Vous êtes sur la page 1sur 106
Centre Africain d’études Supérieures en Gestion Institut Supérieur de Comptabilité, de Banque et de Finance
Centre Africain d’études Supérieures en Gestion
Institut Supérieur de Comptabilité, de
Banque et de Finance
(ISCBF)
Master Professionnel
en Audit et Contrôle de Gestion
(MPACG)
Promotion 4
(2009-2011)
Mémoire de fin d’étude
THEME
CESAG - BIBLIOTHEQUE
CONTRIBUTION DE L’AUDIT INTERNE
DANS LA MAITRISE DES RISQUES
OPERATIONNELS : CAS DE LA SONAPOST
Présenté par :
Dirigé par :
Mlle KAFANDO Tarwendpanga Sylvie
M. BOUSSO Souleymane
Contrôleur de gestion à la RTS
Novembre 2011

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

DEDICACE

Nous dédions ce travail à l’Eternel Tout-Puissant qui nous a donné la force et le courage nécessaires pour être là où nous en sommes et à notre famille pour le soutien moral et la confiance portée à notre égard.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

REMERCIEMENTS

Qu’il nous soit permis avant toute chose d’exprimer notre reconnaissance envers toutes les personnes qui nous ont encadré et qui ont contribué au bon déroulement et à l’élaboration de ce mémoire.

Nos remerciements s’adressent à :

Notre mère, pour les efforts consentis durant toutes ces années études.

Monsieur BALIMA Paul, Directeur Général de la SONAPOST pour nous avoir

acceptées au sein de son institution.

Monsieur BOUSSO Souleymane, notre directeur de mémoire pour l’encadrement

reçu malgré ses multiples occupations.

Monsieur Moussa YAZI, Directeur de l’Institut Supérieur de Comptabilité, de

Banque et de Finance, pour ses conseils méthodologiques qui nous ont guidés dans

la rédaction de ce mémoire.

Le corps professoral de l’Institut Supérieur de Comptabilité, de Banque et de

Finance (ISCBF) du CESAG pour la qualité de la formation reçue.

Madame YAGO Honorine, chef du département audit interne et contrôle de gestion

à la SONAPOST, pour son aide, ses conseils et sa disponibilité. Nous lui

témoignons notre gratitude et notre reconnaissance.

Monsieur PARE Moumouni, chef de la division contrôle de gestion à la

SONAPOST pour ses conseils et son soutien.

Madame SANKARA Edwige, bibliothécaire au CESAG, pour les documents mis à

notre disposition.

A nos amis et camarades pour leur soutien et leurs conseils.

A tous ceux qui nous ont aidés, de près ou de loin, durant notre formation, qu’ils trouvent en ce mémoire toute notre gratitude.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

LISTE DES ABBREVIATIONS

AGSE :

AMF :

ASCE :

CCB :

CCM :

CCP :

CESAG :

CMS :

CNCC :

CNE :

CNT:

COCO:

COSO:

DFC

DG :

ECIIA:

ENAPOST :

EPIC :

IFACI :

IIA :

IMCE :

OFAOF :

OFPT :

ONATEL :

ONP :

OPT :

Assemblée Générale des Sociétés d’Etat

Autorité des Marchés Financiers

Autorité Supérieure du Contrôle d’Etat

Centre de Contrôle des Bureaux

Centre de Contrôle des Mandats

Centre des Chèques Postaux

Centre Africain d’Etudes Supérieures en Gestion

Centre Multi Service

Compagnie Nationale des Commissaires aux Comptes

Caisse Nationale d’Epargne

Centre National de Tri

Criteria of Control

Committee of Sponsoring Organizations of the Treadway Commission

Direction Financière et Comptable

Direction Générale

European Confederation of Institutes of Internal Auditors

Ecole Nationale de la Poste

Etablissement Public à Caractère Industriel et Commercial

Institut Français de l’Audit et du Contrôle Interne

Institute of Internal Auditors

Institut Mondial des Caisses d’Epargne

Office Fédéral de l’Afrique Occidentale Française

Office Fédéral des Postes et Télécommunications

Office Nationale des Télécommunications

Office Nationale des Postes

Office des Postes et Télécommunications

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

PACNE :

Projet d’Audit des Caisses Nationales d’Epargne

PTT :

Postes, Télégraphes, Téléphones

QCI :

Questionnaire de Contrôle Interne

SONAPOST : Société Nationale des Postes

TFfA :

Tableau des Forces et faiblesses apparentes

TIC :

Technologies de l’Information et de la Communication

UPU :

Union Postale Universelle.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

LISTE DES TABLEAUX

Tableau 1 : Tableau d’analyse des risques

16

Tableau 2 : Tableau de risques correspondant à la réception des marchandises

33

Tableau 3 : Questionnaire relatif à la maîtrise des risques

35

Tableau 4 : Evolution du chiffre d’affaires

54

Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques opérationnels

71

Tableau 6 : Evaluation des dispositifs de maîtrise des risques

72

Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels

Tableau 8: Identification des risques opérationnels

Tableau 9 : Echelle d’évaluation des risques

Tableau 10 : Probabilité d’occurrence

73

75

77

77

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

LISTE DES FIGURES

Figure 1 : La logique de la démarche globale de gestion des risques

19

Figure 2 : Modèle d’analyse

44

Figure 3 : Rôle de l’audit interne dans le dispositif de maîtrise

75

LISTE DES ANNEXES

Annexe 1 : Organigramme de la SONAPOST

Annexe 2 : L’entreprise comme un ensemble de risques

Annexe 3 : Grille de séparation des tâches

Annexe 4 : Questionnaire de contrôle interne

85

86

87

88

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

TABLE DES MATIERES

DEDICACE

i

REMERCIEMENTS

ii

LISTE DES ABBREVIATIONS

iii

LISTE DES TABLEAUX

v

LISTE DES FIGURES

vi

LISTE DES ANNEXES

vi

TABLE DES MATIERES

vii

INTRODUCTION GENERALE

PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE

Introduction de la première partie

CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS

1.1.

Les risques dans les entreprises

1.1.1. Le concept de risque

1.1.2. La typologie des risques

1.2.

Les risques opérationnels

1.2.1.

Définition

1.2.2. Les composantes du risque opérationnel

1.2

La gestion des risques opérationnels

1.2.1

Le processus de gestion des risques

1.2.1.1 L’identification

1.2.1.2 L’analyse et l’évaluation des risques opérationnels

1.2.1.3 Le suivi des risques opérationnels

1

6

7

8

8

8

9

10

10

11

13

13

13

15

16

1.2.2

Le dispositif de gestion des risques opérationnels

17

1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels

17

1.2.2.2 La cartographie des risques opérationnels

18

1.3

L’audit interne et la gestion des risques opérationnels

20

1.3.1

La présentation de l’audit interne

20

1.3.1.1 Le concept d’audit interne

20

1.3.1.2 Les missions de l’audit interne

21

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

1.3.1.3

L’organisation du travail d’audit interne

21

1.3.2 Le rôle de l’audit interne dans la gestion des risques opérationnels

22

1.3.3 Les mesures de contrôle des risques opérationnels

23

1.3.3.1 Les indicateurs de risques

23

1.3.3.2 Le tableau de bord des risques opérationnels

24

CHAPITRE 2: L’AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS 26

26

2.1. Les démarches de l’audit interne

2.1.1. L’approche par les systèmes

2.1.1.1. La présentation de la démarche

2.1.1.2. Les limites de l’approche par les systèmes

2.1.2.

L’approche par les risques

2.1.2.1. La description de la démarche

2.1.2.2. Les différentes phases de la démarche

2.1

La maîtrise des risques opérationnels

2.2.1. Les dispositifs de maîtrise des risques opérationnels

2.2.2. Le système de contrôle interne

2.2.2.1.

Définition

2.2.2.2. Les objectifs du contrôle interne

2.2.2.3. Les éléments du dispositif de contrôle interne

2.2

L’apport de l’audit interne dans le dispositif de maîtrise des risques opérationnels

2.3.1.

L’appréciation du dispositif de contrôle interne

2.3.1.1. Le découpage en cycles d’activités

27

27

28

29

29

30

33

34

36

36

36

37

38

39

40

2.3.1.2. L’évaluation du contrôle interne

41

2.3.2.

L’évaluation de la cartographie des risques opérationnels

42

CHAPITRE 3: METODOLOGIE DE L’ETUDE

43

3.1. Le modèle d’analyse

43

3.2. Les outils de collecte et d’analyse des données

45

3.2.1. Le questionnaire de contrôle interne

45

3.2.2. L’analyse documentaire

45

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

3.2.3. L’interview

46

3.2.4. L’observation physique

46

3.2.5. Le tableau d’identification des risques

46

3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA)

46

3.2.7. La grille de séparation des tâches

46

3.2.8. Le test de conformité et de permanence

47

Conclusion de la première partie

48

DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE

49

Introduction de la deuxième partie

CHAPITRE 4: PRESENTATION DE LA SONAPOST

4.1.

Historique

4.2. Les missions et les objectifs de la Sonapost

4.2.1. Le statut et l’objet social de la Sonapost

4.2.2. Les missions et les objectifs

4.3. La Sonapost dans l’économie burkinabé

4.4. L’organisation et le fonctionnement de la SONAPOST

4.4.1. L’administration centrale

4.4.2. Les directions techniques

4.4.3. Les directions régionales

4.4.4. Les centres spécialisés

4.4.5. Les projets et programme

4.4.6. La filiale EMS-Chronopost International Burkina

50

51

51

52

52

53

54

54

55

57

60

60

61

61

CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA SONAPOST

62

5.1.

Le dispositif de contrôle interne de la Sonapost

62

5.1.1.

La description synthétique du dispositif de contrôle interne

62

5.1.1.1. La comptabilité journalière et mensuelle

62

5.1.1.2. Le centre de contrôle des bureaux

63

5.1.1.3. Le Conseil d’Administration

63

5.1.1.4. L’Assemblée Générale des Sociétés d’Etats (AGSE)

64

5.1.2.

Les objectifs du contrôle interne

64

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

5.2. L’état du dispositif de contrôle interne de la Sonapost

65

5.3. L’audit interne

66

CHAPITRE 6 : LA CONTRIBUTION DE L’AUDIT INTERNE A LA MAITRISE DES RISQUES OPERATIONNELS

68

6.1.

L’appréciation du dispositif de maîtrise des risques opérationnels

68

6.1.1. Le dispositif de maîtrise des risques opérationnels

69

6.1.2. L’analyse du dispositif de maîtrise des risques opérationnels

69

6.1.3. L’évaluation du dispositif de maîtrise des risques opérationnels

72

6.2.

Le rôle de l’audit interne dans le dispositif de maîtrise

6.2.1. L’identification des risques

6.2.2. L’évaluation des risques

6.2.3. L’évaluation du dispositif de contrôle interne

6.3.

Recommandations

6.3.1. A l’endroit du service d’audit interne

6.3.2. A l’endroit de la direction générale

Conclusion de la deuxième partie

CONCLUSION GENERALE

ANNEXES

BIBLIOGRAPHIE

74

75

76

77

78

79

79

81

82

84

92

CESAG - BIBLIOTHEQUE

INTRODUCTION GENERALE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

La poste est l’un des plus anciens réseaux de communication au monde. Ce fût à Rome qu’apparut le premier service de courrier public au service des correspondances de l’Etat. En Afrique, il n’existait pas de système postal organisé avant l’arrivée des colonisateurs européens. De nos jours, celle-ci demeure le moyen de communication le plus accessible et le plus répandu dans le monde.

L’activité postale traditionnelle inclut la collecte des objets de correspondance, de communication, de messagerie, de presse, des boîtes à lettres publiques ou des bureaux de

poste, leur transport, leur tri et leur distribution. Ces services requièrent des savoir-faire et

des compétences très spécifiques et peuvent être fournis par des entreprises nationales ou

d’autres organismes privés de nos jours. Les services postaux ont évolué à travers les âges

en fonction des progrès, des techniques et du développement de la société car

communiquer est devenue une fonction économique essentielle et est considérée comme

un facteur de cohésion nationale par les gouvernements qui y interviennent.

