Vous êtes sur la page 1sur 30

Audit

Organisation
Conseil

Audit interne
et rfrentiels
derisques
Vers la matrise des risques
et la performance de laudit
Pierre SCHICK
Jacques VERA
Olivier BOURROUILH-PARGE
Prface de

Patrick PARENT (AMF)


Avant-propos de

2e dition

Louis VAURS (IFACI)

Du mme auteur, Pierre Schick


Mmento daudit interne, Dunod, 2007.
Guide de self-audit, ditions dorganisation, 2e d., 2002.

Maquette intrieure : Catherine Combier et Alain Paccoud


Couverture : Didier Thirion/Graphir Design
Mise en pages : Nord Compo

Dunod, Paris, 2014


ISBN 978-2-10-070802-4

Complments en ligne

rofessionnels, enseignants et tudiants trouveront dans ce livre une


synthse de ce quil faut savoir pour conduire une action de matrise
des risques sur les principales activits et processus de lorganisation.

Louvrage prsente des repres mthodologiques et des fiches pratiques


oprationnelles ncessaires la conduite dune mission daudit, efficace et
efficiente. La mthodologie et les quinze rfrentiels de risques prsents
sappuient sur le dispositif de contrle interne et de gestion des risques
prconis par lAMF et le nouveau rfrentiel COSO.
La nouvelle dition senrichit dun retour dexprience mthodologique
dune trentaine de directions daudit interne.
Pour approfondir le contenu de cet ouvrage et illustrer le propos des auteurs,
vous pouvez accder des complments en ligne rgulirement mis jour
sur un site ddi :
contenus multimdias sous forme de vidos de cours, de dmonstrations
ou dimages ;
exemples dutilisation de la solution informatique innovante ROK (Risk
Organisation Knowledge) ;

quiz complet pour contrler et approfondir vos connaissances ;


bibliographie sur la matrise du risque et le contrle interne.
Pour cela, visitez le site : http://www.audit-interne-rfrentiels-risques.com/

III

Prface

l est des sujets qui semblent arides, ce qui peut conduire ne pas raliser
au premier abord toute la valeur que lon peut en extraire. Telle pourrait
tre la vision que certains ont du contrle interne en le rduisant au
respect de la conformit un texte de nature rglementaire. Nul doute
quabord sous cet angle le sujet a peu de chances de sduire le dirigeant
dentreprise qui, pourtant, devrait tre le principal soutien du dispositif de
contrle interne de son organisation.
En effet, il faut dpasser cette apprhension du contrle interne pour le
dcouvrir sous son vrai jour, car le sujet savre structurant. Le contrle
interne joue non seulement un rle important en ce sens quil permet de
rduire les risques derreurs, mais il contribue aussi une meilleure matrise
des processus et permet damliorer la capacit dune organisation raliser
les objectifs fixs par la Direction Gnrale.
La matrise et la gestion des risques sont devenues un vritable enjeu. Or, si
cet enjeu est essentiel dans le cadre de la conduite des oprations, car celle-ci
doit anticiper au mieux les risques dans un environnement plus large et plus
mouvant, il lest galement au titre de la communication. Cest notamment
le cas vis--vis des investisseurs, en capital ou en dette, vers qui les entreprises
se tournent de plus en plus frquemment pour trouver des financements. En
effet, le march est dsormais trs attentif la faon dont ces risques sont
matriss. Or, lapproche de la gestion des risques est sensiblement diffrente
dune entit une autre selon le niveau de sensibilisation de la Direction
Gnrale et dappropriation du sujet par les quipes oprationnelles. Aussi,
le dveloppement de cadres de rfrence, reconnus par les investisseurs, est
devenu important, car ceux-ci permettent dassurer une cohrence et une
homognit de mthodes de travail.
Cet ouvrage insiste juste titre sur le fait quun dispositif de contrle interne
ne doit jamais rester statique, car les organisations sont en perptuelle
volution et les systmes doivent en consquence tre constamment
adapts et modifis. Par ailleurs, le contrle interne dune organisation doit
se concentrer sur les domaines dimportance majeure afin de rpondre aux
proccupations fondamentales des instances dirigeantes. Dans ce contexte,
il est particulirement utile aux entreprises, et ceux au sein de celles-ci
V

Prface

qui ont la charge de veiller la bonne application du dispositif de contrle


interne, de disposer doutils pratiques et dlments de rflexion mis jour
des meilleures pratiques et tenant compte des dveloppements conceptuels
les plus rcents.
Compte tenu de ces lments, les conditions sont remplies pour que laudit
interne obtienne la reconnaissance quil mrite. Laudit interne ne peut
en effet tre rduit un respect de conformit, fonction certes essentielle,
mais doit prendre en compte les dimensions stratgiques et oprationnelles
afin de remplir pleinement sa mission. Les auteurs prsentent les tapes
mthodologiques respecter pour amliorer lefficacit de la mission
daudit interne, tout en recherchant la conformit avec le cadre de rfrence
international des pratiques professionnelles en la matire. Pour chaque tape,
des conseils et des fiches pratiques compltent opportunment les propos.
En dfinitive, les actions visant permettre aux entreprises, quelles soient
dj cotes ou quelles lenvisagent pour le futur, de prenniser, perfectionner
et homogniser leurs pratiques en matire de contrle et daudit interne
ne peuvent qutre accueillies favorablement par le rgulateur des marchs
financiers. Cet ouvrage y contribue de faon trs concrte et pdagogique
et sa lecture sera particulirement bnfique tous ceux qui souhaitent
approfondir leur comprhension des enjeux lis au dispositif de contrle
interne.
Patrick Parent1
Directeur des Affaires Comptables
Autorit des Marchs Financiers

