Vous êtes sur la page 1sur 48

ANNEE UNIVERSITAIRE 2005-2006

Mémoire de fin d’études :

Evaluation du contrôle interne et


analyse des risques au sein de
CHAABI LLD

Préparé par :
EL KHATIT TARIQ
FC2 , G1

Encadré par :
Mr EL ATTAR MEHDI
ISCAE 2005-2006 Mémoire de fin d’études Page 1 / 112

Plan du mémoire
Introduction

Partie I : Les exigences auxquelles l’entreprise doit répondre en particulier

A- La circulaire de Bank AL Maghrib relative au contrôle interne


a. Présentation de la circulaire
b. Comment cette circulaire va-t-elle influencer notre analyse ?

B- Anticipation de l’application de la réforme Bâle II sur les entreprises de la LLD


a. Présentation de Bâle II
b. Comment Bâle II va-t-elle influencer notre analyse ?

Partie II : Description du système de contrôle interne

A- Définitions

B- Les normes qui régissent le système du contrôle interne


a. Les normes de qualifications
b. Les normes de fonctionnement
c. Les normes de mise en œuvre

C- L’organisation du système de contrôle interne (SCI)


a. Les différents modèles proposés pour le SCI
b. Les politiques d’un SCI
c. Le diagramme descriptif d’un SCI

D- Le planning des missions


a. La planification des missions pour le long et moyen terme
b. Le reporting des missions d’audit interne

Partie III : Relation entre le contrôle interne et le management des risques

A- La fonction de Risk Management


a. Qu’est ce qu’on entend dire par « Enterprise Risk Management » ?
b. Les méthodes modernes de gestion des risques

B- Intégration du Risk management au sein du contrôle interne

Partie IV : Analyse des procédures et synthèse des risques CHAABI LLD

A- La liste des procédures CHAABI LLD


B- Le schéma général d’une oprération de LLD
C- Le schéma détaillé d’une oprération de LLD
D- Exemples des procédures réalisées
E- Synthèse des risques identifiés et recommandations

Conclusion
Bibliographie
ISCAE 2005-2006 Mémoire de fin d’études Page 2 / 112

INTRODUCTION

Sarbanes-Oxley Act aux Etats-Unis, Loi de Sécurité Financière en France, Kon Trag en Allemagne, le
contrôle interne est sous les feux des projecteurs des régulateurs. Les scandales financiers
internationaux étant à l’origine de l’enrichissement de la littérature traitant du contrôle interne, ce dernier
est devenu un must pour toute entreprise qui veut garder sa pérennité.

Cette pression pour une mise en œuvre d’un contrôle interne de qualité, visant à rétablir la confiance
des marchés financiers, ne doit pas occulter le fait que le contrôle interne est avant tout un dispositif de
maîtrise des activités mis en place par l’Entreprise, pour l’Entreprise.

Au Maroc, pour les entreprises de crédit, on trouve la circulaire du Bank Al Maghrib numéro 6/G/2001
qui traite du contrôle interne.

L’incitation plus ou moins vive du législateur est donc un catalyseur qui aujourd’hui doit être perçu
comme l’opportunité d’améliorer le fonctionnement de l’entreprise, et ce au travers d’une gouvernance
claire et d’un contrôle interne adapté et efficace.

Le contrôle interne est souvent complété par l’Enterprise Risk Management qui consiste tout
simplement en la gestion efficace des risques et non de les supprimer.

Durant mon stage, j’ai eu l’occasion de voir les procédures de gestion au sein de CHAABI LLD et
notamment les procédures métiers.

Après des entretiens réalisés avec tous les membres de CHAABI LLD, j’ai réalisé une description des
procédures ainsi que les flow-charts y correspondant pour parvenir à la fin à dresser une liste des
risques que j’ai pu constater.

Ceci dit, mon rapport se présentera comme suit :

ƒ La première partie traitera des exigences auxquelles l’entreprise doit répondre


ƒ La deuxième partie est une description d’un système de contrôle interne
ƒ La troisième partie examinera la relation entre contrôle interne et risk management
ƒ La quatrième partie présentera quelques exemples des procédures étudiées ainsi qu’une
synthèse des risques identifiés
ISCAE 2005-2006 Mémoire de fin d’études Page 3 / 112

Partie I : Les exigences auxquelles l’entreprise doit répondre en particulier

A- La circulaire n° 6/G/2001 du BANK AL MAGHRIB relative au contrôle interne des


établissements de crédit :

a. Présentation de la circulaire :

Etant filiale du « Groupe Banques Populaires », CHAABI LLD doit prendre en compte les
directives de la circulaire 6/G/2001 pour orienter son système de contrôle interne. Cette circulaire,
publiée en février 2001, a pour objet de préciser, en particulier, les modalités et les règles minimales
que les établissements de crédit doivent observer pour la mise en place d’un système efficace de
contrôle interne.

A travers ses 80 articles, la circulaire trace les grandes lignes qui définissent et guident un
système de contrôle interne (SCI), explique l’importance de disposer de procédures internes ainsi que
la nécessité d’adopter un dispositif de mesure, de maîtrise et de surveillance des risques.

La circulaire traite aussi du dispositif du contrôle de la comptabilité pour avoir une assurance
raisonnable quant à la fiabilité de l’information financière en destination des tiers.

b. Comment cette circulaire va-t-elle influencer notre analyse ?

La circulaire nous renseigne sur un nombre important d’éléments clés qu’il faut prendre en
considération pour pouvoir porter un jugement bien fondé sur le système du contrôle interne.

• La conception et mise en œuvre d’un système de contrôle interne :

La tâche de conception et de mise en œuvre du SCI incombe à l’organe de direction qui doit le
soumettre à l’organe d’administration pour approbation.

ARTICLE 3

La conception du système de contrôle interne incombe à l’organe de direction (direction générale,


directoire ou toute instance équivalente) qui doit, à cet effet :

ƒ Identifier l’ensemble des sources de risques internes et externes


ƒ Définir les procédures de contrôle interne adéquates
ƒ Prévoir les moyens humains et matériels nécessaires à la mise en œuvre du contrôle interne.
ISCAE 2005-2006 Mémoire de fin d’études Page 4 / 112

ARTICLE 6

L’organe de direction est tenu de veiller à la mise en place du système de contrôle interne, une fois
adopté par l’organe délibérant.

Il doit, à cet effet, désigner un responsable qui relève directement de son autorité et qui a pour tâche
d’assurer un suivi exhaustif du système de contrôle interne et de veiller à sa cohérence.

En vue de mettre en œuvre ce dispositif, l’organe de direction est tenu d’élaborer un manuel de
contrôles internes qui précise notamment :

ƒ Les éléments constitutifs de chaque dispositif et les moyens de leur mise en œuvre,
ƒ Les règles qui assurent l'indépendance des dispositifs de contrôle vis- à- vis des unités
opérationnelles,
ƒ Les différents niveaux de responsabilité du contrôle.

Ce manuel doit avoir un aspect dynamique et être revu périodiquement pour actualisation et
mise à jour.

ARTICLE 12

Le manuel de contrôle interne doit être réexaminé périodiquement en vue d’adapter ses dispositions
particulièrement aux prescriptions légales et réglementaires ainsi qu’à l'évolution de l'activité, de
l'environnement économique et financier et des techniques d'analyse.

C’est la préoccupation majeure qui a poussé l’organe de direction de CHAABI LLD à initier la
mission et à lui accorder une importance capitale.

En vertu de l’article 25, ce manuel des procédures doit être mis à la disposition de chaque
service ou unité opérationnelle pour que ces derniers aient une idée claire sur les modalités
d’engagement, d’enregistrement et de traitement des opérations ainsi que les schémas comptables
correspondants.

• Vérification des opérations et des procédures internes :

La circulaire insiste sur le fait de bien préciser et délimiter les pouvoirs des unités
opérationnelles. Ceci dit, nous serons amenés tout au long de la mission à constater l’étendue de leurs
compétences et de leurs domaines d’intervention pour avoir une vision claire sur leurs responsabilités et
leurs engagements. Il faut aussi préciser que l’élimination des zones d’ombre doit être toujours présente
dans notre esprit car leur existence peut conduire à de graves erreurs.
ISCAE 2005-2006 Mémoire de fin d’études Page 5 / 112

ARTICLE 24

Les niveaux d'autorité et de responsabilité ainsi que les domaines d'intervention des différentes unités
opérationnelles doivent être clairement précisés et délimités.

De même, une séparation stricte doit être établie entre les unités chargées, chacune en ce qui la
concerne, de l'initiation, de l'exécution et du contrôle des opérations.

Les domaines qui présentent des conflits d'intérêts potentiels ou des risques de chevauchement de
compétences ou de responsabilités doivent être identifiés, soumis à une surveillance continue et faire
l'objet d'une évaluation régulière en vue de leur suppression.

Les procédures de contrôle doivent être intégrées dans les modalités d’exécution des
opérations quotidiennes. Ceci dit, une attention particulière doit être portée aux mesures de contrôle
effectuées par les opérationnelles pour s’assurer du respect des procédures et aux contrôles effectués
par leurs supérieurs.

ARTICLE 23

Les modalités d’exécution des opérations quotidiennement effectuées par les entités opérationnelles
doivent comporter, comme partie intégrante, les procédures de contrôle appropriées pour s'assurer
de la régularité, de la fiabilité et de la sécurité de ces opérations ainsi que du respect des autres
diligences liées à la surveillance des risques qui leur sont associés.

Des vérifications périodiques doivent être également effectuées en vue de s’assurer du respect des
procédures de contrôle interne.

• Dispositif de mesure, de maîtrise et de surveillance des risques :

Les différents types de risques énumérés par la circulaire s’énoncent comme suit :

Le risque de crédit défini par l’article suivant

ARTICLE 31

On entend par risque de crédit, le risque qu’un client ne soit pas en mesure d’honorer ses
engagements à l’égard de l’établissement de crédit.
ISCAE 2005-2006 Mémoire de fin d’études Page 6 / 112

Le risque de marché défini par l’article suivant

ARTICLE 43

On entend par risques de marché, les risques de pertes qui peuvent résulter des fluctuations des prix
des instruments financiers qui composent le portefeuille de négociation ou des positions susceptibles
d’engendrer un risque de change, notamment les opérations de change à terme et au comptant.

Le portefeuille de négociation susvisé comprend :

ƒ les titres acquis, dès l’origine, avec l’intention de les revendre à brève échéance en vue de
tirer bénéfice des écarts entre les prix d’achat et de vente, et ce dans le cadre d’une activité
de marché, y compris les titres à livrer ou à recevoir
ƒ les titres à recevoir et à livrer dans le cadre de transactions sur le marché primaire ou le
marché gris
ƒ les produits dérivés destinés à maintenir des positions ouvertes isolées pour tirer
avantage de l’évolution des prix ou à couvrir les risques de marché encourus sur les
instruments visés aux tirets précédents.

Le risque global de taux d’intérêt défini par l’article suivant

ARTICLE 49

Le risque global de taux d’intérêt se définit comme l’impact négatif que pourrait avoir une évolution
défavorable des taux d’intérêt sur la situation financière de l’établissement de crédit.

Le risque de liquidité défini par l’article suivant

ARTICLE 54

Le risque de liquidité s’entend comme le risque pour l’établissement de crédit de ne pas pouvoir
s’acquitter, dans des conditions normales, de ses engagements à leur échéance.

Le risque de règlement défini par l’article suivant

ARTICLE 58

Le risque de règlement s’entend comme le risque de survenance, au cours du délai nécessaire pour
le dénouement de l’opération de règlement, d’une défaillance ou de difficultés qui empêchent la
contrepartie d’un établissement de crédit de lui livrer les instruments financiers ou les fonds
convenus, alors que ledit établissement a déjà honoré ses engagements à l’égard de ladite
contrepartie.
ISCAE 2005-2006 Mémoire de fin d’études Page 7 / 112

Le risque informatique défini par l’article suivant

ARTICLE 61

Le risque informatique s’entend comme le risque de survenance de dysfonctionnements ou de


rupture dans le fonctionnement du système de traitement de l’information, imputables à des
défaillances dans le matériel ou à des erreurs, des manipulations ou autres motifs (virus) affectant
les programmes d’exécution.

