Introduction Générale

Les différentes évolutions du monde économique ont mis en évidence une exigence
accrued'une comptabilité claire et précise reflétant fidèlement la réelle situation économique
de l'entreprise.

Les dirigeants de nos entreprises demandent des informations financières plus actualisées et
se dotent grâce au système d'information d'outils de plus en plus performants pour y arriver.

Cependant la fonction d'audit interne demeure incontournable.

Dans un environnement en perpétuelle turbulence où la gestion des risques constitue un défi

majeur du management et occupe une place plus importante dans les préoccupations des
directions d'entreprise, l'auditeur interne est désormais un acteur privilégié du processus de
management des risques.

En effet, la reconnaissance de l'audit interne en tant que fonction clef pour l'efficacité ou la
performance du dispositif de contrôle interne, lui confère la légitimité nécessaire pour jouer
un rôle prépondérant au sein de l'organisation.

Partant de ce constat, l'auditeur interne n'est plus perçu comme un contrôleur mais comme un
partenaire ayant un rôle défini et une action indépendante qui lui permet de maîtriser les
risques qui peuvent menacer le développement et la croissance de l'entreprise.

La valeur ajoutée de l'audit interne trouve alors son origine dans son contact direct et
permanent avec les dirigeants de l'entreprise mais aussi avec tous les organes de l'entreprise.

L'audit interne revêt ainsi un aspect stratégique d'alerte et d'anticipation des risques.

Par soucis d'assurer une croissance durable et pérenne, les entreprises doivent d'autant plus
maitriser les risques qu'elles encourent.

L'audit interne se définissant aujourd'hui comme une activité indépendante et objective, donne
ou s'efforce de garantir à l'entreprise la bonne maitrise de ses opérations et permet de
contribuer à l'amélioration des processus et à créer de la valeur ajoutée.

Compte tenu de la diversité et du nombre grandissant des risques dans l'entreprise, il est
difficile de définir des frontières qui limitent ce facteur inhérent à toute activité. Toutefois, il
est possible, grâce à l'audit interne, de se prononcer sur l'efficacité des mesures à maitriser ces
risques.

En effet, l'audit interne se propose bien comme un outil d'investigation permettant de traduire
et d'accompagner la volonté de transparence et d'assister les membres de l'entreprise dans
l'exercice efficace de leurs responsabilités. Dans ce but, l'audit interne veille sur l'évaluation et
la gestion des risques tout en fournissant des analyses et des recommandations afin de
stimuler les performances de l'entreprise.

L’objectif de cette étude est de démontrer comment se traduit une mission d’audit dans la
pratique et comment peut-elle être un outil de gestion des risques afin d’accroitre la
performance de l’entreprise. Cet objectif sera illustré par la problématique suivante :

En quoi l’audit interne constitue un facteur de performance pour l’entreprise à travers

la gestion des risques ?

Ce travail sera divisé en quatre (4) chapitres. Les trois (3) premiers porteront sur des aspects
théoriques de l’audit interne et du management des risques et le dernier sur un cas pratique
afin de montrer comment mener concrètement une mission d’audit et quel apport peut-elle
donner dans la gestion des risques au sein de l’entreprise.
 Chapitre I : Généralité sur l’audit interne

Introduction
L’objectif principal de toute entreprise est la rentabilité. Elle intéresse tous les partenaires de
l’entreprise (Banques, clients, fournisseurs, actionnaires, salariés, etc.). Pour atteindre cet
objectif, il est nécessaire d’avoir des informations de qualité et de maitriser les risques
auxquels l’entreprise est exposée, tel est le rôle d’un auditeur.

La complexité de la notion d’audit interne suggère que l’on s’arrête tout d’abord sur le sens
que l’on voudrait lui donner, par la suite sur comment elle s’est évoluée à travers l’histoire.

Section 1 : Notion d’audit interne

Il sera question dans cette section d’aborder quelques définitions proposées sur la notion
d’audit interne et sur l’évolution qu’il a subi. Par la suite de définir ses principaux objectifs,
son périmètre d’application et enfin de décrire les normes internationales qui le réglementent.

I. Définition de l’audit interne :

Audit vient du mot latin « audire » qui signifie « écouter ». Les Romains employaient ce
terme pour désigner un contrôle au nom de l'empereur sur la gestion des provinces.
L’audit interne a vu se succéder plusieurs définitions avant que la notion ne soit stabilisée.

- Selon l’IIA (the Institue of Internal Auditors) : « L’audit interne est maintenant une
fonction d’assistance au management. Issue du contrôle comptable et financier la
fonction audit interne recouvre de nos jours une conception beaucoup plus large et
plus riche répondant aux exigences croissantes de la gestion de plus en plus complexe
des entreprises : nouvelles, méthodes de direction (délégation, décentralisation,
motivation), informatisation, concurrence… »1.
- Selon l’IFACI (Institut français de l’audit et du contrôle interne) : « L’audit
interne est, dans l’entreprise, la fonction chargée de réviser périodiquement les
moyens dont disposent la direction et les gestionnaires de tous niveaux pour gérer et
contrôler l’entreprise. Cette fonction est assurée par un service dépendant de la
direction mais indépendant des autres services. Ses objectifs principaux sont, dans le
cadre de révisions périodiques, de vérifier que les procédures comportent les sécurités
suffisantes ; les informations sont sincères ; les opérations régulières ; les
organisations efficaces et les structures claires et bien adaptées ».2

1
Schick. P, « Mémento d’audit interne », Edition Dunod, Paris, 2007, p 05.
2
Ammar. S, « Le rôle de l’auditeur interne dans le processus de gouvernance de l’entreprise à travers
l’évaluation du contrôle interne», Institut des Hautes Etudes Commerciales de Sfax, Tunisie, 2007, p
03.
 Définition officielle :
C’est la traduction de la définition internationale adoptée par l’Institut International d’Audit

Interne (l'IIA : the Institute of Internal Auditors) le 29 juin 1999 et approuvée le 21 mars 2000
par le Conseil d'Administration de l'Institut de l’Audit Interne (IFACI) « L’audit interne est
une activité indépendante et objective qui donne à une organisation une assurance sur le degré
de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer
de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une
approche systématique et méthodique ses processus de management des risques, de contrôle,
et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité
»3.

Nous partageons également l’avis de l’auteur Jaques Renard, lorsqu’il regrette la qualification
de l’audit interne par « activité » et non pas par « fonction », car une activité est plus
élémentaire qu’une fonction et place de ce fait son responsable dans une position subalterne4.

En définitive, l’audit interne est une fonction ayant pour but de déceler les principales
faiblesses au niveau du management des risques, de contrôle ainsi que la gouvernance de
l’entreprise, déterminer les causes, évaluer les conséquences, formuler des recommandations
et convaincre les responsables d’agir, ce qui permet ainsi de réaliser les objectifs de
l’entreprise5.

II. Approche historique de l’audit interne :

L’activité que recouvre le terme d'audit et qui constitue l'objet de notre réflexion a des
origines très anciennes développées à travers les siècles. Il est donc nécessaire pour nous, de
présenter un bref aperçu historique de leurs prédécesseurs lointains ou plus proches.

3
Schick. P, op cité, p 05.
4
Jacques Renard, « Théorie et pratique de l’audit interne », 6e Edition d’Organisations, Paris, 2007, p
52.
5
CHEKROUN Meriem, thèse doctorat LMD, Le rôle de l’audit interne dans le pilotage et la performance
du système de contrôle interne : cas d’un échantillon d’entreprises algériennes, Tlemcen, 2013, p 22.
 Synthèse de l’évolution de l’audit à travers les âges
Prescripteur de
Période Auditeurs Objectifs de l’audit
l’audit
Punir les voleurs pour les détournements
2000 av. JC Rois, emprunteurs,
Clercs ou écrivains de fonds
à 1700 églises et états
Protéger le patrimoine
Etats, tribunaux
Réprimer les fraudes et punir
1700 à 1850 commerciaux et Comptables
lesfraudeurs ; protéger le patrimoine
actionnaires
Professionnels de
Eviter les fraudes et attester la fiabilité
1850 à 1900 Etats et actionnaires lacomptabilité ou
du bilan
juristes
Eviter les fraudes et les erreurs etattester
Professionnels del’audit
1900 à 1940 Etats et actionnaires de la fiabilité des états financiers
et de la comptabilité
historiques
Etats, banques et Professionnels de l’audit Attester la sincérité et la régularité des
1940 à 1970
actionnaires et de la comptabilité états financiers historiques

Professionnels d’audit et Attester la qualité du contrôle interne et

Etats, tiers et
1970 à 1990 de la comptabilité et du le respect des normes comptables et
actionnaires
conseil normes d’audit

Attester l’image fidèle des comptes et la

qualité du contrôle interne dans le
A partir de Etats, tiers et
Professionnels d’audit et respect des normes.
1990 actionnaires
du conseil Protection contre la fraude
internationale6

LIONNEL COLLINS, GERARD VALIN, « audit et contrôle interne », Dalloz, Paris, 1992, Page 17.
6
III. Objectifs de l’audit interne :

De nombreux auteurs proposent de classer les objectifs de l'audit interne en trois niveaux
selon qu'ils intéressent la régularité et /ou la conformité aux règles et aux procédures,
l'efficacité des choix effectués dans l'entreprise ou la pertinence de la politique générale de
l'entreprise.

1. La régularité :

A ce niveau, l'auditeur interne s'attache à vérifier que :

- Les instructions de la direction générale et les dispositions légales et réglementaires

sont appliquées correctement,
- Les opérations de l'entreprise sont régulières,
- Les procédures et les structures de l'entreprise fonctionnement de façon normale et
qu'elles produisent des informations fiables,
- Le système de contrôle interne remplit sa mission sans défaillance.

Cet audit de régularité peut aussi s'appeler "audit de conformité » : les juristes distinguent que
dans le premier cas on observe la régularité par rapport aux règles internes de l'entreprise et
dans le second cas la conformité avec les dispositions légales et réglementaires. Mais dans les
deux cas, la démarche est la même : comparer la réalité avec le référentiel proposé.

2. L'efficacité :

A ce niveau, l'auditeur interne ne se contente pas uniquement de vérifier la régularité,

conformité de l'entreprise aux référentiels internes et externes, mais il se prononce sur la
qualité de ses réalisations en termes d'efficience et d'efficacité.
L'auditeur cherche ici un écart entre les résultats et les objectifs, c'est à dire un écart entre le
but choisi et l'effet produit,7 mais aussi "le pourquoi" de cet écart et le "comment" réduire.

3. La pertinence :

La pertinence est une affaire de la direction générale puisqu'elle est tenue à vérifier la mesure
dans laquelle les choix faits aboutiront effectivement aux effets recherchés.8

L'auditeur interne s'intéresse donc, à ce niveau, à l'entreprise prise dans son ensemble afin de
se prononcer sur :

- La cohérence entre les structures, les moyens et les objectifs fixés par l'entreprise ;

7
RAYMOND VATIER, AUDIT DE LA GESTION SOCIALE EDITION D'ORGANISATION 1989 P.166
8
Idem
 - La qualité des orientations de la direction générale, la pertinence va être exprimée
comme l'écart entre le résultat que l'on veut obtenir et la capacité des moyens
retenus à y parvenir.
Il faut noter qu'à chaque niveau d'objectif correspond un type d'audit interne à savoir :

- L’audit comptable et financier ;

- L’audit opérationnel ;
- L’audit de management ou direction.

IV. Le contrôle interne comme finalité de l’audit interne

1. Définition et composantes du contrôle interne

a. Définitiondu contrôle interne :

Toute entreprise se doit d'atteindre ses objectifs opérationnels et ce dans le respect des lois et
règlements en vigueur.

Pour y parvenir, l'entreprise met en place un certain nombre de pratiques et d'outils qui
contribuent à couvrir les principaux risques pouvant affecter la réalisation de ses objectifs.
L'ensemble de ces outils et leur bonne utilisation, notamment par les managers, constituent ce
qu'on appelle le contrôle interne.

Décliné à tous les niveaux de l'entreprise, le contrôle interne est une démarche essentielle
pour l'entreprise, car il permet aux managers et à leurs équipes de mieux atteindre leurs
objectifs.
En maîtrisant les dépenses, en étant vigilant sur les risques de fraude interne et externe, en
protégeant les actifs, en s'assurant de la compétence des salariés, en veillant à ce que l'offre de
services donne réellement satisfaction aux clients.

La démarche se veut raisonnée et ne cherche pas à couvrir tous les risques, mais seulement
ceux qui sont considérés comme les plus importants.

Un dispositif de contrôle interne se traduit de manière opérationnelle par des contrôles visant
à éviter ce qui pourrait mal se passer dans la conduite des opérations.

Il compare les résultats aux objectifs et, le cas échéant, met en place des actions correctives ;
il auto évalue périodiquement son système de contrôle interne.
 b. Les composantes du contrôle interne :

Selon le COSO (Committee Of Sponsoring Organisations), l'atteinte de chacun des objectifs,

ci-dessous :

 La conformité aux lois et règlements,

 L’application des instructions et orientations fixées par la direction de l'entreprise,
 Le bon fonctionnement des processus internes de l'entreprise,
 La fiabilité des informations financières,
 La maîtrise des activités, l'efficacité des opérations,
 L'utilisation efficiente des ressources.

L'atteinte de chacun de ces objectifs est donc conditionnée par 5 facteurs appelés les
composantes du contrôle interne.
Celles-ci sont liées les unes aux autres comme le symbolise le schéma suivant :

Figure 1 – Pyramide du COSO9

a. Environnement de contrôle
L'environnement de contrôle est un élément très important de la culture d'une entreprise,
puisqu' il détermine le niveau de sensibilisation du personnel au besoin de contrôles.