1 Le contenu de cet ouvrage ne peut engager lAMF et reste le fruit de ses auteurs.

VI

Avant-propos

Dunod - Toute reproduction non autorise est un dlit.

epuis le dbut des annes 2000, plusieurs rglementations et


lgislations en provenance des tats-Unis (Sarbanes Oxley Act), de
lUnion Europenne (4e et 7e directives) ou de France (loi LSF du 1er aot
2003 et la loi du 3 juillet 2008) ont renforc les exigences en matire de contrle
interne et de gestion des risques. De manire indirecte, le rle de laudit interne
qui est charg dvaluer les processus de management des risques, de contrle
interne et de gouvernement dentreprise sen est trouv accru.

Cet ouvrage traite de lactivit de laudit interne en sappuyant sur le cadre


de rfrence international des pratiques professionnelles (CRIPP) garant de
la qualit des missions daudit ralises.
crit dans un style imag et illustr de nombreux schmas et tableaux,
louvrage prsente une dclinaison de la mthodologie Conduite dune
mission daudit interne prconise par lIFACI. Il se veut concret, didactique,
utilisant un langage simple qui ne ncessite aucun dcodage, et une partie
TIC interactive utilisant des complments en ligne.
Il prsente les tapes mthodologiques respecter pour amliorer lefficacit
dune mission daudit. Pour chaque tape, des fiches pratiques, des focus
et des retours dexprience, des documents standard illustrent et compltent
les propos. Louvrage souligne lintrt de dvelopper des outils innovants de
modlisation, doptimisation et de partage des connaissances permettant de
rconcilier la mthode (la thorie), lexprience (les rfrentiels de risques)
et la doctrine (les rfrentiels de contrle interne) en dmontrant lintgrit
de lensemble tel quexpos dans louvrage.
Les dimensions contrle interne et management des risques sont traites
en adquation avec le modle COSO 2013 (Committee of Sponsoring
Organizations) et le cadre de rfrence de lAMF 2010 portant sur les
dispositifs de gestion des risques et de contrle interne.
Louvrage fait preuve incontestablement doriginalit dans lcriture et la
prsentation des concepts.
Il sagit donc dun livre utile et oprationnel quil convient de saluer.
Louis VAURS1
Prsident dhonneur de lIFACI
1 Le contenu de cet ouvrage ne peut engager lIFACI et reste le fruit de ses auteurs.

VII

Table des matires

Introduction

Partie 1

Lenvironnement de laudit

Chapitre 1 Le primtre dintervention de laudit


Le gouvernement dentreprise

7
8

Le management des risques


Le contrle interne

10
18

Chapitre 2 Le positionnement de lactivit daudit


La dfinition de laudit interne et son volution
Une profession qui sappuie sur des normes
Les fonctions voisines de laudit

29
30
34
37

Chapitre 3 Lorganisation de lactivit daudit


Le rattachement de laudit interne
La charte de laudit interne
Lorganisation des moyens
La gestion des auditeurs
La communication de laudit interne
Les mesures de satisfaction
et de performance de laudit

49
50
52
54
56
61

Chapitre 4 Lidentification des besoins daudit


Llaboration dune cartographie des risques
Ltablissement du plan et du planning daudit

69
70
74

Partie 2

79

La mthodologie de laudit

Chapitre 5 Les processus de conduite dune mission


Initialisation de la mission
Prparation de la mission
IX

63

81
86
88

Table des matires

Lancement de la mission sur site


Conduite des vrifications
Rdaction des conclusions
Suivi de la mission

90
92
94
96

Chapitre 6 Les modalits dapplication (MA)


Le droit daccs : la lettre ou lordre de mission
Lexamen de lactivit et son dcoupage en objets auditables
Rfrentiel daudit : llaboration dun tableau des risques
La runion douverture ou dinstallation de lquipe
Lanalyse des forces et faiblesses
La note ou rapport dorientation
Le programme de vrification
La conduite des vrifications et la formalisation des travaux
de contrle
La fiche daudit et de recommandations : FAR
Lossature du rapport
Le compte rendu oral sur site
Le rapport daudit et sa validation
Le suivi des recommandations
Ltat des actions de progrs

99
100
102
109
117
119
121
124

Chapitre 7 Les documents associs (DA)


Ordre de mission
Tableau des risques
Rapport dorientation
Programme de vrification
Budget planning
Feuille de couverture de test
Feuille de couverture dentretien
Fiche daudit et de recommandations
Projet de rapport daudit
Rapport daudit
Fiche de suivi des recommandations
tat des actions de progrs
Fiche de conseils de perfectionnement post-audit
Questionnaire de satisfaction post-audit

157
158
159
161
163
165
166
166
167
168
169
175
176
178
181

125
130
138
140
143
148
151

Dunod - Toute reproduction non autorise est un dlit.