Le risque juridique défini par l’article suivant

ARTICLE 66

Le risque juridique s’entend comme le risque de survenance de litiges susceptibles d’engager la


responsabilité de l’établissement de crédit du fait d’imprécisions, de lacunes ou d’insuffisances dans
les contrats et autres actes de nature juridique le liant à des tiers.

Les autres risques définis par l’article suivant

ARTICLE 68

Les autres risques englobent tous les risques qui pourraient être engendrés par des procédures
inefficientes, des contrôles inadéquats, des erreurs humaines ou techniques, des fraudes ou par
toutes autres défaillances.

Nous nous limiterons, durant notre mission à vérifier les risques suivants uniquement :

ƒ Le risque de crédit
ƒ Le risque de liquidité
ƒ Le risque informatique
ƒ Les autres risques (appelé risques opérationnels par Bâle II qu’on verra par la suite)

Le risque de crédit

L’entreprise doit préciser clairement les attributions des personnes habilitées à l’engager. La
santé financière du client doit être étudiée soigneusement et ce à travers une analyse de ses états de
synthèse, les entités avec lesquelles il forme un groupe et la nature des activités qu’il exerce.

La détection de ce risque et de sa probabilité d’occurrence se fera à travers l’appréciation de


l’étude de risque effectué par CHAABI LLD pour apprécier la situation financière de son client.
ISCAE 2005-2006 Mémoire de fin d’études Page 8 / 112

L’analyse de ce risque sera complétée par l’étude de la procédure recouvrement existante au


sein de la société.

Les articles qui nous paraissent essentiels à la bonne conduite de cette analyse, sont :

ARTICLE 34

Les demandes de crédit doivent donner lieu à la constitution de dossiers comportant toutes les
informations quantitatives et qualitatives relatives au demandeur notamment les documents
comptables relatifs au dernier exercice, les situations patrimoniales, les attestations de salaire ou de
revenu ou tout autre document en tenant lieu.

Les informations portent tant sur le demandeur de crédit lui-même que sur les entités avec lesquelles
il constitue un groupe d’intérêt, compte tenu des liens juridiques et financiers qui existent entre eux.

Les dossiers de crédit doivent être régulièrement mis à jour.

ARTICLE 35

L'évaluation du risque de crédit prend en considération, notamment, la nature des activités exercées
par le demandeur, sa situation financière, la surface patrimoniale des principaux actionnaires ou
associés, sa capacité de remboursement et, le cas échéant, les garanties proposées.

Elle prend également en compte toutes autres informations permettant une appréciation plus
complète du risque tels que la compétence des dirigeants et l'environnement économique dans
lequel le demandeur de crédit exerce son activité.

ARTICLE 37

L’évaluation du risque de crédit donne lieu à l’attribution, à chaque client, d’une note par référence à
une échelle de notation interne.

ARTICLE 42

Les encours des créances en souffrance ainsi que les résultats des démarches, amiables ou
judiciaires, entreprises pour leur recouvrement doivent être régulièrement, et à tout le moins deux
fois par an, portés à la connaissance de l’organe d’administration. Celui-ci doit également être tenu
informé des encours des créances restructurées et de l’évolution de leur remboursement.
ISCAE 2005-2006 Mémoire de fin d’études Page 9 / 112

Le risque de liquidité

Ce risque sera apprécié à travers l’analyse de la méthode adoptée par l’entreprise pour évaluer
à tout moment les entrées et sorties de sa trésorerie et à travers l’évaluation du dispositif de contrôle
mis en place.

Le risque informatique

L’analyse de ce risque se fera à travers la revue des procédures suivantes :

ƒ La gestion de l’accès aux postes de travail et aux données confidentielles


ƒ La gestion de la messagerie interne et externe
ƒ La protection des logiciels de travail
ƒ L’archivage des données
ƒ La sauvegarde des données
ƒ La restauration des données après panne

Les autres risques (appelé risques opérationnels par Bâle II qu’on verra par la suite)

Voir partie suivante relative à Bâle II


ISCAE 2005-2006 Mémoire de fin d’études Page 10 / 112

B- Anticipation de l’application de la réforme Bâle II sur les entreprises de la LLD

a. Présentation de Bâle II :

La réforme Bâle II du ratio de solvabilité bancaire s'inscrit dans une démarche mondiale de
réglementation de la profession bancaire remontant à la fin des années 80, dont l’objectif premier est de
prévenir les faillites.

Cette réforme repose sur la quantification de la relation entre risques et fonds propres, ces
derniers représentant le moyen ultime permettant de faire face à des pertes importantes. En pratique, il
s’agit de respecter un ratio réglementaire entre fonds propres et actifs pondérés par leur niveau de
risque.

Mais cette réforme va plus loin : elle s'attaque au processus métier d'évaluation et de gestion
des risques, dans une perspective qualité. Au-delà de la dimension financière qui est le calcul des fonds
propres à allouer, Bâle II prend en compte et place ses exigences sur les systèmes de notation et de
surveillance. Bien plus, et c'est l'aspect le plus novateur, la réforme ne se limite plus aux seuls risques
financiers « classiques », comme le risque de crédit ou les risques de marché (risque de change, risque
de taux, etc.), mais couvre aussi le risque « Opérationnel »

Le risque opérationnel : se définit comme le risque de pertes résultant de carences ou de


défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements
extérieurs. La définition inclut le risque juridique, mais exclut les risques stratégiques et d’atteinte à la
réputation

Bâle 2, qui entrera en vigueur début 2007, concerne pour le moment les établissements de
crédit mais elle s’étendra aux entreprises de location longue durée : « Les sociétés de location longue
durée seront prochainement soumises aux obligations du futur ratio McDonough, au même titre que les
établissements de crédit généralistes. Pour celles qui feront le choix ambitieux d’appliquer les méthodes
les plus avancées dès la fin 2006, c'est l'occasion d'engager une réflexion de fond sur la manière de
gérer les risques et de les mesurer de manière plus fine. C’est aussi l’opportunité d’anticiper dès
aujourd’hui les tendances de fond qui se dessinent sur ce marché. » Emmanuel Golab, Manager, Atos
Odyssée Consulting.

b. Comment Bâle 2 va-t-elle influencer notre analyse ?

Les risques opérationnels occupent une place majeure dans la réforme Bâle 2. Leur détection et leur
prise en charge seront alors parmi nos premières préoccupations. L’illustration suivante représente la
place du risque opérationnel parmi les autres types de risques :
ISCAE 2005-2006 Mémoire de fin d’études Page 11 / 112

Les Risques Opérationnels, dont la prise en compte constitue une des innovations de la
réforme, incluent notamment :

ƒ Les risques relatifs à la sécurité des biens et des personnes (incendie, inondation, tremblement
de terre, attaque physique, sabotage, vol et fraude)

ƒ Les risques informatiques, liés aux développements et à la maintenance des programmes, aux
traitements et à l'utilisation des services de télécommunications. Cette catégorie inclut en
particulier le risque lié aux défauts de conception ou de réalisation d'une application, les
incidents d'exploitation dans les systèmes de production, les accès non autorisés et les erreurs
de traitement, ainsi que les pertes ou altérations accidentelles des données transmises et les
défaillances dans la conservation de ces données

ƒ Les risques de gestion interne, liés au fonctionnement interne de la banque, incluant les erreurs
dans les traitements administratifs et comptables des opérations, les erreurs de conception ou
de mise en place de nouveaux produits ou projets, la malveillance interne, les risques légaux,
réglementaires ou déontologiques, les risques en matière de ressources humaines, de sous-
traitance et de communication externe.

Les types d'événements caractérisant le Risque Opérationnel, identifiés par le Comité de Bâle
et pouvant induire des pertes substantielles, comprennent :

ƒ La fraude interne. Par exemple, le défaut intentionnel d'information sur les positions et le vol par
un employé

ƒ La fraude externe. Par exemple les dommages résultant d'un piratage informatique

ƒ Les pratiques en matière d'emploi et de sûreté du lieu de travail.

ƒ Les clients, les produits et les procédures de gestion. Par exemple, les infractions fiduciaires,
les abus d'information confidentielle sur le client et la vente de produits interdits

ƒ Les dommages aux biens corporels. Par exemple, le terrorisme, le vandalisme, les
tremblements de terre, les feux et les inondations
ISCAE 2005-2006 Mémoire de fin d’études Page 12 / 112

ƒ Les perturbations des processus métiers et les pannes de système. Par exemple, les pannes
de matériel et de logiciel, les problèmes de télécommunication et les pannes issues de services
sous-traités

ƒ L’exécution, le résultat et le contrôle de processus. Par exemple, les erreurs de saisie de


données, les effets collatéraux des erreurs de gestion, la documentation légale incomplète et
l'accès non autorisé donné aux comptes de clients

Le nouvel accord de Bâle sur les fonds propres (juin 2004) prévoit que l’estimation des risques
doit être basée sur :

ƒ Les données internes de pertes (bases des incidents et des pertes) : L'intérêt de la base des
incidents est de constituer un historique détaillé de la sinistralité, qui permet de connaître et
d'analyser les types de sinistres constatés et leur fréquence. De cette démarche on pourra tirer
une meilleure connaissance de la sensibilité des activités, un suivi des évolutions des différents
risques et de leurs mesures correctrices. L'exigence de disposer également d'un historique de
pertes amène à effectuer une analyse fine de l'impact et du coût réel des sinistres.

ƒ Des données externes pertinentes, notamment pour l’analyse des pertes peu fréquentes mais
potentiellement lourdes

ƒ Des analyses de scénarios, pour les événements pouvant engendrer des pertes sévères : Les
principes d’analyse de risque retenus par le Comité de Bâle reposent sur une approche
fondamentalement quantitative. Il s’agit donc de construire des modèles statistiques de
prévision des risques, à partir d’un historique de pertes avérées, internes ou externes à la
banque. Toutefois, et c’est pourquoi le Comité de Bâle impose une analyse complémentaire de
scénarios, les modèles quantitatifs se montrent souvent limités pour des types de pertes
particuliers :

o les pertes à très faible fréquence mais potentiellement lourdes, pour lesquelles
l’insuffisance de données rend difficile la construction d’un modèle statistique précis

o les pertes liées à de nouveaux types d’incidents (apparition de nouveaux enjeux, de


nouvelles menaces ou de nouvelles vulnérabilités) : bien que ces incidents puissent
être classés sans difficulté dans la typologie des incidents collectés, les modèles
historiques peuvent se montrer incapables de les quantifier

o les scénarios plausibles et non réalisés : du fait de l’évolution permanente des


Systèmes d’Information, la seule analyse des expériences passées ne donne qu’une
vue partielle des impacts financiers possibles d’un incident. Il devient donc nécessaire
d’établir de façon régulière une revue de scénarios catastrophes que l’entreprise a
jugés plausibles et insupportables.
ISCAE 2005-2006 Mémoire de fin d’études Page 13 / 112

Partie II : Description du système de contrôle interne


A- Définitions

Contrôle interne – un processus mis en œuvre par le conseil d’administration, les dirigeants et le
personnel de l’entreprise, pour fournir une assurance raisonnable quant à la réalisation des trois
objectifs suivants :

ƒ la réalisation et l’optimisation des opérations,


ƒ la fiabilité des opérations financières,
ƒ la conformité aux lois et règlements.

Activités d'assurance – Il s'agit d'un examen objectif d'éléments probants, effectué en vue de fournir à
l'organisation une évaluation indépendante des processus de management des risques, de contrôle ou
de gouvernement d’entreprise. Par exemple, des audits financiers, opérationnels, de conformité, de
sécurité des systèmes et de due diligence.

