les dcisions appropries est conditionne par la qualit de linformation ; il sagit donc quelle soit adquate, disponible en temps opportun, jour, exacte et accessible. Dautre part, une communication efficace doit circuler de manire ascendante, transversale et descendante dans lorganisation, dans toutes ses composantes et dan s lensemble de sa structure. Les plus hauts responsables de lorganisation doivent transmettre un message clair tous les membres du personnel sur limportance des responsabilits de chacun en matire de Contrle Interne.

Pilotage Lensemble du processus doit faire lobjet dun suivi et des modifications

doivent y tre apportes le cas chant. Ainsi, le systme peut ragir rapidement en fonction du contexte. Les systmes de contrle interne doivent faire lobjet dun suivi destin en vrifier la qual it au fil du temps. Ce suivi peut soprer en combinant les deux mthodes : Pilotage permanent : le pilotage ou le suivi permanent du contrle interne sinscrit dans le cadre des activits dexploitation courantes et rcurrentes dune organisation et comprend des contrles rguliers effectus par la direction et le personnel dencadrement, ainsi que dautres actions effectues par le personnel dans le cadre mme des tches quil a accomplir.

Pilotage ponctuelle : les valuations ponctuelles varieront en tendue et en frquence essentiellement en fonction de lvaluation des risques et de lefficacit des procdures de pilotage permanent. Les valuations ponctuelles portent sur lefficacit du systme de Contrle Interne et garantissant que celui-ci atteint les rsultats attendus sur la base de mthodes et procdures.

III.

Le management des risques

A. Gnralits sur le management des risques

Lincertitude est une donne intrinsque la vie de toute organisation. Aussi lun des principaux dfis pour la direction rside-t-il dans la dtermination dun degr dincertitude acceptable afin doptimiser la cration de valeur, objectif considr comme le postulat de base dans le concept de management des risques. Lincertitude est source de risques et dopportu nits, susceptibles de crer ou de dtruire de la valeur. Le management des risques offre la possibilit dapporter une rponse efficace aux risques et aux opportunits associes aux incertitudes auxquelles lorganisation fait face, renforant ainsi la cap acit de cration de valeur de lorganisation. La valeur de lorganisation est maximise dune part lorsque la direction labore une stratgie et fixe des objectifs afin de parvenir un quilibre optimal entre les objectifs de croissance et de rendement e t les risques associs, et dautre part lorsquelle dploie les ressources adaptes permettant datteindre ces objectifs. Le management des risques comprend les lments suivants :

Aligner lapptence pour le risque avec la stratgie de lorganisation : Lapptence pour le risque est une donne que la direction prend en considration lorsquelle value les diffrentes options stratgiques, dtermine les objectifs associs et dveloppe le dispositif pour grer les risques correspondants. Dvelopper les modalits de traitement des risques : Le dispositif de management des risques apporte une mthode permettant de choisir de faon rigoureuse parmi les diffrentes options de traitement des risques que sont : lvitement, la rduction, le partage ou lacceptation du risque.

Diminuer les dconvenues et les pertes oprationnelles : Les organisations amliorent leur capacit identifier et traiter les vnements potentiels, ce qui

leur permet dattnuer les impondrables et de diminuer les cots ou pertes associs.

Identifier et grer les risques multiples et transverses : Chaque entit est confronte une multitude de risques affectant diffrents niveaux de lorganisation. Le dispositif de management des risques renforce lefficacit du traite ment des impacts en cascade et apporte des solutions intgres pour les risques consquences multiples.

Saisir les opportunits : Cest en prenant en compte un large ventail dvnements potentiels que la direction est le mieux mme didentifier et d e tirer parti des opportunits de faon proactive. Amliorer lutilisation du capital : Cest en ayant une vision claire des risques de lorganisation que la direction peut valuer efficacement les besoins en capitaux et en amliorer lallocation. Ces lments du dispositif de management des risques contribuent la

ralisation des objectifs de performance et de rentabilit de lorganisation et la minimisation des pertes. Le dispositif de management des risques contribue aussi la mise en place dun rep orting efficace et au respect de la conformit aux lois et rglementations. Ce faisant, il protge limage de lentit et lui pargne les consquences nfastes dune perte de rputation. En bref, grce au dploiement dun tel dispositif, une socit est mieux arme pour atteindre ses objectifs et viter les cueils et les impondrables.

1.