Partie 3

Les outils de laudit

185

Chapitre 8 Les techniques daudit (TA)


Lanalyse conomique et financire
Les volumes et types de transactions
Les diagrammes de circulation (flow charts)
La grille de sparation des tches
Les interviews
Les questionnaires administrs
La piste daudit
Les observations physiques

187
188
190
191
195
200
203
206
209

Les rapprochements et reconstitutions


Linterrogation des fichiers informatiques
Les sondages statistiques

211
213
214

Chapitre 9 Vers de vritables hubs collaboratifs


Une approche contemporaine de laudit et des risques qui requiert
lusage dapplicatifs de plus en plus sophistiqus.
Vers une rvolution des systmes dinformation
Lmergence inluctable dun hub digital collaboratif orient
Le parallle avec les outils traditionnels de lauditeur
Synthse : une tendance lourde prnant lapproche collaborative

219

Chapitre 10 Les rfrentiels de risques


La structuration et le mode dutilisation des rfrentiels
Lapproche par processus-domaines

243
244
258

Conclusion gnrale
Quiz

351
353

XI

220
223
224
239
240

Introduction

Dunod - Toute reproduction non autorise est un dlit.

our assurer sa prennit et son dveloppement, toute organisation,


quelle soit publique ou prive, grande ou petite, doit se fixer des
objectifs. Une fois cet horizon stratgique tabli, il sagit de dfinir
les moyens ncessaires pour y parvenir et de veiller leur bonne mise
en uvre. Enfin, il faut sassurer que lorganisation a atteint ses objectifs
initiaux, afin de boucler la boucle . Ce triptyque Objectifs Moyens
ncessaires Pilotage/Contrle rsume trs brivement la dmarche
stratgique traditionnelle pratique, de faon plus ou moins formelle, dans
toutes les organisations. Ces proccupations sont gnralement dvolues
la direction gnrale et aux instances composant la gouvernance (conseil
dadministration ou de surveillance, comit de direction, comit daudit).
Dans nos environnements conomiques actuels instables, latteinte de ces
objectifs nest videmment pas certaine. Lorganisation est quotidiennement
confronte une multitude de risques, dimportance et de nature trs
diffrentes, qui peuvent perturber, voire rendre impossible, la ralisation de
ses objectifs. Mme si laversion au risque est dans la nature humaine, en
matire de management la prise de risque est vitale pour lorganisation.
Un mode de gouvernance qui consisterait ne sengager dans telle ou telle
orientation stratgique que lorsque toutes les incertitudes sont totalement
leves conduirait, du fait dun manque de ractivit, bien videmment la
remise en cause terme de la prennit de lorganisation concerne.
Donc cette prise de risque est invitable et ncessaire, cependant elle
doit tre matrise. Le concept de contrle interne , au sens littral
du terme et pris ici dans son acception la plus large (processus de gestion
des risques, de contrle et de gouvernance dentreprise), correspond la
mise en uvre de dispositions qui assurent une matrise raisonnable des
risques dune organisation afin de lui permettre datteindre ses objectifs. Le
contrle interne est donc un lment fondamental de lenvironnement de
contrle de toute structure, quels que soient sa taille, son secteur dactivit,
son environnement. Concernant la prennit et le dveloppement des
organisations, labsence de proccupation en matire de contrle interne
serait tout aussi prjudiciable quune frilosit excessive dans la prise de
risques dcoulant dune stratgie timore.
1