Activité d'audit interne – Assurée par un service, une division, une équipe de consultants ou tout autre
praticien, c’est une activité indépendante et objective qui donne à une organisation une assurance sur
le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer
de la valeur ajoutée. L’activité d’audit interne aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses processus de management des risques,
de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité.

Activités de conseil – Conseils et services y afférents rendus au client donneur d’ordre, dont la nature
et le champ sont convenus au préalable avec lui. Ces activités ont pour objectifs de créer de la valeur
ajoutée et d’améliorer les processus de gouvernement d’entreprise, de management des risques et de
contrôle d’une organisation sans que l’auditeur interne n’assume aucune responsabilité de
management. Quelques exemples : avis, conseil, assistance et formation.

Atteintes – Parmi les atteintes à l'objectivité individuelle et à l'indépendance dans l’organisation


peuvent figurer les conflits d'intérêts personnels, les limitations du champ d'un audit, les restrictions
d'accès aux dossiers, aux biens et au personnel, ainsi que les limitations de ressources.

Charte – La charte de l'audit interne est un document officiel qui définit la mission, les pouvoirs et les
responsabilités de cette activité. La charte doit (a) définir la position de l'audit interne dans
l'organisation ; (b) autoriser l'accès aux documents, aux biens et aux personnes nécessaires à la bonne
réalisation des missions ; (c) définir le champ des activités d'audit interne.

Contrôle – Toute mesure prise par le management, le Conseil et d'autres parties afin de gérer les
risques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. Les managers
planifient, organisent et dirigent la mise en œuvre de mesures suffisantes pour donner une assurance
raisonnable que les buts et objectifs seront atteints.

Contrôle satisfaisant –C’est le cas lorsque le management s’est organisé de manière à apporter une
assurance raisonnable que les risques que court l'organisation ont été gérés efficacement et que les
buts et objectifs de l'organisation seront atteints d'une manière efficace et économique.
ISCAE 2005-2006 Mémoire de fin d’études Page 14 / 112

Fraude – Tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la confiance.
Les fraudes sont perpétrées par des personnes et des organisations afin d'obtenir de l'argent, des biens
ou des services, ou de s'assurer un avantage personnel ou commercial.

Gouvernement d’entreprise – Le dispositif comprenant les processus et les structures mis en place
par le Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’organisation en vue de
réaliser ses objectifs.

Management des risques – Processus visant à identifier, évaluer, gérer et piloter les événements
éventuels et les situations pour fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.

Risque – Possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs.
Le risque se mesure en termes de conséquences et de probabilité.

B- Les normes qui régissent le système du contrôle interne

Les Normes ont pour objet :

1. de définir les principes de base que la pratique de l’audit interne doit suivre ;
2. de fournir un cadre de référence pour la réalisation et la promotion d’un large éventail d’activités
d’audit interne apportant une valeur ajoutée ;
3. d’établir les critères d’appréciation du fonctionnement de l’audit interne ;
4. de favoriser l'amélioration des processus organisationnels et des opérations.

Les Normes se composent des Normes de Qualification, des Normes de Fonctionnement et des
Normes de Mise en Œuvre.

a. Les normes de qualification

Les Normes de Qualification énoncent les caractéristiques que doivent présenter les organisations et
les personnes accomplissant des activités d’audit interne.

1000 – Mission, pouvoirs et responsabilités

La mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement définis dans
une charte, être cohérents avec les Normes et dûment approuvés par le Conseil.

1000.A1 – La nature des missions d’assurance réalisées pour l’organisation doit être définie dans la
Charte d’Audit. S’il est prévu d’effectuer des missions d’assurance à l’extérieur de l’organisation, leur
nature doit également être définie dans la Charte.

1000.C1 – La nature des missions de conseil doit être définie dans la Charte d’Audit.

1100 – Indépendance et objectivité

L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leur travail avec
objectivité.
ISCAE 2005-2006 Mémoire de fin d’études Page 15 / 112

1110 – Indépendance dans l'organisation

Le responsable de l'audit interne doit relever d'un niveau hiérarchique permettant aux auditeurs internes
d’exercer leurs responsabilités.

1110.A1 – L’audit interne ne doit subir aucune ingérence lors de la définition de son champ
d’intervention, de la réalisation du travail et de la communication des résultats.

1120 – Objectivité individuelle

Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter les
conflits d’intérêts.

1130 – Atteintes à l’indépendance et à l’objectivité

Si l’objectivité ou l’indépendance des auditeurs internes sont compromises dans les faits ou même en
apparence, les parties concernées doivent en être informées de manière précise. La forme de cette
communication dépendra de la nature de l’atteinte à l’indépendance.

1130.A1 – Les auditeurs internes doivent s'abstenir d'auditer des opérations particulières dont ils ont été
auparavant responsables. L'objectivité d'un auditeur interne est présumée altérée lorsqu'il réalise une
mission d'assurance pour une activité dont il a eu la responsabilité au cours de l'année précédente.

1130.A2 – Les missions d'assurance concernant des fonctions dont le responsable de l'audit a la
charge doivent être supervisées par une personne ne relevant pas de l'audit interne.

1130.C1 – Les auditeurs internes peuvent être amenés à réaliser des missions de conseil liées à des
opérations dont ils ont été auparavant responsables.

1130.C2 – Si l’indépendance ou l’objectivité des auditeurs internes sont susceptibles d’être


compromises lors des missions de conseil qui leur sont proposées, ils doivent en informer le client
donneur d’ordre avant de les accepter.

1200 – Compétence et conscience professionnelle

Les missions doivent être remplies avec compétence et conscience professionnelle.

1210 – Compétence

Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences
nécessaires à l'exercice de leurs responsabilités individuelles. L'audit interne doit posséder ou acquérir
collectivement les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de
ses responsabilités.

1210.A1 - Le responsable de l’audit interne doit obtenir l’avis et l’assistance de personnes qualifiées si
les auditeurs internes ne possèdent pas les connaissances, le savoir-faire et les autres compétences
nécessaires pour s'acquitter de tout ou partie de leur mission.
ISCAE 2005-2006 Mémoire de fin d’études Page 16 / 112

1210.A2 – L’auditeur interne doit posséder des connaissances suffisantes pour identifier les indices
d'une fraude, mais il n'est pas censé posséder l’expertise d’une personne dont la responsabilité
première est la détection et l’investigation des fraudes.

1210.A3 – Les auditeurs internes doivent posséder une bonne connaissance des principaux risques et
contrôles liés aux technologies de l’information et des techniques d’audit informatisées susceptibles
d’être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, chaque auditeur
interne n’est pas censé posséder l’expertise d’un auditeur dont la responsabilité première est l’audit
informatique.

1210.C1 - Le responsable de l’audit interne doit décliner une mission de conseil ou obtenir l’avis et
l’assistance de personnes qualifiées si l’équipe d’audit interne ne possède pas les connaissances, le
savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de la mission.

1220 – Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l’on peut attendre
d’un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n’implique
pas l'infaillibilité.

1220.A1 - L’auditeur interne doit apporter tout le soin nécessaire à sa pratique professionnelle en
prenant en considération les éléments suivants :

ƒ l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;


ƒ la complexité relative, la matérialité ou le caractère significatif des domaines auxquels sont
appliquées les procédures propres aux missions d'assurance ;
ƒ la pertinence et l'efficacité des processus de management des risques, de contrôle et de
gouvernement d’entreprise ;
ƒ la probabilité d'erreurs, d'irrégularités ou de non-conformités significatives ;
ƒ le coût de la mise en place des contrôles par rapport aux avantages escomptés.

1220.A2 – Pour remplir ses fonctions avec conscience professionnelle, l'auditeur interne doit envisager
l’utilisation d’outils d’audit informatiques et d’autres techniques informatisées d’analyse des données.

1220.A3 - L'auditeur interne doit exercer une vigilance particulière à l’égard des risques significatifs
susceptibles d’affecter les objectifs, les opérations ou les ressources. Toutefois, les procédures d'audit
seules, même lorsqu'elles sont menées avec la conscience professionnelle requise, ne garantissent pas
que tous les risques significatifs seront détectés.

1220.C1 - L’auditeur interne doit apporter à une mission de conseil toute sa conscience professionnelle,
en prenant en considération les éléments suivants :

ƒ Les besoins et attentes des clients, y compris sur la nature, le calendrier et la communication
des résultats de la mission.
ƒ La complexité de celle-ci, et l'étendue du travail nécessaire pour atteindre les objectifs fixés.
ƒ Son coût par rapport aux avantages escomptés.
ISCAE 2005-2006 Mémoire de fin d’études Page 17 / 112

1230 – Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par
une formation professionnelle continue.

1300 – Programme d'assurance et d'amélioration qualité

Le responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et


d'amélioration qualité portant sur tous les aspects de l'audit interne et permettant un contrôle continu de
son efficacité. Ce programme inclut la réalisation périodique d’évaluations internes et externes de la
qualité ainsi qu’un suivi interne continu. Chaque partie du programme doit être conçue dans un double
but : aider l'audit interne à apporter une valeur ajoutée aux opérations de l’organisation et à les
améliorer, et garantir qu'il est mené en conformité avec les Normes et le Code de Déontologie.

1310 – Évaluations du programme qualité

L'audit interne nécessite l'adoption d'un processus permettant de surveiller et d'évaluer l'efficacité
globale du programme qualité. Ce processus doit comporter des évaluations tant internes qu'externes.

1311 – Évaluations internes

Les évaluations internes doivent comporter :


ƒ des contrôles continus du fonctionnement de l'audit interne ;
ƒ des contrôles périodiques, effectués par auto-évaluation ou par d'autres personnes de
l'organisation connaissant les pratiques d'audit interne et les Normes.

1312 – Évaluations externes

Des évaluations externes, par exemple des revues d'assurance qualité, doivent être réalisées au moins
tous les cinq ans par un évaluateur ou une équipe qualifiés et indépendants extérieurs à l'organisation.

1320 – Rapports relatifs au programme qualité

Le responsable de l'audit interne doit communiquer au Conseil les résultats des évaluations externes.

1330 – Utilisation de la mention "Conduit conformément aux Normes"

Les auditeurs internes sont encouragés à indiquer dans leurs rapports que leurs activités sont
"conduites conformément aux Normes pour la pratique professionnelle de l'audit interne". Toutefois, ils
ne peuvent utiliser cette mention que si les évaluations du programme d'amélioration qualité démontrent
que l'audit interne fonctionne conformément aux Normes.

1340 – Indication de non-conformité

L'audit interne doit être exercé dans le parfait respect des Normes et les auditeurs doivent se conformer
au Code de Déontologie ; toutefois, il peut arriver que cette pleine conformité ne soit pas réalisée.
Lorsque la non-conformité a une incidence sur le champ d’intervention ou sur le fonctionnement de
l'audit interne, la Direction Générale et le Conseil doivent en être informés.
ISCAE 2005-2006 Mémoire de fin d’études Page 18 / 112

b. Les normes de fonctionnement

Les Normes de Fonctionnement décrivent la nature des activités d’audit interne et définissent des
critères de qualité permettant d'évaluer les services fournis.

2000 – Gestion de l’audit interne

Le responsable de l'audit interne doit gérer cette activité de façon à garantir qu’elle apporte une valeur
ajoutée à l'organisation.

2010 – Planification

Le responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir les
priorités cohérentes avec les objectifs de l’organisation.

2010.A1 – Le programme des missions d’audit interne doit s'appuyer sur une évaluation des risques
réalisée au moins une fois par an et tenir compte du point de vue de la Direction Générale et du
Conseil.

2010.C1 – Lorsqu’on lui propose une mission de conseil, le responsable de l'audit interne, avant de
l’accepter, doit considérer dans quelle mesure elle est susceptible de créer de la valeur ajoutée,
d’améliorer le management des risques et le fonctionnement de l’organisation. Les missions de conseil
qui ont été acceptées doivent être intégrées dans le plan d’audit.

