Audit Interne Et Référentiels de Risques PDF

Audit interne et
référentiels de risques
Gouvernance
Management des risques
Contrôle interne
Pierre Schick
Jacques Vera
Olivier Bourrouilh-Parège
Préface de Sophie Baranger (AMF)

Avant-propos de Louis Vaurs (IFACI)
Du même auteur, Pierre Schick
– Mémento d’audit interne, Dunod, 2007.
– Guide de self-audit, Éditions d’organisation, 2e éd., 2002.
© Dunod, Paris, 2010

ISBN 978-2-10-056093-6
Préambule
U
n livre de plus, pourrait penser les opérationnels sur lesquels
repose le dispositif de contrôle interne soucieux de se conformer
aux différents textes réglementaires en vigueur. Leur question
principale sous-jacente étant restée jusqu’alors entière : « D’un point de
vue théorique d’accord, mais concrètement… comment faire ? »
Ils avaient à leur disposition une forte implication du management et
le bon sens, ingrédients indispensables pour la bonne réussite de cette
démarche. Mais ces composants sont malheureusement insuffisants pour
répondre à cette question.
Le bon réflexe consiste alors à échanger et à partager des points de réflexion
organisés au sein de l’entreprise et entre associations et organisations de diffé-
rentes natures pour y trouver une matière première importante.
Mais malgré la richesse des réflexions et les capacités des outils infor-
matiques les opérationnels demeurent cependant au bord du fossé béant
séparant théorie et pratique.
C’est en suivant un angle pragmatique que Pierre Schick, Jacques Vera
et Olivier Bourrouilh-Parège ont rédigé Audit interne et référentiels de risque.
Ainsi cet ouvrage fournit, au-delà des repères méthodologiques, des
fiches pratiques opérationnelles. Ces dernières ont d’ailleurs été éprou-
vées sur le terrain par les auteurs eux-mêmes.
ROK, logiciel développé par Op Serv intègre ces fiches pratiques et
fait ainsi le lien entre théorie et pratique.
La vision pragmatique développée dans ce livre est l’une des valeurs
partagées par Primexis.
La simplicité étant le stade ultime de la complexité, les auteurs se sont
réunis pour décortiquer cette angoissante question « Comment faire ? »
et ainsi fournir un couple méthode/logiciel aussi simple qu’efficace.
Michel Baude
Senior Manager/Expert Comptable
Primexis
III

Comment utiliser
les flashcodes
D
ans cet ouvrage, vous trouverez de nombreux flashcodes. Ces
codes barres 2D vous permettent d’accéder en toute simplicité à
des contenus multimédia (vidéo, démonstration, images, etc.) qui
viennent illustrer les propos des auteurs.
Ainsi, si vous possédez un téléphone portable bénéficiant d’une
connexion internet (iPhone, Android, Smartphone), il vous suffit de pho-
tographier le flashcode et vous pouvez accéder directement à la page web
mobile liée à ce code intelligent.
Pour utiliser ce service, il est indispensable de télécharger l’application
flashcode. Pour cela, plusieurs possibilités s’offrent à vous :
– Par SMS, en envoyant le mot « flashcode » au numéro 30130 (coût
d’un SMS). Vous recevrez alors un SMS contenant un lien cliquable
renvoyant vers le site mobile de téléchargement de l’application
flashcode.
– En vous connectant à www.flashcode.fr où il vous sera proposé de
télécharger le lecteur flashcode.
Innovants, pratiques, gratuits et interactifs, ces codes barres 2D
viendront enrichir avantageusement le contenu de cet ouvrage.
Si vous le souhaitez vous pouvez également consulter ces complé-
ments sur le site www.rok-solution.com.
Les auteurs vous souhaitent donc une bonne lecture et … bons flash-
codes.
IV
Préface
L’
Autorité des marchés financiers, dans sa mission de veille à la
protection de l’épargne et au bon fonctionnement des marchés,
accorde une importance particulière au dispositif de contrôle
interne instauré au sein des entreprises. Ce dispositif contribue à la
qualité de l’information diffusée au public. Pour apporter sa contribution
et donner des guides à la rédaction du rapport annuel du Président sur le
contrôle interne, l’AMF a recommandé en 2007 l’utilisation d’un cadre
de référence sur le dispositif de contrôle interne.
Des modifications législatives récentes sont venues compléter ces exi-
gences : la loi du 3 juillet 2008 a étendu l’objet du rapport du président
aux procédures de gestion des risques et l’ordonnance du 8 décembre
2008 a institué un comité d’audit devant notamment assurer le suivi
de l’efficacité des systèmes de contrôle interne et de gestion des risques.
La nécessité d’avoir une interprétation claire des textes et d’en faciliter
l’application a conduit l’AMF à constituer un groupe de travail chargé
d’une part, de rédiger un rapport détaillant les diligences du comité
d’audit et d’autre part, de formuler des propositions d’adaptation du
cadre de référence sur les procédures de gestion des risques.
L’activité d’audit interne dans les organisations et ses périmètres d’in-
tervention que sont la gouvernance, la gestion des risques et le contrôle
interne, ont été au cœur des débats du groupe de travail qui finalise ses
travaux au moment où cet ouvrage, qui partage les mêmes préoccupations,
est mis sous presse.
Les auteurs présentent les étapes méthodologiques à respecter pour
améliorer l’efficacité de la mission d’audit interne, tout en recherchant
la conformité avec le cadre de référence international des pratiques
professionnelles en la matière. Pour chaque étape, des conseils et des
fiches pratiques complètent opportunément les propos.
V
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
S’appuyant sur de nombreux retours d’expérience, ce recueil propose

des référentiels de risques de plusieurs grandes fonctions des organi-
sations telles que la direction générale ou la finance. Ces référentiels
répertorient les bonnes pratiques de contrôle interne communément
admises et constituent une source d’inspiration utile aux organisations,
petites ou grandes, cotées ou non, publiques ou privées, qui cherchent
à améliorer leurs processus de gouvernance, de maîtrise des risques et
de contrôle interne.
L’AMF ne peut que saluer cet effort qui est un prolongement résolu-
ment pratique, en matière de méthodologie d’audit interne, aux travaux
réalisés lors de l’élaboration du cadre de référence sur le dispositif de
contrôle interne et de gestion des risques1.
Sophie BARANGER,
Directrice des affaires comptables
de l’Autorité des marchés financiers2
Rapporteur du groupe de travail AMF
sur le dispositif de gestion des risques et du contrôle interne
1. Le contenu de cet ouvrage ne peut engager l’AMF et reste le fruit de ses auteurs.
2. Créée par la loi n° 2003-706 de sécurité financière du 1er août 2003, l’Autorité des
marchés financiers est un organisme public indépendant, doté de la personnalité morale
et disposant d’une autonomie financière, qui a pour missions de veiller à la protection
de l’épargne investie dans les instruments financiers, à l’information des investisseurs,
au bon fonctionnement des marchés d’instruments financiers.
VI
Avant-propos
D
epuis le début des années 2000, plusieurs réglementations et légis-
lations en provenance des Etats-Unis (Sarbanes Oxley Act), de
l’Union Européenne (4e et 7e directives) ou de France (loi LSF
du 1er août 2003 et la loi du 3 juillet 2008) ont renforcé les exigences
en matière de contrôle interne et de gestion des risques. De manière
indirecte, le rôle de l’audit interne qui est chargé d’évaluer les processus
de management des risques, de contrôle interne et de gouvernement
d’entreprise s’en est trouvé accru.
L’ouvrage traite de l’activité de l’audit interne en s’appuyant sur le

cadre de référence international des pratiques professionnelles (CRIPP)
garant de la qualité des missions d’audit réalisées.
Ecrit dans un style imagé et illustré de nombreux schémas et tableaux,

l’ouvrage présente une déclinaison de la méthodologie « Conduite d’une
mission d’audit interne » préconisée par l’IFACI. Il se veut concret,
didactique, utilisant un langage simple qui ne nécessite aucun décodage,
et une partie TIC interactive utilisant des flashcodes.
Il présente les étapes méthodologiques à respecter pour amélio-

rer l’efficacité d’une mission d’audit. Pour chaque étape, des conseils
pratiques, des fiches « outils et techniques d’audit », des documents
standard illustrent et complètent les propos. L’ouvrage souligne l’intérêt
de développer des outils innovants de modélisation, d’optimisation et
de partage des connaissances permettant de réconcilier la méthode (la
théorie), l’expérience (les référentiels de risques) et la doctrine (les réfé-
rentiels de contrôle interne) en démontrant l’intégrité de l’ensemble tel
qu’exposé dans l’ouvrage.
VII
Les dimensions contrôle interne et management des risques sont trai-

tées en adéquation avec le modèle COSO (Committee of Sponsoring
Organizations) et le cadre de référence de l’AMF 2010 portant sur les
dispositifs de gestion des risques et de contrôle interne.
L’ouvrage fait preuve incontestablement d’originalité dans l’écriture
et la présentation des concepts.
Il s’agit donc d’un livre utile et opérationnel qu’il convient de saluer1.
Louis VAURS
Délégué général de l’IFACI
1. Le contenu de cet ouvrage ne peut engager l’IFACI et reste le fruit de ses auteurs.
VIII
Table des matières
Préambule III
Comment utiliser les flashcodes IV
Préface V
Avant-propos VII
Introduction 1
Partie 1 – L’environnement de l’audit

Chapitre 1 ■ Le périmètre d’intervention de l’audit 7
Le gouvernement d’entreprise 7
Le management des risques 10
Le contrôle interne 17
Chapitre 2 ■ Le positionnement de l’activité d’audit 23
La définition de l’audit interne et son évolution 23
Une profession normée 28
Les fonctions voisines de l’audit 32
Chapitre 3 ■ L’organisation de l’activité d’audit 45
Le rattachement de l’audit interne 45
La charte de l’audit interne 48
L’organisation des moyens 50
La gestion des auditeurs 52
La communication de l’audit interne 57
Les mesures de satisfaction et de performance de l’audit 59
IX
Chapitre 4 ■ L’identification des besoins d’audit 64

L’élaboration d’une cartographie des risques 64
L’établissement du plan et du planning d’audit 68
Partie 2 – La méthodologie de l’audit

Chapitre 5 ■ Les processus de conduite d’une mission 79
Initialisation de la mission 80
Préparation de la mission 82
Lancement de la mission sur site 84
Conduite des vérifications 86
Rédaction des conclusions 88
Suivi de la mission 90
Chapitre 6 ■ Les modalités d’application (MA) 93
Le droit d’accès ou l’ordre de mission 93
L’examen de l’activité et son découpage en « objets auditables » 96
L’élaboration d’un tableau des risques 102
La réunion d’ouverture 111
L’analyse des forces et faiblesses 113
Le rapport d’orientation 115
Le programme de vérification 117
La formalisation des travaux de contrôle 118
La fiche d’audit et de recommandations 123
L’ossature du rapport 130
Le compte rendu final sur site 132
Le rapport d’audit et sa validation 135
Le suivi des recommandations 140
L’état des actions de progrès 142
Chapitre 7 ■ Les documents associés (DA) 146
Exemple d’un ordre de mission 147
Tableau des risques 148
Rapport d’orientation 150
Programme de vérification 152
Budget – planning 154
Feuille de couverture de test 155
Feuille de couverture d’entretien 155
X
Table des matières
Fiche d’audit et de recommandations 156

Projet de rapport d’audit 157
Rapport d’audit 158
Fiche de suivi des recommandations 164
État des actions de progrès 165
Fiche de conseils de perfectionnement post-audit 167
Questionnaire de satisfaction post-audit 170
Partie 3 – Les outils de l’audit

Chapitre 8 ■ Les techniques d’audit (TA) 175
L’analyse économique et financière 176
Les volumes et types de transactions 177
Les observations physiques 179
Les diagrammes de circulation des documents 181
Les interviews 185
La grille de séparation des tâches 188
Les questionnaires 193
La piste d’audit 195
Les rapprochements et reconstitutions 198
L’interrogation des fichiers informatiques 200
Les sondages statistiques 202
Chapitre 9 ■ L’apport de l'informatique selon un modèle
Risk – Organization – Knowledge 207
Un outil de gouvernance orienté Risk – Organization – Knowledge 207
© Dunod – La photocopie non autorisée est un délit
Navigation 216
En synthèse 225
Chapitre 10 ■ Les référentiels de risques 227
La structuration et le mode d’utilisation des référentiels 227
L’approche globale suivant le référentiel AMF 230
L’approche par processus-domaines 241
Management – direction générale 242
Gestion des ressources humaines 244
Finance – comptabilité 249
Juridique et fiscal 255
Contrôle de gestion – reporting 260
XI
Systèmes d’informations 266

Recherche et développement 270
Marketing 273
Achats 279
Gestion des stocks 283
Production et services connexes 287
Commercial 299
Service après-vente 312
Logistique 317
Qualité – sécurité – environnement 324
Conclusion 332
Quiz « Méthodologie » 335
Les risques (concept et management) 335
Le COSO-I 336
Le management des risques le COSO-II 337
Le « référentiel AMF » 337
La définition de l’audit interne 338
Une profession normée 338
Méthodologie de l’audit 338
XII
Introduction
P
our assurer sa pérennité et son développement, toute organisation,
qu’elle soit publique ou privée, doit se fixer des objectifs. Une fois
cet horizon stratégique établi, il s’agit de définir les moyens néces-
saires pour y parvenir. Enfin il faut veiller à la bonne mise en œuvre
de ces moyens afin de « boucler la boucle ». Ce triptyque « Objectifs
– Moyens – Mise en œuvre » résume très brièvement la démarche stra-
tégique traditionnelle pratiquée, de façon plus ou moins formelle, dans
toutes les organisations. Ces préoccupations sont généralement dévo-
lues à la direction générale et aux instances composant la gouvernance
(conseil d’administration ou de surveillance, comité de direction, comité
d’audit…).
Dans nos environnements économiques actuels instables, l’atteinte
de ces objectifs n’est évidemment pas certaine. L’organisation est quoti-
diennement confrontée à une multitude de risques, d’importance et de
nature très différentes, qui peuvent perturber, voire rendre impossible,
la réalisation de ses objectifs. Même si l’aversion au risque est dans la
nature humaine, en matière de management la prise de risque est vitale
pour l’organisation. Un mode de gouvernance qui consisterait à ne s’en-
gager dans telle ou telle orientation stratégique que lorsque toutes les
incertitudes sont totalement levées conduirait, du fait d’un manque de
réactivité, bien évidemment à la remise en cause à terme de la pérennité
de l’organisation concernée.
Donc cette prise de risque est inévitable et nécessaire, cependant elle
doit être maîtrisée. Le concept de « contrôle interne », au sens littéral du
terme et pris ici dans son acception la plus large (processus de gestion
des risques, de contrôle et de gouvernance d’entreprise), correspond à la
mise en œuvre de dispositions qui assurent une maîtrise raisonnable des
1
risques d’une organisation afin de lui permettre d’atteindre ses objectifs.

Le contrôle interne est donc un élément fondamental de l’environ-
nement de contrôle de toute structure, quels que soient sa taille, son
secteur d’activité, son environnement. Concernant la pérennité et le
développement des organisations, l’absence de préoccupation en matière
de contrôle interne serait tout aussi préjudiciable qu’une frilosité exces-
sive dans la prise de risques découlant d’une stratégie timorée.
Enfin le contrôle interne, comme tout système organisationnel, est
naturellement sujet à défaillance. Les évolutions externes ou internes
impactent systématiquement le système de contrôle interne qui doit
s’adapter en permanence. Afin de s’assurer que ces dispositifs de contrôle
remplissent parfaitement leurs rôles, les directions générales des orga-
nisations se dotent d’un « outil » d’évaluation et de surveillance du
contrôle interne, il s’agit bien évidemment de l’activité d’audit interne.
Dans ce rôle d’appréciation de l’existence, de la bonne application et de
l’efficience des dispositifs de contrôle interne, l’audit pourrait donc être
qualifié comme étant « le contrôle du contrôle (interne) ».
Cet enchaînement d’étapes :

OBJECTIFS – RISQUES – CONTRÔLE INTERNE – AUDIT
constitue le fondement du processus de contrôle des organisations.
L'ouvrage s’articule autour de cette logique. Bien qu’il soit centré

sur le métier de l’audit interne, il présente dans un premier temps les
concepts de gouvernement d’entreprise, de management des risques et
de contrôle interne car ils constituent des préalables incontournables
pour comprendre la raison d’être de l’activité d’audit interne. D’ailleurs,
la définition de l’audit interne, qui est présentée par la suite, ne précise-
t-elle pas que ces trois dimensions constituent les principaux champs
d’intervention de l’activité d’audit interne ? Il paraissait donc naturel et
logique pour chacun d’eux :
•• d’en donner une définition officielle ou institutionnelle ;
•• de présenter les cadres de références et modèles les plus reconnus qui
les conceptualisent ;
•• de citer les différents acteurs internes et externes qui agissent sur ces
trois registres.
2
Introduction
L'ouvrage met ensuite plus particulièrement l’accent sur l’activité

d’audit interne à travers notamment :
•• sa méthodologie : encore plus que tous les autres métiers du mana-
gement des organisations, l’auditeur interne a besoin et doit suivre
une méthodologie d’investigation précise et détaillée. La définition
de l’audit interne parle « d’approche systématique et méthodique ».
Du respect scrupuleux de cette méthodologie dépend la qualité des
missions d’audit réalisées et donc sa légitimité ;
•• ses outils : une méthode pour savoir comment faire c’est bien, mais
sans outils pour aider à sa mise en œuvre c’est insuffisant. Qu’il s’agisse
des outils « traditionnels » (analyses, enquêtes, interviews, sondages
statistiques, piste d’audit, flow charts…) ou de ceux issus des TIC (le
concept de « Risk – Organization – Knowledge »), ils constituent tous
des compléments indispensables à la méthode et l’auditeur interne,
en tant que professionnel, se doit de les connaître et de les utiliser à
bon escient afin d’améliorer la qualité de ses prestations ;
•• ses référentiels de risques associés : enfin parmi toutes les aides
à la disposition de l’auditeur interne les référentiels de risques en
constituent un élément essentiel. Véritable cadre de référence dans le
déroulement d’une mission d’audit, les référentiels de risques (qu’ils
soient établis en phase de préparation d’une nouvelle thématique à
auditer ou répertoriés dans une bibliothèque de référentiels existants)
représentent une garantie quant à l’exhaustivité des différents thèmes
à auditer, au degré de détail approprié des investigations à mener ou
encore à l’achèvement de la mission dans les délais prévus.
Les auteurs.
3
Partie 1
L’environnement de l’audit
C h a p i t r e 1
Le périmètre d’intervention
de l’audit
Le gouvernement d’entreprise
Le Cadre de référence international des pratiques professionnelles de
l’IIA (Institute of Internal Auditors – www.theiia.org), traduit en français
par l’IFACI (Institut Français de l’Audit et du Contrôle Internes – www.
ifaci.com) – voir sa présentation au chapitre 2, paragraphe « Une profes-
sion normée » – donne une définition du gouvernement d’entreprise ou
gouvernance :
« Dispositif comprenant les processus et les structures mis en place par le
Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’or-
ganisation en vue de réaliser ses objectifs ».
L’OCDE (Organisation de Coopération et de Développement

économiques) quant à elle précise :
« Le gouvernement d’entreprise fait référence aux relations entre la direction
d’une entreprise, son conseil d’administration, ses actionnaires et autres par-
ties prenantes. Il détermine également la structure par laquelle sont définis les
objectifs d’une entreprise, ainsi que les moyens de les atteindre et d’assurer
une surveillance des résultats obtenus. »
7
The European Corporate Governance Institute (www.ecgi.org) récapitule

les codes en matière de gouvernement d’entreprise de différents pays du
monde. La prise de connaissance de ces textes atteste d’une large diversité
dans la conception du gouvernement d’entreprise. Cependant plusieurs prin-
cipes de base apparaissent souvent et peuvent constituer un socle commun
de connaissance des bonnes pratiques de gouvernance. L’IIA en a établi, dans
son livre blanc, une liste dont nous présentons ici les principaux éléments :
•• s’appuyer sur une organisation qui garantit un bon fonctionnement du
conseil (nombre de membres adéquats, existence d’autres comités éma-
nant du conseil, procédures concernant l’organisation des réunions…) ;
•• prévoir que les membres du conseil possèdent les qualifications et
l’expérience appropriées ainsi qu’une bonne connaissance du fonc-
tionnement de l’organisation ;
•• mettre à disposition du conseil, les ressources nécessaires pour des
demandes de renseignements complémentaires afin d’en garantir l’in-
dépendance ;
•• contribuer à la définition de la stratégie de l’organisation, notamment
en dotant les acteurs de la gouvernance des informations nécessaires
pour se faire ;
•• contribuer à la définition de la structure organisationnelle qui parti-
cipe à la réalisation de la stratégie de l’organisation ;
•• instaurer une politique de gouvernement d’entreprise concernant la
surveillance des résultats obtenus ;
•• prévoir les interactions nécessaires entre le conseil, la direction et les
auditeurs internes et externes (via un comité d’audit) ;
•• contribuer à la mise en œuvre d’un système de contrôle interne effi-
cace supervisé par la direction ;
•• définir les politiques et pratiques de rémunération, notamment celles
concernant la direction générale, en accord avec les valeurs éthiques, les
objectifs, la stratégie et l’environnement de contrôle de l’organisation ;
•• communiquer, dans l’ensemble de l’organisation, une culture de la
déontologie, les valeurs de l’organisation et la nécessité de l’exempla-
rité de la direction ;
•• faire appel de manière efficace aux auditeurs internes qui doivent dis-
poser par ailleurs d’une indépendance pour garantir leur objectivité
et de ressources suffisantes pour mener à bien leur mission ;
8
Chapitre 1 ■ Le périmètre d’intervention de l’audit
•• faire appel de manière efficace aux auditeurs externes en s’assurant

de l’adéquation de leur indépendance, de leurs ressources et de leur
champ d’activité.
•• définir et mettre en œuvre des politiques, processus et responsabilités
en matière de management des risques au niveau du Conseil et dans
l’ensemble de l’organisation ;
•• communiquer de manière appropriée les informations pertinentes
aux parties prenantes ;
•• comparer les processus de gouvernement d’entreprise de l’organisation
avec les bonnes pratiques reconnues et les réglementations en vigueur.
Tous ces principes concourent à une bonne gouvernance. Comme
nous le verrons ultérieurement lors de la présentation de l’audit interne
(chap. 2, paragraphe « La définition de l’audit interne »), la gouvernance
constitue un des trois domaines d’intervention de l’auditeur interne,
probablement moins fréquemment couvert que ne le sont les deux
autres : le management des risques et le système de contrôle interne.
Cependant dans le cas d’une mission d’audit interne qui concerne-
rait spécifiquement cette dimension, la liste des principes énumérés
précédemment pourrait constituer un premier guide d’investigation,
l’auditeur interne s’assurant de l’existence, de la diffusion et de l’effi-
cience de tous ces principes et bonnes pratiques.
Au sein du gouvernement d’entreprise, le comité d’audit tient une
place prépondérante. La transposition en droit français (article 14 de
l’ordonnance du 8 décembre 2008 et articles L 823-19 et L 823-20 du
code de commerce) de la 8e directive européenne du 17 mars 2006 (obli-
gation pour toute société faisant appel public à l’épargne de disposer

d’un comité d’audit) a permis une clarification au niveau du positionne-
ment, du rôle et de la composition des comités d’audit en France, ainsi
que de la compétence de ses membres. Plus récemment, un groupe de
travail, sous l’égide de l’AMF, a publié à l’été 2010, un « Rapport sur
le comité d’audit » qui précise les modalités de fonctionnement de ce
comité (périmètre d’intervention, composition, démarche de mise en
œuvre…). Il est disponible sur le site www.amf-france.org.
Dans le cadre de l’enquête IFACI 2009, 70 % des répondants décla-
rent l’existence d’un comité d’audit dans leur organisation. Dans près
de trois quarts des cas le comité d’audit se réunit au moins tous les
trimestres et 70 % des responsables de l’audit interne assistent à toutes
9
les réunions. Les principaux sujets abordés lors de ces comités d’au-
dit concernent : les missions et responsabilités de l’audit interne et le
suivi des plans d’actions.
Le management des risques

Le concept de risque
Il n’y a de risque que par rapport à l’atteinte d’un objectif ou plus précisé-
ment que par rapport à la conséquence dommageable de ce risque quant
à l’atteinte d’un objectif.
L’IIA et l’IFACI, dans le glossaire des normes définissent le risque
comme : « la possibilité que se produise un événement susceptible
d’avoir un impact sur la réalisation des objectifs ».
Prenons un exemple dans notre quotidien : la notion de risque est
associée d’une part à celle d’incertitude et d’événement incertain : « il
risque de pleuvoir » et d’autre part à ce que l’on encourt si l’événement
se réalise : « je risque de me faire tremper ». Dans notre exemple l’objectif
est implicite : « rester sec et net », mais il aurait mieux valu l’expliciter.
« Événement incertain qui a une conséquence dommageable quant à
l’atteinte d’un objectif », est-on exhaustif dans l’appréciation des diffé-
rents paramètres liés au concept de risque ? NON : « On ne se fait pas
tremper parce qu’il a plu mais parce qu’à la fois il a plu et on n’avait pas
de parapluie. » L’absence de parapluie devient l’une des causes, et à y
réfléchir c’est la cause maîtrisable, donc la cause intéressante.
« Je me suis fait tremper parce que je n’avais pas de parapluie. »
La cause est l’absence de parapluie, la pluie n’est que la circonstance.
Nous donnerons donc la définition suivante du concept de risque :
« Le RISQUE est un concept signifiant la possibilité que la combinaison
d’un événement incertain et d’un mode de fonctionnement aléatoire ait
pour conséquence la non atteinte d’un objectif. »
Évident ?
Non puisqu’on trouve dans la presse des déclarations du genre : telle
entreprise est tombée en faillite parce que ses clients ne la payaient
pas, ou telle autre a perdu des parts de marché sur sa nouvelle activité
pourtant extrêmement innovante au profit d’un concurrent très agres-
10
sif. Est-ce la faute des clients si la première entreprise est tombée en

faillite, ou d’une part à son système de suivi des factures et de relance
des impayés et d’autre part à son système de gestion des clients qui la
laissait continuer à vendre à des mauvais payeurs ? Et la seconde n’aurait-
elle pas dû protéger son innovation par des brevets avant de lancer cette
activité qui a nécessité des budgets importants en matière de Recherche
& Développement ? La pluie, le client mauvais payeur, le concurrent
agressif « copieur de nouvelles idées », le comptable qui inscrit un mon-
tant erroné ou l’impute à un compte erroné ne sont pas des facteurs de
risque : ce sont des événements (et même des événements banals) que
l’entreprise doit pouvoir détecter, voire anticiper, pour y faire face.
combiné à…
Un événement une cause :

incertain : l’absence de
la pluie… parapluie…
entraîne une conséquence :

« se faire tremper ».
Figure 1.1 – Le concept de risque

Événements incertains Facteurs de risques /

/ Circonstances / Modes de
Incidents avérés ou fonctionnement
potentiels aléatoires
Impact dommageable
Objectif compromis
Figure 1.2 – Du concept de risque à sa définition
11
Les facteurs de risque qui, combinés à la survenance de ces événements,

vont ou ne vont pas entraîner de conséquences dommageables, sont tous à
rechercher dans l’organisation et le fonctionnement de l’entité auditée, c’est
le rôle de l’auditeur.
Prenons un exemple : nous redoutons que la salle informatique prenne
feu puis l’ensemble du bâtiment.
Pour pallier les risques, nous allons prendre des mesures qui consti-
tuent des éléments du dispositif de contrôle interne à mettre en place :
•• prévention pour éviter l’incendie : panneaux d’interdiction de manipu-
ler des matières inflammables à proximité de la salle, sensibilisation/
formation du personnel concerné au risque incendie ;
•• détection pour s’apercevoir que l’incident redouté est survenu malgré
les mesures de prévention : détecteurs de fumées et de chaleur ;
•• protection pour limiter les dégâts occasionnés par l’incendie : sprin-
klers et diffuseurs de gaz inertes, portes coupe-feu… À noter que
s’assurer est une mesure de protection : cela limite le coût des dégâts
à la franchise.
Cette typologie, qui provient des assureurs, donne de l’imagination à
l’auditeur, tant dans sa recherche des facteurs de risques que dans celle
des solutions à proposer : un seul type de mesure est rarement efficace,
il faut souvent les combiner. Il faut même parfois lutter contre le réflexe
naturel : la salle informatique est trop près des cuves à mazout et en
dessous du niveau de ruissellement des eaux, l’accident n’est pas encore
survenu mais la situation est trop exposée, il faut déménager la salle (pré-
vention) ? Il est bien plus économique d’accepter les risques d’incendie
et d’inondation et d’organiser un système de back-up régulièrement testé
(protection) !
La figure 1.3 résume donc les différents éléments conceptualisant la
notion de risque.
Combinant avec ce qui précède, nous aurons l’équation fondamen-
tale :
Événement + Cause = Conséquence
(ou circonstance) (ou facteur de risque)
et trois types de mesures pour pallier les facteurs de risques : prévention,
détection, protection.
12
Détection Prévention
Manifestation Facteurs de risques

Fait Cause
Circonstance / événement organisationnelle
Impact
Conséquence
Protection
Figure 1.3 – Le risque et ses composantes
Le management des risques

En matière de management des risques, le modèle COSO « ERM »
(Committee Of Sponsoring Organizations of the Treadway Commis-
sion, « Enterprise Risk Management »), dit COSO-II (2005) constitue
une référence internationale pour sa mise en œuvre.
Ce cadre de référence donne du management des risques d’une orga-
nisation, la définition suivante :
« Un processus, mis en œuvre par le conseil d’administration, la direc-
tion générale, le management et l’ensemble des collaborateurs, pris en
compte dans l’élaboration de la stratégie de l’organisation ainsi que dans
toutes les activités et conçu pour identifier les événements potentiels
pouvant affecter l’organisation et gérer les risques dans les limites de
son appétence pour le risque afin de donner une assurance raisonnable
quant à la réalisation des objectifs de l’organisation. »
Ce modèle est traditionnellement représenté par un cube (fig. 1.4).

Face supérieure du cube : les objectifs de l’organisation :
•• objectifs stratégiques : objectifs de niveau le plus élevé, liés à la stratégie
de l’organisation ;
•• objectifs opérationnels : objectifs généraux concernant l’utilisation effi-
cace et efficiente des ressources ;
•• objectifs de reporting : objectifs axés sur la fiabilité des informations
financières (externes et internes) ;
•• objectifs de conformité : objectifs visant à la conformité aux lois et
règlements en vigueur.
13
s s
gie on on s ité
té ti ati ière rm
tra éra m
or nc n fo
S Op Inf fina Co
Environnement de contrôle
UNITÉ DE GESTION
Définition des objectifs
FILIALE
Identification des événements
ENTREPRISE
DIVISION
Évaluation des risques
Traitement des risques
Activités de contrôle
Information et Communication
Pilotage
Figure 1.4 – Le cube du COSO-II
Face avant du cube : les composantes du management des risques :

•• un environnement interne de contrôle qui constitue le fondement struc-
turel du système de management des risques et qui intègre des aspects
très divers tels que la culture du risque et l’appétence pour le risque,
l’intégrité et les valeurs éthiques, l’engagement de compétence, la
structure organisationnelle, les délégations de pouvoirs et de respon-
sabilités, la politique de ressources humaines, la fixation des objectifs ;
•• une identification des événements susceptibles d’affecter l’atteinte des
objectifs de l’organisation. Il s’agit aussi bien d’événements pouvant
avoir un impact négatif que d’événements pouvant avoir un impact
positif, c’est-à-dire des opportunités à saisir que le management doit
intégrer dans sa stratégie. Ces événements peuvent être de différentes
natures : économiques, environnementaux, politiques, sociaux, tech-
nologiques… ;
•• une évaluation des risques, c’est-à-dire une appréciation quantitative de
la probabilité d’occurrence et de l’impact de ces événements ;
•• un traitement des risques, c’est-à-dire la décision qui doit être prise
suite à l’évaluation des risques. Parmi les alternatives possibles, on
choisira entre l’évitement (supprimer le risque en cessant l’activité
14
à l’origine du risque), la réduction (mettre en œuvre des disposi-

tions pour réduire la probabilité et/ou l’impact du risque), le partage
(recours à l’assurance, à des opérations de couvertures ou l’externa-
lisation de l’activité concernée) ou enfin l’acceptation (compte tenu
du coût des dispositions à mettre en œuvre, l’organisation préfère
accepter le risque en l’état) ;
•• des activités de contrôle : il s’agit des politiques et procédures mises en
place qui permettent de s’assurer que les risques sont bien maîtrisés.
Ces dispositions regroupent des modalités telles que : Les revues du
management, la supervision directe d’une activité ou d’une fonction,
la séparation des tâches, les contrôles intégrés dans le traitement de
l’information, les contrôles physiques, les indicateurs de performance ;
•• l’information et la communication : Les informations pertinentes sont
identifiées, saisies et communiquées dans un format et dans des délais
permettant à chacun de s’acquitter de ses responsabilités ;
•• le pilotage : Il s’agit aussi bien des activités quotidiennes de contrôle
par le management que des démarches d’auto-évaluation ou encore
de l’intervention des auditeurs internes ou externes.
Enfin, la face latérale du cube (Filiale, Unité de gestion, Division,
Entreprise) symbolise le caractère multidimensionnel du management des
risques et la nécessité de l’adapter à l’entité concernée. De nombreux
paramètres peuvent impacter le management des risques tels que la taille
de l’organisation, sa culture du contrôle, son secteur d’activité, les régle-
mentations en vigueur.
On notera enfin que le modèle COSO « ERM » ne constitue pas la
seule référence en matière de management des risques. Des alternatives

existent : l’Association européenne des risk managers FERMA (Federa-
tion of European Risk Management Associations) propose son modèle.
De la même manière l’ISO (International Standard Organization) pro-
pose un modèle dans le cadre des normes ISO 31000 : 2009 sur le
management des risques. Plus récemment, à l’été 2010, un groupe de
travail, sous l’égide de l’AMF, a proposé un cadre de référence concer-
nant « les dispositifs de gestion des risques et de contrôle interne ». Ce
document, disponible sur le site de l’AMF, actualise le cadre de référence
de contrôle interne publié en janvier 2007 (que nous présenterons au
chapitre suivant) et développe une approche de la gestion des risques
dans une vision commune des deux dimensions.
15
Mais qu’en est-il de la prise en charge de cette dimension manage-

ment des risques dans les organisations ?
De nombreux acteurs, principalement internes, interviennent dans ce
processus. Parmi les principaux on citera :
•• le conseil d’administration et ses émanations (comité des risques, comité
d’audit…) qui exercent une surveillance (examen du portefeuille
de risques au regard de l’appétence de l’organisation pour ceux-ci,
contrôle de la qualité du processus de management des risques pour
les risques connus) ;
•• le management : au niveau de la direction générale en tant qu’ultime
responsable de l’efficacité du management des risques. Au niveau des
différentes directions en tant que responsables de la mise en œuvre
des dispositifs concernés sur le terrain ;
•• la direction des risques (fonction risk management) qui assure une coor-
dination centralisée du management des risques ;
•• la direction financière, plus particulièrement sur les volets « Reporting
des informations financières » et « Conformité aux lois et règle-
ments » ;
•• les auditeurs internes dont le rôle est d’apprécier l’efficacité du proces-
sus de management des risques ;
•• les auditeurs externes dans le cadre de leur mission légale notamment
au niveau de la fiabilité des informations financières.
L’enquête IFACI 2009 s’est préoccupée de cette dimension manage-
ment des risques. On note une amélioration très sensible dans la mise
en œuvre des principales étapes du processus de management des risques
par rapport à la précédente enquête de 2005. 96 % des organisations
interrogées déclarent réaliser une identification des risques, 90 % d’entre
elles évaluent l’impact et la probabilité de ces risques et tous ces travaux
sont formalisés dans une cartographie des risques dans 92 % des cas.
Par ailleurs l’approche par les processus est privilégiée par 90 % des
organisations.
L’audit interne et la fonction contrôle interne (que nous présente-
rons ultérieurement) jouent un rôle actif dans cette démarche. 96 %
des responsables d’audit interne et 99 % des responsables du contrôle
interne interrogés déclarent intervenir dans une ou plusieurs des étapes
du processus.
16
Le contrôle interne
Il est usuel de dire que le contrôle interne est un procédé, mis en œuvre
par les dirigeants et le personnel d’une organisation, à quelque niveau
que ce soit, destiné à leur donner en permanence une assurance raison-
nable que :
•• Les opérations sont réalisées, sécurisées, optimisées et permettent ainsi
à l’organisation d’atteindre ses objectifs de base, de performance, de
rentabilité et de protection du patrimoine ;
•• Les informations financières et opérationnelles sont fiables, et les lois,
les réglementations et les directives de l’organisation sont respectées.
Le contrôle interne est un état à atteindre et à maintenir, c’est un moyen
et non un but. La mise en place du contrôle interne fait partie intégrante
des attributions de tout responsable. Dans cette mission l’organisation
peut se doter par ailleurs d’un service ad hoc chargé de définir et de coor-
donner la mise en œuvre des dispositifs composant le système et d’en
assurer la maintenance. Dans ces conditions on veillera à ce que l’existence
d’un tel service ne conduise pas à la désappropriation ou au désintérêt du
concept de contrôle par les responsables fonctionnels ou opérationnels.
En toutes circonstances, tout responsable doit se poser la question
suivante :
« Dans quelle mesure mon organisation, mes méthodes de travail, mes
dispositifs de mesure et de contrôle, mon implication personnelle… me
donnent-ils une assurance raisonnable quant à :
•• la pertinence de mes objectifs : cohérence avec les finalités de l’orga-

nisation ?
•• l’adéquation « moyens/objectifs » : efficience de l’organisation, adap-
tation des structures, coordinations des tâches ?
•• la bonne mise en œuvre des moyens : efficacité du pilotage, existence
d’objectifs, animation et suivi ?
•• la qualité et la fiabilité des informations pour prise de bonnes décisions ?
•• le respect des principes, politiques, lois, règlements… d’origine
interne et externe ?
•• la protection et la sauvegarde du patrimoine humain, financier, maté-
riel, immatériel (image, savoir faire, informations…) ? »
17
Pour la mise en œuvre d’un bon contrôle interne nous disposons d’un
certain nombre de modèles conceptuels ou référentiels. Parmi les plus
connus et usités nous citerons :
•• le COSO (Committee Of Sponsoring Organizations of the Treadway
Commission ou Internal Control Integrated Framework), d’origine
anglo-saxonne (1992), dit COSO-I,
•• le COCO (Criteria Of COntrol) « Recommandations sur le contrôle »
de l’Institut canadien des comptables agréés (1995),
•• enfin, plus récemment, le « Cadre de référence AMF », une initiative
française sous l’égide de l’Autorité des Marchés Financiers publié
début 2007, et dont une mise à jour a été effectuée à l’été 2010, afin
de contribuer à une plus grande homogénéité des concepts sous-
tendant les travaux du comité d’audit, la rédaction du « rapport du
président » sur le contrôle interne et la gestion des risques.
Le COSO-I
Ce modèle donne la définition suivante du contrôle interne :
« Le contrôle interne est un processus mis en œuvre par le conseil d’adminis-
tration, les dirigeants et le personnel d’une organisation destiné à fournir une
assurance raisonnable quant à la réalisation des objectifs suivants :
– réalisation et optimisation des opérations ;
– fiabilité des informations ;
– respect des réglementations. »
Le contrôle interne est traditionnellement schématisé sous la forme
d’une pyramide à cinq composantes, chacune de ces composantes se
déclinant ensuite en un certain nombre d’items dont nous donnons
quelques exemples dans la figure 1.5.
Bien que le modèle COSO-I concerne le contrôle interne et le
COSO-II le management des risques, les deux cadres de références sont
complémentaires :
•• la composante « Évaluation des risques » du COSO-I est déclinée
dans le COSO-II en quatre items qui précisent cette notion (la défi-
nition des objectifs, l’identification des événements, l’évaluation des
risques, le traitement des risques) : face avant du cube ;
•• une dimension « Stratégie » complète les trois objectifs traditionnels du
contrôle interne énoncés dans la définition : face supérieure du cube.
18
– Communication interne
– Pilotage de gestion
– Communication externe – Évaluation et auto-évaluation
– Communication formelle – Organes de contrôle…
et informelle… – Mettre en place et activer les dispositifs
Pilotage – S’assurer de la correcte application
des directives
Information et
– Maîtriser les risques…
communication Activités – Définition des objectifs
de contrôle – Identification des risques
– Plans d’actions pour
les maîtriser…
Évaluation des risques – Culture du contrôle
– Éthique et style
de management
– Engagement
Environnement de contrôle de la direction…
Figure 1.5 – La pyramide du COSO-I
ie on
s ns ité
Pilotage tég rat
i tio res rm
ra é rma nciè nfo
St Op o Co
Inf fina
Information Environnement de contrôle
et
communication
UNITÉ DE GESTION
Définition des objectifs
Activités Identification des événements FILIALE

ENTREPRISE
DIVISION
de contrôle Évaluation des risques
Traitement des risques

Évaluation
des risques Activités de contrôle
Information et Communication
Environnement
de contrôle Pilotage
Figure 1.6 – Du COSO-I au COSO-II
Le COCO
La définition du contrôle interne est brève mais à y réfléchir « tout est
dit » :
« Éléments de l’organisation, incluant :
– Ressources ;
– Systèmes ;
– Procédés ;
19
– Culture ;
– Structure et tâches ;
… qui, mis ensemble, aident à atteindre les objectifs. »
Il exprime les principes suivants :

« La personne accomplit une tâche en se fondant sur la compréhension du
but de cette tâche (l’objectif à atteindre) et en s’appuyant sur sa capacité
(informations, ressources, fournitures et compétences). Pour bien exécuter
la tâche au fil du temps, la personne doit s’engager. Elle fait le suivi de sa
performance et surveille l’environnement externe pour apprendre à mieux
accomplir la tâche et à identifier les changements requis. Cela s’applique
également à une équipe ou à un groupe de travail. Dans toute organisation,
le but, l’engagement, la capacité, le suivi et l’apprentissage sont les éléments
essentiels du contrôle. »
Ces quatre étapes, qui donnent une vision dynamique du contrôle

interne, sont ensuite déclinées en vingt critères dont la figure 1.7 précise
quelques exemples.
– Établissement et communication des objectifs
– Identification et évaluation des risques
– Définition d’indicateurs mesurables…
BUT
Savoir quoi faire – Valeurs éthiques
– Pouvoirs, responsabilités
– Politique RH…
SUIVI et
APPRENTISSAGE ENGAGEMENT
S’ajuster aux changements
Vouloir le faire
– Surveillance des Action

environnements
– Mesure de la CAPACITÉ
performance…
Pouvoir le faire
– Compétence des personnes
– Processus de communication
– Information pertinente…
Figure 1.7 – Le COCO
Le « Référentiel AMF »
Ce modèle, publié début 2007, est issu d’un travail réalisé par un groupe
de place réunissant les principales instances compétentes en matière de
contrôle des organisations dont l’IFACI. Il est en accord avec la LSF (loi
20
de Sécurité financière), compatible avec le COSO et en phase avec les

4e, 7e et 8e directives européennes. Un groupe de travail de l’AMF a revu
et amendé en 2010 le cadre de référence de contrôle interne après un
examen des référentiels COSO et « Turnbull guidance » britannique en
tenant compte des évolutions législatives et réglementaires intervenues
en 2008.
Ce cadre donne la définition suivante du contrôle interne :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre
sous sa responsabilité.
Il comprend un ensemble de moyens, de comportements, de procédures et
d’actions adaptés aux caractéristiques propres de chaque société qui :
– contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à
l’utilisation efficiente de ses ressources, et
– doit lui permettre de prendre en compte de manière appropriée les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le dispositif vise plus particulièrement à assurer :
a) la conformité aux lois et règlements,
b) l’application des instructions et des orientations fixées par la direction
générale ou le Directoire,
c) le bon fonctionnement des processus internes de la société, notamment
ceux concourant à la sauvegarde des actifs,
d) La fiabilité des informations financières.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux
seuls processus comptables et financiers. »
Les grandes orientations en matière de contrôle interne sont déter-

minées en fonction des objectifs de la société. Le contrôle interne est
d’autant plus pertinent qu’il est fondé sur des règles de conduite et
d’intégrité portées par les organes de gouvernance et communiquées à
tous les collaborateurs. L’exemplarité est un principe fondateur, vecteur
essentiel de la diffusion des valeurs au sein de la société.
Là aussi le contrôle interne est défini à travers cinq composantes de
base, elles-mêmes se déclinant ensuite en items détaillés :
•• une organisation comportant une définition claire des responsabilités,
disposant des ressources et des compétences adéquates et s’appuyant
sur des systèmes d’information, sur des procédures ou modes opéra-
toires, des outils et des pratiques appropriées ;
21
– Analyse des incidents constatés et résultats réalisés

– Audit interne
– Veille active sur mes bonnes pratiques
– Actions correctives
– Informations transmises au Conseil
n
s
ité
io
DG ion – Contrôles de prévention
at
té
m
ct
is
ili
or
et de détection
im
ru
ab
nf
st
pt
Co
Fi
– Contrôles manuels
In
O
ou informatisés
Activité/Processus C
Surveillance permanente
Activité/Proce ssus A
– Contrôles hiérarchiques…
– Recensement des risques
Activité/Processus B
Activités de contrôle – Analyse des risques
– Procédures de gestion
des risques
Analyse des risques – Communication
d’informations pertinentes,
Informations pertinentes fiables et diffusées
et fiables en temps opportun…
Organisation
– Responsabilités et pouvoirs
– Politique RH
– Système d’information
– Procédures et modes opératoires…
Figure 1.8 – Le référentiel « AMF »
•• la diffusion en interne d’informations pertinentes, fiables, dont la

connaissance permet à chacun d’exercer ses responsabilités ;
•• un système visant à recenser, analyser les principaux risques identifiables
au regard des objectifs de la société et à s’assurer de l’existence de
procédures de gestion de ces risques ;
•• des activités de contrôle proportionnées aux enjeux propres à chaque
processus, et conçues pour s’assurer que les mesures nécessaires sont
prises en vue de maîtriser les risques susceptibles d’affecter la réalisa-
tion des objectifs ;
•• une surveillance permanente portant sur le dispositif de contrôle
interne ainsi qu’un examen régulier de son fonctionnement. Cette
surveillance, qui peut utilement s’appuyer sur la fonction d’audit
interne de la société lorsqu’elle existe, peut conduire à l’adaptation du
dispositif de contrôle interne. La direction générale ou le directoire
apprécient les conditions dans lesquelles ils informent le conseil des
principaux résultats des surveillances et examens ainsi exercés.
22
Partie 1
Chapitre 2
Le positionnement
de l’activité d’audit
La définition de l’audit interne et son évolution

Le temps est révolu où le déclenchement d’un audit interne était reçu
par les audités comme un signe de suspicion à leur égard ! Aujourd’hui,
le regard de l’audit interne, regard particulier mais professionnel, est
apprécié comme un examen salutaire, l’équivalent de la maintenance pré-
ventive sur les outils industriels ou de l’assistance dans le diagnostic d’une
défaillance repérée. Profession créatrice de valeur ajoutée, l’audit est un
partenaire de la direction générale et du management notamment vis-à-
vis de la maîtrise des opérations de l’organisation et la gestion des risques.
La définition française de l’audit interne date du 21 mars 2000 et a été
approuvée par le conseil d’administration de l’IFACI – Institut français
de l’audit et du contrôle internes. Il est dit :
« L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une
approche systématique et méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d’entreprise, et en faisant des pro-
positions pour renforcer leur efficacité. »
23
Il s’agit de la traduction de la définition internationale approuvée par

l’IIA le 29 juin 1999.
Les mots clés de la définition de l’audit interne à connaître sont les
suivants :
•• activité ;
•• indépendante et objective/impartiale ;
•• valeur ajoutée ;
•• assurance et conseils ;
•• aide à atteindre objectifs ;
•• approche systématique et méthodique ;
•• évaluation et amélioration ;
•• processus de management des risques, de contrôle et de gouverne-
ment d’entreprise.
Il est à noter que la définition ne comporte pas les mots procédures,
règles… ni contrôler, vérifier… Dans la définition le mot « contrôle »
n’est pas ce que l’audit fait mais ce qu’il évalue et améliore.
L’audit interne décèle les problèmes et formule des recommandations
aux directions et aux audités qui leur apportent une solution. Son rôle
n’est pas de dénoncer ou d’accuser, mais d’arbitrer « les règles du jeu »
du groupe et surtout de faire pratiquer les « 3R » : Rechercher, Recon-
naître et Remédier aux faiblesses de l’organisation. Il l’aide à anticiper
les problèmes et se place dans une démarche vertueuse d’amélioration
continue.
Issue du contrôle comptable et financier, la fonction audit interne
recouvre de nos jours une conception beaucoup plus large et plus riche,
répondant aux exigences croissantes de la gestion de plus en plus com-
plexe des organisations.
L’audit interne apporte sa contribution à l’ensemble des activités,
fonctions ou processus de l’organisation. Il intervient historiquement
dans tous les domaines financiers : comptabilité générale, comptabilité
analytique et informations de gestion, trésorerie, crédit/comptabilité/
recouvrement clients, aide aux acquisitions et cessions. Celui-ci inter-
vient de nos jours dans tous les domaines de l’organisation. Toute entité,
activité, fonction et processus sont concernés par les investigations de
l’audit interne.
24
Chapitre 2 ■ Le positionnement de l’activité d’audit
ÉVOLUTIONS des DOMAINES et SUJETS AUDITÉS

ÉVOLUTION des OBJECTIFS et PRÉOCCUPATIONS
« AVANT » Comptabilité Finance Administration « AUJOURD’HUI »

Industriel
Chiffres revus exacts Commercial
Procédures respectées Informatique
Social
Informations fiables Audit Juridique
Procédures suffisantes des comptes Fiscal
de l’AUDIT interne
Actifs protégés Communication

Environnement
Organisation efficace …
Économie de moyens
Célérité, fluidité Audit
des opérations
Système d’infos pertinent
Responsabilités claires
Recherche de
la compétitivité
Adaptabilité, flexibilité Audit de
l’organisation
Gestion des risques
Processus de contrôle et des risques
Gouvernance
« AUJOURD’HUI »
Figure 2.1 – L’évolution de l’audit interne
Comme indiqué dans sa définition officielle, l’activité d’audit interne

est créatrice de valeur ajoutée et ses principales missions sont d’apporter
aux directions générales et comités d’audit un éclairage sur les risques
et les systèmes de contrôle interne mais également d’être au service de
l’ensemble de l’organisation afin d’apporter une réelle contribution à la
gouvernance d’entreprise.
Le processus de management des risques évolue. L’audit interne est
considéré comme un outil de management qui permet de mettre en
place une démarche structurée au sein de l’organisation et de travailler
en étroite collaboration avec la gouvernance d’entreprise. Le dévelop-
pement des comités d’audit au sein des grands groupes en est le reflet
(transposition en droit français de la 8e Directive européenne).
Selon l’enquête 2009 de l’IFACI, les responsables d’audit interne
déclarent disposer d’une liberté d’action importante ou totale (Normes
1100 et 1100-A1), notamment pour accéder aux informations utiles
aux missions (98 %), aux personnes à interviewer (99 %), à la rédaction
et communication du résultat des audits (93 %). A contrario, 15 % des
25
répondants indiquent avoir aucune ou peu de liberté dans le choix des

missions.
Les missions d’assurance prédominent sur celles de conseil :
•• activités d’assurance (normes professionnelles IFACI/IIA) : examen
objectif d’éléments probants, effectués en vue de fournir à l’organisa-
tion une évaluation indépendante des processus de management des
risques, de contrôle ou de gouvernement d’entreprise. Par exemple,
des audits financiers, opérationnels, de conformité, de sécurité des
systèmes et de due diligence ;
•• activités de conseil-MPA 1000.C1-1 (normes professionnelles IFACI/
IIA) : conseil et services y afférents rendus au client donneur d’ordre
dont la nature et le champ sont convenus au préalable avec lui. Ces
activités ont pour objectifs de créer de la valeur ajoutée et d’améliorer
le fonctionnement de l’organisation. Quelques exemples : consulta-
tion, conseil, facilitation, conception de processus et formation.
Au niveau des domaines d’intervention de l’audit interne et des
thématiques auditées, l’enquête IFACI 2009 révèle des évolutions signifi-
catives, parfois surprenantes. Près de la moitié des responsables de l’audit
interne cite les audits d’entités comme étant leur principale (32 %) ou
seconde (17 %) préoccupation. L’évaluation du contrôle interne des
processus opérationnels est en troisième position (16 % des répondants).
La dimension fraude apparaît dans le classement en cinquième position
(14 % des cas). Parmi les domaines les moins cités, on note : le conseil de
la direction générale sur l’urbanisation des fonctions de contrôles, l’audit
de la gouvernance des filiales, l’audit des SI. Concernant les thématiques
de missions d’audit en 2009, l’audit des ressources humaines (40 %),
la participation à des équipes de projet (38 %), la participation aux tra-
vaux des commissaires aux comptes (34 %) ou encore la formalisation
des procédures opérationnelles (33 %) constituent le cœur de métier.
Quant aux missions programmées en 2010, on note une confirmation
de l’intérêt pour l’audit du PCA (plan de continuité d’activité) (33 %) et
l’émergence de nouvelles thématiques notamment l’animation d’ateliers
d’auto-évaluation (21 %) et la vérification de l’application de la stratégie
de développement durable (16 %).
En complément aux résultats de l’enquête 2009 publiée par l’IFACI,
on retiendra parmi les prises de position récentes sur l’évolution de
l’audit interne les éléments suivants :
26
Évolution 1 : un repositionnement de la fonction de l’audit interne

vers une activité basée sur la gestion des risques1
Description : cette étude montre les évolutions qui pourraient intervenir
entre 2007 et 2012 et décrit la profession de l’audit telle qu’elle pourrait
l’être en 2012. Cette analyse s’appuie sur des enquêtes annuelles menées
depuis 2005 auprès de grandes entreprises sur le métier de l’audit interne.
Dans l’introduction il est indiqué que la fonction d’audit pourrait passer
d’un modèle d’audit interne concentré sur l’activité d’assurance (controls)
à une profession centrée sur les processus de gestion des risques. L’étude iden-
tifie cinq tendances qui expliqueraient ce changement du modèle d’audit
actuel vers un modèle centré sur le risque : la mondialisation de la fonc-
tion des auditeurs internes, l’innovation technologique, une gestion des
risques en temps réel, la difficile recherche de talents et de compétences et
la recherche de structures organisationnelles plus efficaces.
Ce changement du modèle d’audit se traduirait notamment par
l’arrivée d’une nouvelle prestation de la part des auditeurs internes :
l’évaluation des processus de management des risques qui côtoierait
l’activité d’assurance traditionnelle. L’aptitude des auditeurs sur le mana-
gement des risques permettra de mieux coller aux nouvelles fonctions
(plus matures) de gestion des risques des organisations. Ce virage de la
profession entraîne le besoin pour un auditeur d’adopter un état d’esprit
centré sur le risque (risk-centric), ce qui n’était pas le cas auparavant.
Intérêts : l’étude annonce ce changement comme véritablement néces-
saire au métier de l’audit afin d’assurer l’efficacité des organisations qui
dépend de plus en plus de la gestion des risques.
Il s’agit d’une nouvelle approche de la fonction de l’audit interne.

Évolution 2 : vers plus d’indépendance et de place stratégique de l’au-
diteur interne2
Description : l’article fait référence à la position nécessairement straté-
gique de l’auditeur interne. « L’audit interne doit occuper une fonction
stratégique qui va bien au-delà du simple rapport présenté au conseil
d’administration.
1. Sources : Internal Audit 2012, « A study examining the future of auditing and the potential
decline of a controls-centric approach », PriceWaterhouseCoopers, Advisory Service ; 2007.
2. Sources : article édité dans Le Temps, « Économie & Finance », mercredi 1er octobre 2008,
« L’avenir de l’audit interne : priorité aux risques » : http://www.letemps.ch qui fait
référence à l’étude de PWC citée dans Évolution n° 1.
27
Intérêts : cette position de l’auditeur interne apparaît comme capitale

pour donner toute légitimité et toute indépendance à la démarche, en
vue de garantir l’efficacité d’un audit interne axé sur les risques, sujet
éminemment stratégique dans l’entreprise.
RÉSUMÉ
Une activité indépendante et objective

L’activité d’audit interne fait partie intégrante de l’organisation. L’audit
intervient sur mandat de la direction (auditer quoi = audit qui) pour :
• assurer la direction, le conseil et le comité d’audit de l’application des
directives et politiques ;
• aider les managers opérationnels et les audités à se contrôler et amélio-
rer leur efficacité.
L’auditeur n’a ni autorité, ni responsabilité à l’égard des activités qu’il
audite (récente, actuelle ou future) : pas d’affect, ni d’intérêt, condition
de l’objectivité.
L’audit interne doit être rattaché à une personne ou instance dont l’auto-
rité lui assure un large domaine d’investigations, la liberté de son opinion
et la considération adéquate de ses recommandations (rattachement
« quotidien » à la direction générale et rattachement « stratégique » à un
comité d’audit).
Une profession normée

Le métier d’auditeur ne s’improvise pas et s’appuie sur des principes
normatifs internationaux.
Le Cadre de référence international (Professionnal Practices Framework)
sur les pratiques professionnelles de l’audit interne, publié au 1er janvier
2009 par l'IIA, est constitué, outre la définition officielle de l’audit :
•• d’un code de déontologie qui précise aux auditeurs les valeurs à respecter
dans l’accomplissement de leur activité et s’appuie sur quatre principes
fondamentaux pertinents pour une pratique « éthique » de l’audit interne :
– l’intégrité à la base de la confiance et la crédibilité du jugement de
l’auditeur ;
28
Cadre de référence international

des pratiques professionnelles
Code de déontologie
œuvre pour l’assurance Normes
œuvre pour le conseil

Normes de mise en
Normes de mise en
de l’audit interne
de qualification
de l’audit interne
Définition
Définition
Normes
de fonctionnement
Glossaire
Modalités pratiques d’application
Prise de position – Guides d’application
CRIPP
Dispositions fortement recommandées du CRIPP

Dispositions obligatoires du CRIPP
Figure 2.2
– l’objectivité qui permet d’évaluer équitablement tous les éléments

pertinents examinés relatifs au domaine audité et de ne pas se laisser
influencer dans son jugement ;
– la confidentialité concernant les informations reçues et leurs divul-
gations ;
– la compétence requise pour la réalisation des travaux d’audit ;
•• des normes pour la pratique professionnelle. Ces normes qui
constituent des exigences minimales sont subdivisées en « normes
de qualification » (les séries 1000) de l’audit et des auditeurs et des
« normes de fonctionnement » (les séries 2000). Elles sont le plus
souvent complétées de « normes de mise en œuvre » pour les missions
d’assurance et celles de conseil que chaque institut national, dont
l’IFACI, prodigue à ses membres ;
•• des modalités pratiques d’applications (MPAs) qui expliquent les
normes et évoluent régulièrement afin de promouvoir les meilleures
pratiques et tenir compte de l’actualité économique et réglementaire ;
29
•• de guides pratiques et prises de position : travaux de recherches, publi-

cations, séminaires, conférences…
En complément au référentiel pour la pratique professionnelle de
l’audit interne, on portera un intérêt marqué aux éléments suivants :
•• un diplôme mondialement reconnu, le CIA (Certified Internal Audi-
tor), délivré par l’IIA depuis 1972 qui permet d’être reconnu comme
un expert en audit interne quelles que soient sa nationalité et ses
formations d’origine ;
•• le DPAI (diplôme professionnel d’audit interne), diplôme profes-
sionnel francophone que délivre l’IFACI et qui atteste que l’auditeur
dispose de compétences suffisantes en audit interne (expérience pra-
tique, démarche de formation et examen final). Ce diplôme sert de
modèle à certains instituts européens ;
•• des certifications professionnelles de l’audit et des systèmes de manage-
ment, notamment celle délivrée par IFACI Certification qui propose
d’une part de certifier le contenu et le niveau de services rendus par
la direction d’audit interne par rapport à un référentiel trouvant sa
source dans les normes professionnelles et d’autre part de procéder à la
certification ISO du système de management de la qualité (démarche
d’amélioration continue).
The Institut
of Internal IIA
Auditors
Union
francophone
UFAI de l’audit
CEIAI - ECIIA interne
Confédération
européenne
des instituts Institut français
IFACI
d’audit interne Figure 2.3 de l’audit et du
contrôle internes
Figure 2.3 – L’audit interne dans le monde.

Sa devise : « Le progrès par le partage »
Sur l’ensemble de ces sujets, le site internet de l’IFACI tient à jour une
base documentaire, que tout professionnel de l’audit se fera un devoir
de consulter régulièrement.
30
Affilié à l’IIA (The Institute of Internal Auditors), l’IFACI fédère et

représente les professionnels français de l’audit interne et promeut le
développement de l’activité.
On pourra utilement se procurer auprès de l’Institut le résultat de
l’enquête sur la pratique de l’audit interne en France en 2009, afin d’ap-
précier les dernières évolutions de la profession, notamment au regard
des nouvelles lois et réglementations en matière de contrôle interne
(LSF – loi de sécurité financière, SOX – Sarbanes-Oxley Act, LOLF – loi
organique relative aux lois de finance, CRBF 97-02 – développement
durable…).
RÉSUMÉ
Des normes : pourquoi ?
Buts explicites dans l’introduction

« Définir les principes de base que la pratique de l’audit interne doit
suivre,
– fournir un cadre de référence pour la réalisation et la promotion d’un
large éventail d’activités d’audit interne apportant une valeur ajoutée,
– établir les critères d’appréciation du fonctionnement de l’audit interne,
– favoriser l’amélioration des processus organisationnels et du fonction-
nement (de l’audit interne). »
Buts implicites : un référentiel de réflexion, d’arguments

et d’autorité
Les lire pour réfléchir en s’appuyant sur l’expérience mondiale, se faire une
opinion et l’argumenter/la démontrer.
Les citer en tant que consensus réfléchi de la profession :
– présomption de pertinence (experts du monde entier) ;
– autorité dont on peut se prévaloir.
Elles aident à répondre aux audités : c’est bien vu et ça les impressionne.
Elles suffisent généralement pour ébranler la direction.
31
RÉSUMÉ
Les normes de qualification 1xxx et de fonctionnement 2xxx
Normes de qualification : « Ce que sont l’audit interne

et les auditeurs »
• 1000 Mission, pouvoirs et responsabilité
• 1100 Indépendance et objectivité
• 1200 Compétence et conscience professionnelle
• 1300 Programme d’assurance et d’amélioration de la qualité
Normes de fonctionnement : « Ce qu’ils font »
• 2000 Gestion de l’audit interne
• 2100 Nature du travail
• 2200 Planification des missions
• 2300 Accomplissement des missions
• 2400 Communication des résultats
• 2500 Suivi des progrès
• 2600 Acceptation des risques par la direction
Normes de mise en œuvre et Modalités Pratiques d’Application :
« Comment ils le font » MPAs.
Les fonctions voisines de l’audit

Dans le domaine du contrôle des organisations au sens large, l’activité
d’audit interne en est un élément essentiel mais n’en a pas pour autant le
monopole. Au fur et à mesure de l’évolution des structures managériales
des organisations, diverses fonctions sont apparues avec chacune ses
spécificités, mais concourant toutes, peu ou prou, aux phases de planifi-
cation, de mise en œuvre et de contrôle des activités d’une organisation.
Nous citerons parmi les missions connexes à l’activité d’audit interne :
•• l’audit externe (bien qu’entité externe à l’organisation) ;
•• le contrôle de gestion ;
32
•• le risk management ;
•• la qualité ;
•• la fonction émergente de « contrôle interne » récemment apparue,
suite notamment à la mise en place des dispositions propres à la loi
« Sarbanes-Oxley » ;
•• Les consultants externes « experts » en matière de contrôle interne ;
•• Les organisateurs internes spécialistes de tel ou tel domaine de gestion ;
•• enfin dans les établissements financiers, l’Inspection.
Il nous semble important de situer ces différents interlocuteurs par
rapport à l’activité d’audit interne afin, d’une part de préciser les fon-
damentaux de l’audit interne, ce qui fait sa spécificité et d’autre part
d’apporter une contribution à la clarification d’une situation qui nous
semble bien souvent confuse quant aux rôles, pouvoirs et périmètres
d’intervention de chacun.
L’audit externe
On assimile souvent l’audit externe au commissariat aux comptes
(CAC). Sa mission concerne la certification des états financiers élaborés
par l’organisation. Dans la phase intermédiaire de sa mission, dite de
contrôles intérimaires, le CAC est amené à apprécier, comme l’auditeur
interne, la qualité du système de contrôle interne. Mais deux aspects
distinguent fondamentalement leurs missions respectives. D’une part le
CAC se préoccupe de la dimension de contrôle interne principalement
et presque exclusivement au niveau du périmètre comptable et financier.

Il ne se préoccupe que des processus qui impactent directement les états
financiers et n’appréhende pas les autres natures de risques. D’autre
part, lors de ces contrôles intérimaires, l’objectif du CAC est avant tout
d’identifier les faiblesses du contrôle interne afin d’orienter ces travaux
ultérieurs lors du contrôle final. Il n’a pas, à ce niveau, un véritable rôle
de conseil en matière de contrôle interne. Dans sa mission première, il
n’a pas à formuler de recommandations quant à son amélioration.
Obligation de résultats ou seulement de moyens ?
Le commissariat aux comptes est une profession réglementée et n’a
donc juridiquement qu’une obligation de moyens. Mais d’un point de
vue commercial il est « préférable » d’apporter des résultats au client…
33
De plus, on assiste actuellement à une montée des exigences des inves-

tisseurs.
L’audit interne n’a aucun pouvoir de décision, et certains pensent
qu’il ne peut donc avoir d’obligation de résultats, d’autres remarquent
que les vendeurs ont des quotas à atteindre alors que ce ne sont pas eux
mais les clients qui signent les contrats. L’audit interne n’est pas seul
responsable de la réalité du changement, mais il ne peut ignorer sa part
de responsabilité, car si les mêmes problèmes réapparaissent, qui peut
dire s’il faut l’attribuer à l’insouciance incompétence des responsables
ou au manque de diligence, énergie, persuasion de l’audit interne ? Les
documents normatifs internationaux sont clairs : pas d’amélioration, pas
de valeur ajoutée !
Tableau 2.1 – Comparaison avec l’audit externe
Audit interne Audit externe (CAC)
De la direction générale, Du conseil d’administration
pour les responsables de (officiellement de l’assemblée
Mandat
l’entreprise générale), pour les tiers qui
requièrent des comptes certifiés.
Liées aux préoccupations Liées à la certification des
de la direction générale : comptes : mise en œuvre
Missions découlant de la cartographie annuelle. Audit de régularité
des risques. Tous les types uniquement, dans le domaine
d’audit et tous les sujets comptable et financier
• Constatations approfondies • Constatations succinctes :
dès qu’existe un potentiel de examen des circuits clés et des
dysfonctionnements, pour montants supérieurs à un seuil
Conclusions identifier les causes et définir de signification pour dresser des
les actions qu’il y a lieu de constats de carence et informer
mener. (résoudre)
• Obligation de résultats ? • Obligation de moyens ?
Le contrôle de gestion
La distinction avec le contrôle de gestion (nous ne parlons pas ici du
simple contrôle budgétaire) est la plus nécessaire car ces deux fonctions
interviennent dans le même domaine, la gestion de l’entreprise et son
amélioration, en fonctionnels (analystes, conseillers, d’ailleurs de forma-
tion similaire) et non en opérationnels (responsables, décideurs), et en
34
toute indépendance (rattachement à haut niveau). Elles se distinguent

par leurs modes opératoires.
La mission de l’audit interne et celle du contrôle de gestion se com-
plètent et s’épaulent mutuellement :
•• le contrôle de gestion peut demander un arrêt sur image, un zoom,
une vue détaillée et sûre à l’audit interne (le navigateur peut deman-
der au mécanicien de régler l’altimètre et le gyrocompas) ;
•• l’audit interne peut s’appuyer sur la connaissance du contrôle de gestion
pour élaborer le plan d’audit (le navigateur signale les turbulences).
Tableau 2.2 – Comparaison avec le contrôle de gestion
Audit interne
Contrôle de gestion
Comment fonctionne
Où voulons-nous aller ?
ce qui existe ?
Par où passer ?
Comment l’améliorer ?
Objectifs Photo périodique et détaillée. Cinéma continu et global.
Va des problèmes rencontrés Va des indicateurs généraux
Démarche en pratique à leurs causes et aux paramètres particuliers.
conséquences.
Contrôle l’application des Planifie et suit les opérations
directives, la fiabilité des et leurs résultats. Conçoit
informations et l’adéquation et met en place le système
des méthodes : les processus, d’information pour ce faire.
Rôle
les conditions d’obtention des Analyse le budget du service
résultats. d’audit interne.
Audite la fonction contrôle de
gestion.
Investigue le passé – seule Pour maîtriser l’avenir (plan),
réalité – pour trouver ce qu’on analyse pourquoi le présent
Horizon aurait pu faire de mieux et ne lui ressemble pas (écarts) :
l’appliquer à l’avenir : semble semble croire que le réel se
vouloir changer le passé ! trompe et que le plan a raison !
Découvre les moyens Élabore (mais ne décide pas)
Mode organisationnels pour atteindre les objectifs en s’appuyant
d'inter les objectifs. Valide les objectifs sur des hypothèses explicites.
vention (mode de détermination et Analyse coûts – bénéfices.
faisabilité).
Mécanicien de chaque secteur. Navigateur de l’ensemble des
Différences
secteurs.
35
Le risk management
L’audit interne et le risk management se complètent parfaitement lorsque
les rôles respectifs sont bien définis, compris et admis par les deux parties.
En caricaturant on pourrait simplifier en disant : que par rapport aux
RISQUES, les uns (risk managers) en ont une vision MACRO et les
autres (auditeurs internes) la vision MICRO.
Les risk managers sont les « experts » internes du risque. Ils les identi-
fient, les classifient, les évaluent (impact/probabilité) et enfin élaborent
les traitements à prévoir « acceptation du risque, recours à l’assurance,
évolution du dispositif de maîtrise des risques »… Le risk management se
situe en amont de l’activité d’audit interne, notamment dans la contri-
bution qu’il peut apporter à l’élaboration du programme annuel d’audit
par l’établissement d’une cartographie des Risques, comme nous le ver-
rons ultérieurement.
Tableau 2.3 – Comparaison avec le risk management
Audit interne Risk management
COSO-I, COCO, « cadre de • Cadre de référence FERMA
Cadres de
référence AMF » (Federation of European Risk
référence
Management Associations)
usuels
• COSO-II
Cartographie L’exploite pour établir son En charge de l’établir
des risques programme annuel d’audit
Expert de l’identification des Expert de l’identification et
Par rapport
risques spécifiques à chaque de la quantification (impact/
au concept de
entité auditée probabilité) des risques
risque
globaux
Va sur le « terrain » et Intervient à distance et par
Mode
développe une méthodologie un réseau de correspondants
d’intervention
d’investigation détaillée
La qualité
Encore faudrait-il savoir de quelle qualité l’on parle.
S’agit-il de la démarche qualité qui s’inscrit dans le cadre du déploiement
des normes ISO 9000 (que les toutes premières versions de cette norme
appelaient l’assurance qualité) ou des approches dites « qualité totale ou
36
globale » ou Total Quality Management qui s’inspirent de modèles tels que

les référentiels EFQM « European Fondation Quality Management »,
« Balbridge » aux États-Unis ou autre « Deming » au Japon.
Si nous nous cantonnons plus particulièrement au système de mana-
gement de la qualité (SMQ) relatif aux normes ISO 9000, sa première
version date de 1987. Depuis, de nombreuses actualisations sont venues
améliorer considérablement le concept qualité. D’une vision « très
procédurière » des premières versions, nous en sommes maintenant
(notamment avec la dernière évolution significative de la version v2000
et sa suivante) à une conception plus « moderne » de la qualité qui se
préoccupe plus du fond (« satisfaction des clients ») et moins de la forme.
L’engouement des organisations pour la certification en témoigne.
L’ambiguïté ne se situe pas entre l’audit interne et la qualité mais
entre l’audit interne et l’audit qualité (qui constitue une obligation de
la norme ISO 9001). Si les finalités de ces deux métiers sont les mêmes
(« le contrôle du contrôle »), les modes opératoires, l’organisation des
missions présentent des différences significatives.
Tableau 2.4 – Comparaison avec la qualité
Audit interne Audit qualité

Service à part entière d’une « Corps d’auditeurs qualité »
organisation, identifié en composés de personnes formées
Organisation tant que tel. à ces pratiques mais qui
du service « Un métier à temps plein » occupent d’autres fonctions
pendant quelques années. dans l’organisation.
« Un métier à temps partiel ».