L’organisation du secteur postal au Burkina Faso avec la Société Nationale des Postes

(SONAPOST) est passée en quelques années, d’une logique de coordination entre les

différents monopoles nationaux, à celle plus concurrentielle. La globalisation de

l’économie et les bouleversements que le secteur des communications rencontrent l’ont

conduit à investir dans de nouvelles activités. Aujourd'hui, à l'instar de toutes les autres

postes du monde, elle ne peut ignorer l'avènement de ce qu'il est convenu d'appeler la

société de l'information avec les bouleversements technologiques qu'elle entraîne.

Celle-ci est chargée de la mise en place et de l’exploitation du service public de la poste et

des services financiers. Elle dispose d'un réseau d'épargne, la Caisse Nationale d'Épargne

(CNE), permettant aux plus modestes de placer leurs économies. Avec la création de la

CNE, ces services financiers ont apporté à l'Etat burkinabè une ressource financière abondante.

La Sonapost a pour missions la collecte, l’acheminement, la distribution des objets par correspondance (lettre, colis, journaux) et la facilitation des échanges monétaires (système de transfert d’argent). Dans ses efforts d’amélioration de ses produits et d’adaptation de son offre aux attentes du marché, elle a entrepris la mise en place dans les localités,

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

des cyber-postes

population.

qui offrent des services de navigation internet à un grand nombre de

De par ses nombreuses activités, celle-ci doit faire face à de nombreux risques surtout opérationnels qui peuvent être un handicap à la réalisation efficace de ses activités et compromettre de ce fait l’atteinte de ses objectifs de croissance. La maîtrise des risques opérationnels par la Sonapost nécessite la mise en place et l’optimisation d’un service d’audit interne et de gestion des risques opérationnels.

Ainsi le problème qui se dégage de notre étude concerne l’efficacité du dispositif mis en

place pour assurer la maîtrise des risques opérationnels.

Le problème ainsi mis en exergue n’est que la résultante de divers facteurs qui sont :

- les insuffisances des procédures documentées et actualisées;

- l’absence d’implication de l’audit interne dans le dispositif de maîtrise des risques

opérationnels ;

- la non-détection des erreurs, ou manquement.

Les conséquences du problème peuvent être de diverses natures dont :

- les erreurs ;

- le retard dans l’exécution des opérations (livraison des colis) ;

- la fraude interne ou externe ;

- les vols ;

- la violation du secret professionnel (ouverture des courriers).

Les solutions possibles pour y remédier sont:

- l’évaluation des dispositifs de maîtrise des risques opérationnels ;

- l’évaluation et la mise à jour de la cartographie des risques opérationnels ;

- la mise en place d’un dispositif de gestion des risques opérationnels;

- la mise à jour du manuel de procédures.

Au vu de ces solutions possibles énumérées, nous retiendront celles qui s’avèrent pertinentes à savoir :

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- l’évaluation des dispositifs de maîtrise des risques opérationnels ;

- l’assurance de l’efficacité du dispositif de gestion des risques opérationnels ;

- l’évaluation et la mise à jour la cartographie des risques opérationnels.

L’identification et la gestion des risques opérationnels doivent découler de la mise en œuvre d’une politique de gestion efficiente par la Sonapost en vue de maîtriser les risques auxquels elle est confrontée. Cette analyse nous amène à nous interroger sur un certain nombre de questions qui sans doute seront d’une aide capitale pour mener à bien cette

étude. Il s’agit de la question principale de laquelle découle des questions spécifiques.

En ce qui concerne la question principale elle s’énonce comme suit : comment l’audit

interne contribue – il à la maîtrise des risques opérationnels ?

Les questions spécifiques qui en résultent sont :

- Quel est l’état du dispositif actuel de maîtrise des risques opérationnels, ses forces

et ses faiblesses ?

- Quel est l’état des risques opérationnels de la Sonapost ?

- Quels sont les outils mis en œuvre pour y faire face ?

Telles sont les questions auxquelles nous essayerons d’apporter des réponses à travers

l’étude du thème : « contribution de l’audit interne dans la maîtrise des risques

opérationnels ».

Ce mémoire consistera à analyser l’apport de l’audit interne à la Sonapost dans la maîtrise

de ses risques opérationnels.

Pour pouvoir mener à bien notre étude, il est primordial de se fixer certains objectifs qui sont d’ordre général et spécifique.

L’objectif général consistera à faire face aux contraintes qui peuvent affectés le bon fonctionnement de la Sonapost ainsi que l’atteinte de ses objectifs à travers les dispositifs qu’elle met en œuvre pour les maîtriser. Pour ce faire nous nous intéresserons à l’apport de l’audit interne dans la maîtrise des risques opérationnels.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Afin d’atteindre celui-ci, il est primordial de mettre en évidence les objectifs spécifiques qui en résultent.

De ce fait nous avons :

- l’identification des dispositifs de maîtrise des risques opérationnels;

- l’évaluation du dispositif de contrôle interne mis en place pour assurer leur maîtriser;

- l’efficacité du dispositif de maîtrise des risques opérationnels.

Ce présent mémoire sera focalisé sur la contribution de l’audit interne dans la maîtrise des

risques opérationnels. Pour cela deux (02) grandes parties seront développées ; la première

partie est consacrée d’une part à la revue de littérature qui abordera les aspects théoriques

de la gestion, des dispositifs de maîtrise des risques opérationnels pour ainsi mettre en

exergue la démarche de l’audit interne dans le processus de maîtrise et d’autre part à

l’approche méthodologique de l’étude. La deuxième partie consacrée au cadre pratique de

l’étude consistera à présenter la structure et à analyser son dispositif de maîtrise des risques

opérationnels afin d’y cerner l’apport de l’audit interne.

La maîtrise des risques opérationnels pour les organisations est primordiale en vue

d’assurer une optimisation de leurs activités et l’atteinte des objectifs.

Cette étude permettra à la Sonapost d’une part de mieux cerner ses risques opérationnels,

de disposer d’une revue des bonnes pratiques en termes de maîtrise des risques

opérationnels, de connaître les dispositifs adéquats pour les réduire et d’autre part

d’assurer l’efficacité de leur gestion. En outre, elle permettra d’éveiller la conscience des

dirigeants sur l’importance de la maîtrise de leurs risques opérationnels et sur l’apport de

l’audit interne à l’organisation.

Aussi pour nous mêmes, elle sera une aubaine pour confronter nos acquis intellectuels et théoriques appris au CESAG et de les adapter aux réalités du monde professionnel et par conséquent de développer les connaissances acquises et d’expérimenter le fonctionnement quotidien d’une entreprise notamment de son service d’audit interne.

CESAG - BIBLIOTHEQUE

PREMIERE PARTIE :

CADRE THEORIQUE DE L’ETUDE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Introduction de la première partie

Selon MOREAU (2002: 1-2), le risque est au cœur de l’entreprise car celle-ci évolue dans un environnement de risques, le plus souvent complexe, dynamique et hostile. L’efficacité

de l’entreprise à gérer ses risques n’est pas de les nier ou de les transférer à d’autres, mais « d’apprivoiser » ses risques en les reconnaissant et en choisissant à la fois une approche stratégique et une organisation adaptée à leur existence. Nombreux sont les types de risques qui peuvent être rencontrés dans les entreprises notamment ceux liés à la

multitude des opérations. Les risques opérationnels comportent des enjeux pour les

entreprises notamment dans la mise en œuvre du dispositif de leur maîtrise. Le risque

opérationnel devient alors une préoccupation majeure mais ne constitue pas un nouveau

risque.

La gestion des risques opérationnels a été longtemps traitée marginalement voire ignorée

par la plupart des dirigeants du fait d’un éventail d’outils et d’options limités. Le risque

étant inhérent à l’activité humaine, toute la question est de savoir comment le découvrir,

l’appréhender, l’anticiper, le quantifier, et prendre les décisions correspondantes afin, non

pas de l’éliminer mais d’en assurer sa maîtrise.

La maîtrise des risques est une aspiration fondamentale, constitutive de l’organisation de

nos sociétés. Les dirigeants doivent être en mesure d’apporter des réponses relatives à la

manière de gérer les risques. Pour ce faire il est essentiel de bien connaître les différents

concepts, outils et méthodes disponibles pour les identifier, analyser et traiter.

Dans cette première partie, consacrée essentiellement à la revue de littérature nous

aborderons la gestion des risques et l’audit interne, ensuite les dispositifs de maîtrise des

risques opérationnels seront présentés pour y déceler le rôle de l’audit interne et après élaborer le modèle d’analyse qui montrera comment nous allons procéder pour apprécier le rôle de l’audit interne dans la maîtrise des risques opérationnels à la Sonapost.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS

Pour MOREAU (2002 :2), les dirigeants d’entreprise sont confrontés à des situations différentes dues à la multitude des risques de nature, d’ampleur et d’incidence diverses. De par l’essor du gouvernement d’entreprise, la responsabilité de l’entreprise et des dirigeants envers les salariés, les clients, les actionnaires est de plus en plus engagée. Cette diversité des risques entraine une pluralité de solutions et l’entreprise n’a pas toujours les réponses adéquates ou innovantes pour y faire face.

La gestion des risques est définie comme un « processus régulier, continu, coordonné et

intégré à l’ensemble d’une organisation, qui permet l’identification, l’analyse, le contrôle

et l’évaluation des risques et des situations à risque qui ont causé ou auraient pu causer des

dommages à une personne ou à des biens ». (ISO 9000, version 2000 in POULLAIN ;

LESPY, 2002 :41).

Coopers & Lybrand (2000 :49), ajoute que toute entreprise est confrontée à un ensemble de

risques externes et internes qui doivent être évalués. Avant de procéder à une telle

évaluation, il est nécessaire de définir les objectifs compatibles et répondant à des règles de

cohérence interne. Leur évaluation consiste en l’identification et l’analyse des facteurs

susceptibles d’affecter la réalisation des objectifs ; il s’agit d’un processus qui permet de

déterminer comment ils devraient être gérés.

1.1.

Les risques dans les entreprises

Avant d’aborder les risques et notamment ceux opérationnels dans les entreprises, il

semble nécessaire de définir la notion de risque ainsi que les différents types de risques

pouvant exister dans toute organisation.

1.1.1. Le concept de risque

Toutes les entités, quel que soit leur taille, leur structure, la nature de leurs activités et le secteur économique dans lequel elles évoluent, sont confrontées à des risques, et ce à tous les niveaux.

D’après MOREAU (2002 :3), le risque d’entreprise peut être défini comme la menace qu’un évènement, une action ou une inaction affecte la capacité de l’entreprise à atteindre

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

ses objectifs et compromettre ainsi la création de valeur. Cette définition est complétée par celle de DESROCHES & al (2005 :44) ; pour eux, le risque est une grandeur à deux dimensions. Une probabilité qui donne une mesure de l’incertitude que l’on a sur une gravité des conséquences, en termes de quantité de dommages, consécutifs à l’occurrence d’un événement redouté.

Par conséquent, nous pouvons conclure que le risque est l’éventualité d’événements futurs pouvant entrainer des conséquences préjudiciables et agir ainsi sur la performance de

l’entreprise. Aussi, toutes ces définitions mettent en évidence les composantes du risque à

savoir la probabilité qu’un ou plusieurs événements se produisent et leurs conséquences.

On peut, de ce fait, définir le risque comme un concept par lequel l’entreprise tient compte

des événements possibles qui pourraient survenir dans un univers incertain et pouvant

entraîner des impacts significatifs sur l’entité et sur ses objectifs. De par ces définitions,

plusieurs types de risques peuvent être mis en évidence.

1.1.2.

La typologie des risques

Différents risques sont susceptibles d’être rencontrés dans toute organisation.

RENARD (2009 :157) énumère une liste de risques susceptibles de se produire dans

l’entreprise. On distingue:

- les risques sociaux ;

- les risques financiers ;

- les risques informatiques ;

- les risques technologiques ;

- les risques de transports ;

- les risques commerciaux ;

- les risques juridiques ;

- les risques politiques ;

- etc.

NGUYEN (1999 : 156) quant à lui, vient compléter cette distinction en identifiant trois (03) types de risques à savoir:

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- ceux liés aux activités ;

- ceux qui sont internes ou externes ;

- ceux qui sont anciens ou nouveaux.

DESROCHES & al (2005 : 44) quant à eux, font une classification des risques selon (02) deux critères :

- en fonction de leur évolution : les risques à effets convergents dont la gravité diminue avec le temps ou à effets divergents dont la gravité augmente avec le

temps ;

- en fonction de leur impact : les risques à effets directs et indirects ou en cascades

induisant un enchainement de différentes natures.