2020 – Communication et approbation

Le responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil son


programme et ses besoins, pour examen et approbation, ainsi que tout changement important
susceptible d’intervenir en cours d’exercice. Le responsable de l'audit interne doit également signaler
l'impact de toute limitation de ses ressources.

2030 – Gestion des ressources

Le responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient
adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le programme approuvé.

2040 – Règles et procédures

Le responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l’activité
d’audit interne.

2050 – Coordination

Le responsable de l'audit interne doit partager les informations et coordonner les activités avec les
autres prestataires internes et externes de services d’assurance et de conseil, de manière à assurer
une couverture adéquate des travaux et à éviter dans toute la mesure du possible les double emplois.
ISCAE 2005-2006 Mémoire de fin d’études Page 19 / 112

2060 – Rapports au Conseil et à la Direction Générale

Le responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au


Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que des résultats
obtenus par rapport au programme prévu. Ces rapports doivent également porter sur les risques
importants, le contrôle et sur le gouvernement d’entreprise, ainsi que sur d’autres sujets dont le Conseil
et la Direction Générale ont besoin ou ont demandé l'examen.

2100 – Nature du travail

L'audit interne doit évaluer les processus de management des risques, de contrôle et de gouvernement
d’entreprise et contribuer à leur amélioration sur la base d’une approche systématique et méthodique.

2110 – Management des risques

L'audit interne doit aider l'organisation en identifiant et en évaluant les risques significatifs et contribuer
à l'amélioration des systèmes de management des risques et de contrôle.

2110.A1 – L'audit interne doit surveiller et évaluer l'efficacité du système de management des risques
de l'organisation.

2110.A2 – L'audit interne doit évaluer les risques afférents au gouvernement d’entreprise, aux
opérations et aux systèmes d'information de l'organisation au regard :

ƒ de la fiabilité et l’intégrité des informations financières et opérationnelles ;


ƒ de l’efficacité et l’efficience des opérations ;
ƒ de la protection du patrimoine ;
ƒ du respect des lois, règlements et contrats.

2110.C1 – Au cours des missions de conseil, les auditeurs internes considèrent l’ensemble des risques
rencontrés, y compris ceux qui n’entrent pas dans le périmètre de la mission, dans la mesure où ils sont
significatifs.

2110.C2 – Les auditeurs internes doivent intégrer dans le processus d’identification et d’évaluation des
risques significatifs de l’organisation les risques révélés lors de missions de conseil.

2120 – Contrôle

L'audit interne doit aider l'organisation à maintenir un dispositif de contrôle approprié en évaluant son
efficacité et son efficience et en encourageant son amélioration continue.

2120.A1 – Sur la base des résultats de l'évaluation des risques, l'audit interne doit évaluer la pertinence
et l'efficacité du dispositif de contrôle portant sur le gouvernement d’entreprise, les opérations et les
systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants :

ƒ la fiabilité et l’intégrité des informations financières et opérationnelles ;


ƒ l’efficacité et l’efficience des opérations ;
ƒ la protection du patrimoine ;
ƒ le respect des lois, règlements et contrats.
ISCAE 2005-2006 Mémoire de fin d’études Page 20 / 112

2120.A2 - Les auditeurs internes doivent déterminer dans quelle mesure des buts et objectifs
concernant les opérations et les projets ont été définis et si ces buts et objectifs sont conformes à ceux
de l'organisation.

2120.A3 – Les auditeurs internes doivent passer en revue les opérations et les projets afin de
déterminer dans quelle mesure les résultats suivent les buts et objectifs établis et si ces opérations et
projets sont mis en œuvre ou réalisés comme prévu.

2120.A4 – Des critères adéquats sont nécessaires pour évaluer le dispositif de contrôle. Les auditeurs
internes doivent déterminer dans quelle mesure le management a défini des critères adéquats pour
apprécier si les objectifs et les buts ont été atteints. Si ces critères sont adéquats, les auditeurs internes
doivent les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internes doivent travailler
avec le management pour élaborer des critères d'évaluation appropriés.

2120.C1 – Au cours des missions de conseil, les auditeurs internes examinent le processus de contrôle
interne en accord avec les objectifs de la mission et sont attentifs à l’existence de toute faiblesse de
contrôle significative.

2120.C2 – Les auditeurs internes doivent prendre en compte dans le processus d’identification et
d’évaluation des risques significatifs de l’organisation le dispositif de contrôle interne dont ils ont eu
connaissance lors de leurs missions de conseil.

2130 – Gouvernement d’entreprise

L'audit interne doit évaluer le processus de gouvernement d’entreprise et formuler les recommandations
appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs
suivants :

ƒ promouvoir des règles d’éthique et des valeurs appropriées au sein de l’organisation ;


ƒ garantir une gestion efficace des performances de l’organisation, assortie d’une obligation de
rendre compte ;
ƒ bien communiquer aux services concernés au sein de l’organisation les informations relatives
aux risques et aux contrôles ;
ƒ fournir une information adéquate au Conseil, aux auditeurs internes et externes et au
management, et assurer une coordination efficace de leurs activités.
ƒ
2130.A1 - L’audit interne doit évaluer la conception, la mise en œuvre et l’efficacité des objectifs, des
programmes et des activités de l'organisation liés à l’éthique.

2130.C1 – Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs et objectifs
généraux de l’organisation.

2200 – Planification de la mission

Les auditeurs internes doivent concevoir et formaliser un plan pour chaque mission. Ce plan précise le
champ d’intervention, les objectifs, la date et la durée de la mission, ainsi que les ressources allouées.

2201 – Considérations relatives à la planification


Lors de la planification de la mission, les auditeurs internes doivent prendre en compte :
ISCAE 2005-2006 Mémoire de fin d’études Page 21 / 112

ƒ les objectifs de l’activité soumise à l'audit et la manière dont elle est maîtrisée ;
ƒ les risques significatifs liés à l’activité, ses objectifs, les ressources mises en œuvre et ses
tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est
maintenu à un niveau acceptable ;
ƒ la pertinence et l'efficacité des systèmes de management des risques et de contrôle de
l’activité, en référence à un cadre ou modèle de contrôle appropriés ;
ƒ les opportunités d’améliorer de manière significative les systèmes de management des risques
et de contrôle de l’activité.

2201.A1 – Lorsqu’ils planifient une mission pour des tiers extérieurs à l’organisation, les auditeurs
internes doivent élaborer avec eux un accord écrit sur les objectifs et le champ de la mission, les
responsabilités et les attentes respectives, et préciser les restrictions à observer en matière de diffusion
des résultats de la mission et d’accès aux dossiers.

2201.C1 – Les auditeurs internes doivent établir avec le client donneur d’ordre un accord sur les
objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus généralement sur
les attentes du client donneur d’ordre. Pour les missions importantes, cet accord doit être formalisé.

2210 – Objectifs de la mission

Les objectifs doivent être précisés pour chaque mission.

2210.A1 – L'auditeur interne doit procéder à une évaluation préliminaire des risques liés à l’activité
soumise à l'audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette
évaluation.

2210.A2 – En détaillant les objectifs de la mission, l'auditeur interne doit tenir compte de la probabilité
qu’il existe des erreurs, irrégularités, cas de non-conformité et autres risques importants.

2210.C1 – Les objectifs d’une mission de conseil doivent porter sur les processus de management des
risques, de contrôle et de gouvernement d’entreprise dans la limite convenue avec le client.

2220 – Champ de la mission

Le champ doit être suffisant pour répondre aux objectifs de la mission.

2220.A1 – Le champ de la mission doit couvrir les systèmes, les documents, le personnel et les biens
concernés, y compris ceux qui se trouvent sous le contrôle de tiers.

2220.A2 – Lorsqu’au cours d’une mission d’assurance apparaissent d’importantes opportunités en


termes de conseil, il convient de rédiger un accord spécifique précisant les objectifs et le champ de la
mission de conseil, les responsabilités et les attentes respectives. Les résultats de la mission de conseil
doivent être communiqués conformément aux normes applicables à ces missions.

2220.C1 – Quand ils effectuent une mission de conseil, les auditeurs internes doivent s’assurer que le
champ d’intervention permet de répondre aux objectifs convenus. Si, en cours de mission, ils émettent
des réserves sur ce périmètre, ils doivent en discuter avec le client donneur d’ordre afin de décider s’il y
a lieu de poursuivre la mission.
ISCAE 2005-2006 Mémoire de fin d’études Page 22 / 112

2230 – Ressources affectées à la mission

Les auditeurs internes doivent déterminer les ressources appropriées pour atteindre les objectifs de la
mission. La composition de l’équipe doit s’appuyer sur une évaluation de la nature et de la complexité
de chaque mission, des contraintes de temps et des ressources disponibles.

2240 – Programme de travail de la mission

Les auditeurs internes doivent élaborer un programme de travail permettant d'atteindre les objectifs de
la mission. Ce programme de travail doit être formalisé.

2240.A1 – Le programme de travail doit définir les procédures à appliquer pour trouver, analyser,
évaluer et documenter les informations lors de la mission. Le programme de travail doit être approuvé
avant sa mise en œuvre. Les ajustements éventuels doivent être approuvés rapidement.

2240.C1 – Le programme de travail d’une mission de conseil peut varier, dans sa forme et son contenu,
selon la nature de la mission.

2300 – Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires
pour atteindre les objectifs de la mission.

2310 – Identification des informations

Les auditeurs internes doivent identifier les informations nécessaires, fiables, pertinentes et utiles pour
atteindre les objectifs de la mission.

2320 – Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses
et évaluations appropriées.

2330 – Documentation des informations

Les auditeurs internes doivent documenter les informations pertinentes pour étayer les conclusions et
les résultats de la mission.

2330.A1 – Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si
nécessaire, obtenir l'accord de la Direction Générale et/ou l’avis d'un juriste avant de communiquer ces
dossiers à des parties extérieures.

2330.A2 – Le responsable de l'audit interne doit arrêter des règles en matière de conservation des
dossiers de la mission. Ces règles doivent être cohérentes avec les orientations définies par
l'organisation et avec toute exigence réglementaire ou autre.

2330.C1 – Le responsable de l'audit interne doit définir des procédures concernant la protection et la
conservation des dossiers de la mission de conseil ainsi que leur diffusion à l’intérieur et à l’extérieur de
l’organisation. Ces procédures doivent être cohérentes avec les orientations définies par l'organisation
et avec toute exigence réglementaire ou autre appropriée.
ISCAE 2005-2006 Mémoire de fin d’études Page 23 / 112

2340 – Supervision de la mission

Les missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont
atteints, la qualité assurée et le développement professionnel du personnel effectué.

2400 – Communication des résultats

Les auditeurs internes doivent communiquer les résultats de la mission.

2410 – Contenu de la communication

La communication doit inclure les objectifs et le champ de la mission, ainsi que les conclusions,
recommandations et plans d'actions.

2410.A1 – La communication finale des résultats de la mission doit, lorsqu'il y a lieu, contenir l'opinion
globale de l'auditeur interne et/ou ses conclusions.

2410.A2 – Les auditeurs internes sont encouragés à faire état des forces relevées lors de la
communication des résultats de la mission.

2410.A3 – Lorsque les résultats de la mission sont communiqués à des destinataires ne faisant pas
partie de l’organisation, les documents communiqués doivent préciser les restrictions à observer en
matière de diffusion et d’exploitation des résultats.

2410.C1 – La communication sur l’avancement et les résultats d’une mission de conseil variera dans sa
forme et son contenu en fonction de la nature de la mission et des besoins du client donneur d’ordre.

2420 – Qualité de la communication

La communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps
utile.

2421 – Erreurs et omissions

Si une communication finale contient une erreur ou une omission importante, le responsable de l'audit
interne doit faire parvenir les informations corrigées à tous les destinataires de la version initiale.