Nature Conformité, efficacité, Une dominante conformité.
des missions efficience.
Durée « Longues », quelques « Courtes », quelques jours.
des missions semaines.
Normes Normes professionnelles de Normes ISO 10011.
« d’audit » l’audit interne.
Identifier des zones de Identifier des exigences de la
RISQUES non couvertes norme ISO 9001 non satisfaites
Objectifs
par des dispositifs de par les dispositifs du SMQ
prioritaires
contrôle interne. existants conduisant à la non-
satisfaction du client.
37
Sans porter de jugement trop hâtif sur « la meilleure formule » quant
à la combinaison entre l’audit interne et l’audit qualité (deux services
séparés, un seul service), une chose est certaine : ce thème mérite une
réflexion car nous sommes convaincus que des synergies sont possibles,
bénéfiques pour toute l’organisation, pour peu que les experts se rap-
prochent.
La fonction émergente de « contrôle interne »

Pendant des décennies la pensée dominante, en matière de contrôle
interne, préconisait de ne pas créer une fonction spécifique en charge
de la conception et de la mise en œuvre des dispositifs appropriés de
contrôle interne (exception faite des établissements financiers pour
lesquels la réglementation bancaire en imposait l’existence, règlement
CRBF 97-02) et d’en laisser la charge aux responsables opérationnels
et fonctionnels. Cette position se justifiait par le souci que ces mêmes
responsables se sentent complètement concernés par cette dimension et
s’approprient cette culture du contrôle en participant à sa conception et
à sa mise en œuvre. Nous partageons toujours cette position.
Cependant depuis l’avènement de nouvelles obligations légales,
notamment la loi Sarbanes-Oxley aux États-Unis et à un degré moindre
la loi de Sécurité financière en France, certaines des sociétés concernées
se sont organisées différemment. Après avoir fait appel à des cabinets
externes lors de la phase d’implémentation de ces nouvelles obligations,
elles se sont dotées de véritables services de contrôle interne dont le
rôle principal est de veiller à la « bonne maintenance » du système et
à son amélioration (optimisation des dispositifs tout en respectant les
obligations légales).
Ces nouveaux services disposent de moyens importants et conjuguent
souvent leurs efforts avec des « correspondants contrôle interne » dans les
directions opérationnelles et fonctionnelles. Cette formule, qui associe
« experts du contrôle interne » dans un service central et des correspon-
dants proches du terrain pour ne pas déresponsabiliser les directions,
nous semble correspondre à l’évolution nécessaire compte tenu de la
place grandissante de cette dimension « contrôle » dans nos économies
actuelles.
38
L’enquête IFACI 2009 est révélatrice de la très récente et très forte

émergence de cette fonction « Contrôle interne » : 38 % des services
de contrôle interne ont moins de 3 ans (12 % pour l’audit interne), le
nombre moyen de contrôleurs internes pour 1000 salariés est de 3,96
supérieur à ce même ratio pour les auditeurs internes de 3,32. Cepen-
dant ces moyennes cachent des disparités très importantes (cas spécifique
du secteur bancaire notamment).
Tableau 2.5 – Comparaison avec la fonction émergente
de « contrôle interne »
Fonction
Audit interne
« contrôle interne »
Apprécie l’existence, la Conçoit et met en place
pertinence, l’efficience des les dispositifs de contrôle
dispositifs de contrôle interne interne.
Objectifs
(processus de management
des risques, de contrôle et de
gouvernance).
Va sur le « terrain » et Intervient à distance
Mode
développe une méthodologie et par un réseau de
d’intervention
d’investigation détaillée. correspondants.
Ces deux activités, lorsqu’elles cohabitent, se complètent.
L’une (contrôle interne) conçoit et met en œuvre le
Complémentarité
contrôle interne, l’autre (audit interne) en apprécie
l’existence, la bonne application et l’efficience.
Dispose de suffisamment Conçoit et met en
de recul sur « l’opérationnel » œuvre, donc « est trop
pour donner une opinion impliquée dans la mise

Différences
objective sur le dispositif en œuvre pour apprécier
de contrôle interne. la « qualité » du dispositif
qu’elle propose ».
Les consultants externes « experts » du management des risques,

du contrôle interne et de la gouvernance d’entreprise
Depuis le début des années 2000 les grands cabinets d’audit externe ont
développé, parallèlement à leur activité traditionnelle de Commissariat
aux comptes, des prestations de services dans le domaine du management
des risques, du contrôle interne et plus généralement de la Gouvernance
39
d’entreprise. Au départ, la mise en œuvre des dispositifs propres aux

obligations de la loi Sarbanes-Oxley en a été indéniablement le fait déclen-
cheur. Aujourd’hui on peut considérer que bon nombre des entreprises
concernées par ces nouvelles obligations légales sont « en régime établi ».
Néanmoins ces cabinets interviennent toujours dans les organisations
dans ces mêmes domaines. Leurs contributions se situent à plusieurs
niveaux :
•• pour des organisations de taille moyenne non pourvues de service
d’audit interne, ils peuvent réaliser en tout ou partie de véritables
missions « d’audit interne ». On parlera alors d’externalisation de
l’activité d’audit interne ;
•• pour des plus grandes organisations, dotées d’un service d’audit
interne, la direction de l’audit peut souhaiter adjoindre à une de ses
équipes d’audit un spécialiste « expert d’un domaine précis » dont il
ne dispose pas dans son effectif (exemples : auditeurs des systèmes
d’information, juristes, spécialistes de la fraude…) ;
•• au niveau du management des risques, ils peuvent intervenir dans la
réalisation d’une cartographie des risques ;
Tableau 2.6 – Comparaison avec les consultants externes
« experts » en matière de contrôle interne
Audit interne Consultants externes

Mettre en évidence les On sait qu’on va réorganiser,
Objectifs de
problèmes puis ébaucher on fait venir quelqu’un pour
l’intervention
des solutions. le faire.
Des généralistes (tous Connaissance spécialisée des
Conditions
problèmes) étayant leurs solutions au problème déjà
requises
affirmations (non-spécialistes). bien identifié.
Base du Méthodologie d’investigation. Expérience accumulée.
savoir‑faire
Cohérence interne des Des solutions qui ont
Utilisation processus et systèmes de fait leurs preuves ailleurs.
du savoir-faire gestion. Pertinence par Comparaison situation du
rapport aux buts et objectifs. client/expérience accumulée.
Le groupe. Et l’audit interne Le commanditaire. Il reste
Client réel exige que les problèmes propriétaire du rapport et en
démontrés soient résolus fait ce qu’il veut
40
•• enfin, en fonction des évolutions législatives et/ou réglementaires,

ils peuvent être amenés à traiter des problèmes divers en matière
de gouvernance d’entreprise (par exemple, 8e Directive européenne
transposée en droit français concernant les nouvelles compétences des
comités d’audit).
On confond parfois « expert » et « expérimenté » en oubliant que,
dans l’expérience, ce qui importe est la variété des situations vécues et
non le nombre de fois où l’on a répété la même chose. L’expérience peut
être un handicap pour les consultants : elle incite à adopter les solutions
qui ont réussi dans le passé, alors que les environnements, les hommes
et les techniques disponibles peuvent être différents. Par contre grâce
à leur réseau ces cabinets disposent de toutes les compétences dans
tous les domaines, luxe que ne peut s’offrir un service d’audit interne
classique.
Les « experts/organisateurs » internes

Dans toutes les grandes organisations, il existe des spécialistes de tel
ou tel domaine de gestion qui, de par l’expérience acquise, détiennent
un savoir-faire indiscutable. Qu’ils fassent partie d’un service ad hoc
(anciennement dénommé « organisation ») ou qu’ils soient attachés à
des services divers et affectés ponctuellement à des missions de réorga-
nisation, ils n’en constituent pas moins un apport interne intéressant.
Lorsque les auditeurs internes ont fini leur mission et préconisé leurs
recommandations, les responsables audités peuvent trouver là une aide
précieuse pour la mise en œuvre des plans d’action.
Tableau 2.7 – Comparaison avec les organisateurs internes

Audit interne Organisateurs internes
Courtes : quelques Longues : plusieurs mois,
semaines, visant à améliorer consistant à (casser puis)
(sans bouleverser) refaire
Peut déboucher sur Doit commencer par un
Interventions
une réorganisation pour audit pour détecter les
résoudre un problème faiblesses de l’organisation
et atteindre un objectif existante et préciser les
clairement défini objectifs
☞
41
☞
Détecter et évaluer Concevoir, réaliser et
les risques et mettre en place les moyens
Objectifs dysfonctionnements, adaptés, pour le futur
en rechercher les causes, immédiat ou plus lointain
faire cesser ces causes
Compare le réel à un Analyse les méthodes et
référentiel très centré outils de travail ; analyse
sur le contrôle interne. des temps plus que des
Méthode
Orienté charges, il repère montants. Orienté flux,
plus facilement les sous- il repère plus facilement
activités les goulots
Laisse la décision et Décide et agit avec les
Responsabilité l’action aux audités. Reste intéressés. Est engagé.
indépendant.
L’inspection
Tableau 2.8 – Comparaison avec l’inspection
Audit interne Inspection

Contrôle le respect des règles Contrôle le respect des règles
Régularité/
et leur pertinence, caractère sans les interpréter ni les
efficacité
suffisant… remettre en cause
Remonte aux causes pour S’en tient aux faits et
Méthode élaborer des recommandations identifie les actions
et objectifs dont le but est d’éviter la nécessaires pour les réparer
réapparition du problème et remettre en ordre
Considère que le responsable Détermine les responsabilités
« le chef » est toujours et fait éventuellement
responsable et donc critique sanctionner les responsables.
Évaluation
les systèmes et non les Évalue le comportement
hommes : évalue le des hommes, parfois leurs
fonctionnement des systèmes compétences et qualités
Privilégie le conseil et donc la Privilégie le contrôle et
Service/
coopération avec les audités donc l’indépendance des
police
contrôleurs
Répond aux préoccupations Investigations approfondies
Sélection/ du management soucieux et contrôles très exhaustifs,
sélectivité de renforcer sa maîtrise, sur éventuellement sous sa
mandat de la direction générale propre initiative
42
Attention : dans les banques, le titre « inspection » ou « inspection

générale » couvre une combinaison des deux métiers.
Enfin le tableau 2.9 résume la nature et le niveau de collaboration

entre l’audit interne et les fonctions voisines présentées précédemment
en ce qui concerne la réalisation de travaux en commun et le partage d’in-
formations. On notera la collaboration étroite de l’audit interne avec la
fonction « émergente » de contrôle interne (résultats de l’enquête IFACI
2009).
Tableau 2.9 – Relation de l’audit interne avec d’autres fonctions*
Réalisation
Partage
Fonctions voisines de travaux
d’informations
en commun
Le contrôle de gestion 13 % 65 %
Le risk management 29 % 52 %
La qualité 18 % 44 %
Le contrôle interne 36 % 57 %
La conformité 21 % 38 %
Le service juridique 17 % 70 %
Hygiène, santé, sécurité 08 % 36 %
Direction des systèmes d’information
18 % 58 %
et responsable de la sécurité des SI
* Réponses des auditeurs interrogés à la question : quelle est la nature de la relation de
l’audit interne avec d’autres fonctions de l’organisation ?
43
Partie 1
Chapitre 3 ■ L’organisation de l’activité d’audit
Chapitre 3
L’organisation
de l’activité d’audit
Le rattachement de l’audit interne

À qui l’audit interne doit-il être rattaché ? À la direction générale, au
directeur administratif et financier ou à tout autre directeur ?
Il doit « être rattaché à une personne ou instance dont l’autorité lui
assure le plus large domaine d’investigations, la liberté de son opinion,
et la considération adéquate de ses recommandations » (Louis Vaurs,

délégué général de l’IFACI).
Pour répondre à l’exigence d’indépendance ; le service d’audit doit
être indépendant (voir normes 1100 – 1110 – 1111 – 2020).
Le rattachement hiérarchique à la direction générale ou au prési-
dent semble correspondre à ces spécifications et la tendance actuelle le
confirme (77 % en 2009 – Enquête IFACI). Ainsi « Ils » ne sont pas
tentés d’influencer les conclusions de l’audit interne ou leur formula-
tion. Mais l’expérience montre que, quand l’audit interne dépend d’un
autre directeur, il résiste le plus souvent à cette tentation ! Le rattache-
ment hiérarchique au comité d’audit reste exceptionnel (3 % en 2009
– Enquête IFACI).
45
Le rattachement à la direction générale se caractérise par (Enquête

IFACI 2009) :
•• une évolution positive des relations. 44 % des auditeurs internes
interrogés déclarent avoir plus de dix réunions formelles par an avec
leur DG (32 % en 2005) ;
•• une préoccupation des thèmes abordés durant ces réunions formelles
axées sur les missions et responsabilités du service d’audit interne et
le suivi des plans d’actions.
Le rattachement au directeur financier (13 % en 2009 contre 15 %
en 2005 – Enquête IFACI) donne une image, voire une orientation,
financière et comptable à l’audit interne.
De plus, contrairement aux Anglo-Saxons orientés contrôle de ges-
tion, les directeurs financiers français sont en général orientés vers la
trésorerie et le haut de bilan, et donc moins à l’aise pour comprendre ce
que l’audit interne rapporte et recommande.
Le rattachement à tout autre directeur menace l’indépendance de
l’audit interne, même si la Charte spécifie que l’audit interne intervient
dans tous les domaines.
Comment sortir de ce dilemme ? Par un double rattachement : quo-
tidien à un directeur et fonctionnel à un Comité d’audit (ou ce qui en
tient lieu) :
•• un directeur pour assumer la responsabilité administrative et aider
l’audit interne en cas de besoin ;
•• un « comité d’audit » émanant du conseil d’administration dont le
but est de protéger l’organisation contre les irrégularités que les man-
dataires sociaux pourraient commettre ou promouvoir, et de rassurer
les actionnaires.
En complément aux résultats de l’enquête 2009 publiée par l’IFACI,
on retiendra parmi les prises de position récentes sur le rattachement de
l’audit interne les éléments suivants.
Évolution 1 : prise de position de l’IFA/IFACI sur le rôle de l’audit
interne dans le gouvernement d’entreprise réalisée en mai 2009
Description : il existe deux principaux modes de rattachement de l’audit
interne et c’est à l’entreprise de trouver la meilleure combinaison pour
optimiser les avantages de ces deux schémas. Pour cela, l’IFA et l’IFACI
recommandent que l’audit interne soit rattaché à la direction générale afin
46
d’assurer l’efficacité opérationnelle et l’implication du management mais

également qu’il soit en relation étroite et régulière avec le comité d’audit
ce qui favoriserait son indépendance et le rôle de surveillance du conseil.
De plus, les relations entre l’audit interne et ses deux organes de rat-
tachement au sein de l’entreprise doivent être clairement identifiées avec
par exemple : la périodicité, les procédures mises en œuvre, le mode de
présentation et de synthèse des constats de l’audit interne ou encore les
modalités de suivi des recommandations…
Intérêts : cette prise de position peut utilement guider les entreprises
dans le choix d’organisation de leur service d’audit interne.
Évolution 2 : prise de position de l’IFACI sur l’urbanisme du contrôle

interne d’octobre 2009
Description : « Au cours des dix dernières années, les services d’audit interne
ont considérablement renforcé leur rôle et leur positionnement. Ils sont
aujourd’hui, comme l’ont révélé les enquêtes les plus récentes, rattachés le
plus souvent à la direction générale ou à un membre du comité exécutif
agissant pour le compte de la direction générale et non pour le compte
de sa propre fonction. Rarement membres du comité exécutif, si ce n’est
comme membres non décisionnaires, afin de préserver leur indépendance,
les directeurs d’audit interne entretiennent de plus en plus souvent une
relation étroite avec le comité d’audit ou le conseil d’administration. »
Intérêts : cette prise de position met en évidence l’essor et la prise de
conscience des entreprises sur l’importance d’un service d’audit interne. Elle
souligne également l’attention et la mise en œuvre des recommandations
des instances comme l’IIA ou l’IFACI dans la mise en œuvre du contrôle

interne et le déploiement d’un service d’audit interne dans les entreprises.
En effet selon l’IFACI, une majorité des entreprises ont rattaché l’au-
dit interne à la direction (application directe de la norme 1110).
On peut conclure sur le fait que cette prise de position ne constitue
pas une évolution sur le rattachement de l’audit interne mais plutôt une
réaffirmation plus détaillée.
Évolution 3 : prise de position de l’AMF, rapport sur le comité d’audit

été 2010
Description : l’entrée en vigueur de l’ordonnance du 8 décembre 2008
transposant la directive du Parlement européen et du Conseil de l’Union
47
européenne concernant le contrôle légal des comptes a consacré le rôle

du comité d’audit. L’AMF a souhaité conduire une réflexion sur ce
nouveau cadre législatif entourant les comités d’audit.
Intérêts : ce dossier consultable sur le site www.amf-france.org souligne
les points saillants des missions confiées au comité d’audit, en appor-
tant un éclairage sur son périmètre d’intervention et en proposant une
démarche concrète de mise en œuvre.
La charte de l’audit interne

Pour jouer pleinement leur rôle et contribuer ainsi à l’amélioration de
la performance d’un groupe, les équipes d’audit doivent respecter une
éthique et informer l’ensemble des parties prenantes sur leurs objectifs
et leurs méthodes.
L’existence dans chaque organisation d’une charte d’audit interne le
permet (83 % services d’audit interne interrogés en sont dotés – enquête
IFACI 2009). C’est un document solennel, élaboré par le responsable de
l’audit interne, approuvé par la direction générale (dans 89 % des cas)
et par le conseil ou le comité d’audit (69 % des cas).
Les Normes 1000 et 1010 précisent que la mission, les pouvoirs et les
responsabilités de l’audit interne doivent être formellement définis dans
une charte d’audit interne.
La charte doit garantir les conditions d’indépendance de la fonction
et protéger les audités contre tout excès.
Elle couvre notamment :
•• la nature des missions couvertes ;
•• la programmation des missions et le rôle que peut avoir l’encadre-
ment (la saisine de l’audit interne), ainsi que la compétence de l’audit
interne (tous domaines ou exclusions éventuelles) ;
•• le déroulement d’une mission, vu des audités ;
•• le processus de validation des conclusions, la diffusion des rapports,
la définition (donc la limitation) du droit de réponse ;
•• les responsabilités : les avis et recommandations de l’audit interne ne
déchargent en aucune façon les personnes de l’organisation auditée
des responsabilités qui leur sont assignées ;
•• le processus de suivi des recommandations ;
48
•• les points majeurs de déontologie :

– auditeurs : indépendance (l’auditeur n’a ni responsabilité, actuelle
ou récente, ni autorité, actuelle ou prochaine, à l’égard des acti-
vités qu’il audite), droit d’accès, devoir de réserve, évaluation des
systèmes et non des personnes ;
– audités : devoir de communication, droit à la protection (validation
avant diffusion, dossiers d’audit protégés).
L’audit doit être vigilant face aux travaux qui l’écartent de sa mission habi-
tuelle de contrôle. Ces demandes peuvent diminuer son efficacité et nuire à
son indépendance de jugement. La charte peut alors être présentée comme
une référence à respecter pour éviter d’éventuels dysfonctionnements. Il s’agit
d’encadrer le pouvoir pour éviter toute apparence d’arbitraire.
La charte fournit un support de communication de l’audit interne
vers ses partenaires.
RÉSUMÉ
L’audit interne suit une procédure formalisée : la « charte »

L’audit interne intervient (AI) sur et uniquement sur mandat de la direc-
tion générale :
– uniquement sur… : pas d’arbitraire ;
– sur mandat… : l’AI a accès à tout document, fichier, installation,
personne dès lors qu’il est mandaté.
L’auditeur est comme assermenté dans ses constatations et les auditeurs
sont tenus au devoir de réserve. Leurs dossiers ne sont pas accessibles.
L’AI n’émet pas de commentaire sur les personnes. Ce sont les situations
et les systèmes qu’il évalue.
Les conclusions de l’AI font l’objet d’un rapport écrit :
– un projet de rapport est validé avec les seuls intéressés avant d’être
diffusé (procédure contradictoire) ;
– Les éventuels désaccords des audités sont annexés au rapport (procédure
écrite) ;
– le rapport définitif est ensuite diffusé aux responsables audités pour
action et aux directions pour information.
L’AI recommande des solutions mais ne les décide ni ne les met en place.
Ces recommandations ne déchargent en aucune façon le management de
ses responsabilités.
49
L’organisation des moyens

Il y a un côté physique dans l’audit interne : les déplacements et les
nombreux dossiers, les observations de l’activité au petit matin et les
inventaires le 31 décembre à minuit… mais c’est plutôt un travail intel-
lectuel !
Les auditeurs doivent disposer d’un cadre de fonctionnement :
•• le cadre de références international des pratiques professionnelles ;
•• la méthodologie du service. Elle est ce qui est commun à toute mission,
elle guide l’élaboration de ce qui est spécifique à une mission donnée ;
•• les documents et procédures de fonctionnement du service.
Il leur faut aussi des supports propres à chaque mission :

•• des « guides d’audit de… » décrivant une activité auditée, ses risques
et ses pratiques d’organisation communément adoptées, incluant le
tableau des risques, le programme de vérifications et l’état d’avan-
cement final (base du prochain planning) de la dernière mission.
Tant qu’on n’a pas accumulé cette expérience, on s’appuiera sur des
ouvrages et manuels de référence ;
•• on peut aussi constituer des bases de données des risques et dysfonc-
tionnements rencontrés, consulter le fonds documentaire de l’IFACI
(notamment les mémoires d’étudiants) ou feuilleter des ouvrages pro-
fessionnels en librairies ;
•• ne pas oublier la méthode la plus répandue pour pallier son igno-
rance : copier ceux qui savent. Outre les échanges d’expériences par
le biais de l’IFACI, ce sera :
– l’emprunt de personnel de l’entreprise compétent sur le sujet, pour
participer à la phase d’étude, et éventuellement à l’analyse des
constats (ou, plus limité, l’achat d’une expertise opinion réponse,
externe ou interne, sur un point technique d’une mission) ;
– le transfert de technologie en effectuant une première mission
conjointe avec un cabinet de conseil aguerri dans un domaine peu
ou mal connu de l’audit interne.
Il faut enfin des outils informatiques : traitement de texte, tableur,
logiciel de base de données, de présentations graphiques, de diagrammes
50
de circulation, d’interrogation de fichiers. Apparaissent aussi des logiciels

de gestion pour mener une mission ou pour élaborer le plan d’audit et
suivre la mise en place des plans d’actions.
En matière de recours à la sous-traitance (externalisation partielle
ou totale de l’activité d’audit interne) l’enquête IFACI 2009 révèle une
faible proportion de cette pratique : pour 66 % des services d’audit
interne interrogés, moins de 3 % de leur activité est sous-traitée. Une
minorité des services (3 %) sous-traitent plus de 30 % de leur activité.
En complément à cette enquête, on retiendra parmi les prises de
position récentes sur le sujet les éléments suivants :
Évolution 1 : Le recours à une fonction d’audit interne externalisée1

Description : la problématique des ressources disponibles pour la fonc-
tion d’audit interne peut se poser en termes d’acteurs pour un besoin
de compétences spécialisées ou des contraintes de délais, et de moyens
pour des organisations de petite taille par exemple.
Pour répondre à cette problématique, une organisation a la possibilité
de faire le choix de l’externalisation partielle ou totale de sa fonction
d’audit interne.
Dans les cas où celle-ci opte pour l’externalisation totale, l’IIA estime
que la supervision et la responsabilité de l’activité d’audit interne ne
peuvent pas être confiées au prestataire extérieur.
Il convient de désigner un correspondant interne à l’organisation, de
préférence un membre de la direction générale ou un cadre dirigeant,
qui sera chargé de gérer l’audit interne externalisé.
Si ce correspondant exerce par ailleurs d’autres responsabilités (hors

audit interne), il conviendra d’évaluer les conditions relatives à son indé-
pendance conformément aux Normes des pratiques professionnelles.
Lorsqu’il ne s’agit que de la sous-traitance d’une mission d’une courte
durée, comme une mission spécifique ou une partie de mission, les audi-
teurs internes de l’organisation peuvent gérer et superviser la mission.
Intérêts : étant donné l’importance de la fonction audit interne dans
une organisation, lorsqu’elle est externalisée totalement ou pour une
part significative, il y a lieu de confier sa responsabilité et sa supervi-
sion à un membre de la direction générale, ce qui permet de conserver
1. Source : prise de position de l’IIA sur les ressources de l’audit interne – 23/12/2008.
51
la maîtrise des processus de gouvernance, de gestion du risque et de

contrôle au sein de l’organisation.
La gestion des auditeurs

Selon l’enquête IFACI 2009, le nombre moyen d’auditeurs est de 3,32
pour 1 000 salariés (contre 2,85 en 2005), avec des écarts très marqués
(1 pour 1 000 dans l’industrie, 9,6 pour 1 000 dans les organismes
bancaires ou financiers. 45 % des services d’audit ont moins de dix ans
d’existence (contre 51 % en 2005) et 82 % des services ont moins de
vingt auditeurs).
La gestion du personnel de l’audit interne présente plusieurs parti-
cularités.
Les auditeurs sont organisés en pool

Les auditeurs sont, en général, organisés en un pool où l’on puise pour
constituer les équipes : ils n’ont pas de lien hiérarchique permanent avec
leur chef de mission sauf sur la durée d’une mission ;
La structure hiérarchique du Service d’audit interne — quand il
dépasse 1 personne ! — est :
•• à deux niveaux dans les services de 2 à 5 personnes (non compris le
secrétariat) : « auditeurs » et « chef du service d’audit interne » ;
•• et à trois dans ceux de 6 à 20 personnes : « auditeurs », « chefs de
mission », « directeur de l’audit interne ».
Dans les plus gros services apparaissent un quatrième niveau et sou-
vent une décentralisation de l’audit interne.
Nous nous placerons dans le cas de trois niveaux, pour distinguer les
rôles de chef de mission et de responsable de l’audit interne, sachant que
dans les petits Services le chef cumule les deux rôles.
Les auditeurs sont affectés à un chef de mission le temps d’une mis-
sion, et pas forcément au même pour la suivante. C’est une des raisons
de l’appréciation systématique à l’issue de chaque mission.
52
Ils sont en général polyvalents (ou appelés à le devenir), sauf quelques

spécialistes de disciplines réputées difficiles et techniques (exemple :
auditeur informatique). Dans les gros services, et notamment les entre-
prises multisecteurs ou multi-implantations (dont multinationales), on
les regroupe par secteur ou région.
Un auditeur est normalement affecté à une seule mission à la fois.
Les chefs de mission sont les piliers de l’audit interne. Leur rôle est
d’animer et contrôler la progression des travaux, d’assurer leur qualité,
et d’assumer l’interface avec les audités. Ils sont responsables du succès
de la mission, vis-à-vis du service d’audit interne et vis-à-vis des audités.
En principe, on est auditeur ou chef de mission selon les besoins, les
spécificités et l’expérience requise : tantôt l’un, tantôt l’autre. Mais il y a
souvent un « effet de cliquet », ne serait-ce qu’à cause de la rapide rotation
des auditeurs et donc de la faible expérience de la plupart d’entre eux.
Il est plus efficace qu’un chef de mission soit sur une seule mission à
la fois. Il est parfois nécessaire qu’il en conduise plusieurs de front.
Poste tremplin ou fonction pépinière, on les embauche pour le poste
suivant autant que pour l’audit interne. Dans 50 % des services d’audit
interne, les auditeurs ont moins de trois ans d’expérience en audit, seuls
4 % des auditeurs ont plus de onze ans d’ancienneté.
On les recrute pour le poste, mais ils viennent pour les perspectives,
l’audit interne attire en tant qu’accélérateur de carrière.
Il faut donc pouvoir faire état des bonnes sorties de leurs prédéces-
seurs, savoir quels sont les besoins de l’entreprise à moyen terme, et
faire rencontrer aux candidats des responsables de l’entreprise. D’après

l’enquête IFACI 2009, lorsque les auditeurs quittent le service d’audit
interne, 41 % d’entre eux s’orientent vers la direction financière, 33 %
vers le management opérationnel d’entités et 26 % vers des services sup-
port (ressources humaines, systèmes d’information, communication…).
Recrutements et sorties du service sont ainsi liés. Cela rend nécessaire
une coopération étroite avec la DRH :
•• à l’embauche, pour qu’elle décrive les besoins prévus, évalue les can-
didatures externes (son rôle habituel) et internes (aider à « lire » les
dossiers)… et n’affecte pas le niveau de professionnalisme ;
•• à la sortie pour qu’elle identifie des postes opportuns pour les intéres-
sés, utiles à l’entreprise et promoteurs pour l’audit interne ;
53
•• et entre-temps pour d’une part organiser ces sorties (côté audit interne
cela pourra influer sur l’affectation des missions), et d’autre part pro-
téger l’audit interne des prédateurs qui confondraient pépinière, où
l’on attend que la plante soit mature, et vivier où l’on se sert : quand
les auditeurs sont bons, ils attirent les convoitises !
Quant au recrutement lui-même, il suit le processus habituel à l’entre-
prise, complété de discussions entre candidats et auditeurs pour s’assurer
que les candidats s’intégreront à l’équipe en place.
Les auditeurs sont évalués à l’issue de chaque mission

Les auditeurs sont donc évalués plusieurs fois par an.
L’audit travaillant par chantiers, il est bien normal qu’on évalue les
ouvriers et le conducteur des travaux à la fin de chaque chantier (surtout
quand les ouvriers changent de conducteur à chaque chantier).
Le but est qu’ils modifient leurs façons de faire, tant au plan de la
technique qu’à celui du comportement. Il s’agit de faire adhérer les inté-
ressés aux évolutions à entreprendre, bien plus que de déterminer une
note comparative (augmentations) ou absolue (promotions).
Pour cela il est commode d’utiliser les deux tableaux suivants, l’un
pour la technique et l’autre pour le comportement, dont les particula-
rités sont :
•• de présenter un grand nombre de points concrets afin d’être le plus
objectif possible (une liste préétablie), mais qu’on traite rapidement
(pas de note précise mais une flèche : augmenter/maintenir/réduire) ;
•• de mettre en évidence des demandes de modifications et non des
jugements de valeur blessants (des flèches et non des notes ; associer
une expression de satisfaction à une critique, au moins pour le pre-
mier tableau).
Évaluation de la technique
Productions
Qualité Célérité Précisions éventuelles
de l’auditeur
FAR ➙ ➚
54
Exemples
« Tes FAR (feuille d’audit et de recommandations) sont maintenant bonnes,
continue, mais tu devrais pouvoir aller plus vite, accélère ». « Tu travailles
vite, bravo, il te reste à augmenter la qualité de tes comptes rendus de tests ».
Évaluation du comportement Il s’agit du comportement

de l’auditeur (et non du caractère), de l’image
Humour. ➘ et des réactions que cela suscite.
Exemples
« Réduis ton humour, cela blesse les autres » (et non : « tu es trop caus-
tique »). « Réduis tes initiatives, cela dérange le fonctionnement de… » (et
non : « tu es trop indépendant »). « Prends davantage d’initiatives, tu es
compétent » (et non : « tu es compétent mais trop passif »).
Des objectifs de progression personnelle

Les objectifs dont on convient avec les auditeurs sont des objectifs de
progression personnelle : maîtrise de la méthodologie et comportement,
tâches formatrices, contribution aux objectifs du service.
Formellement ce sont des objectifs, des tâches ou des missions, mais
en fait ce sont des moyens de progression personnelle des auditeurs.
Maîtrise de la méthodologie et critères possibles (exemples)
– autonomie : ne plus attendre les programmes de travail mais les préparer ;

agir le plus souvent sans demander au préalable l’avis du chef de mission (ou
du responsable de l’audit interne pour un chef de mission) ;
– qualité rédactionnelle : les rapports nécessitent peu de réécriture ;
– capacité de synthèse et d’appréciation des enjeux : le lecteur du rapport ne
met plus d’annotations du type « quel est le problème ? » ;
– des réunions ni soporifiques ni dégénérant en affrontements.
Tâches formatrices (exemples)

Un confirmé se met en tandem avec un débutant ; un débutant se familiarise
avec un secteur de l’entreprise ; mettre à jour le programme de vérifications
à l’issue d’une mission ; un cadre expérimenté débutant en audit revisite les
référentiels d’audit existants…
55
Contribution aux objectifs du service (exemples)

Tirer le bilan de l’année, réduire les délais de sortie, auditer de nouveaux
domaines ou d’une manière plus opérationnelle…
La formation et le transfert d’expérience tiennent une très grande place.

L’auditeur interne bénéficie en moyenne de 7,3 jours de formation
par an (Enquête IFACI 2009). Il faut y rajouter :
•• l’initiation aux métiers et méthodes spécifiques de l’entreprise ;
•• les réunions du service où les missions sont présentées par les uns et
discutées avec les autres ;
•• le coaching et le tutorat, notamment la revue des travaux de l’auditeur
par le chef de mission (et la revue des travaux du chef de mission par
le responsable de l’audit interne) ;
•• l’affectation des auditeurs à une mission dans un domaine nouveau
pour eux.
On évolue ainsi d’auditeur débutant à auditeur confirmé, à chef de
mission [débutant], à chef de mission confirmé.
En partie 2 (chap. 7), figurent deux exemples de fiches d’évaluation
et de progression personnelle, l’une pour un auditeur, l’autre pour un
chef de mission.
Quelques données chiffrées disponibles sur le métier de l’auditeur

Selon l’enquête IFACI 2009, on retiendra que 42 % des auditeurs sont
diplômés d’une école de commerce 19 % d’une école d’ingénieur et
50 % de l’Université.
L’enquête lancée en octobre 2008 par l’IFACI et Robert Half sur les
métiers de l’audit, confirme que les auditeurs se répartissent en 60 %
hommes et 40 % femmes, qu’ils disposent d’une formation initiale de
haut niveau, parlent l’anglais et font preuve de mobilité (déplacements
fréquents) dans l’accomplissement de leur mission.
L’âge moyen des auditeurs est inférieur à 34 ans et les salaires moyens
(part fixe brut annuel) sont de :
•• 50 à 60 K€ pour un auditeur de 3 à 5 ans d’expérience professionnelle ;
•• 60 à 75 K€ pour un manager de 5 à 8 ans d’expérience professionnelle ;
•• 80 à 120 K€ pour un directeur d’audit ayant une expérience > à 8 ans.
56
La communication de l’audit interne

La communication de l’audit interne doit être précise, objective, claire,
concise, constructive, complète et dans les temps. En effet :
•• la précision de la communication permet d’éviter les erreurs et les
doubles sens sous-jacents à une notion ;
•• une communication objective est juste, impartiale ;
•• une communication claire permet d’être facilement comprise, n’em-
ploie pas de vocabulaire technique et fournit les informations les plus
significatives ;
•• la concision permet d’éviter tous les points inutiles, toutes les
constructions superflues ainsi que les mots inutiles ;
•• la communication constructive est utile pour la conduite des amélio-
rations là où elles sont nécessaires ;
•• une communication complète permet de fournir l’essentiel de l’in-
formation sans manquements au public cible et inclut toutes les
informations et observations significatives qui servent les recomman-
dations et les conclusions ;
•• une communication faite au bon moment est opportune et permet
donc au manager de prendre les mesures nécessaires afin de mettre en
place des actions correctives.
Distinguons plusieurs cibles : la direction générale et les membres du
comité d’audit, les audités, l’ensemble du personnel, l’encadrement :
•• concernant la direction générale et les membres du comité d’audit :

les médias sont le résultat des enquêtes de satisfaction post-audit et la
qualité du résumé ou de la synthèse de chaque rapport ;
•• vis-à-vis des audités : on effectuera des présentations de la charte sur
diapositives pour la réunion d’ouverture/d’installation de l’équipe.
On diffusera la charte sous une présentation attrayante ;
•• pour l’ensemble du personnel : les médias pourront être les jour-
naux de l’entreprise, des vidéoclips, des journées portes ouvertes. Le
contenu :
– la charte et la promotion du contrôle interne : c’est la raison d’être
de l’audit interne ;
57
– les relations avec les audités : c’est ce qui les intéresse ;

– la vie du service d’audit et la journée d’un auditeur (interview de
l’auditeur) : c’est simple, parlant et sympathique ;
– des success stories de missions ; c’est concret. Attention à choisir
des sujets positifs (éviter réductions des effectifs et détections de
fraudes) ;
– un message à faire passer : l’audit interne, une opportunité à saisir
pour apprendre, servir, et accélérer sa carrière.
•• vers l’encadrement : le message est plutôt : l’audit interne, une
opportunité à saisir pour sécuriser le fonctionnement et améliorer les
performances. Les moyens et méthodes (outre les précédents) :
– participation aux stages que suivent les managers (école de guerre) ;
– diffusion d’une synthèse des faiblesses relevées, rendues anonymes,
pour que tous apprennent des erreurs de chacun ;
– développement de check-lists de self audit.
Mais n’oublions pas la communication involontaire, celle qui vient de
la réalité non fardée ; celle qui résulte du comportement des auditeurs
en mission et du bouche-à-oreille, de la qualité du travail, du ton des
rapports… et celle que répercutent les anciens auditeurs et stagiaires qui
ont essaimé vers d’autres services de l’entreprise.
La mise en place d’un plan de communication (cibles, attentes, mes-
sages à faire passer, supports de communication) est souhaitable. Il permet
une meilleure appréhension et compréhension de l’audit interne par ses
« clients » grâce à une communication sur mesure pour chacun d’entre
eux. L’efficacité de l’audit interne en est optimisée et par extension l’en-
vironnement de contrôle en est bénéficiaire.
On relèvera parmi les prises de position récentes sur la communica-
tion de l’audit interne les éléments suivants.
Évolution 1 : l’augmentation de l’utilisation de l’intranet comme
média de communication1
Description : à travers l’intranet de l’entreprise, l’audit interne peut
mettre à disposition de l’ensemble des employés diverses informations
telles que : la charte d’audit, la présentation de l’équipe, le réseau des
anciens auditeurs internes, l’arrivée d’un nouveau manager, certifica-
tion…
1. Sources : RFAI n° 186 dossier « La communication et la promotion de l’audit interne ».
58
Intérêts : l’intranet est un média qui permet de communiquer de

manière directe avec l’ensemble des employés. Ceci permet une com-
munication en dehors des périodes d’audit.
Évolution 2 : la mise en place de référent au sein de l’audit interne1

Description : des membres du service d’audit interne sont en charges
de plusieurs processus, ils sont donc nommés référent. Ils doivent,
avec les fonctions corporate concernées développer, communiquer, les
connaissances et réflexions sur des sujets d’actualités. Cela peut prendre
forme à travers la mise à jour des programmes de travail, l’organisation
de rencontres régulières (convention, séminaire de formation).
Intérêts : cette pratique permet à l’audit interne de se créer un réseau
avec des services en dehors d’une mission d’audit spécifique. Par consé-
quent, la visibilité des auditeurs internes en est accrue. C’est aussi un
moyen de donner une image plus « participative » à l’audit interne. De
plus cela est un moyen de maintenir une actualisation des connaissances
et compétences des auditeurs.
Les mesures de satisfaction et de performance de l’audit

Pour améliorer la qualité, les performances et l’efficacité d’une fonction
ou d’une unité, outre l’introspection que peuvent mener ses membres,
notamment son responsable, il existe trois méthodes : le benchmarking,
les enquêtes de satisfaction des clients et l’audit.

Qu’en est-il pour l’audit interne ?
Le benchmarking doit en général transiter par un tiers pour préser-
ver l’anonymat du questionneur et des questionnés, et se distinguer de
l’espionnage industriel. C’est le rôle des consultants en audit interne (et
des relations à l’intérieur de l’Institut français de l’audit et du contrôle
internes).
La profession a été longtemps réticente aux enquêtes de satisfaction
des clients : « L’audit n’est pas une lessive ! », « Reconnaître la légitimité
d’attentes obère notre indépendance ; de plus, ces attentes sont contra-
1. Sources : RFAI n° 186 dossier « La communication et la promotion de l’audit interne ».
59
dictoires, évolutives, parfois illégitimes », « La réponse sera biaisée par

une mission qui s’est mal ou bien passée ou par prudence ».
Ces réticences s’estompent : c’est un standard de l’IIA et il y a un effet
d’émulation et de boule de neige. D’ailleurs les médecins sont jugés
par leurs patients et les professeurs par leurs étudiants… et « je préfère
l’apprendre avant mon patron ! ».
En effet, ces enquêtes constituent un outil de pilotage et de commu-
nication :
•• outil de pilotage : quelles prestations sont à améliorer, moyens à
mettre en place ? D’où proviennent les réticences des audités alors
que la mission a été techniquement correcte ? Le niveau de perturba-
tion est-il supportable ? Le produit – Rapport & Recommandations
– convient-il ? Il s’agit de détecter les motifs d’insatisfaction avant
que les relations se dégradent, et de mettre fin aux incidents et aux
« critiques souterraines » ;
•• outil de communication : la DG voit que l’audit interne s’applique
l’obligation de transparence, et voit sa cote ; les audités apprécient
ce professionnalisme et cette confiance (il est utile d’annoncer dès le
début de la mission cette inversion des rôles) ; les chefs de mission
ont enfin un outil de mesure du relationnel.
Il s’agit donc de questionnaires communiqués aux audités à l’issue
de la mission et aux commanditaires réels et potentiels une ou deux
fois par an (et rien n’interdit de les faire remplir par les auditeurs pour
comparaison !). Les questions doivent porter sur l’impact sur les clients,
non pas sur son origine (analyse des méthodes ou de la méthodologie
de l’audit interne).
En partie 2 (chap. 7), figure un exemple de questionnaire de satisfac-
tion post-audit.
L’audit de l’audit interne était peu pratiqué avant les années 2000 —
hors les services d’audit interne décentralisés par le service central. Après la
publication en 2001 d'un nouveau cadre de référence professionnel, l’IIA
(Institute of Internal Auditors) a développé une méthode et un service
de Quality Assurance Review qui fournit une évaluation professionnelle
et indépendante, et l'IFACI est allé beaucoup plus loin en proposant
une certification.
60
On relèvera parmi les prises de position récentes sur le sujet, les élé-
ments suivants :
Évolution 1 : Une nouvelle équation de qualité 1 Q = R3

Description : l’Institute of Internal Auditors a conceptualisé une défi-
nition et une démarche d’évaluation de la qualité du service d’audit
interne par un intervenant extérieur à l’entreprise. Cela passe par l’équa-
tion Q = R3, ce qui signifie : qualité = pertinence, assurance (reliance),
retour sur investissement. L’audit du service d’audit interne repose sur
l’évaluation et la promotion de la pertinence de l’AI au sein de l’entre-
prise (ses missions, son rôle), de l’assurance (l’intervenant externe assure
un certain niveau de confiance sur la qualité de l’AI, son travail et ses
relations avec le comité d’audit), et de l’augmentation du retour sur
investissement (meilleure imbrication avec les parties prenantes, focus
sur les risques principaux…).
Intérêts : cette méthodologie d’évaluation de l’audit interne par l’IIA,
effectué au moins tous les cinq ans, aborde deux thèmes importants pour
les services d’audit interne : tout d’abord son efficacité, en assurant que
le travail suit une bonne approche, et ensuite son utilité, en promouvant
son rôle au sein de l’entreprise, que ce soit auprès du management ou
des parties prenantes.
L’IIA propose d’effectuer ces audits, ce qui règle les problèmes de
compétences ou d’indépendance vis-à-vis d’autres intervenants poten-
tiels (CACs, cabinets de conseil…).
Évolution 2
On soulignera l'heureuse initiative de l’IFACI pour proposer des
démarches de certification permettant de mettre en œuvre les préconi-
sations des Normes 1300 et 1312 concernant l’assurance qualité.
Description : l’IFACI a en effet créé une filiale IFACI certification afin
de palier le problème de compétences et d’indépendance, sur le modèle
de l’IIA.
Cette filiale offre trois audits et contrôles :
•• la certification, qui se renouvelle tous les trois ans et permet d’obtenir
un label qualité ;
1. Sources : IIA.
61
•• la revue qualité, d’une fréquence de cinq ans, délivre une opinion sur
le niveau de conformité aux normes du service d’AI ; l’approche ne
permet pas d’obtenir un « label » ;
•• la validation indépendante d’une auto-évaluation, dont la fréquence
est au minimum tous les cinq ans, se compose d’un processus détaillé
et documenté d’auto-évaluation et d’une validation sur site, indépen-
dante de cette auto-évaluation.
De plus, l’IFACI a mis à disposition sur son site internet de docu-
ments permettant une auto-évaluation, dans une démarche interne de
qualité de l’audit interne.
Intérêts : à travers ces normes, l’IFACI permet de mieux cerner et
promouvoir des moyens d’assurer la qualité des services d’AI. Elle a
aussi eu l’intelligence de développer un service externe d’évaluation des
services AI, tout en promouvant par les normes ce contrôle externe, en
ne laissant pas ces évaluations se faire par des cabinets « privés » et pas
forcement spécialiste en audit interne.
Description : évolution de la norme 1300 avec la sortie de la nouvelle
édition Quality Assessment Manual
Conformément aux nouveaux standards en vigueur le 1er janvier 2009 :
le directeur de l’audit interne doit développer et assurer une améliora-
tion continue de la qualité qui couvre tous les aspects de l’audit interne
(Standard 1300). À ce sujet un manuel est édité pour guider le directeur
de l’audit dans l’établissement de l’amélioration continue de la qualité,
pour les parties prenantes internes ou externes, utilisateurs ou évalua-
teurs.
Le Quality Assessment Manual publié le 1er janvier 2009 par « l’IIA
Research Foundation » en est à sa 6e édition et possède toutes les mises à
jour et évolutions des standards depuis la dernière version parue en 2006
(Quality Assessment Manual, 5e éd. v1.1). On y retrouve l’évaluation
externe définie par le Standard 1312 qui spécifie qu’elle doit être menée
au moins tous les 5 ans par une personne ou une équipe compétente et
externe à l’organisation.
Intérêts : l’utilisation d’un manuel à jour publié par l’IIA permet à
l’auditeur d’être informé de l’ensemble des évolutions nouvelles et de
s’assurer de la conformité de ses opérations.
62
Il est par exemple essentiel d’être tenu informé qu’une évaluation

externe doit être au moins menée tous les 5 ans ce qui permet d’offrir
une vision objective sur le travail qui est réalisé. Cette démarche vise à
prendre conscience des éventuels points perfectibles et entre le service
d’audit interne dans une amélioration constante de la qualité.
Selon l’enquête IFACI de 2009, des évaluations internes périodiques
sont réalisées par 31 % des services (29 % en 2005). Ces évaluations
internes sont réalisées par l’audit interne groupe dans 29 % des cas.
Concernant les évaluations externes, 30 % des services d’audit interne
ont fait l’objet d’une évaluation, s’orientant en majorité vers la certifica-
tion préconisée par l’IFACI ou l’auto-évaluation suivie d’une validation
externe.
Toujours selon cette même enquête les indicateurs de performance
les plus pratiqués concernent : Le taux de réalisation du plan d’audit, le
taux de mise en œuvre des recommandations, le délai moyen d’émission
du rapport ou encore le taux de couverture de la cartographie des risques
sur une période donnée.
Suivre ainsi la qualité de l’audit interne permet de s’adapter aux
besoins de l’entreprise, tels que ressentis par ses acteurs, et de se faire
reconnaître. Et pour commencer, de se faire mieux connaître.
63
Partie 1
Chapitre 4
L’identification
des besoins d’audit
L’élaboration d’une cartographie des risques

Que cette démarche soit réalisée par un service risk management, dont
c’est le fondement même de son existence, un service « Contrôle interne »
ou encore par le service d’audit interne lui-même, elle n’en demeure pas
moins l’étape centrale de l’identification institutionnelle des besoins
d’audit d’une organisation. La réalisation d’une cartographie des risques
dans une organisation permet d’avoir une vision d’ensemble, exhaus-
tive et précise, de son exposition aux « turbulences » de toutes natures,
tant internes qu’externes. Indépendamment des missions d’audit qui en
découleront éventuellement ultérieurement, cette approche du contrôle
de l’organisation par l’identification des risques auxquels elle est exposée,
permet par ailleurs de définir les dispositifs adéquats à mettre en place
pour maîtriser ces risques.
L’approche que nous proposons ici relève plus d’une démarche qui
incomberait à un service risk management dont c’est la vocation première,
plutôt qu’un service d’audit interne pour lequel une cartographie des
risques n’est que les prémices à la réalisation de missions d’audit ultérieures.
64
Chapitre 4 ■ L’identification des besoins d’audit
Cependant l’auditeur pourra aisément s’en inspirer en simpli-

fiant les étapes, le degré de détail souhaité afin de rendre cette
tâche compatible avec les contraintes de temps du service d’au-
dit puisqu’il ne s’agit pas, rappelons-le, de sa mission première.
En matière d’élaboration d’une cartographie des risques, si les pra-
tiques sont nombreuses, tout le monde s’accorde sur une logique
partagée par tous les experts du management des risques. C’est cette
logique, socle commun en la matière, que nous présentons dans les sché-
mas suivants. On y trouve les étapes classiques suivies dans l’élaboration
d’une cartographie des risques :
•• étape 1 : identification et description des « ensembles homogènes »
(métiers, entités, processus) caractéristiques de l’organisation ;
•• étape 2 : identification et évaluation des risques inhérents ou bruts.
Un risque est ainsi qualifié lorsqu’il est apprécié dans l’absolu indé-
pendamment des dispositions existantes dans l’organisation pour en
réduire l’impact et/ou la probabilité ;
•• étape 3 : identification et évaluation des dispositifs de contrôle interne
présents dans l’organisation,
•• étape 4 : évaluation des risques résiduels, c’est-à-dire ceux qui sub-
sistent après la prise en compte de la dimension contrôle interne
existante.
Si nous avions voulu être tout à fait complets pour un expert en risk
management il aurait fallu ajouter à ces quatre étapes deux dernières
préoccupations :
•• la phase de décision quant à l’acceptation du risque résiduel ou la
définition et la mise en œuvre de nouveaux dispositifs de prévention,
de réduction ou de protection pour en assurer la maîtrise (assurance,
dispositifs de contrôle interne…) ;
•• la mise en place d’un système de reporting des résultats obtenus auprès
de la hiérarchie concernée.
Enfin n’oublions pas que cette approche n’a de sens que si elle s’inscrit
dans une démarche itérative. L’important n’est pas d’être exhaustif et
pertinent, « du premier coup », mais d’évoluer en permanence vers une
« toujours meilleure maîtrise des risques » de l’organisation.
65


   

  
   
  
  
   
 
   
 

 
 

 
 


 
 




 
  
  

  

 

  

  
   
  
   
   
 





 




 

   
  
  
    

 

    
  
   
  

 
 






 
  



66


   
  

  
        

    
  
  



  
  



  




  




  


  
  











  
  



  
      


67
L’établissement du plan et du planning d’audit

Il s’agit d’identifier les besoins de l’organisation en ce qui concerne
les « ensembles homogènes » (« métiers », entités, services, processus)
qu’il est souhaitable d’auditer en fonction des risques présumés de cha-
cun d’eux (norme 2010 : Planification du CRIPP). Toute la difficulté
réside dans le fait d’estimer le niveau de risque de chaque ensemble
homogène, a priori, sans se rendre « sur le terrain ». Cette identification
combine deux approches : l’une, pragmatique, intuitive, et donc subjec-
tive ; l’autre rationnelle, professionnelle, et donc intellectuelle. Chacune
« borde » l’autre.
La première reconnaît que c’est aux dirigeants d’avoir la clairvoyance
et d’assumer la responsabilité d’identifier les risques à auditer, l’audit
interne ne pouvant être dans ce domaine, comme pour les recomman-
dations en fin de missions, qu’un conseiller.
Pour cela, l’audit interne rencontrera les principaux dirigeants une ou
deux fois par an et les experts chargés de l’identification ou de la ges-
tion des risques : où avez-vous des craintes et des incertitudes, qu’est-ce
qui vous préoccupe ? Que pouvons-nous faire pour que vous puissiez
« travailler sereinement », vous concentrer sur le cœur de votre métier ?
La seconde reconnaît qu’il faut aider les dirigeants à faire cela avec
une approche raisonnée, que l’audit interne partage la responsabilité de
couvrir les risques de l’organisation. Une démarche de cartographie des
risques, précédemment définie, remplit cet objectif.
Nous n’insisterons jamais assez sur l’importance de cette étape d’iden-
tification des besoins. En effet le déséquilibre entre « les besoins d’audit »
exprimés en nombre d’ensembles homogènes potentiellement audi-
tables et les moyens (quantitatif et qualitatif ) du service d’audit interne
nécessaire pour les satisfaire est quasi permanent en ces périodes de
restriction budgétaire. Il est donc primordial, pour une direction d’au-
dit interne, d’être extrêmement vigilante à la bonne affectation de ses
ressources. Rien n’est plus consternant pour un « patron » d’audit que
« d’envoyer ses troupes » auditer une entité sans enjeu majeur en matière
de risque alors que dans une autre entité de l’organisation, oubliée dans
le programme annuel d’audit, s’est déclaré un sinistre que « ses audi-
teurs » auraient pu prévenir.
68
Le résultat de la combinaison de ces deux approches sera discuté avec

la DG (ou en comité d’audit) pour établir le plan de l’audit interne
(Norme 2020 : Communication et approbation du CRIPP) : sûr à trois
mois, prévu à six, probable à douze, indicatif au-delà.
Ceci permet de prévenir les audités, et surtout d’informer les deman-
deurs de missions.
C’est aussi le point de passage pour décider des ressources de l’audit
interne, en quantité et en compétences (Norme 2030 : Gestion des res-
sources du CRIPP) : effectifs, profil des recrutements, formation ; ou
faire appel à des compétences extérieures.
Selon l’enquête IFACI 2009 les approches, par une cartographie des
risques (choix n° 1 pour 44 % des répondants) et par les demandes
spécifiques de la direction générale (choix n° 2 ou n° 3 pour 56 % des
répondants) sont les critères majeurs permettant d’établir le plan d’audit.
L’approbation du plan d’audit est de la responsabilité de la DG (pour
82 % des répondants) et du comité d’audit (pour 56 % des répondants).
69


 


 
 
  


  
 
  
 
  






 







   

  
   

 





 
  





 
Disponibilité
des
auditeurs

 




70


  

  

  
  
    
 

  







  



    








  

  


  




 




  





71
Partie 2
La méthodologie de l’audit
L’
objet d’une mission d’audit interne est l’étude de la maîtrise des
risques de l’activité, le processus ou l’entité qu’on audite — étude
au sens large : analyse, examen, identification des lacunes, éla-
boration de solutions (avec les audités), suivi de la mise en œuvre des
plans d’action des audités ; en bref, ce que fait le médecin généraliste
avec son patient, lorsqu’il effectue son diagnostic, réalise son pronostic
et préconise sa thérapeutique.
Une mission d’audit opérationnel peut durer de quelques jours à
quelques mois, selon l’envergure du sujet et le nombre d’auditeurs. Le
plus fréquent est de quatre à dix semaines pour une mission nouvelle
avec deux à quatre auditeurs dont un chef de mission.
Toute mission d’audit se déroule généralement en trois grandes phases :
étude, vérifications et conclusion. Les normes professionnelles parlent de
planification, accomplissement et communication. Les deux premières
phases sont approximativement de même durée quand le sujet de la mis-
sion est nouveau – la phase de conclusion est plus courte – mais quand on
dispose de programmes de travail rodés, la phase d’étude peut ne prendre
que quelques journées. D’où l’utilité de capitaliser le savoir-faire du service.

  
  

 

  



 

  


  
  


   


 
 

  






   


 

   

  
 




 

   

  
 

 



 

  

 
 




74


 




  


  

  



 








 
 
 
 




     
   

 




 









 

  

  


75
La phase d’étude (Norme 2200 : Planification de la mission du CRIPP)

se prépare au bureau (et dans les fonds documentaires) et s’effectue sur
le terrain. La phase de vérifications (Norme 2300 : Accomplissement
de la mission) est bien entendu totalement terrain. La phase de conclu-
sion (Norme 2400 : Communication des résultats) est une alternance
d’actions et d’interactions internes à l’équipe d’audit et avec les audités ;
pour les missions lointaines, on effectue la première partie sur place, la
fin au bureau.
Pour le responsable de l’audit interne, il s’agit de composer l’équipe,
lancer la mission, encadrer l’équipe en phase d’étude, l’installer l’équipe,
revoir les fiches d’audit et de recommandations (FAR) et la tenue des
dossiers, suivre l’avancement de la mission et réagir, revoir le rapport
(projet et définitif ), présider la réunion de validation, surveiller le retour
des réponses aux recommandations, veiller à la mise en œuvre des actions
prévues. Et globalement il s’agit de suivre le budget (essentiellement les
budgets de temps), bâtir des standards de temps, et accroître la produc-
tivité.
Simple, mais vaste et prenant !
Les schémas récapitulatifs présentant le diagramme global d’une mis-
sion d’audit interne et sa fiche explicative associée, synthétisent cette
partie.
Nous nous sommes placés dans le cas d’une mission nouvelle afin
de détailler chacun des processus de conduite d’une mission. Les trois
grandes phases : étude, vérifications, conclusion ont été décomposées en
six processus définissant ainsi la globalité du déroulement d’une mission
d’audit. Il s’agit de : l’initialisation de la mission, la préparation de la
mission, le lancement de la mission sur site, la conduite des vérifications,
la rédaction des conclusions et enfin le suivi de la mission. Enfin un
dernier diagramme précise, pour chacune de ces six étapes, les références
des normes du CRIPP plus particulièrement concernées afin de faire un
lien entre la méthodologie proposée et le cadre normatif international.
76
Ce schéma nous servira, dans la suite de l’ouvrage, pour situer le lec-

teur dans l’avancement de la mission lors de la présentation de chaque
étape.
Schéma simplifié d’une mission d’audit interne

(pour une présentation aux audités si nécessaire)


 

 
 
 

    
 


 

 

  
 
 


 



 
 

  

 






 
 
 
77
Ce schéma nous permet de faire un lien entre les étapes de la

méthodologie d’une mission d’audit interne proposée et les normes
professionnelles du CRIPP concernées :
2200 Planification de la mission ;
2300 Accomplissement de la mission ;
2400 Communication des résultats ;
2500 Surveillance des Actions de progrès.
Schéma simplifié d’une mission d’audit interne






 













78
C h a p i t r e 5
Les processus de conduite

d’une mission
Rappelons les six processus qui jalonnent le déroulement d’une mission

d’audit interne :
I – L’initialisation de la mission : le droit d’accès ou l’ordre de mis-
sion ;
II – La préparation de la mission : l’examen de l’activité et l’élabora-
tion d’un Tableau des risques ;
III – Le lancement de la mission sur site : de la réunion d’ouverture
au programme de vérification ;
IV – La conduite des vérifications ;
V – La rédaction des conclusions : de l’ossature du rapport d’audit à
sa validation.
VI – Le suivi de la mission : le suivi des recommandations et les
actions de progrès
Pour présenter chacun de ces processus, nous avons établi des schémas
(flow chart : outil bien connu des auditeurs) qui décrivent le chemine-
ment des opérations à réaliser. Une page de commentaires complète
chaque flow chart afin d’en expliciter la symbolique.
79
Initialisation de la mission
 
 

 


 
  
 
  
 



 







 



  



 

  

   

80
Chapitre 5 ■ Les processus de conduite d’une mission
 



  



  


  




   





  







 


 


  

81
Préparation de la mission
 
  

 

 
 
 
 



 
 


 











  
 
  

 
 
 
 
  
 





 



 
 


  

   



  


82
 




  


 





 








 








  

  
  



 

   




  






  

83
Lancement de la mission sur site
 
  



 
  



 
 

 


 
 





 
 
  

 
  
 





 
   




   


   



 


 
 

84
 


  

  
  
 

 
 





  


   


 






  



   



  







  
  



  

 
 


    



85
Conduite des vérifications
 
  


 


 



 







  

 




 







 



  


 

 

 




 






86
 




  
   



    





   
  

 



   



  



 







  
 


  
  





  


  







87
Rédaction des conclusions
  


 





 
 
 



 
 



 





 
  
 



 

 
 



 
 
  

 
  



  
 

88
 



  




  

   






  
  
  






  


   










  








  





89
Suivi de la mission
 

  

  

  
  


 
 



 

  

  

 
 

 
 
 




 



 
  
 
 








 
  






 

 


90
 




   

















   








  




  




91
Dans ces pages de commentaires figurent des liens avec d’autres

aspects de la méthodologie qui seront présentés ultérieurement dans
l’ouvrage, il s’agit :
•• des Modalités d’Application (MA) – chapitre 6 – qui préciseront
pour les processus concernés : les objectifs poursuivis, les difficultés
éventuelles, les écueils à éviter, l’enchaînement logique des étapes à
réaliser… Dans cette même rubrique des tableaux étiquetés « conseils
pratiques » compléteront la présentation de la séquence en donnant
les « trucs et astuces » pour bien réussir sa mission d’audit au regard
des retours d’expériences professionnelles en la matière ;
•• des Documents Associés (DA) – chapitre 7 – qui ponctuent les travaux
des auditeurs et qui sont évidemment présentés ici à titre d’exemple ;
•• des Techniques d’Audit (TA) – chapitre 8 – qui constituent la « boîte
à outils » des auditeurs.
Ainsi du fait de l’architecture de la présentation de cette partie
« Méthodologie de l’audit », le lecteur pourra en fonction de sa connais-
sance du métier :
•• soit se contenter des schémas et pages de commentaires associées ;
•• soit approfondir certains processus en prenant connaissance des cha-
pitres « Modalités d’application » et/ou « Techniques d’audit ».
92
Partie 2
C h a p i t r e 6
Les modalités d’application

(MA)
Le droit d’accès ou l’ordre de mission

Pour rechercher les risques, les prouver et les démontrer, etc., il faut
aller voir ! L’auditeur va devoir accéder à l’information qui remonte
(comptabilité, reporting, etc.) et aux locaux et installations, équipe-
ments, registres, documents et personnes concernées. C’est évident mais
l’auditeur a-t-il un droit d’accès illimité ?
L’auditeur a plein accès quand et seulement quand il est mandaté, et
après la mission il n’a plus accès.
Donc toute mission d’audit commence par un mandat.
Comment cela se présente-t-il ? il faut un document qui fasse com-
prendre à ses destinataires sur quoi porte le droit d’accès des auditeurs
et leur devoir de communication aux auditeurs, en gros le périmètre de
la mission — en terme technique on dit le « champ » de la mission ou
si l’on parle franglais, son « scope ». Il est habituel d’indiquer aussi la
raison d’être de cette mission — on dit parfois ses « objectifs », mais à ce
stade ils sont brefs et peu détaillés. Dans certaines organisations cela se
fait en communiquant le plan d’audit (ou une partie du plan d’audit),
le plus souvent en émettant un ordre ou une lettre de mission comme
ci-dessous.
93
Direction : Générale Date : 15 mars 2010

Service : audit interne Réf. : PSK 05/58
Objet : Audit des achats usine U
Conformément aux décisions du comité de pilotage de l’audit interne, le service
d’audit interne commence, à la demande de la direction de la branche, un audit des
achats de l’usine U.
Les objectifs généraux sont les suivants :
– apprécier l’organisation en vigueur et les systèmes d’informations existants ;
– s’assurer de l’efficacité des procédures mises en œuvre pour prévoir, effectuer et
suivre les achats (commandes, réceptions, règlements) ;
– évaluer les gains réellement apportés par le système GAPACHA récemment mis
en place.
Cette mission sera menée par Ch. Demisse (01.xx.xx.xx.xx) assisté de A. Tricin et
A. Teurdeux.
Vous voudrez bien en informer les personnes concernées et prêter votre concours
actif au bon déroulement de cette mission.
Le directeur de la branche pour la direction générale

Jean Veux C. Padlablag
Destinataires : D. Uzin, D. Fel
Copie : membres du comité exécutif
Commentaires sur cet ordre de mission :

•• il est signé par la DG, c’est indispensable (et quelquefois cosigné par
le directeur audité, c’est utile) ;
•• il ne comporte pas de date de fin : c’est regrettable car c’est peut-être
ce qui intéresse le plus les audités… mais c’est prudent !
•• ses destinataires sont « le chef des audités » (directeur de l’usine), qui
est supposé retransmettre à ses collaborateurs concernés, et le respon-
sable fonctionnel (direction des achats de la branche) ;
•• il a été rédigé par l’audit pour avoir les caractéristiques de forme et
de fond souhaitées (éviter « suite à de nombreuses erreurs et irrégula-
rités j’ai décidé… » ou « les auditeurs me rendront personnellement
compte des dysfonctionnements qu’ils auront découverts »).
Il est souhaitable de se concerter au préalable avec l’unité afin d’éviter les
problèmes pratiques particuliers : déménagement dans le site ou réfection des
94
Chapitre 6 ■ Les modalités d’application (MA)
peintures (donc dossiers inaccessibles), solde de congés des principaux

interlocuteurs (par exemple les comptables après la clôture), annonce
d’une restructuration et/ou début d’une grève, visite d’une mission
d’étude étrangère ou du Président de la République…
Attention : le plan d’audit et sa documentation devraient permettre
de rédiger immédiatement l’ordre de mission, mais parfois tout un tra-
vail préalable peut être nécessaire pour en dégager les contours (champ)
et les axes (objectifs).
Par exemple, une direction rencontre des difficultés avec divers services
de l’entreprise et la DG accepte de lancer une mission non planifiée. Il
faut d’abord cerner de quoi il s’agit, et pour cela interviewer la direction
demanderesse et les services, percevoir les problèmes, retenir ceux qui
forment un tout cohérent (car chaque responsable vous parle de ses pro-
blèmes), et proposer un champ de mission et ses objectifs.
Ou bien on vous demande d’auditer le recrutement. S’agit-il du
service recrutement et de son fonctionnement ? ou du processus de
recrutement, impliquant ce service, ses « clients » (les services deman-
dant du personnel) et l’organisation de leurs relations ? ou de la fonction
recrutement : en plus du processus ainsi défini, comment met-on en
œuvre les politiques et stratégies décidées (évolution du portefeuille de
compétences, équilibre entre recrutement et promotion interne…).
En même temps, on va recueillir une première idée sur la chose à auditer :
importance et organisation, finalités, objectifs, performances, frontières…
Cela par lectures, rassemblement d’une documentation, interviews des
directions hiérarchiques et fonctionnelles (notamment contrôle de gestion,
toujours bien informé), discussions avec des experts et sachant…
On va commencer à prendre conscience de ses risques habituels et

de ses bonnes pratiques classiques pour les maîtriser, on va commencer
l’élaboration du référentiel, on va vraiment démarrer la mission !
1 Initialisation de la mission
Issu des demandes des
ORDRE de Mandate l’AI et PROGRAMME responsables, propositions
MISSION lance la mission ANNUEL de l’AI, souhaits de la DG
Vous
êtes ici
95
L’examen de l’activité et son découpage

en « objets auditables »
Cette phase de préparation de la mission consiste à préciser le champ de
l’audit, identifier les personnes à rencontrer, collecter la documentation
sur les disciplines à auditer et sur les techniques d’audit existantes, obte-
nir des informations chiffrées ou caractéristiques du domaine audité.
Les différentes directions contactées s’efforcent de faciliter ce travail de
préparation indispensable.
Les auditeurs internes étudient toutes les informations utiles col-
lectées concernant la société ou les activités à auditer, développent des
questionnaires et mènent quelques interviews auprès des principaux
responsables identifiés. Ces travaux vont permettre de constituer un
référentiel du domaine à auditer, mener une analyse de risques et iden-
tifier des objectifs précis d’audit.
Pour une mission nouvelle, c’est le moment difficile : connaître et
comprendre un domaine nouveau et préparer l’analyse de risques et ses
« points de contrôle ». Mais, heureusement, c’est rare : la plupart des
missions sont récurrentes, on peut partir de l’expérience acquise sur le
même sujet dans une autre unité.
C’est le moment où l’expérience du sujet est une arme – connaissance
de ses habituels risques et opportunités d’amélioration – mais une arme
à double tranchant : il faut éviter de se piéger soi-même, de se focali-
ser sur les difficultés qu’on a personnellement rencontrées, en oubliant
qu’il peut en exister d’autres (risques non avérés) ou que l’évolution
des techniques et de l’organisation peut en avoir engendré de nouvelles
(nouvelles méthodes et nouveaux risques).
La prise de connaissance du domaine à auditer est un travail clas-
sique : connaissance du sujet par des lectures diverses et connaissance
de l’unité (ou des unités) à auditer : chiffres saillants, points marquants
de l’histoire, organigrammes et définitions de fonctions…
Il y a lieu de lister tous les documents nécessaires à l’auditeur en vue
de la prise de connaissance de l’entité auditée préalable à la mission. Lors
de la phase d’étude, l’équipe d’audit doit :
•• avoir une vision globale de l’organisation auditée ;
•• identifier les processus où se situent les risques afin de ne pas étudier
quelque chose hors de propos ;
96
•• pouvoir estimer le temps et le coût des phases de la mission, et se don-

ner une base pour élaborer le référentiel de l’activité auditée (tableau
des risques référencés) ;
•• se donner une crédibilité en ayant une approche rigoureuse.
La phase de prise de connaissance du sujet peut être à durée très
variable, cette durée varie en fonction de la complexité du sujet, du pro-
fil de l’auditeur et des documents dont dispose le service audit (dossiers
et rapports d’audit précédents).
La prise de connaissance du sujet se regroupe en trois ensembles,
ayant chacun un thème précis :
•• Les volumes traités (voir TA : les volumes et types de transactions) ;
•• l’environnement (voir TA : analyse économique et financière) ;
•• l’organisation interne.
Ces informations peuvent être obtenues par des interviews menées
par les auditeurs sur la base de questionnaires de prise de connaissance
menés auprès du management de l’entité auditée.
Deux approches sont combinées : l’examen de l’activité et son décou-
page en objets auditables.
➤➤ L’examen de l’activité
Le sujet à auditer, et/ou chacune de ses parties, doit être regardé du
global au détaillé, du conceptuel au concret :
1. ses finalités et ses objectifs, y compris leur cohérence avec les poli-
tiques et la stratégie ;
2. les responsabilités ;
3. les moyens et méthodes ;
4. le processus, les tâches réalisées ou à réaliser ;
5. les résultats, leur suivi, et leur comparaison aux objectifs.
Utilisée dans un premier temps pour prendre connaissance du

domaine à auditer, cette chronologie permet de comprendre et évite de
se « noyer ». Appliquée dans un second temps à chaque stade du décou-
page, elle aide à dresser l’inventaire des objectifs et des risques.
L’examen d’activité, permet à l’équipe d’audit de comprendre le fonc-
tionnement opérationnel de l’organisation auditée. Afin d’en prendre
97
connaissance exhaustive, l’équipe d’audit devra chercher à obtenir les

informations.
Objectifs
VERS quoi ? POUR quoi ?
Responsabilités
QUI doit faire et QUAND ?
Effectifs
Moyens Méthodes Réglementation
Matériels
Instructions
Financiers AVEC QUOI faire ? COMMENT faire ?
Procdures
Syst. d’info.
Opérations :
Processus physiques,
Ce qui EST fait instellectuelles,
administratives
Résultats
Produits, prestations
ACTIONS CORRECTIVES
Bouclage
Révision des objectifs

écarts ?
Redéfinition des responsabilités

Modifications des méthodes
Mise en conformité des tâches
Figure 6.1 – Prise de connaissance du domaine audité.