Par ailleurs, AHOUANGANSI (2010 : 37-38) classe les risques en deux catégories :

- les risques spéculatifs : ce sont des risques pris par l’entrepreneur dans son activité

pour atteindre les objectifs de l’entreprise;

- les risques purs aléatoires ou accidentels : la protection contre ces risques s’établit à

plusieurs niveaux dont la prévention préalable adaptée (équipements spécifiques,

organisation de contrôle interne).

1.2.

Les risques opérationnels

Les risques opérationnels sont présents dans toutes les organisations. Les incidents

montrent que des événements inattendus peuvent se produire et porter sérieusement

atteinte aux organisations de divers secteurs.

D’après SARDI (2002 :309), le risque opérationnel n’est pas un concept bien défini et ne fait pas l’objet d’un consensus car il diffère suivant les organismes et les auteurs.

1.2.1.

Définition

Les risques opérationnels sont des risques auxquels toutes les sociétés sont confrontées. En général, ils proviennent de l’exécution des objectifs de l’entreprise. Ils recouvrent un certain nombre de risques, parmi lesquels la fraude, le risque juridique, physique ou environnemental.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Bâle II le défini comme « le risque de pertes résultant d’une inadéquation ou d’une défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y compris ceux de faible probabilité d’occurrence, mais à risque de perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique mais exclut les risques stratégiques et de réputation ». CAMARA (2006 : 130) ajoute que le risque opérationnel est la probabilité des pertes subséquentes à une défaillance des procédures administratives, machines et outils de travail.

Il peut être ainsi défini comme le risque de perte ou d’incident résultant de processus,

d’individus ou de systèmes insuffisants ou défaillants, ou d’événements externes. Les

risques opérationnels sont difficiles à identifier car présents à tous les niveaux avec une

imbrication des événements et des conséquences, à mesurer due à la conjugaison des pertes

directes et indirectes et à gérer car s’appliquant transversalement sur l’ensemble des

métiers, avec des causes (internes et externes) et des conséquences (financières) diverses.

1.2.2.

Les composantes du risque opérationnel

NGUYEN (1999 : 210) identifie divers types de risques opérationnels à savoir :

les risques de dysfonctionnement qui comprennent:

- le manque de compétence du personnel en cas de remplacement pour congés ou

départs définitifs ;

- les erreurs, oublis, manque d’attention ;

- les perturbations consécutives aux changements d’hommes de la hiérarchie sans

information préalable.

les risques de manipulation frauduleuse qui se caractérisent par:

- la collusion entre plusieurs personnes;

- le non respect des procédures.

Bâle II complète cette initiale classification en faisant une répartition des risques opérationnels en sept (07) catégories :

- la fraude interne : elle concerne les pertes liées à des actes commis à l’intérieur de l’entreprise visant à commettre une fraude ou un détournement d’actif ou à enfreindre une disposition législative ou règlementaire, ou des règles de l’entreprise ;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- la fraude externe : il s’agit des pertes liées à des actes extérieurs visant à commettre une fraude ou un détournement d’actif ou à enfreindre une disposition législative ou règlementaire ;

- l’insuffisance des pratiques internes concernant les ressources humaines et la sécurité du lieu de travail : pertes liées à des actes contraires aux dispositions législatives ou règlementaires, ou aux conventions en matière d’emploi, de santé ou de sécurité, à la réparation de préjudices personnels ou à des pratiques discriminatoires ou contraires aux règles en matière d’égalité professionnelle ;

- les clients, produits et pratiques commerciales : qui entrainent des pertes dues à un

manquement délibéré ou non, à une obligation professionnelle envers un client, à la

nature ou aux caractéristiques d’un produit ;

- les dommages aux actifs physiques : sont causées par l’endommagement des actifs

physiques résultant d’une catastrophe naturelle ou d’autres événements ;

- l’interruption d’activité et dysfonctionnement des systèmes : sont des pertes

résultant de dysfonctionnement ou des systèmes ;

- le dysfonctionnement des processus de traitement (exécution, passation d’ordre,

livraison, gestion des processus) : concerne les pertes liées aux lacunes du

traitement des transactions ou de la gestion des processus et aux relations avec les

contreparties commerciales et fournisseurs.

Aussi CAMARA (2006 :130) identifie différents types de risques opérationnels qui sont :

- le risque de fraude : il peut se définir comme l’acte illégal par lequel une personne

ou un groupe de personnes soutirent des fonds à l’entreprise;

- le risque administratif : c’est tout événement ou fait lié à une mauvaise définition

des procédures de travail ;

- le risque juridique : on entend par risque juridique les pertes que peut subir l’entreprise du fait d’une mauvaise maîtrise de la loi et de son application ;

- le risque de sécurité physique : c’est la probabilité d’atteinte à l’intégrité physique des actifs, employés de l’organisation;

- le risque de sécurité informatique : c’est le risque de panne des ordinateurs.

Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et l’environnement externe font courir aux entreprises. De ce fait ils peuvent se décomposer en quatre (04) sous-ensembles selon Bâle II :

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- le risque lié au système d’information: défaillance matérielle, obsolescence des technologies (matériel, langages de programmation,…) ;

- le risque lié aux processus (saisies erronées, non respect des procédures,…) ;

- le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais aussi la capacité de l'entreprise à assurer la relève sur les postes clés) ;

- le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire,…).

La diversité des risques auxquels est confrontée l’entreprise rend nécessaire une analyse

centralisée de manière à garantir une vue globale, avec une implication de tous les

spécialistes afin de mieux appréhender l’exposition aux risques.

1.2

La gestion des risques opérationnels

La gestion des risques dans le but de les réduire est une pièce essentielle du management

de l’entreprise et de maîtrise des risques.

1.2.1

Le processus de gestion des risques

Pour SARDI (2002 :183), le processus de management des risques comporte un certain

nombre d’étapes (l’identification, l’évaluation des risques, l’analyse et la planification des

mesures, la gestion opérationnelle des risques ainsi que la surveillance des risques et leur

reporting).

1.2.1.1 L’identification

Le dispositif de maîtrise des risques opérationnels consiste à agir sur les différents

éléments identifiés et quantifiés afin de modifier le profil de risques de la société ou tout du moins sa sensibilité en cas de survenance d’événements non souhaités.

1.2.1.1.1 La définition du périmètre à analyser

D’après JIMENEZ & al (2008: 55), le périmètre à analyser comprend l’ensemble des activités de l’établissement. Cela nécessite toutefois de comprendre et de modéliser les activités pour permettre une identification de l’ensemble des risques opérationnels associés. Celle-ci consiste à découper les activités de l’entreprise en métiers et processus auxquels seront rattachés les événements à risques.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Les risques sont alors analysés à un niveau de détail moindre et rattaché à un processus générique qui sera complété par des informations spécifiques et pertinentes pour l’identification des risques (déroulement d’activité particulier, risque spécifique ou au contexte, etc.).

1.2.1.1.2 Les événements à risques

Pour JIMENEZ & al (2008 : 61-62), les événements à risques vont être associés à chaque processus opérationnel identifié dans la nomenclature des processus. On cherche dans cette

étape à identifier tous les événements à risques qui peuvent se produire lors d’un processus

et qui pourraient avoir des conséquences sur son déroulement.

Certains événements types, par ailleurs, peuvent se retrouver comme événement à risque

dans un grand nombre de processus, par exemple l’erreur humaine ou l’interruption du

système d’information.

Bâle II (in Jimenez & al, 2008 :61-63) préconise la démarche d’identification des

événements à risques comme suite :

- l’établissement d’une liste type d’événements de risques: qui consiste à énumérer

les divers risques génériques (interruption des systèmes d’information, erreur

humaine, fraude). Cette liste va permettre d’éviter de refaire un travail complet

d’analyse des risques avec les opérationnels métiers pour se concentrer sur les

risques spécifiques à leur activité;

- l’établissement de la liste des risques spécifiques : effectuer un listing des risques

spécifiques (absence de contrôle, valorisation erronée) de l’activité et des métiers

que l’on retrouve quel que soit l’activité. Cette étape est construite avec les

représentants des métiers et se déroule par entretiens ou réunions avec les opérationnels responsables des processus qui pourront définir à quels types de risques ils sont sensibles ;

- la validation interne de la nomenclature des risques : celle-ci doit être adaptée au fonctionnement de l’entreprise. Sa validation doit permettre de s’assurer qu’un même risque dans deux (02) entités ou activités différentes aura la même définition et le même sens afin de conserver un dispositif cohérent;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- la validation de la cohérence: le dispositif mis en place doit répondre aux besoins règlementaires.

Selon Coopers & Lybrand (2000 :58-61), l’identification des risques est un processus itératif qui est souvent intégré à celui de la planification. Il est par ailleurs utile d’étudier les risques d’un « œil neuf », plutôt que d’examiner leur évolution depuis une précédente étude. Les risques à l’échelle de l’entreprise peuvent être la conséquence de facteurs externes ou internes. L’identification de ces risques est essentielle pour procéder à leur évaluation.

1.2.1.2 L’analyse et l’évaluation des risques opérationnels

Gérer les risques au niveau des activités permet d’axer l’évaluation sur les principales

divisions ou fonctions. Parvenir à les évaluer par activité contribue également à leur

maintien à un niveau acceptable.

L’analyse des risques et leur gestion sont intrinsèquement liées. Selon l’IFACI, l’analyse

comprend les éléments suivants :

- la définition du contexte et la mise en perspective ;

- l’identification et la documentation des risques ;

- l’évaluation, la quantification et la classification des risques ;

- l’évaluation et la modélisation du risque ;

- la mise au point de stratégies de réduction du risque et de contrôle ;

- l’obtention de ressources et l’attribution des responsabilités ;

- la réduction, le transfert ou l’élimination du risque ;

- le pilotage et le suivi du risque.

Selon le COCO (in Bertin, 2007 : 75), pour évaluer les risques il convient d’estimer leurs probabilités de survenance ainsi que l’importance de l’impact afin que des processus appropriés puissent être mis au point pour les contrôler.

Par ailleurs, pour Coopers & Lybrand (2000 : 61- 62) il est nécessaire de procéder à une analyse des risques une fois que ceux-ci ont été identifiés au niveau de l’entreprise et de chaque activité. Il existe de ce fait différentes manières de procéder à cette analyse, dans la

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

mesure où ils sont difficiles à quantifier. Néanmoins, le processus plus ou moins formel se décompose généralement comme suit :

- l’évaluation de l’importance des risques ;

- l’évaluation de la probabilité (ou fréquence) de survenance;

- la prise en compte de la manière dont le risque doit être géré, c’est-à-dire évaluation des mesures qu’il convient d’adopter.

Généralement, un risque qui n’a pas d’impact significatif et dont la probabilité de

survenance est faible, ne nécessite pas une analyse approfondie. En revanche, un risque

majeur qui selon toute vraisemblance se concrétisera doit être sérieusement analysé. Entre

ces deux extrêmes, l’analyse du risque s’avère difficile et elle doit être faite avec rationalité

et minutie. Une fois évaluées l’importance et la probabilité de survenance du risque, le

manager doit étudier la façon dont il doit être géré et mettre en place des dispositifs de

surveillance de ces risques.

Tableau 1 : Tableau d’analyse des risques

         

Actions de

   

Facteur

maitrise des

de risque

Gravité

Criticité

risques et

Criticité

Gestion

N°/date

Ou

Conséquences

initiale

initiale

d’identification

résiduelle

du risque

situation

de l’autorité de

résiduel

à risque

décision et leur

application

Source : DESROCHES & al (2005 :158)

1.2.1.3 Le suivi des risques opérationnels

Pour SARDI (2002 : 186), en fonction du résultat de l’analyse des risques, certaines mesures peuvent être prises notamment le renforcement du contrôle interne, la mise en œuvre de nouvelles procédures de contrôle.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

« La surveillance des risques est une fonction permanente qui s’imbrique dans les procédures formalisées mises en place par l’établissement. Elle implique l’ensemble des acteurs du contrôle interne : comité d’audit, auditeurs internes, comités des risques et cellules de management des risques, contrôleurs de premier et deuxième niveau » (SARDI, 2002 :63)

SARDI (2002 : 187) ajoute que le risque opérationnel est difficilement attribuable à une unité spécifique dans la mesure où il est présent partout.

