Vous êtes sur la page 1sur 100

Ministère de l’Enseignement REPUBLIQUE TOGOLAISE

TRAVAIL – LIBERTE – PATRIE


Supérieur et de la Recherche

INSTITUT SUPERIEUR DE MANAGEMENT


ADONAI

MAITRISE DES RISQUES


ET CONTROLE INTERNE

Animateur

Gbêtondji Michel GNIMASSOUN


Expert en Systèmes du Pilotage de la Performance des organisations
mgnimassoun@gmail.com

JANVIER 2019
Support du cours de Maîtrise des risques et de contrôle interne

TABLE DES ABREVIATIONS

Abréviations DEFINITIONS

AICPA American Institute of Certifed Public Accountants


Lois relatives aux Nouvelles Régulations Economiques n° 2001-420
NRE
du 15 mai 2001 sur les conventions réglementées et le contrôle interne
Loi de Sécurité Financière sur la transparence financière
LSF
publiée le 02 août 2003
OEC Ordre des Experts Comptables
Commitee Of Sponsoring Organizations of the Treadway
COSO
Commission
IFAC International Federation of Accountants
IFACI Institut de l’Audit Interne
ISA International Standards on Auditing
CA Conseil d'Administration
CS Conseil de surveillance
CNCC Compagnie Nationale des Commissaires aux Comptes (France)
AEC Appréciation de l'Environnement et de Contrôle
FRAP Feuille de révélation et d’analyse de problème
AG Assemblée Générale des Actionnaires

Cours de Monsieur GNIMASSOUN G. Michel Page 2


Support du cours de Maîtrise des risques et de contrôle interne

SOMMAIRE

INTRODUCTION ___________________________________________________________ 4

CHAPITRE 1 : GOUVERNANCE D’ENTREPRISE _________________________________ 5


SECTION 1 : FONDEMENTS THEORIQUES DE LA GOUVERNANCE D’ENTREPRISE __________________ 5
SECTION 2 : DEFINITION ET OBJECTIFS DE LA GOUVERNANCE ______________________________ 6
SECTION 3 : LES PRINCIPES DE LA BONNE GOUVERNANCE D’ENTREPRISE ______________________ 7
SECTION 4 : FONCTIONNEMENT DES ORGANES D’ADMINISTRATION ET DE GESTION ____________ 12
SECTION 5 : AUTRES MECANISMES DE GOUVERNANCE __________________________________ 18

CHAPITRE 2 : LE MANAGEMENT DES RISQUES _______________________________ 21


SESSION 1 : APPROCHE THEORIQUE ET PRATIQUE DU MANAGEMENT DES RISQUES _______________ 22
SESSION 2 : POUR UNE ADOPTION DU MANAGEMENT INTEGRE DES RISQUES DE L’ENTREPRISE 29
SESSION 3 : MANAGEMENT DES RISQUES ET GOUVERNANCE DE L’ENTREPRISE ____________ 40

CHAPITRE 3 : LE CONTROLE INTERNE _______________________________________ 47


SESSION 1 : CADRE CONCEPTUEL DU CONTROLE INTERNE _____________________________ 47
SESSION 3 : CONNAISSANCE DES PROCESSUS DE CONTROLE INTERNE ____________________ 56

CHAPITRE 4 : MISSIONS D’EVALUATION DU CONTROLE INTERNE (AUDIT INTERNE)


________________________________________________________________________ 76
Session 1 : NOTION D’AUDIT INTERNE ___________________________________________ 76
Session 2 : OBJECTIFS DE L’AUDIT INTERNE_______________________________________ 80
Session 3 : Les techniques de l’audit interne ____________________________________ 90

ANNEXES_________________________________________________________________ 95

Cours de Monsieur GNIMASSOUN G. Michel Page 3


Support du cours de Maîtrise des risques et de contrôle interne

INTRODUCTION
Le succès de toute entreprise dépend essentiellement de la qualité de sa
gouvernance et de l’efficacité de son contrôle interne.

Une bonne gouvernance permet de s’assurer que l’entreprise est bien dirigée
et que le pouvoir de direction exercé par les dirigeants est contrôlé dans le
but d’établir des relations de confiance entre les dirigeants et toutes les
parties prenantes.

Les codes de bonne gouvernance ont été introduits en France dans les
années 1990, avec l’adoption de 4 rapports officiels sur la gouvernance
s’appliquant aux acteurs de la place financière de Paris :

- Premier rapport Viénot, 1995


- Deuxième rapport Viénot, 1999
- Rapport Bouton, 2002
- Rapport Medef, 2003.

Depuis cette époque les meilleures pratiques de bonne gouvernance se


répandent dans le monde entier.

Un contrôle interne efficace vise à assurer que les dirigeants maîtrisent ses
activités, que l’entreprise réalise et optimise toutes ses opérations, qu’elle
rend fidèlement compte au moyen d’une information financière fiable et
disponible à temps et qu’elle se conforme aux dispositions légales et
réglementaires.

C’est pour bien comprendre comment une entreprise doit-elle être bien
dirigée d’une part et comment doit-elle maîtriser ses activités, que cette
unité d’enseignement se donne pour objectifs de présenter :

- dans une première partie les fondements théoriques et les principes


d’une bonne gouvernance d’entreprise ainsi que les mécanismes de
fonctionnement des organes de direction et de gestion ;

- dans une deuxième partie : les concepts clefs du contrôle interne ainsi
que la maîtrise des risques majeurs et des meilleures pratiques de
contrôle interne permettant d’améliorer le contrôle interne.

Le but final est de rendre capables ceux qui auront à charge l’exercice du
pouvoir de décision et le pilotage des activités de réussir leurs missions au
sein du management de l’entreprise.

Cours de Monsieur GNIMASSOUN G. Michel Page 4


Support du cours de Maîtrise des risques et de contrôle interne

CHAPITRE 1 : GOUVERNANCE D’ENTREPRISE

SECTION 1 : FONDEMENTS THEORIQUES DE LA GOUVERNANCE D’ENTREPRISE

I. L’entreprise et la création de valeur

L’objectif des entités est de créer de la valeur pour les parties prenantes. Or,
la valeur au sein de l’entreprise s’apprécie grâce aux flux monétaires actuels
et futurs que l’entreprise est en mesure d’engendrer par ses différentes
activités. Or la capacité de celle-ci à générer des flux monétaires actuels et
futurs est conditionnée par les politiques et les décisions prises par ses
responsables.

Dans la définition et la mise en œuvre de ces politiques, le dirigeant joue en


principe un rôle central. Il pèse de façon significative sur le choix des
investissements et est responsable de la gestion de ses relations avec les
parties prenantes impliquées. Or sa position centrale dans le fonctionnement
de l’entreprise l’expose à la tentation d’appropriation à son profit d’une
partie de la richesse créée.

II. La théorie de l’agence et l’asymétrie d’information

De manière générale, les propriétaires de capitaux confient la gestion de


leurs entreprises à des managers/dirigeants salariés dans le cadre d’un
contrat explicite ou implicite appelé relation d’agence. La théorie de
l’agence postule une tendance naturelle du dirigeant salarié (l’agent) à
poursuivre ses intérêts personnels, potentiellement en contradiction avec
ceux des actionnaires (le propriétaire). Les relations entre l’agent et le
propriétaire sont ainsi marquées par un conflit dit d’agence avec une
tendance récurrente du dirigeant salarié :

- à l’appropriation de la richesse de l’entreprise sous forme d’avantages


personnels excessifs,

- à la production d’information financière trompeuse pour perdurer ce


comportement.
Il peut en plus faire rétention d’information, empêchant les différentes parties
prenantes d’apprécier correctement le vrai potentiel de création de valeur
de l’entreprise.

Le dirigeant dispose ainsi d’informations privilégiées qui font que les autres
parties sont dans l’incapacité d’observer avec précision son comportement.
On dit qu’il y a asymétrie d’information.

Cours de Monsieur GNIMASSOUN G. Michel Page 5


Support du cours de Maîtrise des risques et de contrôle interne

Création de valeur et répartition de richesse sont donc étroitement liées. La


mise en place de mécanismes de surveillance vise à réduire cette asymétrie
d’information, exposant ainsi l’agent malhonnête ou négligent à des
sanctions.

III. Le conseil d’administration comme réducteur du conflit d’agence

Fama et Jensen, (1983) analysent le rôle du conseil d’administration comme


un mécanisme réducteur du conflit d’agence et donc créateur de valeur. En
effet, ils expliquent que l’exercice du pouvoir de décision au sein de
l’entreprise comporte deux dimensions à savoir :

1. la gestion de la décision (decision management) : initiative de la


décision et mise en œuvre.

2. le contrôle de la décision (decision control) : ratification de la décision


et sa surveillance.

Ainsi, le processus décisionnel d’une entreprise est caractérisé par quatre (4)
étapes :

Séquences du processus Dimension Organe

1 l'initiative de la décision Gestion Dirigeants

2 la ratification de la décision Contrôle Conseil d'administration

3 la mise en œuvre de la décision Gestion Dirigeants

4 la surveillance de l'exécution Contrôle Conseil d'administration


Source : Fama et Jensen (1983)

SECTION 2 : DEFINITION ET OBJECTIFS DE LA GOUVERNANCE

Née aux Etats-Unis et en Grande Bretagne, la gouvernance d’entreprise s’y


est développée à la suite de faillites et de scandales, et les pratiques de
bonne gouvernance ont été introduites partout dans le monde à partir des
années 2000.

I. Définition de la gouvernance d’entreprise

La gouvernance d’entreprise peut être définie comme le système


d’organisation des pouvoirs de direction et de contrôle, susceptible de
contribuer à l’amélioration de la création de valeur pour l’entreprise par la

Cours de Monsieur GNIMASSOUN G. Michel Page 6


Support du cours de Maîtrise des risques et de contrôle interne

réduction du conflit d’agence, notamment par l’instauration de mécanismes


de contre-pouvoir face au dirigeant salarié.

La définition qui domine de nos jours la littérature financière est due à Shleifer
et Vishny (1997) pour qui « la gouvernance recouvre l’ensemble des
mécanismes qui garantissent aux différents bailleurs de fonds un retour sur
investissement en évitant une appropriation de la valeur par le dirigeant et les
actionnaires dominants ». Une telle définition met l’accent sur les mécanismes
d’incitation et de contrôle du dirigeant au profit des investisseurs, et,
notamment, des actionnaires.

II. Objectifs de la bonne gouvernance d’entreprise

Les objectifs de la bonne gouvernance d’entreprise sont précis :

- assurer l’efficacité des structures de gouvernance : dirigeants


opérationnels, conseil d’administration, assemblées des actionnaires,
grâce à un exercice équilibré des pouvoirs, en un mot, assurer que
l’entreprise est bien dirigée et contrôlée ;

- établir et faire fonctionner les mécanismes de contrôle : auditeurs,


comités spécialisés du conseil d’administration dans le but d’établir des
rapports de confiance entre dirigeants et investisseurs.

SECTION 3 : LES PRINCIPES DE LA BONNE GOUVERNANCE D’ENTREPRISE

Sept principes sous-tendent la bonne gouvernance d’entreprise :

1. la forme juridique de l’entreprise,


2. la responsabilité et l’intégrité des dirigeants et des
administrateurs
3. l’indépendance du conseil d’administration
4. la transparence et la divulgation de l’information
5. le respect des droits des actionnaires
6. la vision stratégique à long terme
7. la traduction des principes en code de conduite

I. Forme juridique

La forme juridique est un critère primordial d’appréciation de la


bonne gouvernance, car elle touche au fonctionnement de la
société, notamment au mode de répartition des pouvoirs entre les
actionnaires (associés), la direction et le conseil d’administration.

Cours de Monsieur GNIMASSOUN G. Michel Page 7


Support du cours de Maîtrise des risques et de contrôle interne

Les études révèlent une majorité d’entreprises fonctionnant avec


un conseil d’administration. Elles demeurent encore peu
nombreuses en France fonctionnant avec un Directoire et un
Conseil de surveillance. La dissociation des fonctions de Président
du Conseil d’Administration et de Directeur général,
généralement considérée comme un facteur de bonne
gouvernance, et prônée par les rapports Viénot II et Bouton
commence par être observée dans la plupart des sociétés
anonymes françaises.

L’étude de l’actionnariat révèle ensuite que plusieurs sociétés


peuvent être qualifiées de familiales, car contrôlées par un
actionnaire de référence, souvent le chef de famille qui détient
souvent jusqu’à plus de la majorité du capital social. D’autres ont
un capital très dispersé et largement ouvert. La part ainsi détenue
par le public est appelée actionnariat flottant. Par ailleurs, on note
dans certains pays la présence de l’Etat dans le capital social.

II. Responsabilité et intégrité des dirigeants et des


administrateurs

La responsabilité recouvre au moins trois dimensions :

- avoir le pouvoir de prendre des décisions,


- être garant des choses dont on a la charge et répondre des
conséquences de ses décisions et de ses actes.
- rendre compte de ses décisions et de ses actes.

Ainsi, la responsabilité recouvre à la fois un comportement et une


situation juridique. Un dirigeant responsable est quelqu’un sur qui
l’on peut compter et quelqu’un qui rend compte.

Pour leur part, les administrateurs sont responsables de la qualité


des décisions et de leur efficacité, y compris de l’exécution des
stratégies de l’entreprise. Ils font la preuve de cette responsabilité
quand ils mettent en place des mécanismes pour répondre aux
attentes des actionnaires et rendent compte de leur application
et de leurs résultats dans le rapport annuel et au cours de
l’assemblée générale des actionnaires.

Cours de Monsieur GNIMASSOUN G. Michel Page 8


Support du cours de Maîtrise des risques et de contrôle interne

Le principe d’intégrité a été récemment ajouté par les textes


français, notamment par le rapport Bouton (2002) parmi les
qualités attendues des dirigeants. En effet, l’intégrité et la probité
vont de soi, en particulier pour ceux à qui le sort d’une entreprise,
de ses employés et de l’investissement des actionnaires a été
confié. L’éthique des dirigeants est également mise en avant afin
d’éviter les abus.

III. Indépendance et compétence du conseil d’administration

Le rôle du conseil d’administration est d’influencer l’action du


dirigeant de deux façons. Ce mécanisme va jouer d’abord un rôle
de facilitateur (de conseil), aidant ainsi le dirigeant dans ses choix,
surtout dans le repérage des meilleurs projets stratégiques. L’autre
rôle du conseil d’administration est d’assumer une fonction de
surveillance des actions menées par le dirigeant opérationnel.

Afin d’établir un jugement objectif par rapport à celui des


dirigeants opérationnels, le conseil d’administration doit construire
son indépendance sans supprimer sa responsabilité collégiale et
collective.

A quoi reconnaît-on un conseil d’administration indépendant ? A


la définition qu’il retient et applique de l’indépendance, mais aussi
plus correctement à la place accordée aux administrateurs
indépendants, à l’existence et à la composition de comités
spécialisés, au rôle qu’y jouent les administrateurs indépendants et
à la répartition des pouvoirs entre le président et le conseil
d’administration.

Un administrateur ne peut être qualifié d’indépendant que si le


conseil d’administration a établi qu’il n’a aucune relation
matérielle avec l’entreprise directement ou comme partenaire,
actionnaire ou comme employé d’une organisation liée à
l’entreprise. Un conseil peut adopter des normes d’indépendance,
il doit alors les divulguer (disclose) et dire que les administrateurs
sont en conformité avec ces normes.

Si un administrateur ne l’est pas, le conseil doit expliquer pourquoi.


Pour être indépendant, il faut avoir cessé depuis au moins cinq

Cours de Monsieur GNIMASSOUN G. Michel Page 9


Support du cours de Maîtrise des risques et de contrôle interne

ans toute relation personnelle ou à travers un membre de sa


famille avec l’entreprise.

La conception, la reconnaissance et le choix de bons projets


stratégiques requièrent de la part des administrateurs des
compétences techniques particulières, au-delà du critère
d’indépendance souligné par les principes.

Alors que les rapports Viénot 1 et Viénot 2 insistent sur


l’indépendance des administrateurs, celui de l’Institut Montaigne
met en avant la compétence, l’expérience et l’implication des
administrateurs dans les travaux du conseil. Ces qualités peuvent
être complétées par un engagement personnel et public de
l’administrateur avec une déclaration des liens, présents ou passés
avec l’entreprise et/ou sa direction. L’Institut Montaigne estime
qu’une telle mesure constitue plutôt une meilleure garantie
d’indépendance.

IV. La transparence et la divulgation (disclosure) de


l’information

La double exigence de transparence des dirigeants envers le


conseil d’administration et du conseil d’administration vis-à-vis des
actionnaires est un des principes de base du gouvernement
d’entreprise. Cette notion d’origine anglo-saxonne a été
renforcée dans les principes français du gouvernement
d’entreprise par le rapport Bouton et fait partie de loi de sécurité
financière (LSF).

Le rapport Bouton réaffirme que « la principale régulation doit


provenir de la transparence : entre l’exécutif et le conseil
d’administration d’abord, transparence de la gestion vis-à-vis du
marché ensuite et enfin transparence dans la relation avec les
actionnaires, notamment à l’occasion de l’assemblée générale,
lieu de décision, mais aussi moment où les organes de direction
rendent compte de l’activité de l’entreprise ainsi que du
fonctionnement du conseil d’administration et des comites
spécialisés… occasion d’un dialogue sincère et ouvert avec les
actionnaires ».

Cours de Monsieur GNIMASSOUN G. Michel Page 10


Support du cours de Maîtrise des risques et de contrôle interne

La transparence ne se limite pas à donner de l’information. Elle


oblige à décrire dans le rapport annuel les mécanismes retenus
pour prendre les principales décisions, à indiquer l’usage qui en a
été fait et les décisions finalement prises.

V. Le respect des droits des actionnaires

La responsabilité des conseils d’administration à l’égard des


actionnaires s’incarne dans l’exercice du droit de vote dans les
AG. Les principes du gouvernement d’entreprise portent non
seulement sur les droits à l’information des actionnaires, mais
encore sur les droits d’influencer les décisions (par exemple à être
consultés sur le choix des membres du conseil d’administration et
des auditeurs).

Les actionnaires doivent pouvoir jouer un rôle dans les grandes


décisions stratégiques de l’entreprise, en particulier lors des offres
publiques d’achat (OPA). Ils doivent tous pouvoir s’exprimer
aisément dans les assemblées générales avec un poids
comparable, grâce à des méthodes de vote simples et efficaces.
Les droits économiques des actionnaires minoritaires doivent aussi
être respectés. Pour tous, une action égale à la fois un droit de
vote et un dividende. Respecter les droits des actionnaires, c’est
aussi un moyen de renforcer l’affectio societatis.

VI. Une vision stratégique à long terme pour valoriser


l’investissement des actionnaires.

Les promoteurs du gouvernement d’entreprise demandent aux


dirigeants et administrateurs une vision stratégique privilégiant la
croissance de l’entreprise sur le long terme. Ils engagent les
dirigeants à résister à la pression du court terme. C’est ainsi que les
grands investisseurs institutionnels qui sont des investisseurs de long
terme tels que les fonds de pensions, sont parfois détenteurs de
participations relativement importantes dans une même société,
apportent aux dirigeants et au conseil d’administration des
moyens pour corriger rapidement les mauvaises performances et
de faire progresser le cours de leurs actions sur le long terme.

Cours de Monsieur GNIMASSOUN G. Michel Page 11


Support du cours de Maîtrise des risques et de contrôle interne

VII. Un code de conduite

Rédigés par de grands investisseurs institutionnels, les autorités de


marché, des commissions gouvernementales ou des associations
de dirigeants, les codes convergents se sont multipliés ces
dernières années sur tous les continents pour préciser les règles du
gouvernement d’entreprise s’appliquant aux sociétés cotées et
même aux sociétés non cotées. C’est par exemple le règlement
intérieur ou la charte d’administrateur.

SECTION 4 : FONCTIONNEMENT DES ORGANES D’ADMINISTRATION ET DE GESTION

Nous étudierons dans cette partie les meilleures pratiques de


bonne gouvernance relatives aux missions et au fonctionnement
des organes d’administration et de direction des entreprises.
L’efficacité d’un conseil d’administration dépend de la qualité du
dialogue entre les administrateurs. Elle dépend également de la
composition, de la sélection de ses membres et de l’équilibre des
pouvoirs entre le président et le conseil.

I. La mission du conseil d’administration

La mission du conseil est triple :

- validation de la stratégie,
- contrôle de la gestion et de la performance du dirigeant
exécutif
- transparence de l’information.

1. Validation de la stratégie,

Les investisseurs institutionnels exigent que le conseil


d’administration revoie et approuve le plan stratégique de
l’entreprise et surveille sa mise en œuvre. Le champ que couvre la
stratégie est large : il s’agit des opérations de croissance
(investissements et acquisitions), de cessions, de restructurations,
des questions de financement, d’endettement et de trésorerie.

Cours de Monsieur GNIMASSOUN G. Michel Page 12


Support du cours de Maîtrise des risques et de contrôle interne

L’existence d’un comité stratégique n’empêche pas que le débat


entre dirigeants soit étendu à tous les administrateurs.

La conception, la reconnaissance et le choix de bons projets


stratégiques requièrent en effet des compétences pertinentes en
matière de maîtrise des métiers et des marchés.

