La Sécurité informatique

Qu’est-ce que la sécurité informatique ?

La sécurité informatique consiste à protéger un système informatique contre toute
violation, intrusion, dégradation ou vol de données au sein du système d’information.

Avec l’essor d’internet, et l’utilisation par la majorité des entreprises et des organisation
de processus informatisés, les menaces visant les systèmes d’informations n’ont cessés
d’augmenter et de se sophistiquer, faisant aujourd’hui de la sécurité informatique une nécessité

pour tous les types de structure.

Pourquoi recourir à la protection informatique ?

2017 a été l’année de tous les records ! Par exemple, les cyberattaques avec prise de
contrôle ont connu une hausse de 170 % en 2017. Et 2018 suit la même tendance. Mais
désormais les menaces sont de plus en plus sophistiquées et s’appuient sur de nouvelles
technologies.

Bien que les conséquences des cyberattaques sont désastreuses (fermeture d’entreprises déjà
en difficulté, perte de chance, perte de CA, perte d’image), elles sont devenues de plus en plus
banales.

Les données informatiques sont le cœur d’une entreprise et c’est aujourd’hui elles que visent
en priorité les pirates. Notamment avec de fréquentes attaques par des ransomwares. Si les
entreprises n’ont pas prévu une solide politique de sauvegarde, elles ne pourront pas récupérer
les fichiers chiffrés par les cybercriminels. À noter que le paiement de la rançon ne garantit
aucunement l’obtention de la clé de déchiffrement ! Ces attaques devenues courantes
doivent faire prendre conscience aux dirigeants que la protection de leur système
d’information est indispensable.

Quelle prestation de sécurité informatique choisir ?

Sécurité informatique : action préventives

Les actions préventives sont les premières actions à mettre en oeuvre pour assurer la sécurité
informatique de son entreprise. Elles permettent de réduire le nombre de failles, d’intrusions,
de tentatives de piratages et de pertes de données.
Parmi les actions préventives, on peut distinguer :

 La sensibilisation des utilisateurs :

L’humain étant le principal facteur de risque de sécurité au sein de votre système
d’information, la sensibilisation des collaborateurs est primordiale.
Cette sensibilisation peut être effectuée par la mise en place d’une politique de sécurité
informatique au sein de l’entreprise, d’une charte de sécurité informatique, de formations ou
d’actions de sensibilisation. Des conseils ou un accompagnement ? Contactez nous

 La mise en place d’outils de protection :

 Avoir un système d’information performant, à jour et sécurisé :
 L'audit de sécurité informatique :
 Mieux maîtriser la messagerie électronique avec une messagerie hébergée :

Sécurité informatique : actions curatives

En cas d’incident, d’intrusion ou de contamination des postes ou des données, l’entreprise doit
être prête à répondre à une situation d’urgence et à y faire face.

Ivision vous apporte son aide et son soutien, grâce à un support technique disponible et
réactif, et au travers de plusieurs types de prestations :

PCA (Plan de Continuité d’Activité) / PRA (Plan de retour à l’activité)

Nettoyage des infections et remise en état de fonctionnement du système d’information
Sauvegarde hébergée et redondante
Nos solutions pour la sécurité informatique
Selon vos besoins et vos moyens, vous pouvez accéder à
La Sécurité informatique

Accueil/SÉCURITÉ INFORMATIQUE

Qu’est-ce que la sécurité informatique ?

La sécurité informatique consiste à protéger un système informatique contre toute

violation, intrusion, dégradation ou vol de données au sein du système d’information.

Avec l’essor d’internet, et l’utilisation par la majorité des entreprises et des organisation
de processus informatisés, les menaces visant les systèmes d’informations n’ont cessés d’augmenter et
de se sophistiquer, faisant aujourd’hui de la sécurité informatique une nécessité pour tous les types de
structure.
 Pourquoi recourir à la protection informatique ?

2017 a été l’année de tous les records ! Par exemple, les cyberattaques avec prise de
contrôle ont connu une hausse de 170 % en 2017. Et 2018 suit la même tendance. Mais désormais les
menaces sont de plus en plus sophistiquées et s’appuient sur de nouvelles technologies.

Bien que les conséquences des cyberattaques sont désastreuses (fermeture d’entreprises déjà
en difficulté, perte de chance, perte de CA, perte d’image), elles sont devenues de plus en plus banales.

Les données informatiques sont le cœur d’une entreprise et c’est aujourd’hui elles que visent
en priorité les pirates. Notamment avec de fréquentes attaques par des ransomwares. Si les entreprises
n’ont pas prévu une solide politique de sauvegarde, elles ne pourront pas récupérer les fichiers chiffrés
par les cybercriminels. À noter que le paiement de la rançon ne garantit aucunement l’obtention de la
clé de déchiffrement ! Ces attaques devenues courantes doivent faire prendre conscience aux
dirigeants que la protection de leur système d’information est indispensable.

Quelle prestation de sécurité informatique choisir ?

Sécurité informatique : action préventives

Les actions préventives sont les premières actions à mettre en œuvre pour assurer la sécurité
informatique de son entreprise. Elles permettent de réduire le nombre de failles, d’intrusions,
de tentatives de piratages et de pertes de données.

Parmi les actions préventives, on peut distinguer :

La sensibilisation des utilisateurs :

L’humain étant le principal facteur de risque de sécurité au sein de votre système

d’information, la sensibilisation des collaborateurs est primordiale.
Cette sensibilisation peut être effectuée par la mise en place d’une politique de sécurité
informatique au sein de l’entreprise, d’une charte de sécurité informatique, de formations ou d’actions
de sensibilisation. Des conseils ou un accompagnement ? Contactez nous

 La mise en place d’outils de protection :

 Avoir un système d’information performant, à jour et sécurisé :
 L'audit de sécurité informatique :
 Mieux maîtriser la messagerie électronique avec une messagerie hébergée :

SECURITE INFORMATIQUE : ACTIONS CURATIVES

En cas d’incident, d’intrusion ou de contamination des postes ou des données, l’entreprise doit
être prête à répondre à une situation d’urgence et à y faire face.

Ivision vous apporte son aide et son soutien, grâce à un support technique disponible et réactif,
et au travers de plusieurs types de prestations :

PCA (Plan de Continuité d’Activité) / PRA (Plan de retour à l’activité)

Nettoyage des infections et remise en état de fonctionnement du système d’information

Sauvegarde hébergée et redondante

Nos solutions pour la sécurité informatique

Selon vos besoins et vos moyens, vous pouvez accéder à différents niveaux de service:
 Audit de sécurité informatique
Accueil/SÉCURITÉ INFORMATIQUE/Audit de sécurité informatique

Qu’est-ce qu’un audit de sécurité informatique ?

Un audit de sécurité informatique est une démarche qui permet de connaître le niveau de
sécurité global de son système d’information, mais aussi de mettre à plat la politique d’accès
aux données de l’entreprise et aux différentes configurations réseau.

L’audit de sécurité informatique garantit la disponibilité du système d’information,

l’intégrité de ses données, la confidentialité des accès et fournit des preuves qui permettent de
savoir qui accède, à quel moment, à telle ou telle donnée ou application.

Pourquoi mettre en place un audit de sécurité informatique

?
Le développement d’Internet, l’interconnexion des réseaux et l’interconnexion des appareils sont
tout autant de facteurs qui multiplient les risques informatiques au sein des entreprises.

Qu’il s’agisse de risques internes (manque de sensibilisation des collaborateurs, erreurs et

incidents, accès aux données critiques, malveillance, anciens collaborateurs…) ou de risques
externes (virus, intrusions, phishing, espionnage…) la sécurité du système d’information est
désormais un enjeu de taille dans la gouvernance de toute structure.

L’audit de sécurité est utilisé pour :

 s’assurer de l’intégrité des données et du capital informationnel de l’entreprise.

 découvrir et comprendre les éventuelles vulnérabilités du système d’information
 mettre en place des politiques de protection et de sécurité adaptée au fonctionnement de
l’entreprise et à son système d’information.
AUDIT INFORMATIQUE : L’OFFRE D’IVISION

L’audit de sécurité informatique que vous propose Ivision comporte les éléments suivants :

 la définition des objectifs stratégiques de l’audit à travers une lettre de mission

 l’analyse de l’existant (audit de l’infrastructure physique, audit du système, audit du
réseau et de l’organisation)
 la réalisation de tests d’intrusion et de tests de vulnérabilités
 la délivrance de recommandations et d’un plan d’action pour corriger les vulnérabilités
et réduire les risques
Ces différentes étapes permettent d’évaluer :

 la gestion des mises à jour de sécurité

 la politique d’accès aux données
 la gestion des sauvegardes
 les éventuels plans de reprise ou de continuité d’activité
 les configurations réseau (Firewall, routeurs, Reverse-proxy…)

Audit de sécurité informatique : L’offre Ivision ?

Nos ingénieurs certifiés et expérimentés vous accompagnent dans toute la démarche, de la
définition des objectifs à la mise en place des correctifs. Contactez-nous dès maintenant !
AVANTAGES
 Permet de réaliser l’inventaire matériels et logiciels de son système d’information
 Permet de connaître le niveau de sécurité global de son SI
 Permet de mieux garantir la disponibilité du système d’information
 Permet de définir une politique d’accès
 Permet d’évaluer la sûreté de la politique de sauvegardes
 Permet d’évaluer les configurations réseau
 Constitue la base de la mise en place d’un PCA ou d’un PRA
DÉMARCHE IVISION
 Lettre de mission
  Analyse de l’existant
 Tests d’intrusion et de vulnérabilité
 Recommandations
 Plan d’action
PERSONNALISATION
 Disponibles pour TPE ou pour PME, nos offres s’adaptent aux besoins de votre structure.
N’hésitez pas à nous contacter pour un devis personnalisé.

CONTACTER NOUS POUR UN DEVIS PERSONNALISÉ.

AUDIT INFORMATIQUE – AUDIT DES SYSTEMES D’INFORMATION

Evaluer les risques informatiques, risques des systèmes d'information

Introduction à l'audit informatique

L'audit informatique, l'audit des systèmes d'information évalue les risques d'un environnement informatique ou
d'une application, par exemple, les salaires ou la facturation. Ces missions se font en choisissant avec le client
les processus métiers à évaluer, de même que les processus CobiT à évaluer parmi les 34 proposés.

L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la sécurité
physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc. Ou bien un
ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande précise
du client. Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT permet justement
de rechercher quels processus informatiques répondent le plus efficacement à une telle demande. Dans le cas
de la disponibilité : par exemple la gestion des performances et des capacités et le plan de continuité.

Services offerts:

 Approche générale
 Audit de l'infrastructure informatique
 Audit d'un système - d'une application inforrmatique en cours de réalisation
 Audit d'une application informatique
 Audit de la partie informatique du SCI

Approche générale

Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :

1. Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus
métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse des forces -
faiblesses.
2. Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de
l'efficacité des contrôles.
3. Tests des contrôles.
4. Tests de matérialité.

Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En effet,
il peut servir à évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple,
répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent efficacement
aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant les processus
informatiques proposés par le CobiT qui répondent le mieux à la demande et aux objectifs du client.

Audit de l'infrastructure informatique

Mission
Evaluer les risques des systèmes d'information nécessaires au fonctionnement des applications. Par exemple :
Sécurité physique, sécurité logique, sécurité des réseaux, plan de secours.
Livrable
Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

Audit d'un système - d'une application informatique en cours de réalisation

Mission
Assister l'audit interne à apprécier le projet en cours de réalisation dans les phases suivantes:

 Initialisation - Analyse,
 Conception - Réalisation,
 Tests - Installation,
 ainsi que le processus de Gestion de projet.

Les interventions de l'audit interne durant le projet peuvent concerner:

 Méthodes et standards,
 Gestion de projet,
 Suivi des budgets et des délais,
 Livrables,
 Initialisation - Analyse,
 Conception - Réalisation,
 Tests - Installation,
 Migration des données,
 Revue post-installation.

Approche
Appréciation des processus et/ou enquêtes à l'aide de questionnaires.

Livrables
Mesures proposées de réduction et de contrôle des risques importants relevés; tableaux de bord et autres
documents de contrôle pour la DIrection.

Audit d'une application informatique

Mission
Apprécier une application informatique en production, par exemple une application de gestion des salaires, une
application financière, etc. Très souvent plusieurs domaines font partie d'un audit d'une application, en
particulier:

 les données opérationnelles,

 les données de base,
 les paramètres,
 les interfaces entre l'application et d'autres applications,
 la gestion des droits d'accès à l'application.

Bien entendu, tout audit d'une application doit également apprécier la sécurité de l'infrastructure informatique
nécessaire au fonctionnement de l'application (cf. ci-dessus).

Livrable
Rapport contenant les faiblesses relevées, leur niveau de risque et les mesures correctives proposées.

--------------------------------------------------------------------------------
Système de contrôle interne (SCI)
Audit de la partie informatique du SCI

Définitions

COSO
Selon le COSO - concept SCI le plus connu et reconnu - le SCI est un processus appliqué par les membres du
CA, le management et autres personnes désignées pour fournir l’assurance raisonnable concernant la
réalisation des objectifs dans les trois catégories suivantes :

1. Efficacité et efficience des opérations

2. Fiabilité du reporting financier
3. Respect des lois et règlements applicables (conformité).

Une entreprise peut choisir d'autres catégories, par exemple la stratégie et l'image / la réputation.

Il se compose de cinq composants fortement liés entre eux:

1. Environnement de contrôle
2. Evaluation des risques
3. Activités de contrôle
4. Information - Communication
5. Surveillance.

Il existe des relations directes entre les objectifs – ce que l’entreprise veut atteindre – et les composants – ce
que l’entreprise a besoin pour les atteindre.

Chambre Fiduciaire Suisse

Dans la NAS 890 (Norme d'audit suisse, Vérification de l'existence du SCI), il est indiqué que "Le SCI, au sens
de la présente norme, comprend uniquement les processus et les mesures dans une entreprise qui
garantissent une tenue régulière de la comptabilité et un rapport financier adéquat."

IFACI
Selon l'IFACI, le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.

Processus PDCA

Nous proposons un processus de gestion du SCI (PDF F) (PDF E) respectant l'approche PDCA (Plan, Do,
Check, Act) pour la mise en place et la gestion d'un SCI.

Ce concept vise fortement à augmenter l'efficacité et l'efficience des processus (optimisation du SCI) de
l'entreprise et à rationaliser les contrôles.

Le SCI et l'informatique

La mise en place du SCI de la partie informatique suit le concept COSO de mise en place du SCI, en
considérant les systèmes d'information (applications et infrastructure) nécessaires au fonctionnement des
processus métiers / business.

Il existe deux types de contrôles informatiques : Les contrôles généraux et les contrôles dans les applications.
Les contrôles dans les applications servent au contrôle du traitement des applications, depuis la saisie des
opérations jusqu'à la sortie des données.

Les contrôles généraux comprennent tous les contrôles de l'infrastructure informatique nécessaire au
fonctionnement des applications. Par exemple, la gestion de l'exploitation, les logiciels d'exploitation, la
sécurité des accès, le développement et la maintenance des systèmes et des applications, la gestion des
changements.

Les entreprises peuvent s'appuyer sur des normes reconnues pour choisir les contrôles informatiques les plus
appropriés pour atteindre leurs objectifs SCI, par exemple, le référentiel CobiT ou la norme ISO 27002.

Audit de la partie informatique du SCI

Apprécier si l'informatique / le système d'information de l'entreprise respecte les exigences du système de

contrôle interne, en considérant les domaines de contrôle (CobiT) suivants :

 Environnement de contrôle
 Information et communication
 Evaluation des risques
 Pilotage
 Acquérir et maintenir les logiciels et l'infrastructure technologique
 Installer et certifier les solutions et gérer les changements
 Gérer les niveaux de service et les services des tiers
 Assurer le service continu
 Sécurité physique et logique
 Gestion des incidents de sécurité
 Gestion de la configuration
 Gestion des données
 Gestion de l'exploitation
 Informatique utilisateur

Budget estimé:

 Petite entreprise : 3 jours

 Moyenne entreprise : 5 jours
 Grande entreprise : 10 jours
 Tests d'intrusion en option
SYSTEME DE CONTROLE INTERNE (SCI)
AUDIT DE LA PARTIE INFORMATIQUE DU SCI
Définitions

COSO
Selon le COSO - concept SCI le plus connu et reconnu - le SCI est un processus appliqué par les membres du
CA, le management et autres personnes désignées pour fournir l’assurance raisonnable concernant la
réalisation des objectifs dans les trois catégories suivantes :

1. Efficacité et efficience des opérations

2. Fiabilité du reporting financier
3. Respect des lois et règlements applicables (conformité).

Une entreprise peut choisir d'autres catégories, par exemple la stratégie et l'image / la réputation.

Il se compose de cinq composants fortement liés entre eux:

1. Environnement de contrôle
2. Evaluation des risques
3. Activités de contrôle
4. Information - Communication
5. Surveillance.

Il existe des relations directes entre les objectifs – ce que l’entreprise veut atteindre – et les composants – ce
que l’entreprise a besoin pour les atteindre.

Chambre Fiduciaire Suisse

Dans la NAS 890 (Norme d'audit suisse, Vérification de l'existence du SCI), il est indiqué que "Le SCI, au sens
de la présente norme, comprend uniquement les processus et les mesures dans une entreprise qui
garantissent une tenue régulière de la comptabilité et un rapport financier adéquat."

IFACI
Selon l'IFACI, le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.

Processus PDCA

Nous proposons un processus de gestion du SCI (PDF F) (PDF E) respectant l'approche PDCA (Plan, Do,
Check, Act) pour la mise en place et la gestion d'un SCI.

Ce concept vise fortement à augmenter l'efficacité et l'efficience des processus (optimisation du SCI) de
l'entreprise et à rationaliser les contrôles.

Le SCI et l'informatique

La mise en place du SCI de la partie informatique suit le concept COSO de mise en place du SCI, en
considérant les systèmes d'information (applications et infrastructure) nécessaires au fonctionnement des
processus métiers / business.
 Il existe deux types de contrôles informatiques : Les contrôles généraux et les contrôles dans les applications.

Les contrôles dans les applications servent au contrôle du traitement des applications, depuis la saisie des
opérations jusqu'à la sortie des données.

Les contrôles généraux comprennent tous les contrôles de l'infrastructure informatique nécessaire au
fonctionnement des applications. Par exemple, la gestion de l'exploitation, les logiciels d'exploitation, la
sécurité des accès, le développement et la maintenance des systèmes et des applications, la gestion des
changements.

Les entreprises peuvent s'appuyer sur des normes reconnues pour choisir les contrôles informatiques les plus
appropriés pour atteindre leurs objectifs SCI, par exemple, le référentiel CobiT ou la norme ISO 27002.

Audit de la partie informatique du SCI

Apprécier si l'informatique / le système d'information de l'entreprise respecte les exigences du système de

contrôle interne, en considérant les domaines de contrôle (CobiT) suivants :

 Environnement de contrôle
 Information et communication
 Evaluation des risques
 Pilotage
 Acquérir et maintenir les logiciels et l'infrastructure technologique
 Installer et certifier les solutions et gérer les changements
 Gérer les niveaux de service et les services des tiers
 Assurer le service continu
 Sécurité physique et logique
 Gestion des incidents de sécurité
 Gestion de la configuration
 Gestion des données
 Gestion de l'exploitation
 Informatique utilisateur

Budget estimé:

 Petite entreprise : 3 jours

 Moyenne entreprise : 5 jours
 Grande entreprise : 10 jours
 Tests d'intrusion en option >

 Planifiez une politique d'audit au sein de votre entreprise >

 Construisez vos plans d'audit pluriannuel et annuel
 Mis à jour le 17/10/2019

Construisez vos plans d'audit pluriannuel et annuel

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Vous l’avez compris : le plan d’audit, c’est-à-dire votre programme de missions, ne se fera
pas sans analyse des risques. Dans le chapitre précédent, je vous ai présenté la démarche,
qui peut être synthétisée par le biais du schéma ci-dessous :

Dans ce chapitre, je vous présente un exemple concret, qui permettra d’illustrer la

démarche et d’aboutir à un plan d’audit.

Mettez-vous en situation
Vous avez été recruté dans une entreprise qui vend en ligne des matériaux de construction
à des professionnels du secteur du bâtiment, en vue de définir une stratégie d’audit et
de déployer le plan d’audit qui en résulte. Étant donné que vous serez le seul à réaliser les
audits et que vous ne pourrez faire appel à des prestataires que sur des expertises que vous
ne possédez pas, vous devrez prioriser les thématiques d’audit identifiées et présenter
votre démarche auprès de votre direction et des parties prenantes.