Selon SARDI (2002 : 187), le suivi des risques est une composante essentielle du

management des risques. Les politiques et les limites fixées doivent être surveillées sur une

base constante pour s’assurer de leur respect. Cette surveillance est dévolue aux contrôles

dits « de premier et deuxième niveaux » et le troisième niveau concerne l’audit interne qui

doit éviter d’être impliqué dans la surveillance permanente car son rôle est de s’assurer de

l’efficacité du dispositif.

1.2.2

Le dispositif de gestion des risques opérationnels

Il est tout à fait possible d’identifier dans chaque entreprise les zones à risques afin de

déterminer les priorités des programmes de contrôle. Cette identification est réalisée avec

l’encadrement de la direction. Il est important que le dispositif mis en œuvre par

l’entreprise afin de maîtriser les risques soit évalué de façon périodique pour s’assurer que

celui-ci est adapté et proportionné au profil de risques.

1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels

Les systèmes de contrôle interne sont destinés à protéger les actifs contre la perte, le vol et

la fraude. Ils visent à réduire la probabilité et la gravité d’événements défavorables ou non désirés. Ces systèmes, bien que nécessaires à la bonne marche des opérations, sont incomplets dans la mesure où ils se concentrent sur l’atténuation des risques sans permettre aux gestionnaires de profiter des occasions positives pour mieux réaliser la mission et les objectifs de l’organisation.

Selon JIMENEZ & al (2008 :91), le dispositif fait intervenir plusieurs acteurs de l’entreprise car les risques se retrouvent à tous les niveaux et dans toutes les fonctions de l’entreprise. On citera entre autre :

CESAG - BIBLIOTHEQUE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

- la direction générale : elle a un rôle primordial car assurant l’efficacité du dispositif par son implication et les moyens à allouer ;

- le comité d’audit : il doit être tenu au courant des modifications du profil de risques et les décisions prises à leur égard doivent lui être présentées ;

- les opérationnels : ils gèrent les processus et assurent à leur niveau, la mise en place des mesures correctives et leur application ;

- l’audit interne: il a pour mission d’auditer les dispositifs de gestion des risques opérationnels et dans le cadre de l’élaboration des plans annuels d’audit.

Pour une meilleure gestion des risques opérationnels il est nécessaire d’élaborer une

cartographie des risques. Selon JIMENEZ & al (2008: 116), la cartographie des risques

opérationnels a pour objectif d’identifier, d’évaluer, de classer, de comparer et de

hiérarchiser les risques susceptibles d’impacter une ligne de métier.

1.2.2.2 La cartographie des risques opérationnels

D’après JIMENEZ & al (2008 :63), la cartographie des risques consiste donc à associer

aux processus modélisés les événements de risques qui peuvent entraîner une perte en

donnant pour chaque couple ainsi recensé une vision des impacts possibles et le degré de

maîtrise estimé. Elle permet à l’entreprise d’avoir une bonne vision des risques auxquels

elle est soumise et, par conséquent, de sa capacité à y faire face.

En outre pour AHOUANGANSI (2010 : 40-41), c’est un véritable inventaire des risques

de l’organisation. Cette cartographie permet d’atteindre trois objectifs :

- inventorier, évaluer et classer les risques de l’organisation ;

- informer les responsables afin que chacun soit en mesure d’y adapter le

management de ses activités ;

- permettre à la Direction Générale, et au Risk Manager, d’élaborer une politique de risque qui va s’imposer à tous.

1.2.2.2.1 Définition

 
 
 

La cartographie des risques est un

La cartographie des risques est un
La cartographie des risques est un

document permettant de recenser les principaux risques

d’une organisation et de les présenter synthétiquement sous une forme hiérarchisée pour assurer une démarche globale d’évaluation des risques. Elle n’est toutefois qu’une

Commentaire [k1]: Elle est plutôt une démarche et non un document. Et cette démarche abouti à la réalisation d’un document

Et cette démarche abouti à la réalisation d’un document T. Sylvie KAFANDO, 4 è m e

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

photographie des risques à un instant donné. Selon la typologie des risques, les informations disponibles pour corroborer l’évaluation, aideront les analyses, en particulier en matière de fréquence et d’impact.

Pour les risques « rares », la cartographie sera basée le plus souvent sur une identification et une évaluation qualitative des risques par les opérationnels de l’entreprise au travers des questionnaires ou d’atelier de travail.

Figure 1 : La logique de la démarche globale de gestion des risques

IDENTIFIER

IDENTIFIER
IDENTIFIER
IDENTIFIER
IDENTIFIER
HIERARCHISER Risques résiduels inacceptables risques résiduels acceptables AGIR GESTION DES RISQUES DEMARCHE
HIERARCHISER
Risques résiduels inacceptables
risques résiduels acceptables
AGIR
GESTION DES RISQUES
DEMARCHE QUALITE
EVALUER

Source : POULAIN &al (2002 :41)

1.2.2.2.2 Les étapes de la cartographie des risques

JIMENEZ & al (2008 : 64) préconisent les différentes étapes de la cartographie des risques :

- définir les couples processus/risque à évaluer ;

- identifier et évaluer les risques nets (prise en compte de l’existant) ;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- apprécier le dispositif de maîtrise des risques ;

- assurer un contrôle de cohérence avec les risques bruts ;

- classifier et hiérarchiser les risques selon les différents angles d’analyse possibles (risque net, risque brut, impact, image…).

Ces démarches de réduction des risques sont, comme les risques eux-mêmes, strictement de la responsabilité des acteurs opérationnels chargés de ces activités. Mais l’audit interne

a pour vocation d’apporter aux opérationnels une assistance technique dans la réduction

des risques, en veillant au bon fonctionnement du contrôle interne et en s’assurant du

respect des principes.

1.3

L’audit interne et la gestion des risques opérationnels

Selon RENARD (2006 : 23), l’audit interne est une fonction permanente dans l’entreprise,

mais c’est une fonction périodique pour les audités car ceux-ci peuvent la rencontrer selon

une certaine fréquence qui dépend de l’importance du risque dans l’activité auditée.

1.3.1

La présentation de l’audit interne

Le champ d’intervention de l’audit interne est beaucoup plus vaste car il prend en compte

toutes les fonctions de l’entreprise et dans toute leur dimension. Celui-ci n’a cessé de

s’étendre contribuant ainsi à la complexité de la définition de ce concept. Un signe de cette

complexité est la pluralité des définitions proposées par les auteurs.

1.3.1.1 Le concept d’audit interne

«

une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. » (SCHICK, 2007 :5).

L’audit interne est une activité indépendante et objective qui donne à une organisation

Ces objectifs s’articulent autour de quatre (04) points:

- s’assurer de l’existence d’un bon système de contrôle interne qui permet de maitriser les risques ;

CESAG - BIBLIOTHEQUE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

- veiller de manière permanente à l’efficacité de son fonctionnement ;

- apporter des recommandations pour en améliorer l’efficacité ;

- informer régulièrement, de manière indépendante, la direction générale, l’organe délibérant et le comité d’audit de l’état du contrôle interne.

Pour atteindre ces objectifs l’audit interne effectue différentes missions.

1.3.1.2 Les missions de l’audit interne

Selon LEMANT (1995 :19), l’essentiel d’une mission d’audit consiste à examiner les

composants de l’organisation et les conditions de fonctionnement d’une activité

déterminée, pour les comprendre et identifier les risques et opportunités qu’ils recèlent.

RENARD (2009 : 208) ajoute que les responsables des services d’audit interne témoignent

de plus en plus du caractère pédagogique de leur mission et de la nécessité de toujours

chercher à communiquer, non seulement autour des résultats mais aussi de la méthode mise

en œuvre. Le déroulement de la mission et l’utilisation de certains outils ne sont que des

illustrations de cette double recherche de simplicité et de transparence qui doit caractériser

l’approche de l’auditeur.

La signification d'une mission d'audit est qu'elle se découpe en périodes précises et

identifiables, et qui sont toujours les mêmes. Le mot mission vient du Latin « Mittere » qui

signifie envoyer, nous indique le Petit Larousse (in RENARD : 193) qui précise que la

mission est une fonction temporaire et déterminée dont un gouvernement charge un agent

spécial.

1.3.1.3 L’organisation du travail d’audit interne

Le travail des auditeurs est organisé suivant une certaine logique et se présente ainsi:

la charte d’audit : Selon RENARD (2009 :397), c’est le document constitutif de la

fonction d’audit interne et destiné à la présenter et à la faire connaître aux autres acteurs de l’entreprise. Il est exigé par la première des normes professionnelles ;

puis l’indispensable plan d’audit : Il est exigé par la norme 2010 : « le

responsable de l’audit interne doit établir une planification fondée sur les risques afin de

Commentaire [k2]: Il faut faire une transition entre les différents points et le développement de ces points

les différents points et le développement de ces points T. Sylvie KAFANDO, 4 è m e

CESAG - BIBLIOTHEQUE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

définir les priorités cohérentes avec les objectifs de l’organisation.

(in Jacques Renard

(in Jacques Renard

2009 : 399).

2009 : 399).

2009 : 399). Commentaire [k3]: C’est la définition donnée par l’IFACI au niveau du document des

Commentaire [k3]: C’est la définition donnée par l’IFACI au niveau du document des Normes d’audit interne

Ensuite on a:

le manuel d’audit interne : A la différence de la charte d’audit, le manuel est à

usage interne, tout comme la documentation à disposition des auditeurs et qui est à enrichir

constamment à l’occasion de chaque mission d’audit », (RENARD, 2009 : 418) ;

les dossiers d’audit et les papiers de travail: Pour RENARD (2009 :420), à

chaque mission doit correspondre un dossier composé, entre autres éléments des papiers de

travail les plus significatifs et constituent la mémoire de l’entreprise. Cette exigence a une

triple justification :

- exigence de preuve ;

- exigence d’efficacité ;

- exigence de formation.

L’audit interne est une activité ayant pour vocation d’aider les responsables des opérations,

à respecter les principes de contrôle interne, c’est-à-dire les bonnes pratiques de

management face aux risques qui menacent les activités. Ainsi l’audit interne apporte son

assistance en contrôle interne sur tous les grands processus d’activité. (La revue française

de l’audit interne, Septembre 2004 : 6)

1.3.2

Le rôle de l’audit interne dans la gestion des risques opérationnels

Selon BERTIN (2007 :113), la gestion des risques, ainsi que l’audit interne et le contrôle

interne, doivent réellement être appréhendées comme un processus continu dont

l’application doit être garantie en permanence. L’appréciation des risques ne doit pas être figée mais continue. Le rôle de l’auditeur est de fournir une « évaluation indépendante » de la pertinence, de l’application et de l’efficacité des dispositifs de contrôle interne mis en place par le management. La valeur ajoutée de l’audit interne est de contribuer à

l’amélioration des opérations de l’entreprise en facilitant l’identification et l’évaluation des risques à tous les niveaux. Il devrait y parvenir en examinant l’efficacité des processus de gestion des risques mis en place dans l’entreprise et en s’assurant de l’existence de procédures et de normes claires et cohérentes en matière de risque.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Selon l’European Confederation of Institutes of Internal Auditors (ECIIA), le rôle de l’audit interne est de conseiller et d’aider la direction à assurer l’efficacité du contrôle en mettant au point un programme de travail reposant sur les risques et couvrant les principales activités et les principaux systèmes de l’entreprise.

L'audit interne est une fonction d’appréciation et d’évaluation dont la tâche essentielle est, notamment, la validation du contrôle interne. En outre le lien fondamental qui existe entre l’audit interne et le contrôle interne est la vérification du respect des procédures.

1.3.3

Les mesures de contrôle des risques opérationnels

Les indicateurs des risques sont produits et suivis par les utilisateurs opérationnels afin de

compléter le dispositif d’alerte et d’anticiper les pertes éventuelles. Pour ce faire, ils

doivent permettre de suivre le profil ainsi que l’environnement des risques de l’entreprise.