Introduction

Enfin le contrle interne, comme tout systme organisationnel, est


naturellement sujet dfaillance. Les volutions externes ou internes
impactent systmatiquement le systme de contrle interne qui doit sadapter
en permanence. Afin de sassurer que ces dispositifs de contrle remplissent
parfaitement leurs rles, les directions gnrales des organisations se dotent
dun outil dvaluation et de surveillance du contrle interne, il sagit
bien videmment de lactivit daudit interne. Dans ce rle dapprciation
de lexistence, de la bonne application et de lefficience des dispositifs de
contrle interne, laudit pourrait donc tre qualifi comme tant le contrle
du contrle (interne) .
Cet enchanement dtapes :
OBJECTIFS RISQUES CONTRLE INTERNE AUDIT
constitue le fondement du processus de contrle des organisations.
Louvrage sarticule autour de cette logique. Bien quil soit centr sur le
mtier de laudit interne, il prsente dans un premier temps les concepts
de gouvernement dentreprise, de management des risques et de contrle
interne car ils constituent des pralables incontournables pour comprendre
la raison dtre de lactivit daudit interne. Dailleurs, la dfinition de laudit
interne, qui est prsente par la suite, ne prcise-t-elle pas que ces trois
dimensions constituent les principaux champs dintervention de lactivit
daudit interne ? Il paraissait donc naturel et logique pour chacun deux :
den donner une dfinition officielle ou institutionnelle ;
de prsenter les cadres de rfrences et modles les plus reconnus qui les
conceptualisent ;
de citer les diffrents acteurs internes et externes qui agissent sur ces trois
registres.
Louvrage met ensuite plus particulirement laccent sur lactivit daudit
interne travers notamment :
sa mthodologie : encore plus que tous les autres mtiers du management
des organisations, lauditeur interne a besoin et doit suivre une mthodologie
dinvestigation prcise et dtaille. La dfinition de laudit interne parle
dapproche systmatique et mthodique . Du respect scrupuleux de cette
mthodologie dpend la qualit des missions daudit ralises et donc sa
lgitimit ;
ses outils : une mthode pour savoir comment faire cest bien, mais sans
outils pour aider sa mise en uvre cest insuffisant. Quil sagisse des
outils traditionnels (analyses, enqutes, interviews, sondages statistiques,
piste daudit, flow charts) ou de ceux issus des TIC (le concept de Risk
2

Dunod - Toute reproduction non autorise est un dlit.

Organization Knowledge ), ils constituent tous des complments


indispensables la mthode et lauditeur interne, en tant que professionnel,
se doit de les connatre et de les utiliser bon escient afin damliorer la
qualit de ses prestations ;
ses rfrentiels de risques associs : parmi toutes les aides la disposition
de lauditeur interne les rfrentiels de risques en constituent un lment
essentiel. Vritable cadre de rfrence dans le droulement dune mission
daudit, les rfrentiels de risques (quils soient tablis en phase de prparation
dune nouvelle thmatique auditer ou rpertoris dans une bibliothque
de rfrentiels existants) reprsentent une garantie quant lexhaustivit des
diffrents thmes auditer, au degr de dtail appropri des investigations
mener ou encore lachvement de la mission dans les dlais prvus.
Cette nouvelle dition sinscrit bien videmment dans la continuit de la
version prcdente. Cependant, nous avons souhait complter notre
rflexion en y intgrant deux natures de proccupations :
Dune part, les mtiers du contrle , dans nos conomies actuelles, sont
en constante volution. Nous nous devions donc de relater ces volutions
(lois, rglements, normes). ce titre, le prsent ouvrage intgre les
avances normatives actuelles, notamment celles concernant lactualisation
du modle de contrle interne, mondialement connu, le COSO 1 actualis
2013 .
Dautre part, la mthodologie daudit prsente dans louvrage est le rsultat
de nos connaissances et expriences respectives dans ce domaine. Il nous
semblait utile de comparer la mthodologie propose celles pratiques
aujourdhui par divers services daudit interne. Cette nouvelle version relate
donc une synthse de cette dmarche de benchmark, ralise dans un cadre
universitaire auprs dune trentaine de grandes entreprises nationales et
internationales.

Les auteurs

. Introduction

Partie I

Lenvironnement
de laudit

Chapitre 1

Le primtre
dintervention
de laudit

Executive summary

Dunod - Toute reproduction non autorise est un dlit.

Les processus de management des risques, de contrle


et de gouvernement dentreprise sont les trois principaux

primtres dintervention de lauditeur. Vous trouverez


dans ce chapitre une prsentation de ces trois dimensions
avec un accent particulier mis sur le contrle interne
et ses dernires volutions.
De nombreuses rflexions, dune grande richesse, menes
autour de ces concepts par des experts du monde entier
(associations professionnelles, instances rgulatrices),
vous seront ensuite prsentes. Ces divers travaux, notamment
les rfrentiels de contrle interne, constituent des aides
prcieuses lors de la mise en uvre de ces concepts
dans les organisations.

1. Le primtre dintervention de laudit

Le gouvernement dentreprise
Le Cadre de rfrence international des pratiques professionnelles de
lIIA (Institute of Internal Auditors www.theiia.org), traduit en franais
par lIFACI (Institut Franais de lAudit et du Contrle Internes www.
ifaci.com) voir sa prsentation au chapitre 2, paragraphe Une profession norme donne une dfinition du gouvernement dentreprise ou
gouvernance :
Dispositif comprenant les processus et les structures mis en place par
le Conseil afin dinformer, de diriger, de grer et de piloter les activits
de lorganisation en vue de raliser ses objectifs .

LOCDE (Organisation de Coopration et de Dveloppement conomiques) quant elle prcise :


Le gouvernement dentreprise fait rfrence aux relations entre la direction dune entreprise, son conseil dadministration, ses actionnaires
et autres parties prenantes. Il dtermine galement la structure par
laquelle sont dfinis les objectifs dune entreprise, ainsi que les moyens
de les atteindre et dassurer une surveillance des rsultats obtenus.