Examen d’une activité : schéma et progression
Voir quelques exemples ci-après.

Exemples
Objectifs et stratégie
– Quels sont les objectifs de l’organisation ? Sa politique pour les atteindre ?
dans quel but ?
– Business plan, guide de la politique de l’entreprise.
– Politique salariale.
– Politique client/fournisseur.
– Réformes prévues ou en cours.
Définition des responsabilités
– Comment est organisée l’activité ? organigramme et structure.
– Qui est responsable de quoi (niveaux d’intervention, liste des délégations
de pouvoir) ?
98
– Comment se répartit l’activité ? Cartographier les processus, repérer la

répartition des opérations par poste.
Ressources (moyens)
– Quels sont les moyens dont dispose chaque responsable pour atteindre les
objectifs ? (Moyens humains, financiers, matériels).
– Comment sont répartis les moyens ? par qui ?
– Structure de l’environnement informatique.
Pratiques de travail (méthodes)
– Quelle est la base de travail de l’organisation ? base de pratique de travail,
instructions, modes opératoires, lois etc.
– Manuel de procédures internes et manuel qualité.
– Manuel de procédures générales.
– Juridique : informations réglementaires.
– Problèmes passés ou en cours.
Tâches – Processus
– Voir découpage du processus en objets auditables
Résultats et suivi : reporting
– Analyser les tableaux de bord d’exploitation et les comparer dans le temps.
– Comparer ces résultats avec les objectifs de l’organisation : Y a-t-il des
écarts ? Sont-ils importants ? Où y en a-t-il le plus ? Quelles seraient leurs
causes (mauvaise définition des objectifs, des responsabilités etc.) ?
➤➤ Le découpage en objets auditables

Il s’agit d’effectuer une décomposition du sujet de la mission en objets
auditables afin de produire le référentiel d’audit.

Le processus à auditer sera découpé en éléments plus simples à
appréhender, puis chacun étudié tour à tour, comme le recommande
Descartes : « diviser chacune des difficultés… en autant de parcelles…
qu’il serait requis pour les mieux résoudre ».
1) Découper en stades chronologiques quand, cas le plus fréquent,
la dimension chronologique est un guide. Par exemple, dans l’audit de
la facturation, on aura probablement, entre autres : la sortie d’usine
ou de magasin, le calcul et l’émission de la facture, la mise à jour de la
comptabilité et des statistiques commerciales.
De même pour les achats, on aura les données suivantes (« conseils
pratiques »).
99
Conseils Découper en stades d’activités et étapes

pratiques chronologiques du processus = finalités
Exemple : « Processus Achats »

Objectifs/but/politique
Organisation/responsabilités
Moyens
Méthodes
Pilotage/bouclage
Découpage du processus
1. expression et justification du besoin
2. sélection du fournisseur
3. passation de la commande (du contrat) au fournisseur
4. Réception de la marchandise (y compris entrée en stock) ou de la prestation
5. réception de la facture et comptabilisation de la facture
6. paiement de la facture et comptabilisation du paiement
Autres étapes : traitement des litiges, refus de la marchandise et événements liés…
Finalités puis risques et bonnes pratiques
Quand le découpage chronologique ne peut être utilisé, on com-

mence autrement :
2) Découper par arborescence sémantique. Par exemple, pour une
facturation de flux continus (électricité, téléphone…) où les événements
sont des changements d’options ou de tarifs une fois le contrat initial
mis en route, on se dira :
•• qu’est-ce que facturer ? C’est probablement : facturer toutes les pres-
tations, aux conditions tarifaires en vigueur, et dans des délais brefs.
On reprend chacun de ces points et on continue :
•• qu’est-ce que les conditions tarifaires en vigueur ? C’est probable-
ment : les conditions de prix et les conditions de paiement. On
reprend chacun de ces points et on continue :
•• qu’est-ce que les conditions de paiement ? C’est les délais de paiement
et les moyens de paiement.
100
Nous sommes arrivés à la fin de l’arborescence, pour cette feuille de

cette branchette de cette branche, car délais et moyens de paiement sont
des choses concrètes, des « objets ».
En complément à cette approche, on pourra vérifier l’exhaustivité des
préoccupations par l’approche qualité : quels sont les partenaires de la
facturation, quelles sont leurs attentes ? Ici, nous avons oublié les clients
(envoyer la facture au bon client), la comptabilité et les statistiques de
vente, le recouvrement… !
On a maintenant terminé d’identifier les « objets auditables ». Chacun
est un élément qui peut servir à élaborer le référentiel de l’activité puis
être observé, constaté et comparé par l’auditeur.
Conseils Découper par arborescence

pratiques
Exemple : « Facturation suivant consommation » sans la séquence
classique expédition – facturation (téléphonie, reprographie…)
FACTURER
Toutes les prestations Aux conditions tarifaires Dans des délais brefs
en vigueur
Conditions de paiement Conditions de prix

Moyens de paiement Délais de paiement
Éléments qui peuvent: être :

– observés, constatés par l’auditeur: « Objets »
:
– et comparés à un référentiel : « Auditables »
L’élaboration du référentiel d’audit consistera pour chacun des

« objets », comme cité plus haut à dresser l’inventaire des objectifs et
des risques puis pour chaque couple objectif/risques (risques au pluriel :
il peut y avoir plusieurs risques de non-atteinte d’un objectif ), déve-
101
lopper les modalités de fonctionnement qui garantissent l’atteinte de

ces objectifs en évitant ces risques : les bonnes pratiques d’organisation
communément adoptées. C’est bien évidemment ici que l’expérience,
une bonne documentation ou de bons conseillers sont les plus utiles !
La prise de conscience des habituels risques et opportunités d’amélio-
ration est plus délicate (ne pas oublier le centre de documentation des
institutions professionnelles… ni les collègues et anciens collègues qui
ont peut-être déjà traité la question !).
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
Vous
êtes ici
L’élaboration d’un tableau des risques

Le Tableau des Risques (TaRi) constitue l’outil de référence qui permet
à l’auditeur d’une part, de définir le champ et les limites de ses inves-
tigations et d’autre part, de structurer la présentation de ses analyses et
conclusions, notamment pour renseigner ce qui relève de constat(s), la
ou les causes des faits constatés ainsi que leurs conséquences.
Lorsque l’audit porte sur des missions « classiques » du type dépenses
ou recettes, achats – dépenses de personnel ou vente, la matière permet-
tant l’exercice de la construction d’un référentiel existe, soit contenue
dans des notes de politique interne soit dans des manuels de présenta-
tion de méthode de contrôle Interne. Pour des missions nouvelles et
à caractère particulier (objet de mission très large portant sur de l’or-
ganisationnel ou sur des aspects qualitatifs), l’établissement du TaRi
demeure un exercice difficile. La question est, en général, par où vais-je
commencer ? Quel est le point de départ de ma réflexion ?
102
Les concepts exposés infra doivent faciliter l’approche de la construc-

tion d’un TaRi.
Le tableau de risques proposé (TaRi) privilégie l’enrichissement de la
colonne « Risques » = empêchements + points de contrôle + impact par
rapport à un objectif de contrôle interne à satisfaire.
Les risques sont donnés par l’audit mais restent à être validés, voire
complétés par les experts des domaines lors de la phase étude.
Le TaRi se remplit de gauche à droite. Ce remplissage est le sup-
port d’un raisonnement où chaque colonne est affinée par la colonne
suivante, et inversement chaque colonne se déduit de la colonne précé-
dente. Chaque colonne n +1 découle de la n, la précise, la concrétise.
Au fur et à mesure qu’on va vers la droite on a de plus en plus de lignes.
Tableau 6.1 – « On commence par les finalités/objectifs

de contrôle interne (1) puis les scénarios d’empêchement (2)… »
Finalités/ Empêchements Points Impact/ Bonnes

objectifs de CI Risques de contrôle risque pratiques
… du stade/ que la finalité Étapes clés si étape clé de CI
opération/ ne soit atteinte du CI défaillante/ Moyens,
élément observables déficiente ressources…
« Être sûr que Scénarios Points
telle finalité de de risques : de passage
l’organisation que peut-il obligés,
sera atteinte, se passer ? concrets,
que tel observables :
aspect/étape objets à
du processus contrôler
audité est
sous contrôle
et maîtrisé »
1 2 3 4 5
Un risque (scénario d’empêchement) = 1 ligne (souvent plusieurs lignes pour un objectif )
1. Finalités : objectifs de contrôle interne, « être sûr que »

Les investigations de l’audit portent sur un « domaine » – on peut
désigner également le domaine par le vocable processus – identifié par
sa finalité (ex. : le domaine des achats-fournisseurs dont la finalité est
103
d’acheter des biens ou des services pour la satisfaction de clients finals,

internes ou externes). Pour satisfaire à une finalité, des activités sont
déroulées dans un ordre chronologique ; on peut parler de sous proces-
sus ou de stades chronologiques. Ces activités sont identifiées par des
« verbes d’action » (exemple : pour satisfaire à la finalité acheter, il faut
exprimer un besoin, valider un besoin conforme aux besoins de l’entre-
prise, rechercher des fournisseurs, contractualiser avec un fournisseur
(commander), suivre la commande, réceptionner les matériels ou les
prestations commandées…).
Modalités pratiques : pour une étape, un domaine ou une opération
on aura 1 ou 2 finalités, exceptionnellement 3. Si l’on en a davantage
c’est qu’on a regroupé diverses étapes, domaines ou opérations ou fait
un découpage trop grossier.
Quand on a plusieurs finalités, il faut les traiter séparément.
Enfin et surtout, les finalités doivent être des objectifs de contrôle interne :
« être sûr que », et non des actions de contrôle (s’assurer) ni le but opé-
rationnel de l’étape, de l’opération, du sous-processus, ou du domaine.
2. Scénarios d’empêchement : risque que la finalité

ne soit pas atteinte
Pour chaque finalité, il faut imaginer ce qui peut se passer et décrire les
empêchements possibles : ce qui empêcherait d’atteindre la finalité via
des scénarios. Il y a presque toujours plusieurs empêchements pour une
même finalité.
Modalités pratiques : les empêchements sont des causes potentielles
de non atteinte de la finalité, des « risques que » la finalité ne soit pas
atteinte, et non des conséquences ou impacts, des « risques si » elle n’est
pas atteinte.
Quand on a plusieurs empêchements, il faut les traiter séparément
sur le même tableau.
On pourra s’appuyer sur des ouvrages spécialisés traitant de scénarios
de risques (empêchements). Ci-après un exemple de typologie identifié
dans un des cahiers de la recherche de l’IFACI :
•• empêchement social (grève, revendications, accidents du travail, ins-
tabilité de l’emploi, turnover, politique de rémunération) ;
104
•• empêchement financier (détournement de fonds, gestion des fonds

inefficace, mauvaise évaluation des provisions, signature non autori-
sée, cours boursier sur côté) ;
•• empêchement informatique (sinistre informatique, absence de docu-
mentation des programmes, obsolescence du matériel, manque de
formation des utilisateurs, fraude sur fichier) ;
•• empêchement technologique (non-protection du savoir-faire, contre-
façon, formation inadaptée du personnel, non-optimisation du
processus de production) ;
•• empêchement matériel (incendie, inondation, attentat, vol, dégrada-
tion de l’outil de travail) ;
•• empêchement transport (des biens, des fonds, des informations, des
personnes) ;
•• empêchement commercial (mauvaise anticipation de la concurrence,
conditions de vente non respectées, absence de prévisions, publicité
inadaptée) ;
•• empêchement politique (embargo sur les produits, guerre, réglemen-
tation protectionniste, confiscation de personnes) ;
•• empêchement écologique (pollution, destruction) ;
Tableau 6.2 – « … on continue par les points de contrôle (3) »


« Être sûr que Scénarios Exemples
telle finalité de de risques : de critères
l’organisation que peut-il de contrôle :
sera atteinte, se passer ? Exactitude
que tel Exhaustivité
aspect/étape Autorisation
du processus Délai
audité est Suivi
sous contrôle
et maîtrisé »
1 2 3 4 5
105
•• empêchement juridique (non-respect des obligations légales, non-

respect d’engagement pris, contrat mal négocié) ;
•• empêchement responsabilité civile (mauvaise qualité du produit, mau-
vais état des bâtiments, absence d’assurance).
3. Points de contrôle : étapes clés du contrôle interne, observables

Pour chaque empêchement, les points de contrôle décrivent ce que l’au-
diteur va contrôler (ce sera repris dans le programme de vérifications puis
dans les constats), donc la réalité (ou la vraisemblance) de l’empêchement,
d’une manière indiscutable et selon des critères de résultats objectifs et
mesurables : Exactitude, Exhaustivité, Autorisation, Délai, Suivi ;
Conseils Définir les points de contrôle

pratiques observables du stade
Exemple : « Réception des achats »

Cinq critères de contrôle (métrique binaire) :
• exactitude : réceptionner la prestation ou la marchandise conformément aux
termes de la commande et de la réalité ;
• exhaustivité : réceptionner toutes les livraisons ou prestations commandées
(toutes et sans doublon) ;
• autorisation : valider la réception par une personne habilitée (habilitations,
preuves, obligations légales) ;
• délais : réceptionner dès la mise à disposition de la marchandise ou de la réali-
sation de la prestation
• suivi : ça produit l’effet attendu.
Exemple :
S’assurer que – ou être sûr que – tous (exhaustivité) les besoins exprimés font l’objet
d’une validation par des personnes habilitées (autorisation) dans des délais permet-
tant de satisfaire la date de livraison (ou de réalisation de la prestation).
106
Tableau 6.3 – « … on précise les impacts

ou conséquences possibles (4) »

« Être sûr que Scénarios Exemples Image
telle finalité de de risques : de critères Éthique
l’organisation que peut-il de contrôle : Financier
sera atteinte, se passer ? Exactitude …
que tel Exhaustivité
aspect/étape Autorisation
du processus Délai
audité est Suivi
sous contrôle
et maîtrisé »
1 2 3 4 5
4. Impacts : risque si une étape clé du contrôle interne

est défaillante ou déficiente
Il s’agit bien de la conséquence de la défaillance/déficience d’une étape
clé du Contrôle Interne, telle qu’indiquée dans la colonne précédente et

qui sera révélée par les travaux de contrôle.
L’impact s’apparente à des conséquences induites si un objectif de
contrôle n’est pas satisfait (ex : risque financier, risque responsabilité
civile).
107
Conseils Identifier les impacts correspondants

pratiques
Rechercher les conséquences induites par un critère de contrôle non satisfait :
métrique quantitative.
Exemple :
• réceptionner une marchandise non réelle ou non conforme aux termes de la
commande peut induire une fraude ou l’insatisfaction du client final ainsi qu’un
surcoût supporté par l’organisation ;
• ne pas réceptionner toutes les livraisons/prestations commandées peut induire des
litiges avec les fournisseurs et une mauvaise évolution des stocks ;
• laisser valider la réception par une personne non habilitée favorise la collusion
et la fraude ;
• réceptionner tardivement peut générer des litiges avec les fournisseurs et une
comptabilité fausse (sous estimation des charges à payer).
Quels problèmes risque-t-on de rencontrer et qu’entraîneraient-ils ?
Tableau 6.4 – « On termine par les bonnes pratiques

de contrôle interne souhaitables (5) »

objectifs de CI Risques que la de contrôle risque pratiques
… du stade/ finalité ne soit Étapes clés si étape clé de CI
opération/ atteinte du CI défaillante/ Moyens,
« Être sûr que Scénarios Exemples Image Adoptées
telle finalité de de risques : de critères Éthique Adaptées
l’organisation que peut-il de contrôle : Financier Disponibles
sera atteinte, se passer ? Exactitude … Performantes
que tel aspect/ Exhaustivité
étape du Autorisation
processus audité Délai
est sous contrôle Suivi
et maîtrisé »
1 2 3 4 5
108
5. Bonnes pratiques : moyens du contrôle interne, ressources

Les bonnes pratiques décrivent ce qu’en général les audités doivent faire,
les moyens et méthodes pour éviter un empêchement (colonne 2).
Ces ressources sont regroupées classiquement en trois grandes familles :
les ressources humaines (l’agent qui exprime un besoin, le responsable
qui valide le besoin), les ressources matérielles (sur quel support est saisi
et validé le besoin), les ressources immatérielles (notes d’organisation,
guide des procédures, informations indispensables (quantité, prix uni-
taire, budget).
L’ensemble de ressources souhaitées donne l’assurance que l’acti-
vité est maîtrisée (réalisation du verbe d’action et respect des critères
de contrôle) et que les risques sont sous contrôle. Une ressource mal
adaptée devient la cause de la non-réalisation d’un verbe d’action, la
non-réalisation d’un verbe d’action constitue un fait/constat et génère
des conséquences. Exemple : une personne non habilitée (cause) valide
un besoin non conforme aux besoins de l’entreprise (fait) induisant un
surcoût financier (conséquence).
Le renseignement de cette colonne se fait par la prise de connais-
sance de référentiel existant sur un domaine (note de politique interne
ou ouvrage externe traitant du domaine) et en répondant à quatre
questions génériques : Que peut-on faire ? Comment fait-on ? Est-ce
bien fait ?
Ce sont de bons conseils mais ils ne sont pas obligatoires, contrai-
rement aux critères des points de contrôle. Leur(s) déficience(s) (non
adoptées, non adaptées, non disponibles, non performantes) explique(nt)
les défaillances des points de contrôle. Elles seront souvent la source des
recommandations.
On a maintenant terminé la partie difficile d’une mission d’audit
interne : on a déterminé les « objets auditables » et constitué le référentiel
d’audit.
Ceci permettra à l’auditeur d’observer, constater les pratiques ou
caractéristiques réelles et les comparer au référentiel (caractéristiques
souhaitées).
109
Conseils Lister les modalités de fonctionnement

pratiques
Rechercher les bonnes pratiques (éléments constitutifs du contrôle
interne) qui assurent, a priori, que les risques sont couverts
• Les meilleures ressources (humaines, matérielles, immatérielles) organisées au
mieux,
• Bonnes pratiques dictées par les sachants (experts)
• Bonnes pratiques observées par le benchmark,
• Bonnes pratiques relevant des règles de « bon sens »
Ces bonnes pratiques (ressources) doivent être : adoptées (existantes) – adaptées –
disponibles – performantes (métrique qualitative)

Les risques de collusion ou de fraude sont couverts si :
• délégation de pouvoirs (bonne pratique adoptée, ressource existante),
• délégation respectant le principe de séparation des fonctions (adaptée),
• procédure de subdélégation en cas d’absence du délégué (disponible),
• la subdélégation n’est pas « le chef en cas d’absence » (performante).
Quand on effectuera une autre mission similaire, on complétera ce

référentiel par l’expérience acquise au cours de la première mission (on a
pu oublier des points). L’expérience montre qu’on améliore encore signi-
ficativement à la troisième, mais marginalement au-delà. Cela devient
de plus en plus aisé et rapide !
Pour aujourd’hui, on sait qui on va aller voir sur le terrain et ce qu’on
va vouloir regarder.
Les auditeurs ont ainsi terminé leur analyse des risques « génériques »
au bureau. Ils vont maintenant aller sur le terrain discerner les risques
« spécifiques » à l’entité auditée.
110
La réunion d’ouverture
(ou d’installation de l’équipe)
2 TABLEAU
DES RISQUES
RÉUNION Analyse des

Tableau des forces
D’OUVERTURE PROCÉDURES et de
et faiblesses apparentes
l’ORGANISATION
Vous
êtes ici Contrat de prestations
3 RAPPORT
de services, fixe les grandes
Lancement D’ORIENTATION
lignes avec les audités
de la mission
Liste des tâches et fil
PROGRAMME DE
conducteur du questionnaire :
VÉRIFICATION
charges, moyens, planning
La phase d’analyse des risques spécifiques à l’entité auditée s’effectue sur

le terrain. Il est souhaitable qu’elle commence par une réunion de pré-
sentation auditeurs/audités (encadrement) : la « réunion d’ouverture »
ou « d’installation de l’équipe ».
Son contenu :
•• présenter les auditeurs, se faire présenter les responsables audités et
l’activité ;
•• clarifier le rôle de la fonction audit interne et son objectif, et décrire
la place du Service dans l’entreprise (à moins que cela soit déjà bien
connu des interlocuteurs pour avoir été fait récemment) ;
•• expliquer les circonstances de la mission, pourquoi ici et maintenant ;
c’est un point psychologiquement très important. Il s’agit de dissiper
les fantasmes de culpabilité qu’entraîne la venue de l’audit ;
111
•• annoncer le déroulement prévisionnel de la mission ; c’est l’autre

point psychologiquement très important, il s’agit d’habituer les audi-
tés à l’idée qu’ils sont des acteurs et non des victimes ;
•• affiner la logistique et programmer les premiers entretiens.
On peut utilement s’appuyer sur un schéma récapitulatif et quelques
slides pour rendre la réunion plus attractive et engageante pour les parties
prenantes.
Conseils La réunion d’ouverture/installation

pratiques de l’équipe
Participants
• Le chef de mission + éventuellement le responsable de l’audit interne
• Les auditeurs
• Le « directeur des audités »
• Les chefs des services audités
Cinq points à aborder

1. Présenter les auditeurs, se faire présenter les audités.
2. Exposer/rappeler l’audit interne et sa place dans l’organisation.
3. Expliquer les circonstances de la mission : pourquoi ici et maintenant.
4. Annoncer le déroulement prévisionnel de la mission, insister sur les échanges
avec les audités.
5. Affiner la logistique (téléphone, mail, bureau…) et prendre les premiers
rendez-vous.
Habituer les audités à l’idée qu’ils sont des acteurs

et non des « victimes » de la mission.
112
L’analyse des forces et faiblesses
2 TABLEAU
DES RISQUES

Tableau des forces
l’ORGANISATION
Vous Contrat de prestations

3 RAPPORT
êtes ici de services, fixe les grandes
Lancement D’ORIENTATION
de la mission
PROGRAMME DE
VÉRIFICATION
Conditionnant le reste de l’intervention, cette phase d’analyse des

risques, dont dépendront la nature et le dosage des contrôles effectués
ultérieurement, fait l’objet d’une réflexion approfondie par tous les
membres de l’équipe et les risques sont matérialisés en s’appuyant sur

le Tableau de Risques élaboré précédemment. Elle a pour objectif de
faire un état des lieux des forces et faiblesses réelles ou potentielles
de l’entité ou du domaine audité afin d’orienter les travaux détaillés.
Le but est de limiter les travaux sur chaque mission pour faire davan-
tage de missions et mieux couvrir l’entreprise. L’auditeur veillera aux
éléments d’appréciation des enjeux et de la maîtrise de l’activité qui sont
déterminants pour la suite de la mission ; notamment les données quan-
titatives permettant d’estimer l’importance des enjeux (ex. : montant des
dépenses de prestation fournit par la comptabilité ou par les principaux
indicateurs de gestion inhérents à l’activité (dépenses de prestations
intellectuelles) et indicateurs de contrôle interne.
113
Tableau 6.5 – Le tableau des risques (TaRi) se prolonge

par le tableau des forces et faiblesses apparentes (TFfA)
Reconnaissance des risques Discernement des risques

« Génériques » « Spécifiques »
Tableau des forces
Tableau des risques et faiblesses apparentes
Entité / Commentaires
domaine / Objectifs Risques Bonnes Justifications Évaluation préliminaire
F/f
opération pratiques Explications des risques
Ordre de mission Rapport d’orientation

Explication Installation de l’équipe Recadrage
puis
Discernement des risques

– Compréhension du fonctionnement (par interviews, consultation
de la documentation, diagrammes de circulation…).
– Pour vérification ultérieure des Forces et examen des faiblesses.
La phase d’analyse des risques se mène essentiellement par des

entretiens, sans tests autres que de bonne compréhension. Il s’agit de
comprendre l’organisation et le fonctionnement de l’entité (ou des enti-
tés) auditée – les « diagrammes de circulation » (flow charts) sont souvent
une bonne technique – pour identifier les forces et faiblesses apparentes
et orienter les travaux de vérifications ultérieurs.
Certains services d’audit disposent des moyens suffisants pour vérifier
tous les risques identifiés dans l’étude préliminaire. Cependant, dans le
cas plus habituel d’une recherche d’efficacité, l’apparence d’une force ou
d’une faiblesse, et le degré de confiance qu’a l’auditeur quant à la réalité
de cette force ou faiblesse, vont guider ses travaux ultérieurs :
•• confirmer les forces critiques non certaines ;
•• ne pas perdre de temps sur les autres forces (forces certaines, et forces
probables mais non critiques) ;
•• étudier et résoudre les faiblesses graves ;
•• ne pas perdre de temps sur les autres faiblesses.
114
Le rapport d’orientation
À la fin de la phase d’étude de la mission et juste avant que ne démarre la
phase de vérification de l’audit, un document synthétique présente dans
un rapport d’orientation « R d’O », les objectifs poursuivis et zones de
risques que les auditeurs vont examiner. Il délimite ainsi précisément le
champ de l’intervention. Il est à noter que la direction de l’audit pourra
à ce stade proposer de ne pas continuer la mission, si en fin d’étude
préliminaire, l’enjeu ne s’avérait pas réel.
Nous recommandons de l'envoyer au demandeur de la mission pour
avis puis de la présenter aux audités pour information. Il est donc formulé
dans leur langage.
Il est une formulation et une précision de l’ordre de mission (on
passe d’ailleurs d’une demi-page à deux pages), et certains l’appellent
« recadrage ».
Conseils Élaboration du rapport

pratiques d’orientation « R d’O »
• Pour être pertinent : le rapport d’orientation reprend les conclusions rete-
nues du tableau des risques : forces/faiblesses apparentes + préoccupations du
management.
Il est discuté avec les principaux responsables audités et le demandeur.
• Pour être percutant : le rapport d’orientation est formulé en objectifs à atteindre
pour le client et rédigé en faisant abstraction des travaux d’audit qu’il implique.
Il est bref : de 1 à 3 pages.
• Pour être un « contrat » auditeur/audités (et demandeur) : utiliser des mots-clés.
Le rapport d’orientation assure donc la pertinence des travaux :

•• par la concertation avec les principaux responsables audités et le
demandeur ; c’est le contrat que l’audit interne passe avec eux ;
•• par l’objectivité de la démarche : découpage, objectifs, risques, bonnes
pratiques, analyse des risques (survol), ciblage/choix.
115
Conseils Les mots-clés du rapport d’orientation

pratiques
On commencera chaque phrase du rapport d’orientation par :
• « S’ASSURER DE » ou « VÉRIFIER QUE » quand on s’engage à donner une
assurance qu’un point est sous contrôle : à fournir une opinion binaire (oui/non,
ça marche ou ça ne marche pas) ;
• « APPRÉCIER » quand on s’engage à émettre une opinion qualitative après
étude, ou « REVOIR » quand on s’engage à faire l’étude mais n’émettre d’opi-
nion que s’il y a lieu ;
• « ÉVALUER » quand on s’engage à fournir une information quantitative mais
a priori sans émettre d’opinion, ou « ANALYSER » quand on s’engage à faire
l’étude mais pas à obtenir des résultats ;
• « VOIR S’IL Y A LIEU D’APPROFONDIR » quand on hésite et qu’on ne
s’engage à rien !
Tableau 6.6 – La phase d’étude aboutit aux :
RAPPORT D’ORIENTATION PROGRAMME DE VÉRIFICATIONS

pour les audités et le commanditaire pour les auditeurs
CONTRAT DE PRESTATION GAMME DE FABRICATION :
DE SERVICES précisant les axes tâches à effectuer, investigations à mener,
d’investigation de la revue questions à se poser, points à voir,
et si possible ses limites pratiquesde bonne gestion à rechercher
OBJECTIFS À ATTEINDRE ACTIONS D’AUDIT à planifier,
pour les « clients », répartir, entreprendre
formulés dans leur langage (travail de l’équipe d’audit)
Où allons-nous ? Comment y allons-nous ?
Phase d’étude Phase de vérifications
116
Le programme de vérification
2 TABLEAU
DES RISQUES

Tableau des forces
l’ORGANISATION
Lancement Contrat de prestations

3 RAPPORT
de la mission de services, fixe les grandes
D’ORIENTATION
Vous Liste des tâches et fil

PROGRAMME DE
êtes ici conducteur du questionnaire :
VÉRIFICATION
C’est sur la base du rapport d’orientation que s’établit le programme de

vérifications de l’équipe d’audit, le budget et le planning d’affectation
des tâches puis des feuilles de couverture.
Le programme de vérifications est la gamme de fabrication à mettre
en œuvre pour atteindre les objectifs du rapport d’orientation. C’est un

document interne au service d’audit interne, destiné à définir, répartir,
planifier et suivre les travaux des auditeurs. La matérialisation de la
répartition s’effectue par un tableau des tâches et un état dit BP (budget
planning).
Il indique la liste des tâches à effectuer, des investigations à mener, des
questions à poser, des points à voir, des procédures à rechercher (certains
l’appellent « programme de travail »). Les travaux sont décomposés en
tâches distinctes pour pouvoir être attribués aux auditeurs. Cependant,
le programme de vérifications n’est ni une obligation, ni une excuse :
l’auditeur garde une « marge de manœuvre » et devra faire preuve d’ini-
tiative et de jugement.
117
Le programme de vérifications est un document majeur qui procure

cinq bénéfices :
1. il assure le responsable de l’audit interne que toutes ses préoccupa-
tions sur le sujet ont été prises en compte et qu’il y sera répondu : c’est
le contrat entre lui et l’équipe chargée de la mission ;
2. il permet au chef de mission d’évaluer les tâches que cela implique, de
les répartir entre auditeurs et d’établir le planning de la mission (puis
de le suivre) jusqu’au rapport ;
3. il guide les auditeurs et leur évite de déborder et de « peaufiner » ;
4. il documente le déroulement de la mission et sert de tableau synop-
tique : qui a effectué le travail ? Quand a-t-il été terminé ? Comment
s’y est-on pris et qu’a-t-on trouvé (feuilles de couverture) ? Quels
problèmes ont été identifiés (FAR) ?
5. il capitalise le savoir-faire du service en servant d’exemple et d’inspi-
ration pour d’autres missions : pour les missions récurrentes, il suffit
d’adapter le standard à la nouvelle unité.
La formalisation des travaux de contrôle

La feuille de couverture est le document qui, établi en deux temps, décrit
les modalités de mise en œuvre d’une tâche définie dans le programme
de vérifications, puis met en évidence les conclusions qui en ont été
tirées.
Les travaux de vérification sont effectués et des informations recueillies
sur l’ensemble des points concernés par les objectifs de la mission. Ces
informations doivent être suffisantes, fiables, pertinentes et utiles pour
fournir une base saine et sûre aux constatations et recommandations.
Le travail sur le terrain consiste à conduire les contrôles prévus au
plan de travail :
•• mener des enquêtes, tracer des diagrammes, réaliser des observations
physiques, effectuer des rapprochements et reconstitutions, interroger
des fichiers informatiques et établir les papiers de travail, tout ceci :
– en restant à l’écoute des élargissements, approfondissements qui
peuvent apparaître intéressants ;
118
Mandate l’AI et PROGRAMME responsables, propositions
ORDRE de
lance la mission ANNUEL de l’AI, souhaits de la DG
MISSION
2 TABLEAU des RISQUES « théoriques »
de la mission DES RISQUES du processus audité

Tableau des forces
l’ORGANISATION

3 RAPPORT
D’ORIENTATION
PROGRAMME DE
VÉRIFICATION
4 Conduite des
Papiers de travail, Travail de recherche
vérifications
feuilles de couverture et d’analyse sur le terrain
Vous
et FAR
êtes ici
– et en se posant en permanence la question de savoir s’il ne serait pas

plus rentable de réorienter le travail (le résultat recherché apparaît
impossible à obtenir ; il est déjà suffisamment atteint sans avoir
effectué tous les travaux prévus) ;
•• périodiquement et au moins à la fin de chaque section, présenter ses
papiers de travail avec suggestions de recommandations au chef de
mission et au superviseur. Puis les discuter avec les audités concernés ;
•• à la fin de chaque section, référencer les papiers de travail pour archi-
vage ultérieur.
119
Avant d’effectuer une tâche, par exemple un test ou une interview,

l’auditeur en spécifie les modalités sur sa feuille de couverture :
•• pour le test : sources, périodes à prendre en compte, format des docu-
ments et/ou tableaux d’exploitation… format du document et/ou
tableau de résultats ;
•• pour l’interview : personne à interviewer, lieux – dates – durées, guide
d’interview (les questions) ;
•• et en convient avec le chef de mission. Celui-ci, a priori plus expé-
rimenté, pourra souvent conseiller l’auditeur et rendre la tâche plus
aisée et plus rapide (notamment choix des documents sources) ou le
format des conclusions plus directement utilisable.
Après les travaux détaillés, tests et interviews dans notre exemple,
l’auditeur rédige ses conclusions sur la feuille de couverture.
Elle est ainsi un document particulièrement synthétique qui facilite
la constitution du dossier et la supervision :
•• la supervision « quotidienne » qui s’assure que les conclusions sont
étayées (approbation de la méthode utilisée, allers-retours entre la
feuille de couverture et ses papiers de travail détaillés) ;
•• la supervision « globale » qui vise à dégager les conclusions de la mis-
sion au fur et à mesure de l’avancement des travaux (ceci peut aussi
être fait avec les FAR : voir paragraphe suivant), sans aller plus en
détail que les feuilles de couverture.
La feuille de couverture apporte des gains de temps et de productivité.
Elle réduit l’étendue du travail nécessitant concertation entre les audi-
teurs : jusqu’au programme de vérifications ils travaillent ensemble. À
partir de la feuille de couverture ils travaillent en parallèle.
Les feuilles de couverture sont souvent produites en « temps masqué »,
à un moment où l’auditeur aurait soudainement du temps disponible :
une réunion a été annulée, écourtée ou retardée ; il a raté son train et
attend le suivant…
Elles sont produites au fur et à mesure des besoins, ce qui évite d’éta-
blir les spécifications des actions devenues caduques, soit parce que
d’autres actions se sont avérées suffisantes pour conclure, soit parce
qu’un point a été abandonné.
120
Exemple de feuille de couverture de test

Audit du recouvrement de créances de XYZ E 500 Réf. Réf.
Test sur les délais de mise à jour du fichier Établi par JPB PdT FAR
clients le 16/12/aaaa
BUT B 2.3
Vérifier les délais de mise à jour du fichier clients tenu à V. à partir
des règlements arrivant à U.
MODALITÉS D’EXÉCUTION
• Déterminer 3 périodes dans le dernier mois écoulé (début, milieu
et fin de mois) correspondant à la colonne 1 sur la feuille de test.
• Se référer au bordereau manuel envoyé par U. à V., décomposer
les soldes à partir des justificatifs joints au bordereau et déterminer
le nombre de règlements globaux (colonne 3).
• Relever la date sur le listing V. (colonne 2).
• Vérifier sur le listing que les montants enregistrés en n + 1 corres-
pondent aux nombres de règlements globaux envoyés par U. en n
(en fait compter le nombre de code 22 sur le listing (colonne 4)).
• Vérifier sur écran que les règlements non repérés sur le listing ont
été résolus dans la journée (colonne 5).
• Totaliser et déterminer les pourcentages du nombre de montants
enregistrés/non enregistrés.
Amont
RÉSULTATS : voir papiers de travail E501 Non

Aval à Non
CONCLUSIONS : E502 Far 7
• Test satisfaisant car le nombre de montants enregistrés bordereau/

listing est équivalent
• Les règlements non repérés sur le listing sont résolus dans la jour-
née dans 87 % des cas
• Seul un problème de transmission par la Poste existe.
121
Conseils La feuille de couverture (FdC)

pratiques
Établie en deux temps
• Le chef de mission + éventuellement le responsable de l’audit interne.
• Après : les résultats et conclusions (+ modifications éventuelles) des réponses
précises, concises et contrôlables.
Intérêt : gains de temps
• Permet d’alléger et donc d’accélérer le programme de travail.
• Réduit l’étendue du travail nécessitant concertation.
• Évite d’établir les spécifications des actions retenues devenues caduques.
• Accroît la productivité car établie en « temps masqué ».
• Facilite la constitution du dossier synthétique et la supervision
La feuille de couverture comporte donc uniquement la méthode utilisée et les
résultats et conclusions, le reste ne figurant que sur les papiers de travail produits
au cours de la tâche.
Conseils Les papiers de travail (PdT)

pratiques
Objectifs Conseils pratiques
• Matérialiser la production • Style dépouillé, voire
et la progression de la mission télégraphique
• Recueillir des informations • Au « crayon » ou traitement
obtenues de texte
• Identifier et documenter
• Aéré pour compléments
des faiblesses relevées
• Alimenter les discussions • Pré-imprimé, coloré
avec les audités • Légende des tick marks
• Étayer le rapport • Différencier faits des commen-
• Valider les conclusions taires et opinions
et les recommandations
• Reprise des PdT antérieurs
• Faire superviser l’avancement
et les résultats de la mission
• Fournir des références aux
missions futures
122
La fiche d’audit
et de recommandations
ORDRE de
MISSION
2 TABLEAU
DES RISQUES

Tableau des forces
l’ORGANISATION

3 RAPPORT
D’ORIENTATION
PROGRAMME DE
VÉRIFICATION
4 Conduite des
vérifications
et FAR
Vous
êtes ici
La FAR (fiche d’audit et de recommandations) est le papier de travail

synthétique par lequel l’auditeur présente et documente chaque dys-
fonctionnement. Elle facilite la communication avec l’audité concerné.
123
Point d’audit
Trouvaille (finding)
Constat
Existant
Écart CAUSES ET RECOMMANDATION

CONSÉQUENCES
Référentiel Autres risques et bonnes

de risques pratiques convaincants
convenu (critères de contrôle interne) Outil : la FAR
Figure 6.2 Point d’audit
Tableau 6.7 Le TaRi, guide l’élaboration de la FAR

opération/élément ne soit atteinte du CI défaillante/ Moyens,
observables déficiente ressources…
« Être sûr que Scénarios Exemples Image Adoptées

telle finalité de risques : de critères Éthique Adaptées
de l’organisation que peut-il de contrôle : Financier Disponibles
sera atteinte, se passer ? Exactitude … Performantes
que tel aspect/étape Exhaustivité
du processus audité Autorisation
est sous contrôle Délai
et maîtrisé » Suivi
1 2 3 4 5
Les 5 rubriques du tableau des risques initial

préfigurent les 5 rubriques de la FAR :
Problème Causes Constats Conséquences Solutions
La méthodologie employée consiste à étudier le fonctionnement réel

des opérations ; repérer les constats significatifs, déterminer leurs causes,
démontrer les conséquences et proposer des moyens d’amélioration.
124
Fiche d’audit et de recommandations

(FAR)
FAR n°…
Papier de travail :
Problème :
Constats :
Causes :
Conséquences :
Solution proposée :
Établi par : Approuvé par : Validée avec :

Le : Le : Le :
Après chaque étape de travail, des conclusions partielles sont rédigées

par l’auditeur. Ce sont les constats des déficiences identifiées.
L’ensemble des points fait l’objet d’un regroupement par domaine
ou centre d’intérêt et des conclusions sont arrêtées par les auditeurs
qui les restituent sous forme de fiches synthétiques, dénommées « fiche
d’audit et de recommandations » (FAR). Ces fiches sont présentées aux
principaux responsables concernés afin d’enregistrer leurs réactions et
discuter à chaud des principales recommandations que les auditeurs
seront amenés à faire dans le rapport d’audit.
125
Tout dysfonctionnement, y compris risque non ou mal maîtrisé, que

les travaux de l’auditeur ont mis à jour, est formulé sous forme de FAR :
•• le « Problème » qui le résume en une formulation synthétique, auto-
nome et percutante ;
•• Les « Constats » qui le prouvent ;
•• Les « Causes » qui l’expliquent ;
•• Les « Conséquences » qui le pèsent ;
•• Les « Recommandations » qui le résolvent.
Conseils Comment élaborer une FAR ?

pratiques
1. Commencer par Fournir Les faits doivent avoir été observés (pas
le/les CONSTATS les PREUVES de jugement sans preuve)
2. Remonter Donner des Les causes peuvent avoir été consta-
aux CAUSES EXPLICATIONS tées ou déduites (des explications trop
éloignées des faits affaiblissent l’argu-
mentation et font naître le doute)
3. Pour en déduire Faire percevoir Les conséquences peuvent être quanti-
les CONSÉQUENCES la GRAVITÉ fiées ou qualifiées (une gravité contestée
dilue les conséquences : valider avec le
responsable)
4. Résumer Provoquer Le problème doit énoncer l’objectif
l’ensemble en une RÉACTION compromis, le mal à supprimer (une
un PROBLÈME réaction sans compréhension immé-
diate = un parasite pervers)
5. Proposer Obtenir La recommandation doit relier le mal et
une SOLUTION l’ACTION l’objectif. Il faut chercher une solution
à résultats rapides
Quand il fabrique une FAR, l’auditeur commence toujours par les

constats. Il les a nécessairement relevés, observés. Ce ne peut pas être un
jugement (mais cela peut être introduit par un jugement).
126
Il complète ensuite les causes et les conséquences, l’ensemble constats

+ causes + conséquences constituant la « trouvaille ». Les causes et consé-
quences sont le résultat d’une déduction, et sont aussi parfois constatées.
Les conséquences non constatées sont des « risques ».
Toute section du travail terrain se termine par la mention « FAR
N° n » ou « pas de FAR » quand il n’y a pas de problème. Tant qu’il n’a
pas établi sa trouvaille, l’auditeur n’a pas fini son travail d’investigation
et de réflexion, même s’il a effectué toutes les tâches prévues sur cette
section ; inversement, dès qu’il a établi sa trouvaille, il a fini et ce n’est
pas la peine d’effectuer les autres tâches.
La FAR est ainsi ce qui guide l’auditeur, sans erreur ni détour : c’est
cela et uniquement cela qu’il a à faire, et il sait comment le faire : 1) faits
constatés, 2) causes et conséquences déduites.
La FAR va ensuite servir à communiquer avec l’audité concerné. Pour
cela :
•• l’auditeur résume la trouvaille et la reformule en un problème syn-
thétique, autonome et percutant, comme une publicité par voie
d’affiches ;
•• il la fait approuver par son chef de mission, ce qui amène habituelle-
ment à une ou des reformulations et à un affinement de la réflexion
(l’auditeur seul dans son entreprise tâchera de se trouver un mentor ou
laissera quelques jours s’écouler afin « d’oublier » avant de se relire) ;
•• il la valide ensuite avec l’audité concerné. Il valide le contenu –
constat, déductions, formulation du problème – mais il ne fait pas
« avouer et signer » l’audité. Il s’agit d’une discussion de travail recon-
naissant l’autorité et la compétence de l’audité, avant, bien avant que

tout ceci soit couché dans un rapport qui remontera à la hiérarchie,
et cherchant sa coopération pour bâtir une solution.
L’audité, éclairé par l’auditeur quant au problème et à ses constituants,
trouve en effet alors plus facilement la solution que l’auditeur. Mais celui-
ci ne viendra pas avec une FAR sans solution, uniquement critique : il
ébauchera une solution avant d’aller valider sa FAR. Inversement, il ne
cherchera pas à élaborer la solution tout seul, afin de permettre à l’audité
de s’approprier le problème et de participer à sa solution.
127
Conseils La FAR = l’efficacité de l’audit

pratiques pour le bénéfice de tous
Guider la réflexion de l’auditeur :
Sûreté (sans erreur) + Rapidité (sans détour)
Accélérer le rapport : Communiquer avec les audités :

• Pas de réécriture, concision • Rigueur et force (logique)
• Lecture efficace • Douceur et pragmatisme (temps)
Fiche d’audit et
de recommandation
Faciliter la synthèse : Piloter la mission :

• Entraîne aux synthèses et • Section par section,
• Prépare la synthèse finale • Validées et référencées
On procède ainsi, section par section, avec des FAR validées au fur
et à mesure avec les audités, et référencées (la mission et le numéro de
la FAR, les papiers de travail qui l’étayent, son émetteur, l’approbation
par le chef de mission, la personne avec qui on l’a validée). Le pilotage
de la mission est grandement facilité.
La synthèse de la mission est grandement facilitée aussi : chaque pro-
blème est la synthèse d’une trouvaille, et il suffit de trier les problèmes
dans un ordre intéressant pour produire « l’extrait sec » de la mission :
l’ossature du rapport (prochain paragraphe).
L’émission du projet de rapport est aussi radicalement accélérée.
Si les FAR sont sur traitement de texte, on constitue, par quelques
modifications simples et rapides (24 à 48 heures), l’ossature du rapport
et le corps du rapport sans rédaction nouvelle (et ultérieurement les
formulaires de recommandation/réponse) : on débarrasse les FAR de
leurs mentions administratives, on les trie dans l’ordre de l’ossature, on
rajoute les titres des chapitres.
128
Format d’une page de rapport d’audit

SYSTÈME INFORMATIQUE (réseau micro-ordinateur)
L’absence de procédure ne permet pas de s’assurer de la sauvegarde correcte de
l’ensemble des enregistrements comptables.
Constats :
Les copies de sécurité des fichiers de données ainsi que les sauvegardes de travaux
mensuels ne sont pas faites systématiquement.
En ce qui concerne les fichiers de données, il y a eu mélange dans les « générations »
de copies de sécurité. Il est prévu de sauvegarder périodiquement et alternativement
sur les disquettes 1 et 2, mais des inversions ont eu lieu.
Causes :
Il n’existe pas de procédure formalisée décrivant les sauvegardes périodiques et les
opérations à effectuer.
Conséquences :
Il n’est pas possible d’éditer le grand-livre avec la totalité des écritures de l’année
(perte des écritures de février).
En cas de reprise après incident, la société risque de ne pas avoir la dernière « génération »
de données, mais une version plus ancienne, ce qui implique une reprise laborieuse.
Recommandation = Le chef comptable devrait :

Formaliser une procédure décrivant les fichiers à sauvegarder, la périodicité des
sauvegardes et la technique de sauvegarde.
Si l’on préfère réécrire en « bon français », la tâche est simplifiée.

Chaque FAR est « traduite » en : il existe (tel Problème) qui se manifeste
par tels incidents et telles anomalies qui ont été constatées (les Constats),
l’origine en est (Causes), et cela a comme impact certain, probable ou
possible (Conséquences), cela nécessite (Recommandations).
129
L’ossature du rapport
L’ossature du rapport « OR » est l’enchaînement des messages que l’au-
dit interne veut délivrer dans le rapport concluant la mission ; elle est
élaborée à partir des « problèmes » figurant sur les FAR (et des conclu-
sions figurant sur les feuilles de couverture).
C’est un petit travail : au cours d’une réunion de synthèse interne à
l’équipe des auditeurs, on reprend les énoncés de « problèmes » figurant
en haut de chaque FAR, on les classe dans un ordre qui semble intéres-
sant – par thème, par ordre d’importance – et on rajoute les titres de
regroupements sous lesquels ils apparaîtront dans le rapport.
On suivait en effet, jusqu’ici, une logique de questionnement : celle du
rapport d’orientation et du programme de vérifications. Certaines ques-
tions ont donné des réponses sans grand intérêt, d’autres des réponses
très riches. Il faut maintenant pivoter vers une logique de présentation,
de points à faire passer (sauf quand on s’impose un plan standard pour
effectuer de temps à autre des comparaisons entre unités ou de la même
unité dans le temps, sur un thème donné).
Attention : réordonner les points aboutit parfois à fusionner deux
FAR pour faire de deux points secondaires un point important (ou à
éclater pour clarifier) : c’est une autre raison pour ne pas faire signer les
FAR quand on les valide ; il faut pouvoir évoluer.
C’est un travail nécessaire : il faut se forcer à prendre du recul et
organiser la réflexion et le discours de l’équipe d’audit avant de rendre
compte des travaux et conclusions aux principaux responsables audités,
au demandeur et à la direction. Ceci se fait en concertation avec le Res-
ponsable de l’audit interne et le superviseur.
Attention : le produit de ce petit travail, l’ossature du rapport, est
explosif. C’est, et ce n’est qu’une liste de problèmes formulés de manière
percutante, qui tient en général sur une page. C’est une page centrée sur
les seules faiblesses. Cela ne doit pas sortir du service d’audit interne,
sauf sous la forme d’un transparent que l’on projette (mais dont on ne
laisse pas de copies) et autour duquel on parle, en nuançant les critiques,
en les replaçant dans leur contexte, et en citant les points positifs.
L’ossature du rapport peut donc ainsi servir de support de présenta-
tion, mais pas de table des matières du rapport : elle risquerait d’être
130
copiée et de circuler. Elle sert de guide de montage du corps du rapport,

et de guide de rédaction de son résumé.
ORDRE de
MISSION
2 TABLEAU
DES RISQUES

Tableau des forces
l’ORGANISATION

3 RAPPORT
D’ORIENTATION
PROGRAMME DE
VÉRIFICATION
4 Conduite des
vérifications
et FAR
5
OSSATURE Regroupement et mise
Vous
Rédaction DU RAPPORT en ordre des problèmes
êtes ici
des
conclusions RÉUNION DE VALI-
et validation PROJET DE RAPPORT
DATION vaut OK
aux seuls audités
sur constats, déductions
et formulation
RAPPORT DÉFINITIF
Directions hiérarchiques,
y compris recommandations
fonctionnelles, générale
131
Pivoter : du rapport d’orientation

Conseils au plan du rapport lors d’une réunion
pratiques de synthèse interne à l’équipe d’audit
• Reprendre tous les problèmes (synthétique, autonome, percutant)
• Décider ce qu’on veut écrire dans le rapport et ordonner ses idées
• Établir la liste ordonnée des problèmes avec intertitres
Ossature du rapport (OR) = énoncé des problèmes, classés dans l’ordre désiré
pour le rapport, avec titres de regroupements
Pivoter Ne pas pivoter

D’une logique de questionnement : Structure constante, par exemple :
intellectuelle 1 thème tous établissements pour
… à une logique de présentation : comparaisons
Points à faire passer 1 standard toutes filiales pour
Faiblesses relevées par thème synthèse par divisions
Provision à passer par montants
Guide de montage ou de rédaction du rapport d’audit et de relecture par l’audit :

– Guide de rédaction du résumé du rapport.
– Support de présentations lors du compte rendu final sur site.
Le compte rendu final sur site

Le compte rendu final sur site est la présentation orale, par le chef de
mission au principal responsable de l’entité auditée, des observations les
plus importantes. Il est effectué à la fin du travail terrain.
Avant de quitter le terrain, l’équipe d’audit doit répondre au souhait
légitime, exprimé ou non, du principal responsable de l’entité auditée,
d’être informé rapidement et le premier.
Ne pas le faire ou refuser de le faire sous prétexte que l’on veut encore
réfléchir et/ou prendre du recul, serait un aveu d’incompétence. Le faire
sans avoir pris ce recul serait de l’imprudence ! L’ossature du rapport,
préalablement établie, permet de « débriefer » le principal responsable
de l’entité auditée avant de quitter le site pour élaborer le rapport.
132
Attention : des questions et contestations peuvent naître au cours de

cet entretien, nécessitant quelques travaux complémentaires. Ne pas le
programmer juste avant de prendre l’avion pour rentrer !
Conseils Compte rendu final sur site

pratiques
Souhait du principal responsable d’être informé, rapidement, le premier
• Légitime : c’est constitutif d’être responsable.
• Exprimé ou non… et d’autant plus fort que non exprimé !
Y répondre dans l’ossature du rapport
• Quitter sans compte rendu structuré : Incompétence.
• Conclure sans prendre du recul : Imprudence.
« Trucs et astuces »
• Synthèse (OR) avant dernières (et secondaires) vérifications.
• CR provisoires (multisites) = observations provisoires, pas conclusions/problèmes.
• Toute l’équipe (explication) et tous les audités (compréhension et engagement),
ou informel (déjeuner).
• En profiter pour tester l’acceptabilité des propositions et inciter à la mise en œuvre
avant sortie du rapport.
ATTENTION : des questions et des contestations peuvent entraîner des travaux
complémentaires
C’est le dernier moment informel de travail en commun.

Ensuite la relation sera plus formelle (tout en restant cordiale).
En fonction de l’éloignement entre l’entité auditée et le bureau des

auditeurs, plusieurs enchaînements sont envisageables pour cette phase
de conclusion de la mission :
•• cas n° 1 : de part l’éloignement de l’entité auditée, un retour sur le
terrain pour la réunion de validation n’est pas possible (coût et temps
de transport prohibitifs). La validation finale des conclusions se fait
avant de quitter l’entité simultanément au compte rendu final sur site ;
•• cas n° 2 : un retour sur le terrain pour la réunion de validation est pos-
sible et nécessaire car le compte rendu final sur site n’a pas permis de
dissiper toutes les zones d’ombre, ambiguïtés, litiges entre auditeurs et
audités. Les auditeurs rentrent au bureau pour élaborer le projet de rap-
port d’audit et retournent sur le terrain pour la réunion de validation ;
133
•• cas n° 3 : un retour sur le terrain pour validation n’est pas nécessaire
car durant le compte rendu final sur site, auditeurs et audités ont
balayé tous les points de conclusion de la mission avec validation de
chacun d’eux. Les auditeurs élaborent leur projet de rapport d’audit
et l’envoient aux audités pour accord ;
•• cas n° 4 : un retour sur le terrain pour validation n’est pas possible
mais serait nécessaire car le compte rendu final sur site n’a pas permis
de dissiper toutes les zones d’ombre, ambiguïtés, litiges entre audi-
teurs et audités.
Tableau 6.8 – Phases de conclusion d’une mission d’audit interne
Prendre Ossature du rapport

du recul
et décider
Informer Compte rendu oral sur site

avant de
quitter
Cas 1 Cas 2 Cas 3 Cas 4
Élaboration Projet puis Projet puis
Écouter Projet puis du projet envoi pour envoi pour
avant
Validation accord accord mais …
de statuer
Validation
Ajuster et
officialiser Rapport définitif
« On ne
« On ne retournera retournera pas
pas sur le terrain, on Le projet de sur le terrain
n’a pas droit à rapport d’audit mais on s’est mis « On ne s’est
l’erreur. Il faut doit éclaircir d’accord » donc pas mis d’accord
absolument se mettre toutes les zones s « Il suffit que le avant de se
Commen- d’accord avec les d’ombre non projet de quitter et on n’a
taires audités surtous les résolues durant rapport traduise pas l’occasion
constats et toutes les le compte rendu fidèlement les d’en reparler si
recommandations final sur site conclusions ce n’est à
attachées » du compte rendu distance »
final sur site » ATTENTION
(Les phases grisées se déroulent sur le terrain)
Chacune de ces situations est à considérer avec précaution car sus-

ceptible de provoquer mal entendus, agacements, voire conflits entre
auditeurs et audités.
134
Le rapport d’audit et sa validation
ORDRE de
MISSION
2 TABLEAU
DES RISQUES

Tableau des forces
l’ORGANISATION

3 RAPPORT
D’ORIENTATION
PROGRAMME DE
VÉRIFICATION
4 Conduite des
vérifications
et FAR
5 Rédaction OSSATURE Regroupement et mise

des conclusions DU RAPPORT en ordre des problèmes
et validation
RÉUNION DE VALI-
PROJET DE RAPPORT
Vous DATION vaut OK
aux seuls audités
êtes ici sur constats, déductions
et formulation
RAPPORT DÉFINITIF
Directions hiérarchiques,
y compris recommandations
fonctionnelles, générale
Le Rapport d’audit interne communique aux principaux respon-

sables concernés pour action, et à la direction pour information, les
conclusions de l’audit concernant la capacité de l’organisation auditée
135
à accomplir sa mission, en mettant l’accent sur les dysfonctionnements

pour que soient développées des actions de progrès. Il constitue le point
culminant de la mission, mais non sa fin.
Le projet de rapport d’audit

À la fin de chaque mission, l’audit rédige un « projet de rapport » for-
malisant ses constats et recommandations.
Le soin apporté à la relation des faits constatés, à l’analyse de leurs
causes et de leurs conséquences ainsi qu’à la rédaction des recommanda-
tions est d’une grande importance : les remarques qui figurent dans un
rapport s’adressent à des personnes totalement engagées dans des activi-
tés opérationnelles et qui attendent de l’auditeur une parfaite objectivité.
Le « projet de rapport » constitue un relevé des lacunes, des faiblesses
et des dysfonctionnements constatés au cours de la mission, évalués et
hiérarchisés en fonction du degré de gravité des conséquences qu’ils
induisent.
Ce niveau de gravité est mesuré à partir d’éléments factuels chiffrés,
recueillis lors des tests réalisés au cours des investigations ; à défaut, la
gravité peut être estimée en fonction des enjeux sur lesquels portent les
faiblesses et qui ont été identifiés et quantifiés pendant la phase d’étude.
Il est pour les responsables l’occasion de remettre en cause les méthodes
de gestion de leurs domaines d’activités ; il n’établit pas un bilan d’une
gestion car ce jugement est du ressort de la hiérarchie.
Il reprend la forme des fiches rédigées à la fin de la phase de vérifi-
cation et comporte à la suite de l’exposition des problèmes (constats,
causes et conséquences) un certain nombre de recommandations à l’at-
tention des responsables capables de les prendre en charge, qu’ils soient
à l’intérieur ou à l’extérieur de l’entité ou de la fonction auditée. L’im-
portance des recommandations, proportionnelle au degré de gravité des
conséquences des dysfonctionnements constatés ou à la signification
des enjeux, permet de les classer en recommandations « majeures ». On
entend par recommandations « majeures », les recommandations qui
font l’objet d’un suivi particulier par la direction de l’audit.
Le projet de rapport est diffusé aux responsables concernés par le
champ de l’audit, dans les meilleurs délais leur permettant d’en prendre
connaissance avant la réunion de validation.
136
La réunion de validation
Une « réunion de validation » est tenue entre audités et auditeurs, et si
nécessaire en présence du commanditaire. Cette réunion a pour objet de
recueillir l’avis des audités sur les constats, raisonnements et conclusions
de façon à rendre le rapport incontestable.
Il est prévu en introduction à cette réunion de rappeler les objec-
tifs couverts par l’audit, les personnes rencontrées et sites audités puis
d’identifier pour information les points jugés sous contrôle relevés à
l’issue de l’analyse des risques ou à l’issue des travaux de vérification.
Ces points « forts » seront soulignés dans la note de synthèse présente
au sein du rapport définitif.
Dans le cas exceptionnel de désaccord persistant sur la formulation
d’un problème ou la pertinence d’une recommandation, les commen-
taires écrits des responsables audités confirmés par leur hiérarchie sont
annexés au cahier des recommandations.
Les recommandations majeures sont confirmées et validées, le délai
de leur mise en œuvre est proposé. Les destinataires de ces recomman-
dations sont désignés et chargés de fournir le plan d’actions détaillé.
La réunion de validation vaut accord pour le rapport définitif. La
position des audités est enregistrée. Au terme de la réunion de validation,
il n’y a plus lieu de commenter mais d’agir.
Conseils La réunion de validation

pratiques
BUTS : rendre le rapport non contestable (constats, raisonnements, conclusions,

formulation)
• La dernière chance de convaincre et le moment pour obtenir les plans d’ac-
tion (norme 2410 : La communication doit inclure les objectifs et le champ de la
mission, ainsi que les conclusions, recommandations et plans d’actions).
• Convenir d’un destinataire pour chaque recommandation jusque-là solution sans
pilote.
L’organiser : participants, rôles, diffusion, référencement
La ralentir et la solenniser :
1) valider techniquement, page par page, FAR par FAR, le corps du rapport ;
2) le responsable de l’audit interne « canalise » le directeur des audités.
☞
137
☞
En cas de désaccord persistant :
1) maintenir son opinion : indépendance ;
2) mentionner dans le rapport (et insérer le texte de l’audité, approuvé par sa
hiérarchie) : objectivité.
Rapport définitif
Le « rapport définitif » se compose d’une part d’une synthèse de trois
pages maximum destinée à être lue par les dirigeants, et d’autre part
des fiches examinées lors de la réunion de validation et d’une liste des
recommandations classées par destinataire précisant la position des audi-
tés et constituant de fait leur première réponse à l’audit.
Il est envoyé aux responsables audités en charge de mettre en œuvre
les plans d’action, aux chefs de branche, à leur référent membre du
comité exécutif ainsi qu’au président. Il est à noter que le commanditaire
initial de la mission fait également nécessairement partie de cette liste
de destinataires.
Le rapport d’audit matérialise le travail des auditeurs. Il est recommandé à
ses destinataires de ne pas étendre sa diffusion car il contient des informations
confidentielles et son style peut surprendre un lecteur non averti.
Un rapport d’audit n’est pas neutre : il analyse une situation, mais met
prioritairement l’accent sur les dysfonctionnements, pour faire dévelop-
per des actions de progrès, sans omettre d’évoquer les points forts.
Il contient des recommandations. Une recommandation n’est pas une
critique, elle n’implique pas de faute : c’est une amélioration proposée
au responsable habilité à mener l’action. Il est en charge de développer
et mettre en place une solution au problème soulevé : celle qui a été
proposée ou une meilleure.
Après lecture, le président peut inscrire l’examen du rapport à l’ordre
du jour d’un comité exécutif ou d’une réunion thématique avec, dans
ce cas, la présence des responsables audités et des auditeurs.
Seuls le commanditaire et le président peuvent décider d’une diffu-
sion plus large du rapport. Le président est la seule personne à pouvoir
autoriser la communication d’un rapport d’audit à l’extérieur de l’entre-
prise. Toute demande dans ce sens doit donc lui être soumise.
138
Ce que la direction a en connaître

+ opinion de l’audit.
L’essentiel pour les lecteurs qui
SYNTHÈSE veulent être informés mais n’ont pas
à résoudre les problèmes : contraction
de texte, sans démonstration.
Remerciements
de l’équipe
Origine, circonstances, objectifs,
Introduction champs et limites (assurance),
descriptive période, principaux traits, chiffres
FAR et caractéristiques.
Complet, détaillé et technique (mais
pas de compte rendu descriptif
des travaux).
CORPS Éléments et modes de réflexion que
l’AI veut partager avec les audités
et leur hiérarchie immédiate.
Plans Ou Cahier des recommandations
d’actions (norme 2410).
Annexes
éventuelles
Figure 6.3 – Le rapport d’audit interne
Conseils Le rapport d’audit écrit

pratiques
Critères de rédaction
• OBJECTIF : basé sur des faits, impartial et hiérarchisé (mise en perspective).
• CLAIR : aisément compréhensible, logique, langage simple, étayé par suffisam-
ment d’informations.
• CONCIS (court ?) : qui va droit au fait, évite les détails. Le minimum de mots
possible.
• UTILE : constructif, aidant à la réflexion, riche en améliorations… et émis dans
un délai permettant d’agir efficacement.
Comité de lecture
Aucun rédacteur ne peut être son propre relecteur : effet produit = effet désiré ?
Présentation
Standardiser pour aider les lecteurs et renforcer l’image de l’audit interne.
Diffusion
Réfléchie et restreinte, parfois partielle.
Prévenir en début de rapport (ou dans une note d’accompagnement)

que c’est un rapport d’audit interne.
139
Le suivi des recommandations

Les destinataires des recommandations majeures identifiés dans le rap-
port d’audit (désignés en séance de validation) doivent proposer en
contrepartie un plan d’actions avec un responsable désigné et une date
cible de mise en œuvre.
Suivi des recommandations

(< 3 mois après diffusion du rapport d’audit)
Le chef de mission adresse, à l’émission du rapport définitif, aux
destinataires des recommandations, un exemplaire du cahier des recom-
mandations les concernant, sous forme de fichier informatique chiffré
pour raison de sécurité et par messagerie pour faciliter les échanges.
Dans un délai inférieur à 3 mois à compter de la date de réception du
rapport, les responsables chargés d’élaborer un plan d’actions doivent
répondre directement à la direction de l’audit afin de limiter la discus-
sion aux seules personnes informées des faits détaillés.
Les réponses doivent décrire le plan d’actions qui sera développé pour
mettre en place les solutions qui résolvent les problèmes. Elles sont for-
malisées en complétant le cahier des recommandations qui a été adressé
via fichier informatique et doivent spécifier les responsabilités et dates
de mise en place (maximum 1 an sauf exception) et inclure en annexe
les documents nécessaires (notes, procédures…).
Certaines solutions peuvent nécessiter l’intervention d’une ou
plusieurs autres fonctions. Il appartient alors aux destinataires des
recommandations d’établir une réponse coordonnée en liaison avec les
responsables des autres fonctions concernées.
L’équipe d’audit doit examiner chaque point du plan d’actions et vérifier
qu’il répond bien au problème soulevé. Les destinataires des recomman-
dations qui ont fourni un plan d’actions détaillé se voient adresser en
retour par le chef de mission, le tableau des états d’actions de progrès qui
indique, pour chaque recommandation majeure, l’action décidée pour y
répondre et l’avis de la direction de l’audit sur sa pertinence.
140
Suivi et évaluation des plans d’actions

(entre 3 et 9 mois après diffusion du rapport d’audit)
En moyenne, entre trois et neuf mois après la fin de la mission, le chef
de mission contacte ou rencontre le(s) responsable(s) audité(s) et se fait
communiquer ou présenter l’état d’avancement des plans d’actions pro-
posés en réponse aux recommandations majeures acceptées. Le tableau
des états d’actions de progrès est mis à jour d’après les éléments présentés.
Fiche de suivi d’une recommandation

Document à retourner complété au service d’audit interne au plus tard
le ………………
Rapport d’audit ………… publié le …………….
Recommandation (n°, références, texte)
Adressée
Affirmative
Engageant à l’action
Réponse établie par (nom, fonction, signature) : ………………………

Décision (cochez) : ❏ réalisée ❏ retenue ❏ à l’étude ❏ refusée
Dates prévues DESCRIPTION du PLAN D’ACTION, y compris

responsabilités
– Si mise à l’étude : raison, objectifs, responsable, date de décision
définitive
– Si refus : raison, signature du manager responsable de la décision
Cochez si votre plan d’action ne se termine pas à cette page
Acceptation du plan d’action ❏ Complet ? ❏ Exhaustif ?