1.3.3.1 Les indicateurs de risques

Du point de vue de JIMENEZ & al (2008 : 110) trois (03) types d’indicateurs peuvent être

utilisés :

- les indicateurs à valeur qui visent à suivre l’évolution du risque lui-même ;

- les indicateurs à niveaux qui visent à suivre le dispositif de maîtrise du risque en

tant que tel et sa chronologie par étape de mise en œuvre (création d’une échelle,

suivi de plan de continuité) ;

- les indicateurs à score quant à eux servent à suivre la complétude du dispositif de

maîtrise des risques. Ce type d’indicateur est adapté lorsque la mise en service d’un

dispositif ne suit pas une logique par paliers.

L’objectif des indicateurs étant d’être des alertes préventives, ils seront produits à une fréquence qui correspond à la mesure « normale » du risque ou du dispositif. Ils doivent pouvoir être reliés à la nomenclature des risques afin de permettre d’initier si besoin des plans d’action et une réactualisation de la cartographie.

Pour chaque indicateur retenu, sera créée une « fiche d’identité » afin de permettre la

diffusion de l’intérêt de celui-ci comprend :

et de l’objectif de la mesure. Cette fiche d’identité

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- le nom de l’indicateur ;

- les objectifs ;

- son mode de calcul ;

- les sources utilisées ;

- la périodicité d’actualisation ;

- le seuil critique ;

- les conséquences d’une dégradation de l’indicateur.

Pour JIMENEZ & al (2008 : 120), la création d’un tableau de bord du risque opérationnel

doit être le reflet de la qualité de la politique des risques mise en œuvre et soumettre une

vision consolidée du risque à différents niveaux de l’entreprise.

1.3.3.2 Le tableau de bord des risques opérationnels

Le tableau de bord doit permettre :

- d’appréhender la nature et l’ampleur des risques encourus ;

- de s’assurer de l’adéquation des dispositifs de gestion des risques opérationnels

avec le profil de risques et le plan d’activité ;

- d’effectuer les arbitrages nécessaires pour limiter et couvrir les risques ;

- de piloter les actions préventives et correctives ainsi que leur état d’avancement.

Selon DU SERT (1999 :15), la dynamique historique du risque fait apparaître que l’analyse

du risque doit couvrir une succession de situations possibles. Le problème est celui de la

perception que l’on peut avoir des différents risques de façon à mieux s’en protéger.

L’audit, activité indépendante et objective, dépassant la simple vérification de conformité

pour proposer des recommandations et évaluer les processus de management, s’est positionné dans la gestion des risques. L’audit interne vient ajuster les dispositifs de contrôle interne pour atteindre les objectifs de ce dernier en sauvegardant le patrimoine, en assurant une bonne circulation de l’information, en respectant les directives et en optimisant les performances de l’entreprise. Il vient pour renforcer le contrôle interne dans

la mesure où il doit soutenir les centres de responsabilités à maîtriser davantage leur activité et non pas à alourdir les procédures de vérification pour ainsi faire régner une mauvaise ambiance.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Au-delà de la prise en compte des risques dans la création du plan d’audit, l’audit interne a une réelle valeur ajoutée dans le processus d’identification et d’évaluation des risques dans le cadre d’une approche de gestion globale. Il apporte ainsi au management un niveau complémentaire de réassurance sur la pérennité de ce dispositif.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

CHAPITRE 2: L’AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS

La maîtrise des risques occupe de plus en plus une place importante dans les préoccupations des dirigeants. Aussi les risques qui menacent les entreprises doivent- ils être identifiés et réduits à des proportions acceptables. De ce fait, des conditions doivent être réunies pour mettre en place un système efficace, parmi lesquelles un audit interne performant, un processus d’identification et de mesure des risques simple.

Pour LEMANT (1998 :3), l’audit interne est une fonction d’assistance au management.

Issue du contrôle comptable et financier, la fonction audit interne recouvre de nos jours

une conception beaucoup plus large et plus riche, répondant aux exigences croissantes de

la gestion de plus en plus complexe des entreprises. Son objectif est d’assister les membres

de l’organisation dans l’exercice de leurs responsabilités, pour ce faire il assure

l’évaluation de la suffisance et de la réalité du système de contrôle interne. Il apporte sa

contribution à l’ensemble des activités de l’entreprise car dans chaque domaine dirigé c’est

toujours planifier les tâches, organiser les responsabilités, conduire les opérations et

contrôler leur marche.

Le principal apport de l’auditeur est d’inciter l’entreprise à réfléchir sur la définition des

risques et leurs conséquences sur son fonctionnement, avant toute prise de décision de

gestion. L’auditeur veillera aussi, entre autres, au respect des principes, à la séparation des

tâches, aux conditions de réalisation des opérations et pour y parvenir il adopte différentes

démarches.

2.1.

Les démarches de l’audit interne

Pour jouer pleinement son rôle dans la maîtrise des risques de l’organisation, l’auditeur adopte des démarches pour mener ses missions. Plusieurs approches existent notamment l’approche traditionnelle et l’approche moderne.

BECOURT & al (2008 : 25) distinguent six (06) types d’approche d’audit à savoir :

- l’approche par les systèmes : c’est la démarche la plus traditionnelle, elle s’adresse à des opérations, systèmes de sorte qu’il est limité dans le temps à une partie de l’entreprise;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- l’approche « audit total » : elle est illimitée et vise à la couverture totale de toutes les fonctions et opérations ;

- l’approche audit transversal qui s’intègre plus ou moins dans les deux précédentes catégories : recouvre au sein d’une organisation complexe, l’audit d’une fonction, d’une procédure quelque soit le site dans lequel ceux-ci sont opérées. L’auditeur cherche à mettre en évidence les risques, les vulnérabilités afin de permettre à l’organisation de les optimiser ;

- l’approche « qualité totale », prolongée par l’approche juste à temps : est un moyen d’identifier le risque d’audit afin de rendre le service attendu plus performant ;

- l’approche par les compétences des auditeurs : La compétence technique nécessaire

à un audit implique une combinaison de connaissances. La compétence de

l’auditeur a une influence directe sur l’impact des missions ;

- l’approche moderne : l’approche par les risques est une des conséquences directes

de la recherche d’efficacité par l’audit interne. Cette approche part du principe qu’il

est peu utile d’investir sur une partie significative dans des aires de l’entreprise où

un risque est susceptible d’apparaître.

Nous retiendrons les deux principales approches de l’audit que sont l’approche par les

systèmes et l’approche par les risques.

2.1.1.

L’approche par les systèmes

Selon COLLINS (1992 :24), le principe de l’approche par les systèmes est basé sur la

morphologie de l’entreprise qui est conçue comme un ensemble de systèmes et de

procédures géré par un personnel spécialisé dans le but d’assurer le respect des politiques

et des stratégies adoptées par les dirigeants pour permettre à l’entreprise d’atteindre ses

objectifs.

2.1.1.1. La présentation de la démarche

L’approche par les systèmes consiste à considérer l’entreprise comme un ensemble de systèmes. Selon BECOURT & al (2008 : 26), dans cette approche l’audit « passe au peigne fin » la fonction, système et les processus. Il analyse la structure, l’organisation et le fonctionnement d’un système ou d’une procédure dans son détail et apprécie les qualités de contrôle.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

COLLINS (1992 :28) ajoute que l’auditeur prend parfois le bilan (et le compte de résultat) comme point de départ pour son étude à travers les systèmes. On appelle cette approche « top down », car elle part des documents de synthèse. Dans cette approche de l’auditeur, on considère l’entreprise comme un ensemble de risques.

Elle consiste en:

- une prise de connaissance de l’entreprise ;

- l’évaluation du contrôle interne ;

- l’identification des cycles significatifs ;

- à une revue analytique ;

- à des rapports.

D’après SARDI (2002 :176-177), par cette approche les différentes composantes du

système de contrôle interne sont analysées pour apprécier leur efficacité. Ci-joint en

annexe le cycle d’opérations de gestion.

2.1.1.2.

Les limites de l’approche par les systèmes

Pour COLLINS, lorsque l’auditeur adopte l’approche par les systèmes il prend un risque

car s’il n’a pas les connaissances nécessaires pour accomplir une mission en respectant les

exigences de qualité des organisations, il pourra se voir inculper un manque de diligence

professionnelle.

Cette approche comporte certaines limites notamment des insuffisances dans la

planification et l’évaluation du contrôle interne.

- planification : l’auditeur se focalise sur la justification des informations financières par des éléments probants alors qu’il lui sera difficile de vérifier le non enregistrement d’une opération ;

- l’évaluation du contrôle interne.

Pour BECOURT & al (2008 : 29) ; l’auditeur s’attache à déceler les inaptitudes du système étudié à produire les effets escomptés.

D’après CHAMBERS (Revue de l’audit et contrôle internes, Avril 2011 : 40), les missions de l’audit interne étaient focalisées sur les contrôles financiers jusqu’en 2008, mais il a su

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

se réorienter et retrouver une vision plus large des risques menaçant les organisations. D’où l’apparition d’une nouvelle démarche appelée approche par les risques.

2.1.2. L’approche par les risques

Selon POWER (in Elisabeth Bertin, 2007 :306), la légitimité des pratiques de gestion dépend maintenant de leur auditabilité. Rendre les entreprises auditables, c’est faire en

sorte que les processus de gestion puissent être évalués, par l’entreprise et par des tiers indépendants. Par rapport à cette affirmation, il convient de se poser la question sur

l’adaptabilité des procédures d’audit interne aux pratiques de gestion existantes ou au

contraire sur la manière dont le processus d’audit peut façonner les pratiques de gestion.

2.1.2.1.

La description de la démarche

L’approche par les risques consiste pour l’auditeur à focaliser son travail sur les zones de

l’entreprise ou des risques peuvent se matérialiser. L’analyse porte sur l’identification pour

chacune des parties de l’entreprise de facteurs internes ou externes facilitant l’occurrence

des risques.

Pour COLLINS (1992 :28), l’auditeur, dans sa prise de connaissance de l’entreprise

s’informe largement sur tous les aspects significatifs de la vie de l’entreprise ainsi que de

l’évolution de son environnement. Etant donné que l’audit n’est jamais exhaustif, il

incombe à l’auditeur de déterminer où se trouvent les domaines à risque. SARDI (2002 :

176) ajoute que l’approche par les risques consiste à identifier les risques majeurs et à

analyser les dispositifs mis en œuvre pour les maîtriser.

Selon les normes d’audit la démarche peut se schématiser comme suit :

- la planification des travaux ;

- le contrôle interne ;

- l’obtention des éléments probants ;

- l’utilisation des travaux d’autres professionnels ;

- la conclusion et rapports d’audit. (voir annexe 2, page 88 ; l’entreprise comme un ensemble de risques)

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Pour COLLINS (1992 :29), l’idée de base est que chaque domaine sensible présente un risque que l’information le décrivant soit erronée. Ainsi, l’auditeur après son étude initiale est apte à concentrer l’essentiel de son travail là où il prévoit les plus grands risques.

2.1.2.2. Les différentes phases de la démarche

Cette démarche de l’approche par les risques prend en considération plusieurs facteurs et

éléments nécessaires à sa mise en œuvre. Selon LEMANT (1995 :111), une mission d’audit interne est menée par une équipe d’auditeurs, dirigée par un chef de mission qui est

responsable du succès de la mission. Celle-ci se découpe en quatre (04) phases qui sont :

2.1.2.2.1 La phase de la préparation

Pour RENARD (2008 : 217), cette phase débute par l’ordre de mission qui est le document

qui formalise le mandat donné par la direction générale à l’audit interne. Elle consistera

ensuite à prendre connaissance du domaine à auditer, à identifier les risques et à définir les

objectifs.

Selon RENARD (2008 :233), cette étape n’est que la mise en œuvre de la norme 2210.A1 :

« En planifiant sa mission, l’auditeur interne doit relever et évaluer les risques liés à

l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction

des résultats de cette évaluation.». Il s’agit d’identifier les endroits où les risques les plus

dommageables sont susceptibles de se produire, que d’analyser les risques eux-mêmes.

Cette phase conditionne la suite de la mission de l’auditeur car elle va lui permettre de

construire son référentiel et, dans le même temps, de concevoir son programme et de

l’élaborer en fonction non seulement des menaces mais également de ce qui a pu être mis

en place pour y faire face.

Les risques sont appréciés tâche par tâche pour l’activité objet de la mission d’audit au niveau analytique. « Le but de l’évaluation des risques pendant la phase de planification de l’audit est d’identifier les secteurs importants de l’activité à auditer. » (Norme 2210.A1 in Jacques Renard 2008 :233).