The European Corporate Governance Institute (www.ecgi.org) rcapitule les codes en matire de gouvernement dentreprise de diffrents
pays du monde. La prise de connaissance de ces textes atteste dune
large diversit dans la conception du gouvernement dentreprise.
Cependant plusieurs principes de base apparaissent souvent et peuvent
constituer un socle commun de connaissance des bonnes pratiques de
gouvernance. LIIA en a tabli, dans son livre blanc, une liste dont nous
prsentons ici les principaux lments :
sappuyer sur une organisation qui garantit un bon fonctionnement du
conseil (nombre de membres adquats, existence dautres comits manant du conseil, procdures concernant lorganisation des runions) ;
prvoir que les membres du conseil possdent les qualifications et
lexprience appropries ainsi quune bonne connaissance du fonctionnement de lorganisation ;
mettre disposition du conseil, les ressources ncessaires pour des
demandes de renseignements complmentaires afin den garantir lindpendance ;
contribuer la dfinition de la stratgie de lorganisation, notamment
en dotant les acteurs de la gouvernance des informations ncessaires
pour se faire ;
8

Dunod - Toute reproduction non autorise est un dlit.

contribuer la dfinition de la structure organisationnelle qui participe la ralisation de la stratgie de lorganisation ;


instaurer une politique de gouvernement dentreprise concernant la
surveillance des rsultats obtenus ;
prvoir les interactions ncessaires entre le conseil, la direction et les
auditeurs internes et externes (via un comit daudit) ;
contribuer la mise en uvre dun systme de contrle interne efficace supervis par la direction ;
dfinir les politiques et pratiques de rmunration, notamment celles
concernant la direction gnrale, en accord avec les valeurs thiques, les
objectifs, la stratgie et lenvironnement de contrle de lorganisation ;
communiquer, dans lensemble de lorganisation, une culture de la
dontologie, les valeurs de lorganisation et la ncessit de lexemplarit de la direction ;
faire appel de manire efficace aux auditeurs internes qui doivent disposer par ailleurs dune indpendance pour garantir leur objectivit et
de ressources suffisantes pour mener bien leur mission ;
faire appel de manire efficace aux auditeurs externes en sassurant
de ladquation de leur indpendance, de leurs ressources et de leur
champ dactivit.
dfinir et mettre en uvre des politiques, processus et responsabilits
en matire de management des risques au niveau du Conseil et dans
lensemble de lorganisation ;
communiquer de manire approprie les informations pertinentes
aux parties prenantes ;
comparer les processus de gouvernement dentreprise de lorganisation avec les bonnes pratiques reconnues et les rglementations en
vigueur.
Tous ces principes concourent une bonne gouvernance. Comme
nous le verrons ultrieurement lors de la prsentation de laudit interne
(chap. 2, paragraphe La dfinition de laudit interne ), la gouvernance
constitue un des trois domaines dintervention de lauditeur interne,
probablement moins frquemment couvert que ne le sont les deux
autres : le management des risques et le systme de contrle interne.
Cependant dans le cas dune mission daudit interne qui concernerait
spcifiquement cette dimension, la liste des principes numrs prcdemment pourrait constituer un premier guide dinvestigation, lauditeur interne sassurant de lexistence, de la diffusion et de lefficience de
tous ces principes et bonnes pratiques.

1. Le primtre dintervention de laudit

Au sein du gouvernement dentreprise, le comit daudit tient une


place prpondrante. La transposition en droit franais (article 14 de
lordonnance du 8 dcembre 2008 et articles L 823-19 et L 823-20 du
code de commerce) de la 8e directive europenne du 17 mars 2006 (obligation pour toute socit faisant appel public lpargne de disposer
dun comit daudit) a permis une clarification au niveau du positionnement, du rle et de la composition des comits daudit en France,
ainsi que de la comptence de ses membres. Plus rcemment, un groupe
de travail, sous lgide de lAMF, a publi lt 2010, un Rapport sur
le comit daudit qui prcise les modalits de fonctionnement de ce
comit (primtre dintervention, composition, dmarche de mise en
uvre). Il est disponible sur le site www.amf-france.org.

Rsultats dune enqute ralise par le cabinet KPMG


sur les comits daudit.
la question : Quelles sont les trois zones dattention qui sont prioritaires sur
les ordres du jour des runions de vos comits daudit ?
La gestion du risque en gnral recueille une large majorit avec 70 % des
rponses (prs des trois quart aux tats-Unis) ;
Les enjeux des tats financiers (juste valeur, dprciation des actifs, informations en annexe) arrive en deuxime proccupation avec 40 % ;
Enfin les consquences des volutions rglementaires (domaines de la sant,
de lenvironnement, de lnergie, de la rglementation financire) sur linformation financire de la socit, la conformit, les risques et les procdures de
contrle ne reprsentent que 30 % des rponses.
Enqute KPMG (www.kpmg.com)1

Le management des risques


Le concept de risque
Il ny a de risque que par rapport latteinte dun objectif ou plus prcisment que par rapport la consquence dommageable de ce risque
quant latteinte dun objectif.