9
Pyramide du COSO (Committee Of Sponsoring Organisation of the tradeway commission) source
http://www.procomptable.com/qualite/controle_interne.htm
 b. Evaluation des risques
Toute entreprise est confrontée à des risques externes et internes qui doivent être
indéniablement évalués.

c. Activités de contrôle
Les activités de contrôle sont menées à tous les niveaux hiérarchiques et fonctionnels de la
structure.

d. Pilotage
Le contrôle interne doit lui-même être contrôler à son tour.

Pour cela, il convient de mettre en place un système de suivi permanent ou de procéder à

des évaluations périodiques, ou encore de combiner les deux méthodes.

e. Information et communication
Le management doit transmettre un message clair à l'ensemble du personnel sur
l'importance des responsabilités en matière de contrôle.

Le personnel doit comprendre le rôle qu'il est amené à jouer dans le système de contrôle
interne, ainsi que la relation existante entre leurs propres activités et celles des autres
membres du personnel et doit être en mesure de faire remonter les informations
importantes.

Le rôle principal de l'audit interne sera d'évaluer le contrôle interne et sa capacité à couvrir
les risqué identifiés.

2. Les objectifs du contrôle interne :

Le contrôle interne s'inscrit dans une démarche de gestion des risques déployés au sein d'une
entité pour la maîtrise de ses activités. Il s'agit donc d'un moyen, et non d'un but.
Le contrôle interne doit permettre à l’entreprise de garantir :

a. Protection du patrimoine :

Le contrôle interne a pour objectif, entre autres, de protéger les actifs de lasociété contre toute
éventuelle perte, notamment la fraude et la mauvaise utilisation.

b. Le respect des lois, règlements et politiques de la direction (La conformité) :

Le contrôle interne doit assurer la conformité et la régularité de l’ensemble des opérations et

des activités de l’entreprise par rapport aux lois et règlementations envigueurs.
 c. La fiabilité et qualité des informations :

Les dispositifs du contrôle interne doivent assurer la fiabilité, la qualité et la sécurité des
informations à la fois financières et non financières utilisées pour la prisede décision ou
communiquées.

d. Efficacité et efficience des informations (Optimisation des ressources) :

Pour que le contrôle interne soit efficace, les éléments du contrôle dans une organisation
doivent convenir à atteindre les objectifs fixés, à la fois les objectifsgénéraux et spécifiques à
chacune des activités ou fonctions de l’entreprise.

3. La mise en œuvre du contrôle interne :

Pour chaque responsable la mise en place d’un contrôle interne se fait en trois périodes
successives :

 Appréciation des préalables

 Identification des contrôles internes spécifiques
 Validation de la cohérence.

a. Appréciation des préalables :

Elle se rapporte aux éléments suivants :

 Connaissance de la mission
Pour tout responsable, la mission doit être claire et précise sans aucunes ambiguïtés.

 Appréciation des facteurs de réussite

L’inventaire de tout ce qui est nécessaire à la réussite de la mission doit se faire en identifiant
ce qui est en place et ce qui manque. Il est bon de dresser cet inventaire à plusieurs pour être
sûr de ne rien omettre.

 Identification des règles à respecter

Chacun doit faire l’inventaire de ce qu’il doit savoir et identifier ce qu’il sait et ce qu’il ne sait
pas.

 Appréciation de l’environnement interne

Quelle que soit la méthode employée, il est indispensable que dans l’organisation le climat et
la culture soient tels que chacun approuve la démarche et soit prêt à la conduire et à la mener
à terme.
 b. Identification des dispositifs spécifiques de contrôle interne :

Ce sont tout ce que l’on nomme habituellement – mais improprement – les « contrôles ».
On classe généralement ces contrôles en trois groupes :

 Les contrôles internes spécifiques : Séparation des tâches, mots de passe, dispositifs
de sécurité ;
 Les contrôles internes détecteurs : Actes de vérification, les comptes rendus, les
rapprochements ;
 Les contrôles internes directifs :Procédures, formation, visa pour autorisation.
On peut également les classer en contrôles actifs (visas, actes de vérification,
rapprochements…) et passifs (séparation des tâches, mots de passe…).
Comment identifier ces dispositifs ? En suivant quatre étapes :

 Première étape : Découper l’activité ou le processus en tâches élémentaires

Ce découpage sera réalisé en premier lieu au niveau de l’entreprise, ensuite pour chaque
activité (domaine opérationnel), le premier conditionnant le second.

 Deuxième étape : Identifier le ou les risques attachés à chaque tâche et les évaluer
En d’autres termes se poser la question : que se passerait-il si cette tâche était mal faite ou
n’était pas faite du tout ?

Pour chacune de ces identifications, on procédera à une évaluation du risque pour savoir s’il
est : Important (I), Moyen (M) ou Faible (F).
Cette évaluation ne peut être scientifique et exacte, elle reste aléatoire et approximative.

 Troisième étape : Identifier les dispositifs

On va déterminer pour chacun de ces risques, le dispositif spécifique de contrôle interne
adéquat ; c’est-à-dire que l’on va chercher la réponse à la question :

« Que faut-il faire – ou mettre en place – pour que le risque ainsi identifié ne se manifeste pas
?»

 Quatrième étape : Qualification

Ces dispositifs spécifiques étant identifiés, il reste à les qualifier, c’est-à-dire à les rattacher à
leur famille d’origine, au dispositif permanent de contrôle interne dont ils font partie :
objectifs, moyens, système d’information, organisation, méthodes et procédures, supervision.

c. Validation de la cohérence :

Chaque dispositif spécifique sera alors regroupé dans sa famille d’appartenance : tous ceux se
rapportant aux objectifs, ceux se rapportant aux moyens, etc.
On validera alors les dispositifs ainsi identifiés pour s’assurer qu’ils sont cohérents entre eux :

 Ceux qui sont de la nature « objectifs » s’inscrivent-ils bien dans le cadre de la mission
à réaliser ?
 Ceux qui sont de la famille des « moyens » concourent-ils à la réalisation des objectifs
?
 Ceux qui sont de la famille « SI et pilotage » permettent-ils de mesurer l’avancement
des objectifs et rien d’autre ?
 Section 2 : La conduite d’une mission d’audit interne

Une mission d'audit interne peut être cernée au niveau de 3 phases10 :

- Phase de préparation
- Phase de réalisation
- Phase de conclusion

I. Phase de préparation
Toute mission d'audit s'ouvre par un ordre de mission, cet ordre formalise le mandat donné
par la direction générale à l'audit interne.

L'intervention d'audit commence par la phase de préparation. Cette phase est centrée sur la
détection des faiblesses dont l'examen sera l'objet de la phase de réalisation11:

1. Prise de connaissance du domaine audite

L'auditeur doit apprendre son sujet, connaître de près le domaine à auditer, le découper en
simple activité auditable afin que le travail soit facile, simple et précis. Cette phase est aussi
appelée plan d'approche. Le travail se résume en 3 thèmes :

 L'organisation à auditer ;
 Les objectifs et l'environnement ;
 Les techniques de travail.

2. Identification des risques

Il s'agit essentiellement de savoir où se situent les risques et non de les analyser dans le détail
de leurs causes et conséquences. C'est à ce niveau qu'on procède au découpage du sujet audité
en unités de base élémentaires qui correspondent à des opérations concrètes et précises.

3. Définition de la mission

C'est à dire à l'analyse des risques déjà détectés qu'on va définir les objectifs de la mission.

 Objectifs généraux: Il s'agit de s'assurer des éléments suivants dans le domaine audité
: Sécurité des actifs, Fiabilité des informations, Respect des règles et directives,
Optimisation des ressources.

10
RENARD J., Op. cit.
11
Idem
  Objectifs spécifiques : Il s'agit de préciser de façon concrète les différents points de
contrôle qui vont être testés par l'auditeur qui tous contribuent à la réalisation des
objectifs généraux et qui tous se rapportent aux zones à risques ultérieurement
identifiés.

II. Phase de réalisation

1. Réunion d'ouverture

Pendant la phase précédente, l'auditeur fixe les objectifs de la mission, c'est ce qui constitue le
rapport d'orientation. La phase de réalisation débute par une réunion d'ouverture dans laquelle
l'auditeur et l'audité examinent le rapport d'orientation. Ainsi les auditeurs annoncent au
préalable et sans ambiguïté ce qu'ils ont l'intention de faire. Au cours de cette lecture
commune, les auditeurs vont solliciter les avis des audités ; ces derniers ne manquent pas de
faire des observations mais la décision finale de prendre ou non en compte les avis des audités
reviennent aux auditeurs.

2. Le programme d'audit

On l'appelle aussi « programme de vérification » ou encore « planning des réalisations », il

s'agit du document interne au service dans lequel on va procéder à la détermination et à la
répartition des tâches. C'est un programme où sont définis ; le planning de travail, les points
de départ des questionnaires du contrôle interne, le suivi du travail et la documentation.

3. Le travail sur le terrain

La démarche que l'auditeur doit suivre à ce niveau doit être définie avec précision :

a. La démarche logique:

L'auditeur procède à un découpage séquentiel ou logique des opérations, nécessaire à

l'identification des risques. A partir de cette identification des risques, l'auditeur défini ses
objectifs "rapport d'orientation" et établi un programme de travail.
Pour chacun des points du contrôle interne, il se pose si juger nécessaires les questions : qui,
quoi, où, quand et comment ?

Chaque dysfonctionnement, chaque anomalie donne lieu à l'établissement d'une feuille de

révélation des problèmes apparents (FRAP) et donc à une analyse causale qui va permettre :

* D'identifier le ou les dispositifs de contrôle interne qui présentent des faiblesses sur
ce point particulier,

* De recommander les notifications à apporter et pour y porter remède

 * L'addition de tous ces constats met en valeur la qualité du contrôle interne de l'unité
ou du système ou de processus audité.

b. Les tests :

Le premier des tests que l'auditeur va réaliser c'est l'observation immédiate. Il s'agit des
observations physiques de toute nature. Cette observation permet à l'auditeur de compléter le
questionnaire du contrôle interne déjà établi et la gamme des tests individuels que l'on
s'apprête à réaliser.

Le second type des tests est celui des tests individuels. Ces tests sont réalisés en fonction des
zones à risque antérieurement définis et du questionnaire du contrôle interne. On choisit un
processus ou un ensemble d'opérations pour voir la façon dont les choses se passent et
comment elles sont maîtrisées.

III. Phase de conclusion

1. Projet de rapport d'audit

Il est constitué par l'ensemble des (FRAP) que l'on a pris le soin de classer d'une façon
logique et par ordre d'importance. Il présente la totalité des constats, assortis des causes,
conséquences et recommandations. En effet par les FRAP, l'auditeur s'est accordé à chaque
instant sur l'interprétation des faits observés et les recommandations. Maintenant il faut
prendre du recul décider ce qu'il va écrire et l'organiser.
Cette synthèse est effectuée en ne reprenant que le problème de chaque (FRAP) en les
réordonnant sans modifier l'énoncé puis en rajoutant des titres de regroupement. Le document
auquel on aboutit,c’est les projets de rapport d'audit.

2. Le rapport d'audit

C'est un rapport qui est adressé aux principaux responsables concernés et à la direction, les
conclusions de l'audit concernant la capacité de l'organisation audité à accomplir sa mission
en mettant l'accent sur le dysfonctionnement afin de développer les actions de progrès.

C'est le document le plus important émis par l'audit, et qui engage le responsable de l'audit.
C'est un rapport complet, conclusif, écrit, final.

Il constitue le point culminant de la mission et sert à déclencher les réflexions de la direction

générale et les actions du progrès des responsables.

Ce rapport respecte un certain nombre de principes :

 - Il doit être présenté aux responsables audités à l'état de projet, puis discutés avec eux
et si possible accepté avant diffusion définitive ;
- Il doit être structuré et formulé pour ses lecteurs, et donc comporter une partie
détaillée et une synthèse ;
- Il doit être objectif, clair, concis, utile et le plus convaincant possible ;
- Il doit être revu par un comité de lecture interne au service audit ;
- La diffusion du rapport doit être effectuée le plus rapidement possible.

3. Réunion de clôture.

Les personnes qui ont participé à la réunion d'ouverture, participent également à la réunion de
clôture, lesquelles après s'être entendues sur ce que les auditeurs avaient l'intention de faire
(réunion d'ouverture), va s'entendre ce qu'ils ont fait. On va donc retrouver l'audité, ces
collaborateurs, sa hiérarchie autour de l'équipe de la mission d'audit. A l'ordre du jour;
l'examen du projet du rapport d'audit qui est distribué à chaque participant quelques jours
avant la réunion, si possible pour ne permettre la lecture, cet examen se fait à partir d'une
présentation réalisée par les auditeurs, elle permet de régler les contestations éventuelles et de
valider le travail des auditeurs.
 Section 3 : Les champsd’application et les normes de
l’audit interne

I. Champs d’application de l’audit interne :

Le champ d'action de l'Audit Interne s'est fortement élargi depuis son adoption en France dans
les années 1960 : Issu du contrôle comptable et financier, il recouvre de nos jours une
conception beaucoup plus large et plus riche, répondant aux exigences croissantes de la
gestion de plus en plus complexe des organisations. L'Audit Interne apporte sa contribution à
l'ensemble d'activités de l'organisation car dans chaque domaine (financier, administratif,
informatique, sécurité, industriel, commercial ou social), diriger, c'est toujours planifier les
tâches, organiser les responsabilités, conduire les opérations et en contrôler la marche.
L'auditeur interne a ainsi une fonction d'assistance au management et il combine les rôles
d'auditeur et de consultant.
Le champ d'application d'une mission d'audit peut varier de façon significative en fonction de
deux éléments : l'objet et la fonction.12

1. L'objet

Celui va permettre de distinguer les missions spécifiques des missions générales. Les
premières portent sur un point précis en un lieu déterminé ; par contre les secondes dites
générales ne connaissent aucune limite géographique (frontière).