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

2.1.2.2.2 La phase de la réalisation

Selon RENARD (2008 :245), tout commence par une réunion relativement solennelle et nommée « réunion d’ouverture ». Cette réunion va consister à une présentation de l’équipe, à faire un rappel sur l’audit interne et à réaliser le rapport d’orientation.

D’après BERTIN (2007 :42), l’auditeur poursuit deux (02) objectifs lors de cette phase :

- mettre en évidence les faiblesses et les forces apparentes du dispositif de contrôle

interne;

- proposer des solutions d’amélioration.

Le travail sur terrain fait appelle à des techniques (interview, observation physique,

narration examen analytique, sondages…) et à des moyens (questionnaires de contrôle

interne, feuille de révélation et d’analyse des problèmes…).

L’auditeur doit systématiquement valider ses constats identifiés lors de son intervention sur

le terrain en les portant à la connaissance du responsable.

2.1.2.2.3

La conclusion et rapport

Pour BERTIN (2007 :44), toute mission d’audit s’achève par la rédaction d’un rapport. Les

auditeurs présentent les conclusions générales de la mission en recueillant les objections et

les précisions des audités en vue de la rédaction du rapport d’audit. Une fois l’audit réalisé,

l’auditeur doit remettre un rapport aux destinataires concernés.

2.1.2.2.4

Le suivi des recommandations :

« Le suivi des recommandations, qui plus est une collaboration entre auditeurs et audités, commence avec la formulation des recommandations. Il se dessine avec la détermination du (ou des) responsable(s) de chaque recommandation, lors de la validation du projet de rapport. Il se formalise par l’engagement des responsables désignés dans le rapport sur des plans d’action. Il se concrétise par la mise en place des actions de progrès agrées entre auditeurs et audités lors de la revue des réponses. Il se manifeste par la diffusion

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

périodique de l’état d’avancement des Actions de Progrès. Il se termine avec une évaluation des résultats obtenus. » (LEMANT, 1998 :128).

2.1.2.2.5 Le tableau des risques

Le tableau des risques consiste à découper l’activité (en fonction ou en processus) à auditer en tâches élémentaires. Ce découpage sera plus ou moins fin selon l’approfondissement que l’on souhaite donner à l’observation. Le tableau des risques consistera :

- à découper l’activité en tâches ou opérations élémentaires ;

- à indiquer en face de chacune de ces tâches quel est son objectif et à quoi elle sert.

Cette décomposition en tâches élémentaires est d’autant plus importante qu’elle est

nécessaire :

- elle constitue le premier stade du tableau des risques ;

- elle représente la première partie du questionnaire de contrôle interne (QCI) ;

- elle est la base de la grille d’analyse des tâches ;

- elle est la première étape de l’élaboration d’un contrôle interne rationnel pour le

manager.

En ce qui concerne RENARD (2008 :235), le tableau des risques doit nécessairement

prendre en compte les trois (03) facteurs susceptibles de générer des risques :

- l’exposition : ce sont les risques qui pèsent sur les biens et sont multiples

(malversations, incendies, dommage de toute sorte) ;

- l’environnement : ce n’est plus le bien lui-même, mais ce qui est autour qui devient

facteur de risque. Sous cette rubrique prennent place tous les risques liés aux opérations ;

- la menace : le plus souvent imprévisible, voire invisible. Elle risque de conduire à la multiplication des procédures et contrôles qui seront autant de freins et de contraintes excessifs, si on n’a pas pris la mesure exacte du danger et de la riposte appropriée.

BERTIN (2007 :41) ajoute que l’établissement de la feuille de risques passe par le découpage du domaine ou de l’activité en objets auditables, la définition des objectifs à

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

atteindre par chacune des tâches, l’évaluation de l’impact, l’indication de bonnes pratiques permettent d’apprécier en termes de risques, l’atteinte d’un objectif de contrôle.

Le tableau des risques permet de cerner les objectifs d’audit retenus, qu’il sera nécessaire de vérifier sur le terrain lors de la réalisation des travaux d’audit.

Tableau 2 : Tableau de risques correspondant à la réception des marchandises

Entité/

     

Forces et

Evaluation

domaine/

Objectifs

Risques

Bonnes

faiblesses

préliminaire

de contrôle

pratiques

opération

apparentes F/f

des risques

   

R1

 

F (faiblesse)

Elevé

R2

f

moyen

   

R3

 

f

faible

Source : BERTIN (2007: 41)

L’approche par les risques dénote des faiblesses surtout au niveau de la taille de

l’entreprise. En effet, d’après BERTIN (2007 :38), cette démarche n’est efficace que si

l’entreprise est de taille importante mais devient inutile et coûteuse pour les petites

entreprises.

2.1

La maîtrise des risques opérationnels

La maîtrise des risques d’une entreprise est l’ensemble des initiatives souhaitables qu’elle

devrait adopter pour faire face aux principaux risques inhérents à ses activités. Néanmoins

maîtriser les risques, ne consiste pas seulement à prendre des initiatives pour éviter les

risques mais aussi à prendre des initiatives pour ne pas manquer les opportunités.

L’organisation d’un dispositif de maîtrise des risques opérationnels fait intervenir de nombreux acteurs de l’entreprise car ceux-ci se retrouvent à tous les niveaux et dans toutes les fonctions de l’entreprise.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

2.2.1. Les dispositifs de maîtrise des risques opérationnels

Maîtriser selon le Larousse de poche (2003 : 488), c’est se rendre maître des éléments difficilement contrôlables. De ce fait, le dispositif de maîtrise des risques est l’ensemble des mesures qui doivent permettre à l’entreprise d’éviter de faire face à un tel incident. FAULTRAT (in revue française de l’audit interne février 2000 ; n° 148) le défini comme l’ensemble des moyens concrets mis en place par les responsables opérationnels pour faire face aux risques inhérents à leurs activités.

Selon JIMENEZ & al (2008 :91-92) le dispositif de base d’une bonne maîtrise des risques

opérationnels doit comporter plusieurs éléments qui peuvent se traduire par :

- une politique bien définie et documentée ;

- un réseau de responsables en charge de l’animation du dispositif et de leur propre

réseau de correspondants au sein de leur structure ;

- un dispositif d’identification et de gestion des risques au quotidien ;

- la mise en place d’indicateurs avancés et pertinents assurant des alertes sur toute

perturbation d’un processus donné ;

- des reporting adaptés au profil de risques de l’entité ;

- des évaluations régulières du dispositif par les personnes en charge de son

animation et par des intervenants externes.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Tableau 3 : Questionnaire relatif à la maîtrise des risques

Questions

Réponses

Oui

Non

Identification des principaux risques :

   

- Existe –t-il un processus d’identification des principaux risques ?

- Une organisation a-t-elle été mise en place à cet effet ?

Analyse des principaux risques :

   

- L’analyse des risques tient-elle compte des évolutions internes et

externes de la société ?

- Ces analyses donnent –elles lieu à des actions spécifiques ?

Procédures de gestion des principaux risques :

   

- Une politique et des procédures de gestion des principaux risques

ont-elles été définies, validées par la direction et mises en place dans

la société ?

- Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la

surveillance des procédures de gestion des risques ?

Surveillance des risques et des procédures de gestion : l’entreprise

   

communique-t-elle en interne avec personnes intéressées ?

- Sur des facteurs de risques ?

- Sur les dispositifs de gestion des risques ?

- Sur les actions en cours ?

- Existe-t-il un dispositif permettant d’identifier les principales

faiblesses du dispositif de gestion des risques mis en place ?

Source : inspiré de RENARD (2006 :224)

Le référent de maîtrise des risques : Selon FAUTRAT (in revue française de l’audit interne, Février 2000 : 25), il s’agit du document référentiel validé par la direction, qui au niveau global de l’entreprise visualise les grands processus d’activité, les risques essentiels qui leur sont inhérents, et les règles de contrôle interne y correspondant.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

2.2.2. Le système de contrôle interne

Les notions de contrôle interne sont présentes dans tous les domaines, non seulement dans le secteur privé mais également dans le secteur public. Cependant, toutes les organisations professionnelles d’audit n’ont pas la même perception de ce qu’est le contrôle interne.

En effet, comme le souligne COLLINS (1992 :34), tout le monde tombe d’accord que l’auditeur doit obligatoirement tenir compte de l’efficacité du contrôle interne lorsqu’il entreprend la planification de sa mission. Ainsi sont nombreuses les définitions du contrôle

interne qui existent

2.2.2.1. Définition

Le COSO (in revue française de l’audit interne, Juin 2000 : 12-13), défini le contrôle

interne comme un processus mis en œuvre par le Conseil d’Administration, les dirigeants

et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la

réalisation des objectifs ci-dessous :

- la réalisation et l’optimisation des opérations ;

- la fiabilité des informations financières ;

- la conformité aux lois et règlements.

BARBIER (1996 :21) ajoute que le contrôle interne est aussi l’ensemble des dispositions

incluses dans les organisations et dans les procédures, dont l’objet est d’assurer la qualité

de l’information, la protection du patrimoine, le respect des lois comme des plans et

politiques de la direction générale ainsi que l’efficacité du fonctionnement de l’entreprise.

2.2.2.2.

Les objectifs du contrôle interne

D’après COLLINS (1992 :38), quatre (04) objectifs du contrôle interne peuvent être identifiés :

- la sauvegarde des actifs : l’obligation de l’administrateur est de s’assurer que les actifs de la société sont protégés en permanence ;

- la qualité de l’information : elle ne peut être assurée que par l’entremise de contrôles réguliers qui font partie intégrante des systèmes d’information ;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- assurer l’application des instructions de la direction : il est relativement facile d’émettre une instruction ; cette facilité et la nécessité de la faire continuellement dans une entreprise à tous les niveaux de responsabilité posent un problème de contrôle ;

- favoriser l’amélioration des performances : les définitions du contrôle interne visent le respect d’une efficacité certaine et, à un moindre degré, une certaine efficience dans la gestion de l’entreprise.

2.2.2.3. Les éléments du dispositif de contrôle interne

Selon PIGE (2003 : 42), le système de contrôle interne doit être adapté à chaque

organisation. En fonction de la nature des activités, il doit assurer le respect d’un certain

nombre de principes qui sont la séparation des tâches, la supervision et la conservation des

actifs. De ce fait, GRAND & al (2006 : 72), mettent en évidence les qualités d’un bon

contrôle interne qui doit être lié à l’existence de procédures. On dénombre

traditionnellement six (06) principes:

- le principe d’harmonie : les procédures doivent correspondre à l’organisation et

adaptées à la structure;

- le principe de permanence et d’universalité : les procédures doivent être

permanentes, c’est- à- dire appliquées durant toute l’année et être universelles ;

- le principe de reconnaissance : les procédures doivent être connues et acceptées,

pour ce faire elles doivent être correctement diffusées à l’intérieur de

l’organisation ;

- le recoupement : les procédures doivent être étudiées de façon à assurer des

possibilités de recoupement et de contrôle réciproque. Il permet une mise en

évidence rapide des dysfonctionnements ;

- l’enregistrement et le classement méthodique des faits : l’organisation administrative doit permettre un enregistrement rapide des opérations et les documents justificatifs dûment conservés. Ce principe permet de mener aisément et rapidement les contrôles ;

- la séparation des fonctions : il est le principe fondamental de l’auditeur. Toute opération dans l’entreprise touche les quatre (04) fonctions suivantes :

o la fonction de réalisation des opérations (embauche, achat) ;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

o

la fonction de manipulation des actifs (encaissement, livraison de marchandises);

o

la fonction d’enregistrement (tenue des stocks, comptabilité);

o

la fonction de contrôle (rapprochement, inventaire).

Certains auteurs comme NGUYEN (1999 :199-200) pensent que ces principes sont utiles pour la mise en œuvre du contrôle interne.

Selon JIMENEZ & al (2008 :127), la finalité de la mise en œuvre de la maîtrise des risques opérationnels est de pouvoir faire face aux éléments identifiés et évalués afin de modifier

le profil de risques de la société ou d’amoindrir sa survenance. Même si le contrôle interne

joue un rôle clé dans la conduite et le pilotage des différentes activités d’une entreprise, il

ne peut couvrir toutes les initiatives prises par le management.