Cette entreprise est une filiale d’un grand groupe, qui produit et distribue des matériaux
pour le bâtiment. Elle a été créée il y a plus de 2 ans et compte plus de 100 salariés.

L’entreprise a pour objectif d’augmenter le chiffre d’affaires tout en maintenant un

niveau de service client élevé. Elle n’a pas d’objectif de marge, car le groupe est en
mesure de lui fournir des ressources financières suffisantes.

Pour atteindre cet objectif, elle doit acquérir de nouvelles parts de marché en attirant
une nouvelle clientèle non connue par le groupe, composée de petits artisans et
d’entrepreneurs.

Le service client doit être de haute qualité. C’est pourquoi elle fait appel à une société
externe spécialisée dans la gestion des appels clients. Le call center se trouve en France,
ouvert sur des plages d’horaires étendues. Les magasins et les points de ventes, où les
commandes peuvent être retirées, doivent se situer dans des zones d’activité denses.
En outre, la plateforme e-commerce doit être très performante et fonctionner 24 heures
sur 24 et 7 jours sur 7.

Les fonctions de l’entreprise sont présentées ci-après :

 la direction générale doit rendre des comptes au groupe, la fonction d’audit y est
rattachée ;
 la direction financière est en charge du pilotage financier uniquement ; les
fonctions de comptabilité et de paie sont externalisées dans le groupe ;
 la direction des ressources humaines s’occupe du recrutement et de la gestion
des carrières ;
 la direction digitale, SI et logistique regroupe les équipes en charge :
o de la logistique, c’est-à-dire l’approvisionnement et le stockage des produits,
o des transports,
o et des SI (applications de gestion d’entrepôt et de transport de types WMS et
TMS, flux avec les applications du groupe, application achats, CRM,
reporting),
o ainsi que du digital, à savoir la plateforme e-commerce où les clients peuvent
consulter le catalogue de produits et commander en ligne, pour se faire livrer
dans les magasins de l’entreprise ou les points de vente du groupe ;
 la direction des achats est en charge d’acheter les produits auprès du groupe et
d’autres entreprises, et de déterminer les prix de vente ;
 la direction commerciale s’occupe de la relation commerciale avec les entreprises
clientes et de la gestion des points de vente. Cette direction gère également la
relation avec le call center, une entreprise externe, dont les téléopérateurs sont
chargés de passer des commandes pour les clients qui n’utilisent pas le site e-
commerce ;
 la direction marketing s’occupe des campagnes de promotions, et de la
communication.

Au moyen des informations et documents que vous avez collectés à votre arrivée,
vous avez défini cet univers d’audit réaliste et adapté au contexte de votre entreprise.

Étant donné la création assez récente de l’entreprise, il n’y a pas de projets en cours :

 thématiques techniques :
o la plateforme e-commerce (sécurité, infrastructure, etc.),
o les flux entre la plateforme et les autres applications, qu’elles soient internes
ou gérées par le groupe ;
o les applications des achats, de gestion d’entrepôt et de transport ;
 thématiques organisationnelles :
o le processus des achats et des approvisionnements,
o la gestion des stocks,
o le pilotage financier, et plus particulièrement du chiffre d’affaires,
 o le processus de vente en magasin,
o la gestion de la relation client par le call center,
o le processus de vente par téléphone,
o les pratiques commerciales,
o le recrutement et la gestion de carrières ;
 thématiques réglementaires :
o la conformité au RGPD.
Votre univers d’audit dans cet exemple est composé de douze thématiques qui peuvent
être auditées.

L’identification des risques

Vous avez organisé un brainstorming avec des personnes clés de l’entreprise, et vous avez
identifié six grands risques à partir de la structure organisationnelle :

 des risques SI et digitaux : indisponibilité de la plateforme e-commerce,

cybermalveillance, cyberattaque ;
 des risques liés aux achats et aux pratiques commerciales, tels que la corruption et
la fraude ;
 des risques ressources humaines, étant donné la précédente grève du personnel
dans les entrepôts, qui a bloqué l’activité pendant plusieurs semaines ;
 des risques opérationnels liés à la gestion, la maintenance et la sécurité des
infrastructures (entrepôts et points de vente), notamment les incendies ou dégâts
des eaux ;
 des risques juridiques : litiges avec les clients et fournisseurs, non-respect du code
du commerce, etc. ;
 des risques marketing : la non-satisfaction des clients, qui peut impacter l’image de
l’entreprise et ne permet pas de fidéliser la clientèle ;
 des risques financiers, tels que des erreurs de stocks et de prix.
L’évaluation des risques

Chaque risque doit être évalué au regard des objectifs de l’entreprise, de leur probabilité
d’apparition et de l’impact financier (perte potentielle de chiffre d’affaires ou dépenses non
prévues).

Pour le premier composant “plateforme e-commerce” de l’univers d’audit, vous vous êtes
posé les questions suivantes :

 Concernant les risques SI et digitaux : quelle est la probabilité d’occurrence que la

plateforme e-commerce soit indisponible, et quel en serait l’impact financier sur une
échelle de 1 à 3, 1 étant faible et 3 élevé ?
  Concernant les risques RH : quelle est la probabilité d’occurrence d’une perte des
connaissances de la plateforme e-commerce (départ d’un collaborateur), et quel en
serait l’impact financier ?
 Concernant les risques opérationnels liés à la gestion, la maintenance et la sécurité
des infrastructures : quelle est la probabilité d’occurrence de l’indisponibilité du
data center hébergeant la plateforme e-commerce, et quel en serait l’impact
financier ?
 Concernant les risques juridiques : quelle est la probabilité d’occurrence du non-
respect des conditions de vente de la plateforme e-commerce, et quel en serait
l’impact financier ?
 Concernant les risques marketing : quelle est la probabilité d’occurrence qu’un
client ne soit pas satisfait de son expérience sur la plateforme e-commerce, et quel
en serait l’impact financier ?
 Des risques financiers : quelle est la probabilité d’occurrence qu’un prix d’un
produit ou que les stocks indiqués sur la plateforme e-commerce soient erronés, et
quel en serait l’impact financier ?
Le même type de question sera posé pour chacun des douze composants de l’univers
d’audit, décliné sur les six grands risques. Je vous avais bien prévenu que la démarche
d’identification et d’évaluation des risques peut être longue, d’où l’intérêt de ne pas avoir
un trop grand nombre de risques à analyser.
La fréquence ou probabilité d’occurrence

L’échelle de fréquence (F) utilisée est la suivante :

 faible probabilité que le risque survienne, cotation 1 ;

 probabilité moyenne que le risque survienne, cotation 2 ;
 probabilité élevée que le risque survienne, cotation 3.
Les impacts sur l’entreprise

L’échelle de gravité (G) utilisée est présentée ci-dessous :

 impact potentiel sur l’organisation limité, cotation 1 ;

 potentiel d’impact modéré pour l’ensemble de l’organisation, cotation 2 ;
 potentiel d’impact élevé, cotation 3.
La criticité du risque

Le scoring est le résultat de la somme des criticités (C) des six risques identifiés (fréquence
x gravité).

Ce tableau qui suit donne le résultat final de l’évaluation des risques.

Tableau d'évaluation des risques

Cette image est également accessible en format Excel.
La définition de l'univers d'audit et l'évaluation des risques sont des étapes préalables à la
formalisation des plans d'audit pluriannuel et annuel. Vous allez construire le plan d’audit
annuel, composé des audits à mener à court terme sur l’année, et le plan d’audit
pluriannuel, sur 3 à 5 ans car vous n’aurez pas le temps de réaliser tous les audits.
Le plan d’audit annuel

Les scores des composants d’audit s’étendent de 7 à 31.

Pour les scores les plus élevés, il est évident que la plateforme e-commerce et les
applications et flux associés devront être audités dans un premier temps. Étant donné le
secteur d’activité, le bâtiment et la distribution, les pratiques commerciales mériteraient
d’être revues afin de détecter toute fraude et corruption, qui peuvent faire gonfler le chiffre
d’affaires et mettre en péril l’entreprise.

Votre plan d’audit annuel comporte ainsi les thématiques suivantes :

 la plateforme e-commerce (sécurité, infrastructure, etc.) ;

 les applications des achats, de gestion d’entrepôt et de transport ;
 les flux entre la plateforme et les autres applications ;
 les pratiques commerciales.
Le plan d’audit pluriannuel

Concernant les autres thématiques d’audit, ayant obtenu des scores moyen et faible, le plan
d’audit pluriannuel sera le suivant :

Plan pluriannuel
Cette image est également accessible en format Excel.

Le cycle d’audit proposé est déterminé à partir du scoring également. Il n’est pas définitif et
peut être revu au moment de l’élaboration du plan d’audit annuel, à la suite d’une nouvelle
évaluation des risques et en fonction des nouveaux objectifs de l’entreprise.

Selon le cycle d’audit, pour les thématiques d’audit à auditer tous les ans, cela ne signifie
pas que vous allez réaliser la même mission d’audit chaque année. Lors de la préparation
de vos missions d’audit, vous allez déterminer les objectifs et le périmètre de la mission,
qui changeront d’une année sur l’autre, en fonction de l’exposition aux risques.
Je vous expliquerai comment préparer les missions d’audit dans la partie suivante du cours.
Les demandes de missions de conseil et d’assurance

Le plan d'audit annuel doit prendre en compte les demandes spécifiques de missions de
conseil et d’assurance, adressées par les parties prenantes (le conseil d'administration et la
direction générale).
Par exemple, imaginez que les parties prenantes souhaitent connaître le degré de
conformité au GDPR dans l’entreprise, et connaître les actions à mener pour éviter toute
sanction de la CNIL. Même si vous l’avez priorisé l’année prochaine, vous devrez réaliser
sur l’année en cours une mission d’assurance.
Il se peut que ce type de demande soit sur un sujet spécifique et précis, ou qu’il soit formulé
à la suite de précédents travaux d’audit. Ces demandes peuvent également survenir de
manière inopinée au cours de la réalisation du plan d’audit annuel, comme une demande
d’enquêtes sur des soupçons de fraude, ou une demande d’examen des activités de
prestataires de services.
Dans la mesure du possible, ces demandes doivent être prises en compte au cours de la
phase de planification de l’audit. En tant que responsable de l’audit, vous allez accepter ou
refuser des projets de missions de conseil en fonction de :

 la capacité de la mission à réduire les risques auxquels est exposé l’entreprise ;

 la valeur ajoutée que la mission apportera aux activités et à l’organisation.
Évaluez les ressources

Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez été amené à analyser les
forces et les faiblesses, les opportunités et les menaces relatives à la gestion des
compétences en interne, en vue de réaliser les missions d’audit, et aux ressources dont
vous disposez. Vous avez donc envisagé de mettre en place des stratégies de sous-
traitance et d’externalisation :

 la sous-traitance partielle : des ressources internes réalisent une partie des

activités, et les ressources externes fournissent les compétences spécialisées ;
 l’externalisation complète : toutes les missions d’audit sont réalisées par des
prestataires externes.
En tant que manager et responsable, vous disposez de ressources humaines, en interne ou
à l’extérieur de l’entreprise, et de ressources financières pour remplir votre rôle et réaliser
vos missions.

Après avoir élaboré le plan d’audit, je vous recommande fortement de construire une
feuille de route comportant un plan de charge. Ce document recense toutes les activités
de la fonction d’audit (les audits à préparer, à réaliser et à suivre, la préparation et la
participation à des comités, le reporting à élaborer, etc.) et le temps de travail estimé. Dans
le cas où vous êtes le seul responsable et auditeur, vous devez estimer votre temps de
travail pour chacune des activités.

La disponibilité des ressources humaines est généralement déterminée sur une base
annuelle et repose à la fois sur le nombre d’auditeurs en ETP (équivalent temps plein), et
sur les compétences nécessaires. À noter qu’un collaborateur avec un statut “cadre” qui
travaille à temps plein est disponible environ 210 jours sur l’année, congés compris. Sur
cette base, vous devrez soustraire les activités non liées à l’audit ou les périodes non
travaillées, telles que le temps de formation et les séminaires.
Faites valider le plan d’audit
Le plan d’audit pluriannuel et le plan d’audit annuel doivent être présentés et être validés
par votre direction générale ainsi que par les parties prenantes, à savoir le groupe. Ces
plans précisent également le périmètre d'intervention de la fonction de l’audit, et doivent
être annexés à la charte d’audit.

Selon la norme 2020 “communication et approbation” :

“Le responsable de l'audit interne doit communiquer à la direction générale et au Conseil
son plan d'audit et ses besoins en ressources, pour examen et approbation, ainsi que tout
changement important susceptible d'intervenir en cours d'exercice. Le responsable de
l'audit interne doit également signaler l'impact de toute limitation de ses ressources.”
La validation officielle du plan d’audit représente un soutien formel et une preuve du
sponsorship de la direction et du groupe. Ce sera également l’occasion
de sensibiliser votre direction sur les budgets à débloquer et les dépenses à prévoir pour
faire appel à des prestataires externes en vue de réaliser certaines missions d’audit.

La mission d’audit de conformité GDPR, demandée par les parties prenantes, pourra être
menée par un prestataire externe, qui aura une expertise juridique sur ce domaine.

Améliorez en continu votre plan d’audit

Le plan d'audit s'intègre dans un processus cyclique “plan, do, check, and act” (planifier,
réaliser, vérifier, ajuster), afin d'être ajusté périodiquement en fonction de la stratégie de
l'entreprise et de la survenance de nouveaux risques :

 planifier : dans cette partie du cours, vous avez appréhendé la planification des
audits et appris comment élaborer un plan d’audit ;
 réaliser : après la validation du plan d’audit, vous allez le mettre en œuvre sur
l’année ;
 vérifier : à la fin de l’année, vous ferez un bilan des audits réalisés et vous allez
identifier les écarts entre vos prévisions et vos réalisations. Quels ont été les retards
? Les demandes de conseils et d’assurance non prévues ont-elles été nombreuses ?
Les ressources humaines et financières ont-elle été suffisantes, etc. ? Vous pouvez
organiser un retour d’expérience avec les membres de votre équipe, les prestataires
d’audit et/ou les audités, sous la forme d’un brainstorming dans le cadre de ce bilan
;
 ajuster : à la suite de ce retour d’expérience et de ce bilan, vous allez construire un
plan d’action à mettre en œuvre afin que le prochain plan d’audit se déroule dans de
meilleures conditions, et qu’il réponde au mieux aux objectifs stratégiques de
l'entreprise et à la survenance de nouveaux risques.
En résumé :
 le plan d’audit permet de préciser le périmètre d'intervention de la fonction de
l’audit dans l’entreprise, et doit être annexé à la charte d’audit ;
 les demandes de missions de conseil et d’assurance doivent être prises en
compte dans la phase de planification et être challengées par la fonction d’audit ;
  le plan d’audit doit être validé par la direction et les hautes instances de
l’entreprise ;
 le plan d'audit s'intègre dans une démarche d’amélioration continue, afin de
toujours répondre aux objectifs stratégiques de l'entreprise et contribuer à la
maîtrise des risques.

 #

ANALYSEZ LES RISQUES POUR PRIORISER LES AUDITSQUIZ : ÉLABOREZ UN PLAN

D'AUDIT Planifiez vos audits

1. Définissez votre univers d'audit

2. Déterminez le cadre législatif et normatif des audits
3. Analysez les risques pour prioriser les audits
4. Construisez vos plans d'audit pluriannuel et annuel

 Quiz : Élaborez un plan d'audit





Le professeur

Annie Le Clair
Consultante et auditrice expérimentée
Analysez les risques pour prioriser les audits
Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Vous avez défini l’univers d’audit ; l’étape suivante dans l'élaboration d'un plan d’audit
consiste en une évaluation des risques des thématiques identifiées.

Dans ce chapitre, j’aborderai les concepts généraux sur l'évaluation des risques, ce qui vous
aidera à construire un plan d'audit pragmatique et efficace. Dans le chapitre qui suit, je
vous présenterai un cas d’entreprise, afin de mettre la théorie en pratique et d’illustrer la
démarche d’évaluation des risques.

Avant d’attaquer ces travaux, vous devez absolument avoir une vision globale et
systémique de votre entreprise. Chose faite, car vous avez construit cette vision grâce à
votre réflexion sur la stratégie d’audit et sur l’univers d’audit !

Découvrez l’approche d’analyse des risques

Qu’est-ce qu’un risque ?
L’IIA donne une définition éclairante : le risque est la « possibilité que se produise un
événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en
termes de conséquences et de probabilité. »

En d’autre termes, le risque est la menace qu'un événement, une action ou

une inaction affecte :

 la capacité de l'entreprise à atteindre ses objectifs ;

 ses principaux actifs (actifs corporels, incorporels, financiers, humains….).
Si votre entreprise a décidé de mettre en place une fonction d’audit interne, elle doit
forcément se doter d’un management des risques, à savoir un processus qui permet de :
 faire un inventaire les événements pouvant se produire et qui empêcheraient
l’atteinte des objectifs de l’entreprise ;
 évaluer les niveaux du risque, en fonction des impacts financiers et de la probabilité
de survenance ;
 identifier les activités nécessaires pour maintenir ces risques à un niveau
acceptable. On parlera de contrôle ou de dispositifs de maîtrise des risques.
Rapprochez-vous de la fonction en charge de la gestion des risques, afin d’obtenir la
cartographie associée. Dans le cas contraire, vous devrez mettre en œuvre une démarche
de gestion des risques. Pour en savoir davantage, je vous invite à suivre le cours sur
l'analyse de risques (sortie prévue en septembre 2019).

Cette étape est fondamentale dans cette phase de planification. Elle respecte la norme
professionnelle 2010 du CRIPP “planification” :
“Le responsable de l'audit interne doit établir un plan d’audit fondé sur une approche par
les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.”
Ne faites pas l’impasse sur l’analyse des risques car elle vous semble compliquée ou
fastidieuse.
Revenons à l’objet de ce chapitre qui est de construire un plan d’audit. Dans ce contexte,
vous avez le choix entre :

 vous appuyer sur l’analyse des risques existante ;

 procéder à une autre identification et une autre évaluation des risques plus globale,
afin de prioriser les audits à réaliser dans le cadre de votre plan d’audit.
C’est pour cette raison que je vous propose de partir sur le second choix : procéder à
une évaluation des risques plus macro, une méthode plus simple à appliquer. L’objectif
est d’identifier et d’évaluer entre cinq et dix grands risques aux maximum. Si vous décidez
de vous appuyer sur une cartographie existante, vous allez devoir regrouper tous les
risques dans des catégories, et revoir leur évaluation.

Pour élaborer un plan d’audit et prioriser les composants de l’univers d’audit, la démarche
est la suivante :

1. Identifier et prendre en compte les objectifs de l’entreprise.

2. Identifier les grands risques par fonction de l’entreprise : informatiques,
opérationnels, juridiques, marketing, financiers, ressources humaines (RH), sur la
base de la cartographie des processus ou de l’organigramme de votre entreprise.
3. Pour chaque composant de votre univers d’audit, évaluer chacun des risques par
rapport aux objectifs de l’entreprise.
Nous allons revenir plus en détail sur chaque étape dans les sections ci-dessous.

Repartez de vos précédentes réflexions

Avant d’identifier les grands risques, vous devez avoir une connaissance plus poussée de
votre entreprise, et plus précisément :

 son organisation, ses processus et leur fonctionnement ;

 les objectifs de l’entreprise.
L'organisation de l'entreprise, ses processus et leur fonctionnement
Vous avez en votre possession une cartographie des processus et des SI, ainsi que
l’organigramme.

Les objectifs de l’entreprise

Vous avez déjà réfléchi sur les objectifs stratégiques dans le cadre de l’élaboration de votre
stratégie d’audit.

Appuyez-vous sur des documents internes et officiels, comme le plan stratégique et le

schéma directeur des SI.
Les objectifs stratégiques de l’entreprise sont vastes, par exemple devenir leader sur le
marché. Certains sont beaucoup plus tactiques et opérationnels, comme moderniser le SI
en remplaçant les applications par un progiciel de gestion intégré (ou ERP).
L’objectif stratégique “devenir leader sur le marché” pourra être décliné en plusieurs
objectifs plus opérationnels, tels que “se développer à l’international”, “renforcer sa
présence locale”, “proposer des produits et services innovants”, etc.