2. Contrôle de la gestion et de la performance du dirigeant


exécutif

Cette mission essentielle de contrôle n’est possible que si les


administrateurs sont compétents, suffisamment informés et se
réunissent de façon fréquente. Dans les conseils responsables, les
administrateurs examinent non seulement les rapports publiés sur
l’entreprise, mais aussi les plans d’actions et les rapports
périodiques mensuels ou trimestriels d’activité.

3. Obligation de transparence vis-à-vis des actionnaires et du


marché

La responsabilité du conseil d’administration est de veiller à ce


que l’information sur la réalité financière de l’entreprise soit
diffusée en direction des actionnaires et des marchés, ainsi que les
événements qui peuvent influencer la position concurrentielle de
l’entreprise, son chiffre d’affaires ou sa rentabilité. En outre, le
conseil d’administration détient la responsabilité de la
présentation et de l’arrêté des états financiers.

II. Composition du conseil d’administration

Pour assumer efficacement sa mission, le conseil d’administration


devrait comprendre une dizaine de membres disponibles,
compétents, actifs et en majorité indépendants des dirigeants.

1. La taille optimale du conseil

La taille raisonnable pour permettre de vrais débats au sein du


conseil se situe entre six et douze membres. Le Conseil
d’administration de Microsoft n’en compte que huit.

Cours de Monsieur GNIMASSOUN G. Michel Page 13


Support du cours de Maîtrise des risques et de contrôle interne

2. La fréquence de réunion du conseil

La fréquence souhaitable de réunions est de quatre au minimum


par an (une par trimestre). Elle atteint six voire plus dans les
grandes sociétés cotées. Les réunions seront facilitées dans
l’avenir, car la loi NRE permet de tenir des conseils par téléphone
ou par visioconférence.

3. L’exigence d’administrateurs indépendants augmente

La présence d’administrateurs indépendants est au cœur de la


bonne gouvernance d’entreprise. Leur indépendance permet de
mieux évaluer la performance de l’entreprise, avec plus
d’objectivité et de compétence.

4. L’élection et la durée des mandats des administrateurs

Les administrateurs sont élus par l’Assemblée Générale des


actionnaires sur proposition du conseil d’administration. Pour
éclairer la décision des actionnaires, une information suffisante sur
leurs références et expériences ainsi que leurs autres fonctions est
communiquée aux actionnaires lorsque l’assemblée est saisie
d’une nomination. En France, comme dans l’espace OHADA, les
mandats sont de six ans, alors que la tendance au niveau des
meilleures pratiques de gouvernance est de les réduire à trois ou
quatre ans.

5. Les outils du conseil d’administration

Trois grands outils précisent le fonctionnement du conseil


d’administration : le règlement intérieur, la charte de
l’administrateur et le rapport annuel, véhicule principal de
l’information aux actionnaires. Ils aident le conseil à remplir sa
mission de transparence.

Le règlement intérieur et la charte de l’administrateur sont deux


éléments clés dans la formalisation de la mise en œuvre du
gouvernement d’entreprise. Ces deux documents peuvent être
réunis en un seul : code du gouvernement d’entreprise. Le rapport
Bouton en fait un outil important de la transparence. Il

Cours de Monsieur GNIMASSOUN G. Michel Page 14


Support du cours de Maîtrise des risques et de contrôle interne

recommande que ce document précise le rôle du CA dans les


décisions stratégiques, les attributions et les modalités de
fonctionnement des comités spécialisés, ainsi que les méthodes
d’évaluation annuelle du conseil. Inséré ou non dans le règlement
intérieur, la charte de l’administrateur précise les droits et surtout
les devoirs des administrateurs. En général, il aborde les points
suivants :

- la connaissance et la compétence, la formation et


l’information de l’administrateur,
- la défense de l’intérêt social et la loyauté,
- le devoir de s’exprimer, d’être indépendant d’esprit,
- la confidentialité,
- la disponibilité et l’assiduité,
- les conflits d’intérêts,
- la détention d’un minimum d’actions
- l’observation des règles concernant les transactions sur les
titres détenus,
- éventuellement, les critères d’attribution des jetons de
présence.

III. Le travail des comités spécialisés

Les recommandations sur la gouvernance d’entreprise


préconisent la création de trois comités spécialisés : le comité
d’audit, le comité des nominations et le comité des
rémunérations. Certains conseils d’administration de sociétés
cotées créent en plus un comité stratégique, un comité de
surveillance de l’application des règles (compliance) et encore un
comité de divulgation (disclosure).

Les comités spécialisés du conseil ne peuvent en aucun cas se


substituer au conseil lui-même. Le conseil d’administration est un
organe collégial qui doit prendre ses décisions de façon
collective. C’est pour assurer la qualité de ses décisions qu’il les
fait préparer par ces comités.

1. Le comité d’audit appelé aussi comité des comptes

Cours de Monsieur GNIMASSOUN G. Michel Page 15


Support du cours de Maîtrise des risques et de contrôle interne

Il détient une double responsabilité : celle de l’arrêté des comptes


d’une part et celle de la connaissance des risques de l’entreprise
d’autre part. Il doit se donner les moyens d’assumer cette charge
en adoptant des règles de fonctionnement approuvées par le
conseil d’administration sur les cinq points ci-après :

- la composition et l’indépendance,
- l’obligation de transparence
- les rôles vis-à-vis de l’arrêté des comptes,
- les commissaires aux comptes et
- les auditeurs internes.

A l’évidence, les administrateurs présents au comité d’audit ont


l’obligation de comprendre les spécificités financières et
comptables de l’activité de la société. Si ce n’était pas le cas, ils
doivent suivre une formation adaptée. Ils doivent en particulier
être aptes à percevoir et à comprendre les risques spécifiques que
peut courir l’entreprise du fait de ses métiers et de son
environnement.

2. Le comité des rémunérations

Par souci de confidentialité, les rémunérations des mandataires


sociaux ont toujours été décidées par un comité restreint du
conseil d’administration. Le comité des rémunérations propose au
conseil d’administration les rémunérations des dirigeants (partie
fixe et partie variable) ainsi que le montant et les critères de leur
fixation (indemnités des jetons de présence. Sa démarche est
d’assurer la cohérence de ces rémunérations avec les critères
d’évaluation de la performance et les objectifs stratégiques de
l’entreprise à moyen et long terme.

3. Le comité des nominations

Ce comité, appelé aussi du gouvernement d’entreprise, exerce


une triple mission devant le conseil d’administration :

- la sélection et la proposition des administrateurs non


dirigeants,

Cours de Monsieur GNIMASSOUN G. Michel Page 16


Support du cours de Maîtrise des risques et de contrôle interne

- la préparation du plan de succession des dirigeants, et

- l’évaluation annuelle des administrateurs au regard des


critères de nomination retenus.

IV. Le Président du Conseil d’administration et le Directeur


général

1. Le Président du Conseil d’administration

Le PCA représente le conseil d’administration et veille au bon


fonctionnement de l’ensemble des organes : AG, CA, comités
spécialisés etc…

Il propose l’ordre du jour des réunions du conseil d’administration


et dirige les débats.

Le PCA rédige un rapport annuel sur le contrôle interne.

2. Le Directeur général

Principal organe de direction et de gestion de la société, le


directeur général est une personne physique choisie ou non parmi
les membres du conseil d’administration.

Il est nommé par le conseil d’administration sur proposition du


PCA. Il est chargé d’assister le PCA. Il n’est pas nécessairement
actionnaire et dispose des mêmes pouvoirs que le PCA, mais il lui
est subordonné.

Le CA est l’organe de contre-pouvoir chargé de surveiller et de


contrôler la gestion du dirigeant opérationnel.

V. L’Assemblée générale des actionnaires

Les actionnaires possèdent des droits parce qu’ils prennent des


risques. Ils investissent leur épargne dans les entreprises. Ce faisant,
ils s’exposent à la perte de leur capital car ils ne seront payés

Cours de Monsieur GNIMASSOUN G. Michel Page 17


Support du cours de Maîtrise des risques et de contrôle interne

qu’après tous les créanciers en cas de faillite. En échange, ils ont


droit :

- à une rémunération (une action = un dividende),


- à être informés sur la situation réelle de leur investissement et
sur la façon dont il est géré (c’est le devoir de transparence
des dirigeants et du conseil),
- de faire valoir leur point de vue sur les décisions importantes,
celles qui peuvent avoir un impact sur leur investissement
(une action = un droit de vote).

En contrepartie de ces droits, les actionnaires ont le devoir de


s’impliquer et de participer aux assemblées générales et d’y voter.
Les actionnaires individuels sont les plus stables, mais leur poids ne
cesse de diminuer au profit des investisseurs institutionnels plus
volatiles. L’enjeu est de redonner confiance aux actionnaires
personnes physiques et de motiver les investisseurs institutionnels en
faveur d’un horizon d’investissement plus long.

Les dirigeants et le conseil d’administration doivent se montrer


transparents vis-à-vis des actionnaires. Pour remplir cet
engagement, ils disposent d’une panoplie d’outils d’information et
de communication de plus en plus étendus : le rapport annuel en
premier lieu, mais aussi le bulletin de convocation à l’assemblée
générale. Ils doivent être envoyés à temps avant l’assemblée
générale.

D’autres outils se sont développés : les réunions d’actionnaires, les


sites internet, les journaux ou les lettres aux actionnaires ainsi que
les annonces faites en direction des marchés. Des sociétés
comme France Télécom ou Danone mettent aussi en place et
diffusent largement au public des numéros verts d’appels gratuits
pour l’appelant pour répondre aux interrogations des actionnaires.

SECTION 5 : AUTRES MECANISMES DE GOUVERNANCE

I. Nouvelle structure d’administration

Cours de Monsieur GNIMASSOUN G. Michel Page 18


Support du cours de Maîtrise des risques et de contrôle interne

En raison de la séparation des fonctions de gestion des décisions


de celles de contrôle des décisions, la présidence du conseil n’est
plus assurée par le même dirigeant opérationnel, sauf dans les
entreprises de petite taille (Fama et Jensen, 1983).

On distingue dans les SA avec Directoire et conseil de


surveillance deux (2) organes bien distincts :

- Conseil de surveillance (contrôle)


- Directoire (fonction de gestion)

La SA peut ainsi être administrée par deux organes : le Directoire


et le Conseil de surveillance, une organisation bicamérale à deux
niveaux, inspirée du droit allemand. Il s’agit de :

- Organe de gestion : Directoire avec un Président avec pour


rôle d’assurer la bonne gestion de l’entreprise. C’est le
dirigeant opérationnel.

- Organe de contrôle : Conseil de surveillance de 3 à 18


membres avec un Président avec pour rôle de contrôler le
directoire et de veiller à la bonne gestion. Ils doivent se réunir
au moins 1 fois tous les 3 mois. Ils élisent en leur sein un
président.

II. Mesures d’incitation des dirigeants

Les rémunérations des mandataires sociaux ont toujours été


décidées par un comité restreint du conseil d’administration
(Comité rémunérations).

Le comité des rémunérations propose au conseil d’administration


les rémunérations des dirigeants (partie fixe et partie variable) ainsi
que le montant et les critères d’attribution des jetons de
présence.

Sa démarche est d’assurer la cohérence de ces rémunérations


avec les critères d’évaluation de la performance et les objectifs
stratégiques de l’entreprise à moyen et long terme afin d’éviter
tout abus et tout excès en cette matière.

Cours de Monsieur GNIMASSOUN G. Michel Page 19


Support du cours de Maîtrise des risques et de contrôle interne

III. Mécanismes externes de contrôle des dirigeants

Les organes externes de contrôle des dirigeants sont :

- Le Commissaire aux comptes ou auditeur légal, il est prévu le


principe de rotation des contrôleurs légaux
- Les entreprises de comptabilité
- Les établissements de crédit et les banques
- Les Avocats d’affaires
- Les Autorités de surveillance
- La presse financière
- Les Pouvoirs judiciaires et autres pouvoirs publics
- Les investisseurs institutionnels sont aussi des promoteurs de
meilleures pratiques de bonne gouvernance.

Cours de Monsieur GNIMASSOUN G. Michel Page 20


Support du cours de Maîtrise des risques et de contrôle interne

CHAPITRE 2 : LE MANAGEMENT DES RISQUES

Tout le monde s’accorde pour affirmer que les entreprises évoluent dans un
environnement de plus en plus incertain, de plus en plus mouvant. En effet, la
mondialisation, avec son corollaire, la complexification des activités et des
réglementations, a rendu floues les frontières entre l’entreprise et ses sous-
traitants. Les fusions-acquisitions-cessions ont accentué cette impression
d’instabilité quasi générale. Les anciens modèles organisationnels ne
correspondent plus aux enjeux actuels. L’entreprise doit faire face à
l’émergence des risques de plus en plus nombreux et diversifiés. Selon U. Beck
(2001 ; 1986) U. Beck, A. Giddens et S. Lash (1994) nous sommes rentrés dans
la société ou dans l’ère du risque. Face à cet environnement de « moins en
moins prévisible et de plus en plus agressif », susceptible de compromettre
l’atteinte des objectifs des entreprises, il devient urgent pour toutes les
organisations de mettre en place un dispositif de management des
risques  consistant à identifier, évaluer et gérer les risques aussi bien réels que
potentiels.
La gestion des risques est comme la strate intermédiaire de la structure de
gouvernance et vise :
- à détecter et à la maîtriser les risques susceptibles d’entraver la réussite
de l’organisation,
- à exploiter les opportunités susceptibles de conduire à cette réussite.
Le management élabore des stratégies afin d’optimiser la gestion des
principaux risques et opportunités. Les activités de gestion des risques doivent
suivre la direction donnée par la structure de gouvernance.
Le présent chapitre a pour objectif de définir d’une part, le risque et le
management des risque de l’entreprise et d’autre part la relation entre la
gouvernance et le management des risques de l’entreprise.

Cours de Monsieur GNIMASSOUN G. Michel Page 21


Support du cours de Maîtrise des risques et de contrôle interne

SESSION 1 : APPROCHE THEORIQUE ET PRATIQUE DU MANAGEMENT DES RISQUES

Les entreprises ont toujours été exposées à des risques. Il est important,
avant de situer ces risques dans leur nature et dans une perspective
historique, de dégager une définition du management des risques.

I. Définition du management des risques de l’entreprise


Le Management des risques est synonyme de management des risques des
Affaires, du management holiste des risques ou du management stratégique
des risques (Simons 2000).

Selon le Committee of Sponsoring organizations of the Treadway


Commission (COSO II report, 2004) prolongement du COSO Report I (1992),
« The enterprise Risk Management- Integrated Framework » traduit en français
par : « Le management des risques de l’entreprise » (IFACI et PriceWaterhouse
Coopers Landwell, 2005, p. 5) est défini comme étant « un processus mis en
œuvre par le conseil d’administration, la direction générale, le management
et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans
l’élaboration de la stratégie ainsi que dans toutes les activités de
l’organisation. Il est conçu pour identifier les évènements potentiels
susceptibles d’affecter l’organisation et pour gérer les risques dans les limites
de son appétence pour le risque. Il vise à fournir une assurance raisonnable
quant à l’atteinte des objectifs de l’organisation ». Il s’agit donc d’une
approche rigoureuse de l’évaluation et du repérage de tous les risques
menaçant l’atteinte des objectifs stratégiques d’une organisation et implique
tous les membres de l’organisation et ce, à tous les niveaux. Cette approche
globale des risques est perceptible à travers les catégories d’objectifs que
poursuit le management des risques d’entreprise à savoir : les objectifs
stratégiques, opérationnels, reporting et de conformité. Elle vise également à
rattacher les objectifs aux différentes catégories permettant ainsi au
mangement de se concentrer sur les différents aspects des risques

Cours de Monsieur GNIMASSOUN G. Michel Page 22


Support du cours de Maîtrise des risques et de contrôle interne

organisationnels et non plus sur une seule catégorie des risques comme dans
l’approche traditionnelle.

II. La nature du risque et l’approche traditionnelle


Pendant longtemps, l’entrepreneur a été défini comme celui qui prenait le
risque d’entreprendre, celui qui risquait son capital et qui était rémunéré pour
cela. P. Drucker (1973, p. 512), met en garde contre toute tentative
d’élimination des risques. Selon lui, « essayer d’éliminer les risques, tenter
même de les diminuer… peut aboutir au plus grand de tous les risques : la
rigidité ». Il définit les décisions managériales comme des décisions de prise
de risques et suggère même qu’une stratégie pour l’innovation soit basée sur
une acceptation claire des risques d’échec. Il s’agit d’une prise de
conscience selon laquelle les risques sont inhérents à toute entreprise. C’est
ce qui justifie également la souscription des polices d’assurance par les
entreprises visant à les couvrir contre des pertes qui pouvaient être causées
par des incendies, vols, inondations, tremblements de terre notamment. De
même, des contrats d’assurance étaient souscrits pour se protéger contre la
perte d’un associé ou d’un dirigeant important. Certains risques liés à
l’investissement ou à un prêt étaient transférés à d‘autres parties. Sur le plan
budgétaire, l’approche traditionnelle reconnaît l’incertitude qui entoure
toute prévision de coûts et de revenus et a préconisé, à ce titre, la
rationalisation des choix budgétaires. Dans le cas d’un projet
d’investissement, pour tenir compte du facteur temps et donc du niveau de
risque pesant sur les flux de trésorerie, il est souvent fait appel à un taux
d’actualisation des revenus futurs. Une autre technique consiste à faire appel
à une analyse de la sensibilité afin d’aboutir à une échelle de valeurs variant
d’optimiste à pessimiste. Les probabilités et la simulation de Monte-Carlo ont
aussi été utilisées comme méthodes d’analyse de risques dans les décisions
d’investissement de capital. Depuis de nombreuses années, des méthodes
de production, de conditionnement et de distribution ont abouti à des
changements significatifs dans la protection face à des risques tels que des
pertes durant le transit, le sabotage par les employés et la contrefaçon. R.N.

Cours de Monsieur GNIMASSOUN G. Michel Page 23


Support du cours de Maîtrise des risques et de contrôle interne

Anthony, J. Dearden et V. Govindarajan (1992) considèrent, eux aussi, que la


poursuite du profit d’une organisation peut être limitée par la volonté du
management de ne pas prendre des risques. En effet, il est possible que la
politique managériale vise à préserver les actifs de l’entreprise et que
l’objectif du profit y soit subordonné. L’appétence pour le risque dépend de
la personnalité même des managers. L’environnement dans lequel évoluent
les entreprises est porteur de risques. Par conséquent, le développement, la
survie de l’entreprise passe aussi par l’acceptation par l’entreprise d’une prise
de risques. Les approches traditionnelles du management des risques, malgré
leur mérite, avaient pour caractéristique, d’être fragmentées. Elles ne
semblent donc plus correspondre aux enjeux et aux risques associés au
nouvel environnement économique. En effet, Les clients exigent des produits
et services de qualité supérieure et à des prix très compétitifs. Les investisseurs
attendent des dirigeants de plus en plus de performances financières
exceptionnelles. La faillite de certains organismes américains d’épargne et
de prêt dans les années 1980 est largement imputable à une mauvaise
approche des risques encourus par les dirigeants des mêmes organismes. De
même, l’effondrement financier en Asie durant la dernière décennie dans le
secteur des hautes technologies, est la conséquence d’une politique
inadaptée de management de risques. La dérégulation gouvernementale a
créé un climat universel favorable à l’investissement et aux échanges
internationaux. Les entreprises ne peuvent plus appréhender le management
des risques sous le seul prisme national. Aujourd’hui une société qui ne
parvient pas à manager efficacement les risques et qui éprouve des
difficultés financières va ébranler la confiance accordée par les investisseurs
nationaux et internationaux. La conjugaison de tous ces facteurs invite à une
approche systémique, intégrée et structurée du management des risques de
l’entreprise.

III. Le management des risques de l’entreprise : les enjeux


L’objectif principal du Management des risques de l’entreprise est d’accroître
la confiance et de contribuer à créer de la valeur pour les actionnaires. Tout

Cours de Monsieur GNIMASSOUN G. Michel Page 24


Support du cours de Maîtrise des risques et de contrôle interne

l’édifice repose fondamentalement sur ce principe. Mais, satisfaire les


actionnaires passe d’abord par une meilleure utilisation des ressources de
l’entreprise. Le management des risques de l’entreprise aide également à la
prise de décision en identifiant les zones porteuses des risques majeurs et en
suggérant des plans d’actions pour y remédier. Il est attendu aussi du
management des risques de l’entreprise qu’il contribue à instaurer la
confiance auprès des investisseurs grâce à la mise à plat des processus
métier de l’entreprise afin d’identifier les éventuels dysfonctionnements ou les
activités sensibles au regard des objectifs clés de l’entreprise.