Dfinition du management des risques

Le management des risques traite des risques et des opportunits ayant une incidence sur la cration ou la prservation de la valeur. Il se dfinit comme suit :

Le management des risques est un processus mis en uvre par le Conseil dadministration, la direction gnrale, le management et l'ensemble des collaborateurs de lorganisation. Il est pris en compte dans llaboration de la stratgie ainsi que dans toutes les activits de l'organisation. Il est conu pour identifier les vnements potentiels susceptibles daffecter lorganisation et pour grer les risques dans les limites de son apptence pour le risque. Il vise fournir une assurance raisonnable quant l'atteinte des objectifs de l'organisation. Cette dfinition reflte certains concepts fondamentaux. Le dispositif de management des risques : Est un processus permanent qui irrigue toute lorganisation, Est mis en uvre par lensemble des collaborateurs, tous les niveaux de lorganisation, Est pris en compte dans llaboration de la stratgie, Est mis en uvre chaque niveau et dans chaque unit de lorganisation et permet dobtenir une vision globale de son exposition aux risques, Est destin identifier les vnements potentiels susceptibles daffecter lorganisation, et grer les risques dans le cadre de lapptence pour le risque, Donne la direction et au Conseil dadministration une assurance raisonnable (quant la ralisation des objectifs de lorganisation), Est orient vers latteinte dobjectifs appartenant une ou plusieurs catgories indpendantes mais susceptibles de se recouper. Cette dfinition est volontairement large. Elle intgre les principaux concepts sur lesquels sappuient les socits ou dautres types dorganisation pour dfinir leur dispositif de management des risques et se veut une base pour la mise en uvre dun tel dispositif au sein dune organisation, dun secteur industriel ou dun secteur dactivit. Elle est centre sur latteinte des objectifs fixs pour une organisation donne, et constitue en cela une base pour la dfinition dun dispositif de management des risques efficace.

2.

Elments du dispositif de management des risques

Le dispositif de management des risques comprend huit lments. Ces lments rsultent de la faon dont lorganisation est gre et sont intgrs au processus de management. Ces lments sont les suivants :

Environnement interne : Lenvironnement interne englobe la culture et lesprit de lorganisation. Il structure la faon dont les risques sont apprhends et pris en compte par lensemble des collaborateurs de lentit, et plus particulirement la conception du management et son apptence pour le risque, lintgrit et les valeurs thiques, et lenvironnement dans lequel lorganisation opre. Fixation des objectifs : Les objectifs doivent avoir t pralablement dfinis pour que le management puisse identifier les vnements potentiels susceptibles den affecter la ralisation. Le management des risques permet de sassurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de lentit ainsi quavec son apptence pour le risque. Identification des vnements (Risques ou opportunits) : Les vnements internes et externes susceptibles daffecter latteinte des objectifs dune organisation doivent tre identifis en faisant la distinction entre risques et opportunits. Les opportunits so nt prises en compte lors de llaboration de la stratgie ou au cours du processus de fixation des objectifs.

valuation des risques : Les risques sont analyss, tant en fonction de leur probabilit doccurrence que de leur impact, cette analyse servant de base pour dterminer la faon dont ils doivent tre grs. Les risques inhrents et les risques rsiduels sont valus.

Traitement des risques : Le management dfinit des solutions permettant de faire face aux risques (vitement, acceptation, rduction ou partage). Pour ce faire le management labore un ensemble de mesures permettant de mettre en adquation le niveau des risques avec le seuil de tolrance et lapptence pour le risque de lorganisation. Activits de contrle : Des politiques et procdures sont dfinies et dployes afin de veiller la mise en place et lapplication effective des mesures de traitement des risques. Information et communication : Les informations utiles sont identifies, collectes, et communiques sous un format et dans des dlais permettant aux collaborateurs dexercer leurs responsabilits. Plus globalement, la communication doit circuler verticalement et transversalement au sein de lorganisation de faon efficace. Pilotage : Le processus de management des risques est pilot dans sa globalit et modifi en fonction des besoins. Le pilotage seffectue au travers des activits permanentes de management ou par le biais dvaluations indpendantes ou encore par une combinaison de ces deux modalits.

Le management des risques nest pas un processus squentiel dans lequel un lment affecte uniquement le suivant. Cest un processus multidirectionnel et itratif par lequel nimporte quel lment a une influence immdiate et directe sur les autres.

3.