Associez les objectifs à l’univers d’audit

Votre univers d’audit se compose :

 des thématiques organisationnelles et techniques pouvant faire l’objet d’un audit ;

 des projets en cours dans l’entreprise ;
 des référentiels externes, regroupant les bonnes pratiques du secteur et/ou du
métier ;
 des référentiels internes, qui sont les politiques et les procédures mises en oeuvre
dans l’entreprise pour garantir la bonne réalisation des activités ;
 des réglementations et lois.
Pour chacun des composants de votre univers d’audit, vous allez vous interroger sur
l’objectif à atteindre. Cette réflexion permet de s’assurer que les audits à mener sont bien
en lien avec les objectifs de l’entreprise, et permettront de l’aider à les atteindre.
Par exemple, un projet informatique que vous avez identifié aura probablement comme
objectif de moderniser le SI en remplaçant les applications par un progiciel de gestion
intégré (ou ERP).

Identifiez les risques et évaluez-les

Dans ce chapitre, je vous propose une méthode générale d’analyse de risques adaptée au
contexte d’élaboration d’un plan d’audit. Si vous souhaitez approfondir ce sujet, je vous
invite à suivre le cours Gérez et analysez les risques SI (sortie septembre 2019).

Dans cette démarche générale, je vous propose de vous concentrer sur les risques
par fonction de l’entreprise.

Vous pouvez appliquer d’autres méthodes d’analyse des risques. Par exemple, si votre
périmètre ne concerne que les SI de votre entreprise, la méthode EBIOS (Expression des
besoins et identification des objectifs de sécurité) sera plus pertinente.

L’identification des risques

À partir de la cartographie des processus et/ou de l’organigramme, pour chaque fonction
de l’entreprise, vous allez identifier les événements qui pourraient se produire ou qui se
sont déjà produits, et qui empêcherait l’atteinte des objectifs de l’entreprise.

Par exemple, selon l’organisation de votre entreprise, vous aurez plus ou moins six
“grands” risques : systèmes d’information, opérationnels, juridiques, marketing, financiers,
ressources humaines.
Pour la fonction des SI, vous allez identifier les principaux événements qui pourraient se
produire ou qui se sont déjà produits, qui entraveraient les activités, tels qu’une
cyberattaque ou le déploiement défectueux, volontaire ou involontaire, d’un changement
dans le SI.

Comment identifier un risque ?

Ces travaux d’analyse de risque seront réalisés par vous-même et/ou avec d’autres
personnes ayant une très bonne connaissance de l’entreprise.

En fonction du temps que vous souhaitez consacrer à ces travaux, voici les moyens
d’identification des risques :

 l’analyse dysfonctionnelle des processus : si le pire doit arriver… ;

 l’analyse du retour d’expérience formel, à partir des incidents survenus
répertoriés dans une base, des rapports d’audit interne et/ou des rapports des
commissaires aux comptes ;
 l’analyse du retour d’expérience informel, en organisant des entretiens
d’identification des risques avec le management, les collaborateurs, les clients et
fournisseurs, des experts, etc. ;
 les séances de créativité (brainstorming) ;
 et l’inspection sur le terrain, à la suite des entretiens et des analyses de retour
d’expérience.
L’évaluation des risques
Pour prioriser les composants de votre univers d’audit et les missions d’audit à réaliser,
vous allez évaluer la possibilité qu’un événement survienne au sein de la fonction et qui
empêcherait l’atteinte des objectifs de l’entreprise.

Cette évaluation est basée sur deux paramètres :

 la fréquence ou la probabilité d’occurrence ;

 la gravité, ou l’impact sur l’entreprise si l’événement se produit.
La fréquence ou probabilité d’occurrence

La fréquence doit se mesurer sur plusieurs niveaux, de faible à élevée. Au minimum,

l’échelle comporte trois niveaux, chaque niveau ayant une cotation.

Je vous présente ci-dessous un exemple d’échelle simplifiée relative à la probabilité

d’occurrence.

Niveau Description Cotation

Faible La probabilité d’apparition est peu probable sur 3 ans. 1

Moyen La probabilité d’apparition est plausible sur 3 ans. 2

 Élevé La probabilité d’apparition est élevée et très probable sur 3 ans. 3
Les impacts sur l’entreprise

Dans cette approche, nous n'allons nous intéresser qu’aux impacts financiers, c’est-à-dire
les dépenses que l’entreprise pourraient engager ou la perte de chiffre d’affaires potentielle
si le risque se matérialise.

L’échelle simplifiée est la suivante :

Niveau Description Cotation

Limité Le potentiel d’impact sur l’organisation est limité et faible, ce qui 1

engendrerait des dépenses raisonnables et/ou une faible baisse du
chiffre d’affaires.

Modéré Le potentiel d’impact est modéré pour l’ensemble de l’organisation, ce 2

qui engendrerait des dépenses importantes et/ou une baisse du chiffre
d’affaires.

Élevé Le potentiel d’impact est élevé pour l’ensemble de l’organisation, ce 3

qui pourrait mettre en péril la santé financière de l’entreprise.
Vous trouverez ci-dessous un autre exemple de grille d’évaluation plus développée à quatre
niveaux.

Grille d'évaluation à quatre niveaux

Cette image est également accessible en format Excel.
La criticité du risque

L’évaluation d’un risque consiste à calculer sa criticité. La formule est la suivante :

Criticité = Fréquence x Gravité

Pour chaque composant de l’univers d’audit et afin de savoir lequel doit être audité en
priorité, vous allez :

 évaluer la probabilité d’occurrence et l’impact de chaque risque identifié. Plus

vous aurez de risques, plus l’évaluation sera consommatrice de temps et pourra être
compliquée. C’est pourquoi je vous recommande fortement, dans le cadre de la
planification des audits, d’identifier de cinq à dix risques ;
 multiplier la cotation attribuée à la probabilité d'occurrence par celle de
l’impact, pour obtenir la criticité du risque ;
 additionner les criticités de tous les risques, afin de calculer le score de votre
composant dans l’univers d’audit.
 Pour prioriser les composants de votre univers d’audit et construire votre plan d’audit, je
vous propose le tableau suivant à compléter.

Tableau de calcul des risques

Cette image est également accessible en format Excel.

Les composants de l'univers d'audit ayant un score élevé devront être audités en
priorité. En fonction du score, la fréquence du cycle d'audit sera également déterminée :

 l’audit devra être réalisé tous les 1 à 2 ans pour un score élevé ;
 l’audit devra être réalisé tous les 2 à 3 ans pour un score moyen ;
 l’audit devra être réalisé tous les 3 à 5 ans pour un score faible.
En résumé :
 l’analyse de risque est indispensable dans la phase d’élaboration du plan d’audit,
afin de définir les audits prioritaires alignés avec les objectifs de l’entreprise ;
 un risque est la menace qu'un événement, une action ou une inaction se
produise, et affecte la capacité de l'entreprise à atteindre ses objectifs ;
 l’évaluation d’un risque est basée sur deux paramètres : la probabilité
d’occurrence, ou fréquence, et l’impact sur l’entreprise si l’événement se
produit, ou gravité. La multiplication de ces deux paramètres permet de calculer
la criticité du risque.
Vous avez compris les principaux concepts de l’évaluation des risques ? Je vous propose dans le
chapitre suivant un exemple concret, qui permettra d’illustrer la démarche et d’aboutir à un
plan d’audit aux petits oignons.

 #

DÉTERMINEZ LE CADRE LÉGISLATIF ET NORMATIF DES AUDITSCONSTRUISEZ VOS

PLANS D'AUDIT PLURIANNUEL ET ANNUEL

Planifiez vos audits

1. Définissez votre univers d'audit

2. Déterminez le cadre législatif et normatif des audits
3. Analysez les risques pour prioriser les audits
4. Construisez vos plans d'audit pluriannuel et annuel

 Quiz : Élaborez un plan d'audit




Le professeur
LA CONDUITE D’UNE MISSION D’AUDIT INTERNE
Toute mission d’Audit est réalisée en trois étapes
essentielles:

1ère étape : La préparation de la mission

2ème étape : La réalisation de la mission

3ème étape : La conclusion de la mission

1/ LA PREPARATION DE LA MISSION

Pendant cette étape l’Auditeur réalise tous les tra

vaux préparatoires avant de passer à l’action. Il s’agit
d’établir un ordre de mission, procéder à la prise
de connaissance de l’unité à auditer identifier les
points
de contrôles et les risques associés
1-1- L’ordre de mission
C’est le mandat donné par la direction Générale à l
’Auditeur pour la réalisation d’une mission d’audit
.
L’ordre de mission doit être court et précis.

EXEMPLE D’ORDRE DE MISSION

A Monsieur le directeur De l’Audit Interne

Objet
Audit de la Gestion Ressources Humaines
Copie pour information :
Le Directeur des Ressources Humaines
Le président Directeur Général autorise le Directe
ur de l’Audit interne à réaliser une mission
d’Audit de la fonction Ressources Humaines, et ce à
partir du 9 Décembre 1998. La mission concernera
non seulement la Direction des Ressources Humaines
mais également tous les services susceptibles
d’être intéressés par la fonction
Le directeur des Ressources Humaines portera l’or
dre de mission à la connaissance de tous les

1-2-La prise de connaissance

La prise de connaissance de l’unité auditée suppose l’examen de trois éléments essentiels :
L’organisation de l’unité :
•
Examen du manuel des procédures (organigramme, pro
cédures...)
•
La réparation des taches
•
Le budget, les résultats...
Les rapports des audits antérieurs
Les objectifs de la fonction à auditer
Les techniques de travail utilisées : Essayer de co
mprendre toutes les méthodes permettant à
l’unité de fonctionner et notamment les procédures
de contrôle existants

COMMENT REUSSIR UNE BONNE PRISE DE CONNAISANCE ?

Outre les documents relatifs à l’unité auditée (manuel des procédures, budgets...), Les moyens
les plus utilisés pour prendre connaissance de la fonction à
auditer sont le questionnaire et l’interview
* Le questionnaire de prise de connaissances
Ce questionnaire est indispensable à l’auditeur pour qu’il comprenne convenablement la fonction
à évaluer d’une part, et contribue à l’élaboration
du questionnaire de contrôle interne d’autre part.

EXEMPLE
: Lors d’une mission d’Audit de la paie l’auditeur
construit un questionnaire de prise de
connaissance comprenant (à titre indicatif) les informations suivantes:
* Données quantitatives
Montant des frais de personnel de l’année;
Réparation par catégorie de personnel;
Nombre d’employés rémunérés;
Nombre de bulletin de paye;
Les banques concernées;
Les nombres de centre de paiement;
Salaires payés :
* en espèce
* par chèque
* par type de virement
* Information Réglementaires
Dispositions des statuts et règlement intérieur
Règles et procédures
* fixation des niveaux de rémunération
* prêts et avances
* autorisation de paiements ou virements
* régime des heures supplémentaires
* Procédures
* Procédure de préparation de la paie
* Procédure de calcul
* Procédure de paiement
* Organisation
Organisation du service ordonnancement de la paie
Noms des personnes concernées
Toutes informations sur l’environnement
Toutes ces questions appellent à des investigations
de la part de l’auditeur interne

* LES INTERVIEWS
L’interview est une technique de recueil d’informa
tion qui aide à l’explication et le commentaire
du sujet à auditer. Il permet de comprendre en prof
ondeur certains éléments ne pouvant être divulgués
par un questionnaire.
La réussite d’une interview est tributaire de la q
ualité de communication de l’auditeur

COMMENT SE PREPARE UNE INTERVIEW ?

Il est recommandé
1/ Définir l’interview: objectif, thèmes abordés,
plan de l’interview
2/ Bien choisir les interviewés (éviter les partic
ipants inutiles)
3/ Contacter l’interviewé et prendre rendez-vous (
en respectant la hiérarchie)
4/ Aller chez l’interviewé
5/ Préparer l’interview
informations nécessaires
liste de points à aborder
liste de documents à demander
L’ordre des questions est important

PENDANT L’INTERVIEW ?

1/ Commencer par se présenter et rappeler les obje

ctifs de la mission et les thèmes à aborder
2/ Veiller à l’atteinte de l’objectif fixé
3/ Éviter les interrogatoires
4/ Suivre une seule idée à la fois
5/ Écouter et laisser l’interviewé s’exprimer
6/ Éviter les jugements
7/ Essayer de comprendre parfaitement chaque point
soulevé en posant des questions pertinentes
et enchaînées
8/ Recouper les déclarations obtenues (questions p
iège, recoupement avec une information déjà
connue)
 9/ Faire preuve de diplomatie et de patience
10/ Essayer d’avoir certaines confidences de l’audité
11/ Adapter son comportement pour obtenir une meilleure collaboration
12/ Prendre le maximum de notes

APRES L’INTERVIEW
?
1/ Établir le compte rendu le plutôt possible

2/ Analyser les informations obtenues en affectant

des recoupements et retenir les points déterminants
Lors de l’interview de prise de connaissance, l’auditeur doit commencer par présenter
l’AUDIT INTERNE, sa mission et son rôle et doit aussi insister sur la vocation d’assistance
de l’Audit.

L’AUDITEUR peut donc :

Présenter les principes d’Audit interne (l’Audit in
terne est une fonction universelle qui peut
s’adapter à tous les domaines)
Rappeler que les auditeurs internes sont là pour collaborer en vue d’améliorer et non
enquêter
pour punir
Citer des exemples d’Audit ou les audités ont bénéficié d’une assistance et d’une amélioration de
leurs moyens et les outils de travail
Inviter l’audité à exprimer ses souhaits pour l’examen de certains points

1-3-Détermination des points de contrôle et les risques associés

Afin de mieux identifier les risques, il est recommandé de procéder à un découpage de la

fonction auditée pour cerner les zones qui présentent des risques.
Pour chaque rubrique on identifie les points de contrôle interne sans faire de tests ni
vérifications
.
On observe si les procédures de contrôle sont bien documentées, et ne présentent aucune
faiblesse apparente, si non il s’agit d’un risque potentiel à
étudier.

L’AUDITEUR
vérifie donc si:
Les procédures sont claires et explicites Les procédures sont toutes utiles pour’ contribuer à
l’accomplissement de la mission de l’unité
Les activités où il existe des doubles emplois ou des fonctions incompatibles identifiées à la
première vue
La coordination et la collaboration entre les différents services sont établies
L’information communique normalement....
Le tableau d’identification des Risques (T.I.R.)
Les premiers constats de l’auditeur peuvent être présentés dans un tableau qui aide à
l’identification de certains points de contrôle
2/la réalisation de la mission
La réalisation d’une mission d’Audit suppose le suivi de trois étapes essentielles :
 La réunion d’ouverture
 Le programme d’Audit
 Et le travail sur le terrain

2-1-La réunion d’ouverture :

C’est la rencontre entre auditeurs et audités (chez l’audité) qui permet de donner le coup d’envoi
effectif de la mission
L’ordre du jour de cette réunion doit comporter cinq points :

2-1-1-La présentation de l’équipe d’audit

Présentation des compétences spécifiques de chaque auditeur et ses relations hiérarchiques
dans la mission

2-1-2-Les points de contrôles:

Les auditeurs font savoir les différents points de contrôle qu’ils souhaitent examiner (ces
points sont dégagé par le T.I.R); et les audités ont l’occasion de proposer l’élimination, de
certains points ou solliciter l’examen d’autres éléments.

2-2- Le programme d’audit

C’est le planning de travail qui détermine les taches de chaque auditeur et leurs délais de réalisation
Il doit contenir les éléments suivants :
La répartition des tâches et délais de réalisation (selon un découpage des fonctions)
L’indication des travaux préliminaires à accomplir (Inventaire, rassemblement de document,
Edition de fichier ...)
L’identification des questions clés à ne pas omettre dans le questionnaire de Contrôle Interne
Et l’indication des outils d’appréciation de contrôle Interne
Le programme d’audit a les objectifs suivants :

2-1/ C’est un document qui concrétise la réalisation de la mission ;

2-2/ C’est un document de travail permettant une répartition précise des taches de tous les auditeurs
afin que personne ne se hasarde à dévier des objectifs fixés ;

2-3/ Il sert de guide pour une meilleure conduite de la mission ;

2-4/ C’est un document qui détermine tous les points de contrôle à examiner selon le degré des
risques déjà identifiés ;

2-5/ Le programme d’audit est une référence pour le suivi et l’appréciation du travail des auditeur

2-2-Le programme d’audit

C’est le planning de travail qui détermine les taches de chaque auditeur et leur délai de réalisation
Il doit contenir les éléments suivants :
La répartition des tâches et les délais de réalisation (selon un découpage des fonctions)
L’indication des travaux préliminaires à accomplir (Inventaire, rassemblement de document,
Edition de fichier....)
L’identification des questions clés à ne pas omettre dans le questionnaire de contrôle interne
Et l’indication des outils d’appréciation de Contrôle Interne
Le programme d’audit aux objectifs suivants :

2-2-1/ C’est un document qui caractérise la réalisation de la mission ;

2-2-2/ C’est un document de travail permettant une répartition précise des taches de tous les
auditeurs afin que personne ne se hasarde à dévier des objectifs fixés ;

2-2-3/ Il sert de guide pour une meilleure conduite

de la mission ;

2-2-4/ C’est un document qui détermine tous les points de contrôle à examiner selon le degré des
risques déjà identifiés ;

2-2-5/ Le programme d’audit est une référence pour le suivi et l’appréciation du travail des auditeurs
.
2-3- Le travail sur terrain

2-3-1- LES QUESTIONNAIRES DE CONTROLE INTERNE

Les questionnaires de contrôle interne ont pour principal objectif la détection des anomalies liées
au dispositif, de contrôle interne.
Les dysfonctionnements relevés sont étudiés et justifiés par des preuves tangibles.

LES QUESTIONS FONDAMENTALES :

Elles sont au nombre de cinq : qui, quoi, ou, quand et comment ?

Qui ? Question pour connaître l’opérateur.
Quoi ? Sert à identifier l’objet de l’opération.
Où ? Pour tester tous les lieux où l’opération se déroule.
Quand ? Sert à connaître la périodicité ou la ponctualité de l’opération.
Comment ? C’est pour permettre de décrire l’opération.

EXEMPLE:
Questionnaire de contrôle interne de la paie

1-Qui?
Qui fixe les niveaux de rémunération ?
Qui décide de l’octroi des avances sur salaires ?
Qui autorise les heures supplémentaires ?
Qui réalise les calculs de la paie ?
Qui autorise le paiement ou virement ?

2-QUOI?
Quels sont les éléments constitutifs de la paie ?
Les prêts et avances y sont-ils intégrés ?
Les remboursements de frais sont-ils enregistrés dans la paie ?
3-Où?
Ou sont enregistrés les données de base ?
Ou sont elles centralisées ?
Y a-t-il plusieurs centres de paiement ?

4-Quand?
Quel est le planning des différentes opérations ?
Quand sont effectués les rapprochements ?
Quand les calculs sont ils vérifiés ?
A quel stade réalisés les virements ou remises de chèques ?

5-Comment ?
Comment sont fixés les taux de rémunération ?
Comment sont enregistrés les éléments variables ?
Comment calculés les retenues sur salaires ?
Comment sont effectués les contrôles et rapprochement ?
Comment est calculée la paie de chacun ?
Ce questionnaire est donné à titre indicatif, il doit être par ailleurs adapté à l’organisation de
l’entreprise
Chaque question engendre plusieurs autres question
de’ nature à approfondir l’étude du système de
contrôle interne

EXEMPLE
La question : Comment sont effectués les contrôles
et rapprochements ? Entre l’état de paie et les
dossiers du personnel ?
-Y a-t-il un rapprochement entre le nombre de fich
e de paie et le nombre de virement et chèques ?
-Y a-t-il un rapprochement entre le total du m
ois antérieur et le total du mois en cours

2-3-2-L’INTERVIEW (déjà étudié)

2-3-3-LES SONDAGES STATISTIQUES

Définition :
Le sondage statistique est une méthode qui permet à partir d’un échantillon prélevé de façon
aléatoire dans une population donnée, d’extrapoler à la population les observations faites sur
l’échantillon.
SAWYER a présenté dans son ouvrage « L’AUDIT INTERNE», dix commandements du
sondage statistique.