(codification par l’audit interne) ❏ Permanent ? ❏ Contrôlé ?
❏ Qui ? ❏ Quoi ? ❏ Quand ?
141
Une communication est réalisée auprès des directions hiérarchiques ou

fonctionnelles concernées.
Bilan des actions de progrès

(environ 12 mois après diffusion du rapport d’audit)
La direction de l’audit évalue alors la quantité et la qualité des évolutions
intervenues et formule un avis motivé sur la prise en compte et l’effi-
cacité des actions de redressement conduites. Cet avis est formalisé sur
une fiche de clôture et adressé au responsable audité puis aux membres
du Comité Exécutif. Ceux-ci décident en retour de la suite à donner :
clôture de la mission, programmation d’un nouveau point ultérieur ou
demandes d’explications aux responsables avant clôture, post-audit ciblé
sur les éléments non résolus dans des domaines à fort enjeu.
Conseils La conclusion d’une mission d’audit interne

pratiques
Un plan d’actions
• élaboré par les audités ;
• décidé par eux avec leur hiérarchie ;
• communiqué à l’audit interne pour vérification et réaction éventuelle, et dont
la mise en œuvre est suivie.
Critères
Il doit être :
• complet (qui + quoi + quand) ;
• exhaustif (non limité aux secteurs examinés) ;
• permanent (non réapparition des problèmes) ;
• auto-contrôlé (indicateur de réapparition).
Après l’audit, ce sont les audités qui travaillent !
L’état des actions de progrès

Pour effectuer le suivi, le chargé du suivi en liaison avec la direction de
l’audit complète le tableau des recommandations établi d’après le cahier
des recommandations joint au rapport définitif.
142
L’état des actions de progrès (EAP) dans sa première version est éta-
bli sur la base du cahier des recommandations transmis à l’audité sous
forme informatisée dans laquelle il communique son plan d’actions. Il
fera l’objet d’une actualisation périodique (EAP1, EAP2…).
Les statistiques (nombre de recommandations émises – nombre de
recommandations acceptées – nombre de recommandations en place)
sont à saisir dans le tableau de reporting ; les taux de recommandations
acceptées et de recommandations en place seront calculés automatique-
ment au moment de la saisie des nombres précités.
Des suivis intermédiaires sont à programmer en intermission. Ceci
peut supposer d’exploiter les réponses des audités à distance ou d’inter-
venir sur place pour apprécier le plan d’action.
Postérieurement à la réception des plans d’action des questionnaires
ouverts sont adressés aux prescripteurs de missions et aux responsables
audités.
Ils s’inscrivent dans une démarche qualité d’amélioration continue
du processus d’audit et visent à mesurer l’apport global de la mission
d’audit. Ils permettent d’alimenter un retour d’expérience interne.
En général, les critères de mesure de la performance du service d’audit
sont dans l’ordre les taux de mise œuvre des recommandations, de réa-
lisation du plan d’audit, d’acceptation des recommandations et le délai
moyen de sortie du rapport.
Le suivi de l’impact de l’audit interne

Un des rôles de l’audit interne est d’évaluer et de promouvoir le contrôle

interne. Peu d’entreprises mesurent l’amélioration du contrôle interne
due à l’audit interne. « Toutes » suivent le nombre de missions et de
rapports, qui est certainement corrélé avec ce rôle, mais il s’agit plus d’un
indicateur d’activité que d’impact.
Alors, certains mesurent l’argent que l’audit interne fait gagner. Cela
peut être utile – besoin économique de l’entreprise ou politique de l’au-
dit interne (« on s’autofinance ») — et l’on mènera alors des missions
sur les constituants du BFR (clients, stocks, fournisseurs ou achats), la
gestion de trésorerie ou les taxes (récupération de TVA, taxe profession-
nelle…). C’est d’ailleurs l’objectif de certaines missions : audit chez un
tiers, post-acquisition…
143
ORDRE de
MISSION
2 TABLEAU
DES RISQUES

Tableau des forces
l’ORGANISATION

3 RAPPORT
D’ORIENTATION
PROGRAMME DE
VÉRIFICATION
4 Conduite des
vérifications
et FAR
5 Rédaction
OSSATURE Regroupement et mise
des conclusions en ordre des problèmes
DU RAPPORT
et validation
RÉUNION DE VALI-
PROJET DE RAPPORT
DATION vaut OK
aux seuls audités
sur constats, déductions
et formulation
RAPPORT DÉFINITIF Directions hiérarchiques,
y compris recommandations fonctionnelles, générale
6 Suivi de Évaluation Répondre à l’AI par un

la mission des réponses programme d’action
Compte rendu aux

Vous ÉTAT DES ACTIONS directions concernées
êtes ici DE PROGRÈS et au comité d’audit
144
Mais c’est dangereux : l’audit interne est une fonction de prévention,

à long terme, par la sensibilisation au contrôle interne, et se servir des
gains à court terme pour orienter les missions a un effet pervers. De plus,
sommer des réductions de risque et des gains d’efficacité est trompeur.
Si la vocation de l’audit interne est d’impulser des changements, on sui-
vra le taux de mise en œuvre des recommandations, déclarées (reporting)
ou vérifiées, à l’issue de la mission ou sous un délai (3 mois et 9 mois).
Quand il est analysé par secteur de l’entreprise, et accompagné du
suivi du taux de réponse aux recommandations (ou du délai de réponse),
ce suivi met bien en évidence la plus ou moins grande acceptation de
l’audit interne. On peut aussi l’analyser par types de recommandations
ou de sujets.
Veiller à la mise en œuvre des actions prévues

La réunion de validation et l’obtention des plans d’actions des audités
relèvent de la tactique et la demande d’amélioration d’un plan d’actions
de la politique : il faut être exigeant sans paraître perfectionniste. Le
point suivant relève de la stratégie.
En admettant qu’on ait maintenant un plan d’actions élaboré par les
audités, décidé par eux avec leur hiérarchie, et communiqué à l’audit
interne pour vérification et réaction éventuelle, qui doit être chargé du
suivi de sa mise en œuvre ?
Il est naturel que ce soit l’audit interne : c’est dans le prolongement
de sa mission, cela renforce son autorité, et c’est instructif et motivant

pour les auditeurs, mais il est plus sage que ce soit la hiérarchie :
•• cela reconnaît et renforce pédagogiquement sa responsabilité ;
•• cela libère l’audit interne d’une tâche malaisée : les auditeurs sont sur
d’autres sujets… quand ils ne sont pas partis du service !
Pour atteindre son objectif — que cela marche mieux après moi
qu’avant — le responsable de l’audit interne stratège fera en sorte que
la hiérarchie suive et pousse les améliorations, et l’en tienne informé
afin qu’il puisse réagir s’il le juge nécessaire. Et il considérera que cette
information est comme toutes celles que véhicule le reporting : proche
de la vérité, peut-être optimiste.
145
Partie 2
Chapitre 7
Les documents associés (DA)
Ce chapitre regroupe tous les documents utilisés par l’auditeur, qui

jalonnent le déroulement d’une mission. Ils sont bien évidemment
proposés à titre d’exemple et devront être adaptés en fonction des spéci-
ficités de l’activité d’audit interne concernée (taille du service, pratiques
existantes…) :
•• l’ordre de mission ;
•• le tableau des risques ;
•• le rapport d’orientation ;
•• le programme de vérifications ;
•• le tableau « Budget – Planning » ;
•• la feuille de couverture (FdC pour test, FdC pour entretien) ;
•• la feuille d’audit et de recommandations (FAR) ;
•• le projet de rapport ;
•• le rapport d’audit ;
•• la fiche de suivi des recommandations ;
•• l’état des actions de progrès ;
•• les fiches de conseils de perfectionnement post-audit
(auditeur, chef de mission) ;
•• le questionnaire de satisfaction post-audit.
146
Chapitre 7 ■ Les documents associés (DA)
Exemple d’un ordre de mission
Demandeur Selon plan d’audit

Type d’audit Selon plan d’audit
Interlocuteur Nom du chef de mission
Objet Intitulé de l’ordre de mission
Date Le :
Destinataires de l’ordre de mission
Responsable audité 1
Demandeur
Copie hiérarchie des audités
Conformément au plan d’audit de l’année 20XX/20XX, validé par la direction

générale, le service de l’audit interne a été mandaté de l’audit de/du (Nom
société ou département…).
Les objectifs généraux de cette mission sont :
Objectif 1).
Objectif 2).
Objectif N).
La mission se déroulera du au , avec une période d’intervention

sur le terrain prévue pour les semaines du au
M. XXXXX, chef de mission, prendra contact prochainement auprès de vous et
de vos principaux collaborateurs que nous vous prions d’informer.
Toute l’équipe d’audit et moi-même vous remercions par avance de votre
concours actif au bon déroulement de cet audit.
M. XXXXX, pour la direction générale, M. XXXXX, responsable de l’audit.
147
Tableau des risques

Le tableau des risques (TaRi) organise la phase d’étude et conduit à
l’élaboration du rapport d’orientation.
AUDIT DE LA FONCTION XXXXX
Le TaRi associe à une prise de connaissance du domaine à auditer défini par

l’ordre de mission une prise de conscience de ses habituels risques et opportu-
nités d’amélioration, par une décomposition du sujet de la mission en objets
auditables. Il produit en première approche le référentiel d’audit.
Il permet à l’auditeur de mener une analyse des risques en s’appuyant sur
des éléments d’appréciation identifiés par l’audit lors de la phase d’étude puis
d’orienter les travaux détaillés de vérification.
Mission assurée par :
Mission supervisée par :
148
Audit de Tableau des risques – Référentiel

Finalités Scénarios Points de contrôle Impacts/conséquences Bonnes pratiques
objectifs de CI : d’empêchements Étapes clés du CI, risques si étape clé moyens du CI,
« Être sûr que » Risques que les finalités observables défaillante/déficiente ressources
ne soient pas atteintes EeADS ↓ AaDP
(que peut-il se passer ?)
« Être sûr que telle Scénarios de risques : Points de passage obligés, Poids des conséquences : Critères de satisfaction :
finalité de l’entreprise que peut-il se passer ? concrets, observables : • ¥ € $ objets auditables :
sera atteinte, que tel objets à contrôler : • image, éthique… • Adoptées
aspect/étape du processus • Exhaustivité • adaptées
audité est sous contrôle, • exactitude • Disponibles
149
maîtrisé. » • Autorisation • Performantes
• Délai
• Suivi/effet attendu
Qu’est-ce qui peut Qu’est-ce que Quels moyens et

empêcher d’atteindre l’auditeur va contrôler méthodes auraient
la finalité ? et non : et vérifier en termes dû être mis en œuvre
Quelles conséquences si d’exhaustivité, par l’audité pour que

elle n’est pas atteinte ? exactitude, les résultats soient
autorisation, respect satisfaisants (= satisfont
des délais… les critères EeADS) ?
(critères de résultats)
Rapport d’orientation
Le rapport d’orientation définit et formalise les axes d’investigation de la
mission et ses limites : il les exprime en objectifs à atteindre par l’audit
pour le demandeur et les audités.
AUDIT DE :

Chef de mission :
Auditeur 1 :
Auditeur 2 :
Auditeur 3 :
Auditeur 4 :
RAPPEL DES OBJECTIFS GÉNÉRAUX DE LA MISSION

 Préoccupations du demandeur, objectifs à atteindre
 Bénéfices attendus des recommandations de l’audit
 Préoccupation des principaux responsables audités
ÉLÉMENTS IDENTIFIÉS LORS DE LA PHASE D’ÉTUDE

 Données chiffrées et évolution
Volumes et types de transactions traitées et chiffres clés. (Résumé)
 Caractéristiques
Caractéristiques propres à l’organisation (Résumé)
AXE DE TRAVAIL ET D’INVESTIGATIONS DE L’AUDIT

 Limites ou exclusions éventuelles du champ de l’audit
 Description des objectifs d’audit (voir tableau ci-après)
150
AUDIT DE Rapport d’orientation Rédacteur :
Objectifs d’audit retenus Analyse des risques : forces ou faiblesses

apparentes en cas de non atteinte
Critères de maîtrise du domaine de l’objectif de contrôle
ou de l’activité
Premier thème :
Premier objectif
Second objectif
Nième objectif
Deuxième thème :
Premier objectif
Second objectif
Nième objectif
Troisième thème :
Premier objectif
Second objectif
Nième objectif
Quatrième thème :
Premier objectif
Second objectif
Nième objectif
151
Programme de vérification
Le programme de vérifications est la « gamme de fabrication » à mettre
en œuvre pour atteindre les objectifs du rapport d’orientation.
C’est un document interne au service d’audit interne, destiné à défi-
nir, répartir, planifier et suivre les travaux des auditeurs par le biais des
feuilles de couverture.
AUDIT DE :
Chef de mission :
Auditeur 1 :
Auditeur 2 :
Auditeur 3 :
Auditeur 4 :
152
AUDIT DE Programme de vérification Rédacteur :
Le programme de vérification permet au chef de mission de répartir

les tâches rattachées à chaque objectif du rapport d’orientation entre
chaque auditeur durant une mission. Ce document peut être modifié
en cours de mission.
Détails du programme Date Date Réf.

Auditeur
de vérification début fin P de T
Objectif 1
(cf. Objectif 1 du rapport d’orientation)
Tâche 1 : décrire
Tâche 2
Tâche 3
Tâche 4
Tâche 5
Objectif 2
Tâche 1
Tâche 2
Tâche 3
Tâche 4
Tâche 5
Objectif 3
Tâche 1 : décrire
153
Budget – planning
Audit de : Sujet / Nom société / Date
Mois 1 Mois 2 Mois 3
S1 S2 S3 S4 S5 S6 S7 S8 S9 S10
j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5
Objectif 1
Tâche 1
Tâche 2
Tâche 3
Tâche n
Objectif 2
Tâche 1
Tâche 2
Tâche 3
154
Tâche n
Objectif 3
Tâche 1
Tâche 2
Tâche 3
Tâche n
Objectif 4
Tâche 1
Tâche 2
Tâche 3
Tâche n
Le Budget - Planning se présente sous la forme d’un diagramme de GANT. Il permet au chef de mission de répartir les tâches rattachées à chaque
objectif du rapport d’orientation entre chaque auditeur durant une mission.
Auditeur 1 Auditeur 2 Auditeur 3
Feuille de couverture de test

Feuille de couverture de test Réf : Page : /
Objectif N° 00 Date :

Tâche N° aa Auditeur :
• Objectifs du test Réf. / Commentaires
• Modalités d’exécution
• Résultats
• Conclusions Réf N° FAR
Feuille de couverture d’entretien

Feuille de couverture d’entretien Réf : Page : /
Objectif N° 00 Date :

Tâche N° aa Auditeur :
• BUT Réf./ Commentaires
• Modalités d’exécution et personnes contactées
• Plan de l’entretien
(éventuellement détaillé page suivante)
• Conclusions Réf N° FAR
155
Fiche d’audit et de recommandations

AUDIT N° Fiche d’audit et de recommandations Référence
N° (chapitre) TITRE (du problème) :

(Synthétise de manière synthétique, autonome et percutante les constats, leurs
causes et les conséquences)
Constats :
Causes :
Conséquences :
Recommandation :
N° (de la recommandation) :
Le responsable (préciser fonction) devrait Action (verbe à l’infinitif )
Établie par : Revue par : Soumise à avis de l’audité :
Date Date Date
156
Projet de rapport d’audit
Destinataires : voir liste in fine
nos réf. : AAAA/NN – RA

interlocuteur : Nom du chef de mission

objet : Rapport d’audit – projet
Précisez l’intitulé de la mission
Date :
Veuillez trouver, ci-joint, notre projet de rapport d’audit de (titre).

La mission d’audit supervisée par M. S. VISEUR a été effectuée, par M. Ch. DEMISS,
chef de mission et Mmes A. TRICE et O. DITOSSI, auditeurs.
Ce rapport sera discuté lors de la réunion de validation programmée le XX/XX/
XXXX.
L’objectif de cette réunion de travail est le suivant :
 rendre le rapport non contestable au niveau des constats, raisonnements, conclu-
sions, formulation ;
 convenir d’un destinataire pour chaque recommandation, présentée dans le projet
comme une proposition d’amélioration ;
 évoquer la note de synthèse qui viendra en tête du rapport définitif, dont l’objet
est destiné aux lecteurs qui doivent être informés mais n’ont pas à résoudre les
problèmes.
Après validation des constats et recommandations, le rapport sera diffusé confor-
mément au processus de fin d’audit décrit.
Prénom NOM
Le directeur de l’audit
Copie :
157
Rapport d’audit
Destinataires : voir liste in fine
nos réf. : AAAA/NN – RA

interlocuteur : Nom du Responsable de l’audit

objet : Rapport d’audit
Précisez l’intitulé de la mission
Date :
Veuillez trouver, ci-joint, le rapport d’audit de (titre).

La mission d’audit supervisée par M. S. VISEUR a été effectuée, par M. Ch. DEMISS,
chef de Mission et Mmes A. TRICE et O. DITOSSI, auditeurs.
Les constats et recommandations développés dans ce rapport ont été validés lors
d’une réunion effectuée le JJ/MM/20xx.
Le rapport se présente sous forme d’une note de synthèse (de couleur bleue)
suivi d’une liste de fiches détaillant les résultats de l’audit puis d’un cahier des
recommandations (en vert).
Conformément au processus rappelé en annexe du rapport, le (XXXX indiquez
le titre et la fonction de la personne chargée de coordonner les réponses au cahier des
recommandations) adressera son plan d’actions à la direction de l’audit, au plus
tard pour le JJ/MM/20XX.
Prénom NOM
Le directeur de l’audit
Copie :
158
Date d’envoi
RAPPORT D’AUDIT
TITRE DE LA MISSION
PÉRIODE D’INTERVENTION :
Ce document est un rapport d’audit qui matérialise le travail des auditeurs

effectué dans le cadre d’une mission.
Il est vivement recommandé à ses destinataires de ne pas étendre sa diffusion
car :
Il contient des informations confidentielles,
Son style peut surprendre un lecteur non averti.
Ce rapport analyse une situation, et met en évidence des dysfonctionnements
de l’organisation, en vue de développer des actions de progrès.
Les recommandations consistent à proposer la mise en place d’une amélioration
au responsable habilité à mener l’action en vue de résoudre un problème.
Document strictement interne à diffusion restreinte

Communication externe interdite
Reproduction soumise à autorisation
Équipe d’audit
Directeur de l’audit : Nom Prénom

Chef de mission : Nom Prénom
Auditeurs : Nom Prénom, Nom Prénom, Nom Prénom
Chargé du suivi post-audit Nom Prénom
à la direction de l’audit
Réunion de validation
Participants
Date
Nom Prénom Fonction
159
Rédaction – validation
Chef de mission Responsable de l’audit Responsable des audités
Date Visa Date Visa Date Visa
Diffusion
Destinataires de l’original Destinataires de copie

Nom Prénom
(responsable
Fonction Nb Nom Prénom Fonction Nb
de l’élaboration
du plan d’actions)
SOMMAIRE
1. Synthèse
2. Introduction descriptive
A) Champ de l’audit
B) Déroulement de la mission
C) Rappel des objectifs de la mission
D) Éléments identifiés lors de la phase d’étude
3. Fiches d’audit et de recommandations
N° 1 – Titre
N° 2 – Titre
N° 3 – Titre
4. Synthèse et hiérarchisation des recommandations
5. Suivi des recommandations
6. Annexes
160
1. Synthèse
2. Introduction descriptive
A) Champ de l’audit
Durant la période de JJ Mois Année à JJ Mois Année,
nous avons effectué un audit interne à l’entité X,
Localisation, Région. Un plan d’actions concernant
la mise en recommandations est joint en annexe au
présent rapport.
Notre audit inclut les processus suivants :
 Xxx  Xxx
 Xxx  Xxx
 Xxx  Xxx
 Xxx  Xxx
B) Déroulement de la mission
C) Rappel des objectifs de la mission
D) Éléments identifiés lors de la phase d’étude
161
3. Fiches d’audit
et de recommandations
N° 1 – Titre
Constat :
Cause :
Conséquences :
Recommandations :
Le (fonction) doit (ou devra) :
4. Synthèse et hiérarchisation
des recommandations
Ce chapitre doit présenter, dans une forme visuelle appro-

priée, l’ensemble des recommandations hiérarchisées.
R1
R2
R3
Rn
162
5. Suivi des recommandations
R1
Recommandation réalisée retenue ✘ à l’étude refusée

Commentaires/
dates prévues :
R2
Recommandation réalisée retenue à l’étude ✘ refusée

Commentaires/
dates prévues :
R3
Recommandation réalisée ✘ retenue à l’étude refusée

Commentaires/
dates prévues :
Rn
Recommandation réalisée retenue à l’étude refusée ✘

Commentaires/
dates prévues :
163
Fiche de suivi des recommandations
R1 : en liaison avec (fonction) :

Élaborer
Suite donnée : action réalisée action retenue

action à l’étude action refusée
Réponse établie par (nom, fonction, date) :
Description du plan d’action y compris responsabilités et dates prévues :

Raison, objectifs, responsabilités, date de décision définitive en cas de mise
à l’étude.
Raison, engagement du manager assumant les conséquences en cas de refus.
Avis de la direction de l’audit :

Avis motivé sur le plan d’action et éléments probants demandés si souhaités
164
État des actions de progrès

L’état des actions de progrès permet de rendre compte régulièrement
des suites données aux Recommandations formulées par l’audit et des
résultats obtenus par les actions correctives des audités.
Les plans d’actions sont définis par les audités : c’est leur responsabi-
lité. La responsabilité de l’audit interne est d’obtenir ces plans d’actions
et d’évaluer s’ils répondent aux problèmes relevés.
Rapport d’audit publié le (date du rapport définitif)
ÉTAT DES ACTIONS DE PROGRÈS

Réponses dues le (préciser la date attendue pour le retour des fiches)
Suivi au (date du suivi)
Chef de mission :
Auditeur 1 :
Auditeur 2 :
Auditeur 3 :
Auditeur 4 :
165
Rappel des éléments de recommandations issus du rapport d’audit Suivi du plan d’action
publié le (JJ/MM/AA) au (JJ/MM/AA)
Numéro et Responsable Date Recommanda- Date mise Recomman- Avis de Recom Date
descriptif de de la mise de réponse tion acceptée en place dation refusée la direction mandation mise en place
la recomman- en œuvre des audités (précision) prévue (motif évoqué) de l’audit sur en place Oui/ réalisée
dation les actions Non
proposées
166
Nombre Nombre Nombre

de recom- recomman- recommanda-
mandations dations tions en place
émises acceptées =
= = Taux de
Taux de recommanda-
recomman- tions en place
dations =%
acceptées
=%
Fiche de conseils de perfectionnement post-audit

Fonction : auditeurs
Renseignement auprès de :
NOM : Prénoms :
Date d’entrée à : Date d’entrée dans la fonction audit :
Formation initiale :
Titre et numéro de la mission d’audit :
Période de l’audit : Lieu :
Caractéristiques des sections d’audit confiées =
Légende : Complexe/Normal/Facile
Rappel des conseils de perfectionnement indiqués lors des précédentes missions :
Indiquez par un signe l’appréciation portée : ➚ à améliorer ➙ maintenir

Tête :  qualité du travail d’audit :
 connaissances techniques :
 compréhension des problèmes :
 capacité de synthèse :
 méthode et sens de l’organisation :
Sécurité :  respect des règles et instructions :
 fiabilité :
 qualité des papiers de travail (clarté, soin, référencement…) :
Sourire :  sens de la convivialité :
 esprit d’équipe :
 attitude professionnelle :
 capacité de travail sous pression :
Cœur :  adaptabilité :
 créativité :
 qualité relationnelle :
 maturité :
Main :  implication personnelle :
 prise d’initiative :
 sens du management :
 capacité de réalisation :
Jambes :  dynamisme :
 mobilité :
 connaissances du groupe :
☞
167
☞
Principales compétences du collaborateur :
contribuant à le faire apprécier dans sa fonction actuelle :
à développer pour accroître son efficacité :
Remarques éventuelles de l’intéressé :
Date de l’entretien :
Réalisé par :
Transmis au directeur de l’audit le :
Fonction : chef de mission

Renseignement auprès de :
NOM : Prénoms :
Date d’entrée à : Date d’entrée dans la fonction audit :
Formation initiale :
Titre et numéro de la mission d’audit :
Période de l’audit : Lieu :
Caractéristiques des sections d’audit confiées =
Légende : Complexe/Normal/Facile
Rappel des conseils de perfectionnement indiqués lors des précédentes
missions :
☞
168
☞
Indiquez par un signe l’appréciation portée : ➚ à améliorer ➙ maintenir
Direction :  diriger la phase d’étude :
 planifier et répartir le travail terrain :
 assurer son avancement section par section :
 organiser l’achèvement de la mission :
 méthode et sens de l’organisation :
Expertise :  connaissances et application des techniques d’audit :
 connaissances et application des référentiels d’entreprises :
 caractère complet et explicite des objectifs,
conclusions et explications :
 qualité de la synthèse du rapport :
Encadrement :  faire appliquer la méthodologie et contrôler
la qualité du travail :
 garantir le renseignement de la base mission :
 animer l’équipe, former et évaluer les auditeurs :
 capacité à faire travailler sous pression :
Représen  aptitude à communiquer les problèmes
tation : de façon sélective et rapide :
 attitude professionnelle :
 capacité de discussion des rapports :
 qualité relationnelle :
 maturité :
Performances :  implication personnelle :
 prise d’initiative :
 sens du management :
 dynamisme
Principales compétences du collaborateur :
 contribuant à le faire apprécier dans sa fonction actuelle :
 à développer pour accroître son efficacité :
Remarques éventuelles de l’intéressé :
Date de l’entretien :
Réalisé par :
Transmis au directeur de l’audit le :
169
Questionnaire de satisfaction post-audit
AUDIT DE :
OBJECTIF
L’évaluation des missions par les fonctions auditées s’inscrit dans une démarche
qualité d’amélioration continue du processus de l’audit :
• entretenir le dialogue avec les audités ;
• mesurer l’apport global de la mission d’audit ;
• améliorer les méthodes d’audit ;
• apprécier le comportement des auditeurs.
DÉLAI
Le questionnaire est adressé après obtention du premier plan d’action reçu des
audités.
Merci de bien vouloir nous faire parvenir vos remarques sous huitaine.
« Veuillez trouver ci-après un questionnaire d’évaluation de la mission

qui s’est déroulée sur votre site pendant
Ce questionnaire est à usage interne et s’inscrit dans une démarche qualité
d’amélioration continue de la satisfaction des clients de l’audit interne. Nous
vous demandons de bien vouloir y répondre en toute objectivité et nous le
retourner dans les meilleurs délais ».
Mission N° : Titre de l’audit :

Nom : Fonction : Date :
Pourquoi –
Liste des questions Oui Non
comment ?
Lancement de la mission
1 Lettre de mission : avez-vous été informé de la
mission dans des délais satisfaisants (sinon quel
délai vous semble souhaitable) ?
☞
170
☞
Pourquoi –
comment ?
2 Les auditeurs vous ont-ils expliqué le rôle et
l’activité de la Direction de l’audit ?
3 Vous ont-ils expliqué les objectifs de la mission ?
4 Aviez-vous formulé des demandes
complémentaires qui n’ont pas été prises en
compte et si oui, lesquelles ?
5 Vous ont-ils expliqué comment la mission allait
se dérouler, ce qu’ils allaient faire et ce que vous
auriez à faire ?
6 Ces présentations vous ont-elles semblé utiles ?
Déroulement de la mission
7 Le déroulement des interviews et des tests vous
ont-ils paru satisfaisants (sinon pourquoi) ?
8 Les auditeurs avaient-ils une bonne connaissance
des caractéristiques de votre unité ou de la
fonction auditée ?
9 Les conclusions de la phase d’étude —
analyse rapide de votre organisation et de son
fonctionnement, détermination des points forts
et des points faibles apparents — vous ont-elles
été présentées (cf. rapport d’orientation) ?
10 Les informations recueillies et les vérifications
effectuées ont-elles été traitées de manière
convaincante ?
11 Les audités ont-ils été informés en cours de
mission des points relevés par les auditeurs ?
12 Les audités ont-ils pu exprimer leur position et
leurs arguments sur les constats des auditeurs ?
13 Les audités ont-ils été associés à la recherche de
solutions ?
14 La mission s’est-elle déroulée sans trop perturber
le fonctionnement des services audités (sinon
pourquoi) ?
Avez-vous des suggestions à émettre quant au
15
comportement des auditeurs ?
☞
171
☞
Pourquoi –
comment ?
Conclusion de la mission
Avez-vous eu une restitution orale des
16 principaux constats relevés par l’audit, juste
avant le départ ?
Avez-vous pu vous prononcer sur le projet de
17
rapport avant l’émission du rapport définitif ?
Vos éventuelles divergences ont-elles été
18 prises en compte dans le rapport définitif
(modification ou annotation) ?
Le délai d’émission du projet de rapport est-il
19 satisfaisant (sinon quel délai vous semble-t-il
souhaitable) ?
Le délai annoncé d’émission du rapport définitif
20
a-t-il été respecté ?
Les recommandations sont-elles pertinentes
21
(sinon précisez) ?
La forme des rapports vous semble-t-elle efficace
22
(structure, présentation, longueur) ?
La mission vous a-t-elle apporté une meilleure
23 connaissance des pratiques en vigueur dans votre
entité ?
Une meilleure connaissance des dispositifs de
24
contrôle ?
25 Vous a-t-elle révélé des problèmes significatifs ?
A-t-elle confirmé des difficultés en les cernant
26 avec suffisamment de précision pour vous
permettre d’agir ?
Commentaires sur l’apport global de la mission d’audit interne :
Avez-vous d’autres remarques à faire et propositions à formuler pour les missions

futures, chez vous ou ailleurs ?
L’équipe d’audit et la direction de l’audit vous remercient de votre participation
172
Partie 3
Les outils de l’audit

C h a p i t r e 8
Les techniques d’audit (TA)
P
armi les techniques d’audit les plus utilisées et sans que cela constitue
une présentation exhaustive, nous avons identifié onze pratiques,
outils à la disposition de l’auditeur :
•• l’analyse économique et financière ;
•• les volumes et types de transactions ;
•• les observations physiques ;
•• les diagrammes de circulation des documents (flow chart) ;
•• les interviews ;
•• la grille de séparation des tâches ;
•• les questionnaires (QCM et QO) ;
•• la piste d’audit ;
•• les rapprochements et reconstitutions ;
•• l’interrogation des fichiers informatiques ;
•• les sondages statistiques.
Pour chacun de ces outils une première fiche standardisée répondra
aux questions suivantes :
•• à quoi ça sert ?
•• quand l’utilise-t-on ?
•• comment l’utilise-t-on et qui l’utilise ?
•• les avantages/inconvénients, limites de l’outil.
175
Pour certains outils, une page de commentaires apportera des com-

pléments d’informations et/ou des exemples afin d’en guider la mise en
œuvre.
L’analyse économique et financière
À quoi ça sert ?
L’analyse économique et financière est un ensemble de travaux prélimi-
naires d’analyse sur les données chiffrées (principalement monétaires)
de la fonction ou entité auditée, qui permet de :
•• situer l’entité auditée et comprendre son évolution et son contexte ;
•• situer l’importance du sujet demandé par le commanditaire à l’audit
(enjeux et rôle stratégique pour l’organisation de tutelle) ;
•• situer les ordres de grandeur, connaître les chiffres significatifs, déter-
miner les seuils de matérialité.
Elle peut permettre de détecter certains risques globaux : ratios finan-
ciers et/ou évolutions préoccupantes.
Quand l’utilise-t-on ?
L’analyse économique et financière est une technique utilisée en phase
d’étude (initialisation de la mission et examen de l’activité et élaboration
d’un référentiel de risques).
Comment l’utilise-t-on et qui l’utilise ?

Pour une entité on se préoccupera plus particulièrement de :
•• l’analyse financière sur 3 à 5 ans ;
•• l’étude des budgets N et N + 1 ;
•• l’analyse des plans de financement et besoins en fonds de roulement ;
•• le calcul du taux de rotation des stocks ;
176
Chapitre 8 ■ Les techniques d’audit (TA)
•• l’analyse ABC des clients et des fournisseurs ;

•• l’analyse de rentabilité.
Pour un processus ou une fonction :
•• fonction commerciale ou achats : nombre d’offres (ou de consulta-
tions) établies, et/ou ayant fait l’objet d’une commande ;
•• gestion de la production : nombre de lancements en fabrication par
rapport au nombre de commandes clients, indicateurs de perfor-
mance et de service ;
•• flux administratifs : volume et types de transactions.
Avantages/inconvénients (limites) de l’outil

L’analyse économique et financière permet d’apprécier les enjeux
financiers et stratégiques des différents aspects de la thématique auditée
(groupe, filiales, agences, usines, processus…). L’auditeur peut ainsi
orienter ses travaux vers les éléments les plus significatifs en accord avec
les attentes du demandeur.
La nature et le nombre d’indicateurs et de rations étant inépuisable,
l’auditeur doit veiller à ne se préoccuper que de ceux pertinents au regard
de la problématique auditée. L’exploitation de ces données est d’autant
plus intéressante si elles peuvent être comparées avec les mêmes valeurs
d’autres entités semblables (autres filiales du groupe, autres agences…).
Les volumes et types de transactions

À quoi ça sert ?
L’approche par les volumes et types de transactions permet de situer
les enjeux du sujet audité par l’analyse de données statistiques (globales,
non comptables, exprimées souvent par des quantités et non des valeurs
monétaires).
Il s’agit par exemple du nombre de commandes fournisseurs, factures
clients, articles en stock, transactions informatiques, écritures comp-
tables…
177
Ou encore des ratios : nombre de commandes par personne, taille

moyenne d’une commande, nombre d’avoirs par facture…
Alors que l’analyse économique et financière quantifie l’entité ou la
fonction auditée, l’approche « Volumes et types de transactions » quan-
tifie son organisation. Par exemple, un même chiffre d’affaires peut être
réalisé avec « beaucoup de petites commandes » ou avec « un nombre
limité de grosses affaires ». Les deux organisations concernées seront très
différentes (effectifs, systèmes d’informations…), ainsi que les risques
associés. L’audit doit évidemment tenir compte des spécificités organi-
sationnelles du domaine audité.
Comme pour l’analyse économique et financière, l’approche « Volumes
et types de transactions » est utilisée en phase d’étude (initialisation
de la mission et examen de l’activité et élaboration d’un référentiel de
risques).

L’auditeur peut utiliser diverses méthodes :
•• Les comparaisons : chronologiques (évolution d’une donnée au fil du
temps), synoptiques (entre entités semblables d’une même organisa-
tion ou entre organisations d’un même secteur d’activité) ;
•• Les corrélations : étude des grandeurs observées qui ont un lien de
dépendance logique.
Cette technique d’audit permet à l’auditeur de repérer :
•• des variations anormales (soudaines et de forte amplitude) ;
•• des différences significatives entre entités et/ou organisations com-
parées ;
•• des évolutions contraires aux tendances observées dans le domaine.
Ces approches ne font que révéler le phénomène, les anomalies
constatées devront être explicitées dans la suite de la mission.
178

Les sources d’informations nécessaires aux comparaisons ne sont pas
toujours connues et disponibles pour les auditeurs. Par ailleurs s’agis-
sant principalement des données extra-comptables, l’auditeur doit rester
prudent et s’assurer de leur fiabilité.
Enfin il est nécessaire de définir des seuils de signification au-delà
desquels une évolution sera qualifiée d’anormale.
Les observations physiques

À quoi ça sert ?
L’observation physique est la constatation de la réalité instantanée de
l’existence et du fonctionnement d’un phénomène (en audit on obser-
vera un processus, une transaction, un site, un bien, des documents,
des comportements…). L’auditeur qui observe attentivement soulève
souvent des problèmes qui ne sont pas connus, ou qui ne peuvent être
déduits de l’analyse de l’information écrite. L’observation est aussi une
source riche d’exemples spécifiques qui sont utiles à l’illustration des
conclusions générales.
L’observation physique est pratiquée par les auditeurs internes lors de la

phase de lancement de la mission afin de bien appréhender le contexte
audité et en phase de vérification afin éventuellement d’obtenir des
preuves probantes de faiblesses avérées.
Par exemple en phase de lancement, il peut être intéressant, à la fin
d’un entretien dans lequel une procédure a été décrite, d’essayer de
résumer sa compréhension en demandant à l’interlocuteur de prendre
un exemple et d’en suivre le cheminement. De la même manière, une
visite de l’entité auditée est très souvent significative de l’environnement
dans lequel se déroulent les activités. Des éléments tels que la propreté
et le rangement des aires de production, la signalétique des bureaux, le
179
signalement, la protection des zones sensibles (sécurité des personnes,

confidentialité des informations)… sont autant des signes précurseurs
de la qualité du management de l’entité.

L’observation physique doit être pratiquée par l’ensemble des auditeurs,
de l’auditeur junior jusqu’au chef de mission. Afin de bien pratiquer les
observations physiques et surtout de pouvoir se servir des résultats dans
la suite de la mission, il est important de les noter et les sauvegarder dans
l’instant. Si rien n’est marqué après une observation intéressante, on
retombe dans les aléas de la mémoire et on enlève de la force probante
à l’observation. Plus l’enregistrement formel d’une observation tardera,
plus on affaiblira la solidité du constat.
La seconde bonne pratique de l’observation physique consiste à obser-
ver à plusieurs personnes. Cela a pour but d’éliminer la subjectivité de
l’observation qui subsiste toujours. C’est pourquoi en théorie les audi-
teurs devraient marcher, et surtout, observer par deux.
L’observation peut aussi être indirecte. Il s’agit de vérifier l’existence
d’un élément (un bien, une relation contractuelle avec un tiers…) soit
par la consultation directe des documents (authentiques au sens juri-
dique) qui en attestent, soit par correspondance avec les tiers concernés
(circularisation des clients, lettre de confirmation de banque, certificat
de conservation des hypothèques…).

L’observation physique est bien évidemment la technique qui présente
les garanties les plus solides : Il n’est rien de plus fiable que le phénomène
observé directement par l’auditeur interne.
Cependant cette technique d’audit n’est pas universelle :
•• elle n’est pas toujours possible (nécessité de disposer de connaissances
techniques spécifiques hors du champ de compétence de l’auditeur,
lieu de l’observation inapproprié, période de l’observation incompa-
tible avec le planning de la mission…) ;
•• une observation physique faite sur un élément donné et à un instant
donné ne permet pas généraliser le constat à toute une population.
180
Les diagrammes de circulation des documents

À quoi ça sert ?
Le diagramme de circulation des documents ou flow chart est une repré-
sentation graphique décrivant la suite des opérations réalisées dans le
cadre d’un processus. La nature des tâches et contrôles effectués, les
documents et supports utilisés, les outils pratiqués sont représentés par
des symboles reliés les uns aux autres pour chaque acteur du processus.
Le diagramme permet de visualiser de manière globale le cheminement
des informations ce qui facilite l’analyse du processus étudié. Son éla-
boration par les auditeurs permet :
•• de mieux cerner la procédure dans ses détails ;
•• de donner une vue complète de l’enchaînement des opérations ;
•• de vérifier la cohérence, la validité et l’efficacité des dispositifs de
contrôle interne ;
•• d’en dégager les forces et les faiblesses.
Le diagramme de circulation n’est pas seulement un outil de descrip-
tion mais aussi un outil de pré-analyse.
Le diagramme de circulation est un moyen efficace pour connaître et
comprendre l’organisation des processus étudiés ainsi que les points de
contrôle existants dans le cadre des procédures en vigueur.
En matière de démarche d’audit, il permet de mettre plus particuliè-
rement en évidence :
•• des lourdeurs administratives dans le traitement de l’information
(cheminement complexe des documents, double archivage ou archi-

vage inutile) ;
•• des redondances dans les contrôles réalisés (contrôles similaires réali-
sés par deux services différents) ;
•• des concentrations excessives de tâches réalisées au sein d’un même
service (non-respect du principe de séparation des fonctions).
L’auditeur utilise cet outil lors de la prise de connaissance du domaine
audité (phase de lancement de la mission sur site). À ce niveau de la
181
phase d’étude, schématiser le processus sous forme de diagramme lui

permet ainsi de comprendre facilement et rapidement le fonctionne-
ment du processus concerné.
Indépendamment d’une mission d’audit interne, cet outil peut aussi
être utilisé lors de la formalisation d’une procédure au sein de l’organi-
sation (qu’il s’agisse de procédures de contrôle interne, de procédures
exigées dans le cadre d’un système de management de la qualité conforme
aux normes ISO 9001, ou de tout autre système documentaire).

L’élaboration d’un diagramme de circulation est essentiellement basée
sur l’interview des audités ou sur la base des procédures écrites exis-
tantes. Cet outil à la disposition de l’auditeur doit faire ressortir de
manière claire et précise :
•• la nature des opérations réalisées et les intervenants concernés ;
•• Les documents utilisés (nombre d’exemplaires, destinataires respec-
tifs). L’auditeur doit se procurer une copie de chaque document utilisé
afin d’illustrer le diagramme de circulation ;
•• Les modes de classement (archivage physique, support informatique…).

L’élaboration d’un diagramme de circulation facilite la découverte du
domaine audité. Il permet également de mettre en évidence les faiblesses
du contrôle interne. Il constitue par ailleurs un outil de communication
pour l’auditeur lors de sa validation par les audités en lui garantissant
une bonne compréhension du processus audité. Il peut enfin constituer
une valeur ajoutée supplémentaire à la mission d’audit.
Cependant cette technique d’audit nécessite un minimum de forma-
tion et de pratique. Des logiciels dédiés facilitent grandement la mise
en œuvre de cet outil.
Des notes complémentaires sont souvent nécessaires à l’appui d’un dia-
gramme de circulation pour expliciter la symbolique utilisée.
182
Les diagrammes de circulation des documents

(exemple de symbolisation)
1. Les supports d’information
Document individuel (à préciser). L’émission, la
Nom du Nom du
document création d’un nouveau document est symbolisée document
en épaississant les contours du cadre.
N3 Document pré numéroté en liasse. Le nombre N3

d’exemplaires est indiqué en haut à droite.
Nom Registre d’information permanente : cahier,

du répertoire, carnet, fiche…
registre
Fichier informatique, base de données…

(à préciser).
Listing informatique.
2. Les flux et autres indications
Point de départ d’un circuit, placé au dessus ou

à côté du document initial.
La ligne verticale symbolise le document

individuel concerné par la routine et évite
de répéter sur une même page le symbole
préalablement utilisé.
La ligne horizontale indique la circulation
physique d’un document d’un centre de
responsabilité (ou service) à un autre centre
de responsabilité (ou service).
Circulation d’information, par opposition à
circulation physique d’un document.
Entrée physique d’un document dans
l’organisation. Origine à préciser.
☞
183
☞
2. Les flux et autres indications (suite)
Sortie physique d’un document de
l’organisation. Destination à préciser.
Renvoi à une autre page ou un autre flow chart,

portant la référence à cette page, indiquant ainsi
que le flux analysé se poursuit sur une autre page.
Reprise sur un flow chart d’un flux de document

décrit sur une autre page, indiquant que le flux
analysé a commencé ailleurs et portant référence
à cette page.
3 Les opérations
Opération de vérification effectuée entre deux
documents (préciser la nature de la vérification).
Simple opération de vérification effectuée sur un

document (préciser la nature de la vérification).
Traitement informatique des données (Préciser

les traitements réalisés).
Destruction du document.
Tri, classement ou archivage provisoire

d’un document, en précisant :
A – Alphabétique
C – Chronologique
N – Numérique
Tri, classement ou archivage définitif
d’un document, en précisant :
A – Alphabétique
C – Chronologique
N – Numérique
Non Représente une alternative importante qui

mérite d’être décrite dans le flow chart (préciser
l’alternative). Les interviews (entretiens)
Oui
184
Les interviews
À quoi ça sert ?
L’interview est plus qu’un entretien, elle permet à l’auditeur d’appréhen-
der les différents processus de l’organisation en posant des questions aux
personnes impliquées dans le domaine audité. Il peut ainsi recueillir de
l’information afin de comprendre, pour chaque opération réalisée : les
objectifs poursuivis, la nature des tâches exécutées, les documents uti-
lisés, les difficultés rencontrées et ainsi identifier les risques potentiels.
Elle apportera une plus-value à la collecte des informations factuelles en
termes d’éléments d’analyse et de jugement. L’interview pourra servir
aussi dans certains cas pour délimiter le champ et les objectifs.
Éventuellement lors de la phase d’initialisation de la mission d’audit
afin d’établir le projet d’ordre de mission : il s’agit de se faire préciser,
si nécessaire, dans le cadre d’entretiens avec les commanditaires leurs
attentes et préoccupations particulières.
Lors de la phase de lancement de la mission sur site afin de com-
prendre le domaine audité et d’identifier les faiblesses potentielles de
contrôle interne.

Une interview : AVANT « ça se prépare », PENDANT « ça se maî-
trise », APRÈS « ça s’exploite ». En complément du guide on retiendra
les points essentiels suivants.
➤➤ Avant
Préparer sa thématique en établissant un guide ou canevas d’entretien
(thèmes à aborder, documents à récupérer, points à détailler au regard
des préoccupations du commanditaire de la mission…)
185
➤➤ Pendant
Maîtriser le déroulement de l’entretien n’est pas chose facile. Il faut
tout à la fois : poser des questions en gardant le fil conducteur du guide
préalablement établi, noter les réponses et remarques des audités, récu-
pérer les documents complémentaires tout en conservant l’attention de
l’interviewé afin qu’il ne s’égare pas dans de futiles considérations, des
discours dithyrambiques ou encore ne s’épanche pas trop sur ces « états
d’âme » (éviter le cahier de doléance).
Cet exercice est par ailleurs à réaliser avec un souci de l’exhaustivité et
du détail des informations recueillies et dans un temps imparti. Si l’on
n’a pas couvert l’ensemble des points prévus à l’ordre du jour, on ne
pourra pas nécessaire reprogrammé un second rendez-vous.
➤➤ Après
Exercice fastidieux et obscur mais absolument nécessaire, le compte
rendu d’entretien. Même si à titre personnel l’auditeur « qui pense avoir
tout dans sa tête » n’en voit pas toujours l’intérêt, c’est indispensable.
Une mission d’audit est un travail d’équipe. À moins que l’équipe com-
plète participe ensemble à toutes les interviews (irréaliste compte tenu
de la contrainte de temps), les comptes rendus écrits servent à partager
l’information au sein de l’équipe. Par « un entretien c’est bien, trois
entretiens bonjour les dégâts » Même très professionnel et expérimenté,
l’enchaînement de plusieurs entretiens ne permet pas de se rappeler de
tout. La formalisation est une garantie de ne rien oublier.

La rencontre directe avec les audités permet à l’auditeur de se forger une
première opinion sur le niveau de risque. De plus l’audité est ainsi impliqué
dans la démarche d’audit, il adhérera d’autant plus facilement aux recom-
mandations ultérieures qu’il aura le sentiment d’en avoir été un acteur.
Cependant, le bon déroulement de l’interview et donc l’intérêt de
cette technique sont basés sur le climat de confiance ou de méfiance
qui s’installe entre l’auditeur et l’audité. L’interviewer peut éventuelle-
ment être trompé par l’interviewé ou ne disposer que d’une partie des
informations qui peuvent par ailleurs ne pas être considérées comme
des preuves tangibles et donc réfutables par les audités.
186
– Définition du contenu et de la population concernée

AVANT – Choix du/des interviewés, rôle des participants
– Désignation de l’auditeur organisateur
– Organisation : date, lieu, durée
– Préparation : informations, guide
Au début – Se présenter
– Rappeler les objectifs, thèmes, documents demandés
– Organiser le temps
Au niveau des tâches à réaliser :

– Veiller à l’atteinte des objectifs
– Noter les réponses, relever les idées
– Suivre UNE idée, préparer les enchaînements
– Laisser l’interviewé s’exprimer (sauf excès)
– Écouter, orienter, ne pas porter de jugement
– Enchaînements concrets des opérations
PENDANT En cours – Noter les ordres d e grandeur, acteurs, liaisons
– Recouper
Au niveau du relationnel :
– Prise de parole, temps de réflexion/d’analyse
– Comprendre, éliminer particularités
embrouillantes
– Identifier objectifs cachés (réponses évasives,
à côté …
En fin
– Reformuler les points abordés

– Indiquer les besoins complémentaires et les suites
– « Merci, au revoir »
APRÈS
– Établir le compte rendu dans les plus brefs délais
– En tirer la synthèse (conclusions, réorientations)
– Analyser, recouper : à confirmer, à préciser, à suivre
Figure 8.1 – Schéma d’une interview
187
La grille de séparation des tâches
À quoi ça sert ?
La grille de séparation des tâches permet de comprendre par rapport
à la chronologie des opérations réalisées dans un processus ou une
fonction, la répartition des responsabilités entre les différents acteurs
à un instant donnée. L’auditeur établit cette grille (ou l’exploite si elle
existe par ailleurs) afin de s’assurer du respect d’un principe de base
du contrôle interne : « La séparation des fonctions ». En effet toute
organisation doit veiller à séparer les responsabilités « de détention/
manipulation », « d’enregistrement » et « d’approbation/décision » sans
quoi elle s’expose à un risque majeur au niveau de ses actifs si des collu-
sions s’instaurent entre les acteurs. Grâce à cette grille l’auditeur vérifie
qu’il n’y a pas cumul de fonctions sur un même acteur ou un groupe
restreint d’entre eux. Cet outil met aussi en évidence des éventuelles
anomalies concernant la répartition de la charge de travail entre les
différents intervenants.
Principalement lors de la phase de conduite des vérifications afin de
rechercher les preuves de faiblesses du contrôle interne en la matière.

Une grille peut être conçue pour chaque grand processus ou fonction
de l’organisation. Dans une première colonne sont listées les différentes
tâches du processus concerné. Une deuxième colonne indique la nature
de la tâche au regard des grandes catégories de responsabilités en principe
inconciliables entre elles. Les colonnes suivantes indiquent les personnes
en charge des différentes étapes.
L’analyse par colonnes permet de découvrir une personne qui effectue
plusieurs tâches et la compatibilité entre ces différentes tâches.
188
L’analyse par lignes permet de découvrir une tache effectuée plusieurs

fois ou non réalisée.
La grille d’analyse des tâches peut également être utilisée par les orga-
nisateurs pour mesurer le travail de chacun.

La grille d’analyse de tâches est relativement simple à élaborer (en
fonction de l’importance du processus étudié et de sa complexité).
Elle constitue pour l’auditeur un outil d’appréciation du principe de
séparation des fonctions incontournable. Dans la phase de conclusion
l’auditeur peut également l’utiliser pour fonder ses recommandations
concernant une meilleure utilisation des moyens humains disponibles.
Indépendamment d’une mission d’audit cet outil peut être généralisé
dans le cadre d’une démarche de réorganisation plus globale.
Cependant la grille d’analyse des tâches a ses limites :
•• elle reflète une situation organisationnelle à un instant donné (aspect
statique de l’outil) ;
•• lorsqu’elle a été établie à la suite d’interviews avec les audités, il est
nécessaire de vérifier sur le « terrain » qu’elle correspond effectivement
à la réalité ;
•• le principe de séparation des fonctions doit être appréhendé en tenant
compte des contraintes liées aux effectifs disponibles dans les services
concernés (notamment dans les organisations de taille modeste). Une

recommandation d’audit qui conduirait à un doublement des effectifs
afin de respecter scrupuleusement ce principe constituerait proba-
blement une aberration. Dans ce cas de figure, d’autres dispositifs
de contrôle interne sont envisageables (exemple : renforcement de la
supervision).
189
Exemples de grille de séparation des tâches
Processus : ACHATS
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Demandeurs d’achats
2 Appels d’offres
3 Établissement des commandes
4 Autorisation des commandes
5 Réception (contrôle quantité
et qualité)
6 Rapprochement commande/
réception/facture
7 Contrôle du calcul des factures
8 Bon à payer
9 Tenue du journal des achats
10 Liste des bons de réception sans
facture
11 Tenue des comptes fournisseurs
12 Rapprochement des relevés
fournisseurs avec les comptes
13 Rapprochement de la balance
fournisseur avec le compte collectif
14 Émission des chèques
15 Signature des chèques
16 Envoi des chèques
17 Acceptations des traites
18 Tenue du journal des effets à payer
19 Tenue du journal de trésorerie
20 Approbation des retours
21 Contrôle du calcul des avoirs
22 Accès à la comptabilité générale
…
190
Processus : VENTES
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Réception des commandes
2 Examen de la solvabilité des clients
3 Établissement des commandes
4 Expédition
5 Facturation
6 Rapprochement commandes/
expédition/facture
7 Contrôle du calcul des factures
8 Tenue du journal de ventes
9 Vérification de la continuité des
numéros des factures comptabilisées
10 Liste des bons d’expédition non
facturés
11 Tenue des comptes clients
12 Établissement des relevés clients
13 Rapprochement des relevés clients
avec les comptes
14 Établissement de la balance clients
par ancienneté
15 Relance des clients
16 Rapprochement de la balance
clients avec le compte collectif

17 Relevé des chèques reçus au courrier
18 Détention des effets à recevoir
19 Tenue du journal des effets à
recevoir
20 Tenue du journal de trésorerie
21 Approbation des avoirs
22 Établissement des avoirs
23 Contrôle du calcul des avoirs
…
191
Processus : GESTION des STOCKS

Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Gestion du magasin
2 Réception
3 Expédition
4 Tenue de l’inventaire permanent
5 Responsabilité de l’inventaire
physique
6 Rapprochement inventaire
physique/inventaire permanent
7 Responsabilité de l’évaluation
des stocks
8 Rapport sur les stocks à déprécier
9 Autorisation de cession des stocks
dépréciés
…
Processus : PAIE
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Approbation des entrées ou sorties
de personnel
2 Détermination des conditions
de rémunération
3 Autorisation des primes
4 Approbation des temps de
présence
5 Autorisation d’acomptes ou
avances
6 Préparation de la paie
7 Vérification du calcul de la paie
8 Signature des titres de paiement
☞
192
☞
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
9 Tenue du journal de paie
10 Détention des dossiers individuels
du personnel
11 Comparaison par sondage du
journal de paie avec les dossiers
individuels
12 Établissement des états de
rapprochement du compte
bancaire réservé aux salaires
13 Contrôle des comptes de
personnel et des charges
…
Les questionnaires
À quoi ça sert ?
Un questionnaire est une liste de questions auxquelles on doit répondre
par écrit. Les réponses sont généralement reportées par l’auditeur, on
parle alors d’« administration indirecte », mais il arrive que l’interrogé

remplisse lui-même le questionnaire, on parle dans ce cas d’« adminis-
tration directe ».
On peut classer les questionnaires en deux grandes catégories : d’une
part les questionnaires à choix multiples (QCM) où le choix des réponses
est limité, d’autre part les questionnaires ouverts (QO), où le choix des
réponses est illimité.
Le questionnaire s’emploie de deux manières : comme un outil d’ana-
lyse uniquement ou comme un outil d’interview et d’analyse. Dans le
193
premier cas, il est rempli par l’auditeur après l’interview à partir des
notes prises par celui-ci. Dans le second cas, les réponses sont fournies
directement par l’interrogé. Il peut être utilisé lors de la phase d’étude
comme lors de la phase de vérification pour apprécier la mise en œuvre
d’une tâche définie au programme de vérifications.

L’organisation du questionnaire relève d’une technique et dépend de
la chose que l’on cherche à connaître, c’est-à-dire du domaine audité.
Quel que soit le type de questionnaire, l’ordre des questions est un point
crucial qui doit être réfléchi. Elles doivent être regroupées par thèmes et
suivre un ordre logique (du plus général au plus spécifique) et doivent
progresser de façon à mettre en confiance l’audité. Les questions les plus
spécifiques et techniques doivent être abordées au milieu du question-
naire de façon à ne pas effrayer l’audité au début et à ne pas pâtir de sa
chute d’attention en fin d’entretien.
On doit poursuivre une démarche redondante dans les questions de
façon à croiser les réponses et à s’assurer de la cohérence et de l’exhaus-
tivité des éléments apportés par l’audité. Il peut être utile d’utiliser des
questions « à tiroir » afin de s’assurer de l’épuisement du domaine traité.
Le questionnaire ne doit pas être trop long car la précision des réponses
fournies par les audités diminue en fonction de la durée. La présentation
doit être maniable, facile à lire et facile à remplir pour éviter le rejet du
questionnaire par l’audité.
Les QCM sont plus simples pour les interrogés et plus aisés à dépouiller
pour les auditeurs. Ils conviennent particulièrement pour les audits de
conformité, de régularité. À l’inverse les QO sont plus pertinents pour
les audits d’efficacité, de management, ainsi que sur les sujets nouveaux.

La formulation des questions est un point essentiel et risqué qui jouera
sur l’interprétation des réponses (formulation subjective et sugges-
tive) : certaines formulations induisent des réponses particulières et
des mots peuvent être chargés affectivement (« erreur », « faute »…).
Les questions doivent être rédigées dans le langage de l’audité et pas
194
dans celui de l’auditeur. Il convient donc de tester le questionnaire

avant de l’utiliser. Et une formulation correcte à l’écrit peut se révéler
inadaptée à l’oral.
Il ne faut pas se tromper d’interlocuteur, c’est-à-dire poser une ques-
tion à un audité qui n’a pas l’information nécessaire pour y répondre.
Les QCM permettent une comparaison aisée mais ce n’est pas le cas
des QO.
L’auditeur cherche toujours à capitaliser l’expérience acquise mais
l’emploi de questionnaires types (non actualisés) peut conduire à une
situation où les questions ne sont plus adaptées à la réalité de l’objet
audité.
La piste d’audit
À quoi ça sert ?
La piste d’audit recouvre deux notions. À l’origine c’est une technique
de contrôle comptable plus particulièrement à l’usage des auditeurs
externes (applicable dans le cadre de l’article 103 de la loi 89-935 du
29 décembre 1989 au contrôle fiscal des comptabilités informatisées).
C’est par ailleurs une technique d’audit à laquelle les auditeurs internes
ont largement recours. Ce texte de loi et différentes réglementations
professionnelles définissent la piste d’audit comme « un ensemble de

procédures permettant de justifier toute information en remontant du
document de synthèse à la source par un cheminement ininterrompu et
réciproquement. Elles doivent couvrir :
•• la reconstitution de l’ordre chronologique des opérations ;
•• la traçabilité ascendante et descendante (piste d’audit statique) ;
•• la justification d’une information d’une date à l’autre (piste d’audit
dynamique) ;
•• la conservation des données : reconstitution du chemin de révision à
partir des données conservées et justification de ces données à partir
des règles de gestion ».
195
Lors de la phase de lancement de la mission sur site afin d’identifier les
faiblesses potentielles du contrôle interne.
Lors de la phase de conduite des vérifications afin de récupérer les
preuves matérielles attestant des faiblesses avérées du contrôle interne.

Lors de la phase de lancement de la mission sur site et plus précisément
dans le cadre de l’élaboration du programme de vérification, l’auditeur
interne va pouvoir, en suivant la piste d’audit, reconstituer le chemine-
ment des étapes du processus audité. Grâce aux informations récupérées
auprès des audités lors d’interviews (séquence et nature des opérations
réalisées, responsables concernés, documents utilisés, dates et lieux des
opérations, conservation des informations…), l’auditeur dispose
des informations nécessaires à l’identification des faiblesses potentielles
du contrôle interne.
Lors de la phase de conduite des vérifications, l’auditeur interne, dans le
cadre des tests qu’il réalise, s’assure, en suivant la piste d’audit, de l’exis-
tence et de la pertinence de tous les éléments caractérisant les opérations
réalisées. L’absence, l’insuffisance ou l’inadéquation de ces éléments, au
regard des bonnes pratiques de contrôle interne, constitueront pour
l’auditeur interne des preuves tangibles des dysfonctionnements avérés.

En tant que dispositif de contrôle interne, la mise en place de la piste
d’audit concourt à sécuriser les informations et à assurer la traçabilité des
opérations réalisées afin d’en faciliter le suivi et le contrôle.
En tant que technique d’audit remonter la piste d’audit permet à l’au-
diteur d’avoir une approche détaillée et exhaustive du domaine audité.
Cette méthode d’investigation est cependant très consommatrice de
temps dans le cadre d’une mission d’audit. Elle est probablement à
utiliser lorsque les circonstances l’exigent c’est-à-dire lorsque le risque
supposé est jugé important.
196
Par ailleurs ce mode de réflexion ne doit pas conduire l’auditeur à

porter son jugement qu’à travers les pratiques en vigueur en oubliant
d’autres pratiques de contrôle interne plus pertinentes.
Exemples de piste d’audit
Opérations relatives à la vente d’un produit

Séquence Respon- Conservation
N° Documents Date Lieu
des opérations sable des informations
1 Compte Relevé
en banque bancaire
crédité
2 Comptabili Journal
sation de de trésorerie
l’encaissement
3 Comptabili- Journal
sation de la des ventes
vente
4 Établissement Facture
de la facture
5 Expédition Bordereau
d’expédition
6 Enregistre- Commande
ment de la client
commande
7 Relance Planning
éventuelle des relances
8 Contrôle et Proposition
envoi de la commerciale
proposition
9 Établissement Proposition
de la pro- commerciale
position
commerciale
10 Réception de Appels
l’appel d’offres d’offres
197
Opérations relatives à l’achat d’un bien

Séquence Respon- Conservation
N° Documents Date Lieu
des opérations sable des informations
1 Compte en Relevé
banque débité bancaire
2 Comptabi- Journal
lisation du de trésorerie
règlement
3 Établissement Chèques,
de l’ordre de traites…
paiement
4 Comptabilisa- Journal
tion de l’achat des achats
5 Contrôle Facture/
de la facture – Bordereau
Bon à payer de réception
6 Réception Facture
de la facture fournisseur
7 Réception Bordereau
et contrôle de réception
du bien
8 Envoi du bon Commande
de commande
9 Choix du Bordereau
fournisseur comparatif
10 Réception Demande
de la demande d’achat
d’achat
Les rapprochements et reconstitutions

À quoi ça sert ?
Le rapprochement est la vérification ponctuelle et a posteriori, par
d’autres sources ou moyens, de la validité d’un fait, d’une affirmation
ou d’une déclaration. Les sources ou moyens peuvent être à la fois de
nature exogène (confirmation écrite extérieure) ou endogène (supports
d’informations dans la chaîne d’un processus).
198
Exemples
– Le rapprochement bancaire.
– Le rapprochement entre l’inventaire physique et l’inventaire comptable…
La reconstitution est le rétablissement d’un résultat, à partir d’élé-

ments réels et pertinents, soit par utilisation du processus lui-même,
soit par mise en œuvre de processus différents mais homologues au
phénomène contrôlé.
Exemples
– Le processus recrutement : 1. Besoin, 2. Recherche/sélection candidat,
3. Contrat, 4. Intégration, 5. Versement du salaire.
– Le processus achat : 1. Besoin, 2. Identification/sélection fournisseur,
3. Contrat, 4. Réception, 5. Vérification, 6. Règlement.
Le rapprochement est utilisé en audit de conformité, afin de vérifier un
fait ou une affirmation d’une ou plusieurs opérations.
La reconstitution est utilisée en audit d’efficacité, afin d’évaluer le
fonctionnement et/ou la fiabilité d’un système, d’un processus.
NB : la reconstitution peut être utilisée pour valider un fait alors
que le rapprochement ne permet pas l’évaluation de la fiabilité ou d’un
fonctionnement d’un système.

Le rapprochement peut se faire à travers deux mécanismes :
•• la concordance : soit totale et instantanée ➙ vue d’ensemble immé-
diate (par exemple, le magasinier rapproche bons de livraison et bons
de réception), soit progressive ➙ donnée après donnée (par exemple,
le comptable effectue les rapprochements bancaires) ;
•• la confrontation : soit conçue par l’auditeur, soit réalisée par l’audité,
soit fournie par un tiers.
Le rapprochement peut être une simple observation physique.
199
La reconstitution consiste à refaire un processus un flux d’informa-

tions (théoriques ou réels), afin d’obtenir un résultat attendu dans le but
de s’assurer du bon fonctionnement et dans le cas échéant, de mesurer
les écarts. Ainsi, la reconstitution valide soit les flux, soit le processus,
soit les faits. La reconstitution est réalisée uniquement par l’auditeur, sur
la base d’éléments fournis par l’audité.

Le rapprochement :
•• ne nécessite aucune connaissance approfondie de l’organisation ;
•• facilite le suivi des processus ;
•• est facile à mettre en place.
Néanmoins, il ne permet pas l’évaluation du fonctionnement et de la
fiabilité d’un processus, d’un système.
La reconstitution :
•• offre une vision globale et détaillée du processus ;
•• favorise la détection de toute défaillance ;
•• peut valider un fait, une situation.
Toutefois, la principale limite de la reconstitution est qu’elle nécessite
une connaissance approfondie de l’organisation.
L’interrogation des fichiers informatiques

À quoi ça sert ?
L’interrogation des fichiers informatiques sert à collecter des informa-
tions afin de constituer des preuves d’audit. Ces preuves d’audit peuvent
concerner :
•• l’existence et l’exactitude des données ;
•• l’exhaustivité de ces données ;
•• leur accessibilité aux personnes concernées ;
•• le respect des délais de production ;
•• leur mise à jour et leur suivi.
200
Principalement lors de la phase de vérification. Cette technique d’audit est
à retenir en priorité dès lors que les informations que l’auditeur souhaite
contrôler sont mémorisées dans les bases informatiques de l’entité auditée.

Concernant ces techniques d’audit assistées par ordinateur, on peut dis-
tinguer trois principales modalités d’utilisation :
•• l’équipe d’audit peut solliciter les experts des systèmes d’informations
(SI) de l’entité auditée afin qu’ils réalisent les requêtes informatiques
nécessaires aux contrôles réalisés. Cela nécessite évidemment disponi-
bilité des experts SI et bonne collaboration entre auditeurs et audités ;
•• l’auditeur peut réaliser lui-même ces requêtes directement à partir
des logiciels existants dans l’entité. Cela demande une expertise des
auditeurs dans le domaine et une bonne entente avec les audités ;
•• enfin l’équipe d’audit peut utiliser ses propres logiciels d’interrogation
de bases informatiques (par exemple ACL ou Idéa pour les plus connus)
dans la mesure où le service d’audit en est doté. Ces logiciels récupèrent
les données dans les bases informatiques de l’entité auditée et effec-
tuent tous les traitements nécessaires dans le cadre d’une mission. Ils
sont d’une efficacité redoutable et ne nécessitent pas un investissement
temps très important pour s’y familiariser. À un degré moindre, mais
pas sans intérêt malgré tout, Excel (fonctions avancées) reste également
un outil de traitement des données très intéressant en audit.

