1.1.

La matrice des risques

La matrice des risques est construite à partir du référentiel de contrôle interne comptable
applicable au processus « commande publique » et des fiches d’aide à l’élaboration des
matrices ministérielles de CIB applicables au macro-processus MP3 « exécution de la
dépense ».

Obligatoire dans son principe, la matrice des risques figure dans le dossier d’audit.

1.1.1. Objectifs d’une matrice des risques

La phase d’analyse préalable de l’organisme audité conduit les auditeurs à élaborer, pour
chaque activité auditée, une matrice des risques budgétaires et comptables. Cette matrice
fonde leur analyse des risques.
 Réalisée en début de mission, cette analyse des risques permet :
- de sélectionner à la fois les cycles / sous-cycles comptables et les processus /
groupes d’activités budgétaires qui intéressent en priorité l’équipe d’audit dans
ses investigations ;

- de présélectionner et pré-évaluer les risques budgétaires et comptables majeurs

correspondants;

- de pré-identifier les actions mises en œuvre par l’entité pour maîtriser ses risques.
Cette première approche des risques n’est toutefois pas définitive. Elle est amendée et
complétée tout au long de l’audit.

La matrice des risques finalisée et synthétisée permet notamment d’étayer l’opinion que les
auditeurs émettent sur la qualité des dispositifs de maîtrise des risques (niveau de risque
résiduel) et au final sur la qualité des comptabilités générale et budgétaire ainsi que sur
l’atteinte de l’objectif de soutenabilité budgétaire.

L’équipe d’audit doit prendre en compte, dès l’identification des risques spécifiques, les
problématiques liées aux systèmes d’information.

1.1.2. Méthode de construction d’une matrice des risques

L’élaboration de la matrice des risques intervient lors de la phase préparatoire de l’audit.

La matrice des risques a pour but :

 d’identifier les activités du processus audité ayant des implications
comptables et budgétaires ;
 de découper les activités en tâches élémentaires : le processus est
décomposé en trois niveaux - procédure, tâche, opération - de façon à
permettre l’évaluation des risques comptables et budgétaires au niveau le
plus fin, celui de l’opération. Comme rappelé supra, c’est typologie du
référentiel du CIC qui est retenue comme permettant de structurer des
investigations portant simultanément sur les deux volets comptables et
Critères de Niveau Niveau Niveau Réf. Fiche Niveau Recommandations
Niveau Réf. Fiche
qualité de Nature des contrôles attendus ou objet de Réponses d'effectivité d'efficacité de Test de de / constats d'audit :
Opération Risques inhérents de risque de Test
comptable risque l'audit d'audit des des permanenc risque Réf. Document de
résiduel détaillé
ou critère inhérent contrôles contrôles e de CI travail
Procédure 1. Définition du besoin
Tâche 1. Expression du besoin
QCI
Tests de
permanence
pour évaluer
• Vérifier que le besoin fait l’objet d’une
l'effectivité
documentation et d’une valorisation
et l'efficacité
Soutenabilit MP3R1 : Décalage complète et validée
Identification des
é de la entre le besoin exprimé MOYEN • S’assurer que le montant global du besoin FORT FORT FAIBLE FAIBLE
des besoins dispositifs
gestion et la programmation est bien pris en compte dans la
déclarés
programmation des activités (pluriannuelle,
dans les QCI
le cas échéant)
Le cas
échéant,
tests
détaillés

1er niveau : Procédure 2ème niveau : Tâche 3ème niveau : Opération

1. Définition du besoin Quelques exemples : Quelques exemples :

2. Engagement juridique

3. Réception de la commande 1. Expression du besoin Identification, formulation du besoin, du

contrat
4. Demande de paiement 2. Demande d’engagement
juridique Engagement d’une demande, archivage et
5. Prise en charge transmission
3. Attestation du service fait,
 budgétaires ;
 en face de chaque tâche, de déterminer les risques inhérents pouvant
affectant ces objectifs ;
 d’identifier les dispositifs de contrôle interne (risques CIC) et les objets de
l’audit (risques CIB) dont l’examen conduit à l’évaluation de la maîtrise
des risques ;
 d’estimer l’existence ou l’absence de ces dispositifs dans l’organisme
audité, en l’état actuel des connaissances sur ce dernier (il s’agit d’une
approche macroscopique qui n’a pas vocation à se qui substituer aux
analyses seront conduites sur le « terrain »)
 de coter les risques inhérents (important, moyen, faible) en évaluant
l’impact et la probabilité d’occurrence de la réalisation du risque. Le
risque inhérent correspond au risque qui peut théoriquement survenir si
aucun contrôle n’est mis en place pour l’empêcher ou le détecter. Ces
risques sont identifiés au regard des objectifs attendus de la tâche.