1.N’utiliser le sondage que s’il est adapté aux objectifs de l’audit : Ne pas faire de sondage pour le
plaisir de connaître des informations supplémentaires

2.Connaître la population : il faut bien définir les populations

3.Le choix de l’échantillon doit être aléatoire

4.Pas de biais personnel : pas de préjugé ou d’idées anticipées)

5.L’échantillon reste aléatoire en dépit des configurations particulières, de la population ne pas

Négliger un gros client qui représente plus de 10% du chiffre d’affaires dans un échantillon

6.Ne pas extrapoler de façon déraisonnable : éviter les déductions rapides

7.Ne pas perdre de vue la réalité : s’intéresser trop

Au chiffre et oublier le contexte

8.Stratifier chaque fois que cela réduit la dispersion

de l’échantillon : ne pas hésiter à faire plusieurs
Sondages au lieu d’un seul

9.Ne pas fixer sans nécessité des niveaux de confiance élevés. En audit interne il n’est pas
Nécessaire d’exiger des niveaux de confiance élevés
. Chaque anomalie qui se répète mérite d’être étudiée

10.Ne pas s’arrêter aux résultats statistiques, rechercher les causes, le sondage n’est pas une
fin en soi Actuellement il existe les logiciels d’audit capable de traiter les fichiers informatiques en
procédant à des extractions et des analyses. Seulement pour que ces
analyses soient fiables il faut que ces analyses soient fiables il faut que les informations soient
exhaustives et à jour

2-3-4- LES RAPPROCHEMENTS OU (CROSS CONTROL)

Il s’agit de confirmer une information par l’examen d’une source différente qui procure la
même information.

Exemple
-Inventaire physique et inventaire comptable

-Soldes clients détenus par le service vente et ceux détenus par une comptabilité auxiliaire
C’est une méthode très utilisée par les auditeurs et permet souvent de dégager les anomalies

2-3-5- LES OUTILD DE DESCRIPTION

On distingue trois outils essentiels :

L’observation physique
Le manuel des procédures
La grille d’analyse

2-3-5-1- L’observation Physique

L’auditeur interne est appelé à observer les processus utilisés dans la fonction à évaluer
L’observation physique permet de :
s’assurer d’une information
et de relever des insuffisances évidentes
L’auditeur peut observer:
le déroulement d’une opération et les documents y a
fférents,
le déroulement du contrôle d’une opération
les lieux de stockage des articles
le comportement du personnel
Par ailleurs l’observation physique exige deux cond
itions
elle ne doit pas être clandestine
elle ne doit pas être ponctuelle

2-3-5-2 Le manuel des procédures

Au cours d’une mission d’évaluation de contrôle int

erne l’auditeur est appelé à consulter le manuel d
es
procédures de la fonction audité afin qu’il puisse
maîtriser le sujet
L’auditeur doit élaborer l’organigramme de l’unité
audité ainsi que le diagramme de circulation y
afférent et le comparer avec l’existant (audit de c
onformité)
Ce pendant l’auditeur ne doit pas s’arrêter au non
respecte de l’application des procédures mais il do
it
rechercher les causes.

2-3-5-3-LA GRILLE D’ANALYSE (VOIR EXEMPLE GRILLE GRH) La grille d’analyse permet
de répondre à la question le qui fait quoi ?

2-3-6-LA FRAP (Feuille de révélation et d’analyse de problème)

C’est un document qui a été vulgarisé par l’IFACI. Il constitue un moyen d’analyse claire et
précis permettant une lecture facile des constatations relevées

LA FRAP est rempli par l’auditeur chaque fois où il détecte une anomalie. Elle constitue un
document de base pour la rédaction du rapport d’Audit

MODELE DE FRAP

Feuille de révélation et d’analyse de problème

Référence papier de travail FRAP N°

Approuvé par :
Date
Problème
Constat
Cause
Conséquence
Recommandations
Etablie par
Validé avec
Date
Date

COMMENT REMPLIR UNE FRAP?

LA FRAP doit être remplie d’une manière claire et synthétique. Il faut éviter les rédactions longues
et les informations inutiles.

EXEMPLE

1.Problème : L’absence de contrôle de la paie génère des risques graves en matière de respect des
Réglementations en vigueur

2.Constat : Les retenues fiscales sont minorées, le programme de la paie n’a pas été actualisé depuis
10 ans

3.Cause : Absence d’un organe de contrôle de la paie

4.Conséquence : Paiement de pénalité à l’administration fiscal en cas de contrôle

5.Recommandation : Veiller à l’actualisation du programme de la paie conformément à

la réglementation en vigueur et instaurer une procédure de contrôle de la paie

COMMENT EXPLOITER LA FRAP ?

Tout au long de la mission l’auditeur remplie les FRAP suivants les constatations qu’il relève:
Au terme de l’investigation, l’auditeur révise les FRAP une à une en se posant à chaque fois
les questions suivantes :
les constats peuvent ils être contestés?
les causes sont ils valables et justifiés?
les conséquences sont elles réalistes et significatives?
les recommandations permettant –elles de supprimer
, ou d’atténuer les anomalies relevées ?
Après avoir vérifié les informations prévues par les FRAP, l’auditeur les valide avec l’audité.

3/ LA CONCLUSION DE LA MISSION

La phase de conclusion de la mission comprend quatre étapes :

Le projet de rapport
La réunion de clôture
Le rapport définitif
Et le suivi des Recommandations

3-1- Le projet de rapport

Le projet de rapport reprend les constatations conservées dans les différentes
FRAP, il sera l’ordre du jour de la réunion de clôture.

3-2- La réunion de clôture

Cette réunion regroupe les mêmes participants de la réunion d’ouverture

Lors de cette réunion le responsable de la mission d’audit présente le projet de rapport puis
donne l’occasion aux audités de formuler leurs commentaires, qui seront notées et pris en
considération s’ils sont justifiés
La réussite de cette réunion est tributaire de certaines conditions à savoir :
Envoyer le projet de rapport avant la date de la réunion
Préparer tout le dossier (papier de travail, copie
de documents...) pour être en mesure de justifier les constats
Abandonner les constats dont les éléments de preuve apportés par l’auditeur sont insuffisants
Permettre aux audités de suggérer des recommandations plus efficaces

3-3- Le rapport définitif

A la suite de la réunion de clôture les auditeurs procèdent à l’élaboration du rapport définitif

qui a la structure suivante:

3-3-1- La note de synthèse adressée au président de l’entreprise

Elle est généralement assez brève et mentionne: Le champ d’action de la mission

La méthodologie préconisée Et quelques principales constatations

3-3-2- Le corps du Rapport

Généralement l’auditeur suit la présentation de la F.R.A.P.: Problème, Cause,
conséquence et recommandation

3-3-3-Le plan d’action:

Suite aux réponses de l’audité au Projet de rapport Il est recommandé de joindre au rapport
d’audit un plan d’action ayant la forme suivante :

Plan d’action

Recommandations Personne responsable de la mise en oeuvre

Date de limite de réalisation

3-4-Le suivi des recommandations

Le suivi des recommandations peut être fait par une visite de l’unité audité, l’interview des
responsables ou par un questionnaire adressé aux responsables de
l’unité audité
 REPONSES DE L’AUDITEUR AUX RISQUES
EVALUES
ISA 330 CNCC-
IRE-CSOEC juin 2012
14
A29. En raison de l’uniformité inhérente au traitement des opérations par un système
informatique, l’auditeur peut ne pas estimer nécessaire d’accroître l’étendue des
Vérifications sur un contrôle automatisé. On peut considérer qu’un contrôle automatisé
fonctionne de manière régulière sauf si le programme (y compris tables, fichiers ou autres
données permanentes utilisées par le programme) est modifié. Dès lors que
L’auditeur estime qu’un contrôle automatisé fonctionne comme prévu (ce qui peut être
fait lors de la première application de ce contrôle ou à toute autre date), il peut envisager de
réaliser des vérifications pour s’assurer que le contrôle continue de fonctionner efficacement.
De telles vérifications peuvent inclure des contrôles pour
déterminer :

•que des modifications du programme ne sont pas effectuées sans avoir été soumises aux
contrôles appropriés ;

•que la version autorisée du programme est celle utilisée pour le traitement des
opérations ;

•que d’autres contrôles généraux pertinents fonctionnent efficacement.

Ces vérifications peuvent aussi inclure des contrôles permettant de s’assurer que des
modifications n’ont pas été apportées aux programmes, comme cela peut être le cas
lorsque l’entité utilise des logiciels d’application standards sans les modifier ou les
mettre à jour. L’auditeur peut, par exemple, examiner le document du service chargé
de la sécurité informatique pour recueillir des éléments probants montrant qu’aucun
accès non autorisé n’a eu lieu durant la période.
Vérifications sur les contrôles indirects (Voir par
. 10(b))
A30. Dans certaines situations, il peut s’avérer nécessaire de recueillir des éléments
probants justifiant de l’efficacité du fonctionnement de contrôles indirects. Par
exemple, lorsque l’auditeur décide de tester l’efficacité de la revue par un utilisateur
d’un rapport d’exceptions indiquant le montant des ventes excédant la limite de crédit
autorisée, la revue de cet utilisateur et du suivi qui en est fait est un contrôle d’intérêt
direct pour l’auditeur. Les contrôles sur l’exactitude de l’information donnée dans ces
rapports (par exemple contrôles généraux portant sr le système informatique) sont
désignés comme « contrôles indirects ».

A31. En raison de l’uniformité inhérente au traitement des opérations par un système

informatique, les éléments probants concernant la m
ise en œuvre d’un contrôle
d’application automatisé considérés conjointement avec les éléments probants
recueillis sur l’efficacité du fonctionnement des contrôles généraux de l’entité
(notamment ceux sur les modifications apportées aux systèmes informatiques) peuvent
aussi fournir des éléments probants de poids sur l’efficacité de leur fonctionnement.
Calendrier des tests de procédures Période pour laquelle l’auditeur a l’intention de s
’appuyer sur les contrôles (Voir par. 11)

A32. Des éléments probants se rapportant à une date donnée peuvent être suffisants au
regard de l’objectif de l’auditeur ; tel est par exemple le cas des tests sur les contrôles
relatifs aux procédures de prise d’inventaire physique des stocks de l’entité à la fin de la période. En
revanche, si l’auditeur a l’intention de s’appuyer sur un contrôle durant une période donnée, les
vérifications qui permettront de fournir des éléments probants

REPONSES DE L’AUDITEUR AUX RISQUES EVALUES

ISA 330 CNCC-IRE-
CSOEC juin 2012
15
Sur le fait que les contrôles aient fonctionné de manière efficace à des moments pertinents
durant la période sont appropriées. De telles vérifications peuvent porter sur
le suivi de ces contrôles effectué par l’entité elle-même.
Utilisation des éléments probants recueillis durant une période intermédiaire (Voir par. 12(b))

A33. Les facteurs pertinents permettant de déterminer les éléments probants

supplémentaires à recueillir au sujet des contrôles qui ont fonctionné durant la période
restant à courir après une date intermédiaire, comprennent :

•l’importance des risques évalués d’anomalies significatives au niveau des

assertions ;

•les contrôles particuliers qui ont été testés durant la période intermédiaire ainsi que les
changements importants apportés à ceux-ci depuis cette date, y compris les changements dans
le système d’information, dans les modes de fonctionnement et dans le personnel ;

•le volume des éléments probants recueillis sur l’efficacité du fonctionnement de

ces contrôles ;

•la durée de la période restant à courir ;

•la mesure dans laquelle l’auditeur a l’intention de réduire les contrôles de substance compte
tenu de la confiance qu’il accorde aux contrôles ;

•l’environnement de contrôle.

A34. Des éléments probants supplémentaires peuvent être recueillis, par exemple, en étendant
les tests de procédures sur la période restant à courir ou en testant le suivi des contrôles par l’entité
elle-même. Utilisation des éléments probants recueillis au cours des audits précédents (Voir par. 13)
A35. Dans certaines circonstances, les éléments probants recueillis lors des audits
précédents peuvent fournir des éléments probants lorsque l’auditeur réalise des
procédures pour établir qu’ils sont toujours d’actualité. Par exemple, lors de la
réalisation d’un audit précédent, l’auditeur peut avoir estimé qu’un contrôle
automatisé fonctionnait comme prévu. Il peut alors recueillir des éléments probants
pour déterminer si des modifications ont été apportées à ce contrôle automatisé qui
affecteraient l’efficacité de son fonctionnement à partir, par exemple, de demandes
d’informations à la direction et de l’examen des registres indiquant les contrôles ayant fait l’objet de
modifications. La prise en compte des éléments probants portant sur ces modifications peut justifier
soit d’un accroissement, soit d’une réduction du nombre d’éléments probants attendus relatifs
à l’efficacité du fonctionnement des contrôles à recueillir durant la période en cours.
Contrôles ayant subi une modification depuis les audits précédents (Voir par. 14(a))
A36. Des changements peuvent affecter la pertinence des éléments probants recueillis au
cours des audits précédents de manière telle qu’ils ne puissent plus servir de base sur laquelle
s’appuyer valablement. Par exemple, des modifications de système permettant
à une entité de recevoir un nouveau rapport édité par ce système n’affectera

REPONSES DE L’AUDITEUR AUX RISQUES EVALUES

ISA 330 CNCC-IRE-
CSOEC juin 2012
16
probablement pas la pertinence des éléments probants recueillis lors de l’audit
précédent. A l’inverse, une modification du système impliquant que des données
soient désormais cumulées ou calculées différemment
l’affectera.
Contrôles n’ayant pas subi de modification depuis les audits précédents (Voir par. 14(b))
A37. La décision de l’auditeur de s’appuyer ou non sur les éléments probants recueillis lors
d’audits précédents relatifs aux contrôles :

(a)qui n’ont pas subi de modification depuis qu’ils ont fait l’objet de vérifications ;
et

(b)qui ne concernent pas des contrôles ayant pour but de réduire un risque important, est une
question de jugement professionnel. De plus, la durée de la période pouvant
s’écouler avant de tester à nouveau ces contrôles est aussi une question de jugement
professionnel, sous réserve du paragraphe 14(b) qui exige que ces vérifications soient
effectuées au moins une fois tous les trois ans.

A38. En règle générale, plus le risque d’anomalies significatives est élevé, ou plus la
confiance que l’auditeur entend accorder aux contrôles est grande, plus il est probable
que le délai avant un nouveau test sera court. Les facteurs qui peuvent réduire ce délai
avant de vérifier à nouveau un contrôle ou qui conduisent à ne pas s’appuyer du tout
sur les éléments probants recueillis au cours de précédents audits comprennent :
•un environnement de contrôle déficient ;
•un suivi déficient des contrôles ;
•une intervention manuelle importante pour les contrôles concernés ;

•des changements dans le personnel qui affectent de manière importante la mise en œuvre des
contrôles ;
•un environnement en mutation qui induit un besoin de modifications des
contrôles ;
•des contrôles généraux sur les systèmes informatiques déficients.
A39. Lorsqu’il existe un certain nombre de contrôles pour lesquels l’auditeur a l’intention
de s’appuyer sur les éléments probants recueillis au cours des audits précédents, des
vérifications de certains de ces contrôles effectués lors de chaque audit permettent de
corroborer l’information portant sur la continuité de l’efficacité de l’environnement de contrôle. Ceci
contribue à la prise de décision de l’auditeur de s’appuyer, ou non, sur les éléments probants
recueillis au cours des audits précédents.
Evaluation de l’efficacité du fonctionnement des contrôles (Voir par. 16–19)

A40. Une anomalie significative décelée par les procédures mises en œuvre par l’auditeur
est un indicateur puissant de l’existence d’une faiblesse significative du contrôle interne.

REPONSES DE L’AUDITEUR AUX RISQUES EVALUES

ISA 330 CNCC-IRE-
CSOEC juin 2012
17
A41. Le concept d’efficacité du fonctionnement des contrôles reconnaît qu’il peut y avoir
quelques déviations dans la façon dont les contrôles sont effectués par l’entité. Ces
déviations, par rapport aux contrôles prescrits, peuvent être causées par des facteurs
tels que des changements parmi le personnel-clé, des fluctuations saisonnières
importantes dans le volume d’opérations traitées ou des erreurs humaines. Le taux de
déviations relevées, notamment par comparaison avec le taux attendu, peut indiquer
qu’il n’est pas possible de s’appuyer sur le contrôle pour réduire le risque au niveau de
l’assertion à celui évalué par l’auditeur. Contrôles de substance
(Voir par. 18)
A42. Le paragraphe 18 requiert de l’auditeur qu’il conçoive et mette en œuvre des contrôles
de substance pour chaque flux d’opérations, solde de comptes ou information fournie dans les états
financiers, dès lors qu’ils sont significatifs, quels que soient les risques évalués d’anomalies
significatives. Cette diligence requise résulte du fait que : (a)
L’évaluation des risques par l’auditeur relève du jugement et que, par conséquent, tous
les risques d’anomalies significatives peuvent ne pas être identifiés ; et (b) il existe des
limitations inhérentes au contrôle interne, y compris le fait que la direction puisse
passer outre les contrôles en place.
Nature et étendue des contrôles de substance

A43. Selon les circonstances, l’auditeur peut décider que :

•la réalisation de procédures analytiques de substance sera suffisante pour réduire le risque d’audit à
un niveau suffisamment faible pour être acceptable, par exemple lorsque l’évaluation des
risques par l’auditeur est justifiée par des éléments probants provenant de tests de procédures
;
•seules des vérifications de détail sont appropriées
;
•une combinaison de procédures analytiques de substance et de vérifications de
détail répond mieux aux risques évalués.

A44. Les procédures analytiques de substance sont généralement plus adaptées à des
volumes importants d’opérations dont la tendance est prévisible dans le temps. La
Norme ISA 520 définit des règles et fournit des modalités d’application sur la mise en œuvre des
procédures analytiques au cours de l’audit.

A45. La nature du risque et de l’assertion sont à la base de la conception des vérifications de

détail. Par exemple, les vérifications de détail relatives à l’assertion d’existence ou à
l’assertion de réalité peuvent impliquer d’avoir à sélectionner des montants à partir de données
contenues dans les états financiers et de recueillir des éléments probants. Par ailleurs, les
vérifications de détail relatives à l’assertion d’exhaustivité peuvent impliquer d’avoir à
sélectionner des montants à partir de données que l’on s’attend à trouver dans les états
financiers concernés et à examiner si ces montants y sont réellement inclus.

A46. Dès lors que l’évaluation du risque d’anomalies significatives tient compte du contrôle
interne, l’étendue des contrôles de substance peut nécessiter d’être accrue lorsque le résultat des
tests de procédures n’est pas satisfaisant. Cependant, le fait d’étendre une
5

Norme ISA 520, « Procédures analytiques ».

REPONSES DE L’AUDITEUR AUX RISQUES EVALUES
ISA 330 CNCC-IRE-
CSOEC juin 2012
18
Procédure n’est approprié que si cette procédure est pertinente au regard du risque
Spécifique.

A47. Lors de la conception des vérifications de détail, l’étendue des vérifications est
généralement envisagée en termes de taille des échantillons. Cependant, d’autres questions sont
également pertinentes, notamment celle de savoir s’il est plus efficace d’utiliser d’autres moyens
de sélection pour ces vérifications. Voir Norme ISA 500
6
. Prendre en considération si des procédures de confirmation externe sont à réaliser (Voir par.
19)
A48. Les procédures de confirmation externe sont souvent pertinentes pour vérifier des
assertions associées à des soldes de comptes et les éléments les composant, mais n’ont pas à être
restreintes à ces seuls éléments. Par exemple, l’auditeur peut demander des confirmations externes
portant sur les termes d’accords, de contrats, ou de transactions
que l’entité a conclus avec des tiers. Les procédures de confirmation externe peuvent aussi être
mises en œuvre pour recueillir des éléments probants quant à l’absence de certaines
conditions. Par exemple, une demande peut spécifiquement chercher à déterminer s’il n’existe
pas « d’accord parallèle » qui puisse être pertinent au regard de l’assertion relative à la séparation
des périodes pour la comptabilisation des produits de l’entité. D’autres situations où les
procédures de confirmation externe peuvent fournir des éléments probants pertinents pour
répondre aux risques évalués d’anomalies significatives comprennent :

•les soldes en banque et autres informations touchant aux relations avec les
banques ;
•les soldes et les échéances des comptes de tiers débiteurs ;
•les stocks en attente, détenus par des tiers dans des magasins sous douane, ou les
stocks en consignation ;
•les titres de propriété conservés par les avocats ou les établissements financiers
pour des raisons de sécurité ou en garantie ;
•
les valeurs mobilières conservées par des tiers, ou achetées auprès de courtiers en
bourse mais non livrées à la date du bilan ;

•les montants dus à des prêteurs, y compris les conditions de remboursement et les
clauses de défaut des contrats de prêts concernés ;

•les soldes et les échéances des comptes de tiers créditeur.