2. La fonction

Autre critère qui peut bien évidement se marier avec le précédent, on parle alors des missions
uni-fonctionnelles ou des missions plurifonctionnelles.

 La mission uni-fonctionnelle : cette dernière ne concerne qu'une seule fonction,

qu'elle soit spécifique ou générale.
 La mission plurifonctionnelle : celle où l'auditeur est concerné par plusieurs
fonctions au cours d'une même mission.

Du domaine couvert par la mission de l'audit interne. La mission de l'audit interne couvre tous
les domaines de gestions. L'audit interne doit avoir accès sans limitation, aux documents et
données relatifs à la gestion.

Dans le cadre des missions d'assurance l'auditeur interne procède à une évaluation objective
en vue de formuler en toute indépendance une opinion ou des conclusions sur un processus,
système ou tout autre sujet. 13

12
RENARD, JACQUES, THEORIE ET PRATIQUE DE L'AUDIT INTERNE, Ed. D’ORGANISATION Paris 2003-
2004 P. 199
II. Les normes de l’audit interne

Les normes font parties de la structure des pratiques professionnelles. Cette structure a été
proposée par le comité d’orientation (Guidance Task Force) et approuvé par le conseil
d’administration (Board of Directors) de l’IIA en juin 1999. On distingue les normes de
qualification et les normes de fonctionnement.

a. Les normes de qualification :

Elles annoncent les caractéristiques que doivent présenter les organisations et les
personnes accomplissant les activités d’audit interne.

 1000 - Mission, pouvoirs et responsabilités :

La mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement
définis dans une charte d’audit interne.

 1010 – Reconnaissance des dispositions obligatoires dans la charte d’audit

interne :
Le caractère obligatoire des Principes fondamentaux pour la pratique professionnelle de
l’audit interne, du Code de déontologie, des Normes et de la Définition de l’audit interne
doit être reconnu dans la charte d’audit interne.

 1100 – Indépendance et objectivité :

L’audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs
travaux avec objectivité.

 1110 – Indépendance dans l’organisation :

Le responsable de l’audit interne doit être rattaché à un niveau de l’organisation qui
permette à la fonction d’audit interne d’exercer ses responsabilités. Le responsable de
l’audit interne doit, au moins chaque année, confirmer au Conseil, l’indépendance de
l’audit interne dans l’organisation.

 1111 – Relation directe avec le Conseil :

Le responsable de l’audit interne doit communiquer et dialoguer directement avec le
Conseil.

 1112 – Rôles du responsable de l’audit interne en dehors de l’audit interne :

Lorsque le responsable de l’audit interne se voit confier, des rôles et/ou des
responsabilités qui ne relèvent pas de l’audit interne, des précautions doivent être prises
pour limiter les atteintes à l’indépendance ou à l’objectivité.

 1120 – Objectivité individuelle :

13
RENARD, JACQUES, Op. cit.
Les auditeurs internes doivent avoir une attitude impartiale et non biaisée, et éviter tout
conflit d’intérêts.

 1130 – Atteinte à l’indépendance ou à l’objectivité :

Si l’indépendance ou l’objectivité des auditeurs internes sont compromises dans les faits
ou en apparence, les parties concernées doivent en être informées de manière précise. La
forme de cette communication dépendra de la nature de l’atteinte à l’indépendance.

 1200 – Compétence et conscience professionnelle :

Les missions doivent être conduites avec compétence et conscience professionnelle.

 1210 – Compétence :
Les auditeurs internes doivent posséder les connaissances, les savoir-faire et les autres
compétences nécessaires à l’exercice de leurs responsabilités individuelles. L’équipe
d’audit interne doit collectivement posséder ou acquérir les connaissances, les savoir-faire
et les autres compétences nécessaires à l’exercice de ses responsabilités.

 1220 – Conscience professionnelle :

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l’on
peut attendre d’un auditeur interne raisonnablement averti et compétent. La conscience
professionnelle n’implique pas l’infaillibilité.

 1230 – Formation professionnelle continue :

Les auditeurs internes doivent améliorer leurs connaissances, leurs savoir-faire et autres
compétences par une formation professionnelle continue.

 1300 – Programme d’assurance et d’amélioration qualité :

Le responsable de l’audit interne doit concevoir et tenir à jour un programme d’assurance
et d’amélioration qualité portant sur tous les aspects de l’audit interne.

 1310 – Exigences du programme d’assurance et d’amélioration qualité :

Le programme d’assurance et d’amélioration qualité doit comporter des évaluations tant
internes qu’externes.

 1311 – Évaluations internes :

Les évaluations internes doivent comporter :
• une surveillance continue de la performance de l’audit interne ;
• des évaluations périodiques, effectuées par auto-évaluation ou par d’autres personnes
de l’organisation possédant une connaissance suffisante des pratiquesd’audit interne.
 1312 – Évaluations externes :
Des évaluations externes doivent être réalisées au moins tous les cinq ans par un
évaluateur ou une équipe qualifiée, indépendants et extérieurs à l’organisation. Le
responsable de l’audit interne doit s’entretenir avec le Conseil au sujet :
 • des modalités et de la fréquence de l’évaluation externe ;
• des qualifications de l’évaluateur ou de l’équipe d’évaluation externes ainsi que de
leur indépendance y compris au regard de tout conflit d’intérêts potentiel.

 1320 – Communication relative au programme d’assurance et d’amélioration

qualité :
Le responsable de l’audit interne doit communiquer les résultats du programme
d’assurance et d’amélioration qualité à la direction générale ainsi qu’au Conseil. Cette
communication devrait inclure :

• le périmètre et la fréquence des évaluations internes et externes ;

• les qualifications et l’indépendance du ou de(s) évaluateur(s) ou de l’équipe
d’évaluateurs y compris les conflits d’intérêts potentiels ;
• les conclusions des évaluateurs ;
• les plans d’actions correctives.
 1321 – Utilisation de la mention « conforme aux Normes internationales pour la
pratique professionnelle de l’audit interne »
Indiquer que l’audit interne est conforme aux Normes internationales pour la pratique
professionnelle de l’audit interne est approprié seulement si, les résultats du programme
d’assurance et d’amélioration qualité le confirment.

 1322 – Indication de non-conformité :

Quand la non-conformité de l’audit interne avec le Code de déontologie ou les Normes à
une incidence sur le périmètre ou sur le fonctionnement de l’audit interne, le responsable
de l’audit interne doit informer la direction générale et le Conseil de cette non-conformité
et de ses conséquences.

b. Les normes de fonctionnement :

Elles décrivent la nature des activités d’audit interne et définissent des critères de qualité
permettant d’évaluer les services fournis.

 2000 – Gestion de l’audit interne :

Le responsable de l’audit interne doit gérer efficacement cette activité de façon à garantir
qu’elle apporte une valeur ajoutée à l’organisation.

 2010 – Planification :

Le responsable de l’audit interne doit établir un plan d’audit fondé sur une approche par
les risques afin de définir des priorités cohérentes avec les objectifs de l’organisation.

 2020 – Communication et approbation :

Le responsable de l’audit interne doit communiquer à la direction générale et au Conseil

son plan d’audit et ses besoins en ressources, pour examen et approbation, ainsi que tout
changement important susceptible d’intervenir en cours d’exercice. Le responsable de
l’audit interne doit également signaler l’impact de toute limitation de ses ressources.

 2030 – Gestion des ressources :

Le responsable de l’audit interne doit veiller à ce que les ressources affectées à l’audit
interne soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le
plan d’audit approuvé.

 2040 – Règles et procédures :

Le responsable de l’audit interne doit établir les règles et procédures pour guider l’audit
interne.

 2050 – Coordination et utilisation d’autres travaux :

Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de
l’audit interne devrait partager des informations, coordonner les activités, et envisager
d’utiliser les travaux des autres prestataires internes et externes d’assurance et de conseil.

 2060 – Communication à la direction générale et au Conseil :

Le responsable de l’audit interne doit rendre compte périodiquement à la direction
générale et au Conseil des missions, des pouvoirs et des responsabilités de l’audit interne,
du niveau de réalisation du plan d’audit ainsi que de la conformité avec le Code de
déontologie et les Normes. Il doit notamment rendre compte :

• Des risques significatifs, y compris les risques de fraude, et des contrôles

correspondants ;
• Des sujets relatifs à la gouvernance et ;
• De tout autre problème nécessitant l’attention de la direction générale et/ou du
Conseil.

 2070 – Responsabilité de l’organisation en cas de recours à un prestataire externe

pour ses activités d’audit interne :
Lorsque l’audit interne est réalisé par un prestataire de service externe, ce dernier doit
avertir l’organisation qu’elle reste responsable du maintien de l’efficacité de cette activité.

 2100 – Nature du travail :

L’audit interne doit évaluer les processus de gouvernance de l’organisation, de
management des risques et de contrôle, et contribuer à leur amélioration sur la base d’une
approche systématique, méthodique et fondée sur une approche par les risques. La
crédibilité et la valeur de l’audit interne sont renforcées lorsque les auditeurs internes sont
proactifs, que leurs évaluations offrent de nouveaux points de vue et prennent en
considération les impacts futurs.

 2120 – Management des risques :

L’audit interne doit évaluer l’efficacité des processus de management des risques et
contribuer à leur amélioration.

 2130 – Contrôle :
L’audit interne doit aider l’organisation à maintenir un dispositif de contrôle approprié en
évaluant son efficacité ainsi que son efficience et en encourageant son amélioration
continue.

 2200 – Planification de la mission :

Les auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce
plan de mission précise les objectifs, le périmètre d’intervention, le calendrier de la
mission, ainsi que les ressources allouées. Ce plan doit prendre en considération la
stratégie, les objectifs et les risques de l’organisation pertinents au regard de la mission.

 2201 – Considérations relatives à la planification :

Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :

• La stratégie, les objectifs de l’activité auditée et la manière dont elle pilote sa

performance ;
• Les risques significatifs liés aux objectifs de l’activité, à ses ressources et à ses
opérations, ainsi que les moyens par lesquels l’impact potentiel des risques est
maintenu à un niveau acceptable ;
• La pertinence et l’efficacité des processus de gouvernance, de management des
risques et de contrôle de l’activité, en référence à un cadre ou un modèle
approprié ;
• Les opportunités d’améliorer de manière significative les processus de
gouvernance, de management des risques et de contrôle de l’activité.
 2210 – Objectifs de la mission :
Les objectifs doivent être précisés pour chaque mission.

 2240 – Programme de travail de la mission :

Les auditeurs internes doivent élaborer et documenter un programme de travail permettant
d’atteindre les objectifs de la mission.

 2300 – Réalisation de la mission :

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations
nécessaires pour atteindre les objectifs de la mission.

 2310 – Identification des informations :

Les auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et
utiles pour atteindre les objectifs de la mission.

 2340 – Supervision de la mission :

Les missions doivent faire l’objet d’une supervision appropriée afin de garantir que les
objectifs sont atteints, la qualité assurée et le développement professionnel des auditeurs
effectué.

 2420 – Qualité de la communication :

La communication doit être exacte, objective, claire, concise, constructive, complète et
émise en temps utile.

 2421 – Erreurs et omissions :

Si une communication finale contient une erreur ou une omission significative, le
responsable de l’audit interne doit faire parvenir les informations corrigées à tous les
destinataires de la version initiale.

 2440 – Diffusion des résultats :

Le responsable de l’audit interne doit diffuser les résultats aux destinataires appropriés.

 2450 – Les opinions globales :

Lorsqu’une opinion globale est émise, elle doit prendre en compte la stratégie, les
objectifs et les risques de l’organisation ainsi que les attentes de la direction générale, du
Conseil et des autres parties prenantes. L’opinion globale doit également s’appuyer sur
une information suffisante, fiable, pertinente et utile.

 2500 – Surveillance des actions de progrès :

Le responsable de l’audit interne doit mettre en place et tenir à jour un système permettant
de surveiller les suites données aux résultats communiqués au management.

 2600 – Communication relative à l’acceptation des risques :

Lorsque le responsable de l’audit interne conclut que le management a accepté un niveau
de risque qui pourrait s’avérer inacceptable pour l’organisation, il doit examiner la
question avec la direction générale. Si le responsable de l’audit interne estime que le
problème n’a pas été résolu, il doit soumettre la question au Conseil.

c. Les normes de mise en œuvre :

Les normes de mise en œuvre complètent les normes de qualification et les normes
defonctionnement en indiquant les exigences applicables aux missions d’assurance (A) ou
deconseil (C).

Contrairement aux deux premières, elles ne s’appliquent pas à toutes les missions, mais
déclinent les précédentes pour des missions spécifiques (audit de conformité, fraude…)
Conclusion

Après ce bref parcours de la notion d’audit interne, nous pouvons constater qu’elle a existé
depuis très longtemps (2000 av J.C) et s’est développée à travers l’histoire avec des objectifs
divers. Nous avons également mis en lumière les nuances qui pouvaient exister entre la notion
d’audit interne et celles plus voisines comme le contrôle interne que nous avons développé
par la suite. Puis il a été question pour nous de définir avec précision les objectifs liés à l’audit
interne ainsi que son champ d’application pour terminer par cerner avec précision les
différentes phases d’une mission d’audit interne.
 Chapitre II : Approche conceptuelle du management des
risques

Introduction
Ce chapitre fera l’objet d’un bref aperçu historique de la notion de risque au sein de
l’entreprise. Ensuite, il sera question de montrer les différentes étapes par lesquelles il faut
passer dans le cadre de la gestion des risques, et enfin définir les différents moyens et
techniques pour identifier et maitriser les risques dans l’entreprise.