1 Sources : Enqute ralise en septembre 2010, concernant les pratiques des comits daudit en
France et dans le monde. Pour la 5e dition de lenqute, 1 212 personnes membres de comits daudit
ont t interroges dans 38 pays diffrents.

10

LIIA et lIFACI, dans le glossaire des normes dfinissent le risque


comme : la possibilit que se produise un vnement susceptible
davoir un impact sur la ralisation des objectifs .
Prenons un exemple dans notre quotidien : la notion de risque est
associe dune part celle dincertitude et dvnement incertain : il
risque de pleuvoir et dautre part ce que lon encourt si lvnement se ralise : je risque de me faire tremper . Dans notre exemple
lobjectif est implicite : rester sec et net , mais il aurait mieux valu
lexpliciter.
vnement incertain qui a une consquence dommageable quant
latteinte dun objectif , est-on exhaustif dans lapprciation des diffrents paramtres lis au concept de risque ? Non : On ne se fait pas
tremper parce quil a plu mais parce qu la fois il a plu et on navait pas
de parapluie. Labsence de parapluie devient lune des causes, et y
rflchir cest la cause matrisable, donc la cause intressante.
Je me suis fait tremper parce que je navais pas de parapluie.
La cause est labsence de parapluie, la pluie nest que la circonstance.
Nous donnerons donc la dfinition suivante du concept de risque :
Le risque est un concept signifiant la possibilit que la combinaison
dun vnement incertain et dun mode de fonctionnement alatoire ait
pour consquence la non atteinte dun objectif.

Dunod - Toute reproduction non autorise est un dlit.

vident ?
Non, puisque lon trouve dans la presse des dclarations du genre :
telle entreprise est tombe en faillite parce que ses clients ne la payaient
pas, ou telle autre a perdu des parts de march sur sa nouvelle activit
pourtant extrmement innovante au profit dun concurrent trs agressif. Est-ce la faute des clients si la premire entreprise est tombe en
faillite, ou dune part son systme de suivi des factures et de relance
des impays et dautre part son systme de gestion des clients qui
la laissait continuer vendre des mauvais payeurs ? Et la seconde
naurait-elle pas d protger son innovation par des brevets avant de
lancer cette activit qui a ncessit des budgets importants en matire
de Recherche & Dveloppement ? La pluie, le client mauvais payeur, le
concurrent agressif copieur de nouvelles ides , le comptable qui inscrit un montant erron ou limpute un compte erron ne sont pas des
facteurs de risque : ce sont des vnements (et mme des vnements
banals) que lentreprise doit pouvoir dtecter, voire anticiper, pour y
faire face.
11

1. Le primtre dintervention de laudit

combin

Un vnement
incertain :
la pluie

une cause :
labsence de
parapluie

entrane une consquence :


se faire tremper .

Figure 1.1 Le concept de risque

Facteurs de risques /
Modes de
fonctionnement
alatoires

vnements incertains
/ Circonstances /
Incidents avrs ou
potentiels

Impact dommageable

Objectif compromis

Figure 1.2 Du concept de risque sa dfinition

Les facteurs de risque qui, combins la survenance de ces vnements, vont ou ne vont pas entraner de consquences dommageables,
sont tous rechercher dans lorganisation et le fonctionnement de lentit audite, cest le rle de lauditeur.
Prenons un exemple : nous redoutons que la salle informatique
prenne feu puis lensemble du btiment.
Pour pallier les risques, nous allons prendre des mesures qui constituent des lments du dispositif de contrle interne mettre en place :
prvention pour viter lincendie : panneaux dinterdiction de manipuler des matires inflammables proximit de la salle, sensibilisation/
formation du personnel concern au risque incendie ;
12

dtection pour sapercevoir que lincident redout est survenu malgr


les mesures de prvention : dtecteurs de fumes et de chaleur ;
protection pour limiter les dgts occasionns par lincendie : sprinklers et diffuseurs de gaz inertes, portes coupe-feu noter que sassurer est une mesure de protection : cela limite le cot des dgts la
franchise.
Cette typologie, qui provient des assureurs, donne de limagination
lauditeur, tant dans sa recherche des facteurs de risques que dans
celle des solutions proposer : un seul type de mesure est rarement
efficace, il faut souvent les combiner. Il faut mme parfois lutter contre
le rflexe naturel : la salle informatique est trop prs des cuves mazout
et en dessous du niveau de ruissellement des eaux, laccident nest pas
encore survenu mais la situation est trop expose, il faut dmnager la
salle (prvention) ? Il est bien plus conomique daccepter les risques
dincendie et dinondation et dorganiser un systme de back-up rgulirement test (protection) !
La figure 1.3 rsume donc les diffrents lments conceptualisant la
notion de risque.
Combinant avec ce qui prcde, nous aurons lquation fondamentale :
Cause
vnement
(ou circonstance) + (ou facteur de risque) = Consquence

Dunod - Toute reproduction non autorise est un dlit.

et trois types de mesures pour pallier les facteurs de risques : prvention, dtection, protection.
Prvention