Relation entre objectifs de lorganisation et lments du management des risques

Il existe une relation directe entre les objectifs que cherche atteindre une organisation et les lments du dispositif de management des risques qui

reprsentent ce qui est ncessaire leur ralisation. La relation est illustre par une matrice en trois dimensions ayant la forme dun cube.

Les quatre grandes catgories dobjectifs (stratgiques, oprationnels, reporting et conformit) sont reprsentes par les colonnes Les huit lments du management des risques par les lignes

Les units de lorganisation par la troisime dimension. Cette reprsentation illustre la faon dapprhender le management des risques dans sa globalit ou bien par catgorie dobjectifs, par lment, pa r unit ou en les combinant.

4.

Efficacit et limites du management des risques

Efficacit
Lefficacit dun dispositif de management des risques peut sapprcier en vrifiant que chacun des huit lments est en place dans lorganisation et quils fonctionnent efficacement. Ces lments constituent donc un critre defficacit du dispositif de management des risques. Un dispositif efficace exclut toute faiblesse majeure dans lun des lments, et peut justifier que le niveau des risques est contenu dans les limites de lapptence pour le risque de lorganisation. Lorsque le dispositif de management des risques savre tre efficacement gr pour chacune des quatre catgories dobjectifs, le Conseil dadministration et la direction de lorganisation peuvent considrer quils ont une assurance raisonnable de disposer dune vision claire sur la faon dont les objectifs stratgiques et oprationnels de lentit sont en passe dtre atteints, de la fiabilit du reporting et du respect des lois et rglements applicables. La mise en uvre et le fonctionnement des huit lments est spcifique chaque organisation. Pour les PME, le dispositif de management des risques peut tre moins formel et moins structur. Il nen demeure pas moins que chacun des lments existe et fonctionne correctement.

Limites
Si le dispositif de management des risques offre des avantages importants, il comporte nanmoins certaines limites. Outre les facteurs exposs ci-dessus, ces limites rsultent : Dune erreur de jugement dans la prise de dcision, De la ncessaire prise en compte du rapport cots / bnfices dans le choix du traitement des risques, et de la mise en place des contrles, De faiblesses potentielles dans le dispositif, susceptibles de survenir en raison de dfaillances humaines (erreurs),

De contrles susceptibles dtre djous par collusion entre deux ou plusieurs individus,

De la possibilit qua le management de passer outre les dcisions prises en matire de gestion des risques. En raison de ces limites, un Consei l dadministration ou une direction ne

peuvent obtenir la certitude absolue que les objectifs de lorganisation seront atteints.

B. 1.

Notion de risque Dfinition

Le risque peut tre dfini comme tant une consquence plus ou moins prvisible pouvant affecter l atteinte des objectifs dune organisation .il existe plusieurs types de risques selon le genre dactivits ralises par lentreprise, les caractristiques propres de ses oprations, lenvironnement dans lequel les biens sont produits et les services sont rendus, Le risque est galement une incertitude, menace ou opportunit (rsultant dune action ou inaction) que lentreprise doit anticiper, comprendre et grer pour protger ses actifs, atteindre ses objectifs dans le cadre de sa stratgie et crer de la valeur. Plus prcisment, Le risque est, selon linstitut de laudit interne (IIA : institute of internal auditors): la possibilit quil se produise, un vnement susceptible davoir un impact sur la ralisation des objectifs. Le risque se mesure en terme de probabilit et dimpact. En effet, nous retenons la dfinition du risque selon linstitut de laudit interne pour les raisons suivantes : La transversalit de la dfinition fait quelle peut tre applicable dans nimporte quel domaine, au niveau de toute entreprise ou de ses processus, il suffit quil y ait des objectifs atteindre ou raliser.

La perception du risque sous une forme quantitative (probabilit et impact) qui permet lvaluation du risque selon des critres simples, mesurables et reproductibles.

La dfinition de lIIA est une dfinition norme et sert de base pour lidentification et lvaluation des risques dans le cadre de la dmarche de la matrise des risques.

2.