Section 1 : Fondement du management des risques

I. Historique de la notion du risque

Le risque est inhérent à l'entreprise et constitue même son essence. Créer une entreprise
revient déjà à prendre un risque, la survie et la pérennité de l'entreprise n'est jamais assuré
quel que soit sa taille. Historiquement, L'homme a de tout temps été confronté aux dangers
catastrophes naturelles (tremblement de terre, inondation, éruption volcanique, avalanche,
cyclone, etc.), de maladies, de guerres ou de tout autre manifestation, l'homme fut amené à
réagir face au danger du risque naturel. Au XVII siècle les philosophes et les moralistes
englobaient le risque dans la notion de prudence. La notion de risque a été introduite dès que
les probabilités ont été développées au XVIII siècle. Le progrès scientifique et le
développement technologique ont a accru les risques liés au développent industriel et humain
cette ère a vu la naissance de la notion de gestion des risques. Les organisations ont développé
des méthodes et des moyens pour faire face à l'irréparable. L'inexistence du risque zéro a
accompagné une demande sans cesse de protection et d'assurance. Parallèlement, les
habitudes des consommateurs et des partenaires de l'entreprise ont changé, les années 1990
marquent le début d'un rapprochement des aspects qualité, sécurité, santé et protection de
l'environnement. Enfin l'avènement de l'ère de la mondialisation associé à l'émergence d'une
société d'information entraine l'entreprise dans un environnement instable et mouvant source
de risques nouveaux.
II. Définition et objectifs du management risques

1. Définition

Le management des risques traite des risques et des opportunités ayant une incidence sur la
création ou la préservation de la valeur. Il se définit comme suit14 :

Le management des risques est un processus mis en œuvre par le Conseil d’administration, la
direction générale, le management et l'ensemble des collaborateurs de l’organisation.

Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de
l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter
l’organisationet pour gérer les risques dans les limites de son appétence pour lerisque. Il vise à
fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation.

Cette définition reflète certains concepts fondamentaux. Le dispositif de management des

risques :

 Est un processus permanent qui irrigue toute l’organisation,

 Est mis en œuvre par l’ensemble des collaborateurs, à tous lesniveaux de
l’organisation,
 Est pris en compte dans l’élaboration de la stratégie,
 Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet
d’obtenir une vision globale de son exposition aux risques,
 Est destiné à identifier les événements potentiels susceptiblesd’affecter l’organisation,
et à gérer les risques dans le cadre de l’appétence pour le risque,
 Donne à la direction et au Conseil d’administration une assuranceraisonnable (quant à
la réalisation des objectifs de l’organisation),
 Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories
indépendantes mais susceptibles de se recouper.

2. Objectifs de la gestion des risques

La gestion des risques constitue un ensemble de concepts, de démarches et d'outils destinésà

identifier et à contrôler les risques qui pèsent sur la vie de l'entreprise afin de les réduireet de
rechercher la meilleure couverture possible. La gestion des risques s'inscrit dans lapolitique
générale de l'entreprise notamment la politique qualité, sécurité et environnementqui est
devenu un aspect stratégique pout toute organisation15.

14
Synthèse IFACI / COSO II Report /© Editions d’Organisation, 2005 ISBN : 2-7081-3432-90/ pages 5-6
15
https://www.memoireonline.com/12/07/795/analyse-et-gestion-des-risques.html
 a. Sécurité

La sécurité est définie comme l'ensemble des mesures de prévention et de réaction mises en
œuvre pour faire face à une situation d'exposition au risque.

Les objectifs liés à la sécurité ont évolué avec le temps, dans les années 1970 les questions de
sécurité ne traitaient pas les questions de l’environnement. A la fin des années 1980 la notion
de développement durable voit le jour prenant en compte des considérations nouvelles telles
que le traitement des déchets et le recyclage.

De ce fait, la gestion des risques doit répondre avant tout à des exigences de sécurité, celle-ci
est relative à la sécurité des biens et des personnes, à la protection de l'environnement et à
l'amélioration des conditions de travail (hygiène et santé).

b. Qualité

La qualité se définit comme l'ensemble des propriétés et des caractéristiques d'un produit qui
lui confèrent l'aptitude à satisfaire un besoin. La qualité pour l'entreprise est un objectif
stratégique moderne. Elle est devenue si importante à tel point qu'elle est aujourd'hui un
préalable à l'échange économique marchand. La qualité au début n'englobait que quelques
critères restreints tels que la relation client/fournisseur (Prix d'achat, caractéristiques et
performance de produit, respect du cahier des charges etc.). Aujourd'hui elle nécessite la
considération de l'ensemble des acteurs de l'entreprise (enjeux organisationnels) et son
environnement (partenaires économiques et financiers, concurrents, institutions et groupes de
pression). La maîtrise des risques de l'entreprise, passe par la prise en compte de cet aspect.

III. Typologie des risques :

Les risques peuvent être classés par origine, par niveau et par nature.

1. Classification par origine

On distingue 2 catégories de risques par origine : les risques internes et externes.

a. Les risques internes

 Risques stratégiques :
Les risques stratégiques réclament une attention particulière. Les altérations d'une valeur
d'entreprise, exprimées par le cours de l'action, peuvent être attribuées à plus de 50% aux
risques stratégiques, selon le cabinet de conseil Oxford Metrica.
En principe, on parle de risques stratégiques hors risques financiers ou opérationnels. Ils
comprennent non seulement des erreurs de gestion classiques en rapport avec la palette de
produits et le positionnement de l'entreprise, mais aussi les coopérations et fusions et
acquisitions ainsi que la technologie.

 Risques opérationnels :
Les risques opérationnels se réfèrent aux dangers inhérents au fonctionnement de l'entreprise.
Ils surgissent suite à un développement de l'entreprise défectueux, à des failles dans le
système, des défaillances humaines ou à la suite d'influences externes. Contrairement aux
risques financiers, les risques opérationnels sont difficilement mesurables. Par conséquent, les
entreprises ont plutôt tendance à négliger cette catégorie de risque, alors qu'une estimation et
une analyse d'indicatifs précoces pourraient souvent prévenir des incidents lourds de
conséquence.

 Risques financiers :
En ce qui concerne le financement, les mêmes, classiques dangers menacent les entreprises
d'exportation comme celles du marché intérieur : les problèmes de liquidité, les risques liés au
crédit et une rentabilité faible. Mais il nous faut aussi évoquer les fluctuations monétaires et
les prix des matières premières.

b. Les risques externes

 Risques du marché :
Par risques du marché, on entend les dangers des marchés pertinents à l'entreprise,
essentiellement les débouchés. La dépendance à des clients particuliers est ici
particulièrement problématique, soit le cumul de risques. Mais il existe d'autres risques: le
marché du travail, qui doit fournir un personnel qualifié pour l'activité de l'entreprise, et le
marché d'approvisionnement, où, notamment, la dépendance aux matières premières
représente un danger pour l'entreprise. Enfin, avec la crise financière, l'importance des
marchés financiers a augmenté. Le resserrement des crédits a compliqué davantage l'obtention
de capitaux étrangers par les entreprises.

 Les risques de régulation :

La stabilité politique est cruciale pour le succès d'une entreprise, que ce soit pour le marché
d'approvisionnement ou le marché de débouchés. En effet, dans le pire des cas, un embargo
sur les livraisons ou une baisse des commandes sont à craindre. De plus, les restrictions à la
concurrence en matière de règlementation d'importation ou douanière sont à prendre en
compte.

 Risques économiques :
Dans le domaine des exportations, la situation conjoncturelle des marchés concernés est certes
cruciale au succès de l'entreprise, mais la situation de concurrence est tout aussi importante.
Rappelons que des problèmes tels qu'une capacité de production insuffisante ou d'exportation.
Une clientèle de mauvais payeurs font partie des dangers potentiels pour une entreprise.
2. Classification par nature
Il existe quatre types de risques selon la nature :

a. Le risque inhérent :

Pour OBERT (1995), c'est le risque qu'une erreur significative se produise compte tenu des
particularités de l'entreprise révisée, de ses activités, de son environnement, de la nature des
comptes et de ses opérations. Le risque inhérent d'une entreprise correspond dans son
ensemble à la probabilité selon laquelle ses résultats se développent de manière imprévisible.
C'est le risque lié au secteur d'activité de l'entreprise ; ce risque ne dépend pas du dispositif de
contrôle mis en place par l'entreprise.

b. Le risque de non contrôle :

Pour OBERT (1995), c'est le risque que le système de contrôle interne de l'entreprise ne
prévienne pas ou ne détecte pas de telles erreurs. C'est le risque lié aux insuffisances du
dispositif de contrôle mis en place au sein d'une entreprise.

c. Le risque de non détection :

C'est le risque résiduel après le passage de l'audit interne. Ce risque est du soit à une mauvaise
interprétation des conclusions d'une mission d'audit, soit à une insuffisance d'investigation
lors des travaux d'audit.

d. Le risque résiduel :

C'est le risque qui subsiste après l'application des politiques de maîtrise des risques.

3. Classification par niveau

Selon le niveau du risque, on distingue trois types de risques :

a. Le risque potentiel :

C'est un risque commun à toutes entreprises qui est susceptible de se produire si aucun
contrôle n'est exercé pour l'empêcher ou le détecter et corriger les erreurs qui pourraient en
résulter. Ce risque est identifié à partir des guides professionnels et de l'expérience de
l'auditeur.

b. Le risque matériel :

C'est un risque qui s'est déjà matérialisé dans l'entreprise et son impact doit être évalué afin de
définir une politique efficace pour sa maîtrise.
c. Le risque possible :

C'est le risque potentiel contre lequel une entreprise donnée ne s'est pas dotée de moyens pour
le limiter ou le détecter et le corriger. Ce risque est identifié à toutes les étapes de la mission
par les diligences mises en œuvre par l'auditeur.

4. Rôle et responsabilités
Le management des risques est l’affaire de tous mais, in fine, le Directeur Général en est le
propriétaire et en assume la responsabilité. Lesautres managers soutiennent la culture en
matière de management des risques, ils œuvrent pour sa mise en conformité avec l’appétence
pourle risque et gèrent les risques au sein de leur périmètre de responsabilité dans les limites
de la tolérance au risque. Le « Risk manager », ledirecteur financier, l’auditeur interne et
d’autres intervenants, assument habituellement des responsabilités fondamentales de support
en matière de management des risques. Les autres collaborateurs del’organisation sont
responsables du dispositif de management des risques conformément aux directives et aux
protocoles existants. Le Conseil d’administration exerce une activité de surveillance sur le
dispositif de management des risques, il a connaissance et valide l’appétence pour le risque de
l’organisation. Certains tiers, tels que les clients, les fournisseurs, les partenaires
commerciaux, les auditeurs externes, les régulateurs et les analystes financiers fournissent
fréquemment des informations utiles au dispositif de management des risques, mais ils ne sont
pas responsables de son efficacité et neparticipent pas à sa mise en œuvre.
Section 2: Processus et cartographie des risques

I. Processus du management des risques

Le processus de la gestion des risques comprend 6 phases qui s’effectuent tour à tour.

Ces phases sont les suivants :

 Identification ;
 Analyse ;
 Planification ;
 Suivi ;
 Contrôle ;
 Communication.

Ainsi, la phase d’identification est généralement celle qui initie la gestion desrisques.Elle est
suivie par l’analyse, la planification, le suivi et le contrôle.La phase de communication est une
exception car elle ne suit pas d’ordrechronologique et s’applique à l’ensemble des phases de
gestion des risques.

1. Identification des risques :

L'identification des risques vise à repérer les problèmes potentiels avant qu'ils ne
setransforment en problèmes réels et à inclure cette information dans le processus degestion
de projet. La phase d’identification permet de formuler les énoncés de risques etd’identifier
leur information contextuelle.

L’énoncé de risque et l’information contextuelle à ce risque peuvent être précisés enrépondant

aux trois questions suivantes :

a. Quelles sont les conditions ou les symptômes qui font qu’un risque est ce qu’il
est,c’est-à-dire un problème en attente de circonstances qui lui permettront de
sematérialiser ?
b. Pourquoi est-ce un risque, autrement dit quel impact aura ce risque s’il survient ?
c. D’où vient le risque, autrement dit quelles sont les causes des conditions ou
dessymptômes observés ?

Une gestion efficace des risques implique un processus continu d’identification. Eneffet, de
nouveaux risques sont susceptibles de survenir au cours de la réalisation duprojet. Une
communication libre est également requise pour l'identification des risqueset ce, afin
d'encourager tous les intervenants du projet à communiquer les problèmespotentiels qu'ils
entrevoient, à partir d'une vision orientée vers l'avenir du produit oudu service faisant l’objet
du projet. Bien qu'une contribution individuelle joue un rôle danscette identification, les
échanges favorisés par un travail d'équipe permettent unemeilleure compréhension du projet
et une identification plus précise et plus exhaustivedes risques auxquels il est exposé.

2. Analyse des risques :

La phase d’analyse vise à convertir les informations et données sur les risques recueillisau
cours de la phase d’identification. Une fois cette analyse complétée, il sera alorspossible, sur
la base des résultats obtenus, d’identifier une stratégie de mitigation et decontingence pour
chaque risque et de définir les mesures appropriées.

Pour y arriver, la phase d’analyse doit inclure les trois activités suivantes :

 Une évaluation des attributs de chaque risque notamment sa probabilité (ou

safréquence), son impact s’il survenait et le délai disponible avant de devoir
fairequelque chose ;
 Une classification des risques identifiés afin de définir un ensemble de
mesurescohérentes pour les gérer ;
 Un ordonnancement des risques en fonction de leur priorité afin d’être en mesure
dedéterminer quels risques seront abordés en premier.