Une véritable politique de management des risques offre à l’entreprise


plusieurs avantages. En effet, selon le COSO II Report (2005, p. 42), l’adoption
d’un management des risques de l’entreprise peut procurer plusieurs
avantages. En effet le management des risques permet de distinguer « le
niveau de risque global qu’une entreprise accepte de prendre pour
répondre à son objectif de création de valeur ». Cette appétence pour le
risque est également prise en compte dans la définition de la stratégie dans
la mesure où les résultats de la stratégie doivent être en ligne avec
l’appétence de l’organisation pour le risque. Le dispositif de management
des risques de l’entreprise aide ainsi la direction à déterminer une stratégie
correspondant à l’appétence de l’organisation pour le risque. Un lien est alors
établi entre la croissance, le risque et le résultat et permet à une entité
d’identifier, d’évaluer le risque et d’en établir des niveaux acceptables
compatibles avec les objectifs fixés par l’entreprise. Cela suppose que le
management des risques passe non seulement par une phase
d’identification mais aussi d’évaluation des risques. Les risques peuvent être
classés en plusieurs catégories. On peut distinguer les risques stratégiques,
opérationnels, informationnels et réglementaires. K. Lajili et D. Zéghal (2005)
distinguent quant à eux plusieurs catégories de risques que nous reproduisons
dans le tableau 1. Si les risques sont identifiés, Il convient de les qualifier selon
deux critères : la probabilité de survenance et l’impact en cas de
survenance. L’impact pourra être apprécié selon plusieurs paramètres :

Cours de Monsieur GNIMASSOUN G. Michel Page 25


Support du cours de Maîtrise des risques et de contrôle interne

impact financier, humain, impact sur l’image de l’entreprise. Généralement, il


est souvent fait appel à la cotation selon une échelle de type :
faible/moyen/élevé. La combinaison du critère 1 (probabilité d’occurrence)
et du critère 2 (impact) permet d’attribuer au risque considéré une cotation
globale. Ainsi le management des risques permet une meilleure
connaissance et une bonne compréhension de l’impact du risque en cas de
survenance. Après l’identification et l’évaluation des risques, la direction peut
alors adopter une stratégie appropriée parmi les cinq stratégies de gestion
de risques suivantes : l’évitement, la prévention, la réduction de l’impact, le
partage et l’acceptation du risque. Le choix d’une stratégie nécessite de
chiffrer le rapport coût/bénéfice de chacune des stratégies possibles. Ainsi
une entreprise qui aura pour objectif de se développer à l’international, ne
pourra pas mettre en œuvre une stratégie d’évitement du risque d’échange.
Par ailleurs, le management des risques, grâce à la qualité des informations
qu’il produit, oriente mieux les besoins en capitaux et leur meilleure
allocation. Toutes ces raisons militent en faveur de l’adoption d’un
management intégré des risques de l’entreprise.

Tableau n° 1 : Catégories de risques auxquels l’entreprise fait face

Cours de Monsieur GNIMASSOUN G. Michel Page 26


Catégories de risques Nature du risque

Risque financier : changements dans le taux d’intérêt, le change, le


crédit, la valeur de l’instrument financier et la liquidité.
Risque financier (de change, opérationnel, de marché, Risque opérationnel : défauts techniques, accidents, erreurs
de crédit, de taux d’intérêt) humaines, perte d’employés clés.
Risque du marché : changements dans la concurrence, dans le
nombre de produits vendus par client, perte de parts de marché.

Changement dans le contrôle, la réglementation, les législations


Risque lié à la réglementation gouvernementale
nationales et internationales

Risque économique Changements dans les facteurs macroéconomiques.

Risque de matières premières Changements dans les prix des matières premières

Incidents dans l’environnement, lois et règlements


Risque environnemental
environnementaux

Risque politique Conduite des affaires dans un contexte international

Risque d’illiquidité Les difficultés de faire face à ses engagements, à ses échéances

Risque de technologie Changement rapide de technologie

Conditions climatiques graves, défavorables à l’activité de


Risque lié aux conditions climatiques
l’entreprise

Risque fournisseur Dépendance à l’égard de fournisseurs clés, fournisseurs peu sûrs


Support du cours de Maîtrise des risques et de contrôle interne

Risque lié au cycle Tendance cyclique naturelle

Risque de saisonnalité Modèles saisonniers

Risque de valeur de l’instrument financier

Risque de distribution Changements dans les canaux de distribution

Risque de ressources naturelles Quantités insuffisantes de réserves, faible qualité des réserves.

Cours de Monsieur GNIMASSOUN G. Michel Page 28


SESSION 2 : POUR UNE ADOPTION DU MANAGEMENT INTEGRE DES RISQUES DE
L’ENTREPRISE

Le COSO II Report est actuellement relayé par des pressions externes,


notamment les investisseurs institutionnels. Ceux-ci, notamment les fonds de
pension incitent les gouvernements d’entreprises à adopter une approche
intégrée du management des risques. En Grande-Bretagne, par exemple, la
London Stock Exchange recommande vivement cette stratégie. En Australie
et en Nouvelle-Zélande, un ensemble de standards communs au
management des risques est mis en place. Pour le moment, il n’y a aucune
obligation. En Allemagne, des dispositions législatives ont été votées en 1998.
Aux Pays-Bas, un rapport a été également publié. Ces lois et rapport militent
en faveur de l’adoption d’un management intégré des risques. De même,
aux Etats-Unis, la Securities and Exchange Commission, l’AICPA (rapport
Jenkin) et le rapport du COSO font du management de risques une priorité
pour les entreprises. On peut, toutefois, regretter le caractère non obligatoire
de l’application de ces rapports. Au Canada, le CICA a publié un guide à
destination des directeurs dans lequel il est précisé, avec force, que le
contrôle fait partie du processus de gouvernance, et, à ce titre, nécessite
que les risques soient convenablement gérés. Le guide parle aussi du fait que
« les risques contrôlables existent au travers de l’organisation, de par sa
vocation, sa stratégie, son personnel et ses autres ressources, communication
et pratiques opérationnelles générales. » Dans ce contexte, le contrôle inclut
non seulement le problème des valeurs éthiques mais également
l’identification et la réduction des risques. Si le management a tendance à
parler du risque relatif à l’atteinte de ses objectifs, une partie du risque réside
également dans le fait de ne pas réussir à maintenir la capacité de
l’organisation à identifier et à exploiter les opportunités.

I. Le processus de management des risques


L’efficacité du management des risques de l’entreprise passe par la
distinction de trois niveaux reliés entre eux.
Support du cours de Maîtrise des risques et de contrôle interne

Le premier niveau concerne les relations qui doivent exister entre les
différentes structures composant l’organisation. L’organisation peut être
centralisée ou décentralisée. Ce qui importe c’est de mettre en place une
organisation efficace qui passe par la définition formelle des responsabilités,
des pouvoirs et des procédures d’exécution et de contrôle sans toutefois
perdre de vue le système de délégation qui doit exister à tous les niveaux de
responsabilité. Cette organisation ne peut ignorer l’environnement à
l’intérieur de laquelle elle évolue. C’est l’environnement interne qui constitue
la base de la structure organisationnelle de l’entité et dicte la manière selon
laquelle les tâches de fixation d’objectifs devront être menées.
L’environnement interne englobe la totalité de la philosophie managériale en
matière de risques de l’organisation, l’appétence pour le risque, l’intégrité et
les valeurs éthiques des dirigeants de l’organisation. En effet, la culture de
l’entité peut être influencée par la personnalité du dirigeant. Privilégier les
résultats à tout prix au mépris des règles éthiques est préjudiciable à
l’organisation. Les relations établies entre la structure de l’organisation et
l’environnement interne déterminent la fixation d’objectifs. En effet, les
personnes souhaitant contribuer à un programme efficace de management
intégré des risques devront maîtriser non seulement les objectifs de leur unité
mais aussi les objectifs généraux de l’entreprise. C’est la troisième relation
nécessaire devant exister entre l’activité et la fixation des objectifs de
l’organisation. Ces objectifs devront être définis en tenant compte de
l’appétence pour le risque de l‘organisation. Les processus constituent le
deuxième niveau de l’ossature du management des risques d’entreprise. Il
s’agit des processus d’estimation, de formalisation et d’exploitation des
risques qui doivent nécessairement être décrits. Le troisième niveau de
l’ossature du management des risques d’entreprise concerne les actions,
c’est-à-dire, les activités de contrôle, le système de surveillance,
d’information et de communication. Si ces trois niveaux sont établis, la mise
en place d’un programme de management des risques se trouve facilitée.

Cours de Monsieur GNIMASSOUN G. Michel Page 30


Support du cours de Maîtrise des risques et de contrôle interne

Il appartient à la direction générale d’assurer un suivi régulier des politiques


de gestion des risques et à en approuver les limites. Elle doit également
approuver l’approche globale de la prise de risques. Le programme de
management des risques doit fonctionner conjointement avec le service
d’audit interne ou la direction financière de l’entreprise en raison de leur
connaissance des circuits de l’entreprise. De nombreux auteurs préconisent la
création d’un Risk Manager (Chief Risk Officer : CRO) – gestionnaire des
risques — qui agirait comme un leader et le catalyseur du programme de
management des risques. IL apparaît comme un « leader, un évangéliste, un
intendant et un consultant » dans le processus d’implantation d’un
management des risques d’entreprise Il doit faire remonter l’information
directement à la direction générale et au comité de direction.

II. Les Processus d’implantation du management des risques


d’entreprise
Un management de risques comporte trois processus : l’évaluation des
risques, leur formalisation et leur exploitation.

Ces processus constituent une partie de l’ossature pour une approche


rigoureuse d’estimation et de reporting des risques susceptibles de
compromettre la réalisation des objectifs de l’organisation. Cette approche
présente des opportunités qui permettent d’exploiter des éventuels
avantages concurrentiels. Si les processus permettent d’identifier les risques, il
convient alors de les évaluer.

1. L’évaluation des risques


L’évaluation des risques comporte trois étapes : l’identification des facteurs,
leur classement par priorité et leur classification. Si cela est fait correctement,
l’évaluation des risques peut corréler tout risque qui pourrait dépendre les uns
des autres et éviter ainsi les pertes de temps ou des doublons. L’attention et
les moyens pourraient donc être utilisés pour les risques qui en valent vraiment
la peine.

Cours de Monsieur GNIMASSOUN G. Michel Page 31


Support du cours de Maîtrise des risques et de contrôle interne

C’est à la fonction de l’évaluation des risques d’examiner et de déterminer la


probabilité d’occurrence ou de survenance d’un évènement. La première
étape consiste à identifier les évènements. Un évènement est simplement un
incident ou un fait qui pourrait affecter la mise en œuvre d’une stratégie ou
la poursuite d’un objectif. Il peut exister plusieurs évènements. Certains
peuvent avoir un impact négatif et d’autres, un impact positif. Les risques
peuvent être dus à des facteurs externes (facteurs d’ordre économique :
changement du niveau de compétition, des forces du marché, de
l’économie ; d’ordre naturel et environnemental : catastrophes naturelles ;
d’ordre politique : changement de gouvernement, de législation ; d’ordre
social : changements démographiques, de priorités sociales ; d’ordre
technologique : virage technologique) ou internes (l’infrastructure :
réparations inattendues, problèmes ; le personnel : accidents de travail,
grèves ; les processus : problèmes de qualité, technologie).

Cette phase constitue le premier pas vers l’identification et l’évaluation des


risques. Les facteurs de risques sont des évènements ou des variables
pouvant aggraver un risque. Perdre des parts de marchés est un risque. Mais
ne pas y être préparé est un facteur de risque. Une revue des stratégies de
l’organisation, des plans de financement et des opérations donnera des
indices quant aux facteurs de risques qui peuvent être associés. Une
approche top-down (allant des supérieurs hiérarchiques aux subordonnés) est
utile dans ce contexte. Une analyse qualitative utilisant des données passées
et récentes peut être aussi utile pour identifier ces facteurs qui pourraient
affecter la réalisation des objectifs fixés par l’entreprise. Le rapport sur les
opinions des cadres est fréquemment utilisé à cette étape au même titre que
des analyses prévisionnelles.

La deuxième étape de l’évaluation des risques privilégie les facteurs de


risques. Cette étape suppose le regroupement et le détail de l’information
relative à chaque facteur de risque. Le processus doit prévoir la probabilité,
la fréquence, la prédictibilité et les effets potentiels sur les indicateurs clés de
performance de ces facteurs. Un jugement subjectif combiné à un modèle

Cours de Monsieur GNIMASSOUN G. Michel Page 32


Support du cours de Maîtrise des risques et de contrôle interne

mathématique comme l’actualisation est utile pour rechercher l’impact


potentiel du risque sur la stratégie de l’entreprise, sa croissance, sa réputation,
ses ressources humaines ou ses systèmes.

La dernière étape dans l’évaluation est la classification des risques. Elle


suppose que l’action d’identification nécessaire soit bien définie.

Ainsi un schéma de classification relatif aux actions prévues serait d’une


grande utilité. Le plan de classification analyserait les facteurs de risques tant
du point vu opérationnel que stratégique (ou bien en termes de contrôle et
de stratégie).

Les facteurs de risques gérables sont ceux qui découlent d’un environnement
dans lequel l’entreprise est déjà habituée. Les compétences et les savoir-faire
qui sont requis pour résoudre les problèmes sont déjà disponibles au sein de
l’organisation. Des exemplaires de ce type de risque peuvent être le
département Recherche & Développement qui ne parvient pas à élaborer
de nouveaux produits ou à résoudre un problème avec des clients insatisfaits.

Les facteurs de risques stratégiques sont ceux qui découlent de


l’environnement peu familier à l’entreprise. Les ressources et les capacités à
résoudre ce genre de problème peuvent ne pas être en place. La prise en
mains de ce genre de situation peut nécessiter un changement dans la
direction de la stratégie ou une nouvelle orientation dans l’allocation des
ressources en capital.

2. La formalisation des risques


L’étape suivante du processus de management des risques d’entreprise
implique la formalisation des risques. Cela implique l’utilisation des méthodes
scientifiques telles que les techniques de recherche opérationnelle. Il est
nécessaire de quantifier les différents facteurs de risques qui ont été identifiés
dans les analyses précédentes.

La formalisation des risques comporte quatre étapes. Il s’agit de :

Cours de Monsieur GNIMASSOUN G. Michel Page 33


Support du cours de Maîtrise des risques et de contrôle interne

• modéliser les différentes sources de risques ;


• les lier à des mesures financières ;
• développer un portfolio des stratégies pour remédier à ces risques ; et
• optimiser les investissements avec ce portfolio des stratégies.

La première étape nécessite différentes approches qui seront fonction de la


nature des facteurs de risques. Pour certains, une action banale peut être
tentée. Pour les risques assurés ou des risques qui peuvent être facilement
réduire sur les marchés financiers, ils peuvent être modélisés en utilisant des
méthodes statistiques basées sur des données historiques. Pour des risques
d’entreprise dans son ensemble, une évaluation probabiliste basée sur les avis
des cadres et d’experts peuvent être élaborées. Finalement, cette partie de
l’analyse, encore basée sur les avis d’experts doit déterminer et modéliser les
relations entre les sources de risques.

La deuxième étape dans la formalisation des risques consiste à lier les facteurs
de risques à des indicateurs financiers comme le cash-flow. La distribution
probabiliste de la deuxième étape est ajoutée au modèle financier pour
qu’une mesure de la volatilité et de la rentabilité financière soit obtenue.
Cela permet aussi l’analyse de l’impact de la gestion à travers une série de
scénarii hypothétiques.

La troisième étape implique la réalisation d’un portfolio de stratégies de


traitement de risques. Il s’agit de déterminer les manières de réduire les
risques. A travers des séances de brainstorming entre experts, il est possible de
trouver des moyens de réduire ou d’éliminer certains risques sur les marchés
financiers notamment. Tout choix stratégique doit s’appuyer sur une analyse
coût/ bénéfice. La littérature utilise l’exemple du cash-flow. L’allure de la
distribution probabiliste du cash-flow peut être modifiée en augmentant la
valeur prédéterminée de cash-flow, ou en abaissant les variations attendues
de la valeur de la variable ou en utilisant des mesures pour réduire l’impact
des risques lors des plus pessimistes scénarii. A partir de cette analyse, des
simulations peuvent être réalisées pour chaque combinaison de stratégie.

Cours de Monsieur GNIMASSOUN G. Michel Page 34


Support du cours de Maîtrise des risques et de contrôle interne

La quatrième et dernière étape dans le processus de formalisation est


l’« optimisation de l’investissement à travers des stratégies correctives ». Il en
résultera un management des risques orienté budget qui reflètera une
allocation efficace des ressources du Management des risques d’entreprise
selon le niveau des risques identifiés précédemment. Les contraintes
budgétaires et les objectifs de l’entreprise peuvent s’opposer aux modèles
probabilistes développés dans le processus de formalisation des risques.

3. L’exploitation du risque
La phase finale du processus de management des risques est l’exploitation
des risques. Ce titre suppose que le risque peut être considéré à la fois
comme une menace et une opportunité. Pour vraiment exploiter le risque, le
management doit mettre sous tension les sources de risques. La connaissance
ou l’identification des risques constitue en soi, pour l’entreprise, un avantage
comparatif. En effet, le risque peut représenter une menace pour la
compétitivité de la firme. Ensuite, une entreprise peut être capable de
manager les risques mieux que les concurrents. A tous les niveaux,
l’exploitation des risques entraine une réponse.

La stratégie d’évitement consiste pour le management de stopper ou de


réduire l’activité qui favorise le risque. Par exemple, l’entreprise refusera
d’entrer sur un marché ou de fermer une usine. Une autre stratégie peut être
adoptée consistant à se partager le risque.

Le partage du risque : Il y a plusieurs façons de partager le risque relatif au


management. L’assurance, la mutualisation sont des exemples d’une telle
approche. Par ailleurs, la probabilité ou l’impact du risque peut être ou
transférer.

L’acceptation du risque : le management a le choix d’accepter la probabilité


ou l’impact d’un risque donné. Il est bon de préciser que l’évaluation des
réponses à apporter au risque est un processus. Les risques découlant de
chaque réponse doivent être évalués à leur tour. Mais toute politique de

Cours de Monsieur GNIMASSOUN G. Michel Page 35


Support du cours de Maîtrise des risques et de contrôle interne

management de risque suppose un système d’information et de


communication adapté et le pilotage par l’organisation.

Une politique ou un programme de management de risques d’entreprise


exige que l’entreprise dispose à la fois d’informations pertinentes et d’un
système de communication. L’information pertinente pour les besoins de
l’organisation doit être relevée et identifiée et doit être transmise aux acteurs
internes de l’organisation pour qu’ils puissent faire face à leurs responsabilités.
Ainsi, les décideurs prendront des bonnes décisions par rapport aux risques et
aux objectifs de l’organisation. Pour y parvenir, le système d’information doit
traiter à la fois des données externes et internes. En plus, le système doit
contenir à la fois des données historiques et des données actuelles.

Les informations fournies par le système d’information doivent être adaptées


aux besoins de l’organisation afin d’identifier, d’évaluer et de répondre aux
risques.

La prise en compte des données historiques est nécessaire pour des tâches
telles que l’évaluation des risques. L’information transmise doit être aussi à jour
et bien sûr, précise. L’information doit être aussi communiquée. Les tâches et
responsabilités des employés doivent leur être communiquées pour qu’ils
sachent ce qu’ils doivent faire. La communication doit être établie de
manière à ce que chacun ait conscience de ses responsabilités et de ce qui
est attendu de lui. Cela s’applique, bien entendu, aux employés agissant au
niveau individuel ou comme membre d’un groupe de travail. Ce qui est
important, c’est que la communication soit capable de transmettre un
résumé clair de la philosophie de gestion des risques pour l’entreprise et pour
chaque membre de l’organisation dans le cadre du programme de
management des risques. Cela peut être accompli avec l’utilisation de divers
médias. L’entreprise peut choisir d’utiliser des manuels, des notes de service,
des vidéos, conférences ou des présentations. Tout cela doit faire partie de la
communication interne mais aussi de la communication externe à double

Cours de Monsieur GNIMASSOUN G. Michel Page 36


Support du cours de Maîtrise des risques et de contrôle interne

sens entre l’entreprise, ses clients, ses fournisseurs et l’ensemble des acteurs
pouvant avoir un rôle à jouer dans l’atteinte des objectifs de l’organisation.

Etablir un programme de gestion des risques est une chose ; s’assurer qu’il
fonctionne en est une autre. C’est le devoir (rôle) du monotoring. Il doit y
avoir des procédures en place dans l’organisation pour évaluer de façon
continue la présence et le fonctionnement de tous les composants du
management de risques d’entreprise. Le monotoring peut être réalisé soit
avec l’emploi d’activités récurrentes soit à travers l’utilisation d’évaluations
périodiques de différentes activités. Ces deux approches peuvent, bien
entendu, être judicieusement combinées. Aucun nombre d’activités
de monotoring n’est précisé pour assurer le fonctionnement du programme
du management des risques d’entreprise. Néanmoins, le rapport du COSO
suggère une série d’activités qui suppose :

• que les variances entre résultats réels et budgétés soient vérifiés par des
managers compétents pour voir s’il y a des lacunes dans l’anticipation
des risques ;
• que des modèles de « value-at-Risk » soient utilisés pour déterminer si les
centres de responsabilité ou départements fonctionnent en utilisant des
tolérances de risques précédemment planifiées et identifiées. ;
• que des informations externes générées par des clients ou des
fournisseurs peuvent aussi utilisées pour confirmer ou infirmer d’autres
informations externes ;
• que des informations sur les processus de management des risques et
leur fonctionnement peuvent aussi être obtenues par des dispositifs qui
peuvent avoir des répercussions sur le respect de l’organisation avec ses
statuts et ses règlements ;
• une revue continue des processus par les auditeurs internes et externes
de l’entreprise ;
• que des séminaires de formation et des entretiens de groupe ou
individuels peuvent créer un certain intérêt pour les travaux du

Cours de Monsieur GNIMASSOUN G. Michel Page 37


Support du cours de Maîtrise des risques et de contrôle interne

management des risques d’entreprise et constituer un catalyseur pour le


processus et son fonctionnement.