2.2

de

opérationnels

L’apport

l’audit

interne

dans

le

dispositif

de

maîtrise

des

risques

Dans le cadre de leur mission, les auditeurs internes doivent déterminer si :

- l’environnement de l’entreprise favorise la sensibilisation au risque et au contrôle ;

- des objectifs d’entreprise réalistes ont été fixés ;

- des procédures écrites existent, qui décrivent les activités prohibées et les mesures à

prendre en cas d’infraction avérée ;

- des procédures d’autorisation appropriées pour les transactions sont mises en

place ;

- des politiques, pratiques, procédures, rapports et autres mécanismes sont mis au

point pour piloter les activités et protéger les actifs, en particulier dans les domaines

à haut risque ;

- des canaux de communication donnent à la direction des informations fiables et pertinentes.

L’audit interne aura pour mission d’auditer les dispositifs de gestion des risques opérationnels dans la phase de pré-homologation, puis dans le cadre des plans annuels d’audit. Ces missions doivent permettre d’assurer, tant à l’organe exécutif qu’au régulateur :

- l’appréciation et la maîtrise des risques de l’établissement ;

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

- la bonne appréciation de la politique des risques définie ;

- la capacité de l’établissement à détecter, prévenir et gérer ses risques dans les limites qu’il s’est fixées et de manière conforme à la règlementation en vigueur.

Le contrôle interne est l’outil de maîtrise par l’entreprise de ses procédures et de son exploitation et est l’affaire des dirigeants. Cependant aucun système de contrôle interne n’est parfait, pour ce faire il s’avère une nécessité de procéder à son évaluation. L’audit interne a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne et de faire des recommandations pour l’améliorer.

2.3.1.

L’appréciation du dispositif de contrôle interne

Selon BILODEAU (revue de l’audit et contrôle internes, Avril 2001 :31-32), l’auditeur

interne doit faire preuve de conscience et de diligence professionnelle dans l’exercice de

ses fonctions ce qui lui permettra de contribuer à réduire les risques. Il évaluera selon le

cadre de référence choisi, la pertinence et l’efficacité du système de contrôle interne

compte tenu des risques spécifiques à chaque fonction ou métier de l’entreprise.

Pour BARRY (2009 :16), la définition du contrôle interne montre les objectifs préalables

que l’audit devrait chercher à atteindre. Pour ce faire, évaluer le contrôle interne de

l’entreprise vise à s’assurer que, à tous les niveaux de l’entreprise, les objectifs de contrôle

sont atteints par la mise en place de procédures appropriées définies dans le cadre d’un

manuel et effectivement appliquées par le personnel. En outre, BARRY (2009 :16-17)

ajoute que l’évaluation du contrôle interne permet la détection :

- des points forts du système de contrôle mis en place par l’entreprise ;

- des zones de faiblesse du contrôle interne qui sont susceptibles d’entrainer des

dysfonctionnements dans l’entreprise et avoir des impacts négatifs sur la fiabilité des informations.

« L’appréciation du système de contrôle interne passe par le découpage de l’entreprise en cycle d’activités et par l’évaluation des procédures mises en place pour atteindre les objectifs de contrôle pour chacun des cycles. » (BARRY, 2009 :17).

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

2.3.1.1. Le découpage en cycles d’activités

D’après BARRY (2009 :17-18), les cycles que l’on trouve traditionnellement dans l’entreprise sont les suivants :

- cycle des dépenses-achats : concernent toutes les fonctions relatives aux achats, depuis la budgétisation jusqu’au règlement des fournisseurs ;

- cycles dépenses- immobilisations : regroupe les fonctions relatives aux achats et à la conservation des biens d’équipement, de leur budgétisation à leur dépréciation ou

cession ;

- cycle stocks : qui regroupe les fonctions liées aux stocks et à la production, depuis la

réception jusqu’à l’inventaire;

- cycle des revenus : concerne les fonctions de ventes et créances, de la budgétisation à

l’encaissement des créances ;

- cycle du personnel : regroupe les fonctions relatives au personnel et à la paie, depuis

la budgétisation des dépenses de personnel à l’embauche jusqu’au règlement des

salaires et des charges sociales ;

-

etc.

Tableau 4 : Objectif de contrôle de l’enregistrement exhaustif des ventes

   

OUI

   

Référence

Questions

 

Réf

OU

NON

Commentaires

Programme

 

N/A

de travail

1- L’accès aux zones de stockage et

         

d’expédition est-il suffisamment

protéger pour éviter des :

-expéditions sans bon de livraison ? - retour sans bon de retour ?

2- Les bons d’expédition sont-ils :

         

établis

sur

des

formulaires

standards ?

 

prénumérotés ?

 

Source : CNCC (1992 :97)

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

A partir des orientations données dans son programme de travail, l’auditeur doit effectuer une analyse des systèmes de contrôle interne de l’entreprise afin d’en apprécier les points forts et les points faibles en vue de déterminer la nature et l’étendue des travaux.

2.3.1.2. L’évaluation du contrôle interne

Selon OBERT (2004 :69), la démarche utilisée par l’auditeur dans son appréciation du contrôle interne relatif aux principaux cycles d’opérations et d’éléments d’actifs ou de passifs qui en résultent comporte deux phases essentielles :

- l’appréciation de l’existant : elle consiste à comprendre les procédures de traitement

des données et les contrôles internes manuels et informatisés mis en place dans

l’entreprise. elle se déroule comme suit :

o

o

o

o

o

prise de connaissance détaillée du système ;

vérification par des tests que les procédures décrites et les contrôles indiqués

sont appliquées ;

évaluation des risques d’erreurs ;

identification des contrôles internes ;

évaluation des contrôles internes ;

- l’appréciation de la permanence du contrôle interne : elle consiste à vérifier le

fonctionnement des contrôles internes sur lesquels l’auditeur doit s’appuyer pour

effectuer sa mission. Elle se réalise ainsi :

o

o

vérification par des tests de l’application permanente des procédures (test de

permanence) ;

formulation définitive du jugement à partir de l’évaluation des conclusions des

précédentes phases.

L'évaluation des dispositifs de contrôle est effectuée par l'utilisation de trois techniques à savoir : les examens de l'évidence du contrôle à travers l'inspection des documents ou les tests d'existence, les tests de cheminement et l'observation de l'existence du contrôle de premier niveau.

CESAG - BIBLIOTHEQUE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

2.3.2.

L’évaluation de la cartographie des risques opérationnels
L’évaluation de la cartographie des risques opérationnels

L’évaluation de la cartographie des risques opérationnels

L’évaluation de la cartographie des risques opérationnels

Commentaire [k4]: Je trouve que ce point doit être un peu plus enrichi car cela concerne de prime abord ton thème

peu plus enrichi car cela concerne de prime abord ton thème Selon JIMENEZ & al (2008

Selon JIMENEZ & al (2008 :103), la cartographie des risques doit servir de repère dans la gestion des risques. Son utilisation et sa mise à jour deviennent un processus continu d’amélioration à travers le suivi des plans d’actions et une revue régulière des évolutions constatées. Dans la pratique, on constate une revue au moins annuelle des cartographies avec des mises à jour ponctuelles en cas de changement majeur dans l’organisation. On s’attèlera à examiner :

- la hiérarchie des événements courants par impacts ;

- la hiérarchie des événements courants par fréquence ;

- la hiérarchie des événements rares par impacts.

On gardera également attentivement les plus fortes variations de classement afin de repérer

les évaluations qui devront être expliquées et corriger de ce fait les erreurs éventuelles.

Puisque les établissements disposent de bases d’incidents, il est convient d’associer le

dispositif de ‘évaluation qu’est la cartographie avec les statistiques de la base d’incidents

qui vont permettre d’objectiver le risque net sur les événements à fréquence.

Ce chapitre nous a permis de mieux cerner le cadre théorique de la gestion des risques et

leur maîtrise à travers la mise en œuvre de dispositifs adéquats ainsi que leur évaluation.

En outre l’apport de l’audit interne a été mis en œuvre à travers les évaluations des

dispositifs de contrôle interne et de la cartographie des risques opérationnels. La fonction

d’audit nécessite une complète indépendance afin d’assurer avec objectivité ses missions,

elle ne doit donc pas avoir d’implication dans la définition et la mise en œuvre des

politiques et outils de maîtrise des risques opérationnels. Son rôle majeur sera de valider in

fine la pertinence et la qualité du système de maîtrise des risques et de proposer des mesures d’amélioration.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

CHAPITRE 3: METODOLOGIE DE L’ETUDE

Les précédents chapitres étudiés nous ont permis d’avoir une vue d’ensemble sur la maîtrise des risques opérationnels ainsi que le rôle de l’audit interne dans ce dispositif. Ce chapitre consistera à présenter la méthodologie que nous utiliserons et les outils de collecte de données nécessaires pour la réalisation de l’étude.

Il comprend deux (02) sections, la première concernera la présentation du modèle d’analyse et la deuxième les outils de collecte et d’analyse des données qui seront utilisés.

3.1.

Le modèle d’analyse

Notre modèle définira les différentes étapes de la recherche dont la connaissance de

l’entreprise et des dispositifs de maitrise des risques opérationnels. A travers ce modèle,

nous décrirons d’une part les différentes phases et étapes liées à la gestion des risques

opérationnels et d’autre part nous mettrons l’accent sur les différents outils utilisés.

La figure ci - après résume notre modèle d'analyse.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Figure 2 : Modèle d’analyse ETAPES PHASE Connaissance de la structure organisationnelle de la SONAPOST
Figure 2 : Modèle d’analyse
ETAPES
PHASE
Connaissance de la
structure
organisationnelle
de la SONAPOST
Organisation et
fonctionnement
Mécanismes internes de
gestion des risques
opérationnels
Dispositif de maîtrise des
Connaissance
risques opérationnels
fonctionnelle de
l’audit interne
Rôle de l’audit interne dans
le contrôle interne
Contribution de
l’audit interne dans
la maitrise des
risques
opérationnels
Evaluation du dispositif de
maîtrise des risques
opérationnels

Forces et faiblesses du

dispositif de maîtrise des

risques opérationnels

OUTILS - Analyse documentaire - Observation - Entretiens - Entretiens - Observations - Tableau
OUTILS
- Analyse
documentaire
- Observation
- Entretiens
-
Entretiens
-
Observations
-
Tableau
d’identification
des risques

- Grille de séparation

des tâches

- QCI

- Test de conformité

et de permanence

Source : nous-mêmes

Recommandations : bonnes pratiques
Recommandations : bonnes
pratiques

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

3.2. Les outils de collecte et d’analyse des données

En vue de collecter les données nécessaires pour la réalisation du travail, certains outils s’avèrent indispensables non seulement pour la collecte mais également pour leur analyse.

3.2.1. Le questionnaire de contrôle interne

Notre questionnaire (annexe 4, page 90) sera administré à un échantillon des agents de la SONAPOST qui interviennent dans le processus de gestion et de maîtrise des risques opérationnels. Il sera composé de questions fermées, en vue d’analyser les risques,

d’évaluer le dispositif de contrôle interne pour déceler les forces et les faiblesses de celui-

ci. Une réponse « oui » à une question constitue une force apparente du dispositif de

contrôle interne ; alors qu’une réponse « non » constitue une faiblesse réelle.

Il sera établi en deux phases :

- la première portera sur les risques opérationnels ainsi que les dispositifs de gestion

et de maîtrise de ces derniers ;

- la seconde concernera l’évaluation des dispositifs de maîtrise et de contrôle interne.

3.2.2.

L’analyse documentaire

L’analyse documentaire consiste à l’exploitation des documents internes de l’organisation

dans le but d’en tirer des informations utiles pour la prise de décision.

Une revue de la documentation de la SONAPOST sera faite et concernera les éléments

suivants :

- l’organigramme ;

- le manuel des procédures de gestion des risques opérationnels ;

- les rapports d’activité ;

- les dispositifs de maîtrise des risques opérationnels.