La phase d’analyse des risques constitue un processus continu d’examen desconditions et

contraintes qui affectent le projet, des nouveaux risques qui surviennent aucours de son
déroulement et des priorités qui évoluent. Une communication librepermet d’assurer que
l’analyse soit effectuée en tenant compte de toute l’informationdisponible et contribue ainsi à
établir un appui solide pour la planification de mesures demitigation et de contingence. Une
vision orientée vers l'avenir contribue à faire ensorte que l’analyse soit effectuée en portant
une attention particulière à l’impact à longterme des risques. Finalement, une vision commune
jointe à une perspective globalepermet d’analyser les risques dans un contexte élargi à la
clientèle visée par leproduit ou le service faisant l’objet du projet, aux besoins exprimés par la
clientèle et auxobjectifs de l’organisation.

3. Planification des risques :

La phase de la planification vise à planifier les mesures de mitigation et, au besoin lesmesures
de contingence, qui permettront de diminuer les risques identifiés au cours dela phase
d’identification. Ultimement, les mesures de mitigation et les mesures decontingence viseront
à réduire la probabilité (ou la fréquence) et l’impact de chaquerisque, deux des attributs que la
phase d’analyse aura permis de déterminer.

La phase de planification doit permettre à chaque intervenant du projet de répondre

auxquestions suivantes :

• Ce risque me concerne-t-il ?
• Que puis-je y faire ?
 • Jusqu’où dois-je aller et comment ?

Il est important de planifier efficacement et intelligemment. La planification des mesuresde

mitigation et de contingence devrait comporter autant de détails qu’il est nécessaireafin de
pouvoir en retirer des bénéfices. À cet égard, la sur-planification peut s’avéreraussi
préjudiciable qu’un manque de planification, car elle est susceptible de devenirune excuse
pour ne rien faire.

Une planification efficace des risques constitue un processus continu de mise au pointdes
mesures de mitigation et de contingence au fur et à mesure que de nouveauxrisques se
manifestent au cours de la réalisation du projet. Une communication libre etun travail
d’équipe favorisent un échange de points de vue qui contribue à améliorer laqualité du
contenu des plans de mitigation; ceux-ci seront alors plus à même d’être misen œuvre de
façon concluante.

Cette planification fait appel à un processus de gestion intégrée, en ce sens qu’elle

doits’harmoniser avec les objectifs visés par le projet. Une vision commune du produit oudu
service faisant l’objet du projet jointe à une perspective globale prenant enconsidération les
besoins de la clientèle et les objectifs de l’organisation dans laquelle leprojet s’inscrit,
permettent de concevoir des mesures de mitigation et de contingence quitiennent compte des
intérêts de la clientèle, du projet lui-même et de l’organisation.

Finalement, une vision orientée vers l'avenir prenant en considération lesconséquences

associées aux risques contribue à faire en sorte que ceux-ci nedégénèrent pas en problèmes.

4. Suivi des risques :

La phase de suivi vise à recueillir l’information pertinente permettant de mettre à jour
lesfiches de risque et de présenter cette information de façon claire et intelligible
auxpersonnes et aux groupes à qui elle est destinée. L’objectif ultime de
l’informationrésultant de la phase de suivi est de pouvoir prendre une décision à l’égard de
chaquerisque faisant l’objet d’un suivi.

La phase de suivi doit inclure les activités suivantes :

• La collecte de l’information requise afin de mettre à jour les fiches de risque ;

• La compilation de cette information;
• La communication du résultat de cette compilation par l’entremise des fiches
derisque mises à jour et de tout autre véhicule approprié.

La phase de suivi constitue un processus continu dans le sens que l’état des risquesfait l’objet
d’un examen périodique et est communiqué à intervalles réguliers auxintervenants concernés.
Une communication libre assure que l’état réel des risquesest présenté, sans tenter de
dissimuler les conséquences possibles de situations qui sesont détériorées, de mesures de
mitigation des risques qui ne se sont pas avéréesefficaces ou de mesures de contingence qui
ont été déclenchées.

La phase de suivi fait appel à un processus de gestion intégrée, c’est en ce sens qu’elle
doits’harmoniser avec l’approche de suivi et de supervision du projet. Une perspectiveglobale
jointe à une vision orientée vers l'avenir permet aux intervenants quipassent en revue les
informations relatives au suivi de les interpréter dans le contexteapproprié au produit ou au
service faisant l’objet du projet, dans le but de dégager lestendances auxquelles celui-ci est
soumis et d’identifier les nouveaux risques auxquels ilest exposé.

5. Contrôle des risques :

La phase de contrôle consiste en une prise de décision éclairée, opportune et
efficaceconcernant les risques et les plans de mitigation et de contingence. Chaque risque
estexaminé et l’information recueillie au cours de la phase de suivi est passée en revuedans le
but de pouvoir déterminer les actions à prendre à son égard. Ainsi, lacontinuation des activités
de suivi ou la clôture du risque constituent deux décisionspossibles en rapport avec un risque
donné.

La phase de contrôle inclut les activités suivantes :

• L’analyse du résultat des activités de suivi et des rapports qui en découlent

pourchacun des risques visés ;
• Le choix d’un mode d’action par rapport à ces risques;
• La mise en œuvre des décisions qui ont été prises à l’égard de chacun des risques.

La phase de contrôle des risques fait appel au principe de communication libre car ilest
particulièrement important que la prise de décision se fasse en connaissance decause, en
prenant compte de toute l’information disponible à leur égard. Comme pour laphase de suivi,
la phase de contrôle repose sur un processus de gestion intégrée à lagestion de projet et
s’appuie largement sur les mécanismes qui y sont mis en œuvre.

Une perspective globale, qui tient compte de l’application faisant l’objet du projet entant que
composante d’un système, jointe à une vision orientée vers l'avenir,contribuent à une prise de
décisions dont l’objectif est le succès du projet et del’organisation dans laquelle il s’inscrit.

6. Communication des risques :

La phase de communication constitue le pivot du processus de gestion des risques. Ellevise
notamment à ce que les risques associés au projet et les options disponibles envue d’en
réduire les conséquences soient bien comprises, permettant ainsi de faire deschoix éclairés qui
tiennent compte des exigences auxquelles le projet doit répondre.
La mise en œuvre d’une communication efficace est simple en apparence mais difficileen
pratique. La détermination des informations essentielles à transmettre n’est pastoujours
évidente au cours du déroulement d’un projet. Dans un contexte de gestion desrisques, la
phase de communication est rendue plus difficile en ce sens qu’elle traite deconséquences
négatives qui ne font pas toujours l’objet d’un accueil favorable auprèsdes intervenants à qui
l’information est destinée. Sous l'influence de certains paramètrestels que le climat
caractérisant le projet, l’organisation dans laquelle il s’inscrit, le niveaude confiance entre les
membres de l’équipe de projet, l’historique des conflitsinterpersonnels, le respect qu’ont les
membres de l’équipe de projet entre eux, le rapportétabli entre les gestionnaires et les
spécialistes de domaine et l'état des relations clients/fournisseurs, l’information relative aux
risques sera communiquée de diverses façons.

Elle pourra être dissimulée, transmise par des intermédiaires, propagée sous forme derumeurs
provenant de sources non identifiées ou enfin, et heureusement, partagée defaçon à être prise
en compte rapidement et efficacement. Par ailleurs, la recherched’une phase de
communication efficace ne doit pas non plus compromettre la structureorganisationnelle et les
voies hiérarchiques existantes ou dégénérer en un exercice dedémotivation systématique.

La phase de communication, pour être efficace, doit faire appel au principe decommunication
libre, c’est-à-dire un échange d’information libre de contraintes entreintervenants de même
niveau hiérarchique et de niveaux hiérarchiques différents. Elledoit également valoriser les
opinions individuelles tout en stimulant le travail d’équipequi favorise l’échange de points de
vue et contribue ainsi à améliorer la qualité et lapertinence des informations.

Le schéma ci-dessus résume le processus de gestion des risques :

 II. Les méthodes d’identification des risques
La phase d’identification des risques sera menée par le biais des méthodes dites a priori et/ou
des méthodes d’a posteriori16

1. Les méthodes apriori

Il existe plusieurs méthodes d’Apriori17 :

a. L’Analyse Préliminaire de Risques :

Selon la norme CEI-300-3-9 (CEI 300-3-9, 1995)18 : « L’analyse préliminaire des risques
(APR) est une technique d’identification et d’analyse de la fréquence du danger qui peut être
utilisée lors des phases amont de la conception pour identifier les dangers et évaluer leur
criticité ». Le but consiste à identifier les entités dangereuses d’un système, puis à regarder
pour chacune d’elles comment elles pourraient générer un incident ou un accident plus ou
moins grave suite à une séquence d’événements causant une situation dangereuse. Pour
identifier les entités et les situations dangereuses susceptibles d’en découler, l’analyste est
aidé par des listes de contrôles (check-lists) d’entités dangereuses, de situations dangereuses
et d’événements redoutés. Ces check-lists sont spécifiques au domaine d’étude concerné.
Comme son nom l’indique, cette méthode n’est pas destinée à traiter en détail la
matérialisation des scénarios d’accident, mais plutôt à mettre rapidement en évidence les gros
problèmes susceptibles d’être rencontrés pendant l’exploitation du système étudié. Cependant,
l’APR peut aussi et même doit être complétée par la plupart des analyses de risques
fonctionnelles telles que l’AMDEC ou l’Arbre de Défaillances.

b. Analyse des Modes de Défaillances, de leurs Effets (AMDE) /et de leur Criticité
(AMDEC):

L’Analyse des modes de défaillance, de leurs effets et de leur criticité (AMDE) a été
employée pour la première fois dans le domaine de l’industrie aéronautique durant les années
1960. Son utilisation s’est depuis largement répandue à d’autres secteurs industriels. Selon la
norme CEI-300-3-9 (CEI 300-3-9, 1995), l’AMDEC est une technique fondamentale
d’identification et d’analyse de la fréquence des dangers qui analyse tous les modes de
défaillances d’un équipement donné et leurs effets tant sur les autres composants que sur le
système lui-même.

16
Octave Jokung Nguénaa, « management des risques », édition ellipses, paris, 2008, p59
17
http://bounie.polytech-lille.net/rie/methodes_risques_vp.pdf, le 29/04/2015
18
La Commission électrotechnique internationale : elle est complémentaire de l'Organisation internationale de
normalisation (ISO)
Cette analyse vise d’abord à identifier l’impact de chaque mode de défaillance des
composants d’un système sur ses diverses fonctions et ensuite hiérarchiser ces modes de
défaillances en fonction de leur facilité de détection et de traitement.

L’AMDEC traite des aspects détaillés pour démontrer la fiabilité et la sécurité d’un système.

Elle contient 3 (4) parties primaires :

 Identification des modes de défaillance ;

 Identification des causes potentielles de chaque mode ;
 Estimation des effets engendrés ;
 S’il s’agit d’une AMDEC : Evaluation de la criticité de ces effets.

L’analyse commence toujours par l’identification des défaillances potentielles des modes
opérationnels. Elle se poursuit, par des inductions afin d’identifier les effets potentiels de ces
défaillances (situation dangereuse, événement dangereux et dommages). Une fois les effets
potentiels établis, on estime le risque on spécifie les actions de contrôle.

c. La méthode HAZOP :

Cette méthode a été développée par la société « Imperial Chemical Industries (ICI) » au début
des années 1970. Elle sert à évaluer les dangers potentiels résultants des dysfonctionnements
d’origine humaine ou matérielle et aussi les effets engendrés sur le système. L’objectif de
cette méthode est d’identifier les phénomènes dangereux qui mènent à des évènements
dangereux lors d’une déviation des conditions normales de fonctionnement d’un système.

L’HAZOP n’a pas pour but d’observer les modes de défaillances à l’image de l’AMDE mais
plutôt les dérives potentielles des principaux paramètres liés à l’exploitation de l’installation.

Lorsqu’une déviation est identifiée, l’analyse tente d’identifier les conséquences qui en
découlent. Les déviations potentiellement dangereuses sont ensuite hiérarchisées en leur
associant des actions de contrôle allouées. La méthode se termine par l’investigation des
causes potentielles des déviations jugées crédibles.

De manière générale, les paramètres sur lesquels porte l’analyse sont observables,
quantifiables et comparables. Par exemple la vitesse, la température, la pression, le débit, le
niveau, le temps, etc.

2. Les méthodes a posteriori

a. Le diagramme cause à effet :

Le diagramme de cause à effet ou diagramme d'Ishikawa ou encore méthode des 5M est une
démarche qui permet d'identifier les causes possibles d'un problème ou un défaut (effet). Il
convient ensuite d'agir sur ces causes pour corriger le défaut en mettant en place des actions
correctives appropriées.

Ce diagramme se structure habituellement autour des 5M. Kaoru Ishikawa recommande de

regarder en effet l'évènement sous 5 aspects différents, résumés par le sigle et moyen
mnémotechnique 5M :

 Matière : les matières et matériaux utilisés et entrant en jeux, et plus généralement les
entrées du processus.
 Matériel : l'équipement, les machines, le matériel informatique, les logiciels et les
technologies.
 Méthode : Le mode opératoire, la logique du processus et la recherche et
développement.
 Main d'œuvre : Les interventions humaines.
 Milieu : L'environnement, le positionnement, le contexte.
 Chaque branche reçoit d'autres causes ou catégories hiérarchisées selon leur niveau de
détail.

Le positionnement des causes met en évidence les causes les plus directes en les plaçant les
plus proches de l'arête centrale. Le terme Moyen remplace parfois la catégorie Matériel.

Une variante du diagramme est de structurer le diagramme autour d'6M qui ajoute aux 5
domaines précédents celui de la Mesure : les causes correspondant à des biais ou erreurs liés
aux indicateurs utilisés pour chiffrer le phénomène à analyser.