Classification des risques

Nous pourrons distinguer deux types de classification des risques auxquels une entreprise peut tre confronte. La premire classification consiste classer les risques en deux types : Les risques spculatifs, qui sont lessence mme de lentreprise : investir des capitaux dans une nouvelle usine, se lancer sur de nouveaux marchs, lancer un nouveau produit Ces prises de risques sont conscientes, et elles ont pour objet dengendrer un profit. Les risques purs : traditionnellement dfinis comme tant le rsultat du hasard, ce sont des vnements (tels que les incendies, explosions, atteinte lenvironnement ) engendrs par lactivit de lentreprise qui se ralisent la suite de concours de circonstance et sur lesquels il est possible dagir de manire prventive ou moyennant un refinancement. La deuxime classification comporte les risques suivants : Le risque inhrent : est celui qui existe en soi sans tenir compte des mcanismes de contrle et de matrise prsents dans lentreprise .on dit aussi, que cest celui que lon retrouve dans lenvir onnement des activits humaines, qui fait partie de lexistence.

Le risque de non contrle : on le dfinit comme la probabilit quune mesure de contrle ou un mcanisme de contrle faille prvenir ou dtecter une menace prsente que lon veut absolument viter. Le risque de non dtection : cest la probabilit quune mauvaise conclusion soit tire des rsultats de travaux daudit interne ou dautres analyses effectues par des personnes habilites. On retrouve cela normalement en matire de comptabilit publique. Le risque rsiduel : cest le risque qui subsiste aprs lapplication des techniques de matrise des risques.

3.

Maitrise des risques

Dfinition
La matrise des risques est lensemble des initiatives souhaitables quune entreprise devrait adopter pour faire face aux principaux risques inhrents ses activits. En dautres termes, matriser les risques cest prendre les initiatives pour viter les ennuis et pour ne pas manquer les opportunits. Cest une dmarche managriale qui existe souvent mais de manire non globale et non structure. Sa possession procure un avantage comptitif majeur puisquelle permet une meilleure : Efficacit dans lattei nte des objectifs. Scurit dans la protection des actifs. Transparence vis--vis des parties prenantes.

La valeur de la matrise des risques

Laspect organique : La matrise des risques bnficie davantage lorganisation puisquelle permet de ne maintenir que les dispositifs efficaces. La matrise des risques est plus susceptible de couvrir lensemble des proccupations des gestionnaires puisquelle fonde son analyse sur les risques plutt que de reprer et danalyser les mcanismes de contrle. Ainsi, la matrise des risques permettra de prciser les risques et dvaluer les moyens quempruntent les gestionnaires pour attnuer ceux -ci. En dautres termes, la matrise des risques va permettre de valoriser tout dispositif de contrle interne adopt puisque ne sera retenu que le dispositif permettant : La fiabilisation : elle est atteinte, en adoptant une approche systmatique des bonnes pratiques face aux risques identifis de survenance dennuis.

La stimulation : ceci en systmatisant les bonnes initiatives face aux risques identifis de ratage dopportunit. La simplification : par la matrise des risques permettra de ne maintenir que les dispositifs utiles et de ce fait, liminer les contrles bureautiques ou autres non lgitims par un risque quelconque.

La dlgation : en matrisant les risques et en adoptant des contrles internes adquats, le top management pourra dlguer sans risque les responsabilits.

La transparence : un dispositif de contrle interne bas sur la matrise des risques permet de mieux assurer les actionnaires et les met en confiance.

 Laspect conomique La matrise des risques confre un avantage concurrentiel majeur ; En effet, en rduisant les cots vitables futurs, la matrise des risques permet de restreindre les cots lis aux risques inhrents de majoration de cots normaux prvus ou de minoration de gains normaux prvus. Ainsi, la matrise des risques se veut un outil quantitatif de mesure de la valeur conomique et permettra lingnierie de matrise (assistance la matrise des risques) et lingnierie de fonctionnement (direction gnrale, stratgie et dveloppement) dapprcier lefficacit conomique partir du niveau des cots lis aux risques futurs. Laspect financie r Laspect financier de la matrise des risques consiste en la mise en place et en une surveillance des principes dindemnisation financire, sur les risques difficilement matrisables, mais assurables. A ce titre, il incombe au directeur financier de grer ces diffrents risques, soit de les transfrer (cas assurances) ou de les traiter (cas instruments financiers (option, swap).)

Frontire de la matrise des risques au sein du management globale des risques :

Le management global des risques : La matrise des risques sinscrit dans le cadre de la gestion des risques qui vise identifier les risques lchelle de lentreprise, mesurer financirement lensemble des risques, prendre en compte cette mesure du risque dans lapprciation des performances des activits et mettre en place des processus de suivi des risques intgrs la gestion des oprations.