A49. Bien que les confirmations externes puissent fournir des éléments probants pertinents
concernant certaines assertions, il en existe certaines pour lesquelles les confirmations
externes fournissent moins d’éléments probants. Par exemple, les confirmations
externes fournissent moins d’éléments probants concernant le caractère recouvrable des soldes
de comptes à recevoir qu’elles n’en fournissent concernant leur existence.

A50. L’auditeur peut considérer que les procédures de confirmation externe réalisées dans
un objectif donné fournissent une opportunité pour recueillir des éléments probants
6

Norme ISA 500, « Eléments probants », paragraphe

10.
REPONSES DE L’AUDITEUR AUX RISQUES EVALUES
ISA 330 CNCC-IRE-
CSOEC juin 2012
19
pour d’autres sujets. Par exemple, les demandes de confirmation de soldes en banque
incluent souvent des demandes concernant d’autres assertions sous-tendant les états
financiers. De telles considérations peuvent influencer la décision de l’auditeur
lorsqu’il décide de mettre en œuvre des procédures de confirmation externe.

A51. Les facteurs qui peuvent aider l’auditeur à déterminer si des procédures de
confirmation externe sont à mettre en œuvre en tant que contrôles de substance comprennent :
•la connaissance qu’a du sujet concerné le tiers à qui la confirmation est
demandée – les réponses peuvent être plus fiables si elles sont fournies par une
personne qui a, chez le tiers, la connaissance requise concernant l’information
soumise à confirmation ;

•la capacité ou la volonté du tiers sélectionné de répondre – par exemple, il :

opeut ne pas accepter de prendre la responsabilité de la réponse faite à une

demande de confirmation ;

opeut considérer que la réponse est trop coûteuse ou

prend trop de temps ;

opeut être concerné par la responsabilité légale potentielle résultant de la

réponse donnée ;

opeut enregistrer les transactions dans des monnaies

différentes ; ou
opeut exercer dans un environnement où les réponses
à des demandes de confirmation ne revêtent pas un aspect important au
regard des opérations quotidiennes.
Dans de telles situations, les tiers peuvent ne pas répondre, ou peuvent répondre
sans aucune vérification, ou encore tenter de limiter la confiance à accorder à la
réponse.
•l’objectivité du tiers sélectionné – si le tiers est une partie liée à l’entité, les
réponses aux demandes de confirmation peuvent être moins fiables.
Contrôles de substance relatifs au processus d’arrêté des comptes (Voir par. 20(b))
A52. La nature, mais aussi l’étendue de la revue par l’auditeur des écritures et autres
ajustements dépendent de la nature et de la complexité du processus suivi par l’entité
pour l’établissement de ses états financiers, ainsi que des risques d’anomalies
significatives s’y rapportant.
Contrôles de substance répondant aux risques importants (Voir par. 21)
A53. Le paragraphe 21 de la présente Norme ISA requiert de l’auditeur de réaliser des
contrôles de substance qui répondent spécifiquement aux risques qu’il a jugés
importants. Les éléments probants sous forme de confirmations externes obtenues par
l’auditeur directement de tiers appropriés peuvent l’aider à recueillir des éléments
probants avec le niveau de fiabilité élevé dont il a besoin pour répondre aux risques
importants d’anomalies significatives, que celles-ci proviennent de fraudes ou
résultent d’erreurs. Par exemple, si l’auditeur constate que la direction est sous
pression pour atteindre des objectifs de résultats, il peut y avoir un risque que celle-ci majore le
chiffre d’affaires en comptabilisant indûment des ventes relatives à des
commandes dont les termes ne permettent pas la comptabilisation des produits ou en
facturant des ventes avant l’expédition. Dans ces circonstances, l’auditeur peut, par
exemple, concevoir des procédures de confirmation externe, non seulement pour
obtenir confirmation des soldes de comptes mais aussi pour confirmer les conditions
spécifiques du contrat de vente, telles que la date les conditions de reprise de la
marchandise et les conditions de livraison. De plus, l’auditeur peut considérer utile et
efficace de compléter ces procédures de confirmations externes par des demandes
d’informations auprès du personnel non-financier de l’entité concernant toutes les
modifications dans les termes des contrats de vente et les conditions de livraison.
Calendrier des contrôles de substance (Voir par. 22
–23)
A54. Dans la plupart des cas, les éléments probants provenant de contrôles de substance
réalisés lors d’un audit précédent ne fournissent que peu ou pas d’éléments probants
pour la période en cours. Il existe cependant des exceptions, par exemple lorsqu’un
avis juridique est obtenu lors d’un audit précédent concernant la structure d’une titrisation pour
laquelle aucun changement n’est intervenu et est donc encore valide pour l’audit en cours.
Dans de tels cas, il peut être approprié d’utiliser l’élément probant recueilli par des contrôles
de substance réalisés lors d’un audit précédent si, tant l’élément probant que la question
sous-jacente, n’ont pas radicalement changé et que des procédures d’audit ont été mises en
œuvre durant la période pour confirmer que l’élément probant restait pertinent.
Utilisation des éléments probants recueillis durant une période intermédiaire (Voir par. 22)

A55. Dans certaines situations, l’auditeur peut juger qu’il est plus efficace de réaliser des
contrôles de substance à une date intermédiaire, et de comparer et rapprocher le solde
en fin de période avec les informations comparable à la date intermédiaire dans le but :

(a)d’identifier les montants qui paraissent inhabituel

s;
(b)d’examiner de tels montants ; et
(c)de réaliser des procédures analytiques de substance ou des vérifications de détail portant sur la
période intercalaire.

A56. La mise en œuvre de contrôles de substance à une date intermédiaire sans réaliser des
Procédures supplémentaires à une date ultérieure augmente le risque que l’auditeur ne détecte pas des
anomalies qui peuvent exister en fin de période. Plus la période restante à courir est longue, plus ce
risque augmente. Des facteurs, tels que ceux énumérés ci-après, peuvent influencer la décision de
procéder ou non à des contrôles de substance à une date intermédiaire :
•l’environnement de contrôle et d’autres contrôles pertinents ;

•la disponibilité de l’information à une date ultérieure nécessaire à la mise en

œuvre des procédures d’audit ;

•l’objectif des contrôles de substance ; le risque évalué d’anomalies significatives ;

•la nature du flux d’opérations ou du solde de comptes et les assertions s’y

rapportant ;
•la possibilité pour l’auditeur de réaliser des contrôles de substance appropriés ou
des contrôles de substance associés à des tests de procédures afin de couvrir le
restant de la période et de réduire ainsi le risque que des anomalies qui existent
en fin de période ne soient pas détectées.

A57. Des facteurs tels que les suivants peuvent avo

ir une influence sur la décision de mettre
en œuvre ou non des contrôles de substance couvrant
 la période comprise entre la date
intermédiaire et celle de fin de période :
•
si les soldes de fin de période résultant d’un flux
d’opérations spécifiques sont
raisonnablement prévisibles au regard de leur monta
nt, de leur importance
relative et de leur composition ;
•
si les procédures de l’entité concernant l’analyse
et les ajustements de tels flux
d’opérations ou soldes de comptes à une date interm
édiaire et les procédures
visant à établir une césure correcte entre les péri
odes sont appropriées ;
•
si le système d’information relatif à l’élaboration
de l’information financière
fournit les données relatives aux soldes de fin de
période et aux opérations
durant la période restant à courir suffisantes pour
permettre d’examiner :
(a)
les opérations ou écritures inhabituelles important
es (y compris celles à la
date de clôture ou proches de celle-ci) ;
(b)
les autres causes de variations importantes ou de v
ariations anticipées mais
non encore survenues ; et
(c)
les changements dans la composition des flux d’opér
ations ou des soldes
de comptes.
Anomalies décelées à une date intermédiaire (Voir p
ar. 23)
A58. Lorsque l’auditeur conclut que la nature, le c
alendrier et l’étendue des contrôles de
substance prévus et couvrant la période restant à c
ourir nécessitent d’être modifiés en
raison d’anomalies non anticipées décelées à une da
te intermédiaire, les modifications
peuvent inclure l’extension ou la répétition, en fi
n de période, des procédures réalisées
à la date intermédiaire.
Caractère adéquat de la présentation des états fina
nciers et des informations fournies
dans ceux-ci
(Voir par. 24)
A59. L’évaluation de la présentation d’ensemble des
états financiers, y compris les
informations les concernant fournies dans ceux-ci,
vise à déterminer si les états
financiers pris individuellement sont présentés d’u
ne manière qui reflète de façon
appropriée la classification et la description de l
’information financière ainsi que la
forme, la présentation et le contenu des états fina
nciers et des notes annexes. Ceci
comprend, par exemple, la terminologie utilisée, le
niveau de détail fourni, la
classification des rubriques dans les états et le s
ous-jacent des montants qui y sont
reflétés.
REPONSES DE L’AUDITEUR AUX RISQUES EVALUES
ISA 330 CNCC-IRE-CSOEC juin 2012
22
Evaluation du caractère suffisant et approprié des
éléments probants
(Voir par. 25–27)
A60. Un audit d’états financiers est un processus c
umulatif et itératif. Lorsque l’auditeur
met en œuvre les procédures d’audit qu’il a planifi
ées, les éléments probants recueillis
peuvent le conduire à modifier la nature, le calend
rier ou l’étendue des autres
procédures d’audit prévues. Son attention peut être
attirée par une information qui
diffère de manière importante de l’information sur
laquelle s’est fondée son évaluation
des risques. Par exemple :
•
l’étendue des anomalies relevées lors de la réalisa
tion des contrôles de substance
peut modifier son jugement quant à l’évaluation des
risques et peut indiquer une
faiblesse significative du contrôle interne ;
•
l’auditeur peut être amené à se rendre compte d’inc
ohérences dans la
comptabilité ou d’éléments contradictoires ou manqu
ants ;
•
les procédures analytiques réalisées au stade de la
revue d’ensemble de l’audit
peuvent indiquer un risque d’anomalies significativ
es non détecté auparavant.
Dans de tels cas, l’auditeur peut devoir réévaluer
les procédures d’audit prévues lors
de la planification initiale de l’audit sur la base
d’une évaluation révisée des risques
évalués pour tout ou partie des flux d’opérations,
soldes de comptes ou informations
fournies dans les états financiers et des assertion
s s’y rapportant. La Norme ISA 315
donne de plus amples précisions quant à la modifica
tion par l’auditeur de son
évaluation des risques
7
.
A61. L’auditeur ne peut présumer qu’un cas de fraud
e ou d’erreur est un fait isolé. C’est
pourquoi il est important de déterminer dans quelle
mesure la détection d’une
anomalie affecte les risques évalués d’anomalies si
gnificatives et si celle-ci demeure
valable.
A62. Le jugement de l’auditeur quant au caractère s
uffisant et approprié des éléments
probants est influencé par des facteurs tels que :
•
l’importance relative de l’anomalie potentielle dan
s l’assertion retenue et la
probabilité qu’elle ait une incidence significative
, individuellement ou cumulée à
d’autres anomalies potentielles, sur les états fina
nciers ;
•
l’efficacité des réactions de la direction et des c
ontrôles effectués pour répondre
aux risques ;
•
l’expérience acquise au cours des audits précédents
concernant des anomalies
potentielles similaires ;
•
les résultats des procédures d’audit réalisées, y c
ompris les situations où ces
procédures ont conduit à identifier des cas spécifi
ques de fraude ou d’erreur ;
•
la source et la fiabilité de l’information disponib
le ;
•
le caractère persuasif des éléments probants ;
7•

la connaissance de l’entité et de son environnement

, y compris celle de son
contrôle interne.
Documentation
(Voir par. 28)
A63. La forme et le niveau de détail de la document
ation d’audit sont une question de
jugement et dépendent de la nature, de la taille et
de la complexité de l’entité et de son
contrôle interne, de l’information disponible au se
in de l’entité ainsi que de la
méthodologie et des techniques d’audit utilisées da
ns le cadre de l’audi
 Guide de gestion des risques de
fraude
Table des matières

 Introduction

 Cadre de gestion des risques de fraude au Bureau du vérificateur général du

Canada

 1. Gouvernance à l’égard des risques de fraude

o 1.1 Surveillance
o 1.2 Spécialiste interne en valeurs et éthique
o 1.3 Code de valeurs et d’éthique
o 1.4 Directives sur les conflits d’intérêts et l’après-mandat
o 1.5 Plan d’audit interne fondé sur les risques
o 1.6 Processus d’enquête sur les allégations de fraude
o 1.7 Politique de prévention de la fraude

 2. Évaluation des risques de fraude

o 2.1 Mener une évaluation des risques de fraude en intégrant des pratiques
exemplaires
 2.1.1 Identifier les risques de fraude sans tenir compte des contrôles
(à savoir le risque inhérent)
 2.1.2 Évaluer la probabilité et l’impact des risques de fraude identifiés
 2.1.3 Mettre en correspondance les contrôles qui atténuent les
risques identifiés (prévention/détection)
 2.1.4 Évaluer si les contrôles fonctionnent efficacement
 2.1.5 Évaluer les risques de fraude résiduels
 2.1.6 Selon le seuil de tolérance aux risques, répondre aux risques
de fraude résiduels
 2.1.7 Examiner périodiquement l’évaluation des risques de fraude

 3. Contrôles de prévention et de détection de la fraude

o 3.1 Prévention de la fraude
 3.1.1 Une formation sur les valeurs, l’éthique et les conflits d’intérêts
et une formation ciblée sur la fraude dispensées à temps
 3.1.2 Conflit d’intérêts : Atténuation des conflits d’intérêts
 3.1.2.1 Gestion efficace des déclarations de conflits d’intérêts
  3.1.2.2 Déclarations effectuées par les employés, qu’ils aient
ou non un conflit d’intérêts
 3.1.2.3 Normes de service pour donner suite aux conflits
d’intérêts déclarés
 3.1.2.4 Rapports
 3.1.3 Contrôles conçus pour prévenir les activités frauduleuses
o 3.2 Détection de la fraude
 3.2.1 Mécanisme pour signaler de la fraude
 3.2.2 Contrôles conçus pour détecter les activités frauduleuses

 4. Enquêtes sur les allégations de fraude

o 4.1 Mécanisme pour signaler de la fraude
o 4.2 Approche formelle pour traiter les allégations de fraude
 4.2.1 Évaluation des allégations de fraude
 4.2.2 Enquête sur les allégations de fraude
 4.2.3 Surveillance des allégations de fraude
 4.2.4 Mesures correctives
 4.2.5 Rapport sur les allégations de fraude

 5. Amélioration continue du Cadre de gestion des risques de fraude

 Outils de gestion des risques de fraude

o Annexe A : Rôles et responsabilités
o Annexe B : Plan de travail de surveillance pour le spécialiste interne
en matière de fraude
o Annexe C : Attestation annuelle du caractère adéquat de l’évaluation
des risques de fraude du Bureau
o Annexe C1 : Évaluation détaillée et cumulative des risques de fraude
o Annexe C2 : Tableau de bord de la prévention et de la détection de la fraude
o Annexe D : Politique de prévention de la fraude

Introduction
Aucune organisation n’est à l’abri de la fraude. Dans les organisations fédérales, la
fraude peut entraîner une perte de fonds ou de biens publics, saper le moral des
employés et miner la confiance de la population canadienne envers les services
publics. Les organisations fédérales doivent donc gérer les risques de fraude qui les
menacent.
La gestion proactive du risque de fraude est l’une des meilleures approches qu’une
organisation peut adopter pour atténuer son exposition aux activités frauduleuses.
Même s’il n’est probablement pas possible ni rentable d’éradiquer tous les risques de
fraude, les organisations peuvent prendre des mesures proactives et constructives pour
réduire leur exposition. Il est possible d’atténuer considérablement les risques de fraude
en se dotant d’une structure de gouvernance efficace contre la fraude; en menant une
évaluation des risques de fraude rigoureuse; en se dotant de mesures solides de
prévention et de détection de la fraude; en menant des enquêtes coordonnées en
temps opportun; et en prenant des mesures correctives.
Le Bureau du vérificateur général du Canada (BVG) a défini un Cadre de gestion des
risques de fraude complet qui s’inspire du guide Managing the Business Risk of Fraud:
A Practical Guide (disponible en anglais seulement), publié par l’Institute of Internal
Auditors, l’American Institute of Certified Public Accountants et l’Association of Certified
Fraud Examiners. Ce Cadre aide le BVG à adopter des pratiques exemplaires en vue
d’identifier, de contrer et de gérer les risques de fraude.
Le présent Guide précise comment les différentes composantes et les divers acteurs
clés contribuent, directement ou indirectement, à la gestion des risques de fraude au
BVG. Les annexes renferment des informations complémentaires à ce sujet,
notamment sur les rôles et responsabilités (voir l’Annexe A).

Cadre de gestion des risques de fraude

Gestion des risques de fraude interne et externe

Version textuelle

1. Gouvernance à l’égard des risques de fraude

La structure de gouvernance de la gestion des risques de fraude est un des piliers de
son Cadre de gestion des risques de fraude. Grâce aux sept éléments décrits ci-après,
elle donne le message que la fraude n’est pas tolérée.

1.1 Surveillance
Le Conseil de direction participe aux aspects clés de la gestion des risques de fraude,
notamment à la détermination du seuil de tolérance du BVG à l’égard des risques de
fraude et aux discussions sur les risques de fraude et l’évaluation connexe dans le
cadre de l’Évaluation annuelle des risques de fraude (voir la partie 2). Le Conseil de
direction reçoit aussi les principaux rapports annuels ci-après :

 Rapport sur les valeurs et l’éthique (partie 1.2)

 Rapport sur l’évaluation des risques de fraude (partie 2.1)
 Rapport sur la formation obligatoire (partie 3.1.1)
  Rapport sur les allégations de fraude (partie 4.2.5)
 Rapport sur le caractère adéquat et l’application du Cadre de gestion des risques
de fraude (partie 5)

Le BVG possède un comité d’audit indépendant. Celui-ci joue un rôle dynamique de

surveillance du Cadre de gestion des risques de fraude au BVG, notamment des
valeurs et de l’éthique; des conflits d’intérêts; de l’évaluation des risques de fraude et
des contrôles connexes; des allégations de fraude; et des enquêtes. Le Comité d’audit
reçoit des comptes rendus et des rapports sur les sujets couverts dans les rapports ci-
dessus qui sont présentés au Conseil de direction.
La Charte du Comité d’audit reflète les responsabilités du Comité d’audit à l’égard de la
gestion des risques.

1.2 Spécialiste interne en valeurs et éthique

Le spécialiste interne en valeurs et éthique du BVG est chargé de répondre aux
questions des employés sur les valeurs, l’éthique et les conflits d’intérêts. Il reçoit et
traite les rapports d’exception lorsque des menaces à l’indépendance et à l’objectivité
ont été identifiées dans un formulaire de confirmation de l’indépendance pour un audit
donné et examine toutes les questions signalées dans le cadre du processus annuel de
déclaration confidentielle. Tous les ans, le spécialiste interne en valeurs et éthique
présente un rapport au Conseil de direction et au Comité d’audit.
La partie 3.1.2 du présent Guide donne des précisions sur les mesures d’atténuation
des risques de conflit d’intérêts.

1.3 Code de valeurs et d’éthique

Le BVG dispose de son propre Code de valeurs, d’éthique et de conduite
professionnelle. Celui-ci définit les attentes à l’égard des valeurs, de l’éthique et des
conflits d’intérêts ainsi que la conduite professionnelle des employés, des experts-
conseils et des entrepreneurs. Toutes les personnes qui travaillent au Bureau ou qui
exécutent des travaux en son nom doivent respecter ce code ainsi que le Code de
valeurs et d’éthique du secteur public.
La Direction des ressources humaines est responsable de ce code, avec l’appui des
Services juridiques.