Les entreprises de services utilisent une version étendue avec l'introduction du 7M qui rajoute
les catégories Management (qui peut être considérée comme inclue dans la catégorie Main-
d’œuvre) et Moyens financiers.

Une caractéristique peut également être ajoutée dans les univers de production avec un 8ème M
: celui de Maintenance. En effet, un équipement peut donner satisfaction à l'état neuf, être
correctement homologué, répondre aux besoins pour lesquels il a été installé... mais un défaut
de maintenance au cours du temps peut être à l'origine de défauts, dysfonctionnement, pannes,
etc. L'arbre des causes peut être considéré comme une variante où les causes sont classées
dans d'autres catégories, identifiées comme pertinentes lors de l'analyse

b. Arbres des causes :

Un arbre des causes (arbre de défaillance) est un schéma utilisé dans le domaine des risques
professionnels, pour étudier a postériori tout évènement indésirable (accident du travail, mais
aussi défaillance d'un processus, etc.).

La méthode de l'arbre des causes est -notamment- utilisée dans les entreprises pour déterminer
de la manière la plus exhaustive possible les causes d'un accident ou d'un incident, pour en
établir les liens de causalité en vue de remédier aux conditions nécessaires à l'accident.
Un arbre des causes vise à comprendre un accident, que celui-ci soit un accident du travail ou
non, la démarche ne consiste pas à « juger », ni à « trouver un coupable » mais à identifier les
causes de l'évènement. Une fois identifiées les causes, il faut identifier les facteurs ayant
généré l'évènement, qu'ils soient d'ordre technique, organisationnel ou humain.

Le recueil des faits : La première étape consiste à recueillir les faits. Les faits sont les
différents éléments connus qui ont trait de près ou de loin à l'accident. Les faits examinés
doivent être, concrets, factuels et le plus précis possible. Le recueil des faits doit se faire le
plus rapidement possible après l'évènement accident. Sur le lieu même de l'accident afin que
les éléments techniques ou matériels ayant contribué à l'accident ne soient pas corrigés,
enlevés ou déplacés l'articulation des faits, la naissance de l'arbre de manière conventionnelle,
on construit l'arbre de droite à gauche afin que le sens de lecture corresponde à la chronologie
des faits.

On détermine la ou les causes critiques (primaires) en se posant la question :

 "Qu'a-t-il fallu pour qu'advienne l’accident ?"

Pour chaque cause trouvée on détermine les causes relatives (secondaires) en se posant les
deux questions suivantes :

 "Est-ce nécessaire que ce fait se produise pour que le fait suivant survienne ?" Cette
étape permet de supprimer toutes les informations inutiles.
 "Est-ce suffisant que ce fait se produise pour expliquer la survenue du fait suivant ?"
Cette étape permet d'assurer l'exhaustivité des informations utiles.

Une fois les causes racines identifiées, on peut donc mettre en place les actions correctives
pour éviter la réitération de l'accident.

c. Méthode REX (Retour d’Expérience) :

L'objectif premier de la méthode REX est de capitaliser les connaissances et de favoriser le

retour d'expérience. Le retour d'expérience se présente comme la description structurée, sous
forme de fiches d'expérience.

REX est une méthode de formalisation des retours d'expérience, initiée et développée dans le
but de préserver les savoirs et savoir-faire acquis pendant les phases de conception et de mise
en route des réacteurs nucléaires. Rex comprend une méthodologie assistant le processus de
formalisation de l'expérience et un logiciel de gestion des éléments de connaissance ainsi
formalisés.

Le procédé Rex est matérialisé par onze procédures détaillées, supportées par un atelier de
génie logiciel. Il couvre toutes les étapes du cycle de la capitalisation de l'expérience, depuis
la capture jusqu’à la mise à disposions. Il comprend :
 - Une méthode d'analyse des besoins et d'identification des sources du domaine
d'activité ;
- Une procédure pour construire les éléments de connaissance à partir d'interviews de
spécialistes et d'analyse de documents appartenant au fonds documentaire, ou de
consultation de bases des données ;
- Une procédure pour alimenter le système en élément de connaissance ;
- Les éléments de connaissance structurés mais non modélisés ;
- Le thesaurus spécifique au domaine.

III. Cartographie des risques

1. Définition de la cartographie des risques

Toute activité entraine des risques qui doivent être identifiés, évalués, gérés par les
contrôleurs internes, auditeurs internes, risk managers et tout manager.

La cartographie des risques est un outil clé du processus de management des risques (PMR)
qui permet de répondre aux trois grandes premières phases du PMR à savoir :

• Identifier et évaluer les risques ;

• Traiter les risques ;

• Suivre leur évolution.

Une cartographie des risques est une représentation graphique de la probabilité d’occurrence
et de l’impact d’un ou plusieurs risques. Les risques sont représentés de manière à identifier
les risques les plus significatifs (probabilité et /ou impact la ou le plus élevé) et les moins
significatifs (probabilité et/ou impact la ou le plus faible). Selon que l’analyse est réalisée de
façon plus ou moins détaillée et approfondie, la cartographie des risques peut, soit représenter
la probabilité et/ou l’impact globale, soit intégrer un élément venant modifier la probabilité
et/ou l’impact19.

2. Modalités de réalisation d’une cartographie des risques

La construction et l’actualisation d’une cartographie des risques est un processus complexe
nécessitant d’impliquer l’ensemble des mandataires sociaux au niveau international et les
correspondants risk management par zone géographique20.

19
Institut Français de l’Audit et du Contrôle Interne, op cit , p221
20
P. KERBEL, « management des risques », édition d’organisation, Paris, 2008, p57
Première étape consiste à identifier les micro-risques au niveau de chaque filiale, en partant de
la sinistralité observée et en simulant d’autres risques potentiels affectant les centres de
risque.

La deuxième étape consiste à agréger ces micro-risques en macro-risques, à la fois par unité
d’affaires et par zone géographique à l’international, en faisant ressortir certaines spécificités
(existence du risque politique, par exemple lié à certaines zones géographiques ; ou existence
de risques spécifiques liés à chaque unité d’affaires).
 Section 3 : Le management des risques et l’audit interne

I. Le rôle de l’audit interne dans le management des risques

L’audit interne est une activité indépendante qui apporte des conseils et une assurance
objective. Concernant le management des risques, son principal rôle consiste à donner au
Conseil l’assurance objective que la gestion des risques est efficace. Des travaux de recherche
ont montré que les membres du conseil et les auditeurs internes s’accordent à dire que les
deux activités d’audit interne les plus porteuses de valeur ajoutée pour les organisations sont
les suivantes :

 Apporter l’assurance objective que les principaux risques sont bien gérés ;
 Apporter l’assurance que le cadre de la gestion des risques et du contrôle interne
fonctionne correctement.

La figure21ci-dessous présente un éventail des activités du management des risques et indique

les rôles qu’une fonction d’audit interne professionnelle doit, et surtout ne doit pas, jouer.

21
Sources: http://bibliotheque.cesag.sn/gestion/documents_numeriques/M0513AUDIT14.PDF, le 25/02/2015
En bleu foncé : Principaux rôles de l’audit interne dans le processus de management des
risques

 Donner une assurance sur les processus de gestion des risques.

 Donner l’assurance que les risques sont bien évalués.
 Évaluer les processus de gestion des risques.
 Évaluer la communication des risques majeurs. • Examiner la gestion des principaux
risques.

En bleu clair : Rôles légitimes de l’audit interne, sous réserve de prendre les précautions
nécessaires

 Faciliter l’identification et l’évaluation des risques ;

 Accompagner la direction dans sa réaction face aux risques ;
 Coordonner les activités de management des risques ;
 Consolider le reporting des risques ;
 Actualiser et développer le cadre de gestion des risques ;
 Promouvoir de la mise en œuvre du management des risques ;
 Élaborer une stratégie de gestion des risques à valider par le Conseil.

En gris : Rôles que l’audit interne ne doit pas jouer

 Définir l’appétence pour le risque.

 Définir des processus de gestion du risque.
 Gérer l’assurance sur les risques.
 Décider de la manière de réagir face aux risques.
 Mettre en œuvre des mesures de maîtrise du risque au nom de la direction.
 Prendre la responsabilité de la gestion des risques.

Les activités présentées à gauche dans la figure précédente sont toutes des activités
d’assurance. Elles s’inscrivent dans l’objectif plus large d’apporter une assurance sur la
gestion du risque. Une fonction d’audit interne qui respecte les Normes internationales pour la
pratique professionnelle de l’audit interne peut et doit exécuter ces activités, au moins
partiellement.

L’audit interne peut apporter des services de conseil qui améliorent la gouvernance, la gestion
du risque et les contrôles au sein d’une organisation. L’étendue de l’activité de conseil de
l’audit interne dans le cadre du management des risques dépendra des ressources, internes et
externes, dont dispose le Conseil et de la maturité de l’organisation en matière de risque. Elle
peut varier au fil du temps. En raison de son savoir-faire dans le domaine de la gestion des
risques, de sa compréhension des relations entre risques et gouvernance et de ses capacités de
facilitation, l’audit interne est idéalement placé pour promouvoir le management des risques,
voire pour diriger un projet de management des risques, surtout lors des premières phases. À
mesure que l’organisation gagnera en maturité, en matière de risque, et que la gestion du
 risque s’ancrera plus profondément dans ses activités, ce rôle de promoteur perdra en
importance. De même, si une organisation recourt aux services d’un spécialiste, ou à une
fonction spécialisée, de la gestion des risques, il sera plus intéressant que l’audit interne se
concentre sur son rôle d’assurance, plutôt que d’apporter des conseils redondants. Cependant,
si l’audit interne n’a pas encore adopté l’approche fondée sur le risque représentée par les
activités d’assurance à gauche dans la figure 1, il ne sera probablement pas encore équipé
pour mener à bien les activités de conseil énumérées au centre de la figure.

II. La différence entre l’Audit interne et gestion des risques

Il est vrai qu'il y a une certaine complémentarité entre l'audit interne et le risk management au
niveau de l'identification des risques couru par l'entreprise et leurs confrontations, mais il
existe aussi certaines différences entre les deux22 :
Tableau …x : titre
Audit interne Risk management
Risques de dysfonctionnements Risques purs, aléatoires,
Risques visés : transgressions des règles, accidents : sans espérance de
désordres et inefficacité. gain.
Identification, démonstration,
Identification, résolution.
Traitement de ces recommandation.
risques Contrôle interne, pratiques Coûts/bénéfices : les
d'organisation, communément probabilités et la gravité des
adoptées. risques.
ème
2 : s'assurer que les
1er: détecte et traite les
Degré responsables maitrisent leurs
risques purs.
risques spéculatifs.
Source :

Conclusion

Nous avons défini le risque, le management des risques ainsi le lien de ce dernier avec l’audit
et le contrôle interne. Le management des risques et le contrôle interne sont des processus
nécessaires pour tout entreprise quel que soit son domaine d’activité. L’efficacité de ces
processus sont assurés par l’audit interne.

22
Source: P. SCHICK, J. VERA, O. BOURROUILH-PAREGE, op.cit, p :36
 Chapitre III : La cartographie des risques du processus
des achats au sein de l’Entreprise Portuaire de Bejaia
(EPB)

Introduction
Nous avons attaché une grande importance à la cellule d’Audit, au responsable budgétaire, au
responsable des achats et au responsable du recrutement, où nous avons eu des entretiens avec
ces derniers. Le processus des achats fait l’objet de notre audit interne de gestion des risques
car ils englobent des opérations sensibles aux risques.

Pour cela, notre travail portera en premier lieu sur la présentation générale d’EPB en évoquant
d’abord son historique, ses activités, ses missions et enfin son organigramme qui récapitulera
tous les services au sein de cette entreprise. En second lieu, nous présenterons le processus
des achats, ainsi identifier, évaluer et présenter la cartographie des risques liés à ceprocessus.

Section 1 : Présentation, activités et structures de l’EPB

L’objectif de cette section est d’abord la présentation de l’entreprise, ensuite l’identification

de ses activités et enfin ses structures.

I. Présentation de l’Entreprise Portuaire de Bejaia

Le port de Bejaia joue un rôle très important dans les transactions internationales vu sa place
et sa position géographique.

Aujourd’hui, il est classé deuxième port d’Algérie en marchandises générales et troisièmes

port pétrolier. Il est également le premier port du bassin méditerranéen certifié ISO 9001.2000
pour l’ensemble de ses prestations, et à avoir ainsi installé un système de management de la
qualité. Cela constitue une étape dans le processus d’amélioration continue de ses prestations
au grand bénéfice de ses clients. L’Entreprise Portuaire a connu d’autres succès depuis, elle
est notamment certifiée à la Norme ISO 14001 :2004 et au référentiel OHSAS 18001 :2007,
respectivement pour l’environnement et l’hygiène et sécurité au travail.
 II. Historique de l’Entreprise Portuaire de Bejaia

Le décret n°82-285 du 14 Août 1982 publié dans le journal officiel n° 33 porta création de
l’Entreprise Portuaire de Bejaia ; entreprise socialiste à caractère économique ; conformément
aux principes de la charte de l’organisation des entreprises, aux dispositions de l’ordonnance
n° 71-74 du 16 Novembre 1971 relative à la gestion socialiste des entreprises et les textes pris
pour son application à l’endroit des ports maritimes. L’entreprise, réputée commerçante dans
ses relations avec les tiers, fut régie par la législation en vigueur et soumise aux règles
édictées par le susmentionné décret.

Pour accomplir ses missions, l’entreprise est substituée à l’Office National des Ports (ONP), à
la Société Nationale de Manutention (SO.NA.MA) et pour partie à la Compagnie Nationale
Algérienne de Navigation (CNAN).