Ceci ncessite au pralable, la mise en place dune architecture de gestion globale des risques afin de doter lentreprise de moyens ncessaires pour russir lintgration de la gestion des risques dans les processus de gestions oprationnelle et stratgique de lentreprise. A dfaut de ce dispositif, les risques ne peuvent tre analyss, divulgus, compars et grs dune manire cohrente et eff icace tous les niveaux de lorganisation considre dans son ensemble. Les principaux lments dun dispositif de management des risques sont : Des politiques et des directives claires et cohrentes en matire de management des risques. Des moyens adapts la diffusion dinformation sur les risques et leur analyse. Une dfinition claire des responsabilits et des pouvoirs en matire de gestion des risques, et leurs attributions des personnes cls. Des procdures et des programmes de gestion des risques adquats. Et un dispositif adquat de suivi et de revue des processus de management des risques (audit) permettant notamment de tirer en permanence les enseignements de lexprience acquise au sein de lentreprise. La position de la matrise des risques au sein du management global des risques : La matrise des risques est lun des trois thmes du management global des risques qui sont : lconomie des risques (RISK ECONOMICS), la matrise des risque elle mme, et le financement du risque (RISK FINANCING). Lconomie des risques intervient lors de la prise de dcision sur les choix des investissements et projets arrts par lentreprise, avec lassistance de la direction de la stratgie .lconomie des risques a pour objet de traiter les aspects st ratgiques de lentreprise ainsi que les nouvelles orientations.

Le support est assur par la direction de la stratgie et lobjectif tant dvaluer le couple (risque / opportunit). Une fois les dcisions prises, la matrise des risques intervient pour veiller ce que les objectifs tracs initialement (lors de la prise de dcision) soient atteints. Lobjectif est, cet effet, dvaluer les risques susceptibles dentraver la ralisation des objectifs et dlaborer les plans daction idoines. Le support la matrise des risques est assur par la direction business control o contrle gnral. Le financement du risque par contre, se situe directement aprs la matrise des risques puisquil tchera de grer tout risque jug non matrisable (difficile). Ain si, le financement des risques pourra faire lobjet dun transfert du risque (sous -traitance) ou un financement pur moyennant un contrat dassurance ou une provision contre le risque .le support du financement du risque est assur par la direction financi re.

4.

Les risques relatifs la trsorerie

Pour l'atteinte de ses objectifs, il est important pour l'entreprise de mieux apprhender les risques oprationnels de trsorerie. Les risques oprationnels lis au cycle trsorerie sont relatifs la faiblesse des procdures de ce cycle. Selon BARRY (2004 : 275) et COOPERS & al (2000 : 263), les risques oprationnels du cycle trsorerie sont les suivants : les risques lis la budgtisation, les risques lis aux encaissements et dcaissements, les risques lis au contrle des avoirs en caisse et en banque, les risques lis la comptabilisation des oprations de caisse et de banques et l'analyse et justification des comptes de virements de fonds.

Risques lis la budgtisation

Les risques lis la budgtisation de la trsorerie sont en gnral la mconnaissance des objectifs spcifiques, la non laboration du budget de trsorerie,

la mauvaise matrise de la trsorerie, l'apprhension tardive des impasses de trsorerie, l'inexactitude des informations relatives aux entres et sorties de trsorerie.

Risques lis aux encaissements et aux dcaissements

Les risques lis aux procdures d'encaissement et de dcaissement sont le risque de dtournement d'encaissement ou de dtournement par cration de dpenses fictives : difficult d'assurer un contrle correct des caisses ; difficult d'exercer un contrle squentiel des pices de caisse ; risque de dtournement des encaisses significatives dtenues par le caissier ; existence de bons de caisse non rgulariss, correspondant des prts dguiss ; risque de dtournement des encaissements clients et de falsification des comptes clients concerns.

Risques lis au contrle des avoirs en caisse et en banque

Les risques lis au contrle des avoirs en caisse et en banque sont : le risque de dtournement de caisse non dtect, risque de collusion entre les responsables des caisses et les contrleurs ; risque de dtournement d'avoir en banque et de falsification des tats de rapprochement bancaire ; risques de maintien dans les tats de rapprochement bancaire de montants significatifs en suspens, au dtriment de la trsorerie de l'entreprise.