Avantages :
•• Augmentation des possibilités d’analyse.
•• Amélioration de la qualité des travaux réalisés.
•• Application homogène des techniques et des procédures d’audit.
•• Optimisation du ratio résultats/coûts, les techniques automatisées
étant réutilisables et extensibles.
201
•• Exhaustivité des contrôles.

•• Gain de temps considérable lors des contrôles.
•• Transportabilité des données.
Inconvénients :
•• Il faut s’assurer de la fiabilité du système d’information afin d’avoir
des données exploitables.
•• Toutes les données à contrôler ne sont pas nécessairement mémorisées
dans des bases de données informatisées.
•• Peut nécessiter des compétences informatiques spécifiques à l’audi-
teur.
Les sondages statistiques
À quoi ça sert ?
Les sondages statistiques permettent d’obtenir les preuves d’un dys-
fonctionnement concernant une population nombreuse de plusieurs
milliers d’individus (la population « mère ») en observant les faits sur un
sous-ensemble réduit de cette population (l’échantillon). Dans le cadre
d’une mission d’audit (contrainte de temps), ils rendent ces contrôles
réalisables alors qu’un contrôle exhaustif serait inenvisageable car trop
consommateur de temps.
Cependant en ne contrôlant qu’un échantillon (quelques pourcents
de la population « mère ») les résultats d’un sondage statistique sont
entachés des deux incertitudes :
•• un niveau de confiance (90 %, 95 %, 99 %), c’est-à-dire le degré de
certitude avec lequel l’auditeur annonce le résultat ;
•• un intervalle de confiance, c’est-à-dire la fourchette plus ou moins
large dans laquelle se situe le résultat réel qui ne pourrait être connu
qu’à travers un contrôle exhaustif.
Quatre étapes jalonnent le déroulement d’un sondage statistique :
1. Préparation : définition de la population (taille N), de ses éléments
constitutifs ou individus, du caractère à estimer et du niveau de
202
confiance souhaité (noté P). Le choix du niveau de confiance est lié à

l’importance du phénomène étudié (95 % niveau de confiance stan-
dard, 99 % si on souhaite exprimer une quasi-certitude).
2. Échantillonnage : il s’agit de prélever n individus (taille de l’échan-
tillon) parmi N. La détermination de la taille n de l’échantillon est,
soit liée au temps que l’auditeur peut consacrer à son sondage, soit
calculée par des formules mathématiques. Pour le tirage (prélèvement
des n individus) on procède, soit par tirage aléatoire (n numéros à
désigner sur une plage de 1 à N), soit par tirage systématique, on
sélectionne les n individus suivant un pas (pas = N/n) en balayant
toute la population. Cependant ce dernier principe de tirage n’est pos-
sible que si la population est rangée suivant un mode de classement
indépendant du caractère étudié.
3. Observation : on réalise le contrôle des n individus. Par rapport aux
valeurs observées réelles : x1, x2…, xn, on en calcule la moyenne et la
dispersion.
4. Extrapolation : les deux paramètres calculés précédemment (moyenne
et dispersion sur l’échantillon) nous permettent par extrapolation
mathématique, de formuler un résultat sur la population « mère »
suivant la phrase consacrée : « Il y a P chances sur 100 (niveau de
confiance) que la vraie valeur du caractère étudié sur la population
totale soit comprise entre… (valeur mini) et… (valeur maxi) (inter-
valle de confiance). »
Cette technique est plus particulièrement intéressante lors de la phase

de vérification. Elle permet à l’auditeur d’obtenir des preuves probantes
qui crédibilisent ses constats de dysfonctionnements.

L’auditeur utilise cette technique pour apprécier :
•• soit une problématique à caractère discontinu : en général deux
réponses (Oui/Non), par exemple ; la facture est valide ou pas, le
dossier est complet ou pas, la procédure est respectée ou pas… Il s’agit
des sondages d’estimation de proportions ;
203
•• soit une problématique à caractère continu : le phénomène étudié

peut prendre une infinité de valeurs, par exemple ; une valeur totale
de stocks à une date donnée, un montant de facturation sur une
période définie, un montant global du poste « clients » à une date
donnée… Il s’agit des sondages d’estimation de valeurs.

Cette technique réduit considérablement le temps, donc le coût des
investigations tout en apportant une valeur mathématiquement pro-
bante aux preuves obtenues.
Le niveau et l’intervalle de confiance, ainsi que la taille de l’échantillon
(directement liée au temps nécessaire au sondage) sont mathématique-
ment liés. Ce lien permet d’adapter le temps que l’auditeur souhaite
consacrer au sondage à l’importance du problème étudié (enjeux finan-
ciers).
Cet outil est à proscrire si les éléments que souhaite contrôler l’audi-
teur sont mémorisés dans des bases de données informatisées (système
informatique de l’entité auditée). Dans ce cas, des logiciels spécifiques
d’interrogation des bases de données (type ACL ou Idéa) doivent être
utilisés car permettant un contrôle exhaustif dans des temps mini-
mums.
Formules mathématique
Type de sondages Estimation de valeurs Estimation

statistiques (méthode générale) de proportions
Caractère observé xi = Valeur réelle contrôlée xi = 1
sur l’échantillon (méthode générale) ou si oui au caractère étudié
et à extrapoler sur écart entre valeur réelle xi = 0
la population contrôlée et valeur si non au caractère étudié
connue initialement
(méthode des écarts)
Moyenne m = (x1 + x2 + … + xn)/n Pobs = (x1 + x2 + … + xn)/n
Dispersion s =
(écart type) x12 + x12 +  + x n2 s = Pobs ◊ (1 - Pobs )
- m2
n
☞
204
☞
Demi-intervalle a = s ◊t n0 Avec : n0 = n ⋅ N/(N – n)
de confiance et t lié à P niveau de
confiance :
1,645 pour 90 %
1,960 pour 95 %
2,576 pour 99 %
Fourchette m±a Pmin et Pmax les deux
encadrant la vraie proportions qui
valeur moyenne encadrent la proportion
réelle recherchée sur
la population sont les
2 solutions de l’équation
du second degré suivante :
Fourchette N . m + ou – N ⋅ a Ê t2 ˆ 2
encadrant la vraie ou encore Á1 + n ˜ p
valeur totale Valeur mini = N ⋅ m – N ⋅ a Ë 0 ¯
de la population Valeur maxi = N ⋅ m + N ⋅ a Ê t2 ˆ

- Á 2 Pobs + ˜p
Ë n0 ¯
+ Pobs
2 = 0
avec n0 = n ⋅ N/(N – n)
Si la précision On prélève un complément d’échantillon,
du résultat obtenu on contrôle les individus supplémentaires
est insuffisante et on recalcule les paramètres de moyenne,
(fourchette de dispersion et de demi-intervalle de confiance.
trop large)
Formulation Il y a P chances sur 100 Il y a P chances sur 100
du résultat que la valeur réelle totale que la proportion réelle
du sondage du caractère observé sur la du caractère observé sur la

statistique population soit comprise population soit comprise
entre la valeur mini… entre Pmin et Pmax.
et la valeur maxi…
Alternatives Indépendamment de la Toutes ces méthodes,
méthodologiques méthode générale présentée lorsqu’elles sont applicables,
ci-dessus l’auditeur dispose sont à privilégier car
d’autres solutions : elles concourent, toutes,
– méthode des écarts, à réduire la dispersion
– méthode du quotient, de la population donc à
– stratification, améliorer la précision du
– méthode des sous- sondage et/ou le temps
échantillons. passé.
205
Choix de la méthode d’estimation de valeurs

Situation initiale Méthode à retenir
Il s’agit de déterminer Méthode générale
une valeur : – Prélèvement aléatoire ou systématique
On ne connaît donc pas – Détermination de la moyenne
les valeurs et l’on ne dispose et de la dispersion sur l’échantillon
d’aucune information – Extrapolation des résultats
pour stratifier population. à la population « mère »
Méthode des sous-échantillons
– Prélèvement aléatoire ou systématique
par sous-échantillons
– Calcul de la dispersion des sous-échantillons
Il s’agit de déterminer Stratification de la population
une valeur : – Définition des strates et de l’échantillon
On ne connaît donc – Application de la méthode générale
pas (ou pas entièrement) aux différentes strates
les valeurs mais on dispose
d’éléments suffisants pour Application de la méthode des échantillons
effectuer une stratification à la population stratifiée
de la population.
Il s’agit de contrôler Cas général : Méthode générale
une valeur : On s’intéresse à la appliquée aux écarts
On connaît donc, population des écarts Méthode des
au départ, les chiffres entre valeurs réelles et sous-échantillons
à vérifier (valeurs valeurs à contrôler (ces appliquée aux écarts
comptables ou autres) écarts étant quelconques).
Cas particulier : Méthode du
Les écarts sont d’autant quotient
plus grands que les
valeurs sont plus élevées
206
Partie 3
C h a p i t r e 9
L’apport de l'informatique
selon un modèle Risk –
Organization – Knowledge
Un outil de gouvernance orienté

Risk – Organization – Knowledge
En ces périodes de fortes turbulences, la dimension risques prend chaque
jour plus d’importance en renforçant la légitimité du contrôle interne
et l’impérieuse nécessité d’une activité d’audit interne pour s’assurer de
sa bonne application.
Cet ouvrage présente une méthodologie d’approche des thématiques
auditées et les référentiels de risques associés, tout en garantissant pour
chaque étape de la mission d’audit la conformité avec le Cadre de réfé-
rence international des pratiques professionnelles (CRIPP).
L’apport d’une solution TIC (Technologie de l’Information et de la
Communication) va non seulement optimiser la démarche (gain de temps
et sécurisation), permettre l’accès à toute l’information dématérialisée exis-
tante dans l’entreprise, agir sur l’organisation, diffuser les bonnes pratiques
résultantes et mesurer l’amélioration des performances qui en découle.
L’agrégation automatisée de toutes ces dimensions dans un but de
servir le contrôle interne n’est pas un enjeu mais une nécessité.
207
Objectif n° 1 – Garantir la cohérence entre : la cartographie

des risques, la méthodologie d’audit interne et la doctrine
À ce niveau l’ambition est triple :
•• s’assurer que la méthodologie d’audit mise en œuvre (décrite dans
l’ouvrage en partie 2) est conforme avec la doctrine (AMF, COSO) ;
•• profiter de l’expérience acquise (restituée sous forme de référentiels de
risques : chapitre 10), enrichie par retour d’expérience ;
•• modéliser la démarche (méthodologie) et l’expérience (référentiels
de risques), les faire évoluer, les rendre plus performantes, tout en
garantissant à chaque étape que la doctrine est préservée.
Figure 9.1 – Schéma des dispositifs

pour satisfaire l’objectif 1
➤➤ Étape 1
Les référentiels de risques (chapitre 10) vont être implémentés dans la
solution (référentiel de risques colonne Risk) afin qu’ils soient renseignés
dans le cadre d’une démarche de self audit.
Les finalités de contrôle interne vont être exposées sous forme de
questionnaire auquel il conviendra de répondre par oui, non ou non
applicable (module self audit, colonne Organization).
208
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
Un module de risk assesment (colonne Risk) va permettre de pondérer

ce self audit d’éléments quantitatifs qui seront empruntés à l’environ-
nement SI de l’entreprise (éléments de chiffre d’affaires, nombre de
salariés de l’entité audité…) ou introduits par retour d’expérience (date
du dernier audit par exemple).
➤➤ Étape 2
La solution va permettre, par cette première approche, de faciliter la
planification des missions d’audit, mais surtout de les conduire en décri-
vant et motorisant chacun des processus jalonnant le déroulement de la
mission (conduite de la mission colonne Organization).
La technique utilisée est celle du workflow. Les contrôles à effectuer
vont être proposés par l’outil à l’auditeur, la méthodologie sera décrite
étape par étape et l’ordonnancement des tâches géré (PERT et dia-
gramme de Gantt). Les supports utiles à la mission seront accessibles
dans la GED jointe (papiers de travail, feuilles de couverture, FAR…)
au fur et à mesure de l’avancement de la mission.
➤➤ Étape 3
La plateforme, renseignée du self audit et risk assesment d’une part,
enrichie des missions d’audit réalisées d’autre part, va pouvoir délivrer

une cartographie des risques pertinente.
Cette cartographie pourra être interrogée directement par le biais du
cube « AMF » ou pour les Anglo-Saxons au travers du cube COSO-II :
« Quels sont les risques de telle entité au regard de tel objectif et com-
posante du contrôle interne ? » (colonne Knowledge).
L’outil va ainsi être le garant de l’intégrité des démarches de self audit
et de conduite de la mission avec les normes AMF et COSO.
209
Objectif n° 2 – Interaction entre le travail de l’auditeur et

l’organisation de l’entreprise décrite et intégrée dans la plateforme
Lorsque la solution sait motoriser la démarche d’audit par des tech-
niques de workflow, si elle sait capitaliser des référentiels dans des bases
classiques de données cartésiennes et si nous parvenions à lier l’en-
semble à des modélisations du contrôle interne du type « AMF » et/
ou COSO, alors la base de données ainsi constituée méritait d’être
exploitée au-delà de notre finalité première.
La solution présentée intègre cette réflexion et part du constat que
l’entreprise est un tout et que ce tout fait partie du périmètre de l’audit.
Figure 9.2 – Schéma des dispositifs pour satisfaire les objectifs 1 et 2
On va ainsi lier les différentes modélisations existantes de l’organisa-

tion (WF, BPM, BPA...) à la démarche et autoriser l’auditeur à consulter
et influer sur les processus liés à sa mission et marqués des risques iden-
tifiés par mesure du référentiel.
Tout au long de sa mission, l’auditeur va pouvoir consulter l’organi-
sation décrite et référencée, mais va surtout pouvoir la renseigner des
remarques et conclusions de son audit.
210
GRC
BPM
211
Performance
BPA
Figure 9.3 – Magic cadrant – gartner : 2009-2010

Aujourd’hui un certain nombre de logiciels existent sur le marché et

permettent de modéliser, cartographier, exécuter ou encore mesurer la
performance de l’organisation.
Ils s’inspirent de nombreux concepts, aujourd’hui bien cernés. On
va parler de :
•• BPA (Business Process Architecture ou Analysis) qui sont des outils de
modélisation des processus de l’entreprise ;
•• BPM (Business Process Management), qui vont permettre d’exécuter
les dits processus ;
•• GRC (gestion du risque et de la conformité), qui vont servir à carto-
graphier les risques liés à l’organisation ;
•• d’outils de gouvernance trop divers pour être nommés de façon exhaustive.
Controlling
GRC
Exécution Performance
BPM BAM
Risque Organisation Knowledge
Modélisation
BPA
Figure 9.4 – Cartographie des outils du marché
Il y a – au sens du référentiel de Gartner – des éditeurs de BPA (IDS

Scheer, IBM) ou de BPM (Pagasystems, Lombes de Software…) ou encore
de GRC (Open Pages Bwise, Thomson, Reuters…), mais peu d’outils
permettent de tout faire : lier les modèles organisationnels aux risques,
motoriser les étapes d’une mission d’audit, impacter directement les pro-
cessus audités des conclusions des missions réalisées, capitaliser et partager
tout ce savoir au niveau de l’ensemble des acteurs de l’organisation. C’est
212
l’originalité et l’ambition d’une démarche Risk Organization Knowledge ;

maîtrise des Risques, modélisation voire motorisation de l’organisation,
capitalisation et partage du Knowledge en un seul applicatif collaboratif.
Cette démarche ROK correspond à un vrai besoin des entreprises qui
cherchent à déployer des solutions allant au-delà des silos applicatifs et
organisationnels selon un mode plus collaboratif :
– interfaces utilisateur et outils plus simples, contenant plus d’informa-
tions utiles et dynamiques (recomposition du contenu en fonction de
la situation) ;
– collaboration entre les experts métier, les spécialistes IT et les utilisa-
teurs lors du développement de processus et de procédures, pertinence
et validation des contenus par l’intelligence collective, extension aux
partenaires externes… ;
– collaboration entre utilisateurs et partenaires externes lors de l’exé-
cution de tâches (échange de données, supports métiers, forum
d’amélioration de processus, wiki, capitalisation dynamique des
connaissances…).
Le marché ne s’y trompe pas qui pose les premières pierres d’un nou-
veau référentiel, le Social BPM dont le concept ROK, définitivement
orienté Entreprise 3.0 (accès à l’information par agrégation de parcelles
de documents en fonction de critères de recherche et du profil utilisa-
teur), est sans doute une des toutes premières réponses.
Notre démarche, et donc celle de l’auditeur, au travers de la solution décrite,
rend tous ces volets naturellement liés comme faisant partie d’un tout.
La facilité de restitution (Knowledge Management) garantit que le

travail effectué sera partagé par l’ensemble des acteurs afin d’optimiser
la maîtrise des risques de l’organisation.
Objectif n° 3 – Intégration par les auditeurs de données quantitatives

véhiculées par l’ensemble du système d’information de l’organisation
L’outil comprenant maintenant une cartographie de l’organisation ren-
seignée des risques identifiés (par self audit ou au cours de la mission
d’audit), il devient judicieux et instructif de pouvoir mesurer le plus
rigoureusement possible et de façon systématique le poids relatif des
jugements portés sur l’organisation.
213
On va ainsi tout naturellement autoriser l’intégration des données

quantitatives (financières, RH, métiers) que véhicule tout le système
d’information de l’organisation au travers de ses ERP…
On va bien sûr récupérer les indicateurs indispensables à un risk
assesment justes, à jour, non contestables, autorisant une démarche plus
objective dans la planification des missions mais aussi pondérer les rap-
ports d’audit de critères pertinents (poids de l’entité auditée en termes
de CA, de masse salariale, de BFR…).
Figure 9.5 – Schéma des dispositifs pour satisfaire les objectifs 1, 2 et 3
Les technologies de web services et autres autorisent l’intégration

de données externes à l’applicatif en proposant un modèle d’interface
structuré et standardisé.
L’environnement propre à la plateforme présentée amplifie ces possibi-
lités d’intégration en générant automatiquement des formulaires de saisie.
Objectif n° 4 – Prise en compte des risques liés u développement durable

Au-delà des problématiques traditionnelles de contrôle interne traitées
dans cet ouvrage, la plateforme ROK3 (Risk Organization Knowledge)
dépasse cette vision en intégrant un volet sur le développement durable
214
par le traitement du risque carbone, modélisé par l’ADEME (Agence de

l’environnement et de la maîtrise de l’énergie).
On va ainsi profiter de l’architecture proposée par la plateforme (base
de donnée, modèles et méta modèles) pour intégrer cet indicateur de
risques à la fois endogène et exogène à l’organisation, qui propose une
unité d’œuvre unique de mesure de l’activité depuis son origine jusqu’à
son extinction, qu’est la mesure des émissions de gaz à effet de serre (GES).
La plateforme ROK embarque avec elle la méthodologie « ADEME »
de mesure du bilan carbone (sorte de plan comptable dont la mesure est
l’équivalent carbone de l’énergie consommée par l’activité) qui, reliée
aux processus de l’entreprise, devient mesurable en termes de risques.
Elle vient ainsi compléter les objectifs du contrôle interne et participer
aux objectifs stratégiques de l’entreprise.
Le COSO-II avait ouvert la porte sur les risques liés à l’environne-
ment, la dernière version du tableur ADEME avait ouvert un volet
financier à sa mesure, cette plateforme les réunit.
Figure 9.6 – Schéma des dispositifs pour satisfaire les objectifs 1, 2, 3 et 4
215
Navigation
L’outil proposé se devait d’exposer clairement toutes ces problématiques,
autorisant à la fois la conduite de mission dans un environnement connu
et rassurant pour l’auditeur, mais embarquant également les dimensions
multidimensionnelles de l’organisation.
La navigation dans la plateforme sera ainsi tout naturellement tridi-
mensionnelle, ce qui n’est pas sans rappeler la modélisation du COSO-II
(est-ce un hasard ?), navigation structurée autour des dimensions orga-
niques de l’entité, mais également systémiques (systèmes par objectifs,
PM, RH…) et analytiques (composantes et sous composantes propres
à chaque système) regroupées par finalités analytiques (cartographie,
KPI…).
Figure 9.7 – Interface de navigation ROK
Saisie du prédiagnostic
L'outil embarque avec lui les référentiels de risque décrits au chapitre 3
qui couvrent quinze domaines et se spécialisent par retour d’expérience
(référentiels sectoriels : banque, assurances, automobile…).
216
La plateforme va permettre de répondre aux questions formulées

sous l’angle des finalités à atteindre et selon une approche « AMF » ou
COSO, les finalités étant regroupées autour des sous-composantes du
contrôle interne.
Figure 9.8 – Saisie du pré-diagnostic
Il sera possible tout au long de l’implémentation du questionnaire de

consulter les procédures de l’entreprise concernées par la finalité étudiée.

Les réponses apportées viendront élaguer ces processus.
Vous pouvez tester cette phase en utilisant le flashcode ci-dessous
(capturez-le avec votre mobile).
217
Figure 9.9 – Procédure(s) liée(s)

à la finalité interrogée
Préparation des documents support de la mission d’audit

(TaRi – TFfA – rapport d’orientation)
Les finalités renseignées, il vous est possible de consulter le TaRi cor-
respondant (voir figure 9.10).
À tout moment vous êtes en mesure d’établir le lien avec les processus
concernés.
Vous consultez aisément les risques liés aux finalités défaillantes,
risques ventilés en scénarios d’empêchement, points de contrôles et
impacts, ainsi que les bonnes pratiques de contrôle interne préconisées.
La plateforme capitalisant l’expérience, vous pouvez rajouter, modi-
fier et/ou supprimer des finalités, risques ou bonnes pratiques afin de
spécialiser le référentiel proposé avec les spécifications de votre activité
(voir figure 9.11).
218
Figure 9.10 – Tableau des risques TaRi

Figure 9.11 – Interrogation du référentiel
219
Le TaRi sera complété des forces et faiblesses apparentes afin de

générer le TFfA qui lié au risk assesment vous proposera un rapport
d’orientation.
Figure 9.12 – Rapport d'orientation
La modélisation de la mission par l’utilisation de workflow

La solution embarque avec elle la méthodologie de conduite d’une mis-
sion d’audit interne telle que décrite dans le présent ouvrage, ainsi que
l’ensemble des documents qui la jalonnent (voir figure 9.13).
Nous avons choisi de modéliser la méthode sous forme de workflow
normatif modifiables. Cela signifie, en termes de mise en œuvre dans
l’entreprise, qu’il suffit d’attribuer des fonctions aux postes décrits pour
que les workflow soient opérationnels (après les avoir, le cas échéant
adaptés à la marge aux spécificités de l’organisation).
Les documents nécessaires sont également liés au workflow. Ils sont
modifiables et dynamiques. Ce dernier point signifie que les informa-
tions acquises lors de la mission seront capitalisées dans la plateforme et
réutilisables (voir figure 9.14).
220
Figure 9.13 – Procédure de conduite du programme de vérification

Figure 9.14 – Diagramme de Gantt lié au workflow
221
Les workflow, lorsqu’ils sont déclenchés, motorisent les tâches sui-

vantes, selon un timing prédéfini. Des alertes sont automatiquement
générées et les documents nécessaires envoyés.
Les missions d’audit enclenchées sont gérables via un PERT associé
et leur suivi fait l’objet d’un diagramme de Gantt.
La production d’une cartographie des risques multi-accès

Les risques identifiés lors du self audit, pondérés du risk assesment et
enrichis des éventuelles missions d’audit déjà instruites et capitalisées
sont accessibles dans l’outil directement via le cube « AMF » ou celui
du COSO-II.
Figure 9.15 – Navigation d'accès à la cartographie des risques

via le cube du COSO 2
Vous pouvez ainsi identifier le taux de fiabilité de votre organisation

par composante en fonction des trois critères pour le COSO-II par
exemple : les objectifs, les composantes et la dimension organique.
222
Le risque identifié fait apparaître la finalité défaillante, les risques

induits par cette défaillance ainsi que les bonnes pratiques proposées
par le référentiel.
Pour chaque composante présentant un risque, vous pouvez rappeler :
•• la finalité concernée ;
•• le risque encouru selon ses trois approches :
– scénarios d’empêchement,
– point de contrôle,
– impact ;
•• Les bonnes pratiques usuellement mises en œuvre pour palier à la
défaillance de la finalité
Vous pouvez, si vous le souhaitez générer la cartographie des processus
concernés.
Figure 9.16 – Risque par composante de contrôle
223
Le parallèle avec les outils traditionnels de l’auditeur

L’informatique n’invente rien, mais permet la standardisation des sup-
ports et de la méthodologie, l’automatisation des tâches, leur suivi, la
collecte rapide des informations et la restitution sous forme de reporting.
C’est donc tout naturellement que l’on va retrouver dans ROK3 les
techniques et outils dématérialisés exposés au chapitre 1.
Tableau 9.1
Techniques d’audit ROK 3 (Risk Organization Knowledge)
L’analyse économique et financière Web services et recherches de données

quantitatives dans le SI
Les volumes et types de transactions Idem
Les observations physiques Nul n’est prince dans son royaume ?
Les diagrammes de circulation Processus de work flow intégrés assortis

des documents (flow chart) d’un PERT et d’un Gantt
Les interviews Formulaires de saisie
La grille de séparation des tâches Existe à deux niveaux :

– celui des process//cartographie
d’audit classique
– celui du SI (incompatibilités
fonctionnelles)
Les questionnaires Formulaires de saisie
La piste d’audit Intégrité de l’organisation décrite

depuis la tâche jusqu’au processus
en passant par la procédure
Les rapprochements et Possibilité de les motoriser par

reconstitutions work flow
L’interrogation des fichiers Inhérent à l’architecture

informatiques
Les sondages statistiques Permet d’identifier la pertinence du

sondage (taux de pertinence du sondage)
224
En synthèse
La doctrine élargit chaque jour un peu plus le périmètre des risques et
renforce l’omnipotence de la mission de l’audit interne.
Le périmètre fonctionnel croît par retour d’expérience (chaque jour nous
amène sa cohorte de nouveaux scandales mus par l’ingéniosité ou la naïveté
de ses acteurs), l’importance et la légitimité de l’audit et du contrôle interne
s’en voient renforcées, mais leurs responsabilités également.
Nous nous efforçons dans cet ouvrage de proposer à la fois des réfé-
rentiels et une méthodologie applicables, mais également de montrer
qu’il est possible d’outiller la démarche en établissant, par le code et à
chaque étape, son intégrité avec la norme d’un côté et l’organisation de
l’entreprise de l’autre.
L’apport d’une solution TIC va non seulement optimiser la démarche
(gain de temps et sécurisation), mais également permettre l’accès à toute
l’information dématérialisée existante dans l’entreprise, agir sur l’organi-
sation, diffuser la bonne pratique résultante et mesurer la performance
qui en découle.
L’agrégation automatisée de toutes ces données dans un but de servir
le contrôle interne n’est pas une option mais une nécessité.
Entreprises et éditeurs ne s’y trompent pas. Il faut être à même de
modéliser voir d’automatiser les organisations que l’on contrôle. Il est
nécessaire d’intégrer le référentiel de risques à la démarche de l’audi-
teur et s’assurer que l’un comme l’autre soient cohérents avec la (les)
norme(s) et en lien direct avec l’entité modélisée.
Mais il faut également capitaliser les savoirs et les compétences, s’assu-

rer que le retour d’expérience est pris en compte et partagé. La démarche
se doit d’être collaborative.
La méthodologie « Risque Organisation Knowledge » que nous vous
avons exposée s’inscrit dans cette triple logique.
Le premier pas est parfois douloureux, mais l’énorme base de données
structurée ainsi constituée peut assimiler rapidement et proposer tout sim-
plement de nouveaux indicateurs mis en exergue par retour d’expérience.
Ainsi, à titre d’exemple, le risque carbone modélisé par l’ADEME, dès
lors qu’il a une architecture binaire devient assimilable et intégrable par
les TIC, donc accessible à l’auditeur dans sa démarche.
225
La porte est ouverte à l’assimilation de ce risque majeur qui n’est rien

d’autre que le plus performant des indicateurs d’une activité (car à la
fois endogène et exogène) pour lequel nous avons une unité d’œuvre
unique (l’équivalent carbone) qui le rend mesurable donc auditable.
Ce seul point méritera à lui seul que nous reprenions la plume pour le
développer.
Vous avez dans cet ouvrage les clefs qui vous permettent de relever ce
défi, en ayant la quiétude de savoir que vous êtes en conformité avec les
cadres de référence.
S’agissant d’audit interne le Cadre de Référence International des Pra-
tiques Professionnelles élaborées par l’IIA recense les bonnes pratiques
qui garantissent un excellent niveau de qualité aux prestations d’audit
réalisées par les services qui s’inscrivent dans cette démarche.
La méthodologie que nous préconisons intègre parfaitement les
recommandations de ce cadre de référence.
Pour ce qui est du contrôle interne, les modèles préconisés par l’AMF
et celui du COSO constituent actuellement des guides conceptuels
incontournables pour définir et mettre en œuvre les dispositifs néces-
saires à la maîtrise des risques.
Les référentiels de risques proposés dans cet ouvrage s’inspirent de
cette logique.
En matière d’outils informatiques, après une éducation longue des
concepts de BPA, BPM, GRC, le marché semble avoir trouvé dans le
social BPM un référentiel qui fait consensus.
Le concept R.O.K. que nous vous avons exposé est précurseur de cette
vision et a l’avantage de mettre en musique les deux points précédents
longuement développés dans l’ouvrage.
Parce que ses problématiques sont globales, l’entreprise de demain
sera collaborative. Parce que cette globalisation accroît les risques, l’au-
diteur devra être de plus en plus polyvalent, ce qu’il ne pourra faire
qu’en s’outillant de cadres méthodologiques, de référentiels ou d’outils
informatiques.
Nous espérons contribuer à donner des « armes structurantes » aux
services d’audit, de contrôle interne et de risques.
226
Partie 3
Chapitre 10
Les référentiels de risques
La structuration et le mode d’utilisation des référentiels

Le paragraphe « L’élaboration d’un tableau de risques » (chap. 6, para-
graphe « L’élaboration d’un tableau de risques ») détaille la démarche de
construction de ce document lors de la phase de préparation de la mission.
Les référentiels présentés ici sont conformes à ce modèle. Au-delà de la
présentation de cette démarche de construction nous avons souhaité, en
cette fin d’ouvrage, présenter des exemples de référentiels de risques qui
pourront guider l’auditeur interne lors de l’élaboration des tableaux de
risques dans le cadre de leur mission.
Structuration des référentiels

Nous avons distingué deux approches dans l’utilisation de ces référentiels :
l’approche globale et l’approche détaillée par processus ou domaines d’activité.
Sans être exhaustif et par rapport aux trois domaines d’intervention de l’audit
interne, l’approche globale pourrait s’apparenter au regard que doit porter
l’auditeur aux dimensions « Gouvernement d’entreprise » et « Management
des risques » et l’approche détaillée à celle des « processus de contrôle interne ».
➤➤ Approche globale
Ce référentiel permet à l’auditeur d’appréhender la dimension contrôle au
niveau général d’une entité (filiale, agence, usine, service, processus…),
en fait au niveau d’un centre de responsabilité qui :
227
•• a des objectifs à atteindre qui lui sont fixés par ailleurs ;

•• dispose d’une organisation (moyens humains, matériels, système d’in-
formation…) ;
•• doit assurer un reporting auprès de son instance de tutelle,
Ce référentiel n’intègre donc pas les problématiques de contrôle interne
spécifiques aux étapes jalonnant un processus opérationnel particulier. Ce
second éclairage est abordé dans l’approche détaillée présentée ci-après.
Cependant les problématiques de contrôle abordées dans l’approche glo-
bale concernent également les quinze processus et/ou domaines présentés
ultérieurement. Afin de ne pas répéter ces thématiques pour chaque pro-
cessus, nous avons opté pour un regroupement dans un seul référentiel
utilisable tel quel, quel que soit le processus audité.
Nous avons opté pour un découpage du référentiel (colonne de
gauche) calqué sur le modèle de contrôle interne dit « Référentiel
AMF ». Ce choix nous a paru s’imposer du fait de son origine et donc
de sa légitimité française. Néanmoins pour ne pas se priver d’une utilisa-
tion de cet outil dans une organisation s’inspirant du COSO en matière
de contrôle interne, la colonne de gauche « Référentiel AMF » précise la
correspondance entre ces deux modèles.
➤➤ Approche détaillée par processus ou domaines d’activité

Nous avons ici une série de quinze référentiels de risques, un pour chaque
principal processus ou domaines d’activité traditionnellement rencon-
trés dans toute organisation. Ces référentiels détaillent, pour chaque
étape qui jalonne un processus ou pour chaque sous-domaine d’un
domaine d’activité, la dimension « Activités de contrôles » commune
aux deux modèles COSO-II et « AMF ». Il s’agit des items suivants :
•• management – direction générale ; •• achats ;
•• gestion des ressources humaines ; •• gestion des stocks ;
•• finance – comptabilité ; •• production ;
•• juridique – fiscal ; •• commercial ;
•• contrôle de gestion – reporting ; •• service après-vente ;
•• systèmes d’informations ; •• logistique ;
•• recherche et développement ; •• qualité – sécurité
•• marketing ; – environnement.
228
Chapitre 10 ■ Les référentiels de risques
L’auditeur interne aura donc le choix d’utiliser tout ou partie de ces

quinze référentiels en fonction du cas de figure qu’il aura à traiter.
Nous nous sommes placés dans le cas d’une entreprise manufacturière
dans toute sa complexité afin de couvrir le champ le plus large possible.
Nous n’avons pas souhaité intégrer, par souci de simplification et de
généralisation, les spécificités sectorielles comme celles du monde ban-
caire ou des assurances ou tout autre secteur ayant, de par ses activités
ou ses spécificités en matière de contrôle interne, des différences trop
marquées.
Enfin ces quinze référentiels constituent un ensemble à part entière
et ont été élaborés, notamment au niveau du degré de détail retenu
pour le découpage de chaque processus en relation avec les contraintes
de temps d’une mission, comme pouvant tous être déployés dans le
cadre d’une seule et même mission d’audit. En d’autres termes cette
bibliothèque de référentiels a été conçue pour une mission d’audit dit
« de filiales », « état des lieux » ou encore « full audit », durant laquelle
tous les processus de l’entité concernée sont audités. Pour une mission
d’audit thématique qui porterait sur un seul de ces quinze processus, les
documents présentés dans notre ouvrage nécessiteraient évidemment
une réflexion complémentaire afin de détailler les étapes jalonnant le
processus.
Mode d’utilisation des référentiels

Les deux approches (« globale » et « détaillée ») ne s’excluent pas l’une

de l’autre mais se complètent. Les référentiels proposés ici sont une base
de travail pour l’auditeur interne. Ils n’ont pas la prétention, malgré une
volonté de précision et d’exhaustivité, de couvrir toutes les complexités
et spécificités de toutes les organisations existantes. En d’autres termes,
l’auditeur devra à partir de ces documents :
•• les compléter afin de tenir compte du contexte audité ;
•• les enrichir, mission après mission, en fonction de l’expérience acquise,
pour qu’ils constituent et conservent le savoir faire du service d’audit
interne ;
•• et avant tout les confronter à la réalité de leur mise en œuvre.
229
L’approche globale suivant le référentiel AMF
L’APPROCHE GLOBALE suivant le référentiel « AMF » (avec correspondance Coso-II)
Référentiel AMF FINALITÉS RISQUES EXEMPLES
* Équivalences (objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Coso-II interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
A. Les préalables au contrôle interne

1. Définition, – Être sûr que les – Objectifs mal définis, – Indicateurs – Non atteinte des – Définir des objectifs quantifiés
déclinaison et objectifs généraux de imprécis ou impossibles à correspondant aux objectifs. (à chaque objectif sont associés
communication l’organisation sont mesurer. objectifs. – Mauvaise interprétation un ou plusieurs indicateurs et une
des objectifs de connus, communiqués – Communication – Fiches d’objectifs/ de la stratégie. mesure de temps).
l’organisation et déclinés avec précision anarchique et irrégulière tableaux de bord. – Manque de cohérence – Diffuser les objectifs aux
– « Définition des au niveau de chaque des objectifs. – Fréquence des réunions avec la politique générale. responsables de services concernés
objectifs ». responsable concerné – Imprécision de la de suivi et d’information. – Manque de mobilisation et aux collaborateurs.
(entités décentralisées, déclinaison des objectifs. – Synthèse des réunions du personnel. – Mettre à jour et suivre
services, processus…) : – Incohérents des objectifs entre la direction et les – Pertes financières/ régulièrement les objectifs.
Objectifs généraux déclinés avec l’activité ou d’autres responsables concernés. productivité. – Formaliser et justifier l’atteinte
en objectifs opérationnels, objectifs. – Présences aux réunions. – Performances du service des objectifs dans les entretiens de
230
par un chiffre associé à une – Incohérence entre revues à la baisse. performance.
mesure de temps. objectifs et moyens. – Décisions prises – Mettre en place un contrôle de
– Excès ou insuffisance incohérentes avec les gestion adapté.
de communication sur les objectifs. – Faire participer les collaborateurs
objectifs. – Entité décentralisée qui de l’organisation à la définition des
– Objectifs trop nombreux ne suit pas les directives de objectifs avec les responsables de
ou insuffisants. la maison mère. services afin d’en assurer la bonne
réalisation (tenir des réunions
de mise en place et de suivi des
objectifs).
– Formaliser de manière
exhaustive les objectifs confiés aux
collaborateurs.
– Organiser régulièrement des
réunions de suivi et d’atteinte des
objectifs.
– Donner aux entités décentrali-
sées les moyens de commenter les
résultats et d’expliquer les difficul-
tés d’atteinte des objectifs.
2. Règles – Être sûr de la – Absence de formalisation – Charte éthique. – Conflits d’intérêts. – Définir, au plus haut niveau de
d’exemplarité formalisation, de la des « Règles d’exemplarité – Code de bonne – Manque de cohérence l’organisation, un cadre général
et d’intégrité communication et du et d’intégrité ». conduite. avec la politique générale. des principes éthiques (charte,
– « Environnement respect de l’ensemble – Absence de – Règlement intérieur. – Perte d’esprit de groupe, code de conduite…).
de contrôle ». des règles de conduite, communication de ces – Procédures de diffusion d’esprit d’entreprise. – Traduire ces concepts en
d’intégrité et de culture règles. des documents à destination – Risque d’absence de principes d’actions collectives et
d’entreprise. – Incohérence de ces du personnel. déontologie de la part individuelles déclinées vis-à-vis de
règles avec les actions de – Communication des des dirigeants ou des chaque groupe de collaborateurs
la société. rémunérations dont celles salariés. (ex. : « n’accepter aucun cadeau
– Règles non appliquées des dirigeants. – Perte de crédibilité des des fournisseurs pour les
par certains dirigeants – Dispositif de directions de l’entreprise : acheteurs »).
(absence du principe whisthelblowing. Création de « pouvoirs » – Porter à la connaissance de
d’exemplarité). parallèles. l’ensemble du personnel et des
parties prenantes les règles de
conduite (affichage, intranet…).
– Organisation de campagnes de
sensibilisation à l’importance de la
dimension éthique.
231
– Être sûr de la – Les règles sont mal – Définitions formalisées – Conflits d’intérêts. – Définir les principes éthiques de
transparence dans la définies/interprétées. des responsabilités de – Manque de légitimité l’organisation (charte d’éthique).
communication des – Manque de transparence chacun. envers les parties prenantes. – Émettre des règlements
informations. des transactions et prises – Communication des – Perte d’esprit de groupe, clairement formalisés.
de décision. rémunérations dont celles d’esprit d’entreprise. – Mettre en place un service de
des dirigeants. – Risque d’absence de communication ayant des objectifs
– Rédacteur des règlements déontologie de la part définis.
et références légales des dirigeants ou des
identifiés. salariés.
– Sanctions encourues en – Décisions inconnues
fonction de l’infraction des parties prenantes,

clairement précisées. empêchant l’application
effective des règles.
d’empêchement)
3. « Règles du jeu » – Être sûr que – Défaut de mise à jour – Actions de formation du – Non-conformité aux – Sensibiliser et former le personnel
– « Environnement l’organisation dispose des connaissances. personnel. obligations légales. aux obligations qui s’imposent à eux.
de contrôle ». d’une connaissance – Défaut de diffusion des – Procédure de mise à jour – Litiges avec les employés. – Mettre en place un dispositif de
suffisante des obligations informations. des connaissances. – Conflits avec mise à jour des connaissances.
(lois, réglementations…) – Absence de formation. – Procédure de veille sur les syndicats et les – Procédure de veille sur les
qui s’imposent à elle – Diversité et densité des les réglementations. représentants du réglementations.
(« Règles du jeu »). informations. – Planning de diffusion personnel. – Procédure de diffusion des
L’information concernée – Les documents attestant des informations. – Sanctions prud’homales. informations.
doit être gérée : de la conformité ne sont – Documents comptables – Mettre en place une procédure
actualisation, conservation, pas conservés ou sont erronés. de conservation et d’archivage
disponibilité, diffusion… égarés. des documents attestant de la
conformité de l’entité aux lois et
réglementations en vigueur.
232
B. Organisation
1. Organisation – Être sûr que – Périmètre de l’organisa- – Cartographie des – Remise en cause de la – Déterminer le périmètre de
appropriée l’organisation est tion non déterminé/mal processus. pérennité de l’entreprise. l’organisation auquel s’applique le
– « Environnement objective et adaptée à connu. – Organigramme. – Dispositif de contrôle dispositif de Contrôle Interne.
de contrôle » la culture d’entreprise, – Organes de Gouvernance – Grille de séparation interne inadapté à – Définir les organes de
à l’environnement, au interne non définis. des fonctions. l’organisation. gouvernance interne.
secteur d’activité et à la – Absence de formalisation – Formalisation des – Non atteinte des – Établir une cartographie des
réalisation des objectifs. des liens entre les différents pratiques et processus clés. objectifs. processus.
services. – Dispositifs de – Manque de – Établir des procédures
– Taille de l’organisation conservation du savoir coordination. exhaustives, mises à jour, et
inadaptée. faire. – Mauvaise maîtrise des diffusées.
– Absence d’organigramme. – Compte rendu des risques liés à l’activité. – Établir un organigramme.
– Mauvaise estimation des réunions des organes de – Perte de productivité. – Définir clairement les postes et
ressources nécessaires à la gouvernance. – Pertes financières. les activités de l’organisation.
réalisation des objectifs. – Liste des pouvoirs.
– Mauvaise appréhension – Liste des relations
de l’environnement de fonctionnelles.
l’entreprise.
– Mauvaise connaissance de
la culture de l’entreprise.
1. Organisation – Être sûr que – Méconnaissance des – Organes de gouvernance – Incohérence des actions – Organisation adaptée au secteur
appropriée (suite) l’organisation permet la objectifs. interne (comités d’audit, avec les objectifs. d’activité et à l’environnement.
– « Environnement réalisation des objectifs, – Périmètre de d’éthique…). – Mauvaise circulation des – Mise à disposition des ressources
de contrôle » ces derniers devant être l’organisation non – Adéquation entre les informations. matérielles et financières
planifiés, exécutés et déterminé/mal connu. besoins et les moyens mis – Mauvaise maîtrise des nécessaires afin d’atteindre les
contrôlés. – Organes de Gouvernance à disposition, définition de risques liés à l’activité. objectifs et respecter la législation.
interne non définis. politiques opérationnelles – Perte de productivité. – Communication des objectifs de
– Mauvaise articulation visant à l’atteinte des – Pertes financières. façon uniforme par le même canal
des objectifs stratégiques et objectifs. de communication et depuis la
opérationnels. – Indicateurs de contrôle même source.
– Objectifs flous, imprécis et plan d’action. – Définir le champ d’action de
et non suivis. – Plaquette de présentation l’organisation : Secteur d’activité,
de l’organisation, business produits, clients, fournisseurs…
plan et rapport annuel.
– Rapport de contrôle
interne.
2. Définition des – Être sûr que les – Organigramme – Organigramme. – Perte de temps – Définir un organigramme,
responsabilités et responsabilités et pouvoirs inexistant, méconnu, ou – Fiches de poste. (méconnaissance des des fiches de postes, une liste
233
des pouvoirs sont attribués à des non respecté. – Délégations de pouvoir. personnes habilitées, des personnes habilitées et des
– « Environnement personnes appropriées – Absence d’arbitrage – Listes des pouvoirs. tâches doublons, tâches délégations de pouvoir avec
de contrôle » selon les objectifs de objectif lors des définitions – Fréquence des mises incompatibles). la signature des personnes
l’organisation et en de fonction. à jour. – Non atteinte des concernées.
respectant le principe de – Manuel des procédures. objectifs. – Prévoir les accès aux fichiers/
séparation des fonctions. – Risque de fraudes. données en conséquence.
– Pertes financières.
– Être sûr que ces – Organigramme – Organigramme. – Perte de temps – Procédure de diffusion de ces
responsabilités et pouvoirs inexistant, méconnu, ou – Fiches de poste. (méconnaissance des documents à l’ensemble des
sont formalisés et non mis à jour. – Listes des pouvoirs. personnes habilitées, personnes concernées.
communiqués. – Absence de répartition tâches doublons, tâches – Mise à jour régulière de ces
des tâches et des incompatibles). documents.
responsabilités (pas de liste
de personnes habilitées,
pas de fiche de poste).
– Relation informelle.
d’empêchement)
3. Politique et – Être sûr que les services – Absence de définition – Procédure de – Recrutement – Mettre en place les procédures
pratique de gestion disposent de moyens d’une politique claire en recrutement et de de personnes non concernées (recrutement,
des Ressources humains suffisants matière de recrutement, de formation. compétentes. formation…).
humaines (effectifs & compétences) formation, de promotion – Grille de rémunération. – Personnel ne répondant – Entretiens d’évaluation effectués
– « Environnement à leur bon fonctionnement et de rémunération. – Contrats de travail. pas aux attentes. par une personne habilitée.
de contrôle » et à l’atteinte des objectifs – Bilans de compétence. – Non atteinte des – Plan de formation continue.
fixés. – Notes attribuées au objectifs. – Validation des besoins de
personnel. – Performances revues à recrutement.
la baisse. – Grille pour les rémunérations
– Découragement et les promotions.
234
et démotivation du – Note de cadrage pour les
personnel. rémunérations et les promotions.
– Gestion prévisionnelle des
Emplois et des Compétences.
4. Système – Être sûr de l’adaptabilité – Système d’informations – Gestion des habilitations. – Accès aux informations – Gouverner et concevoir le
d’information (SI) du système d’information trop complexe ou – Plan de secours, et données non sécurisés système d’information.
– « Information et aux objectifs de insuffisant par rapport aux de continuité de (fraudes). – Rendre opérationnel le système
communication » l’organisation, de besoins du processus. l’exploitation, de sécurité. – Système d’informations informatique (formation des
la conservation des – Aucun plan de secours, – Programme de formation non adapté. utilisateurs, mise en place des
données, de la continuité de sécurité. des utilisateurs. – Mise en danger infrastructures).
d’exploitation (procédures – Absence de formations – Études préalables. de la continuité de – Sécuriser l’accès aux données et
de secours). du personnel à – Guides d’utilisateur. l’exploitation. programmes.
l’utilisation des systèmes – Risque de démotiver
d’information. le personnel à utiliser
convenablement le SI.
5. Procédures, – Être sûr que le dispositif – Absence de référentiel de – Cartographie des – Mauvaise exécution – Définir les procédures, modes
modes opératoires, de Contrôle Interne (CI) procédures. processus. des tâches. opératoires et outils nécessaires aux
outils et pratiques repose sur : – Procédures non – Diffusion des – Non-fiabilité des missions des collaborateurs.
– « Environnement – des procédures ou modes mises à jour ou non informations. informations. – Formaliser les procédures de
de contrôle » opératoires par action ou communiquées. – Manuel des procédures. – Pertes financières. l’organisation et les diffuser de
processus. – Formation insuffisante – Fréquence des mises – Possibilité de fraudes. façon efficace.
– des outils ou instruments des collaborateurs. à jour. – Opérations non – Diffuser ces outils aux
de travail. – Procédures incomplètes – Cohérence globale de sécurisées. collaborateurs.
– des pratiques et inefficaces. l’ensemble des procédures. – Perte de productivité, – Veiller à ce que les modes
communément admises au – Mise à disposition allongement des délais opératoires, procédures ou autres
sein de la société. des modes opératoires, de traitement. documents soient connus de tous.
guides, procédures aux – Risques de conflits – Veiller à la mise à jour des
collaborateurs pour qu’ils d’intérêts non arbitrés. procédures.
puissent accomplir leur – Perte d’informations – Mettre en place une
mission. et de savoirs. coordination des procédures de
– Formalisation des – Non-optimisation des l’organisation.
procédures de CI au sein pratiques.
des services. – Découragement des
salariés, baisse de leur
235
engagement personnel.
C. Diffusion en interne d’informations pertinentes

1. Diffusion – Être sûr que les circuits – Surplus d’informations : – Circuits d’information – Informations transmises – Transmettre les informations
en interne d’information (Intranet, Informations non formalisés. aux personnes inadéquates de manière synthétique pour les
d’informations « Papier »…) sont essentielles parasitant les – Recensement de (absence de confidentialité directions et plus détaillées pour
pertinentes adaptés à la nature des circuits d’information l’information afin de de l’information). l’exploitation.
– « Information et informations transmises. majeurs. déterminer les destinataires – Non atteinte des – Formaliser un processus de
communication » – Défaut d’information : appropriés. objectifs à cause d’un diffusion avec liste des personnes
Des informations clés – Processus de diffusion. manque d’information. concernées.

sont manquantes pour – Liste des informations – Retard au niveau de – Recenser les informations
le bon fonctionnement pré requises pour le l’exploitation. – Perte de nécessaires à la réalisation des
de l’organisation. fonctionnement des productivité. objectifs et leur suivi.
– Non-respect des circuits fonctions clés. – Mettre en place une sélection de
d’information : présence l’information demandée en vue d’y
de goulets de rétention apporter une réponse synthétique.
d’information ou disponi-
bilité de l’information au
mauvais endroit.
d’empêchement)
1. Diffusion – Être sûr que les – Communication – Tableaux de bord. – Objectifs non réalisés. – Recenser les informations
en interne informations sont fiables, déficiente, excès – Supports de – Décisions de gestion nécessaires à la réalisation des
d’informations pertinentes et qu’elles sont d’informations ou retard communication (affichage, prises sur des informations objectifs et leur suivi.
pertinentes (suite) transmises aux personnes dans leur mise à jour et/ou intranet, courriers, notes non fiables. – S’assurer que la cohérence entre
– « Information et adéquates et disponibles en leur diffusion. de service…). – Manque de réactivité, les catégories de destinataires et
communication » temps opportun. – Protection et supports de – Reporting. performances revues à la leur responsabilité.
l’information inadaptés. – Liste des habilitations. baisse. – Gérer la diffusion des
– Absence d’étapes de – Bilans sociaux et états – Mauvaise gestion de crise procédures (liste de destinataires,
validation dans le processus financiers. en cas d’incident. date d’application, délai de
de communication de – Éléments statistiques – Informations transmises validité, procédures modifiées ou
l’information. utiles à la gestion. aux personnes inadéquates annulées…).
– Non-respect de la – Délégations de (absence de confidentialité – Mettre en place un programme
confidentialité. responsabilité/supervision. de l’information). de priorisation des informations
236
– Processus de diffusion. – Non-fiabilité de à traiter.
– Politique de l’information. – La diffusion de l’information
communication externe en – Perte d’informations. est déléguée de façon claire
cas de crise. – Informations non et supervisée à des individus
– Recensement de l’infor- exploitables car non identifiés.

mation afin de déterminer exhaustives.
les destinataires appropriés.
D. Analyse de risques
1. Identification – Être sûr que les – Clarification insuffisante – Cartographie des risques. – Non atteinte des – Mettre en place une cartographie
et recensement principaux risques, des objectifs. – Manuel de procédures. objectifs de l’organisation. des risques et un processus de
des risques pouvant avoir un – Mauvaise appréhension – Moyens alloués au – Mauvaise maîtrise des recensement continu.
– « Identification impact sur la capacité de des risques selon leur recensement des risques. risques. – Cibler les risques par domaine :
des événements ». l’organisation à atteindre nature et leur impact. – Existence et attributions – Performance revue à Métiers, fonctions, catégorie…
ses objectifs, sont identifiés – Domaine de définition d’une fonction risk la baisse et malversation – Effectuer des entretiens
et recensés de façon des risques mal connu. management. (inefficacité, perte individuels avec les managers des
exhaustive. – Manque de moyens pour financière, fraude…). processus concernés.
identifier les risques. – Risques importants non – Créer une fonction risk
détectés. management si nécessaire.
2. Évaluation – Être sûr que les risques – Critères d’évaluation non – Fiches d’évaluations – Mauvaise maîtrise des – Définir des critères d’évaluation
des risques sont évalués de façon définis ou imprécis. des risques répertoriant risques. des risques pertinents en fonction
– « Évaluation pertinente selon leur – Critères d’évaluation des l’ensemble des critères. – Performance revue à des objectifs et nature d’activité
des risques » niveau d’impact et leur risques non pertinents. – Statistiques d’occurrence la baisse et malversation en tenant compte du degré
probabilité d’occurrence. – Sous estimation de et de la gravité des (inefficacité, perte d’occurrence et niveau d’impact
l’impact et/ou de la incidents rencontrés. financière, fraude…). – L’évaluation des risques doit être
probabilité d’occurrence. – Cartographie des risques. – Perte de temps. complétée par un recensement des
– Manque de moyens et – Hiérarchisation des – Pertes financières. moyens mis en œuvre pour traiter
d’outils pour évaluer les risques. – Mauvaise identification ces risques et par l’identification
risques (occurrence et – Recensement des moyens et évaluation des risques. des risques acceptés.
gravité des incidents). mis en œuvre pour traiter – Risque sur ou sous- – Élaboration de la cartographie
– Non-fiabilité de la les risques. évalué. des risques en tenant compte des
cartographie des risques. fondamentaux de l’organisation.
– Mettre à disposition des outils
permettant d’évaluer les risques.
– Créer une fonction risk
management si nécessaire.
– Être sûr d’avoir pris en – Mauvaise appréciation – Rapport de contrôle – Mise en place d’un – Effectuer des démarches de
237
compte l’environnement de l’environnement de interne. dispositif de contrôle benchmarking sur les évolutions
de l’organisation ainsi que contrôle existant. – Reporting sur la inadapté. du secteur.
les dispositifs de contrôle – Absence d’investigations situation financière et – Mauvaise appréciation – Disposer d’une cartographie
interne existants. sur le terrain ou de opérationnelle des entités des risques. des dispositifs de contrôle interne
reporting en provenance décentralisées à différentes – Manquement pour l’ensemble des entités de
des entités décentralisées. périodes.– Procédures de d’opportunités. l’organisation.
contrôle interne existantes. – Créer une fonction « Contrôle
interne » si nécessaire.
3. Procédures de – Être sûr que les – Procédures absentes, – Procédure de gestion des – Incapacité à réagir en cas – Formaliser une procédure de
gestion des risques procédures de gestion et imprécises ou non risques. d’occurrence des risques. gestion des risques précisant les
et surveillance de surveillance des risques communiquées. – Inventaires des risques – Ralentissement de différentes alternatives possibles
– « Traitement des sont formalisées, connues – Responsabilités et rôles survenus. l’activité. dans le traitement du risque
risques » et appliquées. des personnes en charge – Fiches de mission des – Non atteinte des objectifs. (évitement, recours à l’assurance,
de la gestion des risques différents services et – Performance revue à mise en œuvre d’un dispositif de
et du suivi non définis ou acteurs. la baisse et malversation contrôle interne…).
imprécis. – Organigramme. (inefficacité, perte – Définir de façon précise les rôles
– Mauvaise financière, fraude…). respectifs de l’audit interne, du
communication entre les – Superposition des risk management et du Contrôle
services d’audit interne et dispositifs. interne en la matière.
de risk management. – Non-maîtrise des
impacts potentiels.
d’empêchement)
E. Surveillance et pilotage
1. Surveillance – Être sûr que le dispositif – Absence de structure – Rapport sur le contrôle – Perte de productivité – Instaurer une structure dédiée
permanente et de contrôle interne (DCI) de contrôle interne interne/Plan stratégique de due à un gaspillage à la surveillance permanente
pilotage est adapté à l’organisation formalisée. l’entreprise. de ressources dans les (recrutement, formation,
– « Suivi et pilotage et qu’il est piloté par – DCI trop lourd : Sur – Tableau de bord du DCI. opérations de contrôle. reporting…).
du dispositif de une structure identifiée contrôle. – Périmètre du DCI. – Des risques ne sont pas – Mise à jour des procédures de CI.
contrôle interne » (Fonction « Contrôle – DCI insuffisant : le DCI – Objectifs de la fonction identifiés pouvant mettre – Impliquer tous les échelons
interne »). ne couvre pas l’ensemble « Contrôle interne ». en péril l’atteinte des hiérarchiques de l’organisation
de l’organisation. – Organigramme et objectifs. dans la tenue du DCI.
– Le positionnement de la définitions de fonction des – Non atteinte des – Adapter le DCI et la nature
fonction Contrôle Interne contrôleurs internes. objectifs. des contrôles en fonction du
n’est pas précis. – Absence de crédibilité du secteur d’activité et des objectifs :
– Le DCI s’avère inadapté management entraînant « l’organisation ne vit pas pour le
238
compte tenu des objectifs une désolidarisation des contrôle »
et de l’organisation. employés au niveau du – Positionner la fonction
contrôle interne. « Contrôle interne » de façon
claire dans l’organisation.
– Définir son rôle dans l’organi

sation et les objectifs à atteindre.
– Être sûr que le dispositif – DCI inadapté ou – Tableaux de bord. – Objectifs de l’entreprise – Instaurer une structure dédiée
de contrôle interne fait inefficace. – Rapport sur la situation non atteints. à la surveillance permanente
l’objet d’une surveillance – Absence d’outil de du contrôle interne. – Visions à court terme (recrutement, formation,
permanente (pertinence et surveillance permanente. – Rapport sur les revues et non anticipation des reporting…).
adéquation aux objectifs de – Manque de cohérence périodiques. incidents. – Utiliser des outils tels que
l’organisation). entre le DCI et les objectifs. – Tableau de bord de suivi – Décisions prises non tableaux de bord de pilotage de
– Absence de processus de des risques. pertinentes. contrôle interne.
supervision. – Certification du rapport – Pérennité remise en – Rédiger un rapport sur la
– Absence d’encadrement. de contrôle interne par les cause. situation du contrôle interne de
– Absence, difficulté de CAC. – Système budgétaire l’entreprise.
positionnement de l’équipe incohérent. – Mise à jour des procédures de CI.
de contrôle interne.
– Non-réalisation et – Mettre en place un dispositif

non optimisation des d’autoévaluation du CI et des
opérations. risques.
– Non fiabilité des – Utilisation d’outils de
informations. surveillance.
– Non-respect des – Évaluer le management
réglementations. (responsable de la qualité du
– Mauvaise supervision et contrôle interne).
évaluation du personnel. – Intégration d’indicateurs
dans le tableau de bord du
« président ».
2. Surveillance – Être sûr que le dispositif – Acteurs du dispositif de – Rapports d’audit – Décisions prises sur des – Rédiger et faire valider par la
périodique de contrôle interne fait surveillance périodique (interne et externe). informations non fiables direction générale et le conseil
– « Suivi et pilotage l’objet d’une surveillance (CI, auditeurs internes – Charte d’audit interne (informations erronées une charte d’audit interne qui
du dispositif de périodique afin d’identifier AI, qualité…) non et du commissariat aux car absence de double définit ses missions, pouvoirs et
contrôle interne » les défaillances et de indépendants et/ou non comptes (CAC). contrôle). responsabilités.
proposer des actions de objectifs. – Programme annuel – Non-optimisation – Planifier des contrôles
progrès. – Critères d’évaluation non d’audit. et non-conformes des indépendants en fonction des
239
fiables, non pertinents. – Ordres du jour et opérations. risques recensés.
– Absence d’archivage des comptes rendus des – Non atteinte des – Coordonner les activités de l’AI
contrôles effectués. comités d’audit. objectifs. avec celles des CAC.
– Acteurs ne disposant pas – Programme qualité de – Non-réalisation des – Archiver l’ensemble des rapports
des compétences requises. l’audit interne. opérations. d’audit de façon à être consulté à
– Inadéquation du niveau – Plan d’orientation sur les – Non-respect des temps opportun.
technique des auditeurs risques les plus importants. réglementations. – Rattacher le service d’audit
internes. – Risque de fraudes. interne directement à la direction
– Champ des activités de – Perte de crédibilité de générale et lui faire rendre compte
l’audit interne inapproprié l’audit interne car les au conseil (son émanation :
résultats de ses travaux ne Le comité d’audit).

représentent pas la réalité. – S’assurer de l’indépendance de
l’audit interne.
– Surveiller et évaluer l’efficacité
du programme qualité de l’audit
interne.
d’empêchement)
3. Information – Être sûr que la – Structure de – Rapports d’audit. – Obligations – Mettre en place un Comité
au conseil direction générale rend Gouvernance inadaptée en – Planning des comités réglementaires non d’audit et définir son rôle en
– « Information compte de façon réelle matière de contrôle interne d’audit. remplies. matière de contrôle interne et de
et communication ». et pertinente au conseil et de management des – Ordres du jour et procès- – Prise de décisions management des risques.
(ou comité d’audit) des risques. verbaux des réunions. erronée (manque – Communiquer son planning des
caractéristiques essentielles – Rôle du conseil (comité – Documents de suivi. d’informations essentielles, réunions.
du dispositif de contrôle d’audit) imprécis. – Rapports sur le contrôle pertinentes). – Définir le rôle de la direction
interne et de management – Multiplicité ou interne. – Recommandations et générale et de l’audit interne (et
240
des risques. insuffisance des – Reporting, tableaux de plans d’actions émis à la autres instances de « contrôle ») en
informations jugées bord. suite de ces réunions ne matière de contrôle interne et de
essentielles. – Rapport annuel sur les reflétant pas la réalité. management des risques dans le
– Retard dans la travaux du Comité d’audit. – Non-information du cadre du comité d’audit.
transmission des rapports, conseil. – Définir la périodicité de

informations. – Engagement de la collecte et de transmission des
– Mauvaise interprétation responsabilité de direction informations nécessaires aux
des rapports d’audit. générale. réunions du conseil.
– Planification et – Contrôler la fiabilité des
communication imprécises informations remises au conseil.
quant aux réunions du
Conseil. – Remontée
d’informations erronées,
incomplètes.
L’approche par processus-domaines

•• management – direction générale . . . . . . . . . . . . . . . . . . . p. 242
•• gestion des ressources humaines . . . . . . . . . . . . . . . . . . . . . p. 244
•• finance – comptabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 249
•• juridique – fiscal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 255
•• contrôle de gestion – reporting . . . . . . . . . . . . . . . . . . . . . p. 260
•• systèmes d’informations . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 266
•• recherche et développement . . . . . . . . . . . . . . . . . . . . . . . . p. 270
•• marketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 273
•• achats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 279
•• gestion des stocks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 283
•• production et services connexes . . . . . . . . . . . . . . . . . . . . . p. 287
•• commercial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 299
•• service après-vente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 312
•• logistique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 317
•• qualité – sécurité – environnement . . . . . . . . . . . . . . . . . . p. 324
Rappel : l’ensemble des référentiels présentés illustrent la dimension

« Activités de contrôles » commune aux deux modèles COSO-II et
« AMF ».
Ils doivent être considérés comme le fruit d’un travail de recherche
universitaire et nécessitent une d’adaptation au contexte de chaque orga-
nisation auditée. Ces exemples de référentiels de risques pourront guider

l’auditeur interne lors de l’élaboration des tableaux de risques, dans le
cadre de leur mission globale « d’audit de filiales ».
241
Management – direction générale
PROCESSUS ET/OU DOMAINE : management – direction générale

FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
(découpage du processus et/ou domaine)
1. Planifier – Être sûr que pour toutes – Mauvaise identification – Tableau de planification. – Non atteinte des – Fixer les objectifs.
les activités prévues : des activités, des moyens et – Liste des activités. objectifs. – Recenser l’ensemble des
les moyens matériels, des responsabilités. – Calendrier d’exécution – Impossibilité de suivre la ressources dont dispose l’entreprise
financiers et humains – Absence de calendrier des activités. réalisation des activités. (ressources humaines, matérielles
sont déterminés et sont d’exécution des activités. – Budget – Défaillances dans la et financières).
en adéquation avec les – Outil de suivi inexistant. – Liste des responsabilités. structure entraînant – Établir un planning pour la
objectifs de l’organisation. une diminution de réalisation de chaque objectif qui
242
l’efficience et l’efficacité de sera communiqué à l’ensemble des
l’organisation. managers.
– Mauvaise optimisation
des ressources.
2. Piloter – Être sûr d’une remontée – Absence de dispositif de – Entretiens avec la – Mauvaise appréciation – Définir un planning des
d’information permettant remontée de l’information. direction générale. de l’activité. réunions de pilotage entre la
d’apprécier le déroulement – Non-fiabilité de – Choix des indicateurs – Pérennité de l’entreprise. direction générale et les principaux
des activités et de prendre l’information. pertinents. – Non atteinte des responsables opérationnels et
les décisions adéquates. – Pas d’indicateur de – Comptes rendus de objectifs. fonctionnels.
mesure de la performance. réunion entre la DG et les – Perte de temps dans la – Définir des modèles de tableaux
managers des différents prise de décision. de bord déclinés pour chaque
services. responsable.
– Définir un calendrier
institutionnel de diffusion des
informations nécessaires au
pilotage des activités.
3. Veiller à la – Être sûr de la correcte – Absence de recensement – Contrat d’assurance. – Actifs mal protégés, – Existence de moyens de
sauvegarde protection des actifs de des actifs significatif de – Procédure de déclaration risque de perte financière. protection des actifs matériels
des actifs de l’entreprise. l’organisation. des sinistres. – Litige avec la compagnie (contre le vol, l’incendie…).
l’organisation – Sous estimation des – Procédure de revue d’assurance. – Procédure de dépôt de brevets.
actifs immatériels. périodique des contrats – Surévaluation de la – Contrat d’assurance réévalué
d’assurance. prime d’assurance. en fonction de l’évolution de
– Procédure de protection – Risque de vol l’organisation.
de la propriété intellec- – Risque de perte du savoir – Déclaration rapide des sinistres
tuelle de l’organisation. de l’organisation selon une procédure précise et
– Procédure de suivi des connue de tous.
remboursements des – Suivi du remboursement des
sinistres. sinistres.
4. Contrôler – Être sûr que les – Les données de sorties ne – Système d’Information. – Absence d’information – Définir une procédure précisant
et analyser les résultats financiers sont sont pas fiables. – Planning des réunions pour piloter l’organisation. les modalités d’analyse des
résultats financiers périodiquement comparés – Le Système d’analyse des résultats. – Difficulté pour les prises résultats financiers (périodicité,
aux objectifs initiaux. d’information (SI) est mal – Formalisation des de décisions, ou prises de informations nécessaires,
paramétré. objectifs généraux et décisions erronées. personnes concernées…).
– Pas de réunion d’analyse de leur déclinaison en – Difficulté et/ou erreur – Définitions de fonction
243
des résultats au niveau de objectifs par processus et/ lors de la consolidation des intégrant cette responsabilité pour
l’organisation (direction ou fonctions. résultats. les personnes concernées.
générale et principaux – Organigramme et – Pas de valorisation du – Existence de tableaux de bord
responsables). définitions de fonction. travail des collaborateurs. pertinents.
– Mauvaise déclinaison des – Indicateurs mis – Formalisation d’une pratique
objectifs par services. à disposition du budgétaire (établissement et suivi
– Le SI ne permet pas de management. des budgets).
produire des tableaux de – Existence d’une fonction
bord de suivi. contrôle de gestion indépendante.
5. Communiquer – Être sûr de l’existence – Absence de reporting. – Procédure sur les – Manque de réactivité sur – SI de la filiale intégrant les
les résultats à la et du respect des – Absence de procédure remontées d’informations le suivi de la réalisation exigences du reporting à la maison
maison mère (cas procédures de remontée détaillée. à la maison mère. des objectifs par la maison mère.
d’une filiale) des informations de la – Procédure non appliquée. – Caractéristiques du mère. – Formalisation d’une procédure
filiale à la maison mère – Le SI de la filiale ne Système d’Information – Erreur dans la stratégie précisant les modalités du
(reporting). permet pas d’alimenter le (SI) quant à sa capacité à locale et globale. reporting (planning, nature
reporting établi et destiné alimenter le reporting de la – Manque de coordination des informations demandées,
à la maison mère. maison mère. engendrant une faiblesse responsables concernés en filiales
– Les données ne sont pas – Planning du reporting. face à la concurrence. et au niveau du groupe…).
fiables. – Entretiens avec le service – Pas de vision à moyen
– Absence de planning des « Consolidation » de la long terme.
remontées d’informations. maison mère.
Gestion des ressources humaines
PROCESSUS ET/OU DOMAINE : gestion des ressources humaines