L’autre approche du monotoring induit des évaluations séparées. Ces


évaluations ou revues peuvent être réalisées par le département d’audit
interne ou par une bonne auto- évaluation des services. Dans ce dernier
scénario, le manager d’une division ordonne une évaluation sur son
management des risques d’entreprise. Il évalue personnellement l’efficacité
du processus de son unité. La tâche d’évaluation est davantage confiée à
l’audit interne. Le processus d’évaluation va insister sur la structure et le
fonctionnement du processus de management des risques d’entreprise dans
une division particulière. L’évaluation va essayer de déterminer comment le
système fonctionne. Le processus, à la fois au niveau de la structure et du
fonctionnement peut être déterminé par l’utilisation de moyens comme les
check-lists ou des flow charts. Les écarts entre ce qui devrait arriver et ce qui
est arrivé, en réalité, doivent être identifiés. Les résultats de ces évaluations
sont remontés par les moyens normaux de l’entreprise.

Il peut exister une confusion entre le contrôle et le monotoring. Pour le COSO,


le contrôle des activités du management des risques d’entreprise sont les
politiques et les procédures qui aident à assurer que les procédures visant à
contrecarrer les risques sont appliquées. Par contre, le monotoring concerne
le processus entier du management des risques d’entreprise et son
fonctionnement. Ainsi, le contrôle des activités liées au management des
risques d’entreprise ne traite que de la partie relative à la réaction au risque
du processus. C’est la fonction de ce contrôle particulier de l’activité que de
déterminer si les objectifs par le processus « réponse au risque » ont été bien
réalisés. Le contrôle devient alors une partie intégrante du processus lorsque
l’organisation tente d’atteindre cet objectif. Il existe une très grande variété
de contrôles pouvant être utilisés pour vérifier la conformité des plans
d’action établis et maintenir l’organisation dans le sens des objectifs

Cours de Monsieur GNIMASSOUN G. Michel Page 38


Support du cours de Maîtrise des risques et de contrôle interne

préalablement définis. Les principales activités de contrôle peuvent


comprendre :

• le contrôle qui s’exerce sur la revue des rapports de performance des


managers à divers niveaux de l’organisation. Le contrôle est effectué en
rapprochant les rapports des managers avec d’autres informations.
Certaines d’entre elles peuvent provenir des sources externes ;
• un certain nombre de contrôles peuvent être faits pour vérifier
l’exactitude et l’exhaustivité des transactions aussi bien que l’organisation
de ces transactions. Cela peut inclure la vérification de la
comptabilisation des transactions aussi bien que la revue des nouveaux
systèmes d’information ;
• une vérification de contrôle physique peut être menée pour s’assurer
que les actifs sont bien protégés et que les stocks théoriques sont
périodiquement comparés aux stocks réels ;

Un contrôle très efficace de l’activité peut conduire à une comparaison et


une corrélation des différentes données. Une comparaison entre les données
opérationnelles et financières peut révéler certaines anomalies. L’ensemble
du processus de management des risques et en particulier la partie
consacrée à la réponse au risque dépend en grande partie du système
d’information de l’entité. Ainsi, tous les contrôles liés à la réponse au risque de
l’entité doivent accorder une grande importance au système d’information.
Les décisions qui sont prises, les actions sur le point d’être réalisées, la
performance qui est évaluée et l’atteinte ou non des objectifs annoncés par
rapport aux informations données par le système d’information de l’entité
doivent être intégrés au système d’information. L’activité de contrôle va
inclure à la fois des contrôles généraux et des contrôles particuliers. Des
contrôles généraux incluent ceux qui relèvent du management et de
l’infrastructure du système d’information, de la sécurité, du développement
et de la maintenance des programmes. Pour réaliser ce genre de test, il
convient de se munir de la documentation disponible afin de contrôler la

Cours de Monsieur GNIMASSOUN G. Michel Page 39


Support du cours de Maîtrise des risques et de contrôle interne

fiabilité du nouveau système. Les modifications sur le système de sécurité


peuvent être appréciées en s’assurant de l’existence des procédures
d’accès mises en place. L’assurance quant à l’exhaustivité, l’autorisation et la
validité des informations lors de la saisie et du traitement est l’objectif du
contrôle du système d’information. Quelques contrôles utilisables par
l’entreprise concernent notamment l’utilisation des techniques de
comparaison et le rapprochement des données nouvelles avec des données
informatiques, le contrôle de vraisemblance, les tests de logique sont autant
de contrôles qui peuvent être utilisés pour vérifier les données informatiques.
D’autres contrôles, plus spécifiques, devront être mis en place, en rapport
avec les stratégies, les objectifs et les secteurs d’activité de l’entreprise. Les
contrôles doivent refléter et correspondre à l’environnement dans lequel
l’entreprise évolue. Variées ou hautement pointues, les diverses activités
peuvent nécessiter des contrôles plus élaborés que ceux qui pourraient
correspondre à des activités plus générales et moins complexes. Les risques
auxquels l’organisation pourrait être exposée vont aussi définir la nature et la
complexité du contrôle à mettre en place ou requis. Davantage
d’informations au sujet du contrôle de l’information et des comptes peuvent
être obtenues par de nombreux tests. Le management des risques doit
s’inscrire dans le cadre plus global de la gouvernance de l’entreprise.

SESSION 3 : MANAGEMENT DES RISQUES ET GOUVERNANCE DE L’ENTREPRISE

Le management des risques et la gouvernance d’entreprise sont deux


concepts indissociables. Leur approche globale ou intégrée du risque est une
réponse à l’ère du risque dans lequel évoluent les organisations.

I. Le management des risques et gouvernance de l’entreprise :


deux concepts indissociables.
Le management des risques, et Gouvernance de l’entreprise, sont
indissociables. En effet, selon l’IFACI/Price Waterhouse Coopers (COSO II

Cours de Monsieur GNIMASSOUN G. Michel Page 40


Support du cours de Maîtrise des risques et de contrôle interne

report 2005, p. 5) le management des risques est « un processus mis en œuvre


par le conseil d’administration, la direction générale, le management et
l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans
l’élaboration de la stratégie ainsi que dans toutes les activités de
l’organisation. Il est conçu pour identifier les évènements potentiels
susceptibles d’affecter l’organisation et pour gérer les risques dans les limites
de son appétence pour le risque. Il vise à fournir une assurance raisonnable
quant à l’atteinte des objectifs de l’organisation ». Or, le débat sur la
gouvernance d’entreprise, aux Etats-Unis, au Canada, en Asie et en Europe
fait suite aux nombreux scandales qui ont éclaboussé les grandes entreprises.
L’enjeu pour la gouvernance est justement de se prémunir contre les risques
internes et externes, opérationnels et stratégiques susceptibles de
compromettre l’atteinte des objectifs fixés par l’organisation. Des appels à un
renforcement de la gouvernance d’entreprise et de la gestion des risques ont
été lancés. La loi Sarbanes-Oxley aux USA et la loi sur la sécurité financière en
France constituent des éléments de réponse à ces appels répétés et
s’intègrent dans le dispositif d’une bonne gouvernance d’entreprise. Dans le
même cadre, E. Ebondo Wa Mandzila (2006) considère l’audit et le contrôle
interne comme deux mécanismes de gouvernance de l’entreprise, sensés
réduire les risques auxquels l’entreprise est exposée. Déjà, la commission
Treadway, dans son premier rapport : Internal Control-Integrated
Framework (COSO I Report, 1992, 1994) « dépassait les définitions
traditionnelles du contrôle interne qui le réduisaient à des procédures
administratives de protection du patrimoine et de fiabilisation des
informations financières et de gestion » pour présenter une architecture
radicalement nouvelle du contrôle interne permettant d’atteindre les trois
objectifs (optimisations et efficacité des opérations, qualité des informations
financières, conformité à la réglementation). Le management des risques de
l’entreprise, s’approprie les trois objectifs et les cinq composantes du contrôle
interne (environnement de contrôle, évaluation des risques, activités de
contrôle, information et communication, pilotage) qu’il complète
respectivement par un quatrième objectif (la stratégie) et trois autres

Cours de Monsieur GNIMASSOUN G. Michel Page 41


Support du cours de Maîtrise des risques et de contrôle interne

éléments du dispositif de management des risques (fixation des objectifs,


identification des événements et le traitement des risques). Le management
des risques étant le prolongement du contrôle interne au thème central de la
gestion des risques constitue une composante majeure du dispositif de
gouvernance d’entreprise.

En effet, la demande de la gouvernance d’entreprise croît en même temps


que s’intensifie le débat sur l’intégration du gestionnaire de risques au conseil
d’administration. K. Lajili et D. Zéghal (2005, p. 106), identifient deux relations
entre gestion des risques et gouvernance d’entreprise. Pour ces deux auteurs,
la première relation, de loin la plus importante, « est la relation entre
l’information et la surveillance, où les gestionnaires ont l’obligation de fournir
une information à jour et pertinente au conseil d’administration et aux
contrôleurs financiers sur les risques les plus importants auxquels l’entreprise
fait face et sur l’efficacité des processus de gestion des risques adoptés une
fois que les incertitudes sont révélées ». La deuxième relation entre la gestion
ou le management des risques et la gouvernance d’entreprise concerne le
lien entre l’information et l’incitation.

Dans ce cas de figure, le conseil d’administration propose aux cadres


dirigeants une rémunération visant à les inciter à agir au mieux des intérêts
des actionnaires. C’est le conseil d’administration qui détermine le niveau de
rémunération des dirigeants en fonction du risque encouru et dont le
dirigeant est censé contenir ou réduire. C’est aussi lui qui a le pouvoir de les
révoquer. Pour « une meilleure direction, un processus efficace de gestion du
risque à l’échelle de l’entreprise devrait être élaboré avec soin, contrôlé et
révisé de façon continue aux besoins ». On peut admettre que la maîtrise ou
la gestion des risques fait partie des obligations de la gouvernance
d’entreprise même si les principaux rapports sur la gouvernance d’entreprise
en France ne contiennent pas de recommandations en matière de contrôle
des risques. Néanmoins, les lois sur la sécurité financière en France et la
Sarbanes-Oxley actaux Etats-Unis, prévoient la création de comités d’audit
pour porter la responsabilité des risques purement comptables. La création

Cours de Monsieur GNIMASSOUN G. Michel Page 42


Support du cours de Maîtrise des risques et de contrôle interne

de comités spécialisés : d’audit, de rémunérations et de nomination est une


réponse aux exigences liées à la gouvernance d’entreprise pour faire face
aux risques comptables et financiers, aux risques de sur-rémunérations et à
ceux que fait courir la nomination d’un dirigeant incompétent.

En effet, il est attendu des conseils d’administration une bonne


compréhension et une gestion efficace des risques pour rassurer toutes les
parties prenantes.

II. Management des risques et gouvernance d’entreprise : une


approche intégrée des risques et de l’entreprise.
Il ne fait nul doute que nous sommes entrés dans l’ère du risque. Ce contexte
a une influence sur notre vision de penser le risque.

1. Management des risques et gouvernance d’entreprise : des approches


intégrées des risques

Les gestionnaires de risques ont eu souvent tendance à se focaliser sur


certains risques notamment opérationnels. La gestion du risque était rarement
appliquée de façon systématique et intégrée à l’ensemble de la société.
Cette approche de la gestion de risque consistant à se protéger contre
certains risques a pour inconvénient majeur l’absence d’une stratégie active
de gestion des risques à travers toutes les activités. L’environnement et par
conséquent la forte sensibilisation aux risques a fait évoluer les mentalités des
gestionnaires des risques vers une approche plus intégrée de la gestion des
risques qui semble correspondre aussi à la vision partenariale de la
gouvernance de l’entreprise. En effet, pendant longtemps les études sur la
gouvernance de l’entreprise ont toujours privilégié l’approche financière ou
actionnariale de l’entreprise.

L’entreprise est réduite aux deux seuls acteurs que sont les actionnaires et les
dirigeants. Cette approche a montré ses limites au niveau de la performance
des entreprises. Ainsi, tout le monde s’accorde aujourd’hui à privilégier

Cours de Monsieur GNIMASSOUN G. Michel Page 43


Support du cours de Maîtrise des risques et de contrôle interne

l’approche partenariale de l’entreprise englobant toutes les parties


prenantes. Le management des risques d’entreprise comme une bonne
gouvernance de l’entreprise conduisent à élargir le champ d’action à la fois
des acteurs et des processus étudiés et par conséquent à associer toutes les
parties prenantes au choix d’une politique de couverture de risques. C’est la
condition de l’efficacité.

2. Management des risques et gouvernance d’entreprise : des approches


intégrées de la gouvernance de l’entreprise.

Deux conceptions de la gouvernance sont souvent présentées : l’approche


financière et partenariale. L’approche financière privilégie la relation entre
les actionnaires et le dirigeant dans le cadre d’une relation d’agence. Dans
cette aventure personnelle, les actionnaires prennent le risque d’engager leur
capital. Ils en attendent un retour sur investissement. Le rôle du système de
gouvernance d’entreprise consistera donc à se focaliser sur la rentabilité de
l’investissement financier. Dans ce cas de figure, les actionnaires transfèrent
leurs risques moyennant rémunération aux agents (dirigeants). Il incombe à
ces derniers, de mettre les principaux acteurs financiers à l’abri des risques
financiers, informationnels, de détournement, de sur-rémunération, de
dévaluation des actifs, de marché, de perte en capital, de faillite et de grève
notamment. Mais face à la complexification de l’environnement des
entreprises et l’irruption de plusieurs acteurs dans la sphère de l‘entreprise,
l’entreprise doit faire face à une diversité des risques qui dépassent le strict
cadre financier. D’où la nécessité de recourir à une autre approche
partenariale de l’entreprise. Dans ce modèle, l’entreprise ne se résume plus
seulement à la satisfaction des intérêts des actionnaires. La valeur créée par
l’entreprise est aussi le fait des apporteurs du capital humain, organisationnel,
commercial. Cette vision élargie des acteurs de l’entreprise est porteuse de
beaucoup de risques (y compris environnementaux, sociétaux, politiques,
stratégiques, informationnels…) en raison de la diversité des intérêts. La

Cours de Monsieur GNIMASSOUN G. Michel Page 44


Support du cours de Maîtrise des risques et de contrôle interne

gouvernance d’entreprise doit s’assurer d’une satisfaction d’équilibre entre


les différentes parties prenantes.

Cette approche partenariale intégrée, est celle qui est aussi privilégiée par le
management des risques. En effet, face au développement des principes de
bonne gouvernance, les investisseurs institutionnels manifestent un intérêt
particulier pour la gestion des risques. Les entreprises qui disposeront d’une
infrastructure intégrée de la gestion des risques [1] seront capables de réduire
le risque opérationnel, de dévaluation d’actifs et le risque de concurrence (R.
Simons, 2000, cité par K. Lajili et D. Zéghal, 2005). Cette gestion intégrée des
risques a pour avantage de réduire la volatilité des performances financières
et devrait pouvoir permettre aux entreprises de lever des fonds à un moindre
coût. La confiance des actionnaires serait accrue. Une meilleure gestion des
risques crée de la valeur de diverses façons : elle réduit d’abord la probabilité
de rencontrer des difficultés ; ensuite, elle réduit les risques pour les dirigeants
qui ont investi une certaine quantité de leurs actifs dans des parts de
l’entreprise ; enfin, elle peut faire baisser la charge fiscale pesant sur elle et la
prime d’assurance associée. Il convient de noter la capacité d’endettement
permise à l’entreprise grâce à une gestion intégrée des risques.

En somme, il y a toujours eu des risques dans le monde des affaires. En effet,


pendant longtemps, l’entrepreneur a toujours été considéré comme celui qui
prend le risque d’entreprendre, celui qui risque son capital matériel et
financier par opposition au capital humain. Cependant, les managers et les
actionnaires en ont toujours accepté les avantages et les inconvénients et
ont tenté de gérer et de réussir ces paris risqués. Leur approche du risque
était peu organisée et trop souvent inefficace. Les temps ont changé et les
faits ont montré que la vieille approche des silos hiérarchiques (fabrication,
études, ventes, marketing, administration…) en management des risques
n’était plus suffisante. Ainsi, une nouvelle approche du management des
risques a été développée. Elle s’appelle le Management des risques
d’entreprise qui prône une approche intégrée et rigoureuse des risques en
évaluant et en localisant les risques dans toutes les zones qui pourraient avoir

Cours de Monsieur GNIMASSOUN G. Michel Page 45


Support du cours de Maîtrise des risques et de contrôle interne

un impact sur la stratégie de l’organisation et ses différents objectifs. Bien qu’il


y ait de nombreux avantages à retirer du Management des risques
d’entreprise, le principal avantage demeure sa capacité à éviter de grosses
pertes. Si le risque peut être pris en compte et bien géré, des pertes lourdes
peuvent être évitées. Les concepts du management des risques d’entreprise
sont définis par l’environnement de l’organisation. Cette philosophie du
management des risques est la clé de voûte autour de laquelle toute
l’architecture d’un programme de management de risques doit être
construite. La littérature à ce sujet définit un programme qui implique les
processus d’identification, dévaluation et de réponse au risque. Ces étapes
nécessaires pour une bonne gestion des risques doivent être complétées par
des processus d’information et de communication, de monotoring et de
contrôle. Des programmes de management des risques d’entreprise sont de
plus en plus acceptés et introduits dans les organisations à la demande des
parties prenantes. Les bénéfices qui en découlent sont trop importants pour
être ignorés. Aucune organisation ne peut risquer de ne pas adopter le
management des risques d’entreprise.

Cours de Monsieur GNIMASSOUN G. Michel Page 46


Support du cours de Maîtrise des risques et de contrôle interne

CHAPITRE 3 : LE CONTROLE INTERNE

SESSION 1 : CADRE CONCEPTUEL DU CONTROLE INTERNE

Nous évoquerons tout d’abord l’excellente définition du contrôle interne


donnée par l’Ordre des Experts Comptables de France dès 1977 à son 32ème
congrès national : «Le contrôle interne est l’ensemble des sécurités
contribuant à la maîtrise de l’entreprise... »

Ces dernières années, le contrôle interne s’est trouvé de façon permanente


au centre des préoccupations des managers de tous bords. Ce regain
d’intérêt trouve sa source dans la conjonction de plusieurs facteurs :

- la complexité croissante des entreprises, avec la dispersion des centres


d’activité, l’accroissement de la délégation des pouvoirs ;

- la nécessité de définir des règles essentielles à respecter, avec


l’obligation de rendre compte ;

- les scandales financiers récents : Enron, Parmalat etc…, avec pour


conséquence le développement de la gouvernance d’entreprise, et,

- l’extension du domaine normatif sur la gouvernance d’entreprise: lois,


règlements, contraintes professionnelles, budgétaires : citons en vrac :
la loi bancaire, les rapports Viennot et Bouton, loi NRE et loi LSF en
France.

La définition de l’OEC est relayée par :

- celle du «Consultative Commitee of Accountancy» de Grande-


Bretagne donnée en 1978 : «Le contrôle interne comprend l’ensemble
des systèmes de contrôle, financiers et autres mis en place par la
direction afin de pouvoir diriger les affaires de l’entreprise de façon
ordonnée et efficace, assurer le respect des politiques, sauvegarder les
actifs et garantir autant que possible l’exactitude et l’état complet des
informations enregistrées»

- et par celle de l’AICPA des Etats-Unis la même année en 1978 : «Le


contrôle interne est formé de plans d’organisation et de toutes les
méthodes et procédures adoptées à l’intérieur d’une entreprise pour
protéger ses actifs, contrôler l’exactitude des informations fournies par
la comptabilité, accroître le rendement et assurer l’application des
instructions de la direction».

Cours de Monsieur GNIMASSOUN G. Michel Page 47


Support du cours de Maîtrise des risques et de contrôle interne

Toutes ces définitions concordent sur des objectifs identiques.

1. Référentiel et objectifs du contrôle interne

Le référentiel international applicable au contrôle interne découle des


résultats des travaux réalisés aux Etats Unis par la « Treadway Commission».
Plus connu sous le nom de « COSO report » (Commitee Of Sponsoring
Organizations of the Treadway Commission) ce rapport est devenu sur le plan
international, le référentiel de nombreuses grandes entreprises en matière de
contrôle interne.

Le COSO donne du contrôle interne la définition suivante : « Le contrôle


interne est un processus mis en œuvre par le conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance
raisonnable quant à la réalisation d’objectifs entrant dans les catégories
suivantes :

- réalisation et optimisation des opérations,


- fiabilité des informations financières,
- conformité aux lois et réglementations en vigueur.

Le COSO précise en plus certains concepts fondamentaux :

- le contrôle interne est un processus : un moyen d’arriver à ses fins et


non pas une fin en soi,

- le contrôle interne est mis en œuvre par des personnes. Ce n’est pas
seulement un ensemble de manuels de procédures et de documents.
Il est assuré par des personnes à tous les niveaux de la hiérarchie ;

- le gouvernement d’entreprise : le management et le conseil


d’administration ne peuvent attendre du contrôle interne qu’une
assurance raisonnable, et non une assurance absolue.