Critères de Niveau Niveau Niveau Réf. Fiche Niveau Recommandations

Niveau Réf. Fiche
qualité de Nature des contrôles attendus ou objet de Réponses d'effectivité d'efficacité de Test de de / constats d'audit :
Opération Risques inhérents de risque de Test
comptable risque l'audit d'audit des des permanenc risque Réf. Document de
résiduel détaillé
ou critère inhérent contrôles contrôles e de CI travail
Procédure 1. Définition du besoin
Tâche 1. Expression du besoin
QCI
Tests de
permanence
pour évaluer
• Vérifier que le besoin fait l’objet d’une
l'effectivité
documentation et d’une valorisation
et l'efficacité
Soutenabilit MP3R1 : Décalage complète et validée
Identification des
é de la entre le besoin exprimé MOYEN • S’assurer que le montant global du besoin FORT FORT FAIBLE FAIBLE
des besoins dispositifs
gestion et la programmation est bien pris en compte dans la
déclarés
programmation des activités (pluriannuelle,
dans les QCI
le cas échéant)
Le cas
échéant,
tests
détaillés

Critères de qualité Risques inhérents : Niveau de risque inhérent : Nature des contrôles
comptable ou attendus ou objet de
Le risque inhérent Toutes les cotations se font
critères CIB : l’audit:
correspond au risque selon une même échelle de
Il s’agit des critères potentiel qui peut mesure : Analyse théorique des
de qualité théoriquement survenir si mesures de contrôle
- Faible
comptable ou des aucun contrôle n’est mis interne susceptibles de
critères CIB en place pour l’empêcher - Moyen maitriser le risque
assignés à chacune ou le détecter. inhérent
des opérations - Fort ou éléments majeurs
Ces risques sont des dispositifs de
identifiés au regard des L’évaluation de chaque risque maîtrise des risques sur
objectifs attendus de la se fait : lesquels l’audit doit
tâche.

Cette analyse des risques s’appuie sur la prise en compte des critères de qualité comptable
(comptabilité générale et comptabilité budgétaire)1 et de soutenabilité budgétaire dont la
réalisation conditionne l’atteinte des objectifs de contrôle interne.

Pour réaliser la matrice des risques, l’équipe d’audit peut utilement se référer aux
fiches d’aide à l’élaboration des matrices ministérielles de contrôle interne budgétaire
(fiches de risques associées aux macro-processus), aux référentiels de contrôle
interne comptable (RCI) et aux cartographies des processus. Elle peut également

1
Critères de réalité, de justification, de présentation et bonne information, de sincérité, d'exactitude, de totalité,
de non-compensation, d'imputation et de rattachement à la bonne période comptable et au bon exercice.
intégrer des éléments issus de cartographies des risques existantes, de plans
d’actions associés ainsi que des résultats de missions d’audit interne antérieures.
La matrice s’articule en deux parties principales regroupant les différentes phases
d’avancée de l’audit :

- Lors de la phase de préparation (partie gauche) :

 l’identification et la cotation du risque inhérent ;
 l’analyse théorique des dispositifs de maîtrise des risques susceptibles de le
maîtriser;

- Lors de la phase terrain (partie droite) :

 la description des dispositifs de maitrise des risques effectivement mis en

œuvre par l’entité auditée (« réponses d’audit ») ;
 la réalisation de tests destinés à évaluer l’effectivité et l’efficacité des
dispositifs de maitrise des risques ;
 l’évaluation du niveau de risque de contrôle interne, c’est-à-dire le
niveau de risque que le dispositif de maîtrise des risques déployé par
l’audité ne permettra pas de maîtriser ;
 la détermination du niveau de risque résiduel qui correspond au risque
subsistant après déploiement du contrôle interne et qui permet aux
auditeurs de définir l’importance des tests détaillés à effectuer ;
 la réalisation de tests détaillés afin de conclure sur la qualité de la
comptabilité (budgétaire et générale) et de la soutenabilité budgétaire du
processus « commande publique » audité. Les références de ces tests et
des documents de travail faisant la synthèse des constats et des
recommandations sont également à reporter dans la matrice (deux
dernières colonnes).

La cotation du risque inhérent (fort, moyen, faible) résulte pour une large part du jugement
professionnel de l’auditeur. Elle doit se fonder le plus possible sur des éléments objectifs
récoltés lors de la phase initiale de l‘audit dédiée à la prise de connaissance de l’activité.

Actualisée tout au long de l’audit, la matrice des risques est le support principal de la mission
d’audit, qu’elle sert à orienter dans son déroulement et dont elle synthétise les résultats. Elle
peut prendre la forme présentée ci-joint.