1.4 Directives sur les conflits d’intérêts et l’après-mandat

Le Code de valeurs, d’éthique et de conduite professionnelle du BVG renferme des
directives sur les conflits d’intérêts et l’après-mandat (voir la partie 1.3).
1.5 Plan d’audit interne fondé sur les risques
Le plan d’audit interne fondé sur les risques du BVG est défini tous les ans par l’Équipe
de la revue des pratiques et de l’audit interne (l’Équipe de la RPAI). Le plan porte sur
trois ans. Les risques de fraude sont considérés dans le cadre de ce processus,
conformément aux normes de l’Institute of Internal Auditors. De plus, une évaluation
des risques de fraude est réalisée lors de la planification de chaque mission
d’audit interne.

1.6 Processus d’enquête sur les allégations de fraude

Le BVG a instauré un processus pour enquêter sur les allégations de fraude.
La partie 4 du présent Guide décrit ce processus et présente les principaux
protagonistes.

1.7 Politique de prévention de la fraude

L’Annexe D présente la Politique de prévention de la fraude du BVG.
Cette Politique comporte les objectifs suivants :

 améliorer les connaissances et la sensibilisation de tous les employés sur les

risques potentiels de fraude;
 définir les responsabilités relatives à la prévention, à la détection et aux enquêtes
en matière de fraude;
 indiquer clairement que la fraude ne sera pas tolérée;
 favoriser la promotion d’un milieu de travail ouvert et d’une culture d’entreprise
où les employés se sentent libres de soulever des inquiétudes sans crainte de
représailles.

Le dirigeant principal des finances est responsable de la Politique. Il doit notamment

évaluer l’efficacité et la mise en œuvre de la Politique, avec l’aide du spécialiste interne
en matière de fraude.

2. Évaluation des risques de fraude

2.1 Mener une évaluation des risques de fraude en

intégrant des pratiques exemplaires
L’évaluation des risques de fraude est un processus qui permet aux organisations
d’identifier et de contrer les vulnérabilités internes et externes à l’égard de la fraude.
cette évaluation fait partie intégrante du processus annuel d’évaluation des risques
d’entreprise, qui est un élément clé de l’exercice annuel de planification stratégique.
L’évaluation des risques de fraude relève de la responsabilité du dirigeant principal des
finances et du spécialiste interne en matière de fraude.
Le spécialiste interne en matière de fraude aide les chefs de services et les
responsables des pratiques du Bureau à évaluer les risques. Il doit aussi revoir
l’évaluation des risques de chaque service et pratique pour s’assurer que les principaux
risques de fraude ont été correctement identifiés, évalués et traités, le cas échéant. Il
évalue l’environnement de contrôle du BVG à l’égard des risques de fraude à l’aide du
Tableau de bord de la prévention et de la détection de la fraude au BVG (voir
l’Annexe C.2). Dans le cadre de ces procédures, le spécialiste interne en matière de
fraude communique les résultats et les conclusions de ses travaux au dirigeant principal
des finances, lequel confirme ensuite le caractère adéquat de l’évaluation des risques
de fraude (voir l’Annexe C) et présente son rapport au Comité d’audit et au Conseil de
direction.
Cette approche d’évaluation des risques de fraude au BVG intègre les pratiques
exemplaires décrites aux parties 2.1.1 à 2.1.7 ci-dessous, qui s’inspirent du
guide Managing the Business Risk of Fraud: A Practical Guide (publié par l’Institute of
Internal Auditors, l’American Institute of Certified Public Accountants et l’Association of
Certified fraud Examiners).

2.1.1 Identifier les risques de fraude sans tenir compte des contrôles (à
savoir le risque inhérent)
La population des risques de fraude inhérents qui pourraient menacer le BVG est
identifiée. Pour ce faire, tous les types de stratagèmes et scénarios de fraude sont pris
en compte, tout comme les motifs, les pressions, les circonstances favorables à la
fraude et les risques de fraude informatique propres à l’organisation.

2.1.2 Évaluer la probabilité et l’impact des risques de fraude identifiés

La probabilité relative et l’importance possible des risques de fraude identifiés sont
évaluées en fonction des informations historiques accumulées, des stratagèmes de
fraude connus et des discussions avec les personnes qui participent aux processus
opérationnels.

2.1.3 Mettre en correspondance les contrôles qui atténuent les risques

identifiés (prévention/détection)
Les risques et les stratagèmes de fraude sont mis en correspondance avec les
contrôles pertinents.

2.1.4 Évaluer si les contrôles fonctionnent efficacement

Les contrôles pertinents sont évalués du point de vue de l’efficacité de leur conception
et testés régulièrement, dans un intervalle de temps raisonnable, pour confirmer
l’efficacité de leur fonctionnement et déterminer s’ils permettent de réduire les risques
de fraude inhérents.

2.1.5 Évaluer les risques de fraude résiduels

Les risques de fraude résiduels sont identifiés en tenant compte des contrôles
efficaces.

2.1.6 Selon le seuil de tolérance aux risques, répondre aux risques de

fraude résiduels
En tenant compte de son seuil de tolérance face au risque de fraude, l’organisation
définit la réponse aux risques de fraude, généralement sous la forme d’un plan d’action.
La réponse devrait viser les risques de fraude résiduels et considérer l’équilibre coûts-
avantages de la mise en place de contrôles ou de procédures particulières de détection
de la fraude.

2.1.7 Examiner périodiquement l’évaluation des risques de fraude

L’évaluation des risques de fraude est passée en revue tous les ans au cours de
l’exercice de planification stratégique et les résultats de cette revue sont communiqués
dans le cadre de ce processus.

3. Contrôles de prévention et de détection de la

fraude
Les contrôles de prévention et de détection de la fraude englobent les processus,
procédures et activités visant à contrer les risques de fraude identifiés. Ces contrôles
sont conçus et mis en œuvre pour réduire les risques de fraude.
Dans le cadre de son évaluation des risques de fraude annuelle, le Bureau du
vérificateur général du Canada (BVG) identifie les contrôles particuliers qui réduisent
les risques de fraude. La conception et la mise en œuvre de ces contrôles sont testées
périodiquement. L’identification et les tests des contrôles sont une étape clé permettant
de déterminer si les contrôles actuels sont suffisants et appropriés pour prévenir et
détecter la fraude, et pour déclencher la prise de mesures correctives au besoin.
Les sections 3.1 et 3.2 présentent des exemples de contrôles de prévention et de
détection de la fraude.

3.1 Prévention de la fraude

3.1.1 Une formation sur les valeurs, l’éthique et les conflits d’intérêts et
une formation ciblée sur la fraude dispensées à temps
Tous les employés du BVG doivent suivre une formation sur les valeurs, l’éthique et les
conflits d’intérêts dans un délai donné. Cela permet d’avoir une assurance que les
employés comprennent le comportement éthique qui est attendu d’eux ainsi que les
conflits d’intérêts potentiels et les menaces à l’indépendance qui pourraient les toucher.
Le Code de valeurs, d’éthique et de conduite professionnelle du BVG est un des piliers
du Cadre de gestion des risques de fraude. Cette formation obligatoire montre
l’importance que la haute direction du BVG accorde à ces questions. À intervalles
réguliers, le Bureau réévalue la formation obligatoire à la lumière de divers facteurs,
dont les risques.
Le Groupe des services et les pratiques d’audit font connaître leurs besoins en matière
de formation au spécialiste interne en matière de fraude. Ces besoins sont examinés,
réévalués puis classés par ordre de priorité dans le cadre du Plan stratégique à l’égard
de la fraude du BVG. Cela comprend l’élaboration et la mise en œuvre de cours ciblés
sur la fraude, dont certains peuvent être obligatoires.
L’équipe du Perfectionnement professionnel vérifie que les cours obligatoires sont
suivis dans les délais prévus et fait rapport à ce sujet au Conseil de direction et au
Comité d’audit.

3.1.2 Conflit d’intérêts : Atténuation des conflits d’intérêts

3.1.2.1 Gestion efficace des déclarations de conflits d’intérêts

Le BVG a instauré un processus exhaustif pour gérer la déclaration de conflits d’intérêts
possibles et réels.
Les Ressources humaines assurent la gestion du processus annuel de déclaration
confidentielle. Elles veillent à ce que tous les employés remplissent un formulaire de
déclaration tous les ans.
Il incombe au spécialiste interne en valeurs et éthique d’évaluer les situations déclarées
par les employés, notamment les conflits d’intérêts possibles ou les menaces à
l’indépendance, dans le cadre du processus annuel de déclaration confidentielle ou de
la confirmation de l’indépendance qui est requise pour chaque mission d’audit.
Pour ce qui est des déclarations confidentielles annuelles, le spécialiste interne en
valeurs et éthique enregistre les situations où les employés ont déclaré des actifs, des
passifs ou d’autres intérêts qui, selon lui, peuvent donner lieu à un conflit d’intérêts réel
ou perçu. Ce registre contient aussi les cas où, en fonction des risques, un suivi de la
mise en œuvre des mesures recommandées a été effectué. Le registre facilite la
gestion des conflits d’intérêts et des menaces à l’indépendance ou à l’objectivité qui
sont déclarées par le personnel du BVG.
Le spécialiste interne en valeurs et éthique passe en revue, approuve et enregistre tous
les rapports d’exception remplis par le personnel d’audit et signés par le responsable de
mission. Le registre tenu par le spécialiste interne contient des renseignements clés sur
chaque exception signalée, notamment la date de déclaration de l’exception et la date à
laquelle la direction du BVG et le spécialiste interne en valeurs et éthique ont accepté la
stratégie d’atténuation établie.

3.1.2.2 Déclarations effectuées par les employés, qu’ils aient ou non un

conflit d’intérêts
Chaque employé doit remplir une déclaration confidentielle annuelle afin d’indiquer s’il
est ou pas dans une situation de conflit d’intérêts. Les Ressources humaines veillent à
ce que tous les employés remplissent une déclaration dans les délais prescrits, puis
elles présentent les résultats de leur suivi au Conseil de direction et au Comité d’audit.
Les Ressources humaines transmettent les formulaires des employés qui ont déclaré
un conflit d’intérêts réel ou perçu au spécialiste interne en valeurs et éthique pour qu’il
les passe en revue, prenne les mesures ou fasse les suivis qui s’imposent.
En outre, tous les membres des équipes d’audit doivent remplir un formulaire de
confirmation d’indépendance lorsqu’ils commencent une mission d’audit. Si un membre
déclare l’existence d’une menace à son indépendance ou à son objectivité, un Rapport
d’exception doit être rempli et des mesures d’atténuation doivent être élaborées en vue
de ramener la menace à un niveau acceptable. Des revues des pratiques régulières
permettent de contrôler l’efficacité du processus de confirmation de l’indépendance.

3.1.2.3 Normes de service pour donner suite aux conflits d’intérêts déclarés
Le BVG dispose de normes de service à l’intention du spécialiste interne en valeurs et
éthique, qui prévoient une réponse en temps opportun aux déclarations de conflits
d’intérêts et aux rapports d’exception. Les résultats obtenus par rapport à ces normes
sont communiqués au Conseil de direction et au Comité d’audit par le spécialiste
interne en valeurs et éthique.

3.1.2.4 Rapports
Tous les ans, le spécialiste interne en valeurs et éthique présente au Conseil de
direction et au Comité d’audit un rapport sur les déclarations de conflits d’intérêts et sur
les menaces à l’indépendance et à l’objectivité.

3.1.3 Contrôles conçus pour prévenir les activités frauduleuses

par le biais du dirigeant principal des finances et du contrôleur, maintient un système de
contrôle interne fondé sur les risques à l’égard de la gestion financière. La conception et
l’efficacité du fonctionnement de ces contrôles sont évaluées par rotation. Les travaux
d’évaluation des contrôles sont réalisés par diverses parties clés, comme des auditeurs
externes et le Service du contrôleur. De plus, l’Équipe de la revue des pratiques et de
l’audit interne (RPAI) réalise des audits et considère les risques de fraude lors de
l’établissement de ses plans d’audit fondés sur le risque.
Se reporter à l’Annexe C.2 pour des exemples de contrôles visant la prévention de la
fraude.

3.2 Détection de la fraude

3.2.1 Mécanisme pour signaler de la fraude

Comme le prévoit la Politique de prévention de la fraude du BVG, le Bureau a instauré
une politique de portes ouvertes pour le signalement des cas suspectés de fraude.
La partie 4.1 du Guide décrit les modalités à suivre pour signaler un cas suspecté de
fraude au BVG.

3.2.2 Contrôles conçus pour détecter les activités frauduleuses

Comme l’indique la partie 3.1.3 du Guide, le BVG maintient un système de contrôles
internes fondé sur les risques à l’égard de la gestion financière. Dans le cadre de ce
système, la Direction du contrôleur procède à des activités d’exploration et d’analyse
des données, en collaboration avec l’équipe spécialisée en analyse des données et le
spécialiste interne en matière de fraude.
Se reporter à l’Annexe C.2 pour des exemples de contrôles de détection de la fraude.

4. Enquêtes sur les allégations de fraude

Les dénonciations constituent la méthode la plus populaire de détection de la fraude,
représentant près de 40 % des cas de fraude détectés. Les organisations doivent donc
se doter d’une approche rigoureuse pour gérer les allégations de fraude, notamment
celles qui font l’objet d’une dénonciation, et enquêter au besoin.
Le Bureau du vérificateur général du Canada (BVG) s’est doté d’un mécanisme pour
solliciter et recevoir tout renseignement sur les cas potentiels de fraude et d’une
approche formelle pour avoir l’assurance que les cas potentiels de fraude sont traités
de manière appropriée et dans les meilleurs délais.

4.1 Mécanisme pour signaler de la fraude

Comme le prévoit la Politique de prévention de la fraude du BVG, tous les cas
suspectés de fraude doivent être signalés immédiatement. Le BVG favorise une
politique de portes ouvertes pour la communication des cas suspectés de fraude. Il a
établi des moyens sûrs, confidentiels et sans représailles pour les personnes qui
signalent des cas suspectés de fraude. Les employés du BVG peuvent signaler des cas
suspectés de fraude à l’une ou l’autre des personnes suivantes :

 agent de la sécurité ministérielle;

 Services juridiques;
 dirigeant principal des finances;
 gestionnaires des ressources humaines;
 spécialiste interne en valeurs et éthique;
 spécialiste interne en matière de fraude;
 dirigeant principal de l’audit interne;
 agent supérieur chargé des divulgations;
 vérificateur général;
 président du Comité d’audit.

Le dirigeant principal des finances assure la coordination et l’application uniforme du

mécanisme de signalement des cas suspectés de fraude à travers la politique de portes
ouvertes.

4.2 Approche formelle pour traiter les allégations de fraude

Une approche formelle a été instaurée pour évaluer les allégations de fraude, enquêter,
faire des suivis, prendre des mesures correctives et faire rapport sur celles-ci.
Le dirigeant principal des finances gère toutes les allégations de fraude et surveille les
enquêtes, avec le concours du spécialiste interne en matière de fraude. Il consulte, au
besoin, l’agent de la sécurité ministérielle, les Services juridiques, les Ressources
humaines et le spécialiste interne en valeurs et éthique. Il surveille la conformité à
l’approche formelle.
Cette approche vise à permettre l’évaluation et la revue des allégations de fraude,
l’enquête sur ces allégations (au besoin) et leur résolution sous le signe de la rapidité,
de la compétence et de la confidentialité.

4.2.1 Évaluation des allégations de fraude

Le dirigeant principal des finances gère et évalue les allégations de fraude, avec l’appui
d’autres personnes s’il y a lieu. Les allégations font l’objet de discussions de manière à
protéger la confidentialité. Selon la gravité de l’allégation, d’autres services internes
peuvent être consultés.

4.2.2 Enquête sur les allégations de fraude

Les allégations de fraude font l’objet d’une enquête, s’il y a lieu, conformément à la
Politique sur les enquêtes en milieu de travail du BVG. Le dirigeant principal des
finances agit à titre d’agent supérieur pour les enquêtes sur les cas de fraude comme le
prévoit cette politique.
4.2.3 Surveillance des allégations de fraude
La surveillance des allégations de fraude passe par la tenue d’un registre des
allégations qui contient suffisamment d’informations sur l’état du traitement des
allégations et les résultats. De même, des informations appropriées et suffisantes sont
consignées en dossier pour étayer l’évaluation des allégations sans fondement.

4.2.4 Mesures correctives

Des mesures correctives sont prises au besoin, notamment des sanctions disciplinaires.
L’approche formelle de traitement des allégations de fraude prévoit l’identification des
causes profondes de la fraude en vue de détecter des situations similaires ailleurs dans
l’organisation. Dans ces cas, le dirigeant principal des finances détermine s’il y a lieu de
renforcer certains contrôles internes ou de réaménager certains processus
opérationnels afin de réduire ou de supprimer la possibilité que des incidents similaires
se reproduisent à l’avenir.
Le dirigeant principal des finances évalue l’incidence possible des mesures correctives
et le message qu’elles pourraient envoyer aux employés, à la population, aux parties
prenantes et à d’autres parties concernées.
Le dirigeant principal des finances surveille la mise en œuvre de mesures
recommandées en vue de réduire de futurs incidents.

4.2.5 Rapport sur les allégations de fraude

Le dirigeant principal des finances présente un compte rendu au Conseil de direction et
au Comité d’audit sur la gestion des allégations de fraude, notamment des informations
clés sur l’état d’avancement des allégations et les résultats obtenus, le délai de
règlement des allégations et la mise en œuvre des mesures correctives.

5. Amélioration continue du Cadre de gestion

des risques de fraude
Vu la constante évolution de l’environnement dans lequel elle fonctionne, une
organisation doit évaluer en continu son exposition aux risques de fraude et les
mesures pour les contrer.
Le dirigeant principal des finances et le spécialiste interne en matière de fraude
assurent le suivi du Cadre de gestion des risques de fraude et apportent les
améliorations qui s’imposent. Cette activité est menée en continu (voir l’Annexe B).
Le dirigeant principal des finances, avec la collaboration du spécialiste interne en
matière de fraude, doit aussi déterminer si le Cadre de gestion des risques de fraude au
Bureau du vérificateur général du Canada atteint ses objectifs et apporter les
changements nécessaires. Ce processus est répété au moins tous les trois ans.
Les résultats de ces évaluations sont communiqués dans un rapport qui est présenté au
Conseil de direction et au Comité d’audit.

Outils de gestion des risques de fraude

Les principaux outils de gestion des risques de fraude du Bureau du vérificateur général
du Canada (BVG) sont présentés ci-après.

Annexe A : Rôles et responsabilités

Le tableau ci-dessous identifie les organes responsables en tant que chef de file (CF)
ou soutien (S) de chacun des éléments clés du Cadre de gestion des risques de fraude
au BVG. Il ne contient pas toutes les parties qui sont concernées par chaque élément
ou qui pourraient l’être.

Éléments Dirigeant Spécialiste Revue des Spéci

clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
Légende
ASM : Agent de la sécurité ministérielle
CA : Comité d’audit
CD : Conseil de direction
Dir. : Direction
DPF : Dirigeant principal des finances
Jur. : Services juridiques
PP : Perfectionnement professionnel
RH : Ressources humaines
RPAI : Revue des pratiques et audit interne
SIF : Spécialiste interne en matière de fraude
SIVE : Spécialiste interne en valeurs et éthique

1. Gouvernance
à l’égard des
risques de
fraude
 Éléments Dirigeant Spécialiste Revue des Spéci
clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
1.1 Surveillance chef de CF
fileCF
1.2 Spécialiste C
interne en
valeurs
et éthique
1.3 Code de
valeurs et
d’éthique
1.4 Directives sur
les conflits
d’intérêts et
l’après-
mandat
1.5 Plan d’audit CF
interne fondé
sur
les risques
1.6 Processus CF S
d’enquête sur
les allégations
de fraude
1.7 Politique de CF S
prévention de
la fraude
(Annexe D)
2. Évaluation CF S S S
des risques
de fraude
3. Contrôles de
prévention et
de détection
de la fraude
3.1 Prévention de
la fraude
3.1.1 Une formation S
sur les
valeurs,
l’éthique et les
conflits
d’intérêts et
 Éléments Dirigeant Spécialiste Revue des Spéci
clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
une formation
ciblée sur la
fraude
dispensées à
temps
3.1.2 Conflit S C
d’intérêts :
Atténuation
des conflits
d’intérêts
3.1.3 Contrôles CF S S S
conçus pour
prévenir
les activités
frauduleuses
3.2 Détection de
la fraude
3.2.1 Mécanisme CF
pour signaler
de la fraude
(voir
la partie 4.1)
3.2.2 Contrôles CF S S S
conçus pour
détecter
les activités
frauduleuses
4. Enquêtes sur
les
allégations
de fraude
4.1 Mécanisme CF
pour signaler
de la fraude
4.2 Approche CF S
formelle pour
traiter
les allégations
de fraude
5. Amélioration CF S
continue du
 Éléments Dirigeant Spécialiste Revue des Spéci
clés du principal interne en pratiques et intern
Partie Cadre Comité des matière de Conseil de audit valeu
d’auditCA financesDPF fraudeSIF directionCD interneRPAI DirectionDir. éthiqu
Cadre
de gestion
des risques
de fraude

Annexe B : Plan de travail de surveillance pour

le spécialiste interne en matière de fraude
Le spécialiste interne en matière de fraude se sert de ce document comme plan de
travail pour surveiller la mise en œuvre en bonne et due forme du Cadre de gestion des
risques de fraude au BVG.
Le plan décrit :

 les diverses étapes à suivre pour s’acquitter des responsabilités relatives au

Cadre qui sont détaillées dans le présent Guide;
 les personnes qui sont chargées de réaliser ces étapes;
 le moment où le spécialiste interne fera un suivi.

 Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
Légende
AB/C : Au besoin/en continu
CA : Comité d’audit
CD : Conseil de direction
DPA : Dirigeant principal de l’audit interne
DPF : Dirigeant principal des finances
PP : Perfectionnement professionnel
RH : Ressources humaines
RPAI : Revue des pratiques et audit interne
SIF : Spécialiste interne en matière de fraude
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
SIVE : Spécialiste interne en valeurs et éthique

1. Gouvernance
à l’égard des
risques
de fraude
1.1 Surveillance
Surveiller la Comité d’auditCA X
mise en œuvre
du Cadre de
gestion des
risques de
fraude,
notamment
l’évaluation des
risques de
fraude
Déterminer le Conseil de
seuil de directionCD
tolérance
au risque de
fraude
Discuter des CD
risques de
fraude et de
l’évaluation des
risques de
fraude
1.2 Spécialiste
interne en
valeurs
et éthique
Faire un Spécialiste
rapport annuel interne en
sur les activités valeurs et
menées au éthiqueSIVE
Comité d’audit
(en
collaboration
avec les RH)
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
1.3 Code de
valeurs et
d’éthique
Voir à la revue RH
du code de
valeurs
et d’éthique,
selon les
besoins
1.4 Directives sur RH
les conflits
d’intérêts et
l’après-mandat
(voir
la partie 1.3)
1.5 Plan d’audit Dirigeant X
interne fondé principal de
sur les risques l’audit
interneDPA
1.6 Processus Dirigeant
d’enquête sur principal des
les allégations financesDPF
de fraude (voir
la partie 4)
1.7 Politique de
prévention de
la fraude
(Annexe D)
Évaluation DPF X
périodique de
l’efficacité et de
la mise en
œuvre de la
Politique
Revue de la DPF
Politique
2. Évaluation des
risques de
fraude
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
2.1 Mener une
évaluation des
risques de
fraude en
intégrant des
pratiques
exemplaires
Aider les chefs Spécialiste
des services et interne en
les matière de
responsables fraudeSIF
des pratiques à
procéder à
l’évaluation des
risques de
fraude
Revoir tous les SIF X
ans les
évaluations des
risques de
chaque service
et pratique pour
confirmer que
les pratiques
exemplaires ont
été suivies,
comme le
prévoient
les parties 2.1.1
à 2.1.7 du
Guide
Suivre l’état SIF X
d’avancement
de la mise en
œuvre des
plans d’action
Évaluer SIF
l’environnement
de contrôle du
BVG à l’égard
des risques de
fraude à l’aide
du Tableau de
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
bord de la
prévention et
de la détection
de la fraude
(Annexe C.2)
Regrouper les SIF
résultats de
l’évaluation des
risques de
fraude et tirer
une conclusion
Confirmer le DPF/SIF
caractère
adéquat de
l’évaluation des
risques de
fraude du
Bureau
(Annexe C)
Communiquer DPF/SIF
les résultats et
les conclusions
découlant de
l’évaluation des
risques de
fraude au
Conseil de
direction
Communiquer DPF/SIF X
les résultats et
les conclusions
découlant de
l’évaluation des
risques de
fraude au
Comité d’audit
3. Contrôles de
prévention et
de détection
de la fraude
3.1 Prévention de
la fraude
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
3.1.1 Une formation
sur les valeurs,
l’éthique et les
conflits
d’intérêts et
une formation
ciblée sur la
fraude
dispensées à
temps
Suivi de la Perfectionnement X
participation professionnelPP
dans les délais
prescrits aux
cours de
formation
obligatoires sur
les valeurs,
l’éthique et les
conflits
d’intérêts
Communiquer PP X
les résultats au
Conseil de
direction
Communiquer PP X
les résultats au
Comité d’audit
Réévaluer les SIF X
besoins en
matière de
formation sur la
fraude et les
priorités dans le
cadre de
l’établissement
du Plan
stratégique à
l’égard de la
fraude
3.1.2 Conflit
d’intérêts :
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
Atténuation des
conflits
d’intérêts
3.1.2.1 Gestion
efficace des
déclarations de
conflits
d’intérêts
Tenue d’un SIVE X
registre
exhaustif
3.1.2.2 Déclarations
effectuées par
les employés,
qu’ils aient ou
non un conflit
d’intérêts
Suivi des RH X
déclarations
annuelles
Renvoi des RH
cas, y compris
les exceptions,
au spécialiste
interne en
valeurs et
éthique
Communication RH
des résultats au
Conseil de
direction
Communication RH
des résultats au
Comité d’audit
Suivi des SIVE
rapports
d’exception
Suivi de la mise Revue des X
en œuvre pratiques et audit
efficace du interneRPAI
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
processus de
confirmation de
l’indépendance
(revue des
pratiques)
3.1.2.3 Normes de
service pour
donner suite
aux conflits
d’intérêts
déclarés
Suivi et SIVE
communication
des résultats
obtenus par
rapport aux
normes de
service
3.1.2.4 Rapports
Présentation SIVE
d’un rapport sur
les déclarations
de conflits
d’intérêts et les
menaces à
l’indépendance
et à l’objectivité
au Conseil de
direction
Présentation SIVE
d’un rapport sur
les déclarations
de conflits
d’intérêts et les
menaces à
l’indépendance
et à l’objectivité
au Comité
d’audit
3.1.3 Contrôles DPF X
conçus pour
prévenir les
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
activités
frauduleuses
Réalisation de DPF et contrôleur X
travaux
d’évaluation
des contrôles
(contrôle
interne sur
l’information
financière
(CIIF))
S’assurer que RPAI X
les audits
internes
comprennent
des tests des
contrôles
3.2 Détection de la
fraude
3.2.1 Mécanisme
pour signaler
de la fraude
(voir
la partie 4.1)
3.2.2 Contrôles DPF X
conçus pour
détecter les
activités
frauduleuses
Réalisation de DPF et contrôleur X
travaux
d’évaluation
des contrôles
(CIIF)
S’assurer que RPAI X
les audits
internes
comprennent
des tests des
contrôles
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
Surveillance DPF et contrôleur X
effectuée grâce
à l’analyse et à
l’exploration
des données
4. Enquêtes sur
les allégations
de fraude
4.1 Mécanisme
pour signaler
de la fraude
Réception des DPF
allégations
grâce à la
politique de
portes ouvertes
préconisée par
la Politique de
prévention de
la fraude
Coordination et DPF X
suivi de la mise
en œuvre
uniforme du
mécanisme de
signalement de
la fraude grâce
à une politique
de portes
ouvertes
4.2 Approche
formelle pour
traiter les
allégations de
fraude
4.2.1 Évaluation des
allégations de
fraude
Assurer la DPF
gestion des
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
allégations de
fraude
Voir à DPF
l’évaluation des
allégations de
fraude et
associer les
principales
parties
prenantes, au
besoin
Veiller à ce que DPF
les principales
parties
prenantes,
comme le
spécialiste
interne en
matière de
fraude, l’agent
de la sécurité
ministérielle,
les Services
juridiques, les
Ressources
humaines et le
spécialiste
internes en
valeurs et
éthique,
participent au
processus
lorsque cela est
nécessaire
4.2.2 Enquêtes sur
les allégations
de fraude
Voir à ce que DPF
les enquêtes
sur les
allégations de
fraude soient
réalisées
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
conformément
à la Politique
sur les
enquêtes en
milieu de travail
4.2.3 Surveillance
des allégations
de fraude
Surveiller les DPF/SIF
allégations de
fraude,
notamment
tenir un registre
sur les
allégations
contenant
suffisamment
d’informations
pour pouvoir
faire le suivi de
l’état
d’avancement
du traitement
des allégations
et des
conclusions
tirées. De
même,
conserver des
informations
suffisantes pour
justifier
l’évaluation des
cas où les
allégations ont
été jugées non
fondées
4.2.4 Mesures
correctives
Voir à ce que DPF
des mesures
correctives
soient prises
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
lorsque cela est
approprié (par
exemple des
mesures
disciplinaires
ou des
améliorations
aux contrôles
internes ou aux
processus en
vue de réduire
ou de
supprimer la
possibilité que
des incidents
similaires se
répètent à
l’avenir)
Surveiller la DPF
mise en œuvre
des mesures
recommandées
en vue
d’atténuer tout
incident futur
4.2.5 Rapport sur les
allégations de
fraude
Faire rapport DPF
au Conseil de
direction et au
Comité d’audit
sur la gestion
des allégations
de fraude
5. Amélioration
continue du
Cadre
de gestion des
risques de
fraude
  Spécialiste interne en matière de fra

Partie Élément Responsable

JanvierJ FévrierF MarsM AvrilA MaiM JuinJ JuilletJ AôutA
Surveiller le DPF/SIF
Cadre et y
apporter les
améliorations
qui s’imposent
Déterminer si le DPF/SIF
Cadre de
gestion des
risques de
fraude atteint
ses objectifs et
y apporter les
changements
qui s’imposent
Communiquer DPF
les résultats au
Conseil de
direction
Communiquer DPF X
les résultats au
Comité d’audit

Annexe C : Attestation annuelle du caractère adéquat

de l’évaluation des risques de fraude du Bureau
Cette attestation doit être faite tous les ans par le spécialiste interne en matière de
fraude et le dirigeant principal des finances.
Contexte
Dans le cadre du processus annuel d’évaluation des risques, chaque gestionnaire
supérieur responsable d’une direction :

 confirme qu’il a identifié, examiné et évalué les risques stratégiques, de non-

conformité et opérationnels (y compris les risques de fraude) de son secteur
fonctionnel;
 définit des stratégies d’atténuation pour les risques de fraude résiduels élevés et
très élevés;
 discute des risques et des stratégies d’atténuation de sa direction avec le
vérificateur général adjoint responsable.
Dans le cadre de ce processus, le spécialiste interne en matière de fraude :

 aide les chefs de services et les responsables des pratiques avec l’évaluation
des risques de fraude;
 examine le volet sur la fraude des évaluations des risques réalisées par les chefs
de services et les responsables des pratiques pour avoir l’assurance que ce volet
sur la fraude respecte les pratiques exemplaires et qu’il comprend les éléments
clés;
 discute des évaluations des risques de fraude avec les chefs de services et les
responsables des pratiques, au besoin;
 fait le suivi de l’état d’avancement de la mise en œuvre de stratégies
d’atténuation.

Le spécialiste interne en matière de fraude évalue aussi l’environnement de contrôle du

BVG en vue d’assurer la gestion des risques de fraude à l’aide du tableau de bord de la
prévention et de la détection de la fraude (Annexe C.2).
Dans le cadre de ces procédures, le spécialiste interne en matière de fraude présente
les résultats de ses travaux au dirigeant principal des finances, qui confirme alors le
caractère adéquat de l’évaluation des risques de fraude du Bureau.
Énoncé d’attestation
À titre de spécialiste interne en matière de fraude, je confirme que j’ai examiné
l’évaluation des risques effectuée par chacun des chefs de service et des responsables
des pratiques pour m’assurer que les principaux risques de fraude avaient été
correctement identifiés, évalués et traités, lorsque cela s’imposait. J’ai aussi évalué
l’environnement de contrôle de la gestion des risques de fraude.
À titre de dirigeant principal des finances, je confirme le caractère adéquat de
l’évaluation des risques de fraude du Bureau.
Principales observations et conclusion
1) Résultats des évaluations des risques de fraude :

2) Environnement de contrôle :

Signature
Spécialiste interne en matière de fraude
Date
Signature
Dirigeant principal des finances
Date

Annexe C1 : Évaluation détaillée et cumulative des risques

de fraude
Cette évaluation détaillée et cumulative des risques de fraude étaye l’attestation
annuelle du caractère adéquat de l’évaluation des risques de fraude du Bureau (Annexe
C).

Version textuelle
Ce classeur doit être rempli lors d’une évaluation détaillée et cumulative des risques de
fraude. Il contient les colonnes suivantes :

 Numéro du risque
 Numéro du scénario
 Type de stratagème
 Fonction
 Activités et processus principaux
 Responsable fonctionnel
 Énoncé original de risque de 2017
 Lien avec les objectifs stratégiques
 Description du scénario de risque de fraude
 Probabilité du risque inhérent (faible, moyenne, élevée, très élevée)
 Incidence du risque inhérent (faible, moyenne, élevée, très élevée)
 Niveau de risque inhérent (normal à très élevé)
 Contrôles préventifs
 Contrôles de détection
 Contrôles correctifs
 Efficacité du contrôle évaluée
 Niveau du risque résiduel (normal à très élevé)
 Justification du niveau de risque résiduel
 Tendance du risque résiduel par rapport à l’année précédente (stable, en hausse,
en baisse)
 Réponse au risque résiduel (accepter, éviter, atténuer ou partager)
 Justification de la réponse au risque
 Stratégie de réponse au risque résiduel (obligatoire pour les risques résiduels
élevés ou très élevés)

Version textuelle
Annexe C2 : Tableau de bord de la prévention
et de la détection de la fraude

Contexte
Cet outil appuie l’attestation annuelle du caractère adéquat de l’évaluation des risques
de fraude du Bureau (Annexe C).
Il est fondé sur le guide Managing the Business Risk of Fraud : A Practical
Guide (disponible en anglais seulement) de l’Institute of Internal Auditors, de l’American
Institute of Certified Public Accountants et de l’Association of Certified Fraud
Examiners. Il sert de guide pour évaluer l’environnement de contrôle du Bureau à
l’égard des risques de fraude. Il doit être rempli par le spécialiste interne en matière de
fraude, de concert avec les autres parties prenantes, dans le cadre de l’évaluation des
risques de fraude annuelle.
Pour évaluer l’efficacité du système de prévention de la fraude de l’organisation, il faut
évaluer soigneusement chaque secteur, facteur et élément d’appréciation selon le
barème suivant :

Rouge : indique que le secteur, le facteur ou l’élément d’appréciation doit être

considérablement renforcé et amélioré afin de ramener le risque de fraude à un niveau
acceptable.

Jaune : indique que le secteur, le facteur ou l’élément d’appréciation doit être quelque
peu renforcé et amélioré afin de ramener le risque de fraude à un niveau acceptable.

Vert : indique que le secteur, le facteur ou l’élément d’appréciation est solide et que le
risque de fraude a été – à tout le moins – ramené à un niveau acceptable.
Pour chaque secteur, facteur ou élément d’appréciation qui a été noté « rouge » ou
« jaune », il faut insérer des explications décrivant le plan d’action à suivre pour qu’il
soit noté « vert » sur la prochaine fiche.

No Secteur, facteur ou élément d’appréciation – Prévention de la fraude

P1 La culture de l’organisation – ton donné par la direction – est aussi vigoureuse que possible e
un environnement où la fraude n’est pas tolérée (tolérance zéro).
 No Secteur, facteur ou élément d’appréciation – Prévention de la fraude

P2 La haute direction de l’organisation fait systématiquement preuve d’une attitude appropriée à

de la prévention de la fraude et encourage les échanges francs et ouverts sur le comporteme
éthique.

P3 Notre code de conduite prévoit des dispositions précises sur les relations inappropriées par
lesquelles les membres du Conseil de direction ou de la direction pourraient abuser de leur a
dans le cadre de leurs fonctions, à des fins d’enrichissement personnel ou pour tout autre us
inapproprié, et il les interdit.

P4 Nous avons procédé à une évaluation des risques de fraude rigoureuse à l’aide du cadre En
Risk Management Integrated Framework du COSO et pris des mesures particulières pour re
nos mécanismes de prévention, au besoin.

P5 Nous avons géré les forces et les faiblesses de notre environnement de contrôle interne et p
mesures précises pour renforcer la structure des contrôles internes afin de contribuer à la pré
de la fraude.

P6 Nous avons harmonisé les pouvoirs et responsabilités à tous les échelons hiérarchiques de l
organisationnelle et nous n’avons eu connaissance d’aucun décalage susceptible de devenir
facteur de vulnérabilité à la fraude.

P7 Notre Comité d’audit a adopté une approche très proactive à l’égard de la prévention de la fr

P8 Les membres de notre Comité d’audit sont indépendants et certains possèdent des compéte
comptabilité et présentation d’information financière.

P9 Notre Comité d’audit se réunit au moins tous les trimestres et consacre une partie importante
temps à l’évaluation des risques de fraude et à la mise en œuvre, de manière proactive,
de mécanismes de prévention de la fraude.

P10 Nous avons une fonction d’audit interne efficace qui fonctionne de manière indépendante de
direction. La charte de notre fonction d’audit interne indique expressément que l’équipe d’aud
interne contribuera à la prévention et à la détection de la fraude et des inconduites.

P11 Une personne dotée des pouvoirs et des attributions nécessaires a été nommée pour surveil
maintenir nos programmes de prévention de la fraude. Cette personne s’est vu octroyer les
 No Secteur, facteur ou élément d’appréciation – Prévention de la fraude

ressources nécessaires pour gérer efficacement ces programmes. Cette personne peut com
directement avec le Comité d’audit.

P12 La fonction des Ressources humaines enquête sur les antécédents des candidats dans le bu
de s’assurer que les personnes ayant des antécédents inappropriés ou des traits de caractèr
cadrent pas avec la culture du Bureau et son code de déontologie sont identifiées et exclues
processus de dotation.

P13 Les compétences et l’intégrité du personnel qui participe au processus d’information financiè
été évaluées et il a été conclu que le personnel était de la plus grande valeur.

P14 Tous les employés, les fournisseurs et les entrepreneurs du Bureau ont été informés de la po
de tolérance zéro à l’égard de la fraude et connaissent les mesures appropriées qui doivent ê
prises s’ils ont connaissance d’indices de fraude éventuelle.

P15 Nous avons un programme rigoureux de diffusion de nos politiques et procédures de prévent
fraude auprès de tous les employés, fournisseurs, entrepreneurs et partenaires.

P16 Nous avons des politiques et des procédures pour autoriser et approuver certains types de
transactions et les transactions d’une certaine valeur afin de prévenir et de détecter les cas d

P17 Notre processus d’évaluation du rendement comporte un volet qui vise expressément l’éthiqu
l’intégrité et le respect du Code de valeurs et d’éthique du secteur public et du Code de valeu
d’éthique et de conduite professionnelle du BVG.

P18 Nous avons un programme efficace de protection des lanceurs d’alerte et tous les employés,
fournisseurs, entrepreneurs et partenaires du Bureau connaissent le programme et les procé
qui l’accompagnent.

P19 Nous passons en revue les mécanismes de prévention de la fraude décrits précédemment e
documentons ces revues et les communications échangées avec le Comité d’audit sur les se
susceptibles d’être améliorés.

P20 Nous avons un plan de réponse à la fraude et savons quoi faire si une allégation de fraude e
Le plan indique :
 No Secteur, facteur ou élément d’appréciation – Prévention de la fraude

 qui doit effectuer les enquêtes;

 comment réaliser les enquêtes;
 quand il convient de faire une divulgation volontaire au gouvernement;
 comment déterminer les mesures correctives;
 comment corriger les déficiences des contrôles signalées;
 comment gérer les mesures disciplinaires.

No Secteur, facteur ou élément d’appréciation – Détection de la fraude

D1 Nous avons intégré notre système de détection de la fraude à notre système de prévention d
fraude, et ce, sous le signe de la rentabilité.

D2 Nos processus et techniques de détection de la fraude sont omniprésents à tous les échelon
notre organisation, du Comité d’audit aux gestionnaires de tous les niveaux, en passant par l
employés des secteurs opérationnels.