En France, la loi de sécurité financière (LSF) publiée le 2 août 2003 reprécise


l’importance du contrôle interne en imposant la nécessité pour les dirigeants
d’entreprise d’avoir une implication plus poussée en cette matière afin
d’améliorer la formalisation du contrôle interne. Le président de toute SA (CA
ou CS ), doit en effet rendre compte, dans un rapport spécial joint au rapport
de gestion, des conditions de préparation et d’organisation des travaux du
conseil et sur les procédures de contrôle interne mises en place par la
société.

Pour l’OEC France, le contrôle interne vise la réalisation d’un objectif général
que l’on peut décliner en objectifs particuliers. L’objectif général, c’est

Cours de Monsieur GNIMASSOUN G. Michel Page 48


Support du cours de Maîtrise des risques et de contrôle interne

l’efficacité opérationnelle dans le cadre de la réalisation des buts poursuivis


par l’entreprise. Les objectifs particuliers sont les suivants :

1. la protection et la sauvegarde du patrimoine y compris la détection et la


prévention des fraudes et erreurs,

2. la conformité aux différentes lois et réglementations applicables,

3. le respect constant des instructions et des règles de gestion définies par la


direction,

4. la diffusion d’une information financière et comptable fiable et


rapidement disponible,

5. l’amélioration des performances et l’efficacité opérationnelle.

Dans leur formulation par cycle d’opérations, ces objectifs peuvent être
reprécisés de la manière suivante :

- autorisation,
- réalité, exhaustivité et exactitude des saisies,
- sécurité d’accès aux actifs et aux enregistrements.

2. Terminologie du contrôle interne

a) Contrôle interne ou système de maîtrise de l’entreprise

A l’origine de cette confusion, était une erreur de traduction. En effet, le


contrôle interne a été traduit à partir du terme anglo-saxon « internal control »
où le verbe « to control » veut dire en priorité « maîtriser » et en subsidiaire
vérifier alors que c’est l’inverse dans les pays de langue française.

Cette mauvaise traduction entraîne une large confusion même au niveau


des théoriciens et praticiens de la gestion et du contrôle des entreprises.
C’est pourquoi la formule « système de maîtrise de l’entreprise» traduit mieux
la réalité de ce concept.

b) – Distinction entre contrôle interne et audit interne

Le contrôle interne n’est pas une fonction ni un service de l’entreprise, mais


un ensemble de dispositions pouvant comprendre des services. Donc, on ne
saurait parler de service de contrôle interne, sauf à faire un contresens. On
devrait parler de service d’audit interne. Au sein de l’entreprise, l’auditeur
interne est chargé de contrôler l’organisation et l’efficacité du contrôle
interne mis en œuvre.

Cours de Monsieur GNIMASSOUN G. Michel Page 49


Support du cours de Maîtrise des risques et de contrôle interne

Ainsi défini, il existe souvent une confusion notoire entre contrôle interne et
audit interne. Pourtant, leurs finalités diffèrent :

➢ le contrôle interne est une organisation ou un processus,

➢ l’audit interne est une activité indépendante d’analyse, de vérification


et de proposition d’amélioration relative aux processus de
management des risques, de contrôle et de gouvernement
d’entreprise.

C’est pourquoi l’IFACI définit l’audit interne comme : «une activité


indépendante et objective qui donne à une organisation une assurance sur
le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation
à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle et de
gouvernement d’entreprise, et en jouissant des propositions pour renforcer
leur efficacité ». Le célèbre auteur Jacques RENARD a dit que le contrôle
interne est la finalité de l’audit interne. (Théorie et pratique de l’audit interne,
éditions d’organisation, p25 ).

3. Les acteurs du contrôle interne et leurs responsabilités

Le contrôle interne est mis en place et entretenu par la direction de


l'entreprise afin de prévenir et de détecter les erreurs, les fraudes et les
anomalies pouvant affecter l’entreprise et ses comptes. Chaque
collaborateur de l’entreprise contribue dans une certaine mesure au contrôle
interne.

(a) Le management : Dans toute entreprise, le directeur (ou la directrice)


assume la responsabilité ultime du contrôle interne. Il est ainsi le premier
responsable du système de contrôle interne.

(b) Les responsables de division : Les responsables des différentes divisions


doivent gérer le développement et la mise en œuvre des procédures de
contrôle interne destinées à permettre la réalisation des objectifs de leur
division.

(c) Le responsable des services comptables ou financiers : Celui-ci joue un


rôle de pilotage particulièrement important. Il doit veiller à ce que le système
de contrôle interne couvre l’ensemble des processus et ne se limite pas à la
partie comptable.

(d) Le responsable de l’assurance-qualité : La démarche d’assurance-


qualité présente de nombreux points communs avec la mise en place d’un

Cours de Monsieur GNIMASSOUN G. Michel Page 50


Support du cours de Maîtrise des risques et de contrôle interne

système de contrôle interne. Comme celle-ci, elle implique une analyse et


une modélisation des processus de l’entreprise, ainsi que la mise en place de
points de contrôle.

(e) Les autres membres du personnel : Le contrôle interne relève, dans une
certaine mesure, de la responsabilité de tous les membres du personnel et
ceci devrait donc, dans l’idéal, être mentionné explicitement dans la
description de poste de chaque employé.

(f) Le service d’audit interne : Le service d’audit interne procède à un


examen direct du système de contrôle interne et recommande le cas
échéant des améliorations. Sa mission couvre toutes les activités. Il doit être
indépendant des activités qu’il est chargé d’auditer. Cette indépendance
devrait résulter :

➢ de sa position au sein de l’entreprise,

➢ des pouvoirs dont elle est investie ainsi que de la reconnaissance de


son objectivité.

(g) Enjeux pour le gouvernement d’entreprise et les auditeurs

Responsabilité accrue des dirigeants

L’actualité de ces dernières années, marquée par des scandales financiers


retentissants, a amené le législateur à imposer aux entreprises une plus
grande transparence vis-à-vis des tiers, le contrôle interne étant l’un des outils
de cette transparence.

La loi de sécurité financière publiée le 2 août 2003 en France impose la


nécessité pour les dirigeants d’entreprise d’avoir un regard nouveau sur le
contrôle interne afin d’améliorer sa formalisation. Le président de toute SA (
CA ou CS ), doit en effet rendre compte dans un rapport du fonctionnement
des procédures de contrôle interne mises en place par la société, examiné
par le commissaire aux comptes.

Diligences renforcées des auditeurs externes ou CAC en matière de contrôle


interne. En effet, l’auditeur doit acquérir une compréhension suffisante du
contrôle interne pour pouvoir planifier sa mission et concevoir une approche
d’audit efficace" (évaluer le risque d’audit et évaluer le système comptable
et les procédures de contrôle interne). Il doit effectuer des tests de
procédures pour justifier son évaluation pour vérifier si les contrôles internes
ont été appliqués tout au long de la période et effectuer des
recommandations à la direction.

Cours de Monsieur GNIMASSOUN G. Michel Page 51


Support du cours de Maîtrise des risques et de contrôle interne

SESSION 2 : COMPOSANTES DU CONTROLE INTERNE

Les normes actuelles définies par le COSO (Committee of Sponsoring


Organizations of the Treadway Commission) relèvent cinq (5)
composantes représentée souvent sous forme pyramidale de la base au
sommet :

1. l’environnement de contrôle,
2. le dispositif d’identification et de gestion des risques,
3. les activités de contrôle proprement dites,
4. le système d’information ou de communication,
5. la structure pilotage de l’ensemble du dispositif (monitoring).

Structure
de Pilotage

Système d’Information
et de Communication

Activités de Contrôle

Dispositif d’identification et de Gestion


des Risques

Environnement de Contrôle

1. L'environnement de contrôle

L’environnement de contrôle comprend les mécanismes de base qui


constituent le fondement (ou le socle) sur lequel s’exercent tous les autres
éléments du contrôle interne. Il comprend notamment :
➢ L’intégrité des dirigeants et leur engagement en faveur des valeurs
éthiques ;

Cours de Monsieur GNIMASSOUN G. Michel Page 52


Support du cours de Maîtrise des risques et de contrôle interne

➢ La culture d’entreprise qui détermine le niveau de sensibilité des


dirigeants et du personnel aux besoins de contrôles et de respect des
principes de management ;

➢ La compétence et les comportements du personnel ;

➢ La philosophie des dirigeants et le style de management ;

➢ La politique de délégation des responsabilités, d’organisation et de


formation.

Lorsque l’environnement de contrôle est défavorable, les procédures de


contrôle interne ont peu de chance d’être efficaces.

2. Le dispositif d’identification et de gestion des risques

C’est le processus adopté par la direction pour identifier, analyser et maîtriser


les risques provenant tant de facteurs externes qu’internes auxquels
l’entreprise est exposée. Il est de la responsabilité de la direction d’étudier
même à l’avance :

➢ les mécanismes de détection et de surveillance des risques,

➢ la responsabilisation d’un Risk Manager pour cette surveillance,

➢ l’élaboration de mesures alternatives,

➢ la confection de scénarios de crise avec de mesures appropriées.

La cartographie des risques, pièce maîtresse du dispositif est un véritable


inventaire des risques de l’organisation ; elle permet d’atteindre trois
objectifs :

➢ inventorier, évaluer et classer les risques de l’organisation,

➢ informer les responsables afin que chacun soit en mesure d’y adapter
le management de ses activités,
➢ permettre à la direction d’élaborer une politique de risque.

Première étape : Elaboration d’une nomenclature de risques


➢ Risques sociaux
➢ Risques financiers
➢ Risques informatiques
➢ Risques technologiques
➢ Risques de transport

Cours de Monsieur GNIMASSOUN G. Michel Page 53


Support du cours de Maîtrise des risques et de contrôle interne

➢ Risques commerciaux
➢ Risques juridiques
➢ Risques politiques, etc.

Mais on peut affiner en détaillant telle ou telle rubrique. Ainsi « Risques


financiers » peut devenir :

➢ Détournement de fonds

➢ Gestion de trésorerie déficiente

➢ Paiements non autorisés, etc.

Seconde étape : Identification de chaque processus /fonction/activité


devant faire l’objet d’une estimation.
Troisième étape : Estimation de chaque risque pour chacune des
fonctions/activités, selon une cotation (1) Faible, (2) Moyen, (3) Elevé.
Quatrième étape : Appréciation globale du risque pour chaque activité.

3. Les activités ou les procédures de contrôle

C’est le troisième étage de la pyramide du COSO, troisième composante du


contrôle interne d’une entité. Il ne saurait avoir un contrôle interne dans une
entité s’il n’y a pas, à chaque échelon, des activités de contrôle pour faire
échec aux risques. Les activités ou procédures de contrôle permettent de
s'assurer que les transactions :
➢ sont autorisées par des personnes responsables, donc réelles ;

➢ sont enregistrées correctement et exhaustivement et sont bien


évaluées dans les comptes ;

➢ et bien exécutées sur le plan opérationnel.

Elles comprennent notamment les procédures ci-après :

➢ les contrôles de supervision ou de pilotage technique (monitoring


controls) ;
➢ les contrôles d’autorisation ou d’approbation ;
➢ les contrôles sur l’exhaustivité et l’exactitude des saisies ;
➢ la sécurité des actifs et des enregistrements ;
➢ la séparation des tâches
➢ la documentation et l’enregistrement correct des opérations.

Cours de Monsieur GNIMASSOUN G. Michel Page 54


Support du cours de Maîtrise des risques et de contrôle interne

4. Le système d’information et de communication

Le système d’information est défini comme l’ensemble des ressources


matérielles, logicielles, humaines et organisationnelles, impliquées dans la
production des documents comptables d’une organisation.

Le système comptable est l'ensemble des procédures mises en place pour


identifier, collecter, classer, analyser, enregistrer et traiter les données et les
opérations de l'entreprise. Système de partie double, plan de comptes,
journaux comptables, balances de vérification, analyses de comptes etc…,
ces procédures permettent d'aboutir à la confection des états financiers. Le
système peut être manuel : établissement à la main des documents jusqu'aux
livres comptables obligatoires :

- journal
- grand livre
- livre d'inventaire, livre de l'employeur.

Les éléments disparates du contrôle interne doivent pouvoir jouer leurs rôle
avec souplesse et pour ce faire être connus de tous ceux qui, directement ou
indirectement, auront à les mettre en œuvre ou à les rencontrer. La
transparence doit donc être la règle : pas de retentions d’information, pas de
circuits de communication excessivement complexes, pas d’informations
superflues, pas de repli sur sa propre activité, tous éléments qui nuisent à la
bonne maîtrise de l’ensemble.

5. La structure de pilotage (monitoring)

Alain MIKOL le rappelle, les responsables de l’entreprise font parfois du


contrôle interne sans le savoir. En effet, chaque responsable où qu’il soit,
s’organise pour diriger son activité : Il va définir les tâches de chacun, mettre
au point des méthodes de travail, se doter d’un système d’information,
superviser les activités de son personnel, etc. Ce faisant, il mettra en place et
fera vivre un système de contrôle interne.

On ne saurait trop souligner que le contrôle interne est l’affaire des


responsables, que tout discours, toute formation sur le contrôle interne
s’adresse à eux, que c’est à eux qu’il appartient de le définir et de l’organiser.
Et c’est bien pourquoi les rapports de l’audit interne s’adressent aux
managers puisqu’il s’agit d’améliorer des dispositions dont ils assument, ou
doivent assumer, la définition, la mise en place et la maîtrise.

Cours de Monsieur GNIMASSOUN G. Michel Page 55


Support du cours de Maîtrise des risques et de contrôle interne

Un responsable ou un manager qui « sous-traiterait » son contrôle interne à


des tiers manquerait gravement à ses obligations.

Dans la structure de pilotage on distingue dans le contexte des nouvelles


régulations sur la transparence des entreprises :
- le président du CA ou du CS
- les comités techniques d’audit et de contrôle interne du CA
- la direction de l’audit interne
- le contrôle de gestion
- le directeur ou responsable comptable et financier
- le risk manager etc…

SESSION 3 : CONNAISSANCE DES PROCESSUS DE CONTROLE INTERNE

1. Principes de base du contrôle interne

 Organisation claire (environnement favorable, culture d’entreprise et


de contrôle) : organigramme, procédures écrites, définition des tâches
et des responsabilités, définition des pouvoirs, prénumérotation des
documents papiers ;

 Séparation des fonctions entre celles de décision de protection et de


conservation, de contrôle et comptabilisation ;

 Délégation de pouvoirs : étendue des autorisations/pouvoirs


permettant des décisions proches du terrain, rapides et efficaces ;

 Des contrôles intégrés dans les activités opérationnelles : Auto contrôle,


supervision, recoupement et contrôles réciproques ;

 Traçabilité : Communication d’informations pertinentes, complètes,


objectives et vérifiables ;

 Qualité du personnel : compétence, honnêteté et politiques


cohérentes ;

 Universalité : le contrôle interne concerne toute opération, toute


personne et s’exerce à tout moment.

2. Classification des cycles

Cours de Monsieur GNIMASSOUN G. Michel Page 56


Support du cours de Maîtrise des risques et de contrôle interne

Les activités sont analysées à travers des cycles d’opérations ou des


processus. Les processus constituent un concept essentiel dans les modèles
de Qualité (ISO 9000…). Ils constituent l’élément clé qui va permettre de
formaliser, d’harmoniser et d’optimiser les différentes pratiques fonctionnelles
et opérationnelles de l’entreprise, ceci afin de permettre d’obtenir des
résultats et d’atteindre les objectifs.

Le processus est la manière unique de coordonner et d’organiser les activités


de travail, l’information et les connaissances pour servir un client interne ou
externe.

Le comité d’application des normes professionnelles de la CNCC définit le


processus comme étant : «l’enchaînement des tâches, manuelles, semi-
automatiques, automatiques, concourant à l’élaboration, à la production ou
au traitement d’informations, de produits ou de services ».

Exemples :

➢ processus de gestion des ventes,


➢ processus de gestion des impayés,
➢ processus de fabrication,
➢ processus d’inventaire permanent,
➢ processus d’établissement des comptes, etc.

Cours de Monsieur GNIMASSOUN G. Michel Page 57


Les processus constituent l’organisation de l’entreprise et peuvent être représentés comme suit :
Direction de Gestion de l’entreprise

Métier N°1
ex : production Processus / ACHAT Processus Processus / VENTES
industrielle Fournisseurs PRODUCTION Clients

Métier N°2
Processus / ACHAT Processus / VENTES
ex : négoce
Fournisseurs Clients

Métier N°3
Processus Processus / VENTES
ex : prestation
PRODUCTION Clients
de services

PROCESSUS SUPPORT

Système Ressources Investissements Trésorerie Production


d’information Humaines De
et l'information
informatique
On distingue, dans ce schéma, trois grands domaines :

(a) La direction de l’entreprise (processus décisionnels)


La direction est composée des administrateurs définissant la stratégie de
l’entreprise et des décideurs chargés de la mise en œuvre et du suivi de cette
stratégie. La direction est responsable de l’organisation de l’entreprise et de
l’environnement de son contrôle interne, notamment en matière :

➢ d’intégrité et d’éthique ;
➢ de philosophie de management ;
➢ de composition du conseil d’administration et ses comités ;
➢ de structure de l’entreprise ;
➢ de niveau des compétences ;
➢ de délégation de pouvoirs.

(b) Les métiers (processus métiers)


Cœur de l’entreprise et de sa pérennité, le ou les métiers sont composés de
plusieurs processus enchaînés :

➢ Le processus d’achat : enchaînement des procédures d’acquisition et


de gestion des biens et services (matières premières et fournitures) et
relations avec les fournisseurs ;
➢ Le processus de production : enchaînement des procédures de
réalisation du produit fini ;
➢ Le processus de vente : enchaînement des procédures de diffusion du
produit fini et relations avec les clients. La terminologie, empruntée au
modèle industriel, peut s’adapter à tous les métiers y compris aux
prestations de services.

(c) Les processus supports


Les processus supports recouvrent les domaines, administratifs ou comptables
transversaux, communs à tous les acteurs de l’organisation.

On y retrouve :
➢ Le système d’information globale et l’informatique ;
➢ Les ressources humaines ;
➢ Les investissements corporels, incorporels et financiers ;
➢ La trésorerie et les financements ;
➢ La production de l’information (financière et non financière).
Support du cours d’Audit Interne et Procédures

3. Les cycles d’opérations

3.1 Achats / Fournisseurs

L’entreprise doit mettre en place une organisation correcte avec une bonne
définition des attributions des divers intervenants. Le cycle achats recouvre
généralement les étapes ou les procédures suivantes :
 expression des besoins ;
 déclenchement de la commande ;
 réception des biens ou services ;
 enregistrement des achats et des dettes fournisseurs ;
 mise en paiement des factures.

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Achats ne correspondant pas aux besoins, rupture de stocks,
1. Expression des besoins
constitution de stocks pléthoriques, Achats non prévus au budget.
Achats à des prix supérieurs aux prix du marché, recours à des
2. Consultation des fournisseurs
fournisseurs ne présentant pas de garanties suffisantes
Achats de produits de mauvaise qualité, Achats de biens ou services
3. Déclenchement de commande
non commandés ou non conformes, litiges avec les fournisseurs
Réception de biens non commandés, ou non conformes
4. Réception de biens ou services
mauvais suivi des réceptions, insécurité des articles en stock
Pertes de factures reçues, erreurs d'enregistrement des
5. Enregistrement des achats
dettes fournisseurs, enregistrement de fausses factures
Pertes de factures reçues, erreurs d'enregistrement des
6. Vérification des factures
dettes fournisseurs, enregistrement de fausses factures
Paiement de factures ne correspondant pas à une livraison
7. Paiement des factures
effective. Paiement avec retard (double paiement) de factures
Pertes de factures reçues, difficulté à justifier les enregistrements
8. Archivage des documents
comptables, perte de piste d'audit, difficulté de vérifier les comptes

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Expression des besoins

a) Les services utilisateurs doivent exprimer leurs besoins par le biais de


demandes d’achats prénumérotés précisant les caractéristiques des
biens et services à acquérir, ainsi qu’une suggestion des fournisseurs
possibles.

b) Les demandes d’achats doivent être validées par un responsable et


par la direction pour s’assurer que les achats envisagés sont utiles pour
l’entreprise.

Cours de Monsieur GNIMASSOUN G. Michel Page 60


Support du cours d’Audit Interne et Procédures

c) Les demandes d’achats validées doivent être vérifiées par le


magasinier afin de s’assurer si les biens concernés ne figurent pas en
stock.

d) Avant de déclencher la commande, le directeur des


approvisionnements s’assure que l’achat est bien prévu au budget et
que les ressources nécessaires à l’opération sont bien disponibles.

Procédure 2 : Consultation des fournisseurs

a) Lorsque les biens demandés ne sont pas en stock, une consultation de


trois fournisseurs au moins est effectuée à l’aide d’une demande de
prix ou de facture proforma. Cette procédure permet d’obtenir, à
qualité égale, les meilleurs prix possibles.

b) Il est nécessaire de prendre connaissance de la situation financière des


fournisseurs préalablement à la passation de la commande. Il est
également nécessaire de prendre des garanties, notamment en cas
de versement d’avances et d’acomptes sur commandes.

c) Il faut avoir un dossier qui justifie le fournisseur retenu par exemple un


tableau d’analyse des offres, les dossiers de consultation, les offres de
prix et les factures proforma obtenus des différents fournisseurs.