Dtection

Facteurs de risques
Cause
organisationnelle

Manifestation
Fait
Circonstance / vnement

Impact
Consquence
Protection

Figure 1.3 Le risque et ses composantes

13

1. Le primtre dintervention de laudit

Le management des risques


Rsultats dune enqute ralise par le cabinet
PricewaterhouseCoopers sur ltat de la profession daudit
interne.
80 % des interviews considrent que les menaces se multiplient, mais seulement 12 % pensent trs bien les grer.
Les risques considrs comme croissants les plus souvent cits concernent :
lincertitude conomique ;
les rglementations et politiques gouvernementales ;
la scurit et la confidentialit informatique ;
la protection des donnes ;
les dpenses publiques et la fiscalit ;
la concurrence ;
le changement de comportement des consommateurs ;
les marchs financiers ;
les grands projets (type ERP)
les ressources cls et le droit du travail
Enqute PwC1

En matire de management des risques, le modle COSO ERM


(Committee Of Sponsoring Organizations of the Treadway Commission, Enterprise Risk Management ), dit COSO-II (2005) constitue
une rfrence internationale pour sa mise en uvre.
Ce cadre de rfrence donne du management des risques dune organisation, la dfinition suivante :
Un processus, mis en uvre par le conseil dadministration, la
direction gnrale, le management et lensemble des collaborateurs, pris
en compte dans llaboration de la stratgie de lorganisation ainsi que
dans toutes les activits et conu pour identifier les vnements potentiels pouvant affecter lorganisation et grer les risques dans les limites
de son apptence pour le risque afin de donner une assurance raisonnable quant la ralisation des objectifs de lorganisation.
Ce modle est traditionnellement reprsent par un cube (fig. 1.4).

1 Sources : 9e rapport annuel sur ltat de la profession daudit interne. Enqute ralise en 2013 par
le cabinet PricewaterhouseCoopers auprs de 1 100 directeurs daudit interne et 630 parties prenantes
(directeurs gnraux, prsidents de comit daudit, membres de conseil dadministration, directeurs
financiers et directeurs des risques) reprsentant 18 secteurs dactivit et 60 pays diffrents.

14

Face suprieure du cube : les objectifs de lorganisation

objectifs stratgiques : objectifs de niveau le plus lev, lis la stratgie


de lorganisation ;
objectifs oprationnels : objectifs gnraux concernant lutilisation efficace et efficiente des ressources ;
objectifs de reporting : objectifs axs sur la fiabilit des informations
financires (externes et internes) ;
objectifs de conformit : objectifs visant la conformit aux lois et rglements en vigueur.

tr

gi

at

Op

ns

tio

a
r

s
ion
at res
m

r
ci
fo
In finan

it

rm

fo
on

Environnement de contrle

FILIALE

Traitement des risques

DIVISION

valuation des risques

ENTREPRISE

Identification des vnements

UNIT DE GESTION

Dfinition des objectifs

Activits de contrle
Information et Communication

Dunod - Toute reproduction non autorise est un dlit.

Pilotage

Figure 1.4 Le cube du COSO-II

Face avant du cube : les composantes du management


des risques

un environnement interne de contrle qui constitue le fondement structurel du systme de management des risques et qui intgre des aspects
trs divers tels que la culture du risque et lapptence pour le risque,
lintgrit et les valeurs thiques, lengagement de comptence, la
structure organisationnelle, les dlgations de pouvoirs et de responsabilits, la politique de ressources humaines, la fixation des objectifs ;
une identification des vnements susceptibles daffecter latteinte des
objectifs de lorganisation. Il sagit aussi bien dvnements pouvant
avoir un impact ngatif que dvnements pouvant avoir un impact
15

1. Le primtre dintervention de laudit

positif, cest--dire des opportunits saisir que le management doit


intgrer dans sa stratgie. Ces vnements peuvent tre de diffrentes
natures : conomiques, environnementaux, politiques, sociaux, technologiques ;
une valuation des risques, cest--dire une apprciation quantitative de
la probabilit doccurrence et de limpact de ces vnements ;
un traitement des risques, cest--dire la dcision qui doit tre prise suite
lvaluation des risques. Parmi les alternatives possibles, on choisira entre lvitement (supprimer le risque en cessant lactivit lorigine du risque), la rduction (mettre en uvre des dispositions pour
rduire la probabilit et/ou limpact du risque), le partage (recours
lassurance, des oprations de couvertures ou lexternalisation de
lactivit concerne) ou enfin lacceptation (compte tenu du cot
des dispositions mettre en uvre, lorganisation prfre accepter le
risque en ltat) ;
des activits de contrle : il sagit des politiques et procdures mises
en place qui permettent de sassurer que les risques sont bien matriss. Ces dispositions regroupent des modalits telles que : Les revues
du management, la supervision directe dune activit ou dune fonction, la sparation des tches, les contrles intgrs dans le traitement
de linformation, les contrles physiques, les indicateurs de performance ;
linformation et la communication : Les informations pertinentes sont
identifies, saisies et communiques dans un format et dans des dlais
permettant chacun de sacquitter de ses responsabilits ;
le pilotage : Il sagit aussi bien des activits quotidiennes de contrle
par le management que des dmarches dauto-valuation ou encore
de lintervention des auditeurs internes ou externes.