2430 – Indication de non-conformité aux Normes

Lorsqu’une mission donnée n’a pas été conduite conformément aux Normes, la communication des
résultats doit indiquer :

ƒ la ou les Normes qui n'ont pas été entièrement respectées,


ƒ la ou les raisons de la non-conformité, et
ƒ l'incidence de la non-conformité sur la mission.

2440 – Diffusion des résultats

Le responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés.
ISCAE 2005-2006 Mémoire de fin d’études Page 24 / 112

2440.A1 – Le responsable de l'audit interne est chargé de communiquer les résultats définitifs aux
destinataires à même de garantir que ces résultats recevront l'attention nécessaire.

2440.A2 – Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable de


l’audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires ne faisant
pas partie de l’organisation :

ƒ évaluer les risques potentiels pour l’organisation ;


ƒ consulter la direction générale et/ou, selon les cas, un conseil juridique ;
ƒ maîtriser la diffusion en imposant des restrictions quant à l’utilisation des résultats.

2440.C1 – Le responsable de l’audit interne est chargé de communiquer les résultats définitifs des
missions de conseil à son client donneur d’ordre.

2440.C2 – Au cours des missions de conseil, il peut arriver que des problèmes relatifs aux processus
de management des risques, de contrôle et de gouvernement d’entreprise soient identifiés. Chaque fois
que ces problèmes sont significatifs pour l’organisation, ils doivent être communiqués à la Direction
Générale et au Conseil.

2500 – Surveillance des actions de progrès

Le responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller
la suite donnée aux résultats communiqués au management.

2500.A1 – Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de
surveiller et de garantir que des mesures ont été effectivement mises en œuvre par le management ou
que la Direction Générale a accepté de prendre le risque de ne rien faire.

2500.C1 – L’audit interne doit surveiller la suite donnée aux résultats des missions de conseil
conformément à l’accord passé avec le client donneur d’ordre.

2600 – Acceptation des risques par la Direction Générale

Lorsque le responsable de l'audit interne estime que la Direction Générale a accepté un niveau de
risque résiduel qui pourrait s’avérer inacceptable pour l'organisation, il doit examiner la question avec
elle. S'ils ne peuvent arrêter une décision concernant le risque résiduel, ils doivent soumettre la
question au Conseil aux fins de résolution.

c. Les normes de mise en œuvre

Tandis que les Normes de Qualification et les Normes de Fonctionnement s’appliquent aux travaux
d’audit interne en général, les Normes de Mise en Oeuvre s’appliquent à des types de missions
spécifiques.

Alors qu'il existe un seul ensemble de Normes de Qualification et de Normes de Fonctionnement, il peut
exister différents ensembles de Normes de Mise en Oeuvre, correspondant chacun à un grand type
d'activité d'audit interne. Les Normes de Mise en Oeuvre concernent les activités d’assurance
(indiquées par la lettre "A" après le numéro de la Norme, par exemple 1130.A1) et les activités de
conseil (indiquées par la lettre "C" après le numéro de la Norme, par exemple 1130.C1).
ISCAE 2005-2006 Mémoire de fin d’études Page 25 / 112

C- L’organisation du système de contrôle interne (SCI)

a. Les différents modèles proposés pour le SCI

Plusieurs modèles ont été développés pour décrire d’une manière détaillée le fonctionnement d’un SCI.
On commencera par présenter le modèle COSO qui est le plus fameux de nos jours.

Le modèle COSO

Le modèle COSO a été développé par le Committee of Sponsoring Organizations initialement connu
sous le nom de Tradeway Commission. Les institutions membres du COSO sont : “The American
Institute of Certified Public Accountants (AICPA)”, “The American Accounting Association (AAA)”, “The
Financial Executives International (FEI)”, “The Institute of Internal Auditors (IIA)”, et “The Institute of
Management Accountants (IMA)”. Le modèle final, publié en 1992, contient cinq éléments :

ƒ L’environnement du contrôle (Control Environment) : considéré comme étant un élément très


important de la culture d'entreprise puisqu'il détermine le niveau de sensibilisation du personnel
au besoin de contrôles. Les éléments qui composent l'environnement de contrôle sont
nombreux. Citons entre autres l'intégrité, l'éthique, la compétence du personnel, le style de
management, la politique de délégation des responsabilités, l'organisation, la politique de
formation.

ƒ L’évaluation des risques (Risk Assesment) : c'est-à-dire l'identification et l'analyse des facteurs
susceptibles d'affecter la réalisation des objectifs de l'organisation.

ƒ Les activités du contrôle (Control Activities) : qui consistent en l'application de normes et


procédures qui permettront de maîtriser les risques identifiés. Le véritable enjeu étant de
dessiner et de mettre en place les normes et procédures les plus efficaces et efficientes.

ƒ L’information et communication (Information and Communication) : La mise en place d'un


système d'information et de communication au sein de l'organisation est capitale, parce que
toutes les décisions sont prises sur la base de ce système.

ƒ Le pilotage (Monitorning) : qui consiste en une surveillance continue du système de contrôle


interne. Cette surveillance permanente du système de contrôle interne est impérative en raison
des changements qui interviennent au niveau de l'environnement interne et externe de
l'organisation, et par conséquent au niveau des risques. Pour rester en adéquation avec les
risques, le système de contrôle interne doit être constamment adapté.

Ce modèle a été largement accepté par les auditeurs internes et les responsables financiers car il offre
des possibilités énormes pour le design, l’implémentation, l’évaluation et le management d’un SCI.
ISCAE 2005-2006 Mémoire de fin d’études Page 26 / 112

Ces cinq éléments sont souvent représentés sous forme d’un cube comme sur l’illustration suivante :
ISCAE 2005-2006 Mémoire de fin d’études Page 27 / 112

Les objectifs du modèle COSO sont répartis entre objectifs liés à l’activité opérationnelle de l’entreprise,
à la fiabilité et à la pertinence de l’information financière et ceux liés à la conformité avec les lois en vigueur.
Ces objectifs sont représentés sur le schéma suivant :
ISCAE 2005-2006 Mémoire de fin d’études Page 28 / 112

Le modèle COBIT (Control Objectives for Information Technology)

En 1977, « The Electronic Data Processing Auditors Foundation » publie la première édition des «
Objectifs du contrôle ». C’était une compilation des techniques et procédures utilisées pour l’audit des
systèmes d’information et couvrant plusieurs domaines des technologies d’information.

Ce livre fournit un modèle normatif aux auditeurs des systèmes d’information pour mener à bien leurs
missions. « Les objectifs des contrôles » inclut non seulement les objectifs liés aux contrôles mais aussi
les procédures d’audit. Ce livre établit une correspondance entre une technologie d’information donnée
et les procédures d’audit à mettre en œuvre pour auditer un domaine contenant la dite technologie.

Ce livre a été révisé et réadapté plusieurs fois notamment en 1980, 1983, 1990 et 1992 (5ème version du
document). En 1996, ISACA a révisé « Les objectifs du contrôle » dans une nouvelle publication
nommée « Control Objectives for Information Technology ».

COBIT tire ses définitions et ses notions du modèle COSO : Les politiques, procédures, pratiques et
structures organisationnelles sont conçus pour donner une assurance raisonnable que les objectifs du
management seront achevés et que les événements nuisibles à la société seront détectés et corrigés.

Les notions principales du modèle COBIT sont :

Les modèles de maturité du COBIT :

En résumé, ils :

ƒ Concernent les besoins fondamentaux de l'entreprise et les facteurs à tous les niveaux de
maturité

ƒ Représentent une échelle qui se prête aux comparaisons pragmatiques

ƒ Représentent une échelle permettant de mesurer facilement les écarts

ƒ Peuvent être reconnus comme étant un "profil" de l'entreprise en matière de gouvernance,


sécurité et contrôle informatiques

ƒ Facilitent le positionnement de la maturité "actuelle" et de la maturité "projetée" en matière de


gouvernance, sécurité et contrôle informatiques

ƒ Permettent d’analyser les écarts en vue de déterminer les tâches à accomplir pour atteindre le
niveau choisi

ƒ Évitent, dans la mesure du possible, la discontinuité des niveaux, susceptible de créer des
seuils difficiles à franchir

ƒ Appliquent de plus en plus les facteurs clés de succès

ƒ Ne sont pas spécifiques à une activité ni toujours applicables ; le type d’activité détermine le
modèle à utiliser
ISCAE 2005-2006 Mémoire de fin d’études Page 29 / 112

0 Inexistant. Absence totale de processus identifiables. L’entreprise n’a même pas pris conscience qu’il
s’agissait d’un problème à étudier

1 Initialisé. Il est évident que l’entreprise a pris conscience de l’existence du problème et de la


nécessité de l’étudier. Il n’existe toutefois aucun processus standardisé, mais des approches dans ce
sens tendent à être appliquées individuellement ou au cas par cas. L’approche globale du management
n’est pas organisée

2 Reproductible. Des processus se sont développés jusqu’au stade où des personnes différentes
exécutant la même tâche utilisent des procédures similaires. Il n’y a pas de formation formelle ou de
communication des procédures standard, et la responsabilité est laissée à l’individu. On se repose
beaucoup sur les connaissances individuelles, d'où une probabilité d’erreurs

3 Défini. Des procédures ont été standardisées, documentées et communiquées via des séances de
formation. Toutefois, leur utilisation est laissée à l’initiative de chacun, et il est probable que des
déviations seront constatées. Concernant les procédures elles-mêmes, elles ne sont pas sophistiquées
mais formalisent des pratiques existantes

4 Géré. Il est possible de contrôler et de mesurer la conformité aux procédures et d'agir lorsque des
processus semblent ne pas fonctionner correctement. Les processus sont en constante amélioration et
correspondent à une bonne pratique. L’automatisation et l’utilisation d’outils s’effectuent d’une manière
limitée ou partielle

5 Optimisé. Les processus ont atteint le niveau des meilleures pratiques, suite à une amélioration
constante et à la comparaison avec d’autres entreprises (Modèles de Maturité). L’informatique est
utilisée comme moyen intégré d’automatiser les flux de travaux, offrant des outils qui permettent
d’améliorer la qualité et l’efficacité et de rendre l'entreprise rapidement adaptable.
ISCAE 2005-2006 Mémoire de fin d’études Page 30 / 112

Les facteurs clés du succès en COBIT

Ce sont :

ƒ Les choses les plus importantes à faire pour augmenter la probabilité de succès du processus

ƒ Les caractéristiques observables, habituellement quantifiables, de l'organisation et du


processus

ƒ Par nature stratégiques, techniques, organisationnels ou procéduraux

ƒ Centrés sur l'obtention, le maintien et la mobilisation des capacités et des aptitudes

ƒ Exprimés en termes de processus, et pas nécessairement en termes de métier de l'entreprise

Indicateurs clés de performance en COBIT

ƒ Sont la mesure de la qualité de fonctionnement d'un processus

ƒ Expriment la probabilité de succès ou d'échec, donc sont des Indicateurs a priori

ƒ Sont orientés processus, mais mis en œuvre par l’informatique

ƒ Se concentrent sur les dimensions processus et capacité d’information du Tableau de Bord


Équilibré

ƒ S'expriment en termes mesurables avec précision

ƒ Aident à l'amélioration des processus informatiques lorsqu'on les mesure et qu'on agit en
conséquence

Le modèle SYSTRUST

Les principes de ce modèle ont été élaborés par AICPA et « The Chartered Accountants of CANADA »
et introduits en 1999. Un exemple des principes est présenté dans ce qui suit :

Sécurité : Le système est protégé contre tout accès non autorisé (aussi bien physique que
logique).

1.0 Les politiques relatives à la sécurité de l’entité sont établies, révisées périodiquement et approuvées
par une personne ou un groupe désigné.