Risques lis la comptabilisation des oprations de caisse et de banques analyse et justification des comptes de virements de fonds.
Les risques lis ces procdures sont les suivants : inexactitude, un moment donn, des soldes comptables des comptes de caisse et de banques, empchant de ce fait, l'exercice d'un contrle correct ; risque de dtournement de montants retirs de la caisse ou de la banque pour alimenter thoriquement d'autres comptes de trsorerie ; risque de falsification des justifications des comptes de virements de fonds par les auteurs du dtournement

Chapitre III : Cartographie de risques et rfrentiel daudit

A. 1. Cartographie de risques

Dfinition

Ce processus, qui cartographie par type de risque les diverses units, fonctions organisationnelles ou chanes doprations, peut reprer les zones de faiblesse et permettre dtablir des priorits pour laction entreprendre par lorgane de direction La cartographie des risques oprationnels doit permettre de : valuer priodiquement les risques ports par les processus au sein des mtiers, tablir une synthse dgageant les risques majeurs et/ou les processus les plus sensibles, Surveiller les processus sensibles laide dindicateurs ( dterminer par filiales et mtiers), Orienter les dcisions sur le plan dactions damlioration de la matrise des risques, Complter les lments en entre du modle interne de calcul dallocation des fonds propres aux mtiers / filiales (notamment les scnarios de risques oprationnels En terme de rsultats, la cartographie des risques doit fournir une gestion diffrencie par nature de risque (Risques acceptables, risques traiter cas par cas, risques insupportables)

2.

Objectifs et utilisateurs

Objectifs
La cartographie a pour but dvaluer la qualit du dispositif de prvention et de contrle et de quantifier lexposition aux risques oprationnels. Pour ce faire, il sagit de:

En pratique, la dmarche de la cartographie des risques consiste rencontrer les acteurs des risques au quotidien et leur demander: - De quelle activit sagit- il? Domaine/Processus/Acteurs -Quel est le problmeredout (avr ou potentiel)? Risque

-Quelles sont les principales causes? Cause -Quelle est la nature des prjudices induits? Consquences -Avec quelle frquence ce problme peut-il survenir? Combien cela cote-t- il en moyenne par an et combien cela pourrait-t- il coter dans un scnario pessimiste mais plausible? Cotation -Que pourrait- on faire pour mieux anticiper, dtecter et grer ce problme (plans dactions)? Indicateurs/ Mesures.

Utilisateurs
La cartographie des risques est un des outils de pilotage des Risques Oprationnels. Il intresse terme diffrents acteurs :

B.
Dfinition

Le rfrentiel daudit

Le rfrentiel daudit ou le TARIR (tableau des risques rfrentiel) constitue loutil de rfrence qui permet lauditeur interne dune part de dfinir le champ et les limites de ses investigations, et dautre part, de structurer la prsentation de ses a nalyses et conclusions, notamment pour renseigner ce qui relve de constat(s), la ou les causes des faits constats ainsi que leurs consquences. Donc lobjectif du rfrentiel daudit est de guider lauditeur dans la pratique de ses missions. 5.2. Compos ition du rfrentiel daudit : Le rfrentiel daudit se remplit de gauche droite. Ce remplissage est le support dun raisonnement o chaque colonne composante est affine par la colonne suivante, et inversement chaque colonne se dduit de la colonne prcdente. Les composantes du rfrentiel sont les suivants : a. Objectifs

Etre sur que : Les investigations de laudit portent sur un domaine ou un processus identifi par sa finalit (ex : le processus gestion de la trsorerie dont la finalit est de grer et optimiser la position cash de lentreprise et assurer le rglement des dpenses de lONE dans les dlais requis). Pour satisfaire une finalit des activits sont droules dans un ordre chronologique c..d des sous-processus ou des stades chronologiques. Ces activits sont identifies par des verbes daction (ex : pour satisfaire la finalit assurer le rglement des dpenses, il faut vrifier que les factures sont chus, autoriser le rglement, diter les titres de paiement, signer les titres de paie ment, envoyer ces titres au fournisseur, comptabiliser le rglement ). Les objectif doivent tre des objectifs de contrle interne : tre sur que , et non des actions de contrle (sassurer) ni le but oprationnel de ltape, de lopration, du sous -processus, ou du domaine.

b.

Les objets auditables

Le thme ou le domaine de laudit est dcoup en lments qui peuvent tre observs et constats, appels objets auditables . Il sagit de lensemble des oprations successives qui retracent tout le processus auditer.

c.