Procédure 3 : Passation des commandes

a) Un bon de commande prénuméroté est établi au nom du fournisseur


retenu et précisant les spécifications de quantité, de qualité, de prix et
de délai de livraison.

b) Les bons de commande sont classés par ordre chronologique dans


l’attente des livraisons. Ils font l’objet de relance par le responsable des
achats pour éviter tout retard préjudiciable aux opérations de
production et de vente.

Procédure 4 : Réception des biens ou services

a) Les biens réceptionnés doivent correspondre aux quantités et


spécifications mentionnées sur le bon de commande. Une
comparaison est faite et les écarts observés doivent être traités.

b) La réception de biens endommagés ou présentant une qualité


insuffisante doit faire l’objet de retour ou de réclamation et donner lieu
à un avoir.

c) Un bon de réception prénuméroté est établi pour chaque réception


dès l’acceptation des biens concernés.

Cours de Monsieur GNIMASSOUN G. Michel Page 61


Support du cours d’Audit Interne et Procédures

d) Toute marchandise reçue en stock doit être enregistrée sur les fiches de
stock du magasinier en quantité (comptabilité-matières) sur la base du
bon de réception classé chronologiquement.

e) En cas de réception partielle, celle-ci est enregistrée pour la quantité


effectivement reçue et la quantité restant à livrer est mentionnée sur le
BC qui est classé dans l’attente de la livraison prochaine.

Procédure 5 : Enregistrement des achats et des dettes fournisseurs

a. Les factures reçues des fournisseurs sont saisies chronologiquement


dans un registre des factures fournisseurs et transmises aux services
techniques pour vérification.

b. Il est procédé à l’estampillage des factures originales au moyen d’un


cachet « ORIGINAL » et à l’annulation des copies au moyen d’un
cachet « duplicata non payable ».

c. Il est procédé à l’enregistrement immédiat des factures en achats et


dettes fournisseurs avec enregistrement du délai fournisseur afin
d’éviter tout retard de paiement préjudiciable aux relations avec les
fournisseurs.

Procédure 6 : Vérification des factures fournisseurs

a) Il est procédé au contrôle des factures reçues aux fins de s’assurer si


elles correspondent :

- aux commandes : en quantité, prix et qualité.


- aux réceptions : en quantité, prix et qualité.

b) Une mention « Bon à payer, ou service fait » est portée sur la facture
lorsque les contrôles précédents sont satisfaisants.

c) En fin de période, les réceptions ou prestations non encore facturées


(factures non parvenues) sont déterminées à l’aide des BR n’ayant
pas encore donné lieu à facturation.

Procédure 7 : Paiement des factures

a) Les factures sont payées avant l’échéance par l’établissement d’un


chèque barré au profit du fournisseur, transmis à celui-ci par les voies les
plus sûres.

b) Les factures et les documents qui l’accompagnent BR, BC, BL sont


estampillés à l’aide du cachet « PAYE » pour annulation.

Cours de Monsieur GNIMASSOUN G. Michel Page 62


Support du cours d’Audit Interne et Procédures

c) Le règlement fournisseur est enregistré et la dette fournisseur annulée.

Procédure 8 : Archivage des documents

a) Les factures et les documents qui l’accompagnent DA, BC, BR, BL et


tableau de sélection des fournisseurs sont classés dans un dossier
d’achat au service comptable ou au service archives.

b) Ce classement permet la justification aisée des procédures suivies


depuis l’expression des besoins jusqu’à la comptabilisation et à
l’archivage des pièces. Il assure la facilitation des contrôles ultérieurs
des vérificateurs internes ou externes (piste d’audit).

3.2 CYCLE 2 : VENTES CLIENTS

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Acceptation de commandes provenant des clients insolvables
1. Traitement des commandes
retards de livraison, litiges avec les clients, créances douteuses
Mauvais suivi des livraisons, écarts ou pertes de stocks
2. Sortie de stocks
oubli de facturation des ventes
Pertes de factures clients, erreurs d'enregistrement des factures
3. Enregistrement des factures
mauvais suivi des créances et des paiements
Retards de paiement des factures clients, Créances insolvables
4. Suivi des créances
et non recouvrées
mauvaise identification des créances, difficulté d'analyse des
5. Recouvrement de créances
comptes clients, pertes ou fraudes sur titres de paiement reçus
Pertes de factures reçues, difficulté de justifier les enregistrements
6. Archivage des documents
comptables et perte de piste d'audit, difficulté de vérifier les comptes

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Acceptation et traitement des commandes

a) Le service commercial reçoit les commandes des clients précisant


les quantités et autres spécifications des articles commandés.

b) Il procède à un contrôle de solvabilité des clients dans le but


d’éviter la vente à des personnes insolvables et la multiplication des
créances douteuses.

c) Une liste de clients insolvables (liste noire) est établie et une


consultation des listes d’auteurs de chèques sans provision auprès
des banques est effectuée pour éviter la survenance des créances
douteuses.

Cours de Monsieur GNIMASSOUN G. Michel Page 63


Support du cours d’Audit Interne et Procédures

d) Seul le directeur général peut autoriser les ventes à crédit ou les


ventes à des conditions particulières.

e) Toute commande étudiée acceptée donne lieu à émission d’un


bon de commande client (BC) signé par celui-ci ou d’un document
de vente (DV) prénuméroté et signé par le responsable du service
commercial et joint au bon de commande client et précisant le
délai de livraison à observer par le service magasin.

Procédure 2 : Sortie physique des stocks

a) Le document de vente (DV) est transmis au Service Magasin qui


émet un bon de sortie (BS) soumis à la signature du client.

b) Le service Magasin livre au client ou par le biais d’un transporteur les


marchandises mentionnées sur le document de vente ou sur le bon
de sortie.

c) La sortie est enregistrée sur la fiche de stock du magasinier en


comptabilité matières.

d) Tout bon de sortie donne lieu à l’émission d’une facture client qui
mentionne le prix, total hors taxes, les autres frais et le montant TTC,
le tout vérifié et signé par le directeur commercial.

Procédure 3 : Comptabilisation de la facture de vente

a) Les factures sont enregistrées en respectant la séquence


chronologique de leurs prénumérotations, avec indication des BS ou
des DV associés.

b) Les enregistrements font l’objet d’une supervision du directeur des


ventes : exhaustivité, exactitude etc…

Procédure 4 : Suivi des créances clients

c) Les créances sont suivies en fonction des délais de crédit accordés


pour de réduire les risques d’insolvabilité. A cet effet, une balance
des comptes clients par antériorité doit être dressée pour faciliter ce
suivi pour tous les clients.

d) Pour les créances impayées, des lettres de relance signées par le


directeur commercial doivent être envoyées à tous les clients
n’ayant pas pu honorer leurs engagements à l’échéance.

Cours de Monsieur GNIMASSOUN G. Michel Page 64


Support du cours d’Audit Interne et Procédures

e) Les comptes individuels des clients doivent être analysés par facture
et par échéance et les analyses ainsi faites classées sont dans un
dossier d’analyse qui sera mis à jour à chaque fin de mois.

f) Passé un délai de 60 jours, les créances en question doivent être


déclassées en créances douteuses et provisionnées selon un plan
de dépréciation défini par la direction.

Procédure 5 : Recouvrement des créances

a) Les encaissements reçus : chèques ou espèces doivent être


identifiés par clients et par facture afin de permettre une analyse
nominative fiable des créances clients.

b) Les titres de paiement reçus doivent être protégés. Les chèques


doivent être barrés et la totalité des encaissements, remis à la
banque sans aucun prélèvement pour effectuer des dépenses.

Procédure 6 : Archivage des documents

3.3 CYCLE 3 : GESTION DU PERSONNEL ET PAIE

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Incompétence des agents recrutés, absence
et
1. Recrutement et suivi des effectifs
retard, dossiers non à jour, non respect des
textes
Paiement de salaires indus, démotivation du
per-
2. Etablissement de la paie
sonnel, mauvais calcul des impôts et
cotisations
3. Congés payés et des Mauvais suivi des dettes sociales, comptes
rémunérations de fin de carrière annuels inexacts
Non respect des textes, Amendes et pénalités
4. Registres légaux
des administrations fiscales et sociales
Non vérifiabilité des comptes et des
5. Gestion des dossiers opérations
Non respect des textes,

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Recrutement et suivi des effectifs

a) Toutes les personnes embauchées et inscrites dans l’effectif du


personnel doivent avoir chacune un dossier individuel comprenant des

Cours de Monsieur GNIMASSOUN G. Michel Page 65


Support du cours d’Audit Interne et Procédures

pièces administratives régulièrement mises à jour : acte de naissance,


casier judiciaire, diplômes, situation familiale, photo d’identité etc …

b) Tout recrutement doit être effectué sur la base d’un appel à


candidature avec des critères basés sur la compétence et les valeurs
morales d’intégrité, d’honnêteté, de sincérité, de loyauté, etc… Il doit
donner lieu à un contrat de travail notifié aux administrations sociales
compétentes.

c) Les présences et la ponctualité du personnel doivent être suivies dans


le but de déceler et d’éviter les éventuels absences et retards pouvant
avoir d’incidence sur la performance de l’entreprise.

d) Les absences et retards doivent être évalués et défalqués lors du calcul


des rémunérations et avantages au personnel à la fin de chaque mois.

e) Les procédures de maintien ou de licenciement du personnel doivent


respecter les règles fiscales et sociales en vigueur.

Procédure 2 : Etablissement et enregistrement de la paie

a) La paie à la fin de chaque mois est établie et arrêtée sur la base des
grilles de salaire fixées dans les conventions collectives et les contrats
individuels de travail et en tenant compte des éléments variables issus
des contrôles de présence et de ponctualité.

b) Les éléments fixes et variables de paie saisis par le service paie doivent
être vérifiés pour s’assurer de leur prise en compte effective pour la
détermination des salaires.

c) Les retenues pour impôts et pour cotisations sociales à la charge des


salariés doivent être précomptées et reversées dans les délais légaux
prévus.

d) Les impôts et cotisations sociales à la charge de l’entreprise doivent


être calculés, enregistrés et reversés aux administrations fiscales et
sociales dans les délais légaux fixés.

Procédure 3 : Suivi des congés payés et des rémunérations de fin de carrière

a) Un suivi individuel est effectué afin d’établir un programme de départ


en congé annuel de chaque agent afin d’éviter la fatigue et le cumul
des arriérés de congés.

b) Les congés dus au personnel doivent être décomptés au prorata du


temps passé par chaque agent et provisionnés dans les charges
sociales à la fin de chaque année.

Cours de Monsieur GNIMASSOUN G. Michel Page 66


Support du cours d’Audit Interne et Procédures

c) Les indemnités de fin de carrière doivent être décomptées au prorata


de l’ancienneté de chaque agent et provisionnées dans les charges
sociales à la fin de chaque année.

3.4 CYCLE 4 : PRODUCTION

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Production de biens ne correspondant pas aux besoins des
1. Planning de production
des clients, défaut d’assurance ou sinistres non couverts
Sorties de stocks non autorisées, fraudes ou pertes sur stocks
2. Ordre de sortie des stocks
différences ou écarts sur stocks
Mauvaise qualité des biens produits, insatisfaction des clients
3. Process de production
mévente des produits de l’entreprise.
Suivi insuffisant des stocks produits, Rupture de stock de pro-
4. Rapport de production
duits finis, insatisfaction des clients.
Non vérifiabilité des comptes et des opérations de productions
5. Gestion des dossiers
Non vérifiabilité des stocks de produits

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Planning de production

a) Les besoins de production de produits doivent être recensés afin


d’éviter de produire des biens sans débouché qui seront par la suite
dépréciés.

b) Les besoins identifiés et évalués doivent donner lieu à un planning de


production qui définit le rythme de production à adopter lors de la mise
en marche des matériels.

c) Il faut vérifier que les assurances requises pour l’exploitation de l’outil de


production ont été souscrites avant sa mise en marche.

Procédure 2 : Ordre de sortie des stocks de matières et fournitures

a) Le responsable de la production exprime ses besoins de matières et


fournitures en quantité et en qualité.

b) L’ordre de sortie des matières et fournitures doit être approuvé et signé


par un responsable habilité.

c) Les matières et fournitures mises à la disposition des services de


production sont enregistrées en comptabilité-matières (fiches de
stocks) et en comptabilité générale (inventaire permanent).

Cours de Monsieur GNIMASSOUN G. Michel Page 67


Support du cours d’Audit Interne et Procédures

Procédure 3 : Respect du process de production

a) La production doit être exécutée dans le respect du process de


production et du programme d’assurance qualité.

b) Des prélèvements sont effectués par sondage dans le but de vérifier en


permanence la qualité des produits et de détecter la présence
d’anomalies à corriger.

Procédure 4 : Rapport d’activités de production

a) Les quantités produites sont notées au fur et à mesure sur des fiches de
production de produits finis et semi ouvrés.

b) Ces quantités sont cumulées jusqu’à la fin du mois et donnent lieu à


l’élaboration d’un rapport mensuel d’activité de production.

c) Un inventaire est effectué à la fin du mois pour vérifier l’état du stock et


la fiabilité des données portées dans le rapport d’activité de
production.

d) Une comptabilité analytique doit être mise en place dans le but de


suivre en permanence les encours de production, d’en connaître la
valeur et de calculer de manière fiable les coûts de production des
produits stockés.

3.5 CYCLE 5 : STOCKS

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Existence de mouvements non enregistrés, vols et autres sorties
1. Suivi et protection des stocks
non autorisées
Suivi insuffisant des stocks, vols, coulages des stocks, comptes
2. Inventaire physique
annuels inexacts
Erreurs dans le calcul des coûts de production, des coûts d’achat
3. Valorisation des stocks
et dans la valorisation des stocks
Non vérifiabilité des comptes et de la valorisation des stocks
4. Gestion des dossiers
Non vérifiabilité des stocks de matières fournitures et produits

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Suivi et protection physique des stocks

a) Les mouvements de stocks : matières premières, fournitures et produits


finis doivent être justifiés et autorisés.

Cours de Monsieur GNIMASSOUN G. Michel Page 68


Support du cours d’Audit Interne et Procédures

b) L’accès aux lieux de stockage est strictement limité pour éviter les vols
et autres sorties non autorisées : fermetures des magasins, défense
d’entrer aux personnes non autorisées, grilles de protection…

c) La justification systématique des mouvements se fait par des


documents préformatés et prénumérotés : bon d’entrée, bon de sortie,
bon de retour.

Procédure 2 : Inventaire physique périodique ou tournant

a) Un inventaire complet des stocks est effectué au moins une fois par an.
Il permet de vérifier l’existence effective des articles en stock et de
vérifier l’exactitude des quantités figurant sur les fiches de stock du
magasinier avec celles figurant dans les comptes en comptabilité.

b) L’inventaire peut être effectué de manière plus fréquente par exemple


à la fin de chaque mois. Dans ce cas, il est limité à quelques références
et répété à la fin de tous les mois jusqu’à la fin de l’année de façon à
couvrir toutes les références en stocks (inventaire tournant).

c) Dans ce cas, l’entreprise est dispensée d’effectuer un inventaire


complet à la fin de l’année, à condition qu’elle dispose d’un système
d’inventaire comptable permanent qui permet de donner une
valorisation fiable des stocks à l’inventaire.

Procédure 3 : Valorisation et dépréciation des stocks

a) Les stocks inventoriés doivent être valorisés en fin d’exercice sur la base
de leur valeur réelle conformément aux méthodes définies par les
normes et l’entreprise.

b) Les articles dépréciés et ceux à rotation lente doivent faire l’objet de


provisions pour dépréciation calculées conformément aux méthodes
définies par l’entreprise.

Procédure 4 : Classement des documents d’inventaire

a) Les documents relatifs aux stock : fiches de stocks, bons d’entrée, bons
de sorties, bons de retour, bons de transfert doivent être conservés pour
des contrôles à posteriori.

b) Les documents relatifs aux inventaires périodiques et ou tournants


doivent être conservés dans les dossiers d’arrêté des comptes annuels.

Cours de Monsieur GNIMASSOUN G. Michel Page 69


Support du cours d’Audit Interne et Procédures

3.6 CYCLE 6 : TRESORERIE

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Mise en paiement sans justification, double paiement, paiement
1. Justificatifs de toute opération
Indû, vol de chèques ou de valeurs, pertes ou remises tardif
Non enregistrement de chèques ou de virements, fraudes
2. Rapprochement bancaire
Dissimulations de fraudes, enregistrements fictifs d’opérations
Retraits frauduleux par des anciens dirigeants n’ayant plus de
3. Mise à jour pouvoirs bancaires
Pouvoir de signature
Non vérifiabilité des comptes et des factures de trésorerie
4. Gestion des dossiers
Non vérifiabilité des comptes et des opérations

En plus des procédures définies dans les cycles Achats et Ventes relatives aux
encaissements et aux décaissements, il est conseillé de prendre en
considération les procédures ci-après :

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Justificatifs de toute opération

a) Toute opération d’entrée ou de sortie de fonds doit être étayée d’une


pièce justificative en bonne et due forme revêtue d’une autorisation
donnée par un responsable et classée chronologiquement.

b) Une fois payées, les pièces de paiement doivent être marquées à


l’aide d’un cachet « PAYE » qui permet d’éviter un double paiement.

c) Tout paiement au-delà d’un seuil défini doit être effectué par chèque
afin d’assurer une plus grande traçabilité du règlement.

Procédure 2 : Rapprochement bancaire périodique

a) L’entreprise doit vérifier au moins une fois par mois ses comptes
bancaires et obtenir les relevés de comptes auprès de chaque
banque.
b) Les opérations bancaires doivent être systématiquement pointées et les
suspens mis en évidence recensés dans un état de rapprochement
vérifié par le directeur financier.

c) Les suspens identifiés doivent donner lieu à des investigations auprès


des banques concernées afin de clarifier les raisons des écarts
constatés.

d) Des mesures doivent être prises pour la correction de ces anomalies et


pour l’apurement diligent des suspens identifiés.

Cours de Monsieur GNIMASSOUN G. Michel Page 70


Support du cours d’Audit Interne et Procédures

Procédure 3 : Mise à jour des pouvoirs bancaires

a) Lors des changements de responsables à la tête de l’entreprise, il est


nécessaire de procéder auprès des banques à la mise à jour des
signatures autorisées.

b) Les noms et les spécimens de signature des nouveaux responsables


doivent être communiqués à la banque et ceux des anciens
responsables supprimés afin d’éviter toute opération non autorisée ou
fruduleuse.

3.7 CYCLE 7 : INVESTISSEMENTS

Cette section porte sur les opérations d’acquisition d’immobilisation avec


comme étapes :

- la détermination et la réalisation des investissements et des


désinvestissements ;
- l’enregistrement des immobilisations ;
- l’enregistrement des cessions et des amortissements ;
- les inventaires.

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Acquisitions d’immobilisations non nécessaires à l’acti-
1. Planification et décisions
vité ou ne présentant pas des critères de rentabilité
Fonctionnement défectueux des immobilisations
2. Suivi et protection des immobilisations
Vols ou détérioration des immobilisations
Pertes vols des immobilisations, non comptabilisation
3. Inventaire physique
Des sorties et mises au rebut
Enregistrement des immobilisations en charges ou des
4. Enregistrement des immobilisations
Charges en immobilisations, mauvais calcul des amorts

Les points de contrôle des phases relatives au déclenchement de la


commande à la réception, à l’enregistrement et au paiement des factures
sont sensiblement similaires à ceux déjà présentés dans le cycle Achats
fournisseurs.

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Planification et décisions des investissements et


désinvestissements

Cours de Monsieur GNIMASSOUN G. Michel Page 71


Support du cours d’Audit Interne et Procédures

a) Les besoins en matière d’investissements doivent être soigneusement


recensés et chiffrés afin d’éviter l’acquisition d’immobilisations non
nécessaires à l’activité.
b) Les investissements prévus doivent être analysés afin de s’assurer qu’ils
satisfont aux critères de faisabilité et de rentabilité définis par la
direction. Préalablement à toute commande, une étude de rentabilité
doit être faite par écrit.

c) Les investissements à réaliser doivent avoir été prévus dans un plan


pluriannuel et dans un budget annuel d’investissements.

d) Les demandes d’investissements doivent être rapprochées avec le


budget d’investissement et les écarts analysés et traités.

Procédure 2 : Suivi et protection des immobilisations

a) L’ensemble des informations relatives aux entrées et aux sorties


d’immobilisations sont transmises au service comptable pour
enregistrement.

b) Les immobilisations exposées au vol doivent être identifiées (plaque,


numéro d’identification…).

c) Les immobilisations doivent faire l’objet d’inventaire physique


périodique d’un rapprochement avec la comptabilité et d’un
rapprochement entre fichiers des immobilisations et la comptabilité.