1.1 Les politiques relatives à la sécurité de l’entité comprennent les éléments suivants, sans
nécessairement s’y limiter :
a. Identification et documentation des exigences de sécurité concernant les utilisateurs autorisés.
b. Autorisation d’accès, nature de cet accès et personne qui autorise l’accès.
c. Empêchement d’un accès non autorisé.
d. Procédures pour ajouter de nouveaux utilisateurs, modifier les niveaux d’accès des utilisateurs
actuels et retirer l’accès aux utilisateurs qui n’en ont plus besoin.
e. Attribution de la responsabilité de la sécurité du système
ISCAE 2005-2006 Mémoire de fin d’études Page 31 / 112

f. Attribution de la responsabilité des modifications et des mises à niveau du système.


g. Tests, évaluation et autorisation des composantes du système avant leur mise en œuvre.
h. Façon dont les plaintes et les demandes relatives aux questions de sécurité sont traitées.
i. Procédures de traitement des brèches de sécurité et autres incidents.
j. Disposition pour la mise en place d’un programme de formation et d’autres ressources en appui aux
politiques relatives à la sécurité des systèmes.
k. Disposition pour le traitement des anomalies et des situations qui ne sont pas spécifiquement
abordées dans les politiques relatives à la sécurité des systèmes.
l. Disposition pour l’identification des lois et règlements en vigueur, des engagements établis, des
ententes sur la qualité du service et autres contrats, ainsi que pour la conformité avec ceux-ci.

1.2 La responsabilité des politiques relatives à la sécurité des systèmes de l’entité, des modifications et
des mises à jour de ces politiques a été attribuée.

Communications : L’entité communique aux utilisateurs autorisés les politiques relatives à la


sécurité des systèmes qu’elle a définies.

2.0 L’entité a élaboré une description objective du système et de ses délimitations et l’a communiquée
aux utilisateurs autorisés.

2.1 Les obligations de sécurité des utilisateurs et les engagements de sécurité de l’entité envers eux ont
été communiqués aux utilisateurs autorisés.

2.2 La responsabilité des politiques de l’entité relatives à la sécurité des systèmes, des modifications et
des mises à jour de ces politiques a été communiquée au personnel chargé de la mise en œuvre.

2.3 Le processus permettant d’informer l’entité à propos des brèches de sécurité des systèmes et de
formuler une plainte est communiqué aux utilisateurs autorisés.

2.4 Les modifications susceptibles d’influer sur la sécurité sont communiquées à la direction et aux
utilisateurs concernés.

Procédure : L’entité utilise des procédures pour atteindre ses objectifs documentés en matière
de sécurité des systèmes conformément aux politiques qu’elle a définies.

3.0 Les procédures en place pour limiter l’accès logique au système défini comprennent les suivantes,
sans s’y limiter :
a. Enregistrement et autorisation des nouveaux utilisateurs.
b. Identification et authentification des utilisateurs.
c. Processus de modification et de mise à jour des profils des utilisateurs.
d. Processus d’attribution des droits et autorisations d’accès aux systèmes.
e. Diffusion des rapports limitée aux utilisateurs autorisés.
f. Limitation de l’accès logique au stockage, aux données de sauvegarde, aux systèmes et aux supports
hors ligne.
g. Limitation de l’accès aux configurations système, à la fonction de l’utilisateur, aux mots de passe
principaux, aux utilitaires puissants et aux dispositifs de sécurité (par exemple, pare-feu).

3.1 Des procédures sont en place pour limiter l’accès physique au système défini qui comprend, sans
s’y limiter, les dispositifs, les supports de sauvegarde et autres composantes telles que pare-feu,
routeurs et serveurs.
ISCAE 2005-2006 Mémoire de fin d’études Page 32 / 112

3.2 Des procédures sont en place pour empêcher tout accès logique non autorisé au système défini.

Surveillance : L’entité exerce une surveillance sur le système et prend des mesures pour
assurer le respect des politiques relatives à la sécurité qu’elle a définies.

4.1 La sécurité des systèmes de l’entité est examinée périodiquement et comparée aux politiques
relatives à la sécurité des systèmes qui ont été définies.

4.2 Il existe un processus pour identifier et traiter les défaillances susceptibles d’influer sur la capacité
de l’entité à atteindre ses objectifs conformément aux politiques relatives à la sécurité des systèmes
qu’elle a définies.

4.3 Les changements environnementaux et technologiques font l’objet d’une surveillance et leur effet
sur la sécurité des systèmes est évalué rapidement.

Etc…

Comparaison des différents modèles d’un SCI

COSO COBIT SYSTRUST


Audience primaire : Le top management.Le top management, Auditeurs externes.
utilisateurs, auditeurs.
SCI est perçu comme : Processus. Ensemble de Pas de définition
processus incluant des explicite.
politiques, procédures,
pratiques et structures
organisationnelles.
Objectifs du SCI : Opérations efficaces et Opérations efficaces et Opérations efficaces et
efficientes. efficientes. efficientes.
Informations Informations Informations
financières fidèles. financières fidèles. financières fidèles.
Conformité avec les Conformité avec les Conformité avec les
lois. lois. lois.
Confidentialité, intégrité
et disponibilité des
informations.
Focalise sur : L’entité entière Technologies de Systèmes
l’information en d’information
particulier
L’efficacité du SCI est A un moment donné Pour une période A un moment donné
évalué à : donnée
Responsabilité du Management Management Management
SCI incombe :
ISCAE 2005-2006 Mémoire de fin d’études Page 33 / 112

b. Les politiques d’un SCI

En général, les politiques d’un SCI doivent être formulées clairement avant la conduite formelle des
évaluations du risque. Les politiques définies doivent être flexibles, dynamiques pour pouvoir
accompagner l’évolution future de l’entreprise. Cependant, une politique bien formulée, bien décrite doit
montrer clairement les objectifs attendus surtout dans certains domaines sensibles à la vie de
l’entreprise. C’est pourquoi il est conseillé de faire adhérer les responsables du contrôle interne au
projet de rédaction de ces politiques.

Politique du développement des systèmes d’information :


Le développement et l’implémentation des systèmes d’information doit être bien décrit par l’entreprise.
Cette politique doit séparer le développement, l’utilisation et la maintenance du système d’information.
Lors de la mise à jour d’un système, il est conseillé de le mettre hors ligne, de procéder aux traitements
souhaités avant de le remettre en ligne pour l’utilisateur final. Ce concept doit être présent dans les
politiques de l’entreprise.

Politique d’utilisation des systèmes :


L’utilisation des ordinateurs de l’entreprise doit se faire uniquement pour des raisons professionnelles.
Une politique bien détaillée doit mettre en œuvre les utilisations autorisées et prohibées ainsi que les
répercussions des violations de cette politique. L’utilisation des ordinateurs pour des raisons
personnelles doit faire l’objet d’une autorisation expresse du management.

Politique liée à la sécurité :


Les auditeurs internes doivent assister le management pour définir les objectifs fondamentaux de la
sécurité des actifs de l’entreprise qui ont besoin d’être protégés contre les risques identifiés. L’objectif
étant de montrer aux actionnaires et aux salariés que les informations et les données ne se limitent pas
seulement aux fichiers existant sur leurs ordinateurs mais s’étendent aux actifs qui ont une valeur
précieuse. Une telle politique doit rappeler les salariés de l’importance des informations qu’ils traitent et
des risques auxquels ils sont exposés en cas d’erreur ou de fraude.

Politique des mots de passe :


La politique qui définit la gestion des mots de passe fait partie intégrante de la politique liée à la
sécurité. Une politique efficace est un atout stratégique qui permet de maintenir un contrôle interne
efficace et aide à minimiser les effets inverses liées aux fraudes et aux manipulations non autorisées
des systèmes de l’entreprise. Cette politique doit rappeler aux salariés qu’ils sont les seuls
responsables de la divulgation de leurs mots de passe. Il faut aussi leur montrer l’utilité de renouveler
périodiquement leurs mots de passe en respectant les règles définies par la politique (nombre de
caractères minimum, utilisation des chiffres et lettres, …). La politique doit inclure aussi une partie qui
consiste en la suppression des mots de passe et des sessions d’un employé qui quitte l’entreprise.

Politique de gestion des e-mails :


Cette politique doit expliquer les objectifs liés à l’utilisation du service mail de l’entreprise et rappeler son
caractère professionnel. Les auditeurs internes sont sollicités pour l’élaboration d’une telle politique.
Pour renforcer cette politique, le management doit procéder de temps en temps à la consultation des
mails échangés par les salariés en interne ou en externe. Cette pratique doit être bien stipulée dans la
politique sinon les salariés pourront réclamer la violation de leur intimité. Cette politique doit être signée
et approuvée par tous les salariés. Elle doit aussi l’aspect lié à l’ouverture des fichiers attachés aux
messages qui peuvent parfois être malicieux et contenir des virus.
ISCAE 2005-2006 Mémoire de fin d’études Page 34 / 112

Politique de recouvrement :
Les plans de recouvrement sont indispensables à l’entreprise. Ces derniers doivent montrer la manière
qui guide la sauvegarde et le backup des données de chaque ordinateur sur un serveur central bien
protégé par des mots de passe et des firewalls et dont l’accès est strictement réservé aux responsables
informatiques. L’expérience a montré que ceci n’est pas suffisant : le serveur central peut être piraté et
les données perdues. C’est pourquoi il est conseillé de sauvegarder les données du serveur
périodiquement sur support externe tenu dans un lieu sûr. Cette politique doit expliquer le déroulement
de l’opération de restauration des données après panne ou catastrophe.

Politique de protection des donnés privées :


Les informations concernant les salariés ainsi que leurs actions sont considérées généralement des
informations privées. Lorsque l’entreprise collecte des informations sur un salarié pour vérifier sa
conformité aux politiques et règles internes, elle doit alerter ledit salarié et l’informer des résultats de
ses investigations et lui faire signer un accord écrit. Pour les entreprises qui collectent les informations
sur leur clientèle via un portail web, elles doivent mettre en ligne leur politique de gestion de ces
informations et en assurer un affichage clair et lisible en plus d’une langue.

c. Le diagramme descriptif d’un SCI

Les auditeurs internes doivent prendre une connaissance large de la structure organisationnelle de
l’entreprise pour bien appréhender la position de leur département. En général, le comité d’audit interne
est lié au conseil de surveillance ou au conseil d’administration pour avoir une dépendance totale et
raisonnable.

La position du département d’audit interne peut varier d’une entreprise à l’autre. Cependant, il est
conseillé d’inclure son diagramme détaillé dans le manuel des procédures de l’entreprise.

Conseil de Surveillance
Ou Conseil d’Administration

Comité d’Audit

Président Directeur Général

Direction financière Systèmes d’Information Direction Technique Etc …

Directeur d’Audit
ISCAE 2005-2006 Mémoire de fin d’études Page 35 / 112

D- Le planning des missions

a. La planification des missions pour le long et moyen terme

Le responsable de l’audit interne doit établir un planning pour les missions d’audit sur le long et moyen
terme (voir normes 2010 et 2020).

Chaque mission est avalisée par le Comité d’audit. Un ordre de mission est délivré par le Directeur
Général pour chacune. Chaque mission d’audit se décompose globalement en quatre phases :

a – Prise de connaissance du domaine :

A partir d’une première prise de contact, l’Unité d’audit détermine, sur la base de documents et
d’interviews, une analyse détaillée des risques apparents. Cette analyse est formalisée dans le rapport
d’orientation qui est présenté et discuté avec les audités.

Pour accomplir leurs missions, les auditeurs, peuvent, si nécessaire faire appel à des experts internes
ou externes afin de parfaire leur connaissance du domaine audité.

b – Investigations sur le terrain :

L’unité d’audit met en œuvre les orientations retenues dans le rapport d’orientation en utilisant les
techniques d’observation, de description et d’analyse qui lui sont propres. Tout dysfonctionnement ou
problème rencontré fait l’objet d'une information de l'audité.

c – Synthèse de la mission :

L’unité d’audit produit à l’issue de la mission un pré-rapport. Celui-ci est examiné avec les audités. Les
recommandations, provisoires durant la phase d’investigation, deviennent définitives à l’issue de cette
phase. Un plan d’action de mise en œuvre des recommandations et un tableau de suivi sont élaborés
conjointement entre les auditeurs et les audités.