Elle fut dotée par l’Etat, du patrimoine, des activités, des structures et des moyens détenus par
l’ONP, la SO.NA.MA et de l’activité Remorquage, précédemment dévolue à la CNAN, ainsi
que des personnels liés à la gestion et au fonctionnement de celles-ci.

En exécution des lois n° 88.01, 88.03 et 88.04 du 02 Janvier 1988 s’inscrivant dans le cadre
des réformes économiques et portant sur l’autonomie des entreprises, et suivant les
prescriptions des décrets n°88.101 du 16 Mai 1988, n°88.199 du 21 Juin 1988 et n°88.177 du
28 Septembre 1988.

L’Entreprise Portuaire de Bejaïa ; entreprise socialiste ; est transformée en Entreprise

Publique Economique, Société par Actions (EPE-SPA) depuis le 15 Février 1989, son capital
social fut fixé à Dix millions (10.000.000) de dinars algériens par décision du conseil de la
planification n°191/SP/DP du 09 Novembre 1988. Actuellement, le capital social de
l’entreprise a été ramené à 1.700.000.000 Da, détenues à 100% par la Société de Gestion des
Participations de l’Etat « Ports », par abréviation « SOGEPORTS ».

III. Missions et activités de l’Entreprise Portuaire de Bejaia

Les missions et les activités de l’entreprise sont nombreuses, elles se présentent comme suit :

1. Les missions de l’EPB

La gestion, l’exploitation et le développement du domaine portuaire sont les charges
essentielles de la gestion de l’EPB, c’est dans le but de promouvoir les échanges extérieurs du
pays. Elle est chargée des travaux d’entretien, d’aménagement, de renouvellement et de
création d’infrastructures.

L’EPB assure également des prestations à caractère commercial, à savoir ; le remorquage, la

manutention et l’acconage.
 2. Les activités de l’EPB
Les principales activités de l’entreprise sont :

 L’exploitation de l’outillage et des installations portuaires ;

 L’exécution des travaux d’entretien, d’aménagement et de renouvellement de la
super structure portuaire ;
 L’exercice du monopole des opérations d’acconage et de manutention portuaire ;
 L’exercice du monopole des opérations de remorquage, de pilotage et d’amarrage ;
 La police et la sécurité portuaire dans la limite géographique du domaine public
portuaire.

IV. Missions et activités de l’Entreprise Portuaire de Bejaia

L’EPB est organisé selon des directions opérationnelles et fonctionnelles

1. Les directions opérationnelles

Il s’agit des structures qui prennent en charge les activités sur le terrain et qui ont une relation
directe avec les clients.

a. Direction Manutention et Acconage :

Elle est chargée de prévoir, organiser, coordonner et contrôler l’ensemble des actions de
manutention et d’acconage liées à l’exploitation du port. Elle abrite les départements suivants
:

 Manutention : Elle comprend les opérations d’embarquement, d’arrimage, de

désarrimage et de débarquement de marchandises, ainsi que les opérations de mise et
de reprise des marchandises sous hangar, sur terre-plein et magasins.

La manutention est assurée par un personnel formé dans le domaine. Elle est
opérationnelle de jour comme de nuit, répartie en deux shifts (période de travail d’une
équipe) de 6h à 19h avec un troisième shift opérationnel qui s’étale entre 19h et 01h
du matin. Pour cas exceptionnels, ce dernier peut s’étaler jusqu’à 7h du matin.

 Acconage :

Elle a pour tâche :

Pour les marchandises :

- La réception des marchandises.

- Le transfert vers les aires d’entreposage des marchandises.
 - La préservation ou la garde des marchandises sur terre-plein ou hangar.
- Marquage des lots de marchandises. - Livraison aux clients.

Pour le service

- Rassembler toutes les informations relatives à l’évaluation du traitement des

navires à quai et l’estimation de leur temps de sortie ainsi que la disponibilité
des terres pleins, et hangars pour le stockage.
- Participer lors de la Conférence de placement des navires (CPN) aux décisions
d’entrée des navires et recueillir les commandes des clients (équipes et engins)
pour le traitement de leurs navires.

b. Direction Domaine et Développement :

Elle a pour tâche :

- Amodiation et location de terre-pleins, hangar, bureaux, immeubles,

installations et terrains à usage industriel ou commercial ;
- Enlèvement des déchets des navires et assainissement des postes à quai ;
- Pesage des marchandises (pont bascule) ;
- Avitaillement des navires en eau potable.

c. Direction Capitainerie :

Elle est chargée de la sécurité portuaire, ainsi que de la bonne régulation des mouvements des
navires, et la garantie de sauvegarde des ouvrages portuaires.

Elle assure également les fonctions suivantes :

 Pilotage :

La mise à disposition d’un pilote pour assister ou guider le commandant du navire dans les
manœuvres d’entrée, de sortie. Cette activité s’accompagne généralement de pilotins, de
canots et de remorqueurs.

 Amarrage:

Cette appellation englobe l’amarrage et le désamarrage d’un navire. L’amarrage consiste à

attacher et fixer le navire à quai une fois accosté pour le sécuriser. Cette opération se fait à
l’aide d’un cordage spécifique du navire.
  Accostage :

Le port met à la disposition de ces clients des quais d’accostage en fonction des
caractéristiques techniques du navire à recevoir.

d. Direction Remorquage :

Elle est chargée d’assister le pilote du navire lors de son entrée et de sa sortie du quai. Son
activité consiste essentiellement à remorquer les navires entrants et sortants, ainsi que la
maintenance des remorqueurs. Les prestations sont :
- Le Remorquage portuaire.
- Le Remorquage hauturier (haute mer).
- Le Sauvetage en mer.

2. Les directions fonctionnelles

Il s’agit des structures de soutien aux structures opérationnelles.

a. Direction Générale :

Elle est chargée de concevoir, coordonner et contrôler les actions liées à la gestion et au
développement de l’entreprise.

b. Direction Management Intègre :

Elle est chargée de :

- La mise en œuvre, le maintien et l’amélioration continue du Système de Management

Intégré (plans projets et indicateurs de mesure) ;
- L’animation et la coordination de toutes les activités des structures dans le domaine
QHSE ;
- La Contribution active à l’instauration et au développement d’une culture HSE au sein
de l’entreprise et de la communauté portuaire ;
- La Contribution dans des actions de sensibilisation et de formation à la prévention des
risques de pollution, à la protection de l’environnement, la santé des travailleurs et à
l’intervention d’urgence.

c. Direction Finance Comptabilité :

Elle est chargée de :

- La tenue de la comptabilité ;
 - La gestion de la trésorerie (dépenses, recettes et placements) ;
- La tenue des inventaires ;
- Le contrôle de gestion (comptabilité analytique et contrôle budgétaire)

d. Direction Ressources Humaines :

Elle est chargée de prévoir, d’organiser et d’exécuter toutes les actions liées à la gestion des
ressources humaines en veillant à l’application rigoureuse des lois et règlement sociaux. Elle
assure les tâches suivantes :

- La mise en œuvre de la politique de rémunération, de recrutement et de la formation

du personnel ;
- La gestion des carrières du personnel (fichier) ;
- La gestion des moyens généraux (achats courants, parc automobile, assurances,
…etc.).
 Section 2 :cartographies des risques
Notre objectif général est de définir le profil des risques et d’avoir une vision globale des
risques encourus. Nous avons identifié ceux liés au processus des achats et au processus de
recrutement.

I. Elaboration une cartographie des risques liés au processus des

achats
Nous avons passé par quatre étapes afin d’élaborer une cartographie des risques de processus
achat :

 Prise des connaissances sur le processus d’achat ;

 Identification des risques liés à chaque étape de processus ;
 Evaluation des risques ;
 Elaboration de la cartographie des risques.

1. Présentation de procédure des achats de l’entreprise

Les achats d’EPB passent par plusieurs étapes :

a. Expression du besoin :

La partie demandeuse doit exprimer son besoin dans un Bon de Commande Fourniture (BDF)
qui doit être signé par le demandeur et le directeur rattaché à la direction.

b. Choix de fournisseurs à consulter :

Une fois le besoin est exprimé, le service achat sera destinataire de ce BDF, ce dernier doit
faire le choix des fournisseurs à consulter.

c. Consultation

L’acheteur consulte les fournisseurs et traite les offres.

d. Elaboration des bons de commandes ou des contrats :

Dès que le choix est sélectionné sur la base de prix, délais de livraison et/ou qualité, le service
achat doit établir un bon de commande qui doit être visé par le directeur achat et service
budget.
e. Lancement des commandes :

Lorsque le bon de commande est visé, le service d’achat lance la commande et l’enregistre sur
le registre des commandes.

f. Vérification à la réception de la conformité aux exigences des achats :

Une fois la commande est réceptionnée par le magasinier concerné, il doit la vérifier sur place
par apport à la facture qui les accompagne, en cas de conformité il établit un bon de réception.

g. Le service fait et ordonnancement :

Une fois le magasinier confirme la réception des marchandises, il doit envoyer les factures, le
bon de réception et le bon de commande au service d’achat pour les vérifier et les signaler
réservé.

2. Les conditions de sélection des fournisseurs

En application de la note no 512/SGPP/P/10 du 03 novembre 2010 portant mise en œuvre des
dispositifs du décret Présidentiel no 10-236 du 28 chaoual 1431 correspond au 07 Octobre
2010 portant réglementation des marchés publics, la présente procédure de l’entreprise est
mise en place pour fixer les règles et modalités de passation des commandes de prestations
des travaux ou fourniture. La sélection des fournisseurs se fait à la base des volumes des
commandes comme il est indiqué dans le tableau ci-dessous.

Les seuils (DA)

- Commande inférieure à 2 400 000 pour
- Consultation de trois fournisseurs au
prestations de travaux et fourniture
minimum (factures préformas) ;
- Commande inférieure à 1 200 000 pour
- Bon de commande ;
prestation d’étude et service
- Fiche fournisseur
« Seuil 01 »
-Consultation plis fermés ;
-Commande Supérieure à 2 400 000 et
inférieure à 6 000 000 Pour prestation de -Une demande d’offre aux fournisseurs (au
travaux et fourniture. minimum 3 fournisseurs) ;

-Commande supérieure à 1 200 000 et
inférieur à 3 000 000 pour prestation d’étude
et service.
« Seuil 02 »
-La sélection des fournisseurs sera effectuée
par commission interne des structures ;
-Validation des achats par le directeur de
structure ;
 -Dans le cas où le montant des offres reçus
est supérieure au seuil fixé, la construction
est annulée et relancée selon les modalités
prévues pour le palier suivant.
-Consultation plis fermés ;

-La sélection des fournisseurs est assurée

-Commande Supérieure à 6 000 000 et
par commission interne des structures ;
inférieure à 12 000 000 Pour prestation de
travaux et fourniture ;
-Validation des contrats par la commission
des marchés ;
-Commande supérieure à 3 000 000 et
inférieure à 6000 000 pour prestation
-Dans le cas où les montants des offres reçus
d’étude et service.
sont supérieurs au seuil fixé, la construction
est annulée et relancée selon les modalités
« Seuil 03 »
prévues pour le palier suivant.

-Commande supérieure ou égale à 12 000

-Avis d’appel d’offres ;
000 pour prestations de travaux et les
fournitures ;
-Validation des contrats par la commission
des marchés ;
-Commandes supérieure ou égale à 6 000
000.
-Ouverture et évaluation des offres par les
commissions de l’entreprise.
« Seuil 04 »

3. Identification des risques liés aux différentes étapes du processus

des achats
Après la présentation du processus d’achat nous passons à l’identification des risques liés à ce
processus qui est présenté dans le tableau ci-dessous :

Les étapes Les risques Point de contrôle Impacts

A- Achat non
nécessaire ;
-BDF ;
- Dépassement par
Expression du besoin. B-Besoin mal
-Règle et pouvoir rapport au budget.
exprimé (manque
de signature
des données dans
le BDF).
Choix de fournisseurs à C-Fournisseurs -Offres -Fournisseur ne
 consulter. potentiel non fournisseurs ; répond pas aux
consultés, attentes ;
fournisseurs -Fiches
privilégiés ; fournisseurs ; -Surcoût des
achats.
D-Non prise en -Pertinence,
compte du rapport fiabilité et qualité
qualité /prix. du système
d’information
fournisseurs.
E- Non-respect de
- Dépenses
la procédure de -Vérification de la
supplémentaires et
passation des fonction écrite
allongement des
Consultation marchés et pour la demande
délais de
traitement des d’achat et son
réalisation de
contrats et acceptation
l’opération
commandes
Elaboration des bons de
F- Engagement -Règles et pouvoirs
commandes ou des -Pertes financières.
non autorisé. de signature.
contrats.
G- commande d’un - Achat non
bien non conforme conforme aux
au besoin exprimé -Tableau de suivi principes de
Lancement de la
des commandes en l’entreprise.
commande.
H- transmission cours
tardive du bon de -Dépassement des
commande. délais
I-Non réception,
ou réception
-Les factures
incomplète de la
reçues ou à -Non-conformité
commande ;
recevoir ; en qualité ou en
quantité.
J-Réception de la
-Le rapprochement
commande non
du bon de -Marchandise
Vérification à la réception conforme à
commande, reçue ne
de la conformité aux l’exigence de
correspond pas aux
exigences des achats. l’entreprise ; Et le bon de besoins, aux
livraison et de la niveauquantité
K- Livraison hors
facture (Références et/ou qualité ;
délais ;
produits, quantités,
prix, conditions de -Perte de temps
L- Absence de
paiement).
rapprochement
entre le BL et la
 marchandise ;

M- BC et BL
égarée
-Pertes de voies de
N-Le service fait
recours à
Service fait n’est pas contrôlé / -Bon de livraison.
l’encontre du
est mal contrôlé.
fournisseur.