Les objectifs spcifiques :

Dans cette colonne on identifie les objectifs spcifiques assigns chaque objet auditable. Il sagit de dfinir de manire synthtique la situation thorique que lauditeur devrait rencontrer pour conclure au bon fonctionnement dune organisation, dun systme ou dune opration.

a. Les risques ou les Scnarii de mpchement : risque que la finalit ne soit pas atteinte (que peut- il se passer ?) Pour chaque objectif spcifique, il faut imaginer ce qui peut se passer et dcrire les empchements possibles : ce qui empcherait datteindre lobjectif via des scnarii. Il y a presque toujours plusieurs empchements pour un mme objectif. Les empchements sont des causes potentielles de non atteinte de la finalit, des risques que la finalit ne soit pas atteinte, et non des consquences ou impacts, des risques si elle nest pas atteinte. Quand il y a plusieurs empchements, il faut les traiter sparment sur le mme tableau. Par exemple : Empchement financier : (dtournement de fonds, gestion des fonds inefficace, mauvaise valuation des provisions, signature non autorise, cours boursier sur ct) ;

d.

Les bonnes pratiques : moyens du contrle inte rne, ressources

Les bonnes pratiques dcrivent ce quen gnral les audits doivent faire, les moyens et mthodes pour viter un empchement. Ces ressources sont regroupes classiquement en 3 familles : les ressources humaines (lagent qui exprime le besoin, le responsable qui valide la demande), les ressources matrielles (sur quel support est saisi et valid le besoin), les ressources immatrielle s (notes dorganisation, guide des procdures, informations indispensables). Lensemble de ressources souhaites donne lassurance que lactivit est matrise (ralisation du verbe daction et respect des critres de contrle) et que les risques sont sous contrle. Une assurance mal adapte devient la cause de la non ralisation dun verbe daction, la non ralisation dun verbe daction constitue un fait/constat et gnre des consquences. Exemple : une personne non habilite (cause) valide un besoin non conforme aux besoins de lentreprise (fait) induisant un surcot financier (consquence). Le renseignement de cette colonne se fait par la prise de connaissance de rfrentiel existant sur un domaine (note de politique interne ou ouvrage externe traitant d u domaine) et en rpondant 4 questions gnriques : Qui ? Peut-on faire ? Comment fait-on ? Est-ce bien fait ? Ce sont de bons conseils mais ils ne sont pas obligatoires ; contrairement aux critres des points de contrle. Leur dficience (non adapte, non adopte, non disponible, non performante explique les dfaillances des points de contrle. Elles seront souvent la source des recommandations.

e.

Les points de vrification :

Les points de vrification se prsentent sous forme de questions permettant de s assurer de la couverture des risques identifis. Ces questions doivent tre formules de manire claire et simple. f. Les modes opratoires Pour chaque empchement, les points de contrle dcrivent ce que lauditeur va contrler (ce sera repris dans le programme de vrifications puis dans les constats), donc la ralit (ou la vraisemblance) de lempchement, dune manire indiscutable et selon des critres de rsultats objectifs et mesurables : Exactitude, Exhaustivit, Autorisation, Dlai, Suivi ; Exemple : sassurer que - ou tre sur que- tous (exhaustivit) les besoins exprims font lobjet dune validation par des personnes habilites (autorisation) dans des dlais permettant de satisfaire la date de livraison (ou de ralisation de la prestation). Il sagit de dfinir les tches raliser pour rpondre la question pose au niveau de chaque point de vrification. Il faut, ce niveau, prciser la mthode de vrification (rapprochement, recoupement, confirmation, etc.) ainsi que les supports utiliser (fichiers informatiques, documents, etc.).

5.3. Les apports du rfrentiel daudit

Lvolution mthodologique du tableau des forces et faiblesses apparentes (TFfa) au rfrentiel daudit se situe principalement dans lenrichissement de la colonne Risques par lajout des empchements, des points de contrle et limpact par rapport un objectif de contrle interne satisfaire. Lapport du rfrentiel daudit consiste associer une prise de connaissance du domaine auditer dfini par lordre de mission, une prise de conscience de ses habituels risques et opportunits damlioration, par une dcomposition du sujet de la mission en objets auditables. En outre, le rfrentiel daudit permet lauditeur de mener une analyse des risques en sappuyant sur des lments dapprciation identifis par laudit lors de la phase dtude puis dorienter les travaux dtaills de vrification.