En cas de désaccord entre les auditeurs et les audités, les observations de ces derniers sont incluses
dans le rapport définitif.

d – Suivi de la mission :

Le comité d’audit et les audités sont destinataires du rapport définitif. Le comité d’audit peut décider
d’élargir la diffusion de tout ou partie du rapport. Le comité d’audit valide les recommandations. L'unité
d'audit s'assure auprès des audités que toutes les recommandations sont, effectivement, mises en
œuvre.

b. Le reporting des missions d’audit interne

Le rapport d’une mission d’audit est le produit le plus signifiant de la fonction d’audit interne. C’est
pourquoi son contenu et sa mise en forme doivent être considérés avec le plus grand soin possible. En
général, les grandes structures exigent un résumé et un rapport détaillé de la mission. Avant de
produire le rapport final, un brouillon du rapport contenant toutes les remarques des auditeurs est revu
ISCAE 2005-2006 Mémoire de fin d’études Page 36 / 112

avec les audités. Le rapport final est présenté au comité d’audit qui gère sa diffusion et sa distribution
selon les pratiques mises en place au sein de l’entreprise.
ISCAE 2005-2006 Mémoire de fin d’études Page 37 / 112

Partie III : Relation entre le contrôle interne et le management des risques

A- La fonction de Risk Management

a. Qu’est ce qu’on entend dire par « Enterprise Risk Management » ?

Le management des risques est un processus mis en œuvre par le Conseil d’administration, la direction
générale, le management et l'ensemble des collaborateurs de l’organisation. Il est pris en compte dans
l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans
les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte
des objectifs de l'organisation.

Cette définition reflète certains concepts fondamentaux. Le dispositif de management des risques :

ƒ Est un processus permanent qui irrigue toute l’organisation,


ƒ Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de l’organisation,
ƒ Est pris en compte dans l’élaboration de la stratégie,
ƒ Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet d’obtenir
une vision globale de son exposition aux risques,
ƒ Est destiné à identifier les événements potentiels susceptibles d’affecter l’organisation, et à
gérer les risques dans le cadre de l’appétence pour le risque,
ƒ Donne à la direction et au Conseil d’administration une assurance raisonnable (quant à la
réalisation des objectifs de l’organisation),
ƒ Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories indépendantes
mais susceptibles de se recouper.

Cette définition est volontairement large. Elle intègre les principaux concepts sur lesquels s’appuient les
sociétés ou d’autres types d’organisation pour définir leur dispositif de management des risques et se
veut une base pour la mise en œuvre d’un tel dispositif au sein d’une organisation, d’un secteur
industriel ou d’un secteur d’activité. Elle est centrée sur l’atteinte des objectifs fixés pour une
organisation donnée, et constitue en cela une base pour la définition d’un dispositif de management des
risques efficace.

b. Les méthodes modernes de gestion des risques

On définit généralement le risque comme les inconvénients potentiels d'une décision ou d'une action, et
la probabilité d'une perte ou d'un sinistre, ou encore d'un événement et de ses conséquences.
Toutefois, l'essence de la gestion moderne des risques vise autant à profiter des opportunités de
prospérer qu'à éviter des pertes potentielles. Chaque action mise en œuvre ou omise comporte des
risques, positifs par la possibilité de tirer un avantage, négatifs par la menace d'un échec. Ainsi, une
fusion ou une acquisition peut être envisagée pour diverses raisons, dont l'avantage concurrentiel que
confère une plus grande part du marché ou l'accès à une technologie qui nécessiterait autrement des
années de développement. Lors d'une fusion ou d'une acquisition, le rajustement de l'effectif et la
gestion des différences de culture d'entreprise peuvent entraîner des coûts monstres, et mener à une
diminution du prix des actions ou, dans le pire des cas, à la faillite. La gestion des risques permet
d'encadrer l'analyse décisionnelle; elle vise à minimiser la probabilité d'une perte et à maximiser les
bienfaits de vos décisions.
ISCAE 2005-2006 Mémoire de fin d’études Page 38 / 112

Pas de décision à prendre, donc probablement pas de risque. L'analyse des risques comporte deux
dimensions : l'une, quantitative (ampleur des risques associés à une décision, habituellement exprimée
comme la probabilité et l'importance de ses avantages potentiels et de ses conséquences) et l'autre,
qualitative (ce que la décision et l'éventail des résultats possibles signifient pour l'entreprise et ses
parties prenantes, selon les valeurs, objectifs, besoins et préoccupations de chaque partie). Les
domaines traditionnels de la gestion des risques, comme l'assurance et les risques financiers, tendent à
se focaliser sur les éléments quantitatifs. Or, si l'on ignore les aspects qualitatifs des risques et la
charge de valeur de ces derniers, le résultat peut être désastreux.

Ce domaine suscite de plus en plus l'intérêt du public et des dirigeants du secteur privé — un
engouement nourri par les exigences du public et des actionnaires recherchant des entreprises bien
gérées qui atteignent leurs objectifs et évitent les pertes. Il y a 20 ans, le gestionnaire des risques était
le responsable de l'achat des assurances. De nos jours, les professionnels de la gestion des risques
s'occupent de nombreuses questions, notamment des atteintes à la réputation, des exigences de
contrôle préalable et des communications avec les parties prenantes au sujet des risques et des
avantages associés aux activités de l'entreprise. Un nombre croissant d'organisations se convertissent
à la gestion des risques, ce qui les oblige à s'assurer que tous les risques sont gérés d'une manière
constante et disciplinée. Cette approche holistique tient compte des aspects stratégiques (quels
produits ou services devons-nous offrir pour atteindre nos objectifs?), financiers (comment protéger
l'entreprise contre le risque de change?) et opérationnels (quels sont les programmes de prévention des
sinistres et les plans d'urgence?).

La gestion des risques opérationnels vise l'excellence de l'exploitation et s'appuie sur le processus
planification-action-évaluation-ajustement utilisé en gestion de la qualité et de l'environnement. Le
processus d'amélioration continue appliqué à la gestion des risques opérationnels compte quatre volets:

Planification : nécessite une analyse visant à identifier les risques et leurs répercussions possibles sur
les résultats, de même qu'une évaluation du niveau des contrôles des risques existants et
l'établissement des actions nécessaires pour colmater les brèches du programme de gestion des
risques qui pourraient empêcher l'organisation d'atteindre ses objectifs (s'assurer que l'on fait les
bonnes choses).

Action : mise en œuvre des contrôles des risques et activités de gestion des risques.

Évaluation : recours au contrôle et à la vérification afin de s'assurer que les contrôles des risques sont
mis en œuvre comme prévu (s'assurer que les choses sont faites correctement).

Ajustement : il est essentiel que la direction générale effectue des examens périodiques pour s'assurer
que le programme de gestion des risques continue de répondre aux besoins de l'entreprise et que les
modifications nécessaires y sont apportées.

Le volet de la planification comporte généralement les étapes suivantes :

• Identification des dangers. Divers dangers et sources de risque sont cernés, et un inventaire en
est dressé.

• Évaluation des risques. Évaluer la probabilité et la gravité potentielle des conséquences des
risques identifiés. Déterminer aussi les niveaux de tolérance, qui reflètent la propension à
prendre des risques.
ISCAE 2005-2006 Mémoire de fin d’études Page 39 / 112

• Analyse des lacunes. L'efficacité des contrôles de gestion existants pour des risques
significatifs est évaluée. Les forces et les faiblesses du cycle d'amélioration continue de
l'entreprise en matière de gestion des risques opérationnels sont relevées.

• Évaluation des options en matière de contrôles des risques. Ces options sont générées et
évaluées en fonction de leur potentiel de réduction des risques, des ressources qu'elles
requièrent et d'autres avantages liés aux coûts et aux affaires. L'évaluation porte en premier sur
les risques les plus importants dont la gestion est jugée médiocre à la suite de l'analyse des
lacunes.

Le processus commence par la détermination des risques (ou dangers) auxquels l'entreprise est
exposée. Cela peut comprendre toutes les sources de sinistres potentiels : pertes d'exploitation,
atteintes à la santé, aux biens, à l'environnement, à la réputation de l'entreprise et à d'autres actifs ou
objets de valeur. La plupart des méthodes d'identification des dangers sont de nature qualitative et sont
bien adaptées au travail d'une équipe de représentants qui connaissent tous les aspects de
l'exploitation de l'entreprise. Les listes de contrôle constituent un bon moyen de s'assurer que les
risques bien connus sont relevés, et une série de questions de simulation peut aider à déceler les
risques cachés. Quelle que soit la méthode, l'équipe d'analyse des risques devrait commencer par
examiner les activités de l'entreprise en visitant les installations puis en procédant à un examen de la
documentation, notamment de la politique de gestion des risques, des procédures opérationnelles et de
toute information disponible concernant les risques (sommaire des déclarations de sinistres, des
incidents touchant la santé et la sécurité, des arrêts-machines et des sondages sur la satisfaction des
employés). À la fin du processus d'identification des risques, on obtient une liste des sources de risques
opérationnels.

Exemple de liste des dangers

Danger Sinistres potentiels directs et indirects


Chargements non arrimés • Blessures pouvant entraîner des souffrances humaines, des
absences, des amendes et une augmentation du temps de
gestion.
• Manques à produire et pertes de temps attribuables aux
articles endommagés ou perdus (recherche des articles
égarés ou rechargement sur une nouvelle palette).

Palettes endommagées • Blessures pouvant entraîner des souffrances humaines, des


absences, des amendes et une augmentation du temps de
gestion.
• Manques à produire et pertes de temps attribuables aux
articles endommagés ou perdus (recherche des articles
égarés ou rechargement sur une nouvelle palette).

Congestion des allées • Blessures et incidents liés aux tracteurs de manutention.


• Peut être un obstacle en cas d'évacuation, et entraîner des
blessures et des amendes.

Absence de protection contre les vols à • Blessures, décès, pertes financières, augmentation des primes
main armée d'assurance.
ISCAE 2005-2006 Mémoire de fin d’études Page 40 / 112

Véhicules non verrouillés • Dommages, perte de véhicule, blessures, décès,


augmentation des primes d'assurance.

Chutes d'une hauteur importante • Blessures pouvant entraîner des souffrances humaines, des
absences, des amendes, et une augmentation du temps de
gestion et des primes d'assurance.

Mauvais service à la clientèle • Perte de clients, diminution de la part de marché, profit


moindre.

Émissions d'oxyde de carbone • Problèmes de santé et de qualité de l'air.

Dangers relatifs aux déplacements • Blessures, augmentation du temps de gestion et des primes
d'assurance.

Inaptitude à la tâche • Utilisation inappropriée de l'équipement, entraînant des


incidents qui peuvent porter atteinte aux personnes, aux biens,
à l'environnement ou à la production.

Articles lourds non palettisés • Blessures liées au soulèvement des articles.

Fuites provenant d'un appareil de • Incendie/explosion, blessures, dommages à l'équipement ou à


chauffage au gaz l'immeuble.
• Absences, amendes, augmentation du temps de gestion et
des primes d'assurance.

Acides d'accumulateurs • Rejet/dégradation dans l'environnement.


• Amendes.

Outils à main • Microtraumatismes répétés causés par une mauvaise


ergonomie.

Pression attribuable aux échéanciers • Tendance à aller au plus vite, pouvant réduire la qualité du
produit ou causer des incidents.

Enchevêtrement dans des • Blessures, absences.


équipements comportant des pièces • Amendes, augmentation du temps de gestion et des primes
mobiles, p.ex., un convoyeur d'assurance.