Le tableau ci-dessus résume les étapes d’achat et leurs risques ainsi que son impact :

 La première étape, concerne l’expression du besoin : les risques qui peuvent être
engendrés sont l’achat non nécessaires et besoin mal exprimé qui provoquent des
dépenses non nécessaires. Les facteurs déclenchant de ses risques sont : Imprécision
dans l’expression des besoins par les services demandeurs et l’inadaptation de la
définition des familles des produits aux besoins de la collectivité.
 La deuxième étape, se présente par le choix de fournisseurs à consulter : pour
consulter ces derniers, le service achat doit fixer le seuil de commande pour suivre la
procédure comme nous avons déjà cité dans le tableau N° 05, les risques que nous
pouvons détecter dans cette étape sont : fournisseur potentiel non consultés,
fournisseurs privilégiés et non prise en compte du rapport qualité/prix.
 La troisième étape, consiste en consultation des fournisseurs : nous avons constaté un
risque de non-respect de la procédure de passation des marchés et traitement des
contrats et commande. Le facteur déclencheur de ce risque est l’absence de suivi des
seuils atteints par la collectivité.
 La quatrième étape, définie par l’élaboration des bons de commandes et des contrats :
le risque qui peut être produit dans cette étape est l’engagement non nécessaire dû à
une perte financière.
 La cinquième étape, concerne le lancement de la commande : nous avons constaté
deux risques : le premier est la commande d’un bien non conforme au besoin exprimé
et le second est la transmission tardive du bon de commande. Les causes principales
de ces risques sont : le manque des données nécessaires fournies par le demandeur mal
exprimé dans le BDF et le non-respect des délais de lancement des bons de
commandes.
 La sixième étape, est la vérification à la réception de la conformité aux exigences des
achats : les risques que nous avons détectés sont résumés comme suit : la non
réception ou la réception incomplète de la commande, réception de la commande non
conforme à l’exigence de l’entreprise, livraison hors délais, l’absence de
rapprochement entre le BL et la marchandise ainsi le BC et le BL sont égarées. Ces
derniers engendrent des marchandises reçues qui ne correspond pas aux besoins et ce
aux niveaux quantité et /ou qualité ainsi qu’une perte du temps.
 La septième étape, présente le service fait : le risque qui peut être engendré est le mal
contrôle de service ou l’absence carrément de contrôle. Les facteurs déclenchant ce
risque sont : Absence de personnes désignées pour procéder au contrôle réel du service
 fait ou les personnes chargées du contrôle n’ont pas accès aux documents nécessaires
(bon de livraison, documents relatifs au marché à la convention … Etc.).

4. Évaluation des risques

Après l’identification des risques, il est question ici de connaitre les éléments caractéristiques
de chaque risque, à savoir la probabilité et sa gravité. Pour ce faire, quatre niveaux de
probabilité et de gravité seront retenus :

La probabilité : 1=très faible ; 2=faible ; 3= élevé ; 4=très élevé.

Impact : 1=très faible ; 2=faible ; 3=élevé ; 4=très élevé.

 L’indice de gravité = probabilité*impact.

Tableau d’évaluation des risques lié au processus d’achat.

Risques Probabilité Impact Indice de gravité

A-Achat non
2 2 4
nécessaire
B-Besoin mal
exprimé (manque
4 4 16
des données dans le
BDF).
C-Fournisseurs
potentiels non
consultés, 3 4 12
fournisseurs
privilégiés.
D-Non prise en
compte du rapport 2 3 6
qualité / prix
E- Non-respect de
procédure de
passation des 2 2 4
marchés et
traitement.
F- Erreur de
transcription de
l’information 1 3 3
relative aux
matériels
G-commande d’un
2 3 6
bien non conforme
au besoin exprimé.
H-Transmission
tardive de bon de 4 4 16
commande
I-Non réception ou
réception incomplète 2 2 4
de la commande
J-Réception de la
commande non
2 3 6
conforme à la
commande.
K-Livraison hors
3 4 12
délais
L- L’absence de
rapprochement entre
2 2 4
le BL et la
marchandise.
M- BC et BL égarée 2 2 4
N-Le service fait
n’est pas contrôlé / 2 2 4
est mal contrôlé.

Le tableau ci-dessus représente les différents niveaux de l’indice de gravité de chaque risque
lié au processus d’achat, nous constatons que les risques les plus fréquent sont les risques :
besoin mal exprimé et transmission tardive de bon de commande,(B et H) avec une fréquence
maximale qui est égal à 16, expliqués par une probabilité et un impact égaux très élevés, suivi
par les risques : fournisseurs potentiels non consultés, fournisseurs privilégies et livraison hors
délais,( C et K) avec une fréquence de 12, qui ont une Probabilité élevés et un impact
financier très élevé. Et les risques les moins fréquent sont : erreur de transcription relative aux
matériels( F), avec une fréquence de 3, et les risques : achat non nécessaire, non-respect de
procédure de passation des marchés et traitement, non réception ou réception incomplète de la
commande, l’absence de rapprochement entre le BL et la marchandise, BC et BL égarée, et le
service fait n’est pas contrôlé ou est mal contrôlé ( A, E, I, L, M, N), avec une fréquence de 4.

5. Présentation de la cartographie
Cette cartographie nous permet de recenser les différents niveaux des risques.

Très élevé K.C B.H

Impact Elevé F D.G.I. J
Moyen E.L.A. N
 Faible M
Faible Moyenne Elevée Très élevée
Probabilité

Les résultats obtenus d’après le tableau ci-dessus nous a permis de tracer la cartographie des
risques, cette dernière nous montre deux catégories de risques à savoir des risques acceptables
mentionnés par la couleur verte et des risques inacceptables représentés par la couleur rouge.

Les risques inacceptables doivent être préconisés afin de minimiser les risques prévus, pour
cela nous proposons les solutions suivantes :

 Afin d’éviter le risque qui se présente sous forme d’un besoin mal exprimé qui
contribue à l’apparition d’un autre risque qu’est le risque de transmission tardive de
bon de commande, une bonne application d’un réseau de référence persiste ou la
définition des familles de produit adaptées aux besoins de chaque collectivité.
 Concernant le risque fournisseur potentiel non consultés, l’entreprise peut mettre en
place un système d’information à la disposition des acheteurs contenant les
informations des fournisseurs.
 Avertir les demandeurs ou même sanctionner les fournisseurs évitera la livraison hors
délais qui est un risque Confronter dans la plupart des entreprises.

Analyse pour contribution à l’audit interne

Conclusion générale

Les risques évoluent continuellement et parallèlement avec la taille de l’entreprise. Pour cela,
les entreprises doivent prendre des mesures nécessaires pour une réelle mise en place de
l’audit et du management des risques. La gestion des risques est une préoccupation de premier
plan de chaque entreprise, d’où la mise en place de l’audit interne est une nécessité absolue
afin d’épargner chaque entreprise des risques qui peuvent y intervenir au cours de ses
activités.

Les évolutions de l’environnement nous amène à nous remettre en cause sur la culture de
risque qui ne doit pas être sous-estimée, surtout dans les entreprises qui souhaitent débuter le
processus de management des risques.

L'audit interne est une activité qui connait une évolution liée étroitement à l'évolution de
l'entreprise et de son environnement d'une part, et de l'évolution de l'auditeur interne d'autres
parts. L’objet principal de notre travail consiste aux démarches suivies par l’audit interne afin
de réduire les risque prévus ou imprévus.

Après avoir achevé notre étude de cas de l’EPB, que nous avons consacré à l’audit du
processus des achat, l’analyse conduite nous a permis : D’identifier et évaluer les risques
auxquels l’entreprise est confronté, Tracés la cartographie des risques liées à ce processus et
en fin de proposé des solutions ou même des préconisations aux risques inacceptables.

Dans ce sens, La démarche de la gestion des risques utilisée est partiellement fonctionnel au
niveau de l’EPB, cette dernière applique la phase d’analyse : identification et évaluation des
risques sauf pour les cas de qualité, hygiène/sécurité et environnement.

L’audit interne est une fonction qui assure l’efficacité et l’efficience des processus de contrôle
interne et de management des risques, cela est vue et analysé au cours de notre recherche. En
effet, des dispositifs ont été mis en place dans le but de prévenir et de guérir à savoir : la
charte d’Audit, les programmes d’audit, les dossiers d’audit et les papiers de travail.
Table des matières
Introduction Générale .............................................................................................................................. 1
Chapitre I : Généralité sur l’audit interne ................................................................................................ 3
Introduction ............................................................................................................................................. 3
Section 1 : Notion d’audit interne ........................................................................................................... 3
I. Définition de l’audit interne : ...................................................................................................... 3
II. Approche historique de l’audit interne : ...................................................................................... 4
III. Objectifs de l’audit interne : .................................................................................................... 6
IV. Le contrôle interne comme finalité de l’audit interne ............................................................. 7
1. Définition et composantes du contrôle interne ............................................................................ 7
a. Définition du contrôle interne : ............................................................................................ 7
b. Les composantes du contrôle interne : ................................................................................ 8
2. Les objectifs du contrôle interne : ............................................................................................... 9
a. Protection du patrimoine : .................................................................................................... 9
b. Le respect des lois, règlements et politiques de la direction (La conformité) : ................ 9
c. La fiabilité et qualité des informations :............................................................................ 10
d. Efficacité et efficience des informations (Optimisation des ressources) : ....................... 10
3. La mise en œuvre du contrôle interne : ..................................................................................... 10
a. Appréciation des préalables : ............................................................................................. 10
b. Identification des dispositifs spécifiques de contrôle interne : ........................................ 11
c. Validation de la cohérence :................................................................................................ 11
Section 2 : La conduite d’une mission d’audit interne .......................................................................... 13
I. Phase de préparation .................................................................................................................. 13
1. Prise de connaissance du domaine audite .................................................................................. 13
2. Identification des risques ........................................................................................................... 13
3. Définition de la mission ............................................................................................................ 13
II. Phase de réalisation ................................................................................................................... 14
 1. Réunion d'ouverture .................................................................................................................. 14
2. Le programme d'audit ................................................................................................................ 14
3. Le travail sur le terrain .............................................................................................................. 14
a. La démarche logique : ......................................................................................................... 14
b. Les tests : .............................................................................................................................. 15
III. Phase de conclusion............................................................................................................... 15
1. Projet de rapport d'audit ............................................................................................................ 15
2. Le rapport d'audit....................................................................................................................... 15
3. Réunion de clôture..................................................................................................................... 16
Section 3 : Les champs d’application et les normes de l’audit interne.................................................. 17
I. Champs d’application de l’audit interne :.................................................................................. 17
II. Les normes de l’audit interne .................................................................................................... 18
Conclusion ............................................................................................................................................. 24
Chapitre II : Approche conceptuelle du management des risques ......................................................... 25
Introduction ........................................................................................................................................... 25
Section 1 : Fondement du management des risques .............................................................................. 25
I. Historique de la notion du risque............................................................................................... 25
II. Définition et objectifs du management risques ......................................................................... 26
a. Sécurité ................................................................................................................................. 27
b. Qualité .................................................................................................................................. 27
III. Typologie des risques : .......................................................................................................... 27
1. Classification par origine........................................................................................................... 27
2. Classification par nature ............................................................................................................ 29
3. Classification par niveau ........................................................................................................... 29
4. Rôle et responsabilités ............................................................................................................... 30
Section 2 : Processus et cartographie des risques .................................................................................. 31
I. Processus du management des risques .......................................................................................... 31
1. Identification des risques : ......................................................................................................... 31
2. Analyse des risques : ................................................................................................................. 32
3. Planification des risques : .......................................................................................................... 32
4. Suivi des risques : ...................................................................................................................... 33
5. Contrôle des risques : ................................................................................................................ 34
6. Communication des risques :..................................................................................................... 34
II. Les méthodes d’identification des risques ..................................................................................... 37
1. Les méthodes apriori ................................................................................................................. 37
2. Les méthodes a posteriori .......................................................................................................... 38
III. Cartographie des risques............................................................................................................ 41
1. Définition de la cartographie des risques .................................................................................. 41
2. Modalités de réalisation d’une cartographie des risques ........................................................... 41
Section 3 : Le management des risques et l’audit interne ..................................................................... 43
I. Le rôle de l’audit interne dans le management des risques ....................................................... 43
II. La différence entre l’Audit interne et gestion des risques ......................................................... 45
Conclusion ............................................................................................................................................. 45
Chapitre III : La cartographie des risques du processus des achats au sein de l’Entreprise Portuaire de
Bejaia (EPB) .......................................................................................................................................... 46
Introduction ........................................................................................................................................... 46
Section 1 : Présentation, activités et structures de l’EPB ...................................................................... 46
I. Présentation de l’Entreprise Portuaire de Bejaia ....................................................................... 46
II. Historique de l’Entreprise Portuaire de Bejaia .......................................................................... 47
III. Missions et activités de l’Entreprise Portuaire de Bejaia ...................................................... 47
1. Les missions de l’EPB ............................................................................................................... 47
2. Les activités de l’EPB ............................................................................................................... 48
IV. Missions et activités de l’Entreprise Portuaire de Bejaia ...................................................... 48
1. Les directions opérationnelles ................................................................................................... 48
2. Les directions fonctionnelles ..................................................................................................... 50
Section 2 : cartographies des risques ..................................................................................................... 52
I. Elaboration une cartographie des risques liés au processus des achats ..................................... 52
1. Présentation de procédure des achats de l’entreprise ................................................................ 52
2. Les conditions de sélection des fournisseurs ............................................................................. 53
3. Identification des risques liés aux différentes étapes du processus des achats .......................... 54
4. Évaluation des risques ............................................................................................................... 57
5. Présentation de la cartographie .................................................................................................. 58
Conclusion générale .............................................................................................................................. 60