Étapes/
A. Recrutement et évolution de carrière
1. Identification – Être sûr que le besoin – Absence de formalisation – Procédure de – Absence de recrutement. – Formaliser par écrit la procédure
du besoin de de recrutement est des besoins en recrutement recrutement. – Recrutement inapproprié. de recrutement intégrant toutes
recrutement correctement formalisé et de la part des services – Fiches de profils des – Pertes financières. les étapes (expression du besoin,
communiqué. demandeurs. postes recherchés et – Baisse de la productivité. rôles et responsabilités des acteurs,
– Mauvaise formalisation description des critères – Non-atteinte des objectifs. méthodes de sélection…).
de ces besoins (pas de fiche d’embauche. – Rédaction de fiches « Profil de
précisant le profil du poste – Entretiens avec les poste ».
recherché). responsables des différents – Entretiens réguliers avec les
244
– Absence de services demandeurs. différents services.
communication efficace de – Étude prévisionnelle du
ces besoins. marché du secteur.
2. Recrutement – Être sûr que le personnel – Difficulté et/ou – Procédure de – Personnel sur ou sous – Formaliser par écrit la procédure
du personnel recruté correspond aux incapacité à sélectionner les recrutement existante. qualifié. de recrutement intégrant toutes
besoins de l’organisation bons profils correspondant – Fiches « Profil de poste » – Sur ou sous effectif. les étapes (expression du besoin,
(effectifs et compétences). aux exigences des postes à et description des critères – Pertes financières. rôles et responsabilités des acteurs,
pourvoir. d’embauche. – Baisse de la productivité. méthodes de sélection…).
– Manque d’attractivité – Entretiens avec les – Mécontentement du – Favoriser la promotion interne
de l’organisation sur le responsables des différents personnel. avant de procéder aux sélections
marché de l’emploi. services demandeurs. – Non atteinte des de candidats en externe.
– Mauvaise formalisation – Étude prévisionnelle du objectifs. – Mettre à jour régulièrement
des besoins (pas de fiche marché du secteur. – Perte du savoir faire. l’analyse des besoins prévisionnels
précisant le profil du poste en termes d’effectifs, dans le cadre
recherché). de la planification des activités.
– Manque de candidats
qualifiés.
3. Plan de carrière, – Être sûr que les – Absence d’une politique – Procédure interne de – Manque d’implication. – Mise en place d’une gestion
mutation et aspirations des salariés de d’évolution des carrières. promotion. – Manque de motivation. prévisionnelle des compétences.
promotion l’organisation sont prises – Absence de commu- – Questionnaire de – Mise en place d’une
en compte dans le cadre nication sur les postes à satisfaction des salariés sur communication interne pour
d’une politique d’évolution pourvoir en interne. leur possibilité d’évolution. informer les salariés sur les postes
des carrières. à pourvoir.
4. Analyse – Être sûr que les postes – Fonctions et postes ne – Document type d’analyse – Manque de cohésion, – Mise en place de documents
des postes existants sont pertinents. faisant pas l’objet d’une de poste. – Fiches de de transparence entre les types permettant de faire le point
et évaluation définition claire. définition de fonction. postes. sur les postes.
des personnes – Absence de veille sur les – Existence de postes – Veille des compétences.
évolutions de postes et de inutiles.
fonctions. – Perte financière et perte
de performance.
5. Évaluation – Être sûr que les salariés – Pas de fiche type – Comptes rendus – Démotivation des – Mise en place d’un guide
des personnes sont évalués objectivement d’évaluation des salariés. d’entretien annuel salariés. d’entretien individuel d’évaluation.
et régulièrement. – Pas de procédure d’évaluation. – Risque de poursuite – Établissement de bilan de
d’évaluation des – Procédure existante juridique. compétences.
compétences. d’évaluation des personnes. – Promotion des – Grille d’auto-évaluation.
245
– Pas de communication « mauvaises » personnes – Communication des résultats
des résultats d’évaluation aux « mauvais » postes. aux personnes concernées.
aux personnes concernées.
6. Rotation – Être sûr que la rotation – Les rémunérations et – Taux de turnover. – Démotivation du – Disposer d’une véritable
du personnel du personnel est à un avantages proposés par – Grilles de salaire de personnel. politique en matière de plan
niveau pertinent (turnover l’organisation ne sont pas référence – Turnover important. de carrière.
et rotation nécessaire des concurrentiels. – Fiches d’évaluation du – Départ des meilleurs – Mettre en place un benchmark
postes maîtrisés). – Les salariés peuvent personnel éléments. concernant les salaires et
avoir le sentiment que – Existence de réunion – Installation de avantages proposés par les autres
leurs efforts ne sont pas permettant une remontée certaines catégories de organisations du même secteur
reconnus. d’informations sur la salariés dans une routine d’activité.
– Les salariés sont satisfaction des salariés. professionnelle. – Étude et évaluation régulière
réfractaires à la mobilité des rémunérations et avantages
professionnelle. accordés par l’organisation
– Formaliser les facteurs
d’évolutions de la rémunération

Étapes/
(objectifs de contrôle de bonnes pratiques
Sous-domaines Facteurs (scénarios
interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
B. Rémunération
1. Salaire et son – Être sûr que les – Grilles de salaire non- – Grille de salaires. – Non-respect de – Définir une politique salariale
évolution rémunérations sont conformes. – Conventions collectives. la législation ou des conforme aux conventions
conformes à la législation – Pas de personne – Dispositions conventions collectives. collectives et aux dispositions
et/ou à la convention responsable des mises à législatives en matière de – Risque de fraude (baisse législatives.
collective. jour. rémunération. des cotisations sociales). – Mettre en place une veille
– Absence de politique réglementaire en la matière.
salariale.
– Être sûr qu’il y a – Pas de personne – Définitions de fonction. – Insatisfaction des – Mise en œuvre d’une gestion des
adéquation, pour chaque responsable des mises à – Liste des qualifications salariés. dossiers individuels du personnel
246
catégorie de postes, entre jour. requises par catégorie de – Absence des compétences (qualification lors de l’embauche,
les compétences requises et – Absence de postes. requises au poste donné. formations suivies, expériences
le niveau de qualification nomenclature des postes et – Dossiers du personnel. – Démotivation des acquises…).
des salariés (diplôme, de grilles des salaires. – Grilles des salaires en candidats ou des nouveaux – Définir une politique salariale
expérience…). – Absence d’arbitrage lors fonction du niveau de embauchés. conforme aux conventions
de l’attribution des postes. qualification. collectives et aux dispositions
législatives.
2. Autres éléments – Être sûr que – Méconnaissance des – Distribution effective – Risques de conflits – Formaliser tous ces éléments
de rémunération l’organisation respecte engagements en la matière. de la participation et sociaux. de rémunération (hors salaire)
ses engagements vis-à-vis – Absence et/ou faiblesse de l’intéressement, des – Poursuites prud’homales, dans les dossiers individuels du
de ses salariés concernant du système d’information primes… .. impliquant pertes personnel.
les « autres éléments permettant de transmettre – Calcul effectif des financières. – Définir une procédure de calcul
de rémunération » au service concerné, les montants. – Insatisfaction du et de versement de la participation
(participation et justificatifs de ces primes – Dossiers du personnel. personnel et l’intéressement.
intéressement, primes, et avantages divers. – Entretien avec les – Démissions des cadres. – Versement des primes aux
avantages divers…). – Retard dans le traitement responsables du Comité salariés suivant les critères et
des informations et dans d’Entreprise et autres périodicité convenus.
le règlement des montants instances représentatives.
concernés.
C. Formation
1. Détection – Être sûr que chaque – Absence de – Pratiques concernant – Manque de compétences. – Établir des fiches types pour
des besoins salarié peut bénéficier des préoccupation en la l’identification des besoins – Pas d’évolution possible connaître les besoins et les attentes
et élaboration formations lui convenant matière. en matière de formation : des carrières et des de chacun.
du plan de et correspondant aux – Absence de démarche Plan de formation, connaissances de certains – Entretenir une relation client/
formation besoins de l’organisation. pour connaître les besoins cahier des charges, fiches salariés. fournisseur entre le service
en formation. formation… – Manque d’implication formation et les clients internes.
– Choix subjectifs – Circuit de validation des salariés. – Sensibiliser chaque responsable
concernant les personnes d’une formation. – Perte de compétitivité. de service à la nécessité et
à former et les domaines l’importance de la formation.
objet de la formation.
– Être sûr que – Méconnaissance des – Obligations en matière – Manque de compétences – Mettre en place une veille
l’organisation respecte ses obligations en la matière. de formation. des salariés. réglementaire.
obligations en matière de – Budget insuffisant. – Plan de formation. – Pas d’évolution possible – Définir une politique claire
formation. – Attestations des des carrières et des (formation en interne ou en
formations réalisées. connaissances de chacun. externe, individuelle ou collective,
– Manque d’implication avec des objectifs à atteindre).
des salariés. – Attribuer un poste de
247
– Perte de compétitivité. responsable formation et créer des
indicateurs de performance pour
cette fonction.
2. Mise en œuvre – Être sûr que les – Manque de compétences – Entretiens avec le service – Formations inefficaces. – Définir une procédure de mise
des actions de formations sont réalisées chez les formateurs. formation. – Démotivation des en œuvre des formations.
formation conformément aux cahiers – Formations inadaptées – Cursus antérieur à participants ressentant – Mettre en place des formations
de charges. (contenu et niveau ne chaque formateur. cela comme une perte de pertinentes par rapport à l’activité
correspondant pas aux – Cahiers des charges des temps. et au métier.
attentes et besoins des formations réalisées. – Effectuer la veille sur les

stagiaires). formations par rapport aux
évolutions des métiers de
l’organisation.
– Vérifier les expériences
antérieures des formateurs.
Étapes/
2. Mise en œuvre – Être sûr que les – Pas de fiche de présence. – Documents relatifs – Formations inefficaces. – Établir un document de
des actions de formations sont – Pas de responsable, pas aux formations (détails, – Démotivation des déroulement de la formation.
formation (suite) correctement effectuées. d’encadrement. planning de la journée, stagiaires ressentant cela – Communiquer toutes les
– Pas de correspondance modalité). comme une perte de informations concernant les
entre la demande et la – Vérifier que les temps. formations aux stagiaires.
formation. salariés sont informés – Gaspillage de ressources. – Formaliser tous les supports
– Manque de compétences du déroulement de formation et veiller à ce qu’ils
248
des formateurs. de la formation soient à jour.
(communication). – Vérifier les expériences
antérieures des formateurs.
3. Évaluation – Être sûr de l’efficacité – Pas de dispositif – Documents de suivi. – Inadaptation des – Définir une procédure
des résultats des formations et de la d’évaluation de la – Procédures d’évaluation formations. d’évaluation des formations
satisfaction des besoins et formation ni par le des résultats. – Perte de crédibilité de la (par les participants et par les
attentes des participants. stagiaire ni par sa – Fiches synthèse des formation : Apparition de responsables hiérarchiques des
hiérarchie. remarques des participants. formation « Pirates ». participants).
– Pas de fiche de suivi – Démotivation des – Désigner une personne du
durant la formation. stagiaires. service formation, ne mettant
– Évaluation non pas en place les formations,
objective. chargée de la synthèse de ces
évaluations.
Finance – comptabilité
PROCESSUS ET/OU DOMAINE : finance – comptabilité

Étapes/
1. Gestion des – Être sûr que les comptes – Absence d’inventaire – Compte rendu – États financiers erronés. – Formalisation d’une procédure
immobilisations/ d’immobilisations régulier des des inventaires des – Détournements, fraudes. de suivi des immobilisations
amortissements corporelles sont fiables immobilisations immobilisations. – Risque de non- (entrée et sortie du patrimoine,
(exactitude, exhaustivité). corporelles. – Méthode d’e valorisation certification des comptes. inventaire, valorisation…).
– Certaines des immobilisations. – Mauvaises décisions de – Création d’une liste de
immobilisations ne sont – Séparation des fonctions gestion car prises sur la personnes habilitées pour chaque
pas comptabilisées. entre la personne habilitée à base d’informations fausses type de mouvements comptables.
– Valorisation erronée provisionner et celle habili- ou approximatives.
des immobilisations. tée à saisir les écritures.
249
– Être sûr que les – Absence de procédure – Liste des personnes – États financiers erronés. – Référencement et suivi des prêts
opérations sur titres, d’autorisation des habilitées à signer un bon – Détournements, fraudes. aux filiales.
l’attribution de prêts opérations sur titres de cession ou de mise aux – Risque de non- – Rapprochement des
(notamment les et d’attribution rebuts. certification des comptes. amortissements avec les prêts.
prêts aux filiales…) des prêts aux filiales. – Procédure claire – Mauvaises décisions de
sont correctement – Erreur sur le taux de cession des gestion car prises sur la
comptabilisées et font d’amortissement. immobilisations. base d’informations fausses
l’objet d’un suivi. – Erreur sur le mode ou approximatives.
d’amortissement.
– Être sûr que les – Taux d’amortissement – Contrôler l’exactitude – États financiers erronés. – Contrôle des provisions.
amortissements sont erroné. des provisions. – Détournements, fraudes. – Création d’une liste de
correctement calculés et – Mode d’amortissement – Séparation des fonctions – Risques de non- personnes habilitées pour chaque
comptabilisés. inadapté. efficace entre la personne certification des comptes. type de mouvements comptables.
– Les provisions sont habilitée à provisionner et – Mauvaises décisions de – Mettre en place un référentiel
surévaluées ou sous- celle habiliter à saisir les gestion car prises sur la concernant les différentes
évaluées. écritures. base d’informations fausses provisions à effectuer sur l’année et
ou approximatives. la manière dont cela doit être fait.
Étapes/
2. Comptes – Être sûr du suivi et du – Absence ou mauvaise – Procédure de – États financiers erronés. – Procédure claire et exhaustive
d’achats contrôle des comptes application des procédures comptabilisation des – Détournements, fraudes. de comptabilisation des factures
fournisseurs. de comptabilisation des factures fournisseurs. – Mauvaises décisions de fournisseurs.
achats. – Procédure de création gestion car prises sur la – Instaurer une séparation des
– Liberté dans la création de comptes fournisseurs. base d’informations fausses fonctions, création de compte
de compte fournisseur. – Rapprochements ou approximatives. fournisseur, entrée des écritures
– Absence de séparation bancaires. – Sur paiement de et comptabilisation (personnes
des fonctions. – Liste des habilitations certaines prestations et/ou habilitées).
comptables fournisseurs. fournitures. – Vérification périodique des
comptes fournisseurs.
3. Comptes – Être sûr du suivi et du – Absence ou mauvaise – Procédure de – États financiers erronés. – Existence d’une procédure claire
de produits contrôle des comptes application des procédures comptabilisation des – Détournements, fraudes. et exhaustive de comptabilisation
250
Clients. de comptabilisation des factures clients. – Mauvaises décisions de des factures clients.
Produits. – Procédure de création gestion car prises sur la – Rapprochement entre les
– Manque de rigueur de comptes clients base d’informations fausses factures et les biens ou services
dans l’établissement des – Rapprochements ou approximatives. effectivement livrés.
factures. bancaires. – Vérifier que le service concerné

– Liberté dans la création – Liste des habilitations s’est assuré de la solvabilité du
de compte client. comptables clients. client avant de créer son compte.
– Absence de séparation
des fonctions.
– Être sûr du recouvrement – Absence de – Système de relance des – États financiers erronés. – Mise en place d’une procédure
des créances clients. préoccupation au niveau impayés. – Pertes financières. d’appréciation de la solvabilité des
du recouvrement des – Incidents survenus. – Procédure judiciaire. clients.
créances clients. – Existence d’une balance âgée.
– Absence de directives – Mise en place d’une procédure
précises. de relance des impayés.
– Suivi des dossiers clients.
4. Clôture – Être sûr que les travaux – Absence ou non – Planning des étapes – Retard dans la – Mise en place d’un planning
des comptes comptables concernant la application des procédures concernant la clôture des production des états des travaux de clôture des comptes
clôture des comptes sont comptables. comptes. financiers. (désignation d’un responsable de
planifiés. – Absence de responsable – Situation sur les clôtures – Non-certification des la coordination).
chargé de superviser précédentes. Commissaires aux comptes
l’application des règles – Procédure de (CAC).
comptables en matière de consolidation.
clôture de comptes.
– Être sûr de la bonne – Non-respect ou – Principes, règles et – États financiers erronés. – Répertorier l’ensemble des
application des règles méconnaissance des règles procédures comptables. – Impossibilité de obligations comptables, fiscales
comptables, fiscales et comptables, fiscales et – Rapports des connaître avec précision et juridiques qui s’imposent à
juridiques lors de la clôture juridiques. Commissaires aux les performances de l’organisation lors de la clôture
des comptes. – Absence de responsable comptes. l’entreprise. des comptes.
chargé de superviser – Liste d’habilitation pour – Non-certification des – Désigner un responsable en
l’application de ces règles. les arrêtés de compte et la commissaires aux comptes charge de la bonne application
– Application de plusieurs consolidation. (CAC). de ces obligations.
types de comptabilité au – Définir pour l’organisation une
sein d’un même groupe. norme comptable unique.
251
– Être sûr que les éléments – Intégration « anticipée » – Dates des documents se – États financiers erronés. – Répertorier l’ensemble des
et flux comptabilisés se d’écritures dans l’exercice rapportant aux écritures. – Non-certification des obligations comptables, fiscales
rattachent bien à l’exercice de l’année en cours. – Procédure de clôture Commissaires aux comptes et juridiques qui s’imposent à
concerné. – Report d’écritures de d’exercice comptable. (CAC). l’organisation lors de la clôture
fin d’année sur l’exercice des comptes.
suivant. – Désigner un responsable en
charge de la bonne application
de ces obligations.
– Effectuer les rapprochements
entre les écritures et les pièces

comptables.
Étapes/
5. Trésorerie – Être sûr de maîtriser au – Les encaissements ou – Procédure de reporting – Utilisation de la – Disposer d’une application
mieux les prévisions de décaissements ne sont pas financier exhaustive afin trésorerie non optimale. informatique pour la gestion
trésorerie afin d’utiliser de ou mal comptabilisées. de baser les prévisions de Pertes financières. de la trésorerie.
la manière la plus efficiente – Absence ou insuffisance façon optimale. – Risques de non- – Établir des échéanciers
possible les fonds à la de communication – Délégation de signatures certification des comptes. précis afin d’identifier les dates
disposition de l’entreprise. entre les services de et habilitations. prévisionnelles concernant les
l’organisation dont – Système d’approbation encaissements et décaissements.
l’activité impacte les des décaissements. – Consolider les informations
prévisions de trésorerie. – Consolidation des de trésorerie avant toute prise de
– Pas d’application données de trésorerie. décision.
informatique pour la – Définir les habilitations pour
gestion de trésorerie. tout décaissement.
252
– Être sûr de régler les – Méconnaissance par – Système de suivi des – Pertes financières. – Établir un échéancier clair afin
fournisseurs, verser les les services concernés des paiements fournisseurs. – Paiements non effectués d’identifier les dates de paiement.
salaires, rembourser les engagements de paiement – Alertes d’échéances de en conformément aux – Vérifier la concordance des
emprunts, payer les impôts pris versement existant dans engagements pris. sommes à payer et les bénéficiaires
et effectuer tous autres – Règlements inexacts du le SI. avec les factures.

décaissements suivant fait d’une comptabilité – Délégations de signature. – Comparer les sommes réellement
les échéances prévues. approximative. – Système d’approbation payées à celles qui étaient prévues
des décaissements. de l’être.
6. Paie – Être sûr de l’exactitude – Les conventions – Conventions collectives. – Erreurs dans les salaires – Vérifier l’application des
de l’enregistrement des collectives ne sont pas – Principes comptables en versés. conventions collectives.
charges de personnel. appliquées ou pas connues. matière d’enregistrement – Perte de motivation – Contrôler la bonne application
– Méconnaissance des des charges de personnel. de la part des salariés. des principes comptables.
règles comptables en – Grille de rémunérations. – Maîtrise de la masse – Identifier clairement un
matière de salaires. salariale non optimale. responsable de la paie.
– Mauvais paramétrage de – Image de la société
l’application informatique affectée.
de traitement de la paie.
6. Paie (suite) – Être sûr de la cohérence – Les conventions – Conventions collectives. – Image de la société – Vérifier l’application des
de la politique salariale. collectives ne sont pas – Grille de rémunération. affectée. conventions collectives.
appliquées ou pas connues. – Répartition de la paie – Rémunérations non – S’assurer de la cohérence de la
– Des disparités existent entre chaque catégorie de équitables. politique salariale (dans le temps
au niveau de la paie en salariés. – Démotivation des et entre catégories de salariés).
fonction des sites. – En cas de sous-traitance salariés, risque de – Identifier clairement un
– La politique de partielle ou totale de la poursuite. responsable de la paie.
rémunération n’est pas en paie, rapports d’audit – Dans le cas d’une sous-traitance
phase avec les objectifs de effectué chez le prestataire. partielle ou totale du versement
l’organisation. de la paie, effectuer des contrôles
– Une partie de la paie est périodiques sur le prestataire.
sous-traitée.
– Les rémunérations de
certains dirigeants ne
transitent pas par le circuit
de la paie.
7. Financement – Être sûr que les meilleurs – Mauvaises prévisions – Procédures existantes. – Augmentation des – Formalisation d’une procédure
choix sont faits en matière financières. – Dossiers de financement charges financières. précisant les modalités de
253
de financement. – Manque de clarté dans la récents et significatifs. – Le financement ne financement (responsabilités,
communication financière. correspond pas au besoin. calcul des besoins, sélection du
mode de financement…).
8. Caisse – Être sûr qu’on vérifie les – Pas de procédure mise – Vérifier l’existence d’une – Erreur de caisse. – Formalisation d’une
mouvements de caisse. en place. procédure. – Risque de fraude. procédure de tenue de la
– Pas de supervision de la – Liste des personnes caisse (responsabilités, niveau
personne en charge de la habilitées. de reconstitution, contrôles
tenue de la caisse. périodiques…).
9. Stocks
– Être sûr que tous les – Absence ou non respect – Procédure d’inventaire – Sur ou sous estimation – Formalisation d’une procédure
stocks sont correctement de la procédure établie physique. de la valeur des stocks de suivi des stocks et de mise à
évalués et comptabilisés. pour les inventaires – Inventaire permanent. (états financiers erronés). jour de l’inventaire permanent.
physiques – Liste des écarts – Formalisation d’une procédure
– Aucun suivi des stocks d’inventaire. d’inventaire physique.
et/ou inventaire permanent – Formation du personnel – Formation des personnes
défectueux. comptable. concernées en matière de
– Méconnaissance des valorisation et de dépréciation
règles comptables (coûts des stocks.
unitaires, dépréciation…).
Étapes/
10. Certification – Être sûr de la conformité – Méconnaissances des – Procédure permettant – Non-certification des – Mettre en place des dispositifs
des comptes des états financiers de règles comptables, fiscales de vérifier la sincérité et comptes. afin de promouvoir les bonnes
l’organisation. et juridiques. la régularité des comptes – Dégradation de l’image pratiques professionnelles
annuels. de l’entreprise. comptables.
– Être sûr que le CAC – Le CAC n’apporte pas de – Engagement de – Risque d’intrusion – Définir la mission du CAC
remplit ses obligations contribution au niveau de confidentialité du CAC. du CAC au-delà de ses (périmètre d’intervention,
dans le cadre de sa mission l’appréciation du contrôle – Collaboration entre prérogatives. obligations et limites).
légale. interne. l’audit interne et le CAC. – Mise en péril de
– Le CAC outrepasse ses – Rapport du CAC sur le l’indépendance du CAC.
prérogatives concernant sa contrôle interne.
mission.
11. Fiscalité – Être sûr que – Manque d’informations. – Entretiens. – Fraude fiscale. – Mettre en place une veille sur
l’organisation est en – Méconnaissance de la – Rapprochement entre les – Opportunités fiscales les nouvelles réglementations en
conformité avec la fiscalité réglementation fiscale en postes relatifs aux taxes, le non exploitées. vigueur.
en vigueur. vigueur. CA et les stocks. – Mauvaise image de – Désigner un expert en fiscalité
254
– Mémento fiscal. l’entreprise. (interne ou externe) chargé de
superviser l’application effective
des règles.
12. Investissement – Être sûr que les projets – Procédure – Procédure – Inadéquation du projet – Existence, connaissance
d’investissement sont d’investissement absente d’investissement existante. d’investissement à la et respect d’une procédure
définis, autorisés par une ou mal définie ou mal – Définitions des fonctions stratégie de la société. d’investissement.
personne habilitée et en connue. concernées. – Absence de maîtrise du – Existence et connaissance
adéquation avec la stratégie – Absence d’outils – Mode de calcul de la projet d’investissement. des outils pour le choix de
de l’organisation. d’évaluation. rentabilité. l’investissement.
– Dossiers d’investissement
récents et significatifs
(appréciation du respect de
la procédure).
– Être sûr que les modes – Procédure de – Critères de choix des – Surcoût financier. – Existence, connaissance et
de financement des financement absente, mal modes de financement. respect d’une procédure de
investissements retenus définie ou mal connue. – Dossiers d’investissement financement.
sont judicieux. – Absence d’outils récents et significatifs – Existence et connaissance
d’évaluation. (appréciation du choix du des outils pour le choix de
mode de financement). l’investissement.
Juridique et fiscal
PROCESSUS ET/OU DOMAINE : juridique et fiscal

Étapes/
A. Juridique
1. Forme juridique – Être sûr que la forme – Statuts de la société non – Statuts de la société. – Les garanties liées aux – Vérifier l’existence et l’archivage
de l’entité juridique de l’entreprise est connus. – Document Kbis. statuts ne sont pas mises des documents de constitution de
adaptée à l’organisation. – Statuts de l’entité – Textes législatifs. en place. l’entité.
incohérents avec sa finalité. – Risques de sanctions – Vérifier si toutes les dispositions
– Méconnaissance des fiscales. et garanties prévues dans les statuts
législations locales dans le – Pertes d’opportunités sont bien appliquées.
cas de filiales (poids des fiscales (crédits – Désigner un expert juridique
partenaires locaux…). d’impôts…). (interne ou externe) en charge de
255
ces problématiques.
2. Définition et – Être sûr que – Non-respect de la – Comptes rendus de – Risque de fraude. – Mettre en œuvre des bonnes
mise en œuvre l’organisation est pilotée législation. l’assemblée générale – Absence de déontologie pratiques en matière de
des instances de par une Gouvernance – Direction générale non ordinaire et extraordinaire. si la direction ne montre Gouvernance.
gouvernance de d’entreprise clairement impliquée. – Comptes rendus des pas l’exemple. – Formaliser des procédures
l’organisation définie et conforme aux réunions du Conseil – Absence de pilotage, définissant les modalités de
obligations légales. d’administration. mettant en péril la fonctionnement des divers
– Comptes rendus des pérennité de l’organisation. comités, émanations du Conseil
réunions des divers – Absence de contre- (attributions, composition,

comités, émanations du pouvoirs fréquence des réunions, nature
Conseil (comité d’audit, – Absence de délégation. et délais de mise à disposition
des rémunérations, des des documents préparatoires…).
risques, d’attribution
des marchés…).
– Composition de ces
comités.
– Charte éthique, code
de bonne conduite…
Étapes/
3. Législation et – Être sûr du respect de – Méconnaissance et – Textes législatifs et – Sanctions envers – Diffuser une culture juridique
réglementation l’ensemble des lois et non respect des lois et réglementaires. l’entreprise pour le non- dans l’organisation.
réglementations réglementations (lois et – Procédure de veille respect de la législation et/ – Désigner un expert juridique
réglementations locales juridique. ou réglementation. (interne ou externe) en charge de
dans le cas de filiales). – Atteinte à l’image et à la ces problématiques.
– Méconnaissance des réputation de l’entreprise – Mettre en œuvre une veille
activités de l’organisation – Personnel non informé juridique (ou s’appuyer, dans le cas
par le service juridique. sur ses droits : Risque de de filiales, sur les compétences de
– Pas de veille juridique. conflit. la maison mère en la matière).
4. Actifs corporels – Être sûr de la protection – Moyens de protection – Dispositifs matériels – Pertes d’actifs non – Sécuriser les actifs de l’entreprise
de l’entreprise des actifs qui constituent le inefficaces ou absents. de protection des actifs assurés suite à un sinistre. (moyens matériels de protection
patrimoine de l’entreprise. – Immobilisations corporels. – Litiges avec la société adaptés).
256
non couvertes par une – Contrats d’assurance. d’assurance. – Mettre en place une couverture
assurance ou couvertes – Inventaire exhaustif des – Charges d’assurance des risques par des contrats
plusieurs fois. immobilisations. excessive non justifiées. d’assurance adaptés (un seul
– Système de suivi des contrat pour tous les biens devant
immobilisations. être couverts)

– Actualiser régulièrement
l’ensemble des contrats d’assurance
en fonction de la situation
patrimoniale de l’organisation.
5. Contrats – Être sûr que les contrats – Absence de suivi des – Liste des contrats – Sanctions envers – Formaliser une procédure de
sont rédigés conformément contrats. (Par typologie avec l’organisation qui peuvent rédaction et de suivi des contrats.
aux lois et réglementations. – Méconnaissance des lois dates de signature et de affecter son image et sa – Mettre en place des trames de
et réglementations. renouvellement). réputation. contrats validés par la maison mère
– Non-respect du code – Textes réglementaires. – Engagements mal maî- dans le cas de filiales.
éthique de l’organisation. – Procédure de rédaction trisés, et pouvant entraîner
– Pas de consultation entre et de suivi des contrats. des pertes financières.
le service juridique et les – Non atteinte de certains
managers. objectifs.
5. Contrats (suite) – Être sûr que les contrats – Absence (ou non mise à – Liste des habilitations et – Sanctions envers – Établir une liste limitée de
sont signés par des jour) de listes de personnes délégations de signatures. l’organisation qui peuvent personnes habilitées à signer
personnes habilitées. habilitées. affecter son image et sa (par catégorie de contrats).
– Méconnaissance des réputation.
obligations en la matière. – Engagements mal
maîtrisés, et pouvant
entraîner des pertes
financières.
6. Brevets – Être sûr du dépôt – Brevets non déposés ou – Répertoire de l’ensemble – Perte de propriété – Formaliser une procédure
et licences et du suivi des brevets, trop tardivement. des brevets et licences. intellectuelle. précisant les modalités à suivre
marques, licences et autres – Pas de suivi des brevets. – Dispositifs de suivi – Perte d’avantages pour le dépôt et le suivi des
éléments constituant – Non-renouvellement des périodique des brevets. concurrentiels. brevets, licences… (responsables
la propriété intellectuelle contrats et des licences. – Charte de confidentialité – Difficultés à ordonnancer internes concernés, instances
de l’organisation. – Absence de règles de au niveau des personnes les brevets. externes à contacter, clauses…).
confidentialité concernant ayant accès aux brevets. – Associer un expert juridique
la publication et – Liste de personnes ayant (interne ou externe) à la
l’utilisation des brevets. accès aux brevets. supervision de l’établissement
– Accès aux brevets non des brevets, licences…
257
définis. – Établir une liste des personnes
étant habilitée à accéder aux
brevets.
7. Litiges – Être sûr de la maîtrise – Absence de directives en – Organigramme et – Pertes financières liées au – Associer un expert juridique
du suivi des litiges la matière. définitions de fonction paiement des dommages et au traitement des litiges.
(réduction des montants – Pas de suivi de concernées. intérêts. – Formaliser une procédure
de dommages et intérêts, recouvrement des créances. – Directives existantes en – Provisions sur/sous pour le traitement des litiges
limitation de l’impact sur – Manque de compétences la matière. estimées ce qui entache (responsables internes concernés,
l’image de l’organisation). en matière de gestion des – Cas de litiges récents et l’exactitude des comptes planning, instances externes à
litiges. significatifs. de l’entreprise contacter…).

– Coûts des litiges en cours – Sanctions pénales qui – Mettre en œuvre une veille
et passés. peuvent ternir l’image juridique.
et la réputation de – Formaliser une procédure pour
l’organisation. le recouvrement des créances.
– Poursuites engagées – Définir une méthode
par des tiers : risque de d’évaluation des provisions pour
dégradation de l’image risques.
de l’organisation.
Étapes/
8. Droit – Être sûr de la bonne – Incapacité des – Organigramme et – Nullité du contrat. – Établir une liste de personnes
commercial application de la signataires. définitions de fonction. – Risques de litiges clients. habilitées à signer les documents
réglementation liée au – Absence de listes de – Listes des personnes – Engagement de engageant l’organisation
Droit commercial. personnes habilitées à habilitées à signer. la responsabilité de – Associer un expert juridique
signer. – Code de commerce, et l’organisation. (interne ou externe) en charge
– Méconnaissance de code des marchés publics. – Dégradation de l’image de superviser les opérations en la
la réglementation en – Procédure de veille de l’organisation. matière en concertation avec les
la matière et de son juridique existante. responsables commerciaux.
évolution. – Mettre en place une veille
juridique.
– Sensibiliser le personnel associé
à l’activité commerciale à la
réglementation en vigueur.
– Mener éventuellement des
258
actions de formation auprès de
cette population.
9. Droit social – Être sûr de la bonne – Méconnaissance de la – Organigramme et – Nullité des contrats. – Établir une liste de personnes
application de la réglementation en vigueur définitions de fonction. – Dédommagements habilitées à signer les documents
réglementation liée au et de son évolution. – Listes de personnes financiers. engageant l’organisation
Droit du travail. – Absence de listes de habilitées à signer. – Dégradation de l’image – Associer un expert juridique
personnes habilitées à – Contrats de travail. de l’organisation. (interne ou externe) en charge
signer – Conventions collectives. – Conflits sociaux. de superviser les opérations en
– Charte d’éthique et la matière en concertation avec
règlement intérieur. les responsables des Ressources
– Affichage des règles de humaines.
sécurité. – Mettre en place une veille
– Procédure de veille juridique.
juridique. – Sensibiliser le personnel associé
à l’activité des ressources humaines
à la réglementation en vigueur.
– Mener éventuellement des
actions de formation auprès de
cette population.
– Être sûr que l’entreprise – Absence de procédures/ – Liste des destinataires : – Nullité des contrats. – Formaliser une procédure pré-
transmet correctement les responsables pour les Législateurs, interne à – Pénalités financières cisant les modalités à suivre pour
déclarations nécessaires aux déclarations obligatoires. l’organisation. en cas de retards de établir et transmettre les déclara-
organismes sociaux. – Tous les destinataires des – Échéancier de tenue des transmission. tions nécessaires aux organismes
déclarations sociales ne RDV sociaux prévus par la – Engagement de sociaux (responsabilités, planning,
sont pas informés. législation. la responsabilité de instances externes concernées,
– Les déclarations sont – PV des CE. l’employeur. nature des informations à trans-
incomplètes. – Instructions de rédaction – Redressements en cas mettre…)
des déclarations. d’erreurs. – Sensibiliser le personnel associé
à l’activité des ressources humaines
à la réglementation en vigueur.
– Mettre en place une veille
réglementaire en la matière.
B. Fiscal
10. Déclarations – Être sûr de la fiabilité – Méconnaissance et/ – Lois et réglementations Non-respect ou non- – Établir un calendrier répertoriant
fiscales des déclarations fiscales ou incompréhension fiscales. conformité avec la toutes les obligations fiscales avec
et du respect des délais des réglementations en – Liasse fiscale. réglementation fiscale les responsables concernés.
dans la transmission vigueur. – Liste et planning en vigueur : pénalités de – Associer un expert fiscaliste
259
de ces documents à – Les informations servant répertoriant toutes les retard, amendes… (interne ou externe) chargé
l’administration fiscale de base à la préparation obligations fiscales. – Dégradation de l’image d’accompagner et/ou de superviser
concernée. des documents fiscaux sont – Pratiques régissant les de l’organisation. l’établissement et la transmission
incomplètes ou inexactes. modalités de réponse à ces des déclarations fiscales
obligations.
11. Optimisation – Être sûr de – Les informations – Déclarations faites à – Opportunités – Examiner les déclarations et la
fiscale l’optimisation fiscale et de permettant de générer des l’administration fiscale d’économies d’impôt non situation fiscale périodiquement
la minimisation des impôts économies d’impôts ne (TP, TS, CS, etc.) saisies. afin d’identifier des possibilités
et taxes. sont pas connues. – Benchmarking ➙ – Paiement d’impôts et de d’optimisation fiscale.

– Absence de veille fiscale. Comparer le montant taxes injustifiés. – S’assurer que le personnel
des charges fiscales concerné est informé de la
d’entreprises de nature et réglementation fiscale et de son
de taille comparable. évolution. – Mener une réflexion
– Code général des impôts. sur l’adaptation du régime fiscal
– Procédure de veille fiscale de l’organisation par rapport à ses
existante. performances, son secteur d’acti-
vité, sa situation géographique…
Contrôle de gestion – reporting

Étapes/
12. Paiement des – Être sûr du respect des – Méconnaissance des – Pratiques existantes – Pénalités financières pour – Établir un échéancier « fiscal ».
impôts et taxes échéances de règlement. obligations en la matière. (échéancier de retard de paiement – Veiller à sa bonne application.
règlement…). – Dégradation de l’image
– Code général des impôts. de l’organisation.
– Risque de poursuites et
de non-certification des
comptes.
PROCESSUS ET/OU DOMAINE : contrôle de gestion – reporting

Étapes/
260

A. Mesure de la performance
1. Choix des – Être sûr de la pertinence – Sélection unilatérale des – Comptes rendus de – Indicateurs retenus non – Établir les critères de choix
indicateurs de du choix des indicateurs de indicateurs de mesure par réunion entre le contrôle pertinents par rapport aux des indicateurs de mesure de la
mesure de la mesure de la performance le contrôle de gestion. de gestion et les utilisateurs problématiques de mesure performance en concertation avec
performance de l’organisation. de ces indicateurs, de la performance de les responsables concernés.
attestant d’une réelle l’organisation. – Tenir compte des capacités du
concertation lors du choix – Désintérêt des système d’information à fournir
des indicateurs de mesure responsables concernés les informations nécessaires.
de la performance. pour cette démarche.
– Notes sur les éventuelles
remises en question du
choix initial.
2. Informations – Être sûr que les – Système d’information – Système d’information – Non-fiabilité des – Formaliser une procédure
nécessaires informations nécessaires ne fournissant pas les utilisé. indicateurs fournis. définissant les modalités de calcul
à la valorisation à la valorisation des informations nécessaires. – Difficultés rencontrées – Retard dans la des indicateurs de mesure de la
des indicateurs indicateurs sont au niveau de la récolte des communication des performance (outils informatiques
disponibles et fiables. informations nécessaires. tableaux de bord. utilisés, informations nécessaires,
étapes de calcul, périodicité,
forme, exploitation des
résultats…).
3. Définition des – Être sûr que les tableaux – Non-consultation des – Tableaux de bord Tableaux de bord inadapté – Formaliser une procédure
tableaux de bord de bord, destinés à responsables concernés existants. au pilotage des activités. définissant les modalités de calcul
chaque responsable, sont par l’utilisation des – Entretiens avec le – Performance de des indicateurs de mesure de la
pertinents (nature et indicateurs. contrôle de gestion et les l’entreprise compromise performance (outils informatiques
nombre d’indicateurs, – Décision unilatérale du responsables concernés afin car outil d’aide à la utilisés, informations nécessaires,
périodicité, forme…) contrôle de gestion d’apprécier si les tableaux décision inexploitable. étapes de calcul, périodicité,
au regard des prises de de bord répondent aux forme, exploitation des
décisions qu’ils doivent besoins des utilisateurs résultats…).
permettre d’éclairer. – Associer les utilisateurs des
indicateurs de mesure de la
261
performance à la conception des
tableaux de bord.
4. Conseils – Être sûr de l’utilisation – Exploitation informelle – Procédure d’élaboration – Désintérêt des – Formaliser une procédure
apportés aux pertinente des indicateurs et/ou non systématique des des tableaux de bord (si responsables concernés définissant les modalités de calcul
responsables de mesure de la indicateurs. elle existe). concernant l’utilisation des des indicateurs de mesure de la
concernés performance. – Non-communication – Comptes rendus de tableaux de bord dans le performance (outils informatiques
dans le pilotage de ces résultats aux réunions entre le service pilotage de leur activité. utilisés, informations nécessaires,
de leur activité responsables concernés. contrôle de gestion et les – Gaspillage de ressources. étapes de calcul, périodicité,
responsables concernés – Absence d’outils de forme, exploitation des
pour expliquer les pilotage et de prises de résultats…).

évolutions constatées et les décision. – Réaliser des réunions
causes possibles. périodiques entre le service de
contrôle interne et les destinataires
des tableaux de bord.
Étapes/
5. Communication – Être sûr qu’une synthèse – Manque d’intérêt de la – Organigramme et – Mauvaise interprétation – Formaliser une procédure défi-
des résultats à la périodique de ces direction générale (et/ou définitions de fonction. de l’information, nissant les modalités de calcul
direction générale indicateurs de mesure de instances de gouvernance) – Liste des personnes entraînant une mauvaise des indicateurs de mesure de la
et/ou instances la performance est faite à concernant la mesure de la destinataires des tableaux orientation dans la prise performance (outils informatiques
de gouvernance la direction générale et/ou performance. de bord. de décision/le choix utilisés, informations nécessaires,
instances de gouvernance. – Synthèse des indicateurs – Comptes rendus de stratégique. étapes de calcul, périodicité, forme,
de mesure de la réunion avec la direction – Manque de réactivité exploitation des résultats…).
performance inadaptée générale concernant dans la prise de décision. – Définir la nature et la forme des
aux attentes de la direction l’analyse de la synthèse synthèses à faire auprès de la direc-
générale. des indicateurs de mesure tion générale (et/ou les instances
de la performance. de Gouvernance) sur les indica-
teurs de mesure de la performance
B. Démarche budgétaire
262
1. Construction – Être sûr que les budgets – Absence ou imprécision – Procédure budgétaire (si – Budgets en décalage avec – Établir un planning des étapes
des budgets sont élaborés de façon des objectifs généraux de elle existe). les objectifs généraux et la jalonnant la démarche budgétaire.
pertinente et en cohérence l’organisation et de leurs – Liste des objectifs stratégie de l’organisation. – Formaliser une procédure
avec les objectifs de déclinaisons en objectifs généraux de l’organisation – Découpage budgétaire pour la démarche budgétaire
l’organisation. opérationnels. et leurs déclinaisons en sans cohérence avec (responsabilités, informations

– Concertation insuffisante objectifs opérationnels. la répartition des initiales nécessaires, interlocuteurs
entre l’équipe en charge de – Planning précisant responsabilités dans concernés, modalités de suivi
la construction des budgets les étapes budgétaires l’organisation. et de contrôle, exploitation des
(service contrôle de (construction, suivi et – Non-fiabilité des résultats…).
gestion) et les responsables contrôle…). prévisions budgétaires. – Définir les modalités de révision
de centres budgétaires. – Résultats du contrôle – Désintérêt des des budgets (événements justifiant
– Orientations budgétaires budgétaire de l’exercice responsables de centre cette révision, périodicité de la
fixées unilatéralement par précédent (appréciation de budgétaire pour la révision…).
la direction générale sans la fiabilité des prévisions démarche.
implication des respon- budgétaires).
sables de centre budgétaire.
– Informations
insuffisantes et/ou non
fiables nécessaires à la
construction des budgets.
2. Suivi et contrôle – Être sûr que les budgets – Absence de suivi et de – Procédure budgétaire (si – Désintérêt des – Formaliser une procédure
budgétaire font l’objet d’un suivi et contrôle budgétaire. elle existe). responsables de centre pour la démarche budgétaire
d’un contrôle périodique – Suivi et contrôle – Résultats du contrôle budgétaire pour la (responsabilités, informations
tout au long de la période budgétaire non régulier et/ budgétaire de l’exercice démarche. initiales nécessaires, interlocuteurs
budgétaire. ou informel. précédent (appréciation de – Gaspillage de ressources. concernés, modalités de suivi
la réalité de ces contrôles). et de contrôle, exploitation des
– Planning précisant résultats…).
les étapes budgétaires
(construction, suivi et
contrôle…).
3. Exploitation – Être sûr de l’utilisation – Exploitation informelle – Procédure budgétaire (si – Désintérêt des – Formaliser une procédure
des résultats pertinente des résultats du des résultats du contrôle elle existe). responsables de centre pour la démarche budgétaire
du contrôle contrôle budgétaire tout au budgétaire. – Comptes rendus de budgétaire pour la (responsabilités, informations
budgétaire long de la période. – Non-communication réunions entre le service démarche. initiales nécessaires, interlocuteurs
de ces résultats aux contrôle de gestion et les – Gaspillage de ressources. concernés, modalités de suivi
responsables de centre responsables de centre et de contrôle, exploitation des
budgétaire. budgétaire pour expliquer résultats…).
les écarts budgétaires – Réaliser des réunions pério-
263
éventuels. diques tout au long de l’exercice.
4. Supports – Être sûr que la démarche – Absence ou insuffisance – Outils informatiques – Lenteur dans le – Établir une liste des personnes
de la démarche budgétaire est supportée des supports informatiques existants. traitement des opérations. concernées par la démarche
budgétaire par des outils adaptés et pour la démarche. – Liste des personnes budgétaire.
performants (Système – Responsabilités mal responsables concernées. – Disposer d’applicatifs
d’information, méthode définies. informatiques encadrant la
structurée…). – Méthodes non démarche.
structurées
C. Calcul des coûts

1. Choix des – Être sûr que les moyens – Absence de réflexion – Entretiens avec les – Mauvaise affectation des – Définir les responsabilités
thématiques mis en œuvre pour le concernant l’affectation responsables du service moyens. en matière de choix des
nécessitant un calcul des coûts (humains, des moyens disponibles en contrôle de gestion. – Absence d’information thématiques de calcul des coûts
calcul des coûts technologiques…) la matière. – Justifications des concernant les réelles (communication entre le service
(produits/services, sont affectés, de façon – Manque de moyens choix retenus en matière problématiques de contrôle interne et les responsables
commandes pertinente, aux réelles (effectif du service d’affectation des moyens. connaissance des coûts des coûts calculés).
spécifiques…) problématiques de contrôle de gestion, en fonction des enjeux de
connaissance des coûts. compétences…). l’organisation.
Étapes/
2. Choix et – Être sûr que le choix – Méconnaissance des – Méthodes de calcul de – Précision et/ou fiabilité – Définir les critères permettant
application des des méthodes de calcul principes et méthodes coûts pratiquées. des coûts calculés le choix des méthodes de calcul
méthodes de calcul des coûts est judicieux de calcul des coûts. – Justifications des choix inadaptées aux besoins de des coûts.
des coûts en fonction de la finalité – Méconnaissance des retenus en matière de l’organisation. – Former les contrôleurs de
recherchée. obligations réglementaires choix des méthodes. gestion aux méthodes de calcul
en la matière (valorisation des coûts.
« fiscale » des stocks). – Formaliser une procédure
définissant les modalités de calcul
– Être sûr que les – Méconnaissance des – Appréciation des – Non-fiabilité des coûts des coûts pour la ou les méthodes
méthodes de calcul principes et méthodes de pratiques lors de calculés. pratiquées (outils informatiques
retenues sont correctement calcul des coûts. l’application des méthodes utilisés, informations nécessaires,
mises en œuvre. – Système d’information de calcul des coûts. étapes de calcul, exploitation des
inadapté à la mise en – Système d’information
264
résultats…).
œuvre des méthodes utilisé.
de calcul
3. Informations – Être sûr que les – Système d’information – Système d’information – Non-fiabilité des coûts – Formaliser une procédure
nécessaires au informations nécessaires ne fournissant pas les utilisé. calculés. définissant les modalités de calcul
calcul des coûts au calcul des coûts sont informations nécessaires. – Difficultés rencontrées des coûts pour la ou les méthodes
disponibles et fiables. au niveau de la récolte des pratiquée (outils informatiques
informations nécessaires. utilisés, informations nécessaires,
étapes de calcul, exploitation des
résultats…).
4. Exploitation – Être sûr que les – Absence ou insuffisance – Comptes rendus de – Insatisfaction des – Formaliser une procédure
des résultats de ces résultats des calculs de de communication entre le réunion entre le service responsables/demandeurs définissant les modalités de calcul
calculs de coûts coûts sont exploités, de service contrôle de gestion contrôle de gestion et les concernés par les coûts des coûts pour la ou les méthodes
façon pertinente, afin de et les utilisateurs concernés responsables concernés par calculés. pratiquées (outils informatiques
répondre aux besoins des par les coûts calculés. les coûts calculés. – Prises de décision utilisés, informations nécessaires,
demandeurs. – Organigramme et incertaines en l’absence étapes de calcul, exploitations des
définitions de fonction. d’éclairage précis sur les résultats…).
coûts.
D. Reporting à la maison mère (cas d’une filiale)

1. Connaissance – Être sûr que la filiale – Absence ou mauvaise – Procédure reporting – Désintérêt de la filiale – Communiquer au niveau
des exigences adhère à la politique de communication de la (si elle existe). pour le reporting. du groupe sur la nécessité et
de reporting reporting du groupe. part de la maison mère – Tableaux de reporting l’importance d’un reporting fiable
à la maison mère concernant la nécessité récents. à des fins de consolidation.
et l’importance d’un – Documents – Formaliser une procédure
« reporting » au niveau communiqués par la reporting au niveau du groupe
du groupe. maison mère pour (responsables concernés, planning
– Intérêt relatif de la sensibiliser la filiale à ce de transmission de l’information,
filiale qui n’en comprend dispositif. explication de la nature des
pas l’utilité et qui vit ces – Entretiens avec les informations demandées…).
obligations comme une responsables en filiale et à
contrainte. la maison mère en charge
de ces opérations.
2. Informations – Être sûr de la fiabilité – Décalage entre la – Procédure « reporting » – Non-fiabilité de la – S’assurer, lors de la conception
nécessaires à du reporting à des fins nature des informations (si elle existe). consolidation au niveau des tableaux de reporting, de
l’alimentation de consolidation au niveau demandées dans le – Tableaux de reporting du Groupe d’où des prises la capacité de toutes les filiales
du reporting du groupe. reporting et celles récents. de décisions stratégiques consolidées à l’alimenter de façon
265
disponibles au niveau – Entretiens avec les non fondées. fiable et dans les délais prévus.
du système d’information responsables en filiale et à – Formaliser une procédure
de la filiale. la maison mère en charge reporting au niveau du groupe
– Informations alimentant de ces opérations. (responsables concernés, planning
le reporting non fiables. – Modalités d’exploitation de transmission de l’information,
du reporting à la maison explication de la nature des
mère. informations demandées…).
3. Communication – Être sûr du respect – Intérêt relatif de la – Entretiens avec les – Retard dans – Formaliser une procédure
du reporting des exigences de reporting filiale qui n’en comprend responsables en filiale et à la transmission reporting au niveau du groupe
à la maison mère par la filiale (délais…). pas l’utilité et qui vit ces la maison mère en charge du reporting et donc dans (responsables concernés, planning
obligations comme une de ces opérations. la consolidation groupe. de transmission de l’information,
contrainte. – Dates réelles de explication de la nature des
– Sources d’informations transmission des tableaux informations demandées…).
alimentant le reporting de reporting comparées au
non disponibles. planning prévu.
Systèmes d’informations
PROCESSUS ET/OU DOMAINE : systèmes d’informations

Étapes/
1. Accès aux – Être sûr que seules – Accès au système – Liste de personnes – Perte de confidentialité. – Établir la liste des autorisations
systèmes les personnes autorisées d’information non habilitées ayant accès – Perte de qualité/intégrité d’accès au SI, aux applications et
informatiques ont accès aux systèmes contrôlé. au SI. des informations. aux fichiers/données sensibles :
d’information. – Non mise à jour des – Listes des logins et mots – Absence de détection de codes d’accès, outils de gestion des
listes de personnes de passe. modification de fichiers/ accès (tables d’accès par identifiant,
autorisées. – Procédure de mise à jour données sensibles. notion de groupe d’utilisateurs,
des logins et mots de passe. – Risques de fraude. différenciation lecture/écriture ...).
– Historique des – Risque financier. – Formaliser une procédure
connexions. d’attribution (arrivée, mutation),
– Hiérarchisation des de suppression et de mise à jour
266
informations présentes sur des mots de passe et codes d’accès.
le SI en fonction du degré – Désigner un responsable de l’attri-
de confidentialité. bution des niveaux de confidentialité
et la gestion des autorisations d’accès.
– Revoir périodiquement la liste

des logins et mots de passe actifs
– Définir le principe de séparation
de fonctions dans la gestion des
autorisations d’accès (séparation
décision/réalisation).
2. Sécurité – Être sûr qu’il existe un – Destruction ou – Liste des différents – Reprise compromise de – Gestion des accès à la salle
physique système de sécurité adapté altération du matériel et/ dispositifs de sécurité. l’exploitation. informatique par badge.
des systèmes permettant de protéger ou des fichiers. – Modalités de – Perte d’informations – Existence de moyens de protec-
informatiques les données informatiques – Obsolescence des fonctionnement des stratégiques. tion des installations, matériels
contre les pirates, les virus, équipements (hardware et dispositifs de sécurité. – Diminution de la sensibles (calculateur central, câbles
les pannes électriques, la software). – Procédure de mise à jour compétitivité de la société. de transmission…) et support
foudre… – Non-sécurisation externe périodique des outils de magnétiques : protection contre
du SI. sécurité. l’incendie, le dégât des eaux…
– Altération du matériel – Veille sur les – Respect du droit d’utilisation

et/ou des fichiers par des nouvelles technologies prévu en contrat par le fournisseur
tiers. informatiques. du logiciel.
– Absence de maîtrise – Existence d’une protection
du SI. contre les virus.
3. Gestion des – Être sûr que les – Absence de maîtrise – Modalités concernant – Risque financier. – Existence d’orientations claires
relations avec relations avec les sociétés des projets sous-traités la réception des services – Risque de fraude. concernant l’appel à la sous-
l’extérieur extérieures sont maîtrisées (Adéquation aux besoins, demandés conformément – Dépendance vis-à-vis traitance.
(fournisseurs, sous- respect des délais et aux termes du contrat du sous-traitant. – Détermination des applications
traitants). des coûts, maintenance signé avec le prestataire – Absence de maîtrise des sur lesquelles peuvent intervenir
et évolution des (exhaustivité des projets sous-traités. les prestataires et le type de travaux
applications ...). prestations, délais…). – Perte de confidentialité. pouvant être sous-traités suivant
– Absence de contrats – Listes des personnes – Risque de fuite le caractère stratégique de chaque
de maintenance avec les habilitées à rédiger et d’informations application.
prestataires de services. signer des contrats. confidentielles. – Existence de contrats entre
– Clauses de contrats – Clauses contractuelles : la société et les prestataires de
inadaptées avec les délai, paiement… services, validés et contrôlés par un
prestataires de services – Existence d’une organisme compétent.
267
(risque juridique). procédure. – Analyse du niveau de dépen-
– Délai de paiement des – Liste des habilitations et dance vis-à-vis des sous-traitants.
prestataires de services non de typologie des droits. – Définition des champs
respecté (risque financier). d’application et des types de
– Absence de procédure travaux sur lesquels les prestataires
de gestion des contrats de peuvent intervenir.
prestation. – Existence de clauses de
– Collusion avec les confidentialité adaptées.
prestataires. – Choix de prestataires de services
– Habilitations des certifiés.
personnes extérieures non – Réception de tous les services

mises à jour. demandés conformément aux
– Prestataire unique toute termes du contrat.
application : prestation de – Rédaction et signature du
maintenance dite à 100 %. contrat par des personnes
habilitées.
– Respect des clauses du contrat :
délai, paiement.
– Utilisation de types de régie.
PROCESSUS ET/OU DOMAINE : systèmes d’informations
Étapes/
4. Gestion des – Être sûr que les données – Absence de sauvegarde – Liste des sauvegardes – Risque financier. – Mise en place d’une procédure
sauvegardes sont sauvegardées de systématique. effectuées. – Perte d’informations périodique de sauvegarde
manière périodique sur – Absence de – Correspondance du stratégiques. automatisée des données.
différents supports à hiérarchisation des nombre des sauvegardes – Reprise compromise – Hiérarchisation des données
différents endroits. données à sauvegarder. listées avec le niveau des des exploitations. à sauvegarder.
– Absence de sauvegarde stocks de sauvegardes. – Incapacité à restaurer, – Salle de confinement des
régulière en fonction du – Codes classifiant en priorité, les données sauvegardes avec des accès sécurisés
niveau d’importance des l’importance des données. les plus critiques. et limités.
données. – Perte de confidentialité – Suivi par registre des personnes
– Absence de protocole de liée à des accès aux accédant aux sauvegardes.
stockage de sauvegarde. sauvegardes non – Procédure formalisée de
– Sauvegarde sur un contrôlées. restauration des données et testées
268
support unique. de façon périodique.
– Compte rendu de la bonne
exécution des sauvegardes.
5. Maintenance – Être sûr de la pérennité – Bugs à répétition. – Périodicité des contrats – Problèmes d’accès au SI. – Existence de moyens pour
de fonctionnement des – Pas de mise à jour des de maintenance. – Perte éventuelle des reprendre l’exploitation en cas de
systèmes informatiques. programmes. – Réactivité des personnes données. panne ou de perte importante de
– Non-renouvellement chargées de régler les bugs : – Non-utilisation du données (plan de reprise, contrat
des licences Tableaux de bord des SI car vu comme étant de maintenance…).
– Prestation de performances du service. « contraignant et lourd ». – Existence d’une hotline/
maintenance « générique » – Définition du champ – Utilisation de SI personnes dédiées (interne ou
non définie. d’application de la parallèles (PC personnels externe).
maintenance. etc.). – Reporting des bugs rencontrés
– Classification des bugs (machine, circonstance,
génériques. explications).
– Création d’un service de
maintenance interne : Hotline,
service client...
6. Pertinence – Être sûr de la pertinence – Manque de personnels – Actions périodiques de – Inadéquation des – Définition d’une politique de
du système du système informatique compétents en système formation aux systèmes systèmes d’information aux choix des matériels informatiques.
d’information au sein de la société et de d’information. d’information. besoins de la société. – Existence d’un budget et d’un
son efficacité usuelle. – Manque de matériels – Renouvellement du – Perte de temps. suivi des coûts.
performant, optimisant matériel informatique. – Perte d’efficacité. – Existence et pertinence des cri-
l’utilisation des systèmes – Cohérence entre le – Non-optimisation des tères de choix et de hiérarchisation
d’information. besoin des utilisateurs et ressources. des développements à réaliser.
– Absence de formations les outils informatiques. – Insatisfaction des – Modalités d’échanges entre infor-
facilitant l’utilisation des – Planning des projets utilisateurs. maticiens et utilisateurs (existence
systèmes d’information. informatiques. – Absence de maîtrise du de correspondants informatiques,
– Complexité accrue du – Redéfinition des volume de travaux des modalités des transmissions des
système d’information. applications périodiques systèmes d’information. demandes ou des dysfonctionne-
en collaboration avec les – Risque financier (absence ments à l’informatique).
utilisateurs. de maîtrise des coûts). – Définition d’un plan d’action
permettant l’évolution des
systèmes d’information.
7. Fiabilité – Être sûr de la fiabilité du – Programme non correct – Procédures de – Perte de qualité – Existence d’un schéma décrivant
du système système d’information. ou non mis à jour. développement et de et d’intégrité de l’architecture des systèmes
269
d’information – Infrastructures maintenance (licences, l’information. d’information.
inadaptées pour les contrats de maintenance). – Dégradation accélérée du – Existence d’interfaces appropriées
serveurs. – Existence d’un modèle matériel. entre les systèmes et les applica-
– Absence de possibilité de conceptuel de données tions : absence de double saisie,
back-up. (MCD). contrôle automatique des saisies,
– Salles aux normes : contrôle des échanges de données.
« Salles blanches ». – Installation des serveurs centraux
dans des locaux adaptés.
8. Documentation – Être sûr qu’il existe une – Documents non mis – Procédure de gestion – Machines et outils en – Mise en place d’une
base de documentation à jour. documentaire. panne impossible à réparer documentation fournie, variée et
du système d’information – Documentation trop – Base de données dans l’immédiat. mise à jour régulièrement.
disponible et mise à jour complexe. documentaires. – Difficultés de – Mise à disposition de l’ensemble
afin d’atteindre les objectifs – Documentation absente maintenance appropriée. des documents nécessaires en
assignés. ou incomplète. – Difficultés de formation temps opportuns.
des nouveaux employés. – Dissocier documentation tech-
– Non-utilisation des SI nique et documentation utilisateur.
de manière optimale. – Créer un archivage papier en
parallèle de l’archivage numérique.
Recherche et développement
PROCESSUS ET/OU DOMAINE : recherche et développement

Étapes/
1. Lancement – Être sûr que le – Absence d’étude de coûts – Existence et pertinence – Projet incohérent avec les – Mettre en place un comité de
d’un projet lancement d’un projet est et/ou de faisabilité. des études de coût et de objectifs de l’organisation. décision indépendant pour le
conforme avec les objectifs – Absence de comité de faisabilité. – Projet trop long, lancement d’un projet R&D,
de l’organisation, qu’il est décision. – Existence et composition coûteux, non rentable, non réuni périodiquement.
faisable et planifié. – Absence de planification du comité de décision. faisable. – Diffuser l’information aux
des tâches et ressources – Existence, – Décision irrationnelle. personnes concernées.
nécessaires au projet. communication et – Non atteinte des – Exiger un avant-projet systé-
réalisme de l’avant-projet objectifs. matique pour les projets évalués,
(responsable, équipe, – Pertes financières. comprenant des études de coûts
ressources, tâches, délai…). et de faisabilité, une planification
270
détaillée et les responsabilités.
2. Gestion – Être sûr que les – Équipes éloignées, ne – Existence et utilisation – Perte de savoir-faire. – Mettre en place d’un système de
des flux entre différentes équipes de disposant pas de système des supports de – Doublons dans les diffusion de l’information adapté,
équipes R&D communiquent de communication et/ communication et de recherches. sécurisé, documenté.

entre elles et capitalisent ou de diffusion de diffusion de l’information – Pertes de temps. – Promouvoir les échanges entre
leurs savoirs. l’information. et/ou fréquence et contenu – Espionnage industriel. équipes travaillant sur des projets
– Rétention d’information. des réunions. – Objectifs compromis. différents (réunions, projets
– Mise à jour des transverses…).
informations diffusées. – Mettre à jour un système de
– Sécurité des informations partage de savoir
partagées. – S’assurer de la confidentialité des
informations pour éviter les fuites.
3. Travail – Être sûr du suivi du – Absence de contrôle – Existence et contenu – Allongement du projet – Mettre en place un dispositif de
en laboratoire, travail de recherche en – Absence de planification des réunions de travail : de recherche. suivi de chaque projet, conforme
Conception laboratoire. détaillée et/ou de conformité avec la – Perte de savoir. au projet initial (possibilité de
de prototypes responsable désigné dans planification de l’avant- flexibilité si justification).
l’avant-projet. projet.
4. Tests et – Être sûr que les tests – Absence de planification – Suivi des tests et – Projet retardé. – Mettre en place un dispositif de
expérimentations et expérimentations sont détaillée et/ou de expérimentations : – Tests faussés. suivi de la phase de test et d’expé
menés dans les temps, par responsable désigné dans rapports, réunions de – Pertes financières. rimentation avec des réunions
les personnes habilitées l’avant-projet. travail et bilan justifié et de présentation de l’avancée des
et sont suivis par le détaillé des tests. travaux et des conclusions, des
responsable. rapports justifiant les conclusions.
5. Accord final – Être sûr que la direction – Prise d’une décision – Procédure de validation – Défiance des – Existence d’une procédure lors
de la direction dispose de toutes les sans tenir compte de la DG (respect des actionnaires. de l’émission d’un avis (assurant le
informations nécessaires des informations du réglementations en – Mauvais positionnement respect des réglementations et des
pour prendre les décisions service R&D et de la vigueur). pour la maîtrise des lois en vigueur).
appropriées concernant réglementation. résultats de la société.
la commercialisation du – Non atteinte des
produit. objectifs.
– Atteinte à l’image de
l’entreprise.
– Pertes financières.
6. Dépôt de brevet – Être sûr de la protection – Non-paiement des taxes – Dossier de demande – Imitation et contrefaçon. – Existence d’une veille
juridique des produits nécessaires à l’obtention d’obtention d’un brevet. – Perte d’avantage concurrentielle et juridique.
271
conçus. d’un brevet. – Factures établies concurrentiel. – Existence d’une collaboration
– Développement d’un par l’organisme – Perte financière. avec le service juridique.
produit faisant déjà l’objet d’enregistrement. – Projet non rentable. – Mettre en place un archivage
d’un brevet. – Brevets. – Contentieux avec fiable des brevets.
– Dépôt tardif ou non – Certificats de l’INPI. d’autres dépositaires.
dépôt des brevets.
– Absence de veille juri-
dique concernant les
législations sur la propriété
industrielle et intellectuelle.
– Être sûr de la bonne – Absence de dispositif et/ – Existence et pertinence – Retard au niveau des – Élaboration d’un cahier des
formalisation et de la mise ou de politique concernant du dispositif de DPI : dépôts de brevets. charges.
à jour des procédures de les DPI. responsable, conditions – Dépôts de brevets non – Mettre en place un dispositif
brevetage. – Non suivi des de dépôt du brevet, conformes. clair concernant les DPI : comité
procédures/politique de (comité…), enregistrement. de décision (évaluation de la
dépôt de brevet. – Politique de dépôt de rentabilité et de la pertinence
brevet en corrélation avec la de la démarche), personnes
politique de développement. responsables, suivi des brevets.
PROCESSUS ET/OU DOMAINE : recherche et développement
Étapes/
6. Dépôt de brevet – Être sûr du maintien des – Dépassement du – Existence et pertinence – Perte d’avantage – Existence d’une veille
(suite) brevets dans le temps. délai imparti quant à du dispositif de DPI : concurrentiel. concurrentielle et juridique.
l’enregistrement du brevet responsable, conditions – Perte financière. – Mettre en place une procédure
et à sa publication. de dépôt du brevet, – Projet non rentable. de publication des brevets.
(comité…), enregistrement.
7. Gestion du – Être sûr de la gestion des – Gestion floue des projets – Dispositif de suivi des – Projets non menés à – S’assurer périodiquement que
portefeuille projet projets en cours. en cours. projets (remontée de terme. tous les projets s’inscrivent dans
l’information, suivi des – Non atteinte des la ligne définie par la R&D et
projets : réunions…). objectifs organisationnels. en cohérence avec les objectifs
stratégiques de l’organisation.
8. Conception – Être sûr que les Objectifs de la R&D – Évaluation et suivi de la – Doublons, superposition – Mettre en place un lien privilégié
des procédés innovations se traduisent peu clairs. conception des procédés des tâches avec le bureau entre la R&D et le bureau d’étude
de production par l’industrialisation des – Mauvaise de production à grande d’étude. pour élaborer les procédés de
272
produits concernés. communication avec échelle (lien avec le bureau – Innovation non production industriels : définir les
la production. d’étude). appliquée. responsabilités et tâches de chaque
service, réunions de suivi des
travaux…
9. Veille – Être sûr que – Aucune information – Liste des habilitations – Ne pas identifier une – Établir une procédure de veille
technologique l’organisation identifie recensée sur les nouveautés des personnes qui sont innovation majeure. technologique.
rapidement les technologiques ou responsables de cette – Perte de part de – Préciser sur les habilitations et
technologies pouvant information indisponible. mission. marché : les concurrents rôles de chacun dans le processus
permettre à l’organisation – Aucune personne – Procédures de sélection développent des produits de veille technologique.
de développer de nouveaux réellement en charge et de tri des informations. plus avancés. – Établir des procédures de sélec-
produits, d’améliorer ou formée à ce type de – Origine des – Temps de réaction trop tion et de hiérarchisation en termes
ses anciens produits, démarche de veille. informations/sources. long. de priorités des informations.
d’améliorer son outil – Procédure de – Interface R&D et services
de production et sa hiérarchisation de priorités concernés (production, marketing)
productivité. et/ou de sélection des afin de faciliter les remontés
informations. d’informations sur les tendances,
sur le contenu technologique des
produits concurrents, et assurer
une consultation permanente.
Marketing
PROCESSUS ET/OU DOMAINE : marketing
Étapes/
1. Connaissance – Être sûr que le marché – Absence ou insuffisance – Études de marchés. – Perte de chiffre d’affaires, – Formaliser les étapes de
du marché et ses évolutions sont d’informations nécessaires – Documents d’analyse du de parts de marché. réalisation des études de marchés.
et de son parfaitement connus et à une bonne connaissance cycle de vie des produits. – Non atteinte des – Disposer de toutes les données
environnement maîtrisés par le service du marché. – Étude régulière des objectifs commerciaux nécessaires à la détermination de la
marketing. – Position actuelle facteurs d’évolutions des – Manque de réactivité taille du marché ont été prises en
dominante ne favorisant marchés (conjoncture de l’organisation face à de compte (CA du marché, nombre
pas la sensibilisation des économique, politique nouvelles opportunités. d’acheteurs, quantité moyenne
services concernés à ce type ou sociale, variations – Perte d’image vis-à-vis de par acheteur, ventes totales,
de préoccupations. saisonnières, modes, la clientèle actuelle. taux de pénétration, valeur d’un
temps, offres, consommateur).
environnement). – Faire un point régulier sur les
tendances actuelles et futures
273
du marché (structure du
marché, évolutions...) et sur le
positionnement de l’organisation.
– Mise à jour des techniques
relatives aux études de marché.
– Être sûr que la – Concurrents mal – Documents d’analyse de – Perte de chiffre d’affaires, – Formaliser les étapes de réalisa-
concurrence est connue identifiés. la position concurrentielle de parts de marché. tion des analyses concurrentielles.
et maîtrisée par le service – Absence ou et calcul des parts de – Non atteinte des – Définir les critères permettant
marketing (opportunités insuffisance en matière marché. objectifs commerciaux. une analyse complète de la posi-
de développement et/ de veille concurrentielle – Sources diverses tion concurrentielle (position sur
ou menaces de mise en (documentations en matière de veille le marché, puissance de la marque,
péril de certains produits nécessaires, compétences concurrentielle. critères techniques, critères finan-
ou services proposés par requises…). ciers, modes de calcul des parts de
l’organisation). – Position actuelle marché en volume et en valeur…).
dominante ne favorisant – Diversifier les sources en matière
pas la sensibilisation les de veille concurrentielle (clients,
services concernés à ce type distributeurs, fournisseurs,
de préoccupations. prestataires, panel, presse, salons,
colloques, informations financières
publiées, déclarations, études…).
Étapes/
1. Connaissance – Être sûr que les besoins – Absence ou insuffisance – Analyse des principaux – Perte de chiffre d’affaires, – Définir les facteurs influençant
du marché des consommateurs et les d’analyse comportementale facteurs influençant de parts de marché. l’achat : facteurs socioculturels,
et de son facteurs influençant l’achat des consommateurs. l’achat. – Perte d’image vis-à-vis psychosociaux, personnels,
environnement ont bien été identifiés. – Outils de veille – Sources d’informations de la clientèle actuelle. psychologiques (besoins,
(suite) (quantitatifs et qualitatifs) sur les besoins actuels et – Insatisfaction des clients. motivation, perception,
inadaptés. besoins futurs (statistiques, – Perte financière. apprentissage, attitudes).
comptes rendus de la force – Vérifier l’existence d’études
de vente, sondages…). prévisionnelles des débouchés d’un
produit ou service.
2. Choix Segmentation – Mauvaise connaissance – Procédure de – Faible rentabilité. – Vérifier l’existence de procédures
des options – Être sûr que le marché du marché. segmentation – Perte de parts de de segmentation.
stratégiques a été découpé en sous- – Critères de segmentation – Documents d’analyse marchés. – Vérifier la pertinence des choix
274
fondamentales ensemble aussi homogènes non-pertinences, statistique des différences de segments. Les critères doivent
que possible, afin de difficilement mesurables, entre segments être choisis a priori et confirmés
permettre à l’organisation non pratiques ou non par des analyses statistiques des
d’adapter au mieux sa poli- mesurables par le différences entre segments.
tique marketing à chacun marketing.