3.8 CYCLE 8 : REPORTING FINANCIER

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Retard d’enregistrement des opérations, Omissions et autres
1. Saisie décentralisée en temps réel
erreurs de saisie
Erreurs dans les comptes, impossibilité de connaître le contenu
2. Travaux mensuels et d’analyse
des comptes arrêtés
Défaut de valeur probante de la comptabilité, Rejet de compta-
3. Tenue des livres légaux
lité et taxation d’office en cas de vérification fiscale
Erreurs dans les comptes, impossibilité de connaître le contenu
4. Arrêté annuel des comptes
des comptes arrêtés
Erreurs dans les comptes, impossibilité de connaître le contenu
5. Dossier annuel d’analyse comptes
des comptes arrêtés

2. Description des contrôles liés aux procédures du cycle

Cours de Monsieur GNIMASSOUN G. Michel Page 72


Support du cours d’Audit Interne et Procédures

Procédure 1 : Saisie décentralisée en temps réel des opérations

a) Les opérations doivent être imputées et saisies en temps réel par les
opérationnels conformément aux schémas comptables définis dans le
manuel et les documents justificatifs soigneusement classés.

b) Les comptes à débiter et ceux à créditer doivent être indiqués sur la


pièce comptable ou sur une fiche d’imputation soigneusement
agrafée à la pièce comptable afin de faciliter les contrôles ultérieurs
(pré-imputation).

c) Un journal de saisie doit être édité pour permettre de vérifier si les saisies
sont exactes et conformes avec les fiches d’imputation avant la
validation de la journée comptable.

d) Après vérification, la journée comptable est validée et clôturée. Un état


comptable journalier est édité et transmis au responsable comptable et
au directeur général.

Procédure 2 : Travaux mensuels et d’analyse des soldes

a) A la fin de chaque mois, les comptes sont clôturés et les soldes


soigneusement déterminés. Ils donnent lieu à l’édition d’une balance
mensuelle de comptes qui est classée.

b) Chaque solde est analysé de façon à expliquer le contenu exact de


celui-ci. En cas d’inexactitude entre le contenu du solde et la nature
du compte concerné, une écriture de régularisation doit être initiée en
vue de corriger le solde du compte.

c) Les analyses de comptes doivent être classées compte par compte


dans un dossier approprié avec une copie de la balance mensuelle de
comptes.

Procédure 3 : Tenue du journal légal

a) Le livre journal récapitule mensuellement les totaux des opérations


selon le principe de la centralisation mensuelle des écritures
comptables à partir de la balance mensuelle définitive.

b) L’entreprise doit conserver la balance mensuelle informatique ainsi que


les documents justificatifs permettant de vérifier ces opérations jour par
jour.

Cours de Monsieur GNIMASSOUN G. Michel Page 73


Support du cours d’Audit Interne et Procédures

c) La centralisation mensuelle au journal est effectuée grâce à un article


de journal de type :

Débit : Divers débits XXXXXXX


Divers crédits XXXXXXX

Procédure 4 : Arrêté annuel et analyse des soldes

a) A la fin de l’année, les comptes sont clôturés et les soldes


soigneusement déterminés comme en fin de mois. Ils donnent lieu à
l’édition d’une balance annuelle de comptes qui est classée.

b) Chaque solde est analysé de façon à expliquer le contenu exact de


celui-ci. En cas d’inexactitude entre le contenu du solde et la nature
du compte concerné, une écriture de régularisation doit être initiée en
vue de corriger le solde du compte.

c) Les analyses de comptes doivent être classées compte par compte


dans un dossier annuel approprié avec une copie de la balance
annuelle.

3.9 CYCLE 9 : PROCESSUS DE DIRECTION

1. Cartographie des risques associés aux procédures du cycle

Etapes du cycle Risques de contrôle interne


Mauvaise orientation dans les politiques, Insuffisance
1. Organes de contrôle efficace
dans la vérification du contrôle interne
Insuffisance dans la mise en œuvre des plans d’action
2. Documentation de la stratégie
Mauvais suivi de la mise en œuvre des plans d’action
Mauvais pilotage de la gestion et des prises de décisions
3. Outils de pilotage
Absence d’indicateurs de gestion
Blocages de l’entreprise en cas de vacance d’un poste
4. Dépendance envers ses dirigeants
important,
Confusion dans les habilitations et dans la délimitation
5. Contrôles des pouvoirs
des pouvoirs

2. Description des contrôles liés aux procédures du cycle

Procédure 1 : Existence d’organe de contrôle efficace

d) La société doit être placée sous le contrôle d’un conseil


d’administration ou de surveillance efficace comprenant des
administrateurs indépendants et des comités spécialisés : d’audit, de
contrôle interne, de bonne gouvernance.

Cours de Monsieur GNIMASSOUN G. Michel Page 74


Support du cours d’Audit Interne et Procédures

e) Elle doit avoir une cellule d’audit interne garante du fonctionnement


efficace du contrôle interne, indépendante des autres fonctions et
efficace dans l’exécution des travaux de vérification du
fonctionnement du contrôle interne.

Procédure 2 : Documentation de la stratégie

a) Elle doit disposer d’un plan stratégique sur cinq (5) ou dix (10) ans voire
plus, régulièrement mis à jour et connu des principaux acteurs internes.

b) Les plans d’action annuels et les budgets doivent être élaborés à partir
du plan stratégique. Ils font l’objet d’un suivi rigoureux qui permet de
s’assurer de la mise en œuvre effective des plans élaborés.

c) Les principaux acteurs internes sont informés du niveau d’exécution de


ces plans et des difficultés notamment par le biais rapports d’activités
périodiques.

Procédure 3 : Outils de pilotage

a) La société dispose d’une définition claire des attributions des postes


clefs.

b) La société dispose d’un service de contrôle de gestion qui assiste la


direction dans le pilotage de la gestion et dans la prise des décisions.

c) Des tableaux de bord mensuels doivent être mis à la disposition de la


direction, et des responsables opérationnels mettant en évidence des
indicateurs clés de l’entreprise.

Procédure 4 : Dépendance de l’entreprise envers ses dirigeants

a) Le fonctionnement de l’entreprise ne doit pas être lié à une seule


personne. Des procédures de délégation des pouvoirs et de
remplacement en cas de vacance d’un poste clé doivent être
définies.

b) Un contrat d’assurance « homme-clé » doit être souscrit permettant


une bonne couverture des risques.

Procédure 5 : Contrôles des pouvoirs

a) La séparation des tâches entre les différents acteurs doit être garantie
grâce à des habilitations et des droits d’accès clairement définis.

b) Des seuils de délégation sont définis dans le système à partir desquels


une validation de la hiérarchie ou d’un tiers est nécessaire.

Cours de Monsieur GNIMASSOUN G. Michel Page 75


Support du cours d’Audit Interne et Procédures

CHAPITRE 4 : MISSIONS D’EVALUATION DU


CONTROLE INTERNE (AUDIT INTERNE)

Session 1 : NOTION D’AUDIT INTERNE

I. Définition de l’audit interne

1. Ancienne conception

L’audit interne est une fonction de l’entreprise dont la mission est de donner
l'assurance aux responsables de tous niveaux que le système de contrôle
interne qu'ils ont mis en place pour maîtriser leurs activités fonctionne.
Le contrôle interne est l’élément primordial qui justifie l’existence de la
fonction d’audit interne.

2. Nouvelle conception
« L'Audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant, par une


approche systématique et méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacité » (l'IIA le 29 juin 1999).

La valeur ajoutée est :

- augmentation des chances de réaliser les objectifs de l’organisation


- identification des améliorations possibles sur le plan opérationnel
- et/ou réduction de l’exposition aux risques Le Gouvernement
d’entreprise est le dispositif comprenant les processus et les structures
mis en place par le conseil afin d’informer, de diriger, de gérer et de
piloter les activités de l’organisation en vue de réaliser les objectifs. Le
management des risques est un processus visant á identifier, évaluer,
gérer et piloter les événements éventuels et les situations pour fournir
une assurance raisonnable quant á la réalisation des objectifs de
l’organisation.

II. Comparaison avec autres fonctions avoisinantes

Cours de Monsieur GNIMASSOUN G. Michel Page 76


Support du cours d’Audit Interne et Procédures

1. Audit interne et contrôle de gestion

Contrôle de
Audit interne
gestion
Pilotage de Assistance au
Fonction
l’entreprise management
Veiller au Apprécier la
Objectif maintien des bonne maîtrise
grands équilibres des activités
Systèmes
Toutes les
Champ d’information :
informations
Divergences d’application résultats réels et
(chiffrées ou non)
prévisibles
Dépend des
Planifiée et
Périodicité résultats de
systématisée
l’entreprise
Dépend des
Méthodes de Spécifique à la
informations des
travail fonction
opérationnels
L’audit interne
s’intéresse Le contrôle de
également aux gestion fournit les
Objectifs et procédures du informations
Complémentarité champ contrôle de nécessaires pour
d’application gestion (apporte améliorer les
assistance au performances de
contrôle de l’audit interne
gestion).

2. Audit interne et inspection


Inspection Audit interne
Contrôle le travail Apprécier le
Rôle des hommes fonctionnement
des systèmes
S’assurer de
l’application des Apprécier les
Mission.
règles et règles et directives
directives
Divergences
- Recherche du - Recherches des
responsable et forces et
éventuellement faiblesses, leurs
Champ d’action
sanction causes et leurs
- Récupération conséquences
de ce quia -
disparu. Recommandations

Cours de Monsieur GNIMASSOUN G. Michel Page 77


Support du cours d’Audit Interne et Procédures

- Correction de la et propositions de
situation. solutions

Méthodesde Contrôle
Utilisation de test
travail exhaustif
Peut intervenir de
Modalité manière Intervient que sur
d’intervention spontanée et de mandat
son propre chef
Personne
d’expérience, Compétences
Compétences et
rigoureuse, ayant techniques et
qualités
autorité et talent qualités morales
pour s’imposer
Similitudes Statut Personnel de l’entreprise
Se saisit
éventuellement
des révélations Dans les structures
Complémentarité de l’audit pour où il n’y a pas
inspecter les d’inspection
personnes
concernées

3. Audit interne et audit externe

Inspection Audit interne


Indépendante Indépendante des
de l’entreprise activités auditées
exercée par des exercée par un
Fonction personnes auditeur faisant
extérieures à partie du
l’entreprise personnel de
l’entreprise.
Certifier la
régularité, la
sincérité et Apprécier la
Divergences
Objectif l’image fidèle des bonne maîtrise
comptes, des des activités
résultats et états
financiers
Contrat Mandat donné
contenant le par un ordre de
coût et la portée mission. Allocation
Mandat
de la mission. de ressources en
Obligation de fonction de la
moyens nature de la

Cours de Monsieur GNIMASSOUN G. Michel Page 78


Support du cours d’Audit Interne et Procédures

mission. Obligation
de résultats.
Tous ceux qui en
ont besoin
Responsables de
Bénéficiaires (actionnaires,
l’entreprise
banquiers, clients
fournisseurs…)
Contrôle interne Moyen Objectif
Qualités Même formation et mêmes exigences
professionnelles de compétence, d’objectivité, de
et personnelles qualités humaines et relationnelles
Similitudes Réglementation Mêmes règles d’éthiques
Même philosophie de rédaction des
Méthodologie rapports et utilisation des mêmes
outils.
- audit de
- audit financier régularité ; - audit
et comptable ; - d’efficacité ; -
Spécificités Finalité
audit audit de
- conseil management ; -
audit de stratégie
- L’existence de
l’audit interne
- Utilise les travaux
réduit le champ
Objectifs et de l’audit externe
d’investigation
Complémentarité champ pour étayer
de l’audit externe
d’application certaines
- s’appuie sur les
analyses.
travaux de l’audit
interne

4. Audit interne et consultant externe

Consultant
Audit interne
externe
Indépendante de Indépendante
l’entreprise des activités
exercée par des auditées exercée
Fonction personnes par un auditeur
extérieures à faisant partie du
l’entreprise personnel de
Divergences l’entreprise.
Bien précis :
Apprécier la
résoudre un
Objectif bonne maîtrise
problème dans
des activités
un temps donné.
Contrat Mandat donné
Mandat
contenant le par un ordre de

Cours de Monsieur GNIMASSOUN G. Michel Page 79


Support du cours d’Audit Interne et Procédures

coût et la portée mission.


de la mission. Allocation de
Obligation de ressources en
moyens fonction de la
nature de la
mission.
Obligation de
résultats.
Le responsable
Responsables de
Bénéficiaires qui a sollicité la
l’entreprise
mission
- audit de
régularité ; - -
Intervention audit d’efficacité
spécialisée (selon ;
Spécificités Finalité
la nature du - audit de
problème) management ;
- audit de
stratégie
Le consultant
généralement
Peut s’appuyer
vient en appui à
Complémentarité Utilisation sur les travaux de
l’auditeur pour
l’audit interne
certains points de
sa mission.

Session 2 : OBJECTIFS DE L’AUDIT INTERNE

I. Objectifs généraux

Les objectifs du contrôle interne sont :

- L’appréciation de la qualité du contrôle interne et de la réalisation des


objectifs du contrôle interne.
- L’assistance aux dirigeants pour une bonne exécution de leurs
responsabilités.

II. Champ d’application

Le champ d’application de l’audit porte sur l’appréciation de deux points


essentiels :

- l’existence et l’adéquation du contrôle interne ;


- la qualité des actions dans l’exécution des responsabilités assignées.
Selon la finalité de l’audit interne, on distingue : l’audit de régularité,

Cours de Monsieur GNIMASSOUN G. Michel Page 80


Support du cours d’Audit Interne et Procédures

l’audit d’efficacité, l’audit de management et l’audit de la stratégie.


Des objectifs spécifiques sont liés à la réalisation de ces différents types
d’audits.

1. L’audit de régularité ou de conformité

L’audit de régularité porte sur la vérification de la régularité et de la


conformité de l'application des dispositions du contrôle interne
conformément aux règles et à la réalité.

Objectifs :
- Faire ressortir (signaler) aux responsables les distorsions, les non applications et
les mauvaises interprétations des dispositions préétablies (référentiel) ;
- Analyser les causes et les conséquences ;
- Faire des recommandations pour la bonne application des règles.

2. L’audit de d’efficacité

L’audit d’efficacité englobe aussi bien les notions d’efficacité (atteinte des
résultats) et d’efficience (la meilleure façon d’atteindre les résultats). Il est
également appelé audit opérationnel. L’audit porte sur l’appréciation de la
qualité du dispositif de contrôle interne (existence, exhaustivité, exactitude…)
notamment des méthodes, procédures, analyses des postes, organisation du
travail…d’une activité donnée.

Objectifs :
- Faire le diagnostic d’un élément (situation, activité, opération…) en vue de
déceler les faiblesses et les points forts ;
- Analyser les causes et les conséquences ;
- Faire des recommandations pour une meilleure atteinte des résultats.

3. L’audit de management

L’audit de management consiste à la vérification de l’existence d’une


politique (exemple : politique de gestion du personnel) et de la cohérence
de cette politique avec la stratégie de l’entreprise et les politiques qui en
découlent.

Cet audit a des variantes qui sont moins pratiquées :

- vérifier la connaissance, la compréhension et l’application d’une


politique par ceux qui sont chargés de la mettre en œuvre ;
- apprécier le processus d’élaboration de la stratégie par rapport à un
cadre formalisé existant.

Cours de Monsieur GNIMASSOUN G. Michel Page 81


Support du cours d’Audit Interne et Procédures

Objectifs :
- S’assurer de l’existence d’une politique et de la cohérence de celle-ci avec la
stratégie de l’entreprise ;
- Faire des recommandations pour corriger les points de distorsion.

4. Audit de la stratégie

L’audit de stratégie consiste à l’appréciation des politiques et stratégies de


l’entreprise par rapport au milieu dans lequel elle évolue.

Objectif : s’assurer de la cohérence globale des politiques et stratégies de l’entreprise.

Session 3 : LES NORMES POUR LA PRATIQUE PROFESSIONNELLE DE L’AUDIT


INTERNE

Le but des normes d’audit est contribué au professionnalisme et à


l’amélioration des performances de l’audit interne.

Les normes ont pour objet :

➢ La fixation des principes de base que doit suivre la pratique de l’AI


➢ La mise en place d’un cadre de référence pour la réalisation des
activités d’audit interne en permettant l’apport d’une valeur ajoutée.
➢ L’établissement des critères d’appréciation d’un bon fonctionnement
de l’AI
➢ L’amélioration des processus organisationnels et des opérations.

Elles sont regroupées en trois (3) catégories :

- les normes de qualification,


- les normes de fonctionnement
- les normes de mise en œuvre.
Les deux premières s’appliquent á toutes les missions d’audit. Les normes de
mise en œuvre par contre déclinent les précédentes pour des missions
spécifiques (audit de conformité, fraude…).

I. Les normes de qualification

Les normes de qualification énoncent les caractéristiques que doivent avoir


les organisations et les personnes qui accomplissent des activités d’audit.

Cours de Monsieur GNIMASSOUN G. Michel Page 82


Support du cours d’Audit Interne et Procédures

1. Les mission, pouvoirs et responsabilités

Elles doivent être :

- formellement décrits dans une charte d’audit


- cohérents avec les normes
- dûment approuvés par l’autorité supérieure.

2. Indépendance et objectivité

➢ L’audit interne doit être indépendant et les auditeurs internes doivent


effectuer leur travail en toute objectivité.

➢ La structure en charge de l’audit interne doit être rattachée á un


niveau hiérarchique supérieur (ministre, conseil d’administration,
directeur général etc.)

➢ Chaque auditeur pris individuellement doit faire preuve d’objectivité. Il


doit avoir une attitude impartiale et dépourvue de préjugés, et éviter
les conflits d’intérêt.

➢ L’auditeur interne doit Informer les parties concernées lorsque son


objectivité et son indépendance sont compromises dans les faits et
même en apparence, notamment dans les cas d’incompatibilités
notamment :

• Cas des opérations particulières que l’auditeur interne a lui-même


été auparavant responsables ;
• Cas de missions d’assurance relatives à des fonctions qui ont été
auparavant à la charge du responsable de l’audit interne.

Ces incompatibilités ne s’applique pas dans le cas d’une mission de conseil,


toutefois, si l’indépendance et l’objectivité de l’auditeur sont susceptibles
d’être compromises lors d’une mission de conseil, il est tenu d’informer le
donneur d’ordre avant de l’accepter.

3. Compétence et conscience professionnelle

a) Compétence

Les auditeurs doivent remplir les missions avec compétence et conscience


professionnelle. Ils doivent avoir les connaissances, le savoir-faire et autres
compétences nécessaires pour l’exercice de leurs responsabilités individuelles
(norme de compétence).La structure en charge de l’audit interne : posséder
ou acquérir collectivement les connaissances, le savoir-faire et les autres
compétences nécessaires pour l’exercice de leurs responsabilités.

Cours de Monsieur GNIMASSOUN G. Michel Page 83


Support du cours d’Audit Interne et Procédures

Pour cela :
➢ Audit interne : requérir l’avis et l’assistance de personnes qualifiées
d’absence de connaissances, de savoir-faire et d’autres compétences
nécessaires pour s’acquitter tout ou partie de leur mission (exemple :
domaine informatique).

➢ Auditeurs internes ; disposer des connaissances suffisantes pour


identifier les indices d’une fraude, mais il n’est pas censé posséder
l’expertise d’une personne dont la responsabilité première est la
détection et l’investigation des fraudes.

➢ Responsable de l’audit interne : décliner une mission de conseil ou


obtenir l’avis et l’assistance de personnes qualifiées si l’équipe d’audit
interne ne possèdent pas les connaissances, le savoir-faire et les autres
compétences nécessaires pour s’acquitter tout ou partie de leur
mission.

b) Conscience professionnelle

Les auditeurs internes doivent apporter à leur travail la diligence et le savoir


faire que l’on peut attendre d’un auditeur interne averti et compétent. La
conscience professionnelle n’implique pas l’infaillibilité.

Dans l’exécution de son travail, L’auditeur interne doit prendre en compte les
éléments suivants :

- Etendue du travail nécessaire pour atteindre les objectifs de la mission


- Complexité relative, la matérialité ou le caractère significatif des
domaines auxquels sont appliquées les procédures propres aux missions
d’assurance ;
- Pertinence et l’efficacité des processus de management des risques,
de contrôle et de gouvernement d’entreprise
- Probabilité d’erreurs, d’irrégularités ou de non conformités significatives
;
- Coût de la mise en place des contrôles par rapport aux avantages
escomptés.

L’auditeur interne doit exercer une vigilance particulière á l’égard des risques
significatifs susceptibles d’affecter les objectifs, les opérations ou les
ressources.
La conscience professionnelle ne permet de garantir que tous les risques
significatifs seront détectés.
Dans le cas d’une mission de conseil, l’auditeur doit apporter à toute sa
conscience professionnelle, en prenant en considération les besoins et
attentes des donneurs d’ordre (nature, calendrier et communication des
résultats de la mission), la complexité de la mission, l’étendue du travail

Cours de Monsieur GNIMASSOUN G. Michel Page 84


Support du cours d’Audit Interne et Procédures

nécessaire pour atteindre les objectifs fixés, le coût de la mission par rapport
aux avantages escomptés.

c) Formation professionnelle continue

Les auditeurs internes doivent améliorer leurs connaissances, leur savoir faire
et autres compétence par une formation professionnelle et continue.

II. Les normes fonctionnement

Ces normes décrivent la nature des activités d’audit interne et définissent les
critères de qualité permettant d’évaluer les services fournis.

1. Gestion d’un service d’audit

Le responsable de l’audit interne doit gérer cette activité de façon á garantir


qu’elle apporte une valeur ajoutée.