Enfin, la face latrale du cube (Filiale, Unit de gestion, Division,


Entreprise) symbolise le caractre multidimensionnel du management des
risques et la ncessit de ladapter lentit concerne. De nombreux
paramtres peuvent impacter le management des risques tels que la
taille de lorganisation, sa culture du contrle, son secteur dactivit, les
rglementations en vigueur.
On notera enfin que le modle COSO ERM ne constitue pas la
seule rfrence en matire de management des risques. Des alternatives
existent : lAssociation europenne des risk managers FERMA (Federation
of European Risk Management Associations) propose son modle. De
la mme manire lISO (International Standard Organization) propose
16

un modle dans le cadre des normes ISO 31000 : 2009 sur le management des risques. En 2010, un groupe de travail, sous lgide de lAMF,
a propos un cadre de rfrence concernant les dispositifs de gestion
des risques et de contrle interne . Ce document, disponible sur le site
de lAMF, actualise le cadre de rfrence de contrle interne publi en
janvier 2007 (que nous prsenterons au chapitre suivant) et dveloppe
une approche de la gestion des risques dans une vision commune des
deux dimensions.

Dunod - Toute reproduction non autorise est un dlit.

Mais quen est-il de la prise en charge de cette dimension management des risques dans les organisations ?
De nombreux acteurs, principalement internes, interviennent dans
ce processus. Parmi les principaux on citera :
le conseil dadministration et ses manations (comit des risques, comit
daudit) qui exercent une surveillance (examen du portefeuille
de risques au regard de lapptence de lorganisation pour ceux-ci,
contrle de la qualit du processus de management des risques pour
les risques connus) ;
le management : au niveau de la direction gnrale en tant quultime
responsable de lefficacit du management des risques. Au niveau des
diffrentes directions en tant que responsables de la mise en uvre
des dispositifs concerns sur le terrain ;
la direction des risques (fonction risk management) qui assure une coordination centralise du management des risques ;
la direction financire, plus particulirement sur les volets Reporting des informations financires et Conformit aux lois et rglements ;
les auditeurs internes dont le rle est dapprcier lefficacit du processus de management des risques ;
les auditeurs externes dans le cadre de leur mission lgale notamment
au niveau de la fiabilit des informations financires.
Concernant la rpartition des rles en matire de prise en charge du
management des risques, nous nous devons galement de souligner les
travaux mens conjointement par FERMA et lECIIA (European Confederation of Institutes of Internal Auditing). Cette rflexion a donn lieu la
publication, en septembre 2010, de recommandations : Monitoring the
effectiveness of internal control, internal audit and risk management systems.
Lide matresse de cette tude repose sur le concept des trois lignes de
dfense en matire de matrise des risques : les managers et oprationnels responsables des processus, les fonctions support et laudit interne.
17

1. Le primtre dintervention de laudit

Le contrle interne
Il est usuel de dire que le contrle interne est un procd, mis en uvre par
les dirigeants et le personnel dune organisation, quelque niveau que ce
soit, destin leur donner en permanence une assurance raisonnable que :
Les oprations sont ralises, scurises, optimises et permettent
ainsi lorganisation datteindre ses objectifs de base, de performance,
de rentabilit et de protection du patrimoine ;
Les informations financires et oprationnelles sont fiables, et les lois,
les rglementations et les directives de lorganisation sont respectes.
Le contrle interne est un tat atteindre et maintenir, cest un
moyen et non un but. La mise en place du contrle interne fait partie
intgrante des attributions de tout responsable. Dans cette mission lorganisation peut se doter par ailleurs dun service ad hoc charg de dfinir
et de coordonner la mise en uvre des dispositifs composant le systme
et den assurer la maintenance. Dans ces conditions on veillera ce que
lexistence dun tel service ne conduise pas la dsappropriation ou au
dsintrt du concept de contrle par les responsables fonctionnels ou
oprationnels.
En toutes circonstances, tout responsable doit se poser la question
suivante :
Dans quelle mesure mon organisation, mes mthodes de travail,
mes dispositifs de mesure et de contrle, mon implication personnelle
me donnent-ils une assurance raisonnable quant :
la pertinence de mes objectifs : cohrence avec les finalits de lorganisation ?
ladquation moyens/objectifs : efficience de lorganisation, adaptation des structures, coordinations des tches ?
la bonne mise en uvre des moyens : efficacit du pilotage, existence
dobjectifs, animation et suivi ?
la qualit et la fiabilit des informations pour prise de bonnes dcisions ?
le respect des principes, politiques, lois, rglements dorigine
interne et externe ?
la protection et la sauvegarde du patrimoine humain, financier, matriel, immatriel (image, savoir faire, informations) ?
Pour la mise en uvre dun bon contrle interne nous disposons
dun certain nombre de modles conceptuels ou rfrentiels. Parmi les
plus connus et usits nous citerons :
18