de ces sous-ensembles, ou
à certains d’entre eux.
Ciblage – Les segments choisis ne – Études de marché par – Cibles non atteintes. – Définir des prévisions chiffrées
– Être sûr que l’attrait sont pas assez importants segments. – Faible rentabilité. et détaillées permettant de
relatif de chaque segment pour être rentables. – Documents d’analyse – Perte de parts de marchés. déterminer la rentabilité future du
a été évalué afin de – Segment trop perméable interne évaluant la capacité segment choisi.
déterminer au mieux le et ouvert à la concurrence. de l’entreprise à entrer sur – Mener des analyses de la
choix des cibles. – L’entreprise n’a pas la un marché. concurrence par segment.
capacité matérielle et – Faire un point sur les
financière pour entrer sur caractéristiques de l’entreprise
le marché. (moyens matériels et financiers)
pour déterminer son aptitude à
toucher le segment ciblé.
2. Choix Positionnement – Absence ou insuffisance – Analyse des attentes du – Positionnement du – Définir le positionnement du
des options – Être sûr que le public d’informations sur les public. produit inadapté. produit (service marketing).
stratégiques puisse situer le produit produits concurrents. – Analyse du positionne- – Faible taux de vente. – Mener des analyses des attentes
fondamentales dans l’univers des produits – Le produit n’est pas ment des concurrents. du public, du positionnement des
(suite) analogues et le distinguer clairement identifié. – Étude d’image ou de concurrents et d’études d’image ou
des autres. – Le produit n’est pas concept pour déterminer de concept.
différencié des autres du les atouts potentiels du
même genre. produit.
3. Formulation Produit – Informations sur – Étude des attributs clés – Faible taux de vente. – Formaliser une procédure claire
et évaluation du – Être sûr que le produit les attributs clés du jouant un rôle majeur dans – Pas de garantie sur le et complète sur l’aspect produit :
marketing mix a été clairement et produit inexistantes ou les perceptions et attitudes système de qualité du définition (produit et attributs,
stratégiquement défini. approximatives. des consommateurs. produit. norme, gamme, conditionnement
– Cible positionnement – Règles communes – Menace d’exclusion du et emballage, service, marque) et
incohérent, pas clair. de fabrication et de marché. cycle de vie du produit.
– Aucune information des présentation des produits. – Pas de retour sur – Mener des études de marché
normes en vigueur. investissement. afin de déterminer le produit le
– Mauvaise hiérarchisation plus attractif possible auprès des
des critères prioritaires des consommateurs.
275
consommateurs. – Établir des règles communes de
fabrication et de présentation des
produits (normes).
– Vérifier l’adéquation du produit
avec le budget et les technologies
alloués au projet par l’entreprise.
– S’assurer que le service
marketing travaille en relation avec
le service R&D pour l’élaboration
de nouveaux produits.
Produit – Les moyens possédés par – Estimation du cycle de – Pas de retour sur – Mener des études de marché
– Être sûr que le produit l’entreprise ne permettent vie du produit. investissement. afin de déterminer le produit le
possède un fort potentiel de réaliser service et/ou le – benchmark auprès des – Menace d’exclusion du plus attractif possible auprès des
pour l’avenir. produit. concurrents. marché. consommateurs.
– Mauvaise analyse du – Informations sur le – Faible taux de vente. – Déterminer la place du produit
marché. secteur du produit : – Mise en péril de la dans son cycle de vie.
– Lancement d’un produit (image, pérennité, etc.). pérennité de l’entreprise. – Effectuer des démarches sur le
sur un segment non viable segment de marché des produits.
ou en décroissance.
Étapes/
3. Formulation Prix – Mauvaise évaluation – Procédures de fixation – Faible taux de vente. – Formaliser les modalités de prise
et évaluation du – Être sûr que le prix a une du coût de production, des prix. – Insatisfaction des clients. en compte des 4 facteurs suivant
marketing mix influence positive sur la prix de revient, des prix – Études des coûts de – Perte de parts de pour la détermination du prix :
(suite) rentabilité de l’entreprise des concurrents et des production. marchés. objectifs généraux de la stratégie
et ne constitue pas une distributeurs. – Documents de – Diminution du CA marketing, structure des coûts
barrière à l’achat pour les – Le prix n’est pas cohérent benchmarking axé sur le (rentabilité 0). de production, politique de prix
consommateurs. avec le positionnement du prix des concurrents. des concurrents et distributeurs,
produit ou du service. – Étude de l’élasticité de la élasticité de la demande finale par
demande finale par rapport rapport au prix.
au prix. – Vérifier l’adéquation entre
le prix de vente, le prix de
revient, la stratégie de vente et le
276
positionnement du produit face
aux consommateurs.
– Définir les modalités de
collaboration entre le service
marketing, le service commercial,

le contrôle de gestion et autres
services financiers.
Distribution – Méconnaissance des – Études réalisées – Perte de clients – Mener ‘une étude prenant
– Être sûr que le choix des différents circuits de concernant les circuits de potentiels. en compte les caractéristiques
canaux de distribution distribution. distribution pertinents en – Perte de CA. du produit, des intermédiaires
sont cohérents, pertinent fonction du produit. – L’image et le et de l’environnement afin de
et efficace avec la stratégie – Canaux de distribution positionnement du déterminer un choix cohérent des
adoptée concernant le utilisés. distributeur ne sont pas en circuits de distribution.
produit ou service à – Enquêtes de adéquation avec le produit.
vendre. satisfaction des différents – Mauvais
intermédiaires. approvisionnement.
– Délais de distribution.
3. Formulation Publicité – Mauvaise connaissance – Études réalisées sur – Le message n’est pas – Mener des analyses des
et évaluation du – Être sûr que la de l’audience par les populations ciblées. décodé ou pas entendu par populations ciblées et leur
marketing mix communication sur l’émetteur. – Plan et budget le récepteur. rapprochement avec le produit
(suite) le produit est faite – Mauvaise répartition de communication – Faible taux de vente. et le mode de promotion choisi.
en adéquation avec du budget entre les outils (annonces presse, – Perte de clients – Établir et faire valider le plan
le public visé. de communication. spots radio, messages potentiels. média par la direction.
télévisés…).
– Dispositifs de fidélisation
client.
Promotion – Moyens de promotion – Répartition des budgets – Pas de retour sur – Définir un plan et un budget
– Être sûr que les moyens du produit inadaptés. promotion par rapport les investissements en de communication.
utilisés pour promouvoir – Mauvaise répartition aux objectifs. communication. – Effectuer le rapprochement
le produit sont pertinents du budget entre les outils – Études concernant – L’organisation ne entre le contenu de chaque partie
et efficaces. de communication. le rapprochement parvient pas à faire du plan média avec les différents
entre positionnement connaître son produit. objectifs.
du produit, cible et – Faibles ventes ➙ hausse
moyens de promotions. des stocks.
4. Planification – Être sûr que les objectifs – Stratégie marketing floue – Objectifs stratégiques. – Absence de réalisation – Définir des plans d’actions
277
marketings définis (cible, positionnement, – Plans d’actions (nature des objectifs stratégiques, cohérents avec la stratégie
sont déclinés au niveau ventes…). des opérations à mener, s’ils ne sont pas déclinés et marketing, qui soient validés par
opérationnel en plan responsabilités et moyens affectés. la DG et les services concernés
d’action. nécessaires…). (commercial, production,
R&D…).
– Attribuer les plans d’actions
détaillés à des personnes
responsables de leur réalisation
dans les délais impartis
(et leur affecter les moyens

nécessaires).
Étapes/
5. Mise en œuvre – Être sûr de la bonne – Absence de plans – Moyens de communica- – Non atteinte des – Effectuer un suivi de la mise en
réalisation des plans d’actions ou plans tion des plans d’action aux objectifs et des plans œuvre des plans d’actions (de la
d’action sur le terrain d’actions flous, sans services concernés (produc- d’action. réunion de lancement au bilan)
par les personnes et/ou responsable identifié. tion, finance, commercial, – Résistance des autres régulier et avec l’ensemble des
les services concernés. – Moyens insuffisants pour RH…) et réunions de tra- services pour la mise en acteurs concernés.
la mise en œuvre des plans vail pour suivre leur bonne œuvre des plans d’action. – Mettre en œuvre un système
d’action. – Plans d’action mise en œuvre.– Outils de de communication adapté entre
non validés avec les autres pilotage de l’avancement les services.
services concernés. des plans d’action. – Mettre en œuvre un système
– Liste des personnes en de remontée des informations
charge de ce pilotage. pertinentes vers les personnes en
278
charge du pilotage (DG…).
6. Contrôle – Être sûr que les résultats – Contrôle discontinu. – Dispositifs de contrôle – Objectifs marketing non – Définir les dispositifs de
et veille des actions marketings – Planification n’ayant pas dans les plans d’action. atteints. contrôle et de pilotage concernant
sont mesurés afin d’en intégré de dispositifs de – Outils de contrôle – Perte financière directe et la mise en œuvre des actions
apprécier l’efficacité et contrôle des actions. disponibles pour évaluer indirecte. marketings au regard des objectifs
qu’ils servent au pilotage – Absence d’objectifs les objectifs : existence et – Perte de clients et de part commerciaux.
de l’activité (actions chiffrés dans les plans cohérence. de marché. – Anticiper les écarts en mettant
correctives en cas de d’action. – Réalisation effective des en place des mesures correctives
dérive, identification des – Outils de contrôle ne contrôles. influant sur les objectifs ou les
opportunités à saisir…). permettant pas d’évaluer – Dispositifs de moyens d’action.
les objectifs. veille concurrentielle – Mise en œuvre d’un système
– Absence de moyens (existence et modalités de de veille concurrentiel continu
nécessaires à la veille fonctionnement). permettant une réactivité de
technologique. – Comparer le résultat l’organisation par rapport aux
avant et après les actions évolutions de son environnement.
correctives.
Achats
PROCESSUS ET/OU DOMAINE : achats

Étapes/
1. Expression – Être sûr que l’achat – Achat non nécessaire, – Organigramme détaillé – Achat mal défini risquant – Mettre à jour régulièrement la
du besoin correspond à un besoin non réalisable ou non avec définitions de de ne pas correspondre aux hiérarchisation des pouvoirs au
réel de l’organisation et autorisé. fonction écrites pour la besoins. niveau des DA qui seront émises
qu’il est validé par une – Achat non conforme aux Demande d’Achat (DA) – Risque de dépassement par un responsable du service
personne autorisée. principes de l’organisation. et son acceptation. par rapport au budget. demandeur et validées par une
– Achat inutile ou non – Règles et pouvoirs de personne autorisée.
anticipé. signature. – Valoriser et référencer la DA à
– Achat d’urgence non un budget.
maîtrisé. – Référencer la DA à un cahier des
279
charges pour certains types d’achats.
– Mettre en place une procédure
d’exception pour les achats en
urgence (si récurrence de ce type
d’achat).
2. Sélection – Être sûr d’obtenir un – Fournisseurs potentiels – Annuaires professionnels. – Fournisseurs ne – Mettre en place un système
du fournisseur maximum d’informations non consultés, fournisseurs – Offres fournisseurs. répondant pas aux d’information sur les fournisseurs
sur les fournisseurs privilégiés. – Fiches fournisseurs. attentes (rupture des à la disposition des acheteurs.
potentiels afin d’évaluer – Absence de véritable – Procédure d’appel approvisionnements). – Supprimer les relations de
leurs propositions mise en concurrence. d’offres (AO). – Surcoût des achats par dépendance avec les fournisseurs.
équitablement et ainsi – Mauvaise évaluation du – Procédure de absence véritable de mise – Mettre en place une procédure
comparer leurs offres de fournisseur sélectionné par dépouillement des offres. en concurrence. d’AO et de dépouillement.
manière pertinente. des critères de comparaison – Pertinence, fiabilité – Collusion. – L’acheteur doit rédiger l’AO en
inadaptés (éléments et qualité du système collaboration avec les demandeurs
quantifiables : prix et délai/ d’information fournisseurs. après étude préalable du marché.
qualité et fiabilité). – Définir des critères de comparai-
son permettant de justifier les choix
(prix, qualité technique des pro-
duits, situation du fournisseur…).
Étapes/
(objectifs de contrôle de bonnes pratiques
Sous-domaines Facteurs (scénarios
interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
3. Négociation – Être sûr que les – Termes de la commande – Règles et pouvoirs – Non-respect des termes – Mettre en place un support de
et Contrat commandes existent non négociés. de signature. de la commande. commande standard, numérotée
et que les termes de – Termes de la commande – Liste de fournisseurs – Termes de la commande et comportant les conditions
ces commandes ont négociés mais non autorisés. modifiés à des fins générales d’achat (conditions
été négociés, formalisés formalisés. – Bons de commande personnelles. de transport, conditions de
et autorisés. – Engagement non (BC). – Litiges avec les paiement…).
autorisé. – Accusés de réception fournisseurs. – Mettre à jour régulièrement
– Court-circuitage par de commande (AR). – Achats non conformes la liste des personnes habilitées
le service demandeur aux principes de à signer les commandes.
280
de la procédure d’achat. l’entreprise. – Diffuser l’information de
– Dépassement par rapport la passation de commande au
au budget. service demandeur, au service
comptabilité et au service
réception.
4. Suivi des – Être sûr que les – Absence d’un suivi – Bons de commande – Non-respect des termes – Diffuser l’information de
commandes commandes en cours font des engagements de (BC). de la commande. la passation de commande au
en cours l’objet d’un suivi fiable, l’entreprise. – Accusés de réception de – Risque de litiges service demandeur, au service
pertinent et efficace. – Absence d’une procédure commande (AR). importants ; de non- comptabilité et au service
de suivi des commandes – Tableau de suivi des respect de délai de réception.
en cours ou procédure commandes en cours. livraison. – Classer les BC en attente
incomplète ou imprécise. de réception et AR.
– Rapprocher les BC avec
les AR.
– Établir un tableau de suivi
des commandes en cours.
5. Réception – Être sûr que le contrôle – Méconnaissance des – Bons de commande – Non-conformité en – Réceptionner les livraisons en
des marchandises de la réception des livraisons. (BC). quantité ou en qualité. des lieux définis.
ou livraison de marchandises ou de la – Absence d’une procédure – Bons de livraison (BL). – Marchandises reçues – Établir des bons de réception (BR)
la prestation livraison de la prestation de contrôle ou procédure – Bons de réception (BR). ne correspondant pas aux et les rapprocher aux BL et BC.
est correctement effectué incomplète ou imprécise. – Lettres de relance, besoins au niveau quantité – Si des écarts ou des retards sont
de façon à vérifier la – Bons de commandes réclamation aux et/ou qualité. constatés, relancer le fournisseur et
conformité avec la (BC) et/ou bons de fournisseurs. – Ralentissement de avertir les demandeurs.
commande. livraison (BL) « égarés ». – Bordereaux de retour. l’activité. – Envoyer un double du BR
– Absence de – Erreur d’imputation et/ au service comptable et classer
rapprochement entre BL et ou erreur d’affectation l’original en attente de facture
marchandises reçues. dans les états financiers. (enregistrement du BR vaut un
bon à payer).
formalisée concernant les litiges
(avec ou sans retour, réclamations).
6. Contrôle et – Être sûr que les – Absence de procédure de – Factures. – Retard ou omission dans – Définir, formaliser et communi-
enregistrement des factures fournisseurs sont réception des factures ou – Bons de réception (BR). la comptabilisation. quer des procédures de réception
factures, paiement correctement contrôlées, procédure imprécise. – Bons de commande – Problème de cut-off et de paiement des factures claires
281
des fournisseurs enregistrées et réglées. – Procédure de réception (BC). (non-respect des règles et précises en définissant le rôle et
des factures méconnue ou – Mouvements comptes comptables de séparation les responsabilités de l’ensemble
mal communiquée. fournisseurs et flux de des mois/années). des acteurs (opérations de règle-
– Perte de factures. trésorerie dans les états – Double paiement. ment effectuées différentes de
– Absence de financiers. – Paiement non autorisé. celles qui approuvent les pièces
rapprochement entre – Liste de personnes – Factures impayées. justificatives, comptabilisent les
facture et BR (quantité, habilitées à signer les – Détournements (non- opérations d’achat et paient les
qualité) et BC (prix). documents de paiement. séparation des fonctions). règlements bancaires).
– Absence de procédure de – Procédures de réception – Mettre à jour la liste des
paiement des factures ou et de paiement des factures personnes habilitées à signer les
imprécise. et documents associés. documents de paiement.

– Procédure de paiement – Contrôler systématiquement
des factures méconnue ou la facture : aspect formel de la
mal communiquée. facture correct, date récente et
– Factures non envoyées au calculs exacts, rapprochement de
service comptable. la facture avec le BR et le BC.
– Conditions de paiement – Comptabiliser uniquement au
non définies ou imprécises vu du justificatif.
dans le contrat. – Analyser périodiquement les
– Absence de suivi des comptes fournisseurs et comptes
comptes fournisseurs. de trésorerie.
Étapes/
7. Implication – Être sûr que le service – Non-prise en compte des – Analyse des écarts – Prévisions de budget – Impliquer le service achats dans
du service achat achat participe à stocks lors de l’élaboration précédents entre le en déconnexion avec les l’élaboration du budget annuel,
dans le pilotage l’élaboration du budget du budget achats. prévisionnel et le réel. objectifs et les contraintes des plans d’achats annuels et des
du Groupe annuel et des plans – Le service achats – Procès-verbal de la opérationnelles de écarts prévisions/réel.
d’achats annuels. ne participe pas à réunion d’élaboration du l’activité. – Établir un planning des
l’élaboration de son budget budget. – Absence de maîtrise des principales commandes passées par
et des plans d’achats. – Planning budgétaire des coûts. le service.
dépenses. – Prendre en compte les états de
– Prévisions des évolutions stocks lors de l’élaboration des
de stocks. budgets achats.
282
– Être sûr que le service – Absence de contact des – Nomenclature des – Détérioration des – Ratifier des contrats de longue
achat est l’interlocuteur achats avec l’extérieur : fournitures et matériels. rapports avec les durée avec les principaux
privilégié des fournisseurs. Faible autonomie. – Procédure achat et post- fournisseurs. fournisseurs.
– Éclatement de la achat. – Diminution de la – Bon maintien des relations avec

fonction achats en pôles – Délégations de signature crédibilité du service les fournisseurs.
autonomes. et circuit de validation. d’achat et donc de son – Donner au service achats une
– Court-circuitage de – Contrats fournisseurs. poids décisionnel. autonomie importante en termes
la fonction achat par les – Éléments d’évaluation d’évaluation des fournisseurs.
clients internes. des fournisseurs. – Rendre l’approbation officielle
– Contrats signés au coup du service achats obligatoire pour
par coup. toute commande.
– Pratique de commande
trop pointilleuse remettant
en cause le partenariat à
chaque commande.
Gestion des stocks
PROCESSUS ET/OU DOMAINE : gestion des stocks

Étapes/
1. Estimation – Être sûr que le stock – Stocks insuffisants pour – Prévision des ventes/ – Surestimation du – Estimation des besoins en stock
et prévision permettra de satisfaire les la production. objectifs généraux. stock nécessaire, risque en collaboration avec les services
des stocks aléas de la demande des – Absence de mise à jour – Procédure d’estimation de charges financières contrôle de gestion/marketing/
clients (externe/interne). des caractéristiques de des stocks. supplémentaires. commercial/production.
l’appareil productif. – Rapprochement avec – Sous-évaluation du – Mise à jour des caractéristiques de
inventaires périodiques. stock nécessaire, risque l’appareil productif à chaque modi-
– Tableaux de gestion des de rupture de stock. fication du processus de production.
stocks par produit. – Apparition de stocks – Effectuer des inventaires
– Planning des demandes its dormants. périodiques afin d’estimer les
283
de sorties en provenance niveaux de stocks en vue d’ajuster
des services clients. les prévisions.
– Être sûr que l’estimation – Absence de procédure – Procédure d’estimation – Surestimation du – Estimation des besoins en stock
des niveaux de stocks d’estimation des stocks. des stocks. stock nécessaire, risque en collaboration avec les services
nécessaires tient compte – Les stocks de sécurités ne – Données historiques de charges financières contrôle de gestion/marketing/
du stock de sécurité et sont pas connus. (niveau de production/ supplémentaires. commercial/production.
correspond à l’activité – Présence de stocks stocks des années – Sous-évaluation du – Mise à jour des caractéristiques
de l’organisation. dormants non pris en précédentes). stock nécessaire, risque de l’appareil productif à chaque
compte. – Travaux d’estimations de rupture de stock. modification du processus de
– Absence de méthode des stocks nécessaires. – Apparition de stocks production ou à sa modification.

précise d’estimation des – Instructions de gestion dits dormants. – Ajuster les prévisions de stockage
stocks. des stocks. en fonction des stocks existants.
– Pas de prise en compte – Typologie des produits. – Effectuer des inventaires pério-
des contraintes techniques – Instruction sur les diques afin d’estimer les niveaux de
liées aux produits, aux niveaux de stocks de stocks en vue d’ajuster les prévisions.
matières ou à l’activité. sécurité tolérés. – Prendre en compte les contraintes
– Tableaux de gestion des techniques d’approvisionnement
stocks par produit. lors de l’élaboration des plannings
de réapprovisionnement.
Étapes/
2. Les mouve- – Être sûr que tout – Entrée ou sortie de stock – Fiche des entrées/sorties – Risque de démarque – Signature du bon de réception
ments de stock mouvement de stock fictive. de stocks. (détournement de stocks). par le service gestion des stocks
(entrée/sortie) correspond a une réalité – Absence de bon – Liste des bons de – États financiers faussés. et le service achat.
et a une justification. de cession au client/ cessions. – Charges financières – Procédure entrées et sorties de
demandeur. – Liste des commandes. supplémentaires. stocks.
– Absence de – Liste des bons de – Accroissement des – Rapprochement bon de bon
rapprochement entre liste réceptions. volumes de stocks de façon de commande du client/bon de
des commandes et entrées – Liste des bons non justifiée. livraison/bon de réception client.
en stock. d’expéditions. – Rapprochement bon de
– Absence de suivi entrées/ réception du service/bon de
sorties. commande de la société.
– Être sûr que tout – Non-enregistrement des – Procédures d’entrée et – Charges financières – Tracer les produits de façon
mouvement de stock est mouvements de stocks. sortie de stock. supplémentaires. homogène via le même dispositif.
284
enregistré. – Absence de dispositif de – Récapitulatif des entrées/ – États financiers faussés. – Enregistrer les mouvements de
tracking des produits. sorties journalières stocks en temps réel.
– Dispositif de tracking comparé au stock net en
non uniforme. fin de journée.
3. Maintien du – Être sûr que pour tout – Absence de commande – Estimation d’une marge – Rupture de stock. – Identification des biens
niveau de stock besoin de reconstitution systématique en deçà d’un de stockage correspondant – Surfacturations des pouvant faire l’objet de tel
et réapprovision- des stocks, un certain niveau de stock. aux aléas de la demande. fournisseurs/prestataires réapprovisionnement et
nement. réapprovisionnement – Stock de sécurité calculé – Estimation du niveau de logistiques. négociation de contrat avec
est fait. erroné stock nécessaire. – Estimation des stocks les fournisseurs.
– Délais de – Listing des arrivées de erronée, ce qui biaise les – Accréditer un responsable
réapprovisionnement trop réapprovisionnement. informations financières. de gestion des stocks ayant
long. – Liste des demandes – Coût de pouvoir d’effectuer les
de réapprovisionnement réapprovisionnement trop réapprovisionnements permettant
rapprochée au niveau de important. de reconstituer des stocks.
stocks actuel.
– Méthode de
calcul du seuil de
réapprovisionnement.
3. Maintien du – Être sûr que le niveau – Mauvaise estimation – Méthode de – Perte de contrat (ou – Mise en place d’un outil de
niveau de stock de stock est maintenu. des niveaux de stocks. calcul du seuil de litige) réapprovisionnement automatique
et réapprovision- réapprovisionnement. – Ruptures de stock. en deçà d’un certain niveau de
nement (suite) – Estimation du niveau – Impossibilité à satisfaire stock.
de stock nécessaire. une commande. – Suivre une méthode de calcul
– États des ruptures de – Charges financières unique pour toute définition des
stocks. éventuelles (pénalité seuils de réapprovisionnement.
de retard, absence de
négociation des tarifs dû
aux petites quantités).
4. Évaluation/ – Être sûr que le stock – Défaut de connaissance – Communication des – Valorisation comptable – Mettre en place une procédure
valorisation est évalué selon les des normes comptables normes comptables de des stocks faussée, états de valorisation des stocks en
des stocks principes comptables choisies par l’entreprise/le l’entreprise/du groupe. financiers faussés (BFR, accord avec les règles comptables
de l’organisation. groupe pour la valorisation – Procédure de valorisation provisions, etc.). de la société/du groupe, procédure
des stocks (CUMP etc.). des stocks et des en-cours. – Baisse de crédibilité. incluant les en-cours.
– Absence de méthode de – Fiche de suivi des stocks. – Prise de décision – Nommer un responsable de la
valorisation des stocks. – États de valorisation éventuellement erronée. valorisation des stocks.
– Valorisation des stocks des stocks des années – Réaliser une valorisation
285
hétérogène en fonction précédentes. périodique en rapprochant les
de la période. sorties (et demande des services)
et les entrées en stocks (réception
de marchandise).
– Être sûr que la – Outil/méthode de – Procédure de valorisation – Baisse de crédibilité. – Mettre en place une procédure
valorisation est valorisation non efficace. des stocks et des en-cours. – Prise de décision de valorisation des stocks en
représentative de la réalité. – La valorisation n’est – Rapprochement des éventuellement erronée. accord avec les règles comptables
pas effectuée au moment valeurs des références – Risque de non- de la société/du groupe, procédure
opportun. stockées sur site avec les certification des comptes incluant les en-cours.
valeurs estimées sur le et/ou de redressement – Nommer un responsable de la

marché. fiscal. valorisation des stocks.
– Réaliser une valorisation
périodique en rapprochant les
sorties (et demande des services)
et les entrées en stocks (réception
de marchandise).
Étapes/
5. Inventaire – Être sûr que le résultat – L’inventaire n’est pas – Procédure d’inventaire – États financiers faussés. – Procédure d’inventaire physique
des stocks de l’inventaire des stocks exhaustif. des stocks incluant la – Risques de démarque exhaustive.
est conforme à la réalité. – Absence de procédure séparation des tâches. (détournement de stocks). – Séparation des tâches.
d’inventaire. – Fiche(s) d’inventaire(s). – Éventuel double comptage
– Absence ou mauvaise – Plan/programme pour les stocks critiques ou en cas
séparation des tâches. d’inventaire. d’écarts.
– Absence de plan/ – Liste du personnel – Contrôles de l’inventaire.
programme d’inventaire. d’inventaire. – Plan/programme d’inventaire.
– Dispositif de sécurité – Effectuer les rapprochements
physique. entre les stocks virtuels (dans le SI)
et les stocks réels.
286
– Sécuriser les accès de l’entrepôt
lors du déroulement de
l’inventaire.
– Être sûr que – Absence ou mauvaise – Date de l’inventaire. – Pertes financières. – Procéder à l’inventaire durant
l’organisation des séparation des tâches. – Plan/programme – Cessation d’activité. les périodes creuses de l’activité.
inventaires physiques – Manque de ressources d’inventaire. – Planifier le déroulement de
assure une continuité nécessaires lors de l’inventaire en corrélation avec
d’exploitation. l’inventaire. l’activité.
6. Sécurisation – Être sûr que la sécurité – Locaux non sécurisés – Règle de sécurité. – Destruction ou – Souscription d’une assurance.
des stocks des stocks est assurée. (absence de système de – Preuve de l’entretien des détournement des stocks. – Mise à jour des règles de sécurité
prévention/détection/ systèmes de prévention/ – Charges financières. et communication de celles-ci.
protection). détection/protection. – Systèmes de prévention/
– Absence/non application – Règlement intérieur. détection/protection entretenus.
de règles de sécurité. – Liste des personnes
– Non-restriction de ayant suivi une formation
l’accès aux stocks. sécurité.
Production et services connexes
PROCESSUS ET/OU DOMAINE : production et services connexes

Étapes/
(Découpage du processus et/ou domaine)
1. Conception et – Être sûr qu’on étudie – Concurrence avec la – Cahier des charges bien – Risque de conflits de – Assurer un strict suivi du cahier
études préalables quels seront les concepts fonction Recherche et suivi. pouvoir entre fonction des charges.
à la production technologiques et/ou Développement (R&D). – Communication et R&D et production. – Communiquer sur les aspects
méthodes à utiliser pour – Technologie trop collaboration lors de – Augmentation des délais techniques importants de la mise
satisfaire le cahier des compliquée à mettre en l’élaboration du cahier des de lancement et mise en en production ainsi que sur le
charges. œuvre. charges. production. planning de développement.
– Coût trop élevé. – Définition précise des – Difficulté à passer d’un – Collaboration entre ces deux
– Concept en rôles de la R&D et du stade de production services.
287
inadéquation avec les bureau d’étude. expérimental à un stade de – Veiller à ce que du personnel
besoins des clients. – Connaissance et production industrielle. R&D soit détaché pour aider à la
communication des – Production irréalisable, mise en place de la production.
moyens de production inadaptée.
existants et des normes de
fabrication.
– Être sûr que ces concepts – Les études réalisées ne – Budget production – Augmentation des délais – Prévoir au préalable une
et/ou méthodes de suivent pas les mêmes validé. de lancement et mise en estimation du budget de mise
production sont définis orientations stratégiques – Points de vérification du production. en production.
afin de minimiser les que les objectifs de cahier des charges validés – Augmentation des coûts – Veiller à la conformité et au
coûts, les pertes de temps l’entreprise. avec le client. due à l’aboutissement caractère réalisable des projets.
et de garantir une sécurité – Il y a des contradictions – Connaissance et sur des solutions non
maximale. dans les études réalisées. communication des optimisées.
– Absence de réunions moyens de production
de travail entre les existants et des normes
collaborateurs et/ou les de fabrication.
différents bureaux d’étude
Étapes/
1. Conception et – Être sûr que les études – Absence d’objectifs – Réunion périodique – Les études ne répondent – Évaluer les écarts entre
études préalables théoriques sont réalisables, clairs. d’analyse des études pas aux besoins de les études réalisées et les objectifs
à la production cohérentes et qu’elles ne – Absence de réunions réalisées. l’entreprise. finaux.
(suite) remettent pas en cause les de travail entre les – Cahier des charges – Augmentation des délais – Les études réalisées doivent être
objectifs de l’organisation. collaborateurs et/ou les relatant les exigences que de lancement et mise en orientées dans le même axe que
différents bureaux d’étude. devra respecter l’outil de production. ces objectifs.
production. – Non-conformité des – Les études doivent aboutir sur
– Existence et projets avec le cahier des des projets réalisables.
connaissance des objectifs charges. – Tenir des réunions périodiques
organisationnels. permettant de faire un point
et de re-cadrer l’étude en cas
de « dérive » par rapport aux
288
objectifs.
– Être sûr de la bonne – Mauvaise connaissance – Cahier des charges – Les études ne répondent – Choix en concertation entre
coordination entre des normes et/ou des relatant les exigences que pas aux besoins de R&D ayant mis au point le
le service Recherche moyens de fabrication. devra respecter l’outil de l’entreprise. produit et bureau d’étude devant
& Développement, – Absence de production. – Dégradation de l’image gérer la production industrielle
le bureau d’étude, le communication entre les – Existence et de la production auprès de celui-ci.
service ordonnancement/ collaborateurs et/ou les connaissance des objectifs des clients interne. – Définir le rôle de chaque service
lancement. différents bureaux d’étude. organisationnels. – Non-conformité des connexe à la production ainsi
– Les rôles de la R&D – Réunions de travail projets avec le cahier que ses moyens (humains et
et de la production dans périodiques régulières des charges. financiers).
l’élaboration des concepts (avancée des travaux). – Définir la contribution de
ne sont pas ou mal définis. chaque service aux objectifs
opérationnels de la production.
– Structurer les études
(calendrier…) de façon formelle
et les communiquer aux
collaborateurs concernés.
2. Planification – Être sûr que la – Manque de – Cahier des charges. – Production en déphasage – Existence de documents
de la production production est planifiée communication et – Plan prévisionnel de avec les prévisions de standards pour la préparation
de manière à réduire les d’information. production. ventes et disponibilité de et la communication des
coûts et les stocks à leur – La planification est mal – Système de l’outil industriel. prévisions de ventes et plans
minimum. effectuée : les prévisions communication des – Défaillance de la de charges.
de ventes ne sont pas membres du service. planification des – Connaissance des prévisions de
transformées en prévision – État des stocks. approvisionnements en ventes et de la disponibilité de
de production. – Plans de production termes de quantités ou de l’outil industriel par le personnel
– Il n’existe aucune passés. délais. de production.
méthode formalisée pour – Approbation du plan de – Insuffisance ou excédent – Existence de procédures
arbitrer les priorités de production. de matières. de comparaison des plans de
planning. – Procédure – Gestion de la production production aux prévisions et
– Absence de d’information du service non optimisée. d’identification d’écart en termes
communication entre les achats des impératifs – Perte de productivité. de délais et de quantités.
membres du service. d’approvisionnement. – Perte de performance. – Établissement de niveaux
– Les méthodes de – Risque de conflit entre de priorités au niveau de la
planifications ne prennent le personnel du service de production sur la base de critères
pas en compte les production. préétablis.
exigences client. – Établissement d’un plan
289
– Les délais de de production annuel précis
planifications sont trop et réaliste, approbation du
courts pour mobiliser les plan de production au niveau
ressources d’appoint. approprié.
– Existence d’indicateurs de
performance pour suivre les cas
d’insuffisance ou d’excédent de
stocks de matières.
– Évaluer la capacité de
production de la chaîne de
production.
– Veiller à la formalisation
des responsabilités de chacun
dans la conception du produit.
– Mettre en place un système
d’information formalisée.
– Établir un « bon à tirer » pour
chaque étape de la production.
Étapes/
2. Planification – Être sûr que le service – Le planning budgétaire – Budget de production. – Gestion de la production – Communiquer le budget de
de la production de production respecte le n’est pas traduisible en – Tableau des écarts. non optimisée. production au service production.
(suite) planning budgétaire. exigences de production : – Planning des dépenses – Pertes financières – Intégrer les responsables
Trop flou. liées à la production. potentielles dues à des production dans l’élaboration du
– Le planning budgétaire dépenses au mauvais budget nécessaire pour respecter le
se révèle incompatible moment. plan de production.
avec les exigences de la
production.
– Être sûr que chaque – Absence de spécialisation – Fiche de postes. – Risque de conflit entre – Veiller à la formalisation des
membre du service dans les tâches. le personnel du service de responsabilités de chacun dans
production connaît son – Pas de rôle défini pour production. la conception du produit.
290
rôle. les membres du service – Veiller à ce que chacun respecte
production. sa mission.
3. Gestion des – Être sûr qu’une personne – Mauvaise définition des – Organigramme – Conflits engendrant des – Un organigramme doit être
ressources (travail, gère l’équipe et la dirige rôles. fonctionnel nuisances pour la société. présent dans le service avec la
capital et matières vers un but commun. – La distribution des – Procédures claires et – Non atteinte des fonction de chaque membre
premières) Cette personne est chargée pouvoirs est confuse. formalisées de transmission objectifs. de l’équipe et le rôle qui lui est
de définir les rôles des – Mauvaise des informations. – Diminution de la attribué.
membres de l’équipe et communication entre – Plan de travail des productivité – La distribution des pouvoirs
de leur attribuer certains les postes et le service équipes. – Risque de perte de doit aussi être documentée et être
pouvoirs. manutention. – Aménagements horaires qualité due à l’accélération connue de tous.
– Manque de flexibilité des services par rapport de la cadence de – Désigner un correspondant
dans la définition de la aux cycles de production. production. pour la communication interne
gestion de la production. entre les services manutention,
production, fournisseurs,
gestion des stocks et bureau
d’ordonnancement.
– Formaliser une procédure de
transmission des informations.
3. Gestion des – Être sûr du respect des – Définition de moyens – Prévisions de ventes. – Retards de production. – Définition des moyens humains
ressources (travail, priorités de production non adaptés à la réalisation – Plan de production. – Insatisfaction clients. et techniques en relation avec
capital et matières arbitrées au niveau des des objectifs. – Attribution des équipes. – Investissements en la production et les bureaux des
premières) (suite) clients internes : Moyens – Contraintes techniques – Spécification technique moyens inadaptés. méthodes et d’ordonnancement.
associés à la réalisation du non prises en compte par de la production. – Communication des
plan de production. les clients. informations rapide et pertinente
– Le planning n’est fait que aux collaborateurs concernés.
d’urgences. – Suivi des flux en temps réels à
– Le plan de production l’aide d’outils adaptés.
ne prend pas en compte – Formaliser une procédure de
les priorités des clients transmission des informations.
internes. – Élaborer une liste exhaustive
des contraintes techniques de
fabrication et la mettre à jour
systématiquement : rapprocher
les contraintes techniques avec
les demandes internes.
– Mettre en place un système
de prise en charge des besoins
291
imprévus.
– Être sûr que – Manque de matières – Seuil minimum de stock. – Arrêt de la chaîne de – Travailler en collaboration avec
l’approvisionnement premières. – Procédure de production pour ressources le service de gestion des stocks et
des postes de travail, la – Seuil limite de ressources réapprovisionnement. insuffisantes. le service d’approvisionnement.
réception des marchandises mal défini, non connu. – Inventaire des moyens – Retard sur la production – Définir clairement le seuil mini-
des fournisseurs et le mis à disposition de la et l’acheminement aux mum avant approvisionnement.
rangement des produits manutention. stocks. – Utiliser des grilles bien
finis sont correctement – Non atteinte des définies (dates, quantités) qui
réalisés. objectifs. informeraient le service achat des
impératifs d’approvisionnement.
– Comparer les prévisions d’achats
avec les achats réels afin de prévoir
les quantités de matières premières
à utiliser.
– Répertorier les excédents/
insuffisances de stocks de matières
premières afin de mieux planifier
l’approvisionnement.
Étapes/
3. Gestion des – Être sûr que les stocks – Seuil limite de ressources – Indicateurs de gestion – Gestion des entrées et – Vérifier le calcul et la prise en
ressources (travail, de produits finis sont mal défini ou non connu. de stocks. sorties de matières non compte d’indicateurs.
capital et matières minimisés. – Manque de clarté dans – Commandes clients. gérées de façon optimale. – Attribuer une série produite
premières) (suite) la définition du plan de Délais d’attente entre – Augmentation des à une ou plusieurs commandes.
fabrication. fin de production et charges de stockage. – Entretiens réguliers entre
expédition. – Diminution du résultat le responsable de la gestion
des stocks et le personnel
du service connexe affecté
à cette tâche.
– Construction d’indicateurs
pertinents.
292
– Être sûr que la gestion – Absence de calcul d’un – Inventaire des moyens – Retards dans la – Évaluer et suivre les besoins
du stock d’outils seuil de sécurité. mis à disposition de la production. (d’où lancement de la fabrication
nécessaires à la production – Absence d’informations manutention. – Non-atteinte des en interne ou sur commande).
permet la réalisation des relatives au niveau des – Procédure de gestion du objectifs. – Comparer les méthodes
objectifs. stocks. stock d’outils. – Continuité de la de gestion de la production au

– Absence de planification. – Plan de fabrication. chaîne de production niveau coûts/bénéfices afin de
– Mauvaise – Liste des contraintes interrompue. mettre en place les meilleurs
communication avec le techniques. moyens de gestion des matières
service achats. premières.
– Absence de planification – Évaluation et planification
des besoins outils et des besoins en outils.
matières premières. – Définition des ressources
– Absence de gestion des nécessaires au service en
stocks outils et ressources. collaboration avec les bureaux
d’étude, des méthodes et
d’ordonnancement.
– Évaluer les rapports coûts/
bénéfice des machines.
3. Gestion des – Être sûr du bon entretien – Entretien effectué de – Planning de – Retards dans la – Diagnostiquer la panne,
ressources (travail, de la chaîne de production façon non conforme. maintenance. production. définir les moyens d’actions
capital et matières et de l’optimisation des – Obsolescence du – Plan de tests. – Défaillance du matériel. et effectuer les actions
premières) (suite) coûts et délais d’entretien. matériel. – Guide de diagnostic. – Arrêt de production. préventives.
– Utilisation non optimale – Nomenclature des – Impossibilité de réparer – Tester le matériel après
du matériel. principales pannes et des donc matériel inutilisable les interventions.
– Priorité donnée à la réparations associées. et obligation de rachat. – Minimiser les périodes
maintenance curative – Contrat de prestation. d’interruption de la chaîne
de production.
– Vérifier que la maintenance
soit effectuée aux dates prévues.
– Vérifier que le matériel
soit renouvelé quand cela est
nécessaire.
– Disposer de contrat de
service avec une entreprise
de maintenance/réparation
ou avec le fournisseur
du matériel.
293
– Entretenir le matériel
aux dates prévues par le service
de la maintenance.
– Vérifier l’existence ou créer
une fiche de produit
permettant de situer
la défaillance du produit
et de son fonctionnement.
– Créer une procédure de
définition du planning de
maintenance.
Étapes/
3. Gestion des – Être sûr que l’outil – Dépassement des délais – Planning de – Arrêt de production. – Sensibiliser le personnel sur la
ressources (travail, de production est de maintenance. maintenance. – Retards dans la nécessité d’effectuer des tests avant
capital et matières correctement renouvelé. – Utilisation de – Plan de tests. production. réutilisation du matériel renouvelé.
premières) (suite) technologies obsolètes. – Cahier des charges. – Risque de casse anticipée – Mettre en corrélation le cahier
– PV de réunion de projet. du matériel de production. des charges concernant le nouvel
– Procédure de mise outil avec les caractéristiques de
en fonctionnement de l’outil renouvelé.
nouveau matériel. – Disposer de contrat de
– Historique des pannes service avec une entreprise de
majeures et solutions de maintenance/réparation ou avec le
réparation appliquées. fournisseur du matériel.
– Entretenir le matériel aux
dates prévues par le service de la
294
maintenance.
– Formaliser une procédure de
vérification avant réutilisation du
matériel : check-list tests à effectuer.
– Évaluer le suivi des arrêts de produc-

tion liés à des défaillances du matériel
(indicateurs de performances).
– Être sûr de la polyvalence – Sous ou sur spécialisation – Besoins des clients – Non atteinte des – Vérifier que le personnel est
et de la réactivité des du personnel. internes. objectifs. formé au travail sur les différents
ateliers de production. – Équipes figées. – Délai moyen de réponse – Dépendance de postes de production.
– Postes ne disposant pas à une commande. la production aux – Rendre l’organisation de la pro-
de solution de relève. – Nombre de litiges clients compétences de certains duction indépendante des salariés
internes et externes. employés. qui occupent certains postes.
– Aménagements horaires – Mettre en place un système de
des services par rapport prise en charge des besoins imprévus.
aux cycles de production. – Former le personnel à travailler
sur les différents postes de la
chaîne de production.
3. Gestion des – Être sûr que les – Contraintes techniques – Indicateurs de pannes – Non atteinte des – Formaliser un PV pour
ressources (travail, machines répondent mal définies. (informatiques). objectifs. les réunions de recadrage
capital et matières aux exigences du service – Ignorance des lois et – PV de réunion de projet. – Production non réglementaire.
premières) (suite) et aux préoccupations règlements. – Rapport sur la conforme aux attentes – Mettre en place un dispositif
de protection de – Moyens techniques réglementation. (cahier des charges non de veille juridique et des
l’environnement. inadaptés. respecté). réglementations.
– Non-respect des – Élaborer une liste exhaustive
réglementations (sanction des contraintes techniques de
pénale). fabrication et la mettre à jour
– Risque de perte de systématiquement.
qualité.
– Image de l’entreprise
affectée.
4. Réalisation – Être sûr que l’on – Aucun plan de – Plan de production. – Non-réalisation des – Établir un schéma détaillé
de la production produit et que l’on traite production établi ou – Procédure de production objectifs de production. décrivant le processus et les
les quantités requises, plan de production et documents associés. – Performance revue méthodes de production.
conformément aux imprécis. – Spécifications de à la baisse, retard de – Réaliser un tableau de bord
295
spécifications et aux plans – Plan de production non production. production. permettant de suivre les résultats
de production. ou mal communiqué. – Liste des machines (date – Perte de temps, d’argent de production, l’avancement du
– Défaillance dans la d’acquisition, capacité de et d’efficacité. processus, le nombre d’heures
planification production…). – Augmentation du taux de travail, les matériaux utilisés
– Incompréhension des – Procédure de traitement de rebuts « déchets ». et autres…
étapes du processus de des commandes urgentes. – Problématiques de – Connaître le processus de
production. – Tableau de bord recyclage. production des concurrents afin
– Quantités à produire contrôlant le taux de de simplifier celui-ci au sein de
inadaptées ou peu rebuts l’entreprise.
claires. – Dispositif de sécurité
– Machines de production physique des chaînes de

inadaptées. production.
– Rôles des acteurs non
définis ou incompris.
– Suivi de l’avancée du
processus et des résultats
non effectué.
Étapes/
4. Réalisation – Être sûr que la – Lois, réglementations, – Lois et réglementations – Accidents ou infractions. – Création de services de veille
de la production production est réalisée normes non ou mal en matière d’hygiène et – Problèmes de qualité « technologique », « juridique »…
(suite) conformément aux lois et communiquées, de sécurité. découverts tardivement. – Sensibilisation et formation du
réglementations en vigueur méconnues ou – Normes de qualité – Amendes ou personnel.
en matière d’hygiène et incomprises. adoptée par l’entreprise. redressement des autorités – Procédure de mise à jour et
de sécurité, aux normes – Priorités données à la – Normes et obligations administratives. de diffusions des informations.
qualités et obligations maîtrise des coûts et/ou au légales en matière – Interruption de la – Donner la priorité au respect
légales en matière respect des délais. d’environnement. production et non respect des lois et normes.
d’environnement. – Non-respect des normes – Système des droits à des délais. – Faire certifier la fonction
environnementales. polluer. – Performance de l’activité de production à la norme
– L’outil de production – Certifications « vertes ». revue à la baisse. ISO 14001.
296
n’est pas aux normes. – Certificats de – Impact sur l’image de
maintenance. l’entreprise.
5. Assurer – Être sûr que la – Inexistence ou – Plan de suivi de la – Interruption de la – Créer des procédures visant
la qualité production est réalisée méconnaissance des qualité des produits finis. production. à garantir la qualité du processus
des produits conformément aux normes procédures visant à assurer – Système de tracking des – Vente de produits de production.
de qualité adoptées par la qualité des produits. produits dès leur entrée en défectueux. – Réaliser des tests de contrôle.
l’organisation. – Les problèmes de chaîne. – Perte de clients. – Sensibiliser le personnel à la
qualités ne sont pas – Mauvaise image. maîtrise de la qualité.
identifiés durant le – Établir un indicateur de taux
processus de production. de défauts.
– Procéder au suivi des retours
de marchandises de qualités
insuffisantes et des réclamations
des clients.
6. Gestion des – Être sûr du – Mauvaise transmission – Contraintes de – Dégradation des – Vérifier que les produits finis
produits finis conditionnement des des informations. manipulation des produits. produits finis. soient conditionnés conformément
produits finis. – Manque de personnel. – Procédure de – Pertes financières. aux procédures définies.
– Manque de temps. conditionnement/ – Risque de démarque. – Mettre en place des normes de
– Conditionnement expédition. – Retards d’expédition. conditionnement.
inadapté. – Tracking des produits – Séparer les tâches (le personnel
finis. qui conditionne est différent
– Normes de transport/ de celui responsable de
manutention (en fonction l’acheminement).
des produits). – Établir des plannings.
– Plannings
d’acheminement.
– Être sûr de – Le circuit – Itinéraires de transfert – Risque de démarque. – Vérifier le correct acheminement
l’acheminement vers d’acheminement n’est pas chaîne production/Stock/ – Risque de casse et vers les stocks.
les stocks. connu. expéditions. d’accident. – Afficher les itinéraires
Le circuit d’acheminement – Protection physique des – Retards d’expédition. d’acheminement pour chaque
est complexe et implique circuits d’acheminement : – Dégradation des type de références sur les sites
le passage dans des restriction des accès, produits. de sortie de chaîne.
297
zones ouvertes sur marquage au sol… – Prendre en considération
l’extérieur. – Les moyens – Contraintes de la nature des produits lors de
et les circuits utilisés manipulation des produits. l’acquisition du matériel de
pour l’acheminement – Tracking des produits manutention.
des produits ne sont pas sur le site. – Établir des plannings
adaptés. – Plannings d’acheminement en collaboration
– Manque de temps. d’acheminement. avec le service de gestion des
stocks.
– Séparer les tâches (le personnel
qui conditionne est différent
de celui responsable de
l’acheminement).
– Être sûr que les produits – Manque de – Bon de retour des – Produits retournés non – Travailler en collaboration avec
retournés sont pris en communication avec le produits. traités. le service SAV.
compte par le service service SAV. – Fiche d’anomalie du Problème de stockage à – Établir une fiche d’anomalies
(recyclage…) et traités. produit retourné. cause de la multitude de types pour chaque produit.
produits non traités.
Étapes/
7. Veille – Être sûr que les machines – Parc industriel vieillissant – Liste des contraintes – Non atteinte des – Élaborer une liste exhaustive
technologique existantes sont aptes à et non adaptable. techniques. objectifs. des contraintes techniques de
intégrer les nouveautés – Utilisation de – Plan de fabrication. – Risque de perte de fabrication et la mettre à jour
technologiques. technologies en fin de vie. – Contraintes techniques. qualité. systématiquement.
– Outil de production sur- – Difficulté d’effectuer
spécialisé compte tenu des une maintenance correcte
exigences de l’activité. entraînant obligation de
rachat.
– Être sûr que les usines – La direction n’a pas accès – Notes de synthèse des – Perte de compétitivité de – Suivi des documents
et la direction technique aux informations relatives progrès technologiques. la société par rapport à ses publiés sur l’environnement
298
s’informent constamment aux dernières avancées – Procédure de diffusion concurrents. économique, la technique et
des dernières avancées technologiques. d’information et de – Non-optimisation de l’industrie dans lesquels évolue
technologiques qui – Non prise en compte par recueil des besoins et l’activité de la société. l’organisation.
peuvent avoir un impact la direction d’informations opportunités. – Participation à des séminaires
négatif ou positif sur pertinentes qui pourraient et conférences techniques, aux

l’organisation. s’avérer utiles dans le salons, expositions…
cadre d’un projet de – Notes de synthèse des progrès
développement autre technologiques observés ou
que ceux auxquels les réalisés y compris des projets de
personnes des services recherche et développement en
développement sont cours prévus.
associées. – Diffusion des notes de synthèse
aux niveaux appropriés.
– Existence d’un circuit
d’information et de recueil des
besoins et opportunités par
activité.
Commercial
PROCESSUS ET/OU DOMAINE : commercial

Étapes/
1. Connaissance – Être sûr d’une parfaite – Absence ou mauvaise – Documents relatifs aux – Produits mal connus. – Introduction stratégique du
du produit compréhension du produit présentation du produit. produits (mode d’emploi, – Politique commerciale produit.
dans ses principales – Absence ou descriptif, composition). inadaptée. – Présentation du produit et
fonctionnalités et mauvais descriptif des – Existence de réunions : – Mauvaise démonstration de ses fonctionnalités
évolutions prévues, par fonctionnalités mise en application du du produit. – Mise en situation.
le personnel du service – Absence ou manque produit (essais). – Ventes insuffisantes, – Formation des employés à
commercial. d’informations quant aux baisse du CA. l’utilisation.
299
points forts et faibles du – Mettre en place une procédure
produit. d’intégration des nouveaux
– Manque de formation collaborateurs, incluant une
des employés sur le formation « produits ».
produit. – Mise à jour du contenu de
la procédure en fonction des
nouveaux produits.
2. Connaissance – Être sûr de la – Absence/ou inefficacité – Études de marché – Mauvaises cibles. – Prise en compte de
du marché cible
connaissance du marché, du benchmarking. (existence, pertinence…) – Diminution des ventes à l’environnement et de ses
des cibles privilégiées, – Mauvaise clientèle ciblée. (s’il en existe). cause de la non-pertinence évolutions, dans les différents
de la concurrence et de – Mauvais positionnement – Documents relatifs à la des études de marché. aspects économiques,
l’environnement. du produit sur le marché. clientèle ciblée sociaux, législatifs,
normatifs, technologiques,
psychologiques, etc.
– Cibler la clientèle voulue.
Étapes/
3. Prospection – Être sûr que le service – Mauvaise connaissance – Base de données clients. – Diminution du CA. – Création de typologies de clients
de la clientèle commercial est capable des produits par les – Procédure de prospection – Prospection de clients en accord avec le marketing.
de trouver de nouveaux vendeurs. des clients. ne faisant pas partie de la – Hiérarchisation des typologies.
clients. – Le service ne dispose – Tableau de bord des cible de base. – Création d’une liste de clients
pas de l’autonomie pour performances du service : cibles.
envoyer son personnel sur Nombre de ventes, – Intéressement des commerciaux
le terrain. nombre de prospections à l’efficacité de la prospection
– Les commerciaux effectuées etc. (nouveaux clients/maîtrise des
ne connaissent pas la coûts).
stratégie commerciale de – Réaliser des études de clients
l’entreprise. potentiels et les mettre à jour
régulièrement.
300
– Existence et mise à jour d’une
base de données sur la clientèle
(nom, adresse…).
– Être sûr que les – Absence ou peu – Critères de sélection des – Les clients démarchés – Création de typologies de clients
nouveaux clients d’informations préalables clients. ne correspondent pas aux en accord avec le marketing.
correspondent aux cibles sur les clients. – Fiches de descriptif produits élaborés. – Hiérarchisation des typologies.
de l’organisation. – Les commerciaux produit. – Litiges avec le client. – Mise en place de réunion avec le
ne connaissent pas la – Étude de marché. – Perte de notoriété, service marketing.
stratégie commerciale de d’image. – Réaliser des études de clients
l’entreprise. – Perte de commandes et potentiels.
– L’argumentaire de vente de clients. – Communiquer les fiches
ne donne pas l’impression produits aux prospecteurs et
au client potentiel que assurer leur formation sur les
le produit répond à ses produits.
besoins. – Mettre en parallèle les études de
marchés et la typologie de clients
démarchés.
3. Prospection – Être sûr que la recherche – Absence/mauvaise – Suivi des coûts de – Zones géographiques – Proposer des formations
de la clientèle de nouveaux clients délimitation du champ prospection. non couvertes. méthodologiques pour les
(suite) est faite de manière de prospection des – Affectation géographique – Diminution du CA. prospecteurs.
efficiente, en accord avec commerciaux (géographie/ des commerciaux. – Perte de commandes et – Délimitation du champ de
la charte et les objectifs de typologie client/produit). – Critères éthiques de de clients. prospection (géographique…)
l’organisation. sélection des clients. – L’argumentaire de vente en accord avec l’activité de
– Tableau de bord du ne donne pas l’impression l’entreprise.
suivi d’activité avec une au client potentiel que – Communiquer les fiches
partie concernant la le produit répond à ses produits aux prospecteurs et
recherche (prise de besoins. assurer leur formation.
contact, nombre de visites,
nombre de nouveaux
clients, etc.).
– Être sûr que chaque – Absence de trace des – Portefeuille client. – Mauvaise connaissance – Mettre en place une base de
client prospecté est clients au fil du temps. – Base de données des clients déjà existants. données des clients informatisée
répertorié pour permettre informatisée. – Démarche et procédure et consultable par tous les
et faciliter une négociation de prospection à redéfinir. prospecteurs.
future sur un nouveau – Perte de temps à se – Mise à jour régulière du
301
produit. renseigner sur le client ou à portefeuille clients.
trouver le client. – Relance des clients existants sur
des nouveaux produits.
– Être sûr que les vendeurs – Les vendeurs ne – Absence de catalogue – Litiges avec le client. – Élaboration d’un catalogue
proposent aux clients la connaissent pas tous les produit. – Mauvaise image de de fiches articles (référence
gamme des produits de produits proposés par leur – Manque de mise à jour marque. de l’article, caractéristique du
l’organisation. entreprise. sur l’ensemble des produits – Rupture de stocks. produit…) pour chaque référence
– Les vendeurs sont disponibles ou non dans – Nombre important de en vente.
mal informés sur les le catalogue. commande impossible à – Dispenser une formation visant
caractéristiques et les honorer. à améliorer la connaissance des

atouts des produits. produits.
– Un vendeur peut vendre – Embaucher des vendeurs
un produit qui n’est plus qualifiés et expérimentés.
en stock. – Mettre en place un logiciel
enregistrant les entrées et sorties
de stock mis à disposition des
vendeurs et consultable à tout
moment.
Étapes/
4. Proposition – Être sûr que l’offre – Absence d’outil de – Outil de détection des – Perte de chiffre d’affaires. – Mettre en place des comptes
commerciale correspond à la demande. détection des besoins. besoins : guide d’entretien – Coûts commerciaux rendus de visite. Identifier une
– Mauvaise identifica- de prospection… inutiles/non efficients. proposition commerciale pour
tion des fluctuations – Liste des besoins – Perte de clientèle, litiges chaque contact client.
de la demande (retards, identifiés. client. – Mise en place d’un outil de suivi
mauvaises prévisions des – Demande client (cahier des besoins dans le temps incluant
évolutions). des charges). l’échéance de celui-ci (ex. : besoin
– Durée de validité – Proposition commerciale qui sera effectif dans x mois).
différente entre processus et devis. – Mettre en place un plan de
Vente et Administration détection des besoins clients.
Commerciale.
– Non-respect des
302
conditions de vente.
– Être sûr que les besoins – Absence de suivi des – Tableaux de bord. – Absence de maintien/ – Mettre en place un dispositif
identifiés sont suivis. besoins découverts. – Procédure de suivi des accroissement du chiffre de suivi du besoin du client.
– Mauvaise identification besoins. d’affaires.
des fluctuations de – Instruction concernant – Coûts commerciaux

la demande (retards, les bonnes pratiques de la inutiles/non efficients.
mauvaises prévisions des relation client.
évolutions).
5. Rédaction – Être sûr que l’offre – L’offre commerciale ne – Liste des offres – Perte de chiffre d’affaires. – Intéressement des commerciaux
de l’offre commerciale permet à tient pas compte de la commerciales réalisées. – Réalisation d’offres pour aux bénéfices réalisés.
commerciale l’organisation d’en tirer complexité du produit. – Offres commerciales lesquelles l’entreprise ne – Étude de rentabilité des offres
un profit. – Le projet répond pour lesquelles l’entreprise tire pas de bénéfices. commerciales.
à une demande trop n’a pas tiré de bénéfices. – Ventes à perte – Faire valider tout devis avant son
ciblée et dont le retour – Procédure de = Infraction au code du émission vers le client
sur investissement est structuration des devis. commerce. – Faire valider toute facture avant
hypothétique. son envoi pour paiement et faire
justifier les surcoûts.
5. Rédaction – Être sûr que la – L’entreprise ne dispose – Communication des – Impossibilité/difficultés – Validation des offres
de l’offre proposition commerciale pas des compétences éléments de la politique à honorer l’offre commerciales par le directeur
commerciale peut être honorée par techniques permettant commerciale. commerciale réalisée. commercial et/ou le directeur de
(suite) l’organisation. de répondre au besoin – Validations faites par les – Perte d’image. production et/ou le directeur du
du client. directeurs commerciaux/ – Litiges clients. contrôle de gestion pour des offres
– Les commerciaux se sont contrôle de gestion/ supérieures à un certain montant
engagés sans s’assurer que production. et/ou pour une certaine typologie
le reste de l’organisation de produits.
(production, logistique, – Définir la politique commerciale
DSI...) puisse assurer les en corrélation avec les capacités
prestations. de l’entreprise et la politique de
– Les devis sont mal l’organisation.
établis.
– Être sûr que l’offre – L’offre commerciale est – Offres commerciales – Perte d’image. – Étude de rentabilité des offres
commerciale positionne surévaluée/sous-évaluée. pour lesquelles l’entreprise – Réalisation d’offres pour commerciales.
l’organisation de manière – L’offre commerciale n’a pas tiré de bénéfices. lesquelles l’entreprise ne – Effectuer des études de marché.
concurrentielle. cible un marché sans y être tire pas de bénéfices. – Se procurer des devis provenant
303
adaptée. de la concurrence.
– Les devis sont mal
établis.
– Être sûr que l’offre – Les éléments de l’offre – Types de clients visés : – Moyen de paiement – Analyse des offres commerciales
commerciale est en accord commerciale (délais, base de données client. ne convenant pas à n’ayant pas entraîné de bénéfices
avec la politique de moyens de paiement, etc.) – Instruction de l’organisation. + retour d’expérience.
l’organisation/du Groupe. ne sont pas en accord avec définition de la politique – Délais de paiement – Participer à la définition de la
la politique de l’entreprise. commerciale. trop long. stratégie commerciale.
– Fiches objectifs de la – Manque d’opportunité. – Diffuser les techniques de vente

politique commerciale. – Diminution des parts en corrélation avec la politique
– Politique commerciale. de marché. commerciale aux vendeurs.
– Augmentation
des charges liées aux
ventes pour atteindre
les objectifs.
Étapes/
5. Rédaction – Être sûr que l’offre – L’offre commerciale ne – Études de marchés. – Manque d’opportunité. – Analyser les études de marchés
de l’offre commerciale est en respecte pas les décisions – Types de clients visés : – Pas de contractualisation avant de concevoir la politique
commerciale accord avec les politiques marketing (ex. : le base de données client. et de ventes. commerciale.
(suite) commerciales et marketing mix). – Instruction de – Diminution des parts de – Participer à l’élaboration du
marketing. définition de la politique marchés. – Non-respect marketing mix.
commerciale. de la politique marketing, – Inclure le service marketing
déficit d’image. dans l’élaboration de la politique
commerciale.
– Communication des éléments de
la politique marketing si le service
304
commercial ne participe pas à son
élaboration.
– Être sûr que l’offre – Absence de consultation – Fiche d’état des stocks. – Perte d’une vente. – Mise en place d’un outil rendant
correspond à un produit des stocks. – Référence stock sur – Litige, car engagement compte de l’état des stocks.
en stock. – Produit non disponible proposition commerciale. aveugle.
en stock.
6. Négociation – Être sûr que les – Absence de listes de – Document délimitant les – Risque d’engagement – Délimitations claires des
commerciale négociations commerciales personnes habilitées. responsabilités de chacun. de l’organisation sur des responsabilités de chacun.
et gestion des sont menées par des – Non-respect des listes de – Procédure de validation opérations commerciales – Définir un circuit de validation
remises personnes habilitées. personnes habilitées. des remises. non rentables. des remises et des devis.
– Risque de fraude.
– Pertes de rentabilité sur
certaines offres.
6. Négociation – Être sûr d’une définition – Il n’existe pas de – Liste des pouvoirs. – Risque d’engagement – Délimitations claires des
commerciale claire des limites autorisées définition des remises – Document détaillant de l’organisation sur des responsabilités de chacun.
et gestion des quant aux remises commerciales. les remises commerciales opérations commerciales – Détailler les remises pour chacun
remises (suite) commerciales. – Les plafonds de remises possibles pour les non rentables. des produits.
ne sont pas cohérents vis-à- commerciaux en fonction – Perte de client si les – Formaliser une procédure
vis des marges potentielles. des types de clients. remises commerciales ne d’attribution des possibilités de
– Les possibilités d’accord – Échelle de valorisation sont pas adaptées remises par type de commerciaux.
de remise sont « libres ». des remises. – Risque de fraude. – Définir un circuit de validation
– Conditions de remises. – Pertes de rentabilité sur des remises et des devis.
certaines offres.
– Diminution du chiffre
d’affaires si une remise est
vue comme « une baisse de
prix due ».
– Être sûr que les – Confusions quant aux – Tarifs concurrentiels – Négociation – Publication régulière d’un
remises commerciales remises possibles. – Échelle de valorisation inappropriée au client : document quant aux attributions
sont comparables à la – Rapport marges/ des remises. déconnexion du marché. de remises.
305
concurrence. rentabilité mal défini. – Conditions de remises. – Risque d’engagement – Adapter les remises selon le
– Compte rendu entretien de l’organisation sur des client (contrôle du responsable).
client. opérations non rentables. – Mise à jour des grilles de
– Perte de client si les remise en fonction des tarifs de la
remises commerciales ne concurrence.
sont pas adaptées – Écouter le client sur les retours
possibles qu’il a dû faire vis-à-vis
des autres propositions qu’il a
reçues.
7. Contractuali- – Être sûr que les contrats – Non-respect des – Liste des contrats. – Contrat moins (non) – Faire valider les contrats (clauses
sation sont en accords avec conditions de ventes – Clauses et conditions rentable pour l’entreprise. et conditions de ventes) par le
les offres commerciales décidées par l’entreprise. générales de ventes. – Satisfaction client service juridique de l’entreprise.
réalisées. – Les offres commerciales – Réglementation du moindre.
ne sont pas compatibles secteur. – Risques de litige.
avec les exigences – Rupture de contrat.
juridiques du secteur.
Étapes/
7. Contractuali – Être sûr que les contrats – Absence de – Liste des contrats. – Satisfaction client – Communication et mises
sation (suite) tiennent compte de rapprochement offre/ – Devis présentés au client. moindre. à jour régulières des conditions
l’éventuelle négociation. négociation/contrat. – Risques de litige. de contractualisation de
– Les contrats sont types – Perte de client potentiel. l’entreprise.
et indépendants de la – Image de l’entreprise – Mettre en parallèle les devis
négociation. détériorée. validés par les clients et les contrats
de commande client.
– Créer une structure de contrat
type.
306
– Être sûr que les contrats – Conditions de vente – Liste des contrats. – Risques de litige. – Communication et mises
tiennent compte de la différentes de celles prévues – Clauses et conditions – Rupture de contrats. à jour régulières des conditions
politique concernant les par l’entreprise. générales de ventes. – Image de l’entreprise de contractualisation de
conditions de vente. – Conditions de – Politique commerciale. détériorée. l’entreprise.
ventes non portées à la – Pertes financières – Faire valider les contrats

connaissance du client. (si dédommagement). (clauses et conditions de ventes)
par le service juridique de
l’entreprise.
– Être sûr que les contrats – Contrat non signé par les – Liste des contrats. – Contrats non valides – Établir une liste des personnes
sont signés par les personnes habilitées. – Liste des habilitations. en cas de signature habilitées à signer les contrats.
personnes habilitées. par des personnes non – Faire valider les contrats
habilitées. (clauses et conditions de ventes)
– Contentieux juridiques par le service juridique de
dans le cas de contrats l’entreprise.
hors normes.
8. Commande – Être sûr que les – Commandes en double – Bon de commande. – Doublons, erreurs – Mettre en place un outil
commandes sont ou non honorées. – Outil de saisie des (quantité, prix, spécificités, informatisé pour la gestion des
formalisées, contrôlées, – Commandes impossibles commandes. facture, livraison). commandes.
suivies et autorisées. à satisfaire car ne – Rapprochement avec – Litiges clients. – Assurer un suivi par le
correspondent pas ou plus stocks et offre disponible. – Pertes financières. commercial dès la prise de
à une offre de l’entreprise. – Liste des personnes – Fraudes, vols, commande jusqu’à la livraison
– Problèmes sur les prix habilitées à valider une détournements de fonds. du bien et le paiement
ou les quantités. commande. par le client.
– Moyens de paiement – Procédure de prise – Vérification de l’application
non sécurisés. et de modification de effective de la procédure.
commande. – Délais spécifiés entre la signature
du bon de commande et la
livraison du bien.
– Vérifier les habilitations des
personnes intervenant dans
le processus de passation de
commande : pas d’occupation
de fonctions incompatibles.
307
– Être sûr que les – Une commande livrée – Bon de livraison. – Litiges clients. – Vérifier les habilitations des
commandes sont livrées. n’est pas enregistrée en – Facture. – Pertes financières. personnes intervenant dans
sortie de stock. – État/Sortie de stock. – Fraudes, vols, le processus de passation de
– Une commande a été – Liste des personnes détournements de fonds. commande : pas d’occupation
validée sans que le produit habilitées à valider une de fonctions incompatibles.
soit en stock. commande. – Établir une grille de délais
– L’adresse indiquée pour – Procédure de prise de livraison.
la livraison est fictive. et de modification de – Vérification de l’application
commande. effective de la procédure.
– Assurer un suivi par le

commercial dès la prise de
commande jusqu’à la livraison
du bien et le paiement
par le client.
Étapes/
9. Facturation – Être sûr que chaque – Manque d’adéquation – Factures et bon de – Erreurs de facturation. – Adéquation facturation/bon
commande est entre commande et commandes. – Pertes financières. de commande.
correctement facturée par facturation. – Liste des personnes – Comptabilité erronée. – Vérification permanente des
les personnes habilitées. – Commande non facturée habilitées à facturer. – Plusieurs fonctions données.
ou double facturation. – Grille de facturation. connexes exercées à la fois – Documents signés.
– Certaines factures sont = risque de fraude. – Établir les factures au sein
expédiées sans validation. – Image de l’entreprise du service commercial
– Le prix facturé diffère dégradée. et les faire encaisser par la
sans raison apparente de ce comptabilité.
qui a été contractualisé. – Expliquer toute modification
entre la commande et la
facturation : remises, avantages
308
client, surfacturation etc.
– Être sûr que la facture – La facturation est – Dates factures et bon de – Émission trop lente de la – Adéquation facturation/bon
est émise dans des délais déconnectée de l’émission commande. facture = retard paiement. de commande.
prévus afin de favoriser de la commande. – Conditions de paiement. – Délais de paiement trop – Rédiger des conditions
le respect des délais de – Les délais de paiement courts = problème de de paiement homogènes et
paiement. exigés sont trop courts ou trésorerie. applicables par rapport au secteur.
en inadéquation avec les – Litiges client.
conditions de paiement.
10. Livraison – Être sûr que la livraison – Date enregistrement – Date d’expédition. – Erreurs. – Reconnaître le revenu au bon
est effectuée dans les comptable de la vente/ – Date de livraison. – Pertes financières. moment.
délais prévus et qu’elle est Date de livraison. – Accusé de réception. – Comptabilité erronée. – Envoyer préalablement
enregistrée de manière – Livraison non effectuée, – Perte d’image auprès du à la livraison un avis de
conforme à la norme ou en retard. client. confirmation de la date de
comptable. livraison ou de proposition
d’une nouvelle date.
– S’assurer que le client est
présent le jour de la livraison
(appel téléphonique).
11. Enregistrement – Être sûr de l’efficacité – Manque de clarté dans – Fiches métier. – Litiges. – Facilitation de la circulation de
comptable des enregistrements l’enregistrement comptable. – Circulation de – Erreurs. l’information entre les services.
comptables. – Mauvaise adéquation l’information entre – Fraudes. – Respect et contrôle des
facturation/Enregistrement comptabilité et facturation. – Pertes financières. personnes habilitées.
comptable. – Contrôle par une tierce – Suivi du paiement des
– Personnes habilitées non personne. commandes.
respectées.
12. Avoirs – Être sûr que les avoirs – Les avoirs ne sont pas – Procédure d’émission – Mécontentement de la – Mettre en place une méthode
sont correctement émis. émis de façon correcte : au des avoirs (si elle existe). clientèle mal gérée. claire de définition des avoirs.
bon moment et dans les – Grille de montants des – Perte de clientèle. – Vérifier que les clients
bonnes situations. avoirs. bénéficiant d’un avoir l’obtiennent
– Les montants des avoirs – Méthode de calcul des de façon homogène.
sont mal définis. avoirs.
– Être sûr de la séparation – Non-respect des – Document délimitant les – Doublon. – Séparation des tâches d’émission et
des tâches entre l’émission personnes habilitées et du responsabilités de chacun. – Risque de fraude. d’enregistrement des chèques d’avoir
et l’enregistrement des circuit de validation. – Procédure d’émission des – Mécontentement de la – Respect des personnes habilitées.
avoirs. – Les avoirs sont délivrés avoirs. clientèle mal gérée. – Instaurer une double validation
par les vendeurs. – Perte de clientèle. des avoirs.
309
13. Marges – Être sûr que les marges – Mauvaise délimitation – Documents établissant le – Difficulté d’évaluer les – Responsabiliser une personne en
commerciales sont respectées. des marges commerciales. mode de calcul des marges. escomptes possibles. charge des marges, mettre en place
– Mauvaise définition des – Document de – Pertes financières un outil efficace.
personnes habilitées. vérification des marges.
14. Commissions – Être sûr que les – Manque de clarté – Tableau des – Risque de fraude. – Respecter des méthodes loyales
commissions sont justifiées du pourcentage des commissions. – Multiplication erreurs. de ventes.
et justement rémunérées. commissions. – Personnes habilitées. – Abus. – S’assurer de l’éthique des clients.
– Non-respect de charte – Vérification régulière des relevés
éthique pour vendre plus. de versement des commissions.