D3 Nos politiques de détection de la fraude prévoient notamment d’informer les employés, les
fournisseurs et les parties prenantes que le Bureau a un système efficace de détection de la
Toutefois, certains éléments clés du système ne sont pas divulgués afin de préserver l’effica
contrôles cachés.

D4 Nous faisons respecter des périodes obligatoires de vacances ou affectons le personnel par
pour les employés responsables de contrôles financiers et comptables clés.

D5 Nous réévaluons périodiquement nos critères d’évaluation des risques à mesure que notre
organisation prend de l’expansion et évolue afin d’avoir l’assurance que nous connaissons to
les types possibles de fraude.

D6 Nos mécanismes de détection de la fraude mettent un accent accru sur les secteurs pour les
nous avons conclu que les contrôles préventifs étaient faibles ou ne sont pas rentables.

D7 Nous effectuons l’analyse des données et les travaux d’audit en continu en tenant compte de
l’évaluation de tous les types de stratagèmes de fraude qui pourraient menacer des organisa
comme la nôtre.
 No Secteur, facteur ou élément d’appréciation – Détection de la fraude

D8 Nous prenons des mesures pour avoir l’assurance que la confidentialité de nos processus,
procédures et techniques de détection est protégée afin que les employés — et les fraudeurs
potentiels — ne sachent pas qu’ils existent.

D9 Nous tenons une documentation complète sur les processus, procédures et techniques de d
afin de rester à l’affût de la fraude en tout temps et lorsque l’équipe de détection de la fraude
remaniée.

D10 Nos contrôles de détection comprennent une ligne de signalement des cas de fraude bien co
bien gérée.

D11 Notre ligne de signalement des cas de fraude préserve l’anonymat des personnes qui signal
actes répréhensibles.

D12 Notre ligne de signalement des cas de fraude donne l’assurance aux employés qui signalent
actes répréhensibles qu’ils ne feront pas l’objet de représailles. Nous surveillons si des repré
ont été exercées après une dénonciation.

D13 Notre ligne de signalement des cas de fraude repose sur un système de gestion de dossiers
permet d’enregistrer tous les appels reçus, les suivis réalisés et les mesures prises pour les
elle est testée périodiquement par nos auditeurs internes et surveillée par le Comité d’audit.

D14 Les contrôles de nos systèmes informatiques/de nos processus de TI comportent des contrô
conçus expressément pour détecter les activités frauduleuses et les erreurs. Ils prévoient, en
autres, des rapprochements, des revues indépendantes, des inspections/inventaires physiqu
analyses, des audits et des enquêtes.

D15 La charte de notre fonction d’audit interne met l’accent sur la mise en œuvre de mesures visa
détecter la fraude.

D16 Nos auditeurs internes participent au processus d’évaluation des risques de fraude et planifie
activités de détection de la fraude définies en fonction des résultats de cette évaluation.

D17 Nos auditeurs internes font rapport au Comité d’audit et consacrent les ressources nécessair
l’évaluation de la mise en œuvre de l’engagement pris par la direction à l’égard de la détectio
fraude.
 No Secteur, facteur ou élément d’appréciation – Détection de la fraude

D18 Notre équipe d’audit interne est dotée d’un budget et d’un personnel suffisants et a suivi la fo
nécessaire pour respecter les normes professionnelles. Notre personnel d’audit interne poss
compétences appropriées pour appuyer l’atteinte des objectifs de la fonction.

D19 Notre fonction d’audit interne réalise des évaluations fondées sur les risques pour comprend
motifs de la fraude et les secteurs susceptibles de faire l’objet d’une manipulation frauduleus

D20 Notre personnel d’audit interne connaît les outils et les techniques de détection de la fraude,
réponse et d’enquête et est formé sur ces sujets dans le cadre de son programme de format
continue.

D21 Nos programmes d’analyse des données ciblent les écritures de journal et les opérations
inhabituelles, les opérations effectuées à la clôture de l’exercice et celles qui ont été effectué
cours d’une période puis annulée au cours de la période suivante.

D22 Nos programmes d’analyse des données se concentrent sur les écritures de journal dans les
de produits ou de charges qui améliorent le résultat net ou permettent d’une autre façon de r
les attentes des analystes ou les objectifs donnant lieu à une rémunération au rendement.

D23 Nous avons des systèmes conçus pour surveiller les écritures de journal afin de repérer des
d’un contournement possible des contrôles par la direction en vue de fausser les information
financières.

D24 Nous utilisons l’analyse et l’exploration de données et les outils d’analyse numériques pour :
a) identifier les relations cachées entre les personnes, les organisations et les événements; b
les opérations suspectes; c) évaluer l’efficacité des contrôles internes; d) surveiller les menac
fraude et les vulnérabilités; e) considérer et analyser des volumes importants d’opérations en
réel.

D25 Nous avons recours à des techniques d’audit en continu pour repérer et communiquer les ac
frauduleuses rapidement, notamment les analyses selon la loi de Benford pour examiner les
sur les charges, les comptes du grand livre général et les comptes de la paye en vue d’identi
transactions ou montants inhabituels ou des schémas d’activité qui pourraient nécessiter des
analyses plus poussées.
 No Secteur, facteur ou élément d’appréciation – Détection de la fraude

D26 Nous avons des systèmes pour surveiller les courriels des employés en vue de relever des in
fraude possible.

D27 Notre documentation sur la détection de la fraude décrit les personnes et les services qui son
responsables de ce qui suit :

 la conception et la planification de l’ensemble des processus de détection de la fraude

 la conception de contrôles particuliers de détection de la fraude;
 la mise en œuvre des contrôles particuliers de détection de la fraude;
 le suivi des contrôles particuliers de détection de la fraude et de l’ensemble du systèm
contrôles en vue de réaliser l’objectif du processus;
 la réception et le traitement des plaintes sur de possibles activités frauduleuses;
 l’établissement de rapports d’enquête sur les activités frauduleuses;
 la communication de renseignements sur les cas suspectés ou avérés de fraude aux p
compétentes;
 l’évaluation périodique et la mise à jour du plan des modifications à apporter aux techn
aux processus et à l’organisation.

D28 Nous avons établi des critères d’évaluation pour surveiller et améliorer la conformité aux con
détection de la fraude, notamment :

 le nombre de manœuvres frauduleuses connues qui ont été perpétrées contre l’organ
les pertes qu’elles ont entraînées;
 le nombre d’allégations de fraude reçues par l’organisation qui ont fait l’objet d’une en
l’état d’avancement de leur traitement;
 le nombre d’enquêtes sur des cas de fraudes qui ont été réglés;
 le nombre d’employés qui ont signé l’énoncé sur les valeurs éthiques corporatives;
 le nombre d’employés qui ont suivi la formation obligatoire sur Bureau sur l’éthique;
 le nombre d’allégations faites par des lanceurs d’alerte reçues;
 le nombre de messages faisant la promotion d’un comportement éthique diffusés aux
employés par les cadres supérieurs;
 le nombre de fournisseurs qui ont signé le formulaire sur la Code de valeurs, d’éthique
conduite professionnelle du BVG;
 le nombre d’audits sur la fraude réalisés par les auditeurs internes.

D29 Nous évaluons périodiquement l’efficacité de nos processus, procédures et techniques de dé

de la fraude; nous documentons les résultats de ces évaluations; nous révisons nos process
procédures et techniques s’il y a lieu.
Annexe D : Politique de prévention de la fraude

1. Date d’entrée en vigueur

La Politique entre en vigueur est le 19 avril 2018.

2. Application
La présente Politique vise tous les cas allégués ou avérés de fraude qui impliquent des
employés du Bureau du vérificateur général du Canada du Canada (BVG) ainsi que des
experts-conseils, des fournisseurs, des entrepreneurs ou des tierces parties qui
entretiennent des relations d’affaires avec le BVG. Toute enquête, le cas échéant, sera
menée sans égard au nombre d’années de service ni au poste ou au titre de la
personne suspectée ou de sa relation avec le BVG.
La fraude est définie comme étant un acte intentionnel commis par une ou plusieurs
personnes parmi les employés, les membres de la direction, les responsables de la
gouvernance (interne), ou des tiers (externe) impliquant le recours à des manœuvres
trompeuses dans le but d’obtenir un avantage indu ou illégal. Il y a trois grandes
catégories de fraude interne : la corruption, le détournement d’actifs et les états
financiers mensongers.
Voici certains exemples de cas de fraude :

 abus d’influence lors d’opérations pour en tirer profit;

 détournement de fonds, de fournitures ou d’autres actifs;
 irrégularité effectuée de manière intentionnelle lors du traitement ou de la
communication de montants ou d’opérations financières;
 divulgation de renseignements confidentiels ou exclusifs à des tiers à des fins
d’enrichissement personnel;
 acceptation ou sollicitation d’avantages matériels auprès d’entités auditées,
d’entrepreneurs, de fournisseurs ou d’autres personnes fournissant des services
ou des biens au BVG;
 destruction, retrait ou utilisation inappropriée de dossiers, de mobiliers,
d’accessoires et d’équipements;
 acceptation de pots-de-vin ou d’avantages pour agir.

3. Énoncé de la Politique
Le BVG s’engage :

 à instaurer un environnement de tolérance zéro à l’égard de la fraude;

 à afficher systématiquement une attitude appropriée en matière de prévention de
la fraude et à encourager les échanges ouverts et francs sur les comportements
éthiques;
  à maintenir une politique de portes ouvertes pour le signalement de cas
suspectés de fraude.

Le BVG a défini un Cadre de gestion des risques de fraude complet qui oriente la mise
en œuvre de pratiques exemplaires pour identifier, contrer et gérer les risques de
fraude. La présente Politique fait partie intégrante du Cadre et est citée à la partie 1,
« Gouvernance à l’égard des risques de fraude ».

4. Objectif de la Politique
La présente Politique a pour objectifs :

 d’améliorer les connaissances et la sensibilisation de tous les employés du BVG

à l’égard des risques potentiels de fraude;
 de définir nos responsabilités relativement à la prévention, à la détection et à
l’enquête en matière de fraude;
 d’indiquer clairement que la fraude ne sera pas tolérée;
 d’aider à promouvoir un climat d’ouverture et une culture où les employés
sentent qu’ils peuvent communiquer leurs préoccupations sans crainte de
représailles.

5. Rôles et responsabilités
Le vérificateur général s’est vu confier les responsabilités suivantes :

 Selon l’alinéa 16.4 (1)b) de la Loi sur la gestion des finances publiques, les
administrateurs généraux, à titre d’administrateurs des comptes, sont
comptables devant les comités du Parlement des mesures prises pour que le
ministère soit doté de mécanismes de contrôle interne efficaces.
 La Politique sur la gestion financière du Conseil du Trésor exige que les
administrateurs généraux veillent à l’établissement, à la surveillance et au
maintien d’un système ministériel de contrôle interne de la gestion financière axé
sur le risque, ce qui comprend la gestion des risques de fraude.
 Selon l’article 16.1 de la Loi sur la gestion des finances publiques,
l’administrateur général veille à la prise de mesures propres à assurer
l’accomplissement, au sein du ministère, de la vérification interne répondant aux
besoins de celui-ci. De plus, selon le paragraphe 4.1.2 de la Politique sur l’audit
interne du Conseil du Trésor, l’administrateur général doit veiller à ce que l’audit
interne soit effectué conformément au Cadre de référence international des
pratiques professionnelles de l’Institute of Internal Auditors (CIPP). Ce cadre fait
expressément référence au rôle de la fonction d’audit interne par rapport à la
fraude.

Les responsabilités du dirigeant principal des finances sont les suivantes :

  Pour appuyer les administrateurs généraux, la Politique sur la gestion
financière du Conseil du Trésor exige ce qui suit des dirigeants principaux des
finances :
o établir, surveiller et maintenir un système de contrôle interne de la gestion
financière fondé sur le risque;
o fournir une assurance raisonnable que les ressources financières sont
protégées contre les pertes matérielles;
o prendre rapidement des mesures correctives lorsque des lacunes
concernant les contrôles et des risques importants n’ayant pas fait l’objet
de mesures d’atténuation sont repérés, notamment les risques de fraude.
 Le dirigeant principal des finances, en collaboration avec le spécialiste interne en
matière de fraude, est chargé d’assurer l’application en bonne et due forme de la
Politique de prévention de la fraude du BVG.

Responsabilité du dirigeant principal de l’audit

 Aux termes du paragraphe 4.1.1 de la Directive sur l’audit interne du Conseil du

Trésor, le dirigeant principal de l’audit est chargé d’appliquer le Cadre de
référence international des pratiques professionnelles dans son organisation,
notamment les normes sur la gestion de la fraude.

Responsabilités des gestionnaires

 Chaque gestionnaire doit connaître les divers types de risque de fraude au sein
de son secteur de responsabilité et rester à l’affût de tout indice de fraude.

Responsabilités des employés (y compris les gestionnaires)

 signaler les cas suspectés de fraude rapidement et de manière appropriée;

 connaître le Code de valeurs, d’éthique et de conduite professionnelle du BVG et
s’y conformer;
 agir de bonne foi et se fonder sur des motifs raisonnables lors du signalement
d’allégations de fraude.

6. Mécanisme de signalement de la fraude

Tout cas suspecté de fraude doit être signalé immédiatement. Le BVG favorise une
politique de portes ouvertes pour la communication des cas suspectés de fraude. Il a
établi des moyens sûrs, confidentiels et sans représailles pour les personnes qui
signalent des cas suspectés de fraude. Les employés du BVG peuvent signaler des cas
suspectés de fraude à l’une ou l’autre des personnes suivantes :

 agent de la sécurité ministérielle;

 Services juridiques;
 dirigeant principal des finances;
 gestionnaires des ressources humaines;
  spécialiste interne en valeurs et éthique;
 spécialiste interne en matière de fraude;
 dirigeant principal de l’audit interne;
 agent supérieur chargé des divulgations;
 vérificateur général;
 président du Comité d’audit.

Le dirigeant principal des finances assure la gestion de toutes les allégations de fraude
et supervise, le cas échéant, le processus d’enquête, avec le concours du spécialiste
interne en matière de fraude. Le dirigeant principal des finances consulte, au besoin,
l’agent de la sécurité ministérielle, les Services juridiques, les Ressources humaines et
le spécialiste interne en valeurs et éthique.
La présente Politique n’empêche pas un employé de présenter une plainte à l’agent
supérieur de l’intégrité, aux termes de la Loi sur la protection des fonctionnaires
divulgateurs d’actes répréhensibles.

7. Approche formelle pour traiter les allégations de fraude

Le BVG a défini une approche formelle pour évaluer les allégations de fraude, enquêter,
surveiller, prendre les mesures correctives qui s’imposent et faire rapport à ce sujet. (Se
reporter au Guide de gestion des risques de fraude au Bureau du vérificateur général
du Canada et à la Politique sur les enquêtes en milieu de travail du BVG pour obtenir
des précisions.)
Le BVG prendra des mesures disciplinaires appropriées, pouvant aller jusqu’au renvoi,
pour sanctionner une manœuvre frauduleuse. De plus, toutes les décisions relatives à
la transmission des résultats d’une enquête aux autorités compétentes ou aux autorités
réglementaires pour qu’elles puissent mener leurs propres enquêtes indépendantes
seront prises par le dirigeant principal des finances, en collaboration avec les Services
juridiques, la haute direction et les chefs des services concernés, tout comme les
décisions définitives sur les mesures à prendre pour régler la question.
Une enquête sur une allégation de fraude menée aux termes de la présente Politique
n’empêche aucunement la fonction de la revue des pratiques et de l’audit interne du
BVG d’amorcer un audit.

8. Absence de représailles
L’employé qui porte plainte de bonne foi n’est pas passible de sanctions ni de mesures
disciplinaires. Des mesures disciplinaires seront prises contre toute personne qui
exerce des représailles contre une personne qui signale, en toute bonne foi, un cas
allégué ou avéré de fraude.

9. Diffusion
La présente Politique sera publiée sur le site INTRAnet du BVG.
10. Respect et examen de la Politique
La conformité des employés du BVG à la présente Politique fera l’objet d’un suivi, y
compris (mais pas uniquement), dans le cadre d’enquêtes, d’audits ou d’examens des
dossiers.
Le dirigeant principal des finances, avec le concours du spécialiste interne en matière
de fraude et après avons consulté les parties prenantes, examinera et actualisera la
présente Politique au moins tous les trois ans ou avant, selon les besoins. Le Conseil
de direction doit approuver tous les changements apportés à la Politique.

11. Demandes de renseignements

Les demandes de renseignements au sujet de la Politique doivent être adressées au
dirigeant principal des finances ou au spécialiste interne en matière de fraude.

12. Références
Lois fédérales
Code criminel
Loi fédérale sur la responsabilité
Loi sur la gestion des finances publiques
Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles
Secrétariat du Conseil du Trésor du Canada
Directive sur l’audit interne
Directive sur la gestion des fonds publics et des comptes débiteurs
Politique sur la gestion financière
Politique sur la sécurité du gouvernement
Code de valeurs et d’éthique du secteur public
BVG
Code de valeurs, d’éthique et de conduite professionnelle du BVG
Guide de gestion des risques de fraude au Bureau du vérificateur général du Canada
Politique sur les enquêtes en milieu de travail (en révision)
 AUDIT DU CYCLE DE VIE DU CLIENT

2- Du marketing relationnel à la gestion de la relation client (CRM)

2-2-1- Les facteurs de succès du marketing relationnel
Dans un article publié en 2003 dans la revue Décisions Marketing (« Les facteurs de réussite du
marketing relationnel », n° 31, p. 39-47), Björn Ivens et Ulrike Mayrhofer mettent en évidence les
facteurs qui permettent aux entreprises d’améliorer leur politique de marketing relationnel. Pour ces
auteurs, la réussite du marketing relationnel dépend de huit facteurs qui sont :

- Orientation à long terme : l’entreprise doit montrer sa volonté de maintenir la relation dès les
premières interactions et tout au long de la relation. Un tel comportement permet d’établir la confiance
et démontre l’engagement sincère de l’entreprise.

- La réciprocité : ce facteur est le symbole de l’équilibre du bilan relationnel. L’entreprise doit montrer à
son client qu’elle vise à optimiser le profil mutuel et qu’elle se trouve dans une vision gagnant/gagnant
de la relation.

- La fiabilité : dans une optique relationnel, on n’a forcement pas besoin d’un contrat formel ou
informel qui établi le rôle des deux parties. Les tâches exercées par l’une ou l’autre des parties ne sont
pas définies de manière explicite. L’entreprise soucieuse de démontrer son orientation relationnelle
tentera de comprendre les attentes de son client par rapport aux tâches à accomplir et les exécutera de
façon constante.

- Echange d’informations : selon Herbert Simon, celui qui détient l’information, détient le pouvoir. De ce
fait, L’échange d’informations est très utile aux partenaires et représente un avantage indéniable pour
les deux parties tout en constituant une preuve de confiance.

- La flexibilité : l’entreprise soucieuse de son orientation relationnelle doit être en mesure de faire des
concessions lorsqu’un disfonctionnement survient en sa défaveur dans le cadre d’une transaction. - La
solidarité : être en mesure de soutenir son client lorsque ce dernier traverse une mauvaise période
(souci financier par exemple).

- Résolution des conflits : éviter les recours judiciaires en cas de conflit et privilégier les négociations
amiables. Cette pratique aura pour objectif de favoriser la continuation de la relation. 28 - Usage
modéré du pouvoir : dans la plus part des cas l’entreprises se trouve en position de force. Elle ne doit
pas profiter de sa situation pour faire pression sur le client afin d’avoir satisfaction. Björn Ivens et Ulrike
Mayrhofer ont construit une roue qui comporte tous ces facteurs Résolution des conflits Usage modéré
du pouvoir Orientation à long terme Réciprocité Fiabilité Échange D'informations Flexibilité Solidarité
Figure 2/Titre : Roue résumant les facteurs de réussite du marketing relationnel
- Usage modéré du pouvoir : dans la plus part des cas l’entreprises se trouve en position de force. Elle ne
doit pas profiter de sa situation pour faire pression sur le client afin d’avoir satisfaction. Björn Ivens et
Ulrike Mayrhofer ont construit une roue qui comporte tous ces facteurs Résolution des conflits Usage
modéré du pouvoir Orientation à long terme Réciprocité Fiabilité Échange D'informations Flexibilité
Solidarité Figure 2/Titre : Roue résumant les facteurs de réussite du marketing relationnel