L'étape suivante consiste à quantifier le risque associé à chaque danger, ce qui permet de hiérarchiser
les risques selon leur acceptabilité, c.-à-d. de cibler ceux qui nécessitent une attention immédiate ou
dont la priorité est moindre. L'élaboration d'une matrice de risque est utile pour mesurer le risque posé
par divers dangers.
ISCAE 2005-2006 Mémoire de fin d’études Page 41 / 112

Exemple de matrice de classement de la gravité des conséquences

Catégorie SANTÉ SÉCURITÉ ENVIRONNEMENT ENTREPRISE


Catastrophique • Maladie mortelle • Blessure mortelle • Émission brute de • Fermeture de
• Responsabilité • Responsabilité produits chimiques l'installation
toxiques ou pendant une
contrôlés semaine ou plus
• Procès, pénalités • Perte financière
et amendes ou dommages de
1 000 000 $ ou
plus
Critique • Maladie • Absence de plus • Rejet externe • Arrêt d'une
chronique d'une journée pour contenu chaîne de
permanente cause de blessure • Amendes, montage ou plus,
• Invalidité de • Responsabilité ordonnance de jusqu'à la
longue durée réglementation du fermeture
• Responsabilité ministère complète de
l'usine, de une
journée à une
semaine
• Perte de
100 000 $ à
1 000 000 $
Modéré • Maladie curable • Soins médicaux • Rejet interne • Arrêt d'une
de longue durée d'une journée ou contenu chaîne de
• Aucune moins montage pendant
responsabilité • Responsabilité une journée ou
minimale moins
• Perte de
10 000 $ à
100 000 $
Mineur • Maladie curable • Premiers soins, • Rejet interne de • Fermeture d'une
de courte durée aucune absence moins de un gallon, chaîne de
• Aucune • Aucune pouvant être montage pendant
responsabilité responsabilité contenu et nettoyé une heure ou
moins
• Perte de moins
de 10 000 $

La tolérance d'une entreprise à l'égard des risques se trouve codifiée lorsque le niveau de risque qu'elle
attribue à chaque cellule de la matrice de risque est établi. Chaque organisation a sa propre tolérance à
l'égard du risque et son propre profil de risque. La propension d'une entreprise à prendre des risques
est liée à ses valeurs, à ses objectifs et à sa culture. Il est essentiel que l'équipe de leadership de
l'organisation établisse les critères de tolérance à l'égard du risque et fournisse l'engagement, le soutien
et les ressources nécessaires aux dirigeants pour qu'ils puissent élaborer et mettre en œuvre des
activités de gestion des risques.

Lorsque l'entreprise a une solide maîtrise de son profil de risque, elle doit déterminer si sa gestion des
risques est excessive ou insuffisante. L'analyse des lacunes appliquée à un système de gestion a pour
but de déterminer avec quelle efficacité (selon les meilleures pratiques) l'entreprise gère ses risques.
ISCAE 2005-2006 Mémoire de fin d’études Page 42 / 112

L'analyse est menée à deux niveaux : celui de l'efficacité des contrôles de risque existants pour les
dangers et les scénarios définis (conception et mise en œuvre du système, rôles et responsabilités, et
communications) et celui de l'efficacité du système de gestion dans son ensemble (planification-action-
évaluation-ajustement).

Le processus d'analyse des lacunes est plutôt simple : pour chaque risque significatif, l'équipe relève
les contrôles des risques existants et attribue une cote (élevée, moyenne ou faible) à sa façon de gérer
les risques, selon les critères suivants : qualité de la conception et de la mise en œuvre des politiques
et procédures de gestion des risques qui permettra d'atteindre l'excellence opérationnelle;
compréhension et adoption de rôles et responsabilités à l'égard de la gestion des risques, tant par les
dirigeants que les employés; efficacité de la communication à l'égard des risques opérationnels.

Ce classement de l'efficacité de la gestion est utilisé de pair avec le classement des risques dans le but
de produire une matrice d'analyse des lacunes qui contribuera à clarifier les priorités à respecter dans le
processus d'amélioration. Lorsque l'entreprise maîtrise ses risques et connaît les forces et faiblesses de
son système de gestion des risques, elle peut mieux répartir les ressources correspondantes.

Il est important de préciser qu'une analyse des lacunes n'est pas une vérification du respect des
exigences réglementaires. Toutefois, il est prudent de profiter de l'occasion pour relever les exigences
réglementaires et les lacunes propres aux scénarios de risque à l'étude. Les lacunes typiques des
systèmes de gestion des risques comprennent une piètre communication des politiques et procédures,
l'échec du suivi de la performance en la matière, une mauvaise tenue de dossiers, la non-consignation
des incidents évités de peu, et le manque de planification d'urgence, y compris les plans en cas de
sinistre et les plans d'évacuation.

L'étape finale de la planification d'un système de gestion des risques consiste à générer, évaluer et
sélectionner les contrôles des risques. L'évaluation doit tenir compte de la réduction prévue des risques
(par la réduction soit de la fréquence, soit de la gravité des conséquences), des avantages (meilleur
moral, réduction des déchets) et des coûts (ressources requises en argent, en temps et en espace). Il
convient également de tenir compte des effets secondaires (nouveaux dangers découlant des contrôles
choisis) et de l'acceptabilité des contrôles. Par exemple, les tests de dépistage de la consommation
d'alcool ou de drogues peuvent sembler une solution évidente pour réduire les accidents liés à l'aptitude
à la tâche, mais ils peuvent aussi nuire au moral et, selon le territoire, peuvent faire l'objet de
restrictions.

Après avoir établi le profil de risque de l’entreprise et effectué l'analyse des lacunes, on ne regardera
plus jamais les activités d'exploitation du même œil. L’entreprise aura une conscience aiguë de
l'accroissement potentiel de ses risques et de ce qu’elle doit faire pour gérer de façon efficace et
efficiente ses risques opérationnels, afin de pouvoir poursuivre sa croissance et prospérer.
ISCAE 2005-2006 Mémoire de fin d’études Page 43 / 112
ISCAE 2005-2006 Mémoire de fin d’études Page 44 / 112

B- Intégration du risk management au sein du contrôle interne

L’incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi l’un des principaux défis
pour la direction réside-t-il dans la détermination d’un degré d’incertitude acceptable afin d’optimiser la
création de valeur, objectif considéré comme le postulat de base dans le concept de management des
risques. L’incertitude est source de risques et d’opportunités, susceptibles de créer ou de détruire de la
valeur. Le management des risques offre la possibilité d’apporter une réponse efficace aux risques et
aux opportunités associés aux incertitudes auxquelles l’organisation fait face, renforçant ainsi la
capacité de création de valeur de l’organisation.

La valeur de l’organisation est maximisée d’une part lorsque la direction élabore une stratégie et fixe
des objectifs afin de parvenir à un équilibre optimal entre les objectifs de croissance et de rendement et
les risques associés, et d’autre part lorsqu’elle déploie les ressources adaptées permettant d’atteindre
ces objectifs. Le management des risques comprend les éléments suivants :

ƒ Aligner l’appétence pour le risque avec la stratégie de l’organisation – L’appétence pour le


risque est une donnée que la direction prend en considération lorsqu’elle évalue les différentes
options stratégiques, détermine les objectifs associés et développe le dispositif pour gérer les
risques correspondants.

ƒ Développer les modalités de traitement des risques – Le dispositif de management des risques
apporte une méthode permettant de choisir de façon rigoureuse parmi les différentes options de
traitement des risques que sont : l’évitement, la réduction, le partage ou l’acceptation du risque.

ƒ Diminuer les déconvenues et les pertes opérationnelles – Les organisations améliorent leur
capacité à identifier et traiter les événements potentiels, ce qui leur permet d’atténuer les
impondérables et de diminuer les coûts ou pertes associés.

ƒ Identifier et gérer les risques multiples et transverses – Chaque entité est confrontée à une
multitude de risques affectant différents niveaux de l’organisation. Le dispositif de management
des risques renforce l’efficacité du traitement des impacts en cascade et apporte des solutions
intégrées pour les risques à conséquences multiples.

ƒ Saisir les opportunités – C’est en prenant en compte un large éventail d’événements potentiels
que la direction est le mieux à même d’identifier et de tirer parti des opportunités de façon
proactive.

ƒ Améliorer l’utilisation du capital – C’est en ayant une vision claire des risques de l’organisation
que la direction peut évaluer efficacement les besoins en capitaux et en améliorer l’allocation.

Ces éléments du dispositif de management des risques contribuent à la réalisation des objectifs de
performance et de rentabilité de l’organisation et à la minimisation des pertes. Le dispositif de
management des risques contribue aussi à la mise en place d’un reporting efficace et au respect de la
conformité aux lois et réglementations. Ce faisant, il protège l’image de l’entité et lui épargne les
conséquences néfastes d’une perte de réputation. En bref, grâce au déploiement d’un tel dispositif, une
société est mieux armée pour atteindre ses objectifs et éviter les écueils et les impondérables.
ISCAE 2005-2006 Mémoire de fin d’études Page 45 / 112

Le dispositif de management des risques comprend huit éléments. Ces éléments résultent de la façon
dont l’organisation est gérée et sont intégrés au processus de management. Ces éléments sont les
suivants :

ƒ Environnement interne – L’environnement interne englobe la culture et l’esprit de l’organisation.


Il structure la façon dont les risques sont appréhendés et pris en compte par l’ensemble des
collaborateurs de l’entité, et plus particulièrement la conception du management et son
appétence pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel
l’organisation opère.

ƒ Fixation des objectifs – Les objectifs doivent avoir été préalablement définis pour que le
management puisse identifier les événements potentiels susceptibles d’en affecter la
réalisation. Le management des risques permet de s’assurer que la direction a mis en place un
processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité
ainsi qu’avec son appétence pour le risque.

ƒ Identification des événements – Les événements internes et externes susceptibles d’affecter


l’atteinte des objectifs d’une organisation doivent être identifiés en faisant la distinction entre
risques et opportunités. Les opportunités sont prises en compte lors de l’élaboration de la
stratégie ou au cours du processus de fixation des objectifs.

ƒ Évaluation des risques – Les risques sont analysés, tant en fonction de leur probabilité
d’occurrence que de leur impact, cette analyse servant de base pour déterminer la façon dont
ils doivent être gérés. Les risques inhérents et les risques résiduels sont évalués.

ƒ Traitement des risques – Le management définit des solutions permettant de faire face aux
risques – évitement, acceptation, réduction ou partage. Pour ce faire le management élabore
un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le
seuil de tolérance et l’appétence pour le risque de l’organisation.

ƒ Activités de contrôle – Des politiques et procédures sont définies et déployées afin de veiller à
la mise en place et à l’application effective des mesures de traitement des risques.

ƒ Information et communication – Les informations utiles sont identifiées, collectées, et


communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs
responsabilités. Plus globalement, la communication doit circuler verticalement et
transversalement au sein de l’organisation de façon efficace.

ƒ Pilotage – Le processus de management des risques est piloté dans sa globalité et modifié en
fonction des besoins. Le pilotage s’effectue au travers des activités permanentes de
management ou par le biais d’évaluations indépendantes ou encore par une combinaison de
ces deux modalités.

Le management des risques n’est pas un processus séquentiel dans lequel un élément affecte
uniquement le suivant. C’est un processus multidirectionnel et itératif par lequel n’importe quel élément
a une influence immédiate et directe sur les autres.
ISCAE 2005-2006 Mémoire de fin d’études Page 46 / 112

Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments
du dispositif de contrôle interne qui représentent ce qui est nécessaire à leur réalisation. La relation est
illustrée par une matrice en trois dimensions ayant la forme d’un cube.

Cette représentation illustre la façon d’appréhender le management des risques dans sa globalité ou
bien par catégorie d’objectifs, par élément, par unité ou en les combinant.
Partie supprimée pour des raisons confidentielles