15. Suivi/gestion – Être sûr que les équipes – Le suivi clientèle – Affectation d’un – Satisfaction client – Mettre en place un système de
client commerciales s’occupent n’est pas homogène : portefeuille client. affectée. suivi/de gestion des contrats clients,
du suivi client. interlocuteur différent, – Plan de relance/suivi – Notoriété/image affectée. incluant une planification du suivi.
traitement client variant client. – Collaborer avec le SAV afin de
selon les vendeurs… – Synthèse des opérations s’informer sur les clients faisant
– Absence de reporting et de suivi. l’objet d’un litige.
de suivi des résultats après – Prise en charge individuelle d’un
vente. client par un vendeur.
Étapes/
15. Suivi/gestion – Être sûr que chaque – Absence/oubli de suivi – Procédure de suivi client. – Satisfaction client – Créer un dossier client pour
client (suite) client bénéficie d’un suivi. pour certains clients. – Plan de relance/suivi affectée. chaque vente.
– Le suivi n’est pas client. – Tableau de bord – Notoriété/image affectée. – Archiver les documents retraçant
formalisé. sur l’efficience du « service la relation client : courriers, copies
client ». d’avoirs…
– Mettre en place un tableau de
bord visant à évaluer la pertinence
et l’efficience du service client.
16. Fidélisation – Être sûr que l’entreprise – Absence de traitement – Listing des clients. – Absence de fidélisation. – Formaliser/communiquer
clientèle est en mesure de fidéliser différencié pour les « bons – Listing des clients à – Coûts commerciaux trop la politique de fidélisation :
310
sa clientèle de manière clients ». fidéliser. élevés. classement en typologies de clients
efficiente. – Absence d’encadrement – Politique de fidélisation. – Absence d’accroissement pour lesquels les démarches sont
des avantages attribués. – Démarches fidélisation du chiffre d’affaires. différentes.
réalisées. – Risque de fraude. – Chiffrage et suivi des coûts de
fidélisation.
17. Risque client – Être sûr de l’existence – Pas de prise en compte – Analyses risque client. – Pertes financières – Système d’information recensant
d’un pôle dédié à l’étude du risque client. – Études sur solvabilité. – Retards de paiement les risques clients.
du risque client et au – Pas de mise à jour du – Provisions clients. – Procédure de gestion des clients
recouvrement des créances. fichier clients. – Mises à jour. douteux.
– Manque de transparence – Contrat d’assurance. – Réaliser les relances clients
entre les services. – Procédure de suivant la procédure.
– Pas de provisions pour recouvrement des créances. – Calcul des intérêts de retard
risques. selon la méthode déterminée par
– Pas d’étude sur la l’entreprise.
solvabilité du client.
– Mauvaise gestion des
relances.
17. Risque client – Pas d’assurance contre – Provisionner pour clients

(suite) les impayés. douteux dès qu’un délai est
– Pas de procédure dépassé et que le client
de relance. n’a pas payé (conforme aux
procédures comptables de
l’entreprise).
– Vérifier que la quantité des
clients litigieux ne met pas
en péril la santé financière de
l’entreprise.
– Si pas encore fait, souscrire à
une assurance pour palier le risque
d’impayés.
18. Traitement – Être sûr que les créances – Non-comptabilisation – Délai moyen de retard de – Frais financiers – Existence d’une procédure de
des litiges anciennes et douteuses des créances recouvrées ou livraison. importants. relance (relance préventive et
sont correctement traitées. non recouvrables. – Tableau de bord du – Rapprochement bancaire relance curative).
– Retard de paiement de nombre de réclamations. erroné. – Partage clair des responsabilités
créances litigieuses. – Tableau de bord du – Perte de créances. entre commercial et administratif.
311
– Relances non effectuées nombre d’avoirs. – Perte de trésorerie. – Mise à jour des échéances dans
dans les délais. – Tableau de bord du les comptes.
– Absence de procédures nombre de commandes – Suivi du montant des échus,
de relances. totalement ou nombre de relances, nombre de
– Absence de suivi de partiellement retournées. recouvrements effectifs.
paiement des créances. – Liste des conditions – Standardisation du contenu des
nécessaires pour accorder lettres de relance.
des prorogations – Suivi des délais réels de
d’échéances. règlement et intérêts liés aux
retards.
– Être sûr de l’efficacité – Non-comptabilisation – Logiciel enregistrant les – Perte de crédibilité. – Procédures de traitement des
du traitement des litiges des créances recouvrées ou litiges clients. – Perte de clients. litiges clients.
clients. non recouvrables. – Guide de réglementation des
– Retard de paiement de litiges clients.
créances litigieuses.
– Relances non effectuées
dans les délais.
Service après-vente
PROCESSUS ET/OU DOMAINE : service après-vente (SAV)

Étapes/
1. Réception – Être sûr de la bonne – Non-enregistrement du – Procédure d’enregis- – Perte de produit. – Logiciel mis à jour pour les
produit au réception ou récupération produit. trement des produits – Insatisfaction client. enregistrements des entrées de
magasin du produit retourné. – La récupération n’est pas retournés bien définie. – Dégradation de l’image. produit.
effectuée dans les délais – Stockage adapté. – Personnel formé à l’utilisation
cités dans les conditions – Procédure de prise en du logiciel.
de vente. charge d’une demande – Dédier des équipes à la récupé-
de SAV. ration de produits à domicile ou
pouvant intervenir sur site.
2. Gestion – Être sûr que les garanties – Absence de prise sous – Base de données des – Prise d’opération de SAV – Mettre en place une base de
312
de la garantie accordées dans le cadre des garantie. ventes. sous garantie injustifiée, données des ventes réalisées
ventes sont honorées. – La garantie est appliquée – Liste des garanties possibles charge financière mise à jour, incluant la garantie
sur une vente non vérifiée. pour chaque type de vente. supplémentaire. associée à chaque vente.
– Contrats clients. – Garantie non honorée. – Mettre en place une procédure
– Conditions de vente. – Litiges clients. de prolongation de garantie.

– Listing des opérations – Détérioration de l’image – Rapprocher les garanties
réalisées sous garanties. de l’entreprise. accordées avec les ventes associées.
– Être sûr que les durées – Absence de connaissance – Liste des garanties – Garantie non honorée. – Mettre en place une procédure
des garanties sont de la date d’échéance de la possibles pour chaque type – Litiges clients. de prolongation de garantie.
correctement gérées. garantie. de vente. – Surcoûts d’exploitation – Mettre en place une base de
– Des garanties sont – Contrats clients. lors de prises en charge de données des ventes réalisées
modifiées pour des raisons – Conditions de vente. garanties périmées. mise à jour, incluant la garantie
non expliquées. – Procédure de prise en associée à chaque vente.
charge des garanties. – Mettre en place des autorisations
ciblées de prolongement de garanties.
– Définir des délais d’application
des garanties en fonction du type
de vente et de conditions de vente.
3. Diagnostic – Être sûr que le personnel – Diagnostic incorrect ou – Document mettant en – Perte de crédibilité de – Recenser les pannes récurrentes
de la panne fait un bon diagnostic de non respect des délais de relation le type de panne et l’entreprise. de chaque produit en indiquant
la panne ou le cas échéant réparation. le délai de réparation. – Litige client. de quelle façon elles ont été
s’assure de l’envoi des – Outils inappropriés pour – Plan de formation du – Impact image négatif. résolues afin d’améliorer le
produits aux fournisseurs. tester les produits arrivant personnel. – Surcharge financière par diagnostic et le délai de
pour des réparations. – Contrats maintenance l’obligation de remplacer réparation.
– Envoi retardé du produit fournisseur. le produit. – Mettre en place un tableau de
au fournisseur. – Manuel technique bord des pannes survenues.
– Le fournisseur n’existe produit. – Former le personnel aux
plus ou ne prend plus en différents types de panne et leurs
charge ce produit. réparations.
– Maintenir une clause d’aide
à la maintenance/réparation
des produits par le fournisseur.
4. Enregistrement – Être sûr de – Vice ou panne caché. – Entretien avec le client et – Le bien revient dans le – Vérifier sur place avec le client
de la panne l’enregistrement du type de – Coordonnées du client test sur place avec lui. même état donc avec la de l’état du matériel et des
panne et des coordonnées non actualisées. – Vérification des panne. coordonnées du client.
du client. – Le client est inconnu coordonnées du client. – Impossibilité de – Centraliser la base de données
313
dans la base de données de – Manuel technique contacter le client : Impact client afin que toutes les entités
ce point de vente. produit. d’image négatif. puissent prendre en charge les
– Procédure de prise en – La prise en charge demandes SAV.
charge d’une demande du client est rallongée : – Rédiger une check-list de
SAV. L’organisation se met tests à effectuer sur tout produit
en infraction avec ses reçu au SAV même sur les
conditions de vente. fonctions des produits décrits
« sans problème ».
5. Élaboration – Être sûr que le – Informations inexactes – Bases de données mises – Litiges client. – Mettre à jour régulièrement
des devis SAV élabore les devis ou indisponibles. à jour avec les tarifs et – Perte de clients. les tarifs des pièces et réparations.
conformément aux – Les tarifs peuvent être informations concernant – Établir une liste de personnes
dispositions tarifaires en erronés. chaque produit. habilitées à consulter et/ou
vigueur. modifier les tarifs.
– Mettre en place un tableau
d’évaluation des coûts nécessaires
à chaque réparation et des délais
nécessaires.
Étapes/
6. Réception – Être sûr du bon – Un produit peut être – Documents recensant – Perte de produit. – Installer un logiciel enregistrant
des produits enregistrement des flux égaré. les produits envoyés – Insatisfaction des clients. les entrées des produits, et le
à l’entrepôt (entrées et sorties) des – Mauvais diagnostic. accompagnés des devis – Perte en termes de parts mettre à jour régulièrement.
de réparation produits et des pièces. – Le client attend trop et de l’accord ou non du de marché. – Former le personnel à
du SAV longtemps son produit. client pour effectuer la – Risque de démarque. l’utilisation du logiciel.
– Les emplacements de réparation. – Assurer un système
stockage ne sont pas – Procédure d’information permanent
définis. d’enregistrement des entre les produits entrants
– Les manipulations de produits. et sortants pour minimiser les
produits provenant du – Stockage adapté. délais et les pertes ou égarement
314
SAV sont effectuées par le – Tracking spécifique des de produit.
service SAV au sein d’un produits SAV. – Établir un bon de commandes.
entrepôt traitant aussi les – Plan de l’implantation – Séparer les aires de traitement
produits neufs. de l’entrepôt. des produits SAV et neufs.
7. Traitement – Être sûr que toutes les – Oubli de traitement des – Listing des demandes de – Litige client. – Mettre en place un outil de suivi
des commandes demandes d’intervention demandes. SAV reçues. – Insatisfaction clientèle. des demandes de SAV.
du SAV sont correctement – Les informations ne – Listing des opérations de – Perte de commandes. – Utiliser les bons de commandes
traitées. sont pas traitées en temps SAV réalisées. pour y associer une prestation
voulu. – Outil de suivi des SAV.
– Manque de personnel. demandes de SAV. – Mettre en place un suivi relation
client.
de traitement des produits
en SAV.
7. Traitement – Être sûr que toutes les – Absence de – Utilisation de bons – Impact image négatif. – Mener des études sur les
des commandes commandes de réparation connaissances techniques. d’enregistrement datés. – Perte de compétitivité. traitements qui ont dépassé les
sont rapidement et – Les informations – Système d’information – Litiges client. délais prévus.
correctement traitées. concernant les prix et les fiable. – Pertes financières : – Utiliser les bons de commandes
stocks sont incorrectes – Définition de l’effectif obligation de pour y associer une prestation SAV.
(non-mise à jour). nécessaire pour atteindre remplacement. – Utiliser le dernier tarif en vigueur.
– Manque de personnel. les objectifs. – Mettre à jour les informations
sur les prestations et les
communiquer aux clients.
– Vérifier que le personnel est en
effectif suffisant et possède les
compétences requises pour que les
produits soient réparés dans un
délai raisonnable.
8. Récupération – Être sûr de la bonne – Le fournisseur n’a pas – Base de données avec les – Retard dans la – Mettre à disposition un document
des pièces relation avec les ou plus la pièce demandée informations fournisseurs. commande client. comprenant les pièces disponibles
nécessaires aux fournisseurs ou sous en stock. – Contrat avec les – Litiges avec les selon chaque fournisseur.
réparations traitants pour les pièces ou – Le fournisseur ne veut fournisseurs. fournisseurs. – Établir des contrats avec chaque
315
pour les réparations (dans pas prendre en charge la – Guide sur chaque fournisseur pour savoir qui prend
les meilleurs délais). réparation. produit de l’entreprise et en charge la réparation selon la
– Commande d’une ses caractéristiques. panne diagnostiquée.
mauvaise pièce. – Contrôler fréquemment les
informations fournisseurs.
9. Contrôle – Être sûr de la bonne – Le personnel n’est pas – Programme de – Insatisfaction des clients. – Former correctement les
des réparations qualité des réparations correctement formé. formation. – Litige avec les clients. personnes chargées des réparations.
effectuées. – Mauvaise pièce changée. – Système de contrôle – Existence de procédures pour les
de fonctionnement des formations du personnel.
produits réparés. – Procédures de contrôle des

produits réparés.
10. Enregistrement – Être sûr que les produits – Produits entrés ou – Existence de l’outil – Perte de produit. – Mettre en place une procédure
informatique sont correctement et sortis non documentés ou informatique. – Risque de vol. d’enregistrement des flux de
intégralement enregistrés enregistrés. – Inventaire physique. sortie/entrée sur présentation de
dans les états de stock – Oubli de saisie. bordereaux de transferts.
– Rechercher physiquement les
produits égarés.
– Inventaire physique.
Étapes/
11. Récupération – Être sûr du bon – Coordonnées du client – Base de données avec les – Il est impossible de – Mettre en place un fichier client
du bien par enregistrement des incorrectes. informations client. contacter le client en cas et le mettre régulièrement à jour.
le client coordonnées du client. – Pas de fichier client. – Procédure de contact de problème sur le produit. – Rapprochement coordonnées du
client. – Litiges avec les clients. client au dépôt et au retrait du bien.
– Être sûr que le client est – Le bien retombe en panne. – Procédure de contact client. – Litiges avec les clients. – Rappeler au client les termes
bien informé dans le cas – Les extensions de – Instruction des octrois – Le client ne sait pas que du contrat en se qui concerne la
d’une éventuelle extension garanties ne sont pas d’extension de garantie son produit n’est plus garantie.
de garantie. mentionnées. possible en fonction des garanti après réparation… – Informer le client sur les
– Les extensions de garanties souscrites. conditions post-SAV.
garanties ont été – Liste des habilitations – Identifier des personnes
« vendues » au client sans pour les extensions de habilitées à octroyer des extensions
316
être validées. garanties. de garanties.
– Être sûr que le client est – Coordonnées du client – Procédure de contact – Litiges avec les clients. – Mettre en place une procédure
informé que son produit incorrectes. client. – Stockage longue durée d’appel client quand le produit
est disponible. – Oubli de contacter le – Délais de contact après de produits inutilisés est prêt.
client. réparation. et pouvant subir des – Inscrire dans les conditions de

– Pas de fichier client. dommages. vente un délai de récupération
souhaité des produits traités par
le SAV ainsi qu’une durée de
conservation maximale.
12. Règlement – Être sûr du correct – Absence de documents – Établissement de facture. – Risque de fraude. – Facture accompagnée du devis
règlement des réparations attestant du règlement. – Réglementations géné- – Réparations impayées. correspondant lors de la remise du
par le client. – Pas de procédure rales en termes de garantie, – Litiges clients. produit réparé.
d’habilitation clairement de remboursement. – Effectuer le rapprochement des
définie ni formalisée. – Fiches de poste. factures et devis.
– Les garanties sont mal – Devis de réparation. – Établir des fiches de poste.
définies. – Liste de pouvoirs des – Définir des seuils de gratuité
– Les montants des personnes devant définir des prestations SAV en corrélation
réparations ne sont pas ou les gratuités ou non des avec les conditions de vente.
difficilement estimables. prestations SAV.
Logistique
PROCESSUS ET/OU DOMAINE : logistique

Étapes/
1. Planification – Être sûr que les – Matériel défectueux. – Politique de maintenance. – Perte de réactivité. – Établir une planification de
logistique ressources logistiques sont – Absence de gestion – Formalisation d’une – Augmentation des délais. la chaîne logistique formalisée.
planifiées et disponibles. des moyens de la chaîne planification de la chaîne – Surcoût d’exploitation. – Évaluer les moyens de la chaîne
logistique. logistique. (matériel, transport
– Gestion des flux au coup – Plannings de l’activité : intra-entreprise…).
par coup. Lissage expéditions et récep-
tions, gestion de stocks etc.
– Planning d’affectation
des moyens.
317
2. Gestion des – Être sûr que les – Les approvisionnements – Procédure – Les approvisionnements – Création, diffusion et mise à jour
approvisionne- approvisionnements sont sont faits par une personne d’approvisionnement. ne correspondent pas périodique d’une liste exhaustive
ments matériels faits par une personne non habilitée. – Liste d’habilitations réellement au besoin de personnes habilitées à la gestion
habilitée à la gestion des – Absence d’habilitations. au contrôle des du processus logistique des approvisionnements.
approvisionnements. approvisionnements. (impact sur les coûts, la – Vérifier l’existence d’une
qualité, les délais). procédure d’approvisionnement
– Activités malhonnêtes ou et de sa diffusion.
actes frauduleux commis
par les fournisseurs.
– Être sûr que les – Les approvisionnements – Résultats des – Perte de crédibilité. – Contrôler la fréquence des
approvisionnements sont ne sont pas faits dans les chronotachygraphes. – Rupture de stock. approvisionnements avec les
faits dans les délais prévus. délais impartis. – Circuits de livraisons – Retards dans les délais tableaux de bord.
– Il n’existe pas de circuits types. d’approvisionnement. – Lister, contrôler, et expliquer
d’approvisionnement – Grilles de délais de exhaustivement toutes les
définis. livraison en fonction de la transactions ayant fait l’objet
– Les délais de destination. de retard.
réapprovisionnements sont – Procédure
mal déterminés. d’approvisionnement.
Étapes/
2. Gestion des – Être sûr que l’on – Absence de suivi des – Incoterm. – Activités malhonnêtes ou – Existence d’une instruction
approvisionne- contracte avec des fournisseurs. – Panel fournisseurs actes frauduleux commis de suivi des fournisseurs qui
ments matériels fournisseurs agréés – La logistique validés. par les fournisseurs. soit mis à jour régulièrement,
(suite) capables de répondre aux s’approvisionne auprès – Fiche de suivi de la – Litiges avec les concernant les problèmes
besoins de l’organisation de fournisseurs non qualité fournisseur. fournisseurs. de production, de rupture de
et qui répondent aux référencés. stocks, de non-conformité
conditions contractuelles. – Les incoterms ne sont technique.
pas respectés. – Communiquer au service
logistique la liste des fournisseurs
en contrats cadre.
– Être sûr de la continuité – Absence de – Méthode de calcul du – Perte de crédibilité. – Rapprochement journalier
des approvisionnements définition d’un seuil de seuil de réapprovisionne- – Risque de rupture. des tableaux de bord et de l’état
318
et d’une gestion des réapprovisionnement. ment. – Risque de surstock. du stock.
approvisionnements. – Les stocks ne sont pas – Listing des références – Les approvisionnements – Analyse des écarts entre les
tenus à jour. stockées. ne correspondent pas approvisionnements réels et
– Procédure réellement au besoin prévisionnels.
d’approvisionnement. du processus logistique – Définir un seuil de sécurité

– Existence d’un seuil de (impact sur les coûts, la et de réapprovisionnement
réapprovisionnement. qualité, les délais).
3. Réception – Être sûr que la réception – La réception est faite – Procédure de réception. – Acceptation de – Existence d’une fiche de poste
de marchandises est faite par une personne par une personne non – Listes de personnes marchandises non et mise à jour régulièrement.
habilitée et formée. habilitée. habilitées. conformes aux attentes. – Vérifier l’existence d’une
procédure de réception et de sa
diffusion.
– Vérifier l’existence d’une fiche
de poste pour les personnes
chargées de la réception, et
mise à jour régulière de ce
document.
3. Réception – Être sûr que les contrôles – Contrôles réalisés – Procédure de réception. – La sécurité de – Vérifier l’existence d’une
de marchandises quantitatifs et qualitatifs plusieurs fois ou pas du – Moyens d’identification la personne et procédure de réception/
(suite) de la marchandise tout. de la livraison : système de des marchandises déchargement et de sa diffusion.
sont effectués lors de – Aucune réserve n’est scan EDI. réceptionnées est – Définir les personnes respon-
la réception et de leur émise à la livraison. – Tracking des produits. compromise. sables des contrôles, suppléants.
conformité par rapport – La réception n’est pas – Contrat de transport. – Marchandises avariées. – Mettre en place des documents à
à la commande. effectuée conformément au – Accusé de réception des – Réception partielle. remplir de manière exhaustive lors
contrat. marchandises. – Marchandises détériorées de chaque réception
– Rapports/Relevés des – Surcoûts lors des – Rédiger des contrats types de
contrôles effectués. contrôles. transports en collaboration avec le
– Réglementation des service juridique.
transports. – Assurer une formation régulière
à l’utilisation d’engins de levage et
vérifier que les diplômes nécessaires
à la conduite de ces engins soient
en possession de ces personnes.
– Être sûr que la – Erreur sur la quantité. – Procédure de réception. – Marchandises avariées. – Vérifier l’existence d’une procé-
marchandise réceptionnée – Erreur sur la qualité. – Accusé de réception des – Réception partielle. dure de réception et de sa diffusion.
319
est conforme aux attentes. – Marchandise détériorée. marchandises. – Mettre en place des documents à
remplir de manière exhaustive lors
de chaque réception
– Faire en sorte que le destinataire
de la marchandise puisse effectuer
certaines vérifications dès la
réception.
4. Contrôles des – Être sûr que le contrôle – Le contrôle est fait par – Vérifier l’existence d’une – Risque de démarque. – Création, diffusion et mise à jour
marchandises des marchandises est fait une personne non habilitée. procédure de contrôle et – États des stocks inexacts : périodique d’une liste exhaustive
réceptionnées par une personne habilitée. – Le contrôle des de sa diffusion. impact sur la véracité des de personnes habilitées à la gestion
marchandises se fait – Vérifier l’existence des états financiers. des approvisionnements.
par la même personne listes de personnes habilitées – Pertes de marchandises/ – Séparer les fonctions
qui réceptionne ou qui et de sa mise à jour. Nécessité de grossir les manutention, réception,
expédie. – Vérifier l’existence d’une commandes. expédition et entrée en stocks.
– Certaines marchandises fiche de poste pour les – Création involontaire de – Effectuer des rapprochements
ne sont pas contrôlées. personnes chargées de stocks « dormants ». entre états des stocks et entrées et
– Les contrôles quantitatifs contrôle, et mise à jour sorties.
et qualitatifs ne sont pas régulière de ce document. – Comparer les entrées et sorties
assez exhaustifs et précis. – Listings des réceptions et de stocks aux commandes client et
états des stocks. commandes d’achats.
Étapes/
5. Détermination – Être sûr de la pertinence – Lieux éloignés des voies – Réalisation d’une étude – Impossibilité de livrer les – Vérifier la bonne remontée
des lieux de des choix en matière de de transports. sur l’environnement marchandises à temps. de l’information concernant
stockage lieux de stockage. – Lieux éloignés du des lieux de stockage – Mauvaise organisation l’environnement.
marché. et les besoins de de l’espace de stockage, – Vérifier la mise à jour des
– Lieux éloignés des chaque marchandise. perte de temps ... informations.
ressources (énergie, – Réglementation – Augmentation des coûts – Mettre en place un processus
carburants…), et des d’implantations de de transports. de gestion des stocks.
infrastructures (gares, stockage spécifiques. – Mise en péril de la – Implanter le lieu de stockage
hôtellerie…). – Plan cadastral/ sécurité des personnes. en fonction des principaux clients
– Mauvaise connaissance aménagement urbain. et des contraintes géographiques.
des lieux de stockages. – Référencer les
320
– Stockage inadapté à la produits stockés et leurs
marchandise. emplacements dans
l’entrepôt.
– Principales adresses de
destination.
– Être sûr que le lieu de – Lieu de stockage sans – Dispositif de protection – Perte de produits. – Avoir un lieu de stockage aux
stockage est sécurisé. surveillance. (extincteurs, portes coupe- – Risque environnemental. normes de sécurité du secteur.
– Mauvaise connaissance feu, isolation…). – Infraction avec la – Établir des fiches de
des lieux de stockages. – Plan d’évacuation. législation. référencements précises des
– Pas de fiches de – Dispositif de prévention produits.
référencements des (alarmes, fiche de – Vérifier la bonne remontée
produits stockés. coordonnées des services de l’information concernant
– Non-respect des normes d’intervention). l’environnement. – Identifier
de sécurité. un responsable sécurité/
environnement des sites de
stockage.
6. Préparations – Être sûr que les produits – Erreur sur la nature du – Personnes habilitées. – La préparation de – Liste des personnes habilitées.
des commandes préparés correspondent au produit. – Processus de préparation commande ne correspond – Contrôle du travail par une autre
clients bon de commande. – Erreur sur la quantité du des commandes. pas au bon de commande personne
produit. – Listing produits entrés – Insatisfaction client. – Mettre en place un processus de
– Erreur sur la préparation en préparation. – Dégradation de l’image préparation des commandes validé
de la commande. de marque, perte de par deux personnes.
confiance des clients envers – Instaurer des techniques standardi-
l’entreprise. sées de préparation de commande.
7. Validation des – Être sûr que la validation – Absence de validation. – Liste des personnes – Livraison faite en – Vérifier l’application et la mise
commandes clients est faite selon la procédure – Les personnes habilitées à valider une doublon. à jour de la liste des personnes
établie et par les personnes validatrices ne sont pas commande. – Livraison non effectuée. habilitées et des fiches de postes.
habilitées. identifiées. – Procédure d’expédition. – Risque de fraude. – Vérifier si les fiches de postes des
– Validation faite par une – Fiches de poste. – Expéditions fictives validateurs les accréditent des valida-
personne non habilitée. faussant l’état des stocks. tions de commande.
– Communiquer les commandes
validées à l’expédition au service de
gestion des stocks afin de tenir les
stocks en temps réel.
321
8. Gestion des – Être sûr que le délai – Pas de mise à jour. – Relevés de plaintes – Litiges avec le client. – Existence d’une mise à jour des
délais de livraison entre la commande et la – Pas de mise en relation émises par les clients. – Pertes financières. délais de livraisons.
clients livraison est optimisé. entre les différents – Relevé incidents – Mauvaise publicité. – Mise à jour quotidienne de
événements pouvant logistiques lors des – Perte de commandes. l’ensemble des disponibilités en
modifier les délais. livraisons. – Problèmes de stockage. stocks.
– Les livraisons sont faites – Listings des livraisons – Relever toutes les livraisons
au coup par coup. soldées par un retard. ayant fait l’objet d’un retard et en
– Absence de définition de – Parcours de livraison explique la cause.
délais de livraison. prédéfinis.
– Plans de chargement.
– Être sûr que des règles – Manque de communica- – Propositions – Rupture de stocks. – Relever les contraintes
sont établies pour les tion entre les commerciaux commerciales éditées par – Délais impossibles à géographiques pouvant influer sur
engagements de délai sur et le service logistique. le service commercial. respecter. les délais de livraison.
les nouveaux produits. – Pas de mise en relation – Grille de définition des – Problèmes de stockage. – Porter à la connaissance des
entre les différents délais de livraison moyens – Retour de marchandises. livreurs les parcours de livraison.
événements pouvant en fonction des zones. – Mauvaise publicité. – Lettres d’informations entre le
modifier les délais. – Relevés du chrono service commercial et le service
– Absence de définition tachygraphes. logistique relatives aux délais de
de délais de livraison. livraison.
Étapes/
9. Gestion du – Être sûr que les modes – Conditionnements – Taux de retour de – Taux de plaintes – Recherche des modalités de
conditionnement de conditionnement sont standard ou inadaptés. marchandises. importants. conditionnements les plus adaptés
des marchandises optimisés. – Pas de précautions prises – Relevé d’incidents – Litiges avec le client. aux différents types de livraisons.
livrées en fonction des types de durant le transport. – Refus de la marchandise – Rémunérer les préparateurs
produits. – Tableau de classification livrée. sur plusieurs critères et non
– Impératifs liés aux des conditionnements par – Matériels détériorés. uniquement le nombre de
caractéristiques du produit. produit. commandes préparées.
– Rémunération basée sur la
performance uniquement.
– Être sûr que les modes – Pas de prise en compte – Tableau de classification – Taux de plaintes – Classification des produits en
de conditionnement ont des différents types de des conditionnements par importants. fonction des risques possibles lors
été étudiés. produits. produit. – Litiges avec le client. de la livraison et de la mise en
322
– Impératifs liés aux – Analyse des modalités – Refus de la marchandise stockage.
caractéristiques du produit. pour chaque type de livrée. – Optimiser la conception des
– Conditionnements produit. – Matériels détériorés. emballages en fonction du produit
standard ou inadaptés. – Plans de chargement. et d’une remorque ou container
standard.
10. Gestion – Être sûr que le transport – Le transport pour – Fichiers de livraison. – Les coûts ne sont pas – Définir préalablement la capacité
des transports a été étudié et optimisé. livraison n’est pas optimisé. – Conditions de transport. optimisés. de remplissage de chaque unité de
– Pas d’études relatives – Plan de chargement. – Coûts de livraison très transport.
aux livraisons qui sont – Plan de livraisons types importants. – Utilisation par les livreurs de
réalisées. ou effectués au jour. – Taux de remplissage systèmes de navigation (GPS…).
– Absence de calculs des entités de transport – Prises de rendez-vous avec
concernant la rentabilité et itinéraire non étudié : l’acquéreur de la livraison.
des livraisons. surcoût de transport. – Prédéterminer des itinéraires
– Chargement non – Problèmes de retard dans de transports et scinder la zone
optimisé. les livraisons. de desserte en zone géographique
– Absence d’itinéraires auxquelles sont affectés des
définis. moyens.
10. Gestion – Être sûr du respect des – Pas d’études relatives – Relevés chrono – Problèmes de retard dans – Utilisation par les livreurs de
des transports engagements liés à la aux livraisons qui sont tachygraphes. les livraisons. systèmes de navigation (GPS…).
(suite) livraison. réalisées. – Relevés GPS. – Perte de marchandises. – Mise en place d’un processus
– Adresse inconnue ou – Scan de sortie : – Problèmes liés aux de suivi des livraisons.
incomplète. Relevé des marchandises impératifs de livraison. – Base de données clients
– Marchandises cassées ou expédiées à la journée. – Dégradation de l’image actualisée.
volées lors du transport. – Procédure de livraison. de la marque.
– La livraison est effectuée – Réglementation des – Litiges avec les clients.
de manière non conforme. transports. – Problèmes de retards de
– Incoterms. livraisons.
11. Relation – Être sûr que les contrats – Délais annoncés – Contrats existants. – Problèmes logistiques – Les besoins logistiques
clientèle conclus avec les clients impossibles à respecter. – Procédure de livraison. provoquant des retards nécessaires à la livraison doivent
précisent le processus de – Manque d’informations – Réglementation des de livraison voire être prévus dans le contrat.
livraison. données au client transports. l’inexécution totale de – Prise de contact entre le client
concernant la livraison. – Incoterm. l’obligation de livrer. et le livreur.
– Livraisons mal effectuées – Litiges avec le client. – Porter à la connaissance des
car modalités imprécises. – Perte de clientèle. livreurs, les règlements liés à la
323
livraison.
12. Validation – Être sûr que le directeur – Des livraisons sont – Signature de tous les – Risque de démarque. – Les commandes et les livraisons
des bons de du service de distribution effectuées sans validation. bons de transport et de – Pertes financières. doivent être validées par le
livraison valide les bons de livraison. – Des livraisons ne sont livraison par un chef de – Livraisons « fantômes » directeur de la distribution.
pas contrôlées : pas de scan service compétent. faussant les états de stocks. – Définir une procédure
expéditions. – Listings livraison. secondaire qui prévoit la
– Collusion entre un – Adresses livrées. personne responsable en cas
employé et une personne – Commandes à expédier d’absence du directeur du
extérieure à l’entreprise ce jour. service concerné.

(client fictif ). – Obligation d’information
– Les bons de livraison ne en cas d’éventuels problèmes
sont pas émis. survenus durant la livraison.
– Un rapport de livraison
(feedback).
– Effectuer des rapprochements
entre commandes à expédier et
adresses livrées.
Qualité – sécurité – environnement
PROCESSUS ET/OU DOMAINE : qualité – sécurité – environnement
Étapes/
A. Qualité
1. Connaissance – Être sûr que – Manque de sensibilisa- – Entretien avec la – Absence ou insuffisance – Définir et formaliser une
du « marché » l’organisation appréhende tion des responsables à la direction générale. de réflexion pour définir procédure permettant d’identifier
(besoins et attentes bien les besoins et attentes nécessité de bien connaître – Entretiens avec la une politique qualité les besoins et attentes du marché
des clients en des clients les attentes et besoins des direction commerciale et répondant aux besoins (responsabilités, planning, nature
matière de qualité) clients afin de définir une le responsable qualité. et attentes du marché. des informations à récupérer,
politique qualité adaptée. – Résultats des enquêtes – Politique qualité ne outils nécessaires…).
– Absence d’outils et/ou réalisées auprès des clients. correspondant pas à la
méthodes pour identifier stratégie de l’organisation.
324
ces besoins et attentes.
2. Politique et – Être sûr que la politique – Manque de sensibilisa- – Formalisation de la – Politique qualité ne – Définir les informations
Objectifs Qualité qualité, tel que définie tion des responsables à la politique et objectifs correspondant pas à la nécessaires préalables à la
par la direction générale nécessité de bien connaître qualité. stratégie de l’organisation. définition de la politique qualité
(DG), prend en compte les attentes et besoins des – Entretiens avec la DG. – Décision d’engagements de l’organisation.
les contraintes de clients afin de définir une – Résultats des enquêtes de dépenses non justifiée. – Disposer d’estimations de
l’organisation et les besoins politique qualité adaptée. réalisées auprès des clients. dépenses au niveau des alternatives
et attentes des clients. – Absence ou mauvaise possibles en matière de politique
identification des besoins qualité.
et attentes des clients.
3. Choix de la – Être sûr que – Méconnaissance des – Entretien avec la – Choix d’une démarche – Sensibiliser la DG à toutes les
démarche qualité l’organisation a retenu avantages/inconvénients des DG (appréciation de qualité inappropriée à la solutions envisageables concernant
la mieux adaptée la démarche qualité différents types de démarche la connaissance des politique qualité. les démarches qualité.
à la stratégie de appropriée à sa politique qualité (Démarche ISO alternatives possibles). – Décision d’engagements – Disposer d’informations suffi-
l’organisation qualité et à sa stratégie. 9000 avec ou sans certifica- – Entretien avec le de dépenses non justifiée. santes concernant les différentes
tion, démarches « Qualité responsable qualité. solutions possibles (durée de mise
totale »…). en œuvre, moyens nécessaires…).
4. Mise en place – Être sûr que – Méconnaissance des – Entretien avec le – Retard dans la mise en – Désigner un comité de pilotage
de la démarche l’organisation met en exigences à satisfaire en responsable qualité. œuvre de la démarche du projet.
qualité retenue œuvre la démarche qualité fonction du référentiel – Planning de mise en qualité. – Désigner un responsable de
conformément aux retenu. œuvre du projet. – Abandon du projet. projet.
exigences du référentiel – Absence ou implication – Comptes rendus des – Dépenses – Définir un planning de
retenu. insuffisante de la DG réunions du comité de supplémentaires. réalisation des différentes étapes.
dans la démarche. pilotage du projet. – Sensibiliser, motiver, former
– Manque de préparation l’ensemble des personnes
de l’ensemble du concernées par la mise en œuvre
personnel de l’organisation de la démarche qualité.
aux exigences de mise en
œuvre de la démarche.
5. Pérennité – Être sûr que – Manque de – Comptes rendus – Diminution – Définir, formaliser dans une
du système de l’organisation veille sensibilisation (DG, des réunions qualité. de l’efficacité procédure et réaliser les différentes
management à la pérennité du système responsable qualité, – Comptes rendus organisationnelle qu’avait actions permettant de pérenniser le
de la qualité de management de la ensemble du personnel) à des revues de direction. permis d’atteindre la système de management qualité :
(par exemple : qualité afin de conserver la nécessité de pérenniser – Rapports d’audit démarche qualité. • audit interne qualité,
325
conservation des la certification obtenue le système de management qualité. – Perte de la certification • actions correctives et/ou
certifications ISO) (par exemple certification qualité. – Résultats des actions ISO 9000. préventives,
ISO 9000). – Ignorance des correctives et/ou – Dégradation de l’image • révision du système
conséquences sur le non- préventives. de l’organisation. documentaire si nécessaire,
renouvellement de la – Évolution du système – Démotivation du • archivage des documents qui
certification. documentaire (création personnel. constituent des « preuves » en
ou modification de matière de qualité (documents
procédures, archivage des d’enregistrement qualité).
documents qualité…).
Étapes/
6. Amélioration – Être sûr que l’entreprise – Se satisfaire du niveau – Résultats des enquêtes – Diminution – Définir, formaliser dans
continue du met en place des actions de qualité atteint sans réalisées auprès des clients de l’efficacité une procédure et réaliser les
système de pour améliorer en volonté de s’améliorer en concernant les évolutions organisationnelle qu’avait différentes actions permettant
management permanence les produits/ permanence. de leurs besoins et attentes. permis d’atteindre la une amélioration continue des
qualité (exigences services proposés aux – Comptes rendus des démarche qualité. produits/services proposés aux
des différents clients et le système de réunions qualité. – Perte de la certification clients, des processus internes, des
référentiels en management qualité. – Comptes rendus des ISO 9000. salariés et autres parties prenantes :
la matière) revues de direction. – Dégradation de l’image • audit interne qualité ;
– Rapports d’audit qualité. de l’organisation. • actions correctives et/ou pré-
– Résultats des actions ventives ;
correctives et/ou • enquêtes auprès des parties
préventives. prenantes (salariés, fournisseurs,
326
environnement…) afin de
connaître l’évolution de leurs
besoins et attentes ;
• veille technologique en la
matière (innovations des process

de fabrication…) ;
• veille réglementaire en la matière.
B. Sécurité des biens et personnes

1. Politique – Être sûr que les risques – Les risques opérationnels – Dispositifs de – Incendies, inondations : – Répertorier les différents sys-
Sécurité et et menaces en matière de inhérents à l’activité recensement des risques risques environnementaux. tèmes de sécurité de l´organisation
définition des sécurité sont recensés ainsi sont mal connus ou sous et menaces en matière de – Non-respect des – Définir, formaliser et
dispositifs sécurité que les réglementations estimés. sécurité (s’ils existent). obligations réglementaires communiquer une procédure
mis en œuvre correspondantes. – Manque de – Fiches de suivi (poursuites, amendes…). de recensement des risques et
sensibilisations aux d’incidents. – Sabotage, pertes, vols, menaces en matière de sécurité
problématiques de sécurité. intrusions étrangères, (responsables, nature des
– Méconnaissance des espionnage : risque par des informations nécessaires…).
réglementations en vigueur. individus. – Mettre en place une veille
réglementaire.
1. Politique – Être sûr qu’une politique – Manque de – Politique sécurité. – Incendies, inondations : – Définir, formaliser et
Sécurité et de prévention des risques sensibilisations aux – Manuels de sécurité. risques environnementaux. communiquer une procédure
définition des et de réduction de leurs problématiques de sécurité. – Liste des personnes en – Non-respect des précisant les modalités
dispositifs sécurité conséquences est définie – Méconnaissance des charge de la sécurité. obligations réglementaires d’élaboration de la politique
mis en œuvre ainsi que les dispositifs de réglementations en – Panneaux/consignes de (poursuites, amendes…). sécurité et de définition
(suite) sécurité adéquats. vigueur. sécurité. – Sabotage, pertes, vols, des dispositifs adéquats
– Absence ou insuffisance – Législation en vigueur. intrusions étrangères, (responsabilités, nature des
du recensement des risques – Inventaire des dispositifs espionnage : risque par des informations nécessaires,
et menaces en matière de de sécurité. individus. nature des dispositifs
sécurité. – Accidents de travail. (prévention, détection,
– Dispositifs de protection), mode de
sécurité inadaptés à la communication des consignes
politique sécurité et à la de sécurité…).
réglementation en vigueur. – Mettre en œuvre une base
« incidents » afin de capitaliser
l’expérience et améliorer
les dispositifs de sécurité
existant.
– Sensibiliser l’ensemble du
327
personnel de l’organisation
à la dimension sécurité et
au respect des consignes en la
matière.
– Recours non judicieux – Liste des contrats – Problèmes juridiques, – Établir une liste des contrats
à l’assurance par rapport d’assurance. litiges avec la partie d’assurance en cours.
à d’autres solutions – Contrats d’assurance concernée. – Vérifier l’adéquation des contrats
envisageables. – Sanctions pénales. d’assurance par rapport aux risques
– L’assurance n’est pas – Pénalités financières. couverts.

adaptée : redondance
des contrats ou non
couverture de certains
domaines.
– Absence de
préoccupation en matière
d’actualisation des
contrats.
Étapes/
1. Politique – Être sûr que l’ensemble – Absence de – Charte interne sécurité – Augmentation des – Définir une politique de
Sécurité et du personnel a communication auprès de (si elle existe). accidents de travail communication en matière
définition des connaissance du système l’ensemble du personnel – Panneaux/consignes de – Risques accrus de sécurité (vecteurs de
dispositifs sécurité de sécurité mis en place. des informations relatives sécurité. d’incendie, sabotage, communication, destinataires,
mis en œuvre à la politique sécurité de – Autres formes de pertes, vols… périodicité…).
(suite) l’organisation. communication auprès de – Risques accrus – Sensibiliser l’ensemble du
l’ensemble du personnel d’intrusions étrangères personnel de l’organisation à la
concernant les dispositifs dans l’organisation dimension sécurité et au respect
sécurité mis en œuvre. (espionnage). des consignes en la matière.
– Être sûr que les – Méconnaissance des – Manuels de maintenance – Augmentation des – Établir une liste des dispositifs
dispositifs de sécurité font exigences réglementaires au concernant les dispositifs accidents de travail. de sécurité existants.
l’objet d’une maintenance niveau de la maintenance de sécurité. – Sanctions pénales. – Définir les actions de
328
régulière et conforme à la des dispositifs de sécurité. – Réglementation en – Pénalités financières. maintenance à assurer afin
réglementation. – Manque de compétences vigueur. – Risques accrus d’être sûr que les dispositifs
techniques pour assurer – Règlement intérieur. d’incendie, sabotage, sont, d’une part en bon état de
cette maintenance. – Certificats délivrés par pertes, vols… fonctionnement, d’autre part en
les autorités contrôlant – Risques accrus conformité avec la réglementation.

les dispositifs de sécurité d’intrusions étrangères – Définir des manuels de
(pompiers…). dans l’organisation maintenance (prestations assurées
(espionnage). en interne ou recours à des
prestataires externes agréés).
2. Mise en œuvre – Être sûr que les – Absence de révision des – Comptes rendus des – Augmentation des – Vérifier régulièrement
des dispositifs dispositifs de sécurité sont guides d’utilisation. exercices d’alerte réalisés. accidents du travail. l’application du dispositif de
sécurité appliqués. – Sensibilisation – Actions de sensibilisation – Sanctions pénales. sécurité.
insuffisante du personnel à du personnel – Pénalités financières. – Mettre en place un processus de
la nécessité de respecter les – Guides d’utilisation – Non atteinte des coordination de la sécurité interne
consignes de sécurité. objectifs de la mise en et externe (entre les services).
– Absence d’exercices d’alerte place de la sécurité.
(incendie, évacuation…).
2. Mise en œuvre – Être sûr que tous les – Absence de registre de – Liste des incidents/ – Évolution de la politique – Établir un historique des
des dispositifs incidents/accidents consignation des incidents/ accidents majeurs sécurité non pertinente par accidents ayant eu lieu ainsi
sécurité (suite) sont répertoriés et que accidents survenus (nature, survenus. manque d’exploitation des que des traitements qui ont été
l’organisation intègre les causes, mesures prises…). – Comptes rendus de ces expériences vécues. effectués pour y faire face.
résultats de ces événements – Pas d’exploitation de événements. – Tenir compte des meilleures
lors de la révision de sa ces informations lors de pratiques sécuritaires mises
politique sécurité. la révision de la politique en œuvre lors des précédents
sécurité de l’organisation. accidents lors de la révision de la
politique en matière de sécurité.
3. Protection – Être sûr que les – Possibilité pour tous les – Contrats de travail. – Divulgations des – Définir, formaliser et
des valeurs valeurs immatérielles personnels de connaître les – Liste de personnes ayant informations importantes communiquer une procédure
immatérielles de l’organisation sont informations. accès à des informations à la concurrence. de protection des informations
de l’organisation correctement protégées et – Aucune clause de confidentielles. – Perte des informations importantes et confidentielles
sécurisées. confidentialité n’est – Dispositifs de importantes ou de de l’organisation (liste des
précisée pour les personnes conservation et de données. informations concernées, nature
ayant accès à des protection des documents des protections à mettre en
informations importantes. importants. œuvre…).
– Le système informatique – Dispositifs de protection – Indiquer dans les contrats
329
ne dispose pas de sécurités du système informatique. de travail des clauses de
suffisantes pour faire face à confidentialité.
une intrusion. – Munir le système informatique
des moyens nécessaires pour
palier toute intrusion ou attaque
d’origine externe ou interne.
C. Environnement
1. Connaissance – Être sûr que – Manque de – Entretien avec la – Non-respect de la – Mettre en place un système de
des obligations l’organisation appréhende sensibilisation des direction générale législation. veille réglementaire.
réglementaires correctement toutes les responsables à la nécessité – Entretiens avec – Sanctions financières. – Sensibiliser la DG et l’ensemble
obligations réglementaires de satisfaire à ces le responsable – Politique de l’organisation aux obligations
qui s’imposent à elle. obligations réglementaires. environnement. environnementale ne réglementaires.
– Absence d’outil de veille – Système de veille correspondant pas à la – Développer une culture éthique
réglementaire. réglementaire (s’il existe). stratégie de l’organisation. dans l’organisation.
– Absence de – Détérioration de l’image
préoccupations éthiques. éthique de l’organisation.
Étapes/
2. Politique – Être sûr que la politique – Manque de sensibilisa- – Formalisation – Politique – Définir les informations
environnementale environnementale prend tion des responsables à la de la Politique environnementale ne nécessaires préalables à la
de l’organisation en compte les contraintes nécessité de bien connaître environnementale. correspondant pas à la définition de la politique
de l’organisation, les les réglementations. – Entretiens avec la DG. stratégie de l’organisation. environnementale de
exigences réglementaires – Absence de préoccupa- – Réglementations – Décision d’engagements l’organisation.
à satisfaire et l’image tions éthiques. environnementales de dépenses non justifiée. – Disposer d’estimations de
« Éthique » qu’elle veut se – Difficulté à appréhender concernant l’organisation. dépenses au niveau des alternatives
donner. les conséquences orga- possibles en matière de politique
nisationnelles de la mise environnementale.
en place d’une démarche
environnementale.
3. Choix de – Être sûr que – Méconnaissance des – Entretien avec la DG – Choix d’une démarche – Sensibiliser la DG à toutes les
la démarche l’organisation a avantages/inconvénients (appréciation de la environnementale solutions envisageables concernant
330
environnementale retenu la démarche des différents connaissance des alterna- inappropriée à la politique les démarches environnementales.
la mieux adaptée environnementale types de démarche tives possibles). en la matière. – Disposer d’informations
à la stratégie de appropriée à sa stratégie et environnementale – Entretien avec le respon- – Décision d’engagements suffisantes concernant les
l’organisation et sa politique en la matière. (Démarche ISO 14000 sable environnement. de dépenses non justifiée. différentes solutions possibles
à ses obligations avec ou sans certification, – Informations dispo- (durée de mise en œuvre, moyens
autres démarches…). nibles sur les différentes nécessaires…).
démarches environnemen-
tales possibles.
4. Mise en place – Être sûr que – Méconnaissance des exi- – Entretien avec – Retard dans la mise en – Désigner un comité de pilotage
de la démarche l’organisation met en gences à satisfaire en fonction le responsable œuvre de la démarche du projet.
environnementale œuvre la démarche du référentiel retenu. « Environnement ». environnementale. – Désigner un responsable de projet.
retenue environnementale – Absence ou implication – Planning de mise en – Abandon du projet. – Définir un planning de
conformément aux insuffisante de la DG dans œuvre du projet. – Dépenses réalisation des différentes étapes.
exigences du référentiel la démarche. – Comptes rendus des supplémentaires. – Sensibiliser, motiver, former
retenu. – Manque de préparation réunions du comité de l’ensemble des personnes
de l’ensemble du personnel pilotage du projet. concernées par la mise en œuvre
de l’organisation aux de la démarche environnementale.
exigences de mise en – Développer une culture éthique
œuvre de la démarche. au niveau global dans l’organisation.
5. Pérennité – Être sûr que – Manque de – Comptes rendus – Non-respect de la – Définir, formaliser dans une
du système de l’organisation veille à la sensibilisation des réunions réglementation. procédure et réaliser les différentes
management pérennité du système (DG, responsable « Environnement ». – Sanctions financières. actions permettant de pérenniser
environnementale de management environnement, – Comptes rendus des – Perte de la certification le système de management
(par exemple : environnemental afin de ensemble du personnel) à revues de direction. ISO 14000. environnemental :
conservation des conserver la certification la nécessité de pérenniser – Rapports d’audit interne – Dégradation de l’image • audit interne environnemental,
certifications ISO) obtenue (Par exemple le système de management environnemental. éthique de l’organisation. • actions correctives et/ou
Certification ISO 14000). environnemental. – Résultats des actions – Démotivation du préventives,
– Ignorance des correctives et/ou préventives. personnel. • révision du système
conséquences sur le non- – Évolution du système documentaire si nécessaire,
renouvellement de la documentaire (création • archivage des documents qui
certification. ou modification de constituent des « preuves » en matière
procédures, archivage des de protection de l’environnement
documents…). (documents d’enregistrement).
6. Amélioration – Être sûr que l’entreprise – Se satisfaire du – Résultats des enquêtes – Perte d’un avantage – Définir, formaliser dans une
continue du met en place des actions niveau de protection de réalisées auprès des parties d’image de l’organisation procédure et réaliser les différentes
système de pour anticiper sa politique l’environnement atteint prenantes concernées en matière de protection actions permettant une amélioration
management environnementale par sans volonté de s’améliorer (clients, riverains des sites de l’environnement. continue des performances environ-
331
environnemental rapport à de futures en permanence. de production de l’organisa- nementales de l’organisation :
(anticipation de exigences et/ou pour tion, opinion publique…) • enquêtes auprès des parties
nouvelles exigences améliorer son image concernant les évolutions prenantes (salariés, fournisseurs,
en matière de éthique. de leurs préoccupations en environnement…) afin de
protection de matière de protection de connaître l’évolution de leurs
l’environnement) l’environnement. préoccupations en matière de
– Comptes rendus des protection de l’environnement.
revues de direction. – Veille technologique en la
– Rapports d’audit interne matière (innovations des process
environnemental. de fabrication…),
– Résultats des actions – Veille réglementaire en la

correctives et/ou préventives. matière.
7. Reporting – Être sûr que – Méconnaissance de ces – Reporting (s’il existe) – Non-respect des – Définir, formaliser dans une
auprès des l’organisation respecte les obligations de reporting. – Réglementation de obligations réglementaires. procédure et communiquer
instances de tutelle exigences réglementaires – Désintérêt de l’organisation reporting concernant – Sanctions financières. les bonnes pratiques pour
(ex. : Rapport en matière de reporting vis-à-vis de ces obligations l’organisation. – Dégradation de l’image l’établissement du reporting
Sociétal et auprès des instances de perçues plus comme des éthique de l’organisation. environnemental (responsabilités,
Environnemental) tutelle obligations que des oppor- planning, nature des informations
tunités de communication. à fournir, forme du document…).
Audit interne et référentiels de risques
Conclusion
S
i nous devions choisir un mot, celui qui pourrait constituer le mot
clef de notre ouvrage, ce serait sans hésiter « Risques ». Si nous avions
la possibilité de le compléter, ce serait « Maîtrise des Risques ».
Le management des risques assure l’identification, l’évaluation et le
traitement des risques. Le contrôle interne (ou le système de contrôle
interne) est la réponse organisationnelle à la maîtrise des risques. La
gouvernance, entre autre, structure le fonctionnement des différentes
instances chargées de coordonner et piloter la maîtrise des risques. Enfin
l’audit, et plus précisément l’audit interne, apprécie l’existence, la bonne
application et l’efficience de tous ces dispositifs. Comme nous l’avons
dit de manière un peu caricaturale en introduction, « l’audit, c’est le
contrôle du contrôle ».
En matière d’audit interne, le Cadre de Référence International des
Pratiques Professionnelles élaboré par l’IIA recense les bonnes pratiques
qui garantissent un excellent niveau de qualité aux prestations d’audit
réalisées par les services qui s’inscrivent dans cette démarche. La métho-
dologie que nous préconisons intègre parfaitement les recommandations
de ce cadre de référence.
Pour ce qui est du contrôle interne, le modèle préconisé par l’AMF et
celui du Coso constituent actuellement des guides conceptuels incon-
tournables pour définir et mettre en œuvre les dispositifs nécessaires à la
maîtrise des risques. Les référentiels de risques proposés dans cet ouvrage
s’inspirent de cette logique.
Cependant, et c’est l’objet de toute conclusion d’un ouvrage, nous
nous devons d’élargir notre réflexion sur le contrôle des organisations à
d’autres dimensions non abordées jusqu’à présent mais qui ne doivent
et ne peuvent pas être ignorées.
332
Conclusion
Le contrôle interne donne une assurance raisonnable quant à la

maîtrise des risques de non atteinte des objectifs (de rentabilité) d’une
organisation, en ce sens il se préoccupe des intérêts, attentes des action-
naires ou instances de tutelle. Toutefois il y a d’autres parties prenantes
(ou parties intéressées) directement concernées par le bon fonctionne-
ment des organisations et qui, à ce titre, ont aussi des attentes spécifiques
vis-à-vis de l’organisation. On peut citer :
•• les clients qui attendent de l’organisation la satisfaction de leurs
besoins lorsqu’ils passent commande ;
•• les salariés de l’organisation qui aspirent à une juste rétribution de leur
travail, qui doit par ailleurs se dérouler dans des conditions de sécurité
satisfaisantes ;
•• enfin la société, au sens large, qui exige de plus en plus des organisa-
tions un comportement éthique notamment en matière de protection
de l’environnement, de développement durable ou encore de respon-
sabilité « sociétale ».
Concernant les attentes de ces différentes parties prenantes, comme le
contrôle interne est une réponse aux attentes des actionnaires, il existe
une multitude de réponses (normes, réglementations, lois…) mises en
œuvre par les organisations pour y répondre.
Pour les clients, on parlera des normes qualité Iso 9001. Pour les
salariés, il s’agira des référentiels Ohsas 18001 et des lois définissant les
obligations en matière de santé et de sécurité au travail. Pour la société,
nous aurons les normes Iso 14000 pour la protection de l’environne-
ment ou celles concernant le développement durable ou encore le « bilan
carbone ».
La satisfaction des attentes de ces autres parties prenantes constitue,
pour l’organisation, des objectifs à atteindre tout aussi importants que
les objectifs de rentabilité vis-à-vis des actionnaires. Dans la mesure où
l’organisation se fixe des objectifs à atteindre, on n’échappe pas à l’en-
chaînement des étapes que nous avons évoqué dans l’introduction de
cet ouvrage : « Objectifs, Risques, Dispositifs de maîtrise des risques,
Audit ».
On constate donc qu’il existe, parallèlement au système de contrôle
interne, divers autres systèmes de management destinés à assurer (autant
que peut se faire) la satisfaction des attentes de chaque partie prenante
importante pour l’organisation par l’atteinte des objectifs correspondants.
333
Pour l’heure ces divers systèmes de management cohabitent, se super-

posent, parfois sont en partie redondants, sans véritable harmonisation
et/ou vision d’ensemble du problème.
Nos propos dans le cadre de cet ouvrage n’intègrent pas ces dimen-
sions. Elles n’en demeurent pas moins importantes pour l’organisation,
voire vitales pour le futur de notre planète.
Un seul système de maîtrise des risques, « intégratif », « équilibré », se
préoccupant des objectifs liés aux attentes de toutes les parties prenantes
est-il nécessaire, possible, souhaitable ?
Le concept « Risk-Organization-Knowledge » développé au chapitre 9
apporte une réponse.
Voici notre conclusion et la perspective de réflexions à venir.
334
Quiz « Méthodologie »
Dans le même esprit que les flashcodes utilisés précédem-

ment dans l'ouvrage, vous trouverez en complément du quiz
des flashcodes qui vous renvoient aux éléments de réponse.
Les risques (concept et management)

Qu’est-ce qu’un risque ?
Le RISQUE est un concept signifiant la possibilité que la combinaison
d’un et d’un ait pour conséquence
la
335
Pour pallier les risques quelles sont les mesures qui constituent des éléments
du dispositif de contrôle interne à mettre en place ?
Le COSO-I
« Le contrôle interne est un processus mis en œuvre par le Conseil d’admi-
nistration, les dirigeants et le personnel d’une organisation destiné à fournir
une assurance raisonnable quant à la réalisation des objectifs suivants :
•• réalisation et optimisation des opérations ;
•• fiabilité des informations ;
•• respect des réglementations. »
Le contrôle interne est traditionnellement schématisé sous la forme d’une
pyramide à cinq composantes. Lesquelles ?
336
Le management des risques le COSO-II

Par rapport au référentiel COSO-II, identifier la nature des 3 faces du
cube et leurs composantes.
Le « référentiel AMF »
Par rapport au référentiel « AMF », identifier la nature des trois faces du
cube et leurs composantes.
337
La définition de l’audit interne

Donnez la définition française de l’audit interne datée du 21 mars 2000 et
approuvée par le conseil d’administration de l’IFACI – Institut français de
l’audit et du contrôle internes.

Quels sont les mots clés de la définition de l’audit interne ?

Une profession normée

Quels sont les principes normatifs internationaux sur lesquels l’auditeur
interne s’appuie ?

Méthodologie de l’audit
Représentez le déroulement d’une mission d’audit (graphique et fiche expli-
cative)
Pour chacun des points ci-dessous, répondez aux questions suivantes :
– « Qu’est-ce que c’est et à quoi ça sert ? »
– « Comment ça se fabrique ? »
338
01. Ordre de mission ;
02. Tableau des risques : référentiel à « 5 colonnes » ;
03. Tableau des forces et faiblesses apparentes ;
04. Rapport d’orientation ;
05. Programme de vérification ;
06. Feuille de couverture ;
07. Feuille d’audit et de recommandations ;
08. Ossature du rapport ;
09. Recommandations (comment les formuler ? et que doit-il se passer
ensuite ?) ;
10. Rapport d’audit (comment est-il constitué et pourquoi cela ?).

339

Audit Interne Et Référentiels de Risques PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Interne Et Référentiels de Risques PDF

Transféré par

Droits d'auteur :

Formats disponibles

Audit interne et

Préface de Sophie Baranger (AMF)

© Dunod, Paris, 2010

S’appuyant sur de nombreux retours d’expérience, ce recueil propose

L’ouvrage traite de l’activité de l’audit interne en s’appuyant sur le

Ecrit dans un style imagé et illustré de nombreux schémas et tableaux,

Il présente les étapes méthodologiques à respecter pour amélio-

Les dimensions contrôle interne et management des risques sont trai-

Partie 1 – L’environnement de l’audit

Chapitre 4 ■ L’identification des besoins d’audit 64

Partie 2 – La méthodologie de l’audit

Fiche d’audit et de recommandations 156

Partie 3 – Les outils de l’audit

Systèmes d’informations 266

risques d’une organisation afin de lui permettre d’atteindre ses objectifs.

Cet enchaînement d’étapes :

L'ouvrage s’articule autour de cette logique. Bien qu’il soit centré

L'ouvrage met ensuite plus particulièrement l’accent sur l’activité

L’OCDE (Organisation de Coopération et de Développement

The European Corporate Governance Institute (www.ecgi.org) récapitule

•• faire appel de manière efficace aux auditeurs externes en s’assurant

gation pour toute société faisant appel public à l’épargne de disposer

Le management des risques

sif. Est-ce la faute des clients si la première entreprise est tombée en

Un événement une cause :

entraîne une conséquence :

Figure 1.1 – Le concept de risque

Événements incertains Facteurs de risques /

Figure 1.2 – Du concept de risque à sa définition

Les facteurs de risque qui, combinés à la survenance de ces événements,

Manifestation Facteurs de risques

Figure 1.3 – Le risque et ses composantes

Le management des risques

Ce modèle est traditionnellement représenté par un cube (fig. 1.4).

Traitement des risques

Figure 1.4 – Le cube du COSO-II

Face avant du cube : les composantes du management des risques :

à l’origine du risque), la réduction (mettre en œuvre des disposi-

seule référence en matière de management des risques. Des alternatives

Mais qu’en est-il de la prise en charge de cette dimension manage-

•• la pertinence de mes objectifs : cohérence avec les finalités de l’orga-

Figure 1.5 – La pyramide du COSO-I

Activités Identification des événements FILIALE

de contrôle Évaluation des risques

Traitement des risques

Figure 1.6 – Du COSO-I au COSO-II

Il exprime les principes suivants :

Ces quatre étapes, qui donnent une vision dynamique du contrôle

– Surveillance des Action

de Sécurité financière), compatible avec le COSO et en phase avec les

Les grandes orientations en matière de contrôle interne sont déter-

– Analyse des incidents constatés et résultats réalisés

Figure 1.8 – Le référentiel « AMF »

•• la diffusion en interne d’informations pertinentes, fiables, dont la

La définition de l’audit interne et son évolution

Il s’agit de la traduction de la définition internationale approuvée par

ÉVOLUTIONS des DOMAINES et SUJETS AUDITÉS

« AVANT » Comptabilité Finance Administration « AUJOURD’HUI »

Actifs protégés Communication

Figure 2.1 – L’évolution de l’audit interne

Comme indiqué dans sa définition officielle, l’activité d’audit interne

répondants indiquent avoir aucune ou peu de liberté dans le choix des

Évolution 1 : un repositionnement de la fonction de l’audit interne

Chapitre 4 ■ L’identification des besoins d’audit 64

Fiche d’audit et de recommandations 156

Systèmes d’informations 266

de circulation, d’interrogation de fichiers. Apparaissent aussi des logiciels

la maîtrise des processus de gouvernance, de gestion du risque et de