Elle exige du responsable de l’audit interne :

➢ Une planification fondée sur les risques, établie par le responsable de


l’audit interne afin de permettre la définition des priorités cohérentes
avec les objectifs de l’organisation.
➢ Une communication á la direction et au conseil de son programme, ses
besoins et tout changement susceptible d’intervenir en cours de
mission d’une part et d’autre part, signaler l’impact de la limitation de
ces ressources.
➢ Une gestion des ressources affectées á cette activité notamment leur
adéquation, leur suffisance et leur mise en œuvre avec efficacité pour
la réalisation du programme approuvé.
➢ L’établissement de règles e procédures fournissant un cadre de
l’activité d’audit interne.
➢ Une coordination á travers le partage des informations et la
coordination des activités avec d’autres prestataires internes et
externes de services d’assurance et de conseil, de manière á assurer
une couverture adéquat des travaux et éviter si possible les doubles
emplois.
➢ La production d’un rapport au conseil ou á la direction générale et
portant sur :
• les missions, les pouvoirs et les responsabilités
• les résultats obtenus par rapport au programme prévu
• les risques importants, le contrôle et le gouvernement d’entreprise
• d’autres sujets dont le conseil et la direction ont besoin ou ont
demandés

Cours de Monsieur GNIMASSOUN G. Michel Page 85


Support du cours d’Audit Interne et Procédures

2. La nature du travail de l’audit interne

Le travail de ‘ audit interne porte sur l’évaluation des systèmes de


management des risques, de contrôle et de gouvernement d’entreprise et
contribue á leur amélioration.

a) Management des risques

L’audit interne doit aider l’organisation en identifiant en évaluant les risques


significatifs et contribuer á l’amélioration des systèmes de management des
risques et de contrôle.

L’évaluation des risques doit porter l’atteinte des objectifs du contrôle interne
et sur l’ensemble des risques y compris ceux ne rentrent pas dans le périmètre
de la mission, dans la mesure où ils sont significatifs.

b) Contrôle

L’audit interne doit aider l’organisation á maintenir un dispositif de contrôle


approprié en évaluant sin efficacité et son efficience en encourageant
l’amélioration continue.

Le contrôle est définit comme toute mesure prise par les premiers
responsables et d’autres parties afin de gérer les risques et d’accroitre la
probabilité que les but et objectifs fixés seront atteints.

Sur la base de l’évaluation des risques, l’auditeur interne doit évaluer la


pertinence et l’efficacité du dispositif de contrôle portant sur le
gouvernement d’entreprise, les opérations et les systèmes d’information de
l’organisation.

c) Gouvernement d’entreprise

L’auditeur interne doit contribuer au processus de gouvernement d’entreprise


en évaluant et en améliorant le processus par lequel :
- on définit et on communique les valeurs et les objectifs
- on suit la réalisation des objectifs
- on en rend compte
- on préserve les valeurs.

Les objectifs de cette évaluation sont :

- Cohérence des opérations et des projets avec les valeurs de


l’entreprise
- Cohérence des objectifs de la mission de conseil avec les valeurs et
objectifs généraux de l’entreprise.

Cours de Monsieur GNIMASSOUN G. Michel Page 86


Support du cours d’Audit Interne et Procédures

3. Planification de la mission

Les auditeurs doivent mettre au point et formaliser un plan pour chaque


mission en prenant en compte :

- les objectifs de l’activité soumise á l’audit et la manière dont elle est


maîtrisée
- les risques significatifs liés á l’activité, ses objectifs, les ressources mises
en œuvre et ses tâches opérationnelles, ainsi que les moyens par
lesquels l’impact potentiel du risque est maintenu á un niveau
acceptable ;
- la pertinence et l’efficacité des systèmes de management des risques
et de contrôle de l’activité, en référence á un cadre ou modèle de
contrôle de l’activité.
- Les opportunités d’améliorer de manière significative les systèmes de
management des risques et de contrôle de l’activité.

Les objectifs de la mission doivent être déterminés en fonction des résultats de


l’évaluation des risques. Le détail des objectifs doit tenir compte de la
probabilité qu’il existe des erreurs, irrégularités, cas de non-conformité et
autres risques importants.

Les objectifs d’une mission de conseil doivent porter sur le processus de


management des risques, de contrôle et de gouvernement d’entreprise dans
la limite convenue avec le client.

a) Champ de la mission

Le champ de la mission doit être suffisant :

- pour répondre aux objectifs de la mission


- pour couvrir les systèmes, les documents, le personnel et les biens
concernés y compris ceux qui se trouvent sous le contrôle de tiers
- les auditeurs doivent s’assurer au cours des missions de conseil que le
champ d’intervention permet de répondre aux objectifs convenus. En
cas de réserve en discuter avec le donneur d’ordre.

b) Ressources affectées á la mission

Les auditeurs internes doivent déterminer les ressources appropriées pour


atteindre les objectifs de la mission. La composition de l’équipe doit
s’appuyer sur une évaluation de la nature et de la complexité de chaque
mission, des contraintes de temps et de ressources disponibles.

c) Programme de travail de la mission

Cours de Monsieur GNIMASSOUN G. Michel Page 87


Support du cours d’Audit Interne et Procédures

Les auditeurs internes doivent élaborer et formaliser un programme de travail


d’atteindre les objectifs de la mission. Programme doit définir les procédures á
appliquer pour trouver, analyser, évaluer et documenter les informations lors
de la mission.

4. Accomplissement de la mission

Les auditeurs internes doivent identifier, analyser, évaluer et documenter les


informations nécessaires pour atteindre les objectifs de la mission

a) Identification des informations

Les auditeurs internes doivent identifier les informations nécessaires pour


atteindre les objectifs de la mission

b) Analyse et évaluation

Les auditeurs internes doivent fonder leurs conclusions et les résultats de leurs
missions sur des analyses et évaluations appropriées.

c) Documentation des informations

Les auditeurs internes doivent documenter les informations pour étayer les
conclusions et les résultats de la mission.

Le responsable de l’AI :

- Contrôler de l’accès aux dossiers


- Arrêter des règles en matière de conservation des dossiers de la mission
- Définir les procédures relatives á la protection et la conservation des
dossiers de la mission de conseil ainsi que leur diffusion.

d) Supervision de la mission

Les missions doivent faire l’objet d’une supervision appropriée afin de garantir
que les objectifs sont atteints, la qualité assurée et le développement
professionnel du personnel effectué.

5. Communication des résultats

Les auditeurs internes doivent communiquer rapidement les résultats de la


mission.

a) Contenu de la communication

Cours de Monsieur GNIMASSOUN G. Michel Page 88


Support du cours d’Audit Interne et Procédures

La communication doit inclure les objectifs et le champ de la mission, ainsi


que les conclusions, recommandations et plans d’actions y compris l’opinion
globale de l’AI, l’état des forces relevées

b) Qualité de la communication

La communication des résultats doit être exacte, objective, claire. Concise,


constructive, complète er émise en temps utile.

En cas d’erreur dans la communication finale, les informations corrigées


doivent être transmises á tous ceux qui ont reçu la version finale.

c) Indication de non-conformité aux normes

En cas de non-conformité aux normes, les résultats doivent indiquer :

- norme(s) non entièrement respectées


- raison(s) de la non-conformité
- l’incidence de la non-conformité sur la mission

d) Diffusion des résultats

Le responsable de l’audit interne doit diffuser les résultats aux personnes


appropriées.

6. Surveillance des actions de progrès

Le responsable de l’audit interne doit mettre en place et tenir á jour un


système permettant de surveiller la suite donnée aux résultats communiqués
au management.

7. Acceptation des risques par la Direction générale

Lorsque le responsable de l’audit interne estime que la direction générale à


accepter un niveau de risque résiduel qui pourrait s’avérer inacceptable pour
l’organisation, il doit en discuter avec elle.

Risques résiduels = risques restant après la prise de mesures pour réduire


l’impact ou la probabilité d’un événement défavorable (après la mise place
d’un dispositif de contrôle interne)

III. Les normes de mise en œuvre

Les normes de mise en œuvre contrairement aux deux premières ne


s’appliquent pas á toutes les missions mais déclinent les précédentes pour
des missions spécifiques (audit de conformité, fraude…).

Cours de Monsieur GNIMASSOUN G. Michel Page 89


Support du cours d’Audit Interne et Procédures

Session 3 : Les techniques de l’audit interne

Techniques spécifiques à l’évaluation du contrôle interne.

Systématiquement utilisés par l’auditeur lors d’une mission.

Le questionnaire de contrôle interne

Permet d'identifier les dispositifs spécifiques de contrôles essentiels pour


chaque fonction et les risques découlant de la conception du contrôle
interne.

Les réponses affirmatives supposent un bon contrôle interne. Les réponses


négatives supposent une faiblesse probable à approfondir.

La nature et le contenu du questionnaire dépendent de la mission ou de


l'approche retenue pour évaluer le contrôle interne.

Check list = questionnaires spécifiques pour évaluer le contrôle interne dans


une fonction particulière de l'entreprise

Elaboration d’un questionnaire de contrôle interne :


- Diviser l’activité ou l’opération auditée en de tâches élémentaires
- Fixer les objectifs de contrôle
- Pour chaque tâche élémentaire, les questions porterons sur : qui, quoi,
quand, où comment, pourquoi ?

La feuille de révélation et d’approche des problèmes

Document matérialisé sur support papier ou informatique et utilisé par les


auditeurs lors de leurs missions d’investigation du contrôle interne.

A la constatation d’une faiblesse, l’auditeur ouvre une FRAP qui comporte les
informations suivantes : l’inscription du constat fait : description des faiblesses
du système de contrôle interne

- les causes : description de l’origine du risque


- les conséquences : conséquences que le risque entraîne
- les recommandations : action proposée pour mieux gérer le risque.

Cours de Monsieur GNIMASSOUN G. Michel Page 90


Support du cours d’Audit Interne et Procédures

Figure N°1 : Exemple de feuille de révélation et d’approche des problèmes

Feuille de révélation et d’approche des problèmes

Référence papier Référence FRAP : de travail


:

Problème :

Faits (constats) :

Causes :

Conséquences :

Solutions proposées (recommandations) :

Etabli par : Approuvé par : Validé par :


Le : Le : Le :

Le graphique d’acheminement ou diagramme de circulation

- Document de synthèse retraçant sous forme de symboles


conventionnels, le système de contrôle interne en place. Ces symboles
représentent soit les postes de responsabilité, soit les documents utilisés,
soit le traitement d'une opération donnée.

- Document efficace pour une vérification analytique du contrôle


interne á parti rune reconstitution des procédures d’exécution d’une
tâche donnée sur la base des informations recueillies auprès des
opérationnels permet de faire ressortir les faiblesses et les points où le
contrôle interne peut être renforcé

Cours de Monsieur GNIMASSOUN G. Michel Page 91


Support du cours d’Audit Interne et Procédures

Figure N°2 : Graphique d’acheminement


Comptabilité Facturation Expédition
1

DE DE
3 3
DE
DE
2
2
Au client
DE Avec la
Marchandise

La grille d’analyse des tâches

Elle relie l’organigramme fonctionnel à l’organigramme hiérarchique. Elle


présente :

- en ligne l’ensemble des tâches qui sont affectées pour une opération
donnée ou dans une structure ;
- en colonne la (les) personne(s) habilitée(s) qui exécute(nt) ces tâches.
- une mention mise dans chaque cellule indique la personne ou le poste
qui exécute la tâche correspondante

Elle permet d’apprécier la division du travail et de déceler les cas d’exercice


de tâches ou fonctions incompatibles.

Figure N°3 : Grille d’analyse des tâches

Cours de Monsieur GNIMASSOUN G. Michel Page 92


Support du cours d’Audit Interne et Procédures

Respo
n- Respon
Compt Fondé
sable -sable Gestion
a-ble de Non
Tâches courri achats -naire ……
A pouvoir réalisé
er Y B
C
X

1- Réception EX X
2- Transmission EX X
3-
Rapprocheme
C X
nt facture/bon
de commande
4-
Rapprocheme
C X
nt facture/bon
de réception
5- Vérification
C X
facture
6-
Comptabilisa- EN X
tion
7-
Ordonnance- A X
ment
8-
Etablissement EN X
chèque
9- Signature
A X
chèque
10- Envoi
EN X
chèque

Les outils de vérification

Les outils d’audit présentent trois (03) caractéristiques :

- ils ne sont pas employés de façon systématique. L’auditeur choisit avec


discernement l’outil le mieux approprié à l’objectif.
- Ils ne sont pas spécifiques à l’audit interne et sont utilisés à de
nombreuses fins par d’autres professionnels : auditeurs externes,
organisateurs, consultants, informaticiens…
- Au cours d’une même recherche, deux outils peuvent être utilisés pour
le même objectif aux fins de validation, les résultats de l’un validant les
résultats de l’autre.

Cours de Monsieur GNIMASSOUN G. Michel Page 93


Support du cours d’Audit Interne et Procédures

Le sondage

Fréquemment utilisée pour les tests de conformité et de permanence.


Consiste à procéder à la vérification d’opérations ou de transactions sur la
base d’un échantillon représentatif et pertinent pour réduire la marge de
d’erreur et rendre les conclusions des vérifications plus fiables.

Les procédés de preuve

Permettent de confirmer ou infirmer les résultats des sondages notamment la


preuve de la validité d’une opération ou d’un résultat. Il s’agit : procédés de
corroboration, observation physique ou examen, confrontation de
documents internes ou externes.

Exemples :

• des opérations de vérification de l’exactitude des calculs arithmétiques ou


informatiques ;

- le rapprochement soit d’un document établi à différents niveaux
d’exécution interne (bon de commande et demande d’achat) ou à deux
niveaux interne et externe (bon de commande et facture du fournisseur), soit
des soldes ou d’écritures comptables avec les documents relatifs aux
transactions concernées ;

- la confirmation de soldes comptables par des partenaires extérieurs (clients,


banques, assurance...).

Remarque : Autre classification :

Les outils et techniques d’interrogation

- Les sondages statistiques,


- les interviews,
- les interrogations de fichiers informatiques,
- les vérifications et rapprochements divers.

Les outils et techniques de description

- l’observation physique,
- la narration,
- l’organigramme fonctionnel,
- la grille d’analyse des tâches,
- le diagramme de circulation,
- la piste d’audit.

Cours de Monsieur GNIMASSOUN G. Michel Page 94


Support du cours d’Audit Interne et Procédures

ANNEXES

Cours de Monsieur GNIMASSOUN G. Michel Page 95


Feuille d'analyse des procédures

Description des contrôles inéficaces Comptes Types d'erreurs


Observations
Systèmes et séparation des tâches affectés potentielles
I- Tous les achats sont-il-comptabilisés
(1) Absence de contrôle de l'enregistre- Achats Sous évaluation des achats Programme 1 à 4
ment exhaustif des BR en instance de Factures et du compte facture à
réception des factures en achats et en à recevoir recevoir
factures à recevoir
(2) Absence de la matérialisation de la Achats Sous évaluation du compte Pas d'impact sur le résultat car si les
revue de l'état des commandes en cours Fourniss fournisseur et sous évalua- Têtes de liasse ou les factures ne
par le directeur des achats et le chef Factures tion du compte facture à sont pas enregistrées, l'état des
comptable pour s'assurer de l'enregistre- à recevoir recevoir commandes en cours n'est pas apuré
ment exhaustif des Têtes de liasse et celles-ci sont provisionnées en
factures à recevoir seul risque: écart
entre montant facture et montant
provisionné non significatif
(3) Absence de matérialisation du Achats (oui sous réserve que l'état des
rapprochement du relevé fournisseur avec Frs Idem ci-dessus commandes en cours sont fiables,
le compte individuel fournisseur soit la conclusion des prog (1) et (2)

II - Chaque achat enregistré est reçu


(1) Enregistrement multiple d'un Achats Sur évaluation des achats et OD, l'importance des sommes entrai-
bordereau de facture à recevoir Factures du compte Facure à recevoir ne une identification rapide de l'ano-
à recevoir malie par le chef comptable lors de la
préparation des comptes comparatifs
mensuels - Données non répétitives
III - Chaque achat comptabilisé est-il
correctement évalué ? Achats Sur ou sous évaluation des
Factures achats et des factures à Programme (5)
Erreur dans l'évaluation du montant des à recevoir recevoir
achats à provisionner dans le compte
facture à recevoir
IV Les achats sont-ils comptabilisés
Support du cours d’Audit Interne et Procédures

dans la bonne période ? Achats Sous-évaluation des Frs Si la tête des liasse n'est pas comp-
Frs compensés par une sur bilisée dans la bonne période elle
(1) Pas de contrôle pour s'assurer que Factures évaluation des factures à sera provisionnée en facture à
les têtes de liasse sont enregistrées rapide- à recevoir recevoir recevoir
ment par la comptabilité founisseur
Achats Sur évaluation des comptes Les têtes de liasse portent un visa de
(2) Pas de contrôle pour s'assurer que Frs achats et fournisseurs Jean Bounot attestant du rapproche-
les têtes de liass sont enregistrer de fa- ment du BR1 avec la facture;
çon anticipée par la comptabilité Risque très faible
Founisseur

Cours de Monsieur GNIMASSOUN G. Michel Page 97


Relevé des Tests de conformité et programme de travail

Description des contrôles pertinents Echantillon, taille, répartition Temps Fait


Réf
mis en place l'entreprise et mode de sélection Prévu Réel Par Le

(1) Vérifier l'enregistrement en Achat et Octobre. / décembre


en Factures à recevoir de BR en
instance
de réception de factures figurant sur
l'état des réceptions non facturées
(2) Si le résultat des sondages sur le Tout le fichier
fonctionnement de l'inventaire tournant
révèle des anomalies (écarts nbreux
non
expliqués, ou liés à l'absence
d'enregistrem
de BR) face au test informatisé sur la
séquence numérique des années de
liasse BC/BR le fichier maître "achat"
(AC F5572). Faire rechercher les
raisons des régularisations et des
surplus de séquences.
(3)Effectuer une confirmation directe
des Au 31/12 date de la clôture
comptes fournisseurs
Mouvements > 10 000 000
Soldes créditeurs > 10 000 000
Solde débiteur >100 000
(Augmenter l'échantillon si le
résultat des contrôle sur
l'inventaire …..révèle des ano-
malies importantes
(4) Examen de l'état des commandes
en Octobre. / décembre
cours pour s'assurer qu'il n'y a pas
d'anomalies importantes (notamment
dues à une mauvaise séparation du
fichier par la gestion déficiente des
accès informatiques
(5) Rapprocher à l'aide de l'état des Les factures sélectionnées au
commandes en cours les montants hasard sur septembre
mentionnés au facture à recevoir avec
les
montants des factures Frs reçues
(6) Face au test informatisé sur les totaux Octobre
avec l'aide du "CAS" du journal d'achat
des comptes individuels fournisseurs et
de la balance auxiliaire des comptes
Frs.
(7) Vérifier le total des factures à Février / juin
provisionner sur le justificatif d'OD
Support du cours d’Audit Interne et Procédures

Feuille d'analyse des risques

Description des risques et des contrôles Impact des risques


Erreurs potentielles et comptes affectés
des insuffisances identifiés
I -Tous les achats sont ils comptabilisés
(Exhaustivité)
(a) Enregistrement incomplet ou absence Pas de contrôle
d'enregistrement en "Achat" et en "Facture
à Recevoir"les réceptions facturées par les
fournisseurs
(b) Enregistrement incomplet ou absence (1) Rapprochement de relevés de compte
d'enregistrement des "Têtes de liasse" au envoyés par le fournisseur avec le compte
journal des achats et en comptabilité individuel fournisseur
auxiliaire fournisseurs
(2) Revue par le service achat (Pièces
Pers) de l'état de "commandes en cours"
mis à jour par les services quotidiens
de la comptabilité fournisseur
(c) Enregistrement incomplet ou absence Idem (1) et ('2)
d'enregistrement des "Têtes de liasse"

(d) Enregistrement incomplet ou absence Idem ('2)


d'enregistrement des réceptions dans le (3) Inventaire hebdomadaire
fichier stock par le magasinier contrôlé par E.
(e) Enregistrement incomplet ou absence Idem ('2)
d'enregistrement du BC1 et du BC2
indicatifs émis après traitement des écarts
par le service achat

II - Chaque achat enregistré est réel


(Réalité)
(a) Comptabilisation multiple de "Tête de Idem 1
liasse" au journal d'ahats et aux comptes
individuels fournisseurs
(b) Etablissement d'une" tête de liasse" Idem 1
sur la base d'un duplicata de factures
('c) Enregistrement de tête de liasse facture Idem 1
(d) Quantité et ou qualité de marchandises (4) Vérification des réceptions par le
ne correspondant pas à celles mentionnées magasinier
sur le BC du transporteur
(e) Quantité et ou qualité de marchandises (5)Rapprochement par jour du compte
ne correspondant pas à celles mentionnées fournisseur
sur les BR1
Idem (3)

Cours de Monsieur GNIMASSOUN G. Michel Page 99


Support du cours d’Audit Interne et Procédures

BIBLIOGRAPHIE :

- Benoît PIGE & al. Comptabilité et audit, Nathan, Paris


:
(2008)

- Frédéric BERNARD & Contrôle interne, 4ème édition revue et


:
al. (2013) augmentée, Maxima, Paris

- Gérard VALIN & al.


: Controlor & Auditor, Dunod, Paris
(2006)

- Jacques RENARD Théorie et pratique de l’audit interne,


:
(2010) Eyrolles, Paris 2010, 7ème édition

- Pierre SCHICK & al. Audit interne et référentiels de risques, 2ème


:
(2014) édition, Dunod, Paris

Cours de Monsieur GNIMASSOUN G. Michel Page 100

Vous aimerez peut-être aussi