L’analyse de ces documents permettra d’avoir un aperçu sur le fonctionnement de la SONAPOST, des risques opérationnels qu’elle rencontre ainsi que des dispositifs mis en œuvres pour les gérer et assurer leur maîtrise.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

3.2.3. L’interview

L’interview consistera à effectuer des entretiens avec les personnes ressources (opérationnels et les auditeurs internes) pour recueillir leurs opinions et assurer ainsi la qualité des informations recueillies. Il permettra une meilleure description du processus de gestion des risques opérationnels et d’appréhender les dispositifs de contrôle interne mis en œuvre. L’entretien consistera à prendre rendez-vous avec les acteurs du processus à qui nous administrerons un questionnaire et il concernera les personnes suivantes :

- la direction des risques ;

- les auditeurs internes ;

- les opérationnels.

3.2.4.

L’observation physique

L’observation se fera de deux (02) manières, celle directe qui nous permettra de

comprendre et de valider les informations recueillies lors de l’interview sur le processus de

gestion des risques opérationnels et les dispositifs mis en œuvre ; et celle indirecte se

focalisera sur le dispositif de maîtrise des risques opérationnels afin d’avoir une idée sur la

contribution de l’audit interne dans le processus de maîtrise de ceux-ci.

3.2.5.

Le tableau d’identification des risques

Il permet de découper l’activité en différentes tâches élémentaires afin d’identifier les

risques opérationnels rattachés à chacune d’entre elles et de déterminer les forces des

dispositifs de maîtrise des risques.

3.2.6.

Le Tableau des Forces et faiblesses Apparentes (TFfA)

Le TFfA permettra d’identifier les risques opérationnels au niveau de chaque tâche et d’avoir une vue sur les dispositifs mis en place pour les réduire. Devant chaque tâche il ya l’objectif fixé, le risque encouru et les pratiques communément admises.

3.2.7. La grille de séparation des tâches

Elle relie l’organigramme fonctionnel à l’organigramme opérationnel, pour vérifier le respect du principe de séparation des tâches. La grille de séparation des tâches est une

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

technique qui permet de détecter d’éventuels dysfonctionnements grâce à l’exploitation, entre autres, de l’organigramme fonctionnel et hiérarchique. Ainsi, elle permettra de déceler les tâches incompatibles, les cumuls de fonctions ; plus spécifiquement l’analyse de la grille de séparation des tâches de la Sonapost permettra de voir le mode de répartition des tâches (Annexe 3, page 89).

3.2.8. Le test de conformité et de permanence

Ces tests seront utiles pour s’assurer d’une part que les dispositifs de contrôle interne ont

été appliqués, pour assurer la remontée à la source en passant par toutes les phases

intermédiaires, et d’autre part de s’assurer que les opérations sont toujours traitées

conformément à ce qui a été décrites lors des entretiens.

Ce chapitre portant sur la méthodologie de l’étude nous a permis de mieux définir le cadre

de conduite de notre étude, d’identifier les outils adéquats et de déterminer à quel moment

ils devront être utilisés. Nous disposons de ce fait d’un cadre méthodologique référentiel

pour aborder la partie pratique de notre étude. Cette partie nous permettra de mettre en

œuvre les différents outils et techniques étudiés dans la revue de littérature.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Conclusion de la première partie

Toute entreprise est confrontée à un ensemble de risques internes et externes qui doivent être évalués. Avant de procéder à cette évaluation, il est nécessaire de définir les objectifs compatibles et cohérents. Compte tenu de l’évolution permanente de l’environnement, du contexte règlementaire et des conditions d’exploitation, il est nécessaire de disposer de méthodes permettant d’identifier et de maîtriser les risques. De ce fait, les entreprises doivent mettre en place des méthodes pour recenser, analyser et gérer les risques auxquels elles sont confrontées.

Les normes préconisent que l’auditeur interne doit comprendre l’examen et l’évaluation du

caractère suffisant et de l’efficacité du système de contrôle interne de l’organisation ainsi

qu’une évaluation qualitative des performances réalisées. Selon CHAMBERS (Revue de

l’audit et du contrôle internes, Avril 2011 : 40), pour jouer pleinement son rôle dans le

processus de management des risques, l’audit interne doit être capable de comprendre

comment les risques affectent l’entreprise ? Quel rôle joue –t-il dans la gestion des

risques ? Et comment utiliser l’évaluation des risques ? Il devra continuer à progresser dans

cette direction car les entreprises deviennent de plus en plus sophistiquées dans le domaine

de la gestion des risques.

Une fois l’importance et la probabilité de survenance du risque évaluées, le management

doit étudier la manière dont il doit être géré. Aussi, avant d’instaurer des procédures

supplémentaires, le management doit déterminer si celles déjà existantes sont adéquates au

regard des risques identifiés.

« Il peut apparaître, de prime à bord, que la maîtrise d’une entreprise est l’un des objectifs

évidents d’un conseil d’administration et des dirigeants opérationnels. Pourtant, si l’on

accepte que le mot « contrôler » ait la même signification que « maîtriser », on conçoit quelques doutes sur la volonté d’un grand nombre de dirigeants d’entreprises d’exercer leurs responsabilités avec la rigueur et la conviction nécessaire. » (COLLINS, 1992 : 40)

CESAG - BIBLIOTHEQUE

DEUXIEME PARTIE :

CADRE PRATIQUE DE L’ETUDE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Introduction de la deuxième partie

La mise en œuvre des mesures de contrôle et de plans d'action résulte d'un compromis entre leur coût d'application et le niveau de risque obtenu. La détermination du profil des risques opérationnels correspond à l'identification, à chaque niveau de son organisation, des processus supportant des risques opérationnels, à la formulation de ces risques ainsi

qu'à leur notation (probabilité d'occurrence et perte). C’est une étape clé car elle va conduire à déterminer, avec plus ou moins de sensibilité, quelle est la nature des incidents qui seront collectés et par conséquent suivis ensuite. C'est elle qui permettra aussi de

définir une nomenclature des risques opérationnels valable pour la totalité de

l'organisation, cadre indispensable à une collecte efficace et homogène des incidents. La

cartographie des risques est par conséquent la formalisation du travail d'identification des

risques opérationnels. La maîtrise et l'atténuation du risque opérationnel forment

certainement le sous-processus le plus complexe de cet ensemble, car de lui va dépendre la

capacité de l’entreprise à se doter de moyens afin de prévenir les risques en identifiant les

leviers d'action corrects pour anticiper certains événements ou diminuer au maximum leur

impact en cas de survenance.

Le contexte économique actuel de globalisation et de concurrence accrue rend nécessaire

une adaptation permanente de l’entreprise à son environnement. Dans ce cadre, la prise de

risque, attribut incontournable du management, devient un enjeu majeur de survie et de

développement. C’est pourquoi, un nombre croissant d’organisations se dote désormais de

dispositifs et de processus destinés à maîtriser leurs risques afin d’assurer l’atteinte de

leurs objectifs et d’améliorer leur performance.

L’audit est à l’intérieur d’une entreprise une activité indépendante d’appréciation du

contrôle des opérations. Son objectif est d’assister les dirigeants de l’entreprise dans l’exercice de leur responsabilité. Dans ce but l’audit interne leur fournit des appréciations,

des recommandations, des avis et des informations concernant les activités examinées. Il permet que les différents éléments du contrôle interne mises en œuvre permettent la maîtrise des processus.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

CHAPITRE 4: PRESENTATION DE LA SONAPOST

La gestion d’une entreprise comme la Sonapost repose sur le principe d’une très large délégation de responsabilités. Ce principe implique nécessairement le renforcement des dispositifs de contrôle afin que la direction générale et les ministères de tutelle aient l’assurance de la correcte utilisation de cette délégation par les services opérationnels.

Par ailleurs, pour réussir les mutations imposées par l’évolution de son environnement et les marchés sur lesquels elle intervient avec la libéralisation et le développement de la

concurrence, elle se doit de renforcer son image vis-à-vis du public et de ses partenaires et

cela passe par la mise en place d’une organisation adaptée aux objectifs et des moyens

pour conserver en permanence la maîtrise parfaite de ses activités.

Au cœur de ce dispositif, il appartient à l’audit interne, directement rattaché à la direction

générale, d’apprécier l’aptitude des unités à conserver leurs opérations sous contrôle. Cela

implique d’évaluer la qualité, l’efficacité et la pertinence de leur organisation

(responsabilités, répartition des tâches, procédures, méthodes et outil de travail) ; puis de

susciter les améliorations qui feront progresser leur performance et contribuer ainsi au

développement de la société.

4.1.

Historique

La Société Nationale des Postes est issue d’une scission de l’office des postes et

télécommunication (OPT) en 1987. Elle est aujourd’hui une société d’Etat régie par la

réglementation générale des Sociétés à capitaux publics et avec un capital de deux

milliards cinq cent quatre vingt dix millions (2 590 000 000) de FCFA.

Ainsi, de 1919 à 1932, les services des postes, téléphones et télégraphes étaient exploités en régie sous la responsabilité du fermier Lazare Pathin. En raison du monopole postal, les postiers avaient le droit de fouiller les véhicules, les locomotives et les bateaux pour déceler les cas de violation du monopole. Les services postaux voltaïques relevaient de Dakar.

Avec la suppression de la Haute Volta et son rattachement au Mali, au Niger et à la Côte d’Ivoire, les services vont se morceler pour être rattachés à ces pays. La reconstruction du pays va permettre en 1947, la création des postes voltaïques, et le transfert de la direction à Ouagadougou. La poste de la Haute Volta devient membre de l’Office Fédéral des Postes

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

et Télécommunications (OFPT) avec pour siège Dakar, sous la direction de l’Office Fédéral de l’Afrique Occidentale Française (OFAOF).

Avec l’accession des pays africains à l’indépendance, l’office fédéral fut éclaté. La Haute Volta crée ses propres services de postes et télécommunications, rattachés à la fonction publique. Par l’ordonnance n° 68/023/PRES/INFO/PT du 10 Juin 1968, l’administration des postes, télégraphes, téléphones (PTT) devient un Etablissement Public à Caractère Industriel et Commercial (EPIC) doté d’une personnalité morale et d’une autonomie de gestion dénommée OPT, chargé du service public des postes et Télécommunications. En

1987, l’OPT est abrogée et s’opère alors une scission entre la poste et les

télécommunications. On aboutit ainsi à la création de :

- l’ONP (Office National des Postes),

- l’ONATEL (Office National des Télécommunications).

En 1994 l’ONP est transformé en société d’Etat par décret n°94-414/PRES/MCC du 21

Novembre 1994 sous la dénomination de la société Nationale des Postes (SONAPOST).

4.2.

Les missions et les objectifs de la Sonapost

La Sonapost est une société d’Etat dotée de la personnalité morale juridique et jouissant

d’une autonomie financière. Elle est placée sous la triple tutelle :du ministère des postes et

des technologies de l’information et de la communication qui exerce la tutelle technique et

veille à ce que l’activité s’inscrive dans un cadre global des objectifs fixés par l’Etat ;du

ministère des finances et du budget qui assure la tutelle financière et du ministère du

commerce, de la promotion de l’entreprise et de l’artisanat qui exerce la tutelle de gestion.

4.2.1. Le statut et l’objet social de la Sonapost

L’objet social se définit comme suit :

- la collecte, le transport et la distribution des envois de marchandises ;

- la collecte, le transport et la distribution des correspondances ;

- les activités financières et bancaires à travers la mobilisation et la promotion de l’épargne, le règlement des valeurs, effets et virements postaux et l’offre de prestations relatives aux moyens des paiements et des transferts de fonds.

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

CESAG - BIBLIOTHEQUE

Les principales prestations offertes à la clientèle sont l’affranchissement du courrier, la gestion des boîtes postales, les opérations d’épargne, de mandats et de transferts d’argent en partenariat avec Western Union et Money Express.

Les activités postales sont universelles, c’est l’Union Postale Universelle (UPU), organe des nations unies, qui en assure la coordination au plan mondial.

4.2.2. Les missions et les objectifs

La Sonapost a pour missions essentielles la mise en place et l’exploitation du service

public de la poste et des services financiers postaux à travers :

- la collecte, l’acheminement et la distribution des objets de correspondance, des

paquets, des colis, des journaux etc. ;

- la mobilisation et la promotion de l’épargne au profit de l’économie nationale à

travers la gestion de la caisse nationale d’épargne et du centre des chèques postaux,

le règlement des valeurs, effets et virements postaux échangés hors de son ressort ;

- l’offre de prestations relatives aux moyens de paiements scripturaux et de transferts

de fonds ;

- la préparation et l’exécution des plans d’équipement des postes.