Académique Documents
Professionnel Documents
Culture Documents
référentiels de risques
Gouvernance
Management des risques
Contrôle interne
Pierre Schick
Jacques Vera
Olivier Bourrouilh-Parège
U
n livre de plus, pourrait penser les opérationnels sur lesquels
repose le dispositif de contrôle interne soucieux de se conformer
aux différents textes réglementaires en vigueur. Leur question
principale sous-jacente étant restée jusqu’alors entière : « D’un point de
vue théorique d’accord, mais concrètement… comment faire ? »
Ils avaient à leur disposition une forte implication du management et
le bon sens, ingrédients indispensables pour la bonne réussite de cette
démarche. Mais ces composants sont malheureusement insuffisants pour
répondre à cette question.
Le bon réflexe consiste alors à échanger et à partager des points de réflexion
organisés au sein de l’entreprise et entre associations et organisations de diffé-
rentes natures pour y trouver une matière première importante.
Mais malgré la richesse des réflexions et les capacités des outils infor-
matiques les opérationnels demeurent cependant au bord du fossé béant
séparant théorie et pratique.
C’est en suivant un angle pragmatique que Pierre Schick, Jacques Vera
et Olivier Bourrouilh-Parège ont rédigé Audit interne et référentiels de risque.
Ainsi cet ouvrage fournit, au-delà des repères méthodologiques, des
fiches pratiques opérationnelles. Ces dernières ont d’ailleurs été éprou-
vées sur le terrain par les auteurs eux-mêmes.
ROK, logiciel développé par Op Serv intègre ces fiches pratiques et
fait ainsi le lien entre théorie et pratique.
La vision pragmatique développée dans ce livre est l’une des valeurs
partagées par Primexis.
La simplicité étant le stade ultime de la complexité, les auteurs se sont
réunis pour décortiquer cette angoissante question « Comment faire ? »
et ainsi fournir un couple méthode/logiciel aussi simple qu’efficace.
Michel Baude
Senior Manager/Expert Comptable
Primexis
III
Comment utiliser
les flashcodes
D
ans cet ouvrage, vous trouverez de nombreux flashcodes. Ces
codes barres 2D vous permettent d’accéder en toute simplicité à
des contenus multimédia (vidéo, démonstration, images, etc.) qui
viennent illustrer les propos des auteurs.
Ainsi, si vous possédez un téléphone portable bénéficiant d’une
connexion internet (iPhone, Android, Smartphone), il vous suffit de pho-
tographier le flashcode et vous pouvez accéder directement à la page web
mobile liée à ce code intelligent.
Pour utiliser ce service, il est indispensable de télécharger l’application
flashcode. Pour cela, plusieurs possibilités s’offrent à vous :
– Par SMS, en envoyant le mot « flashcode » au numéro 30130 (coût
d’un SMS). Vous recevrez alors un SMS contenant un lien cliquable
renvoyant vers le site mobile de téléchargement de l’application
flashcode.
– En vous connectant à www.flashcode.fr où il vous sera proposé de
télécharger le lecteur flashcode.
Innovants, pratiques, gratuits et interactifs, ces codes barres 2D
viendront enrichir avantageusement le contenu de cet ouvrage.
Si vous le souhaitez vous pouvez également consulter ces complé-
ments sur le site www.rok-solution.com.
Les auteurs vous souhaitent donc une bonne lecture et … bons flash-
codes.
IV
Préface
L’
Autorité des marchés financiers, dans sa mission de veille à la
protection de l’épargne et au bon fonctionnement des marchés,
accorde une importance particulière au dispositif de contrôle
interne instauré au sein des entreprises. Ce dispositif contribue à la
qualité de l’information diffusée au public. Pour apporter sa contribution
et donner des guides à la rédaction du rapport annuel du Président sur le
contrôle interne, l’AMF a recommandé en 2007 l’utilisation d’un cadre
de référence sur le dispositif de contrôle interne.
Des modifications législatives récentes sont venues compléter ces exi-
gences : la loi du 3 juillet 2008 a étendu l’objet du rapport du président
aux procédures de gestion des risques et l’ordonnance du 8 décembre
2008 a institué un comité d’audit devant notamment assurer le suivi
de l’efficacité des systèmes de contrôle interne et de gestion des risques.
La nécessité d’avoir une interprétation claire des textes et d’en faciliter
l’application a conduit l’AMF à constituer un groupe de travail chargé
d’une part, de rédiger un rapport détaillant les diligences du comité
d’audit et d’autre part, de formuler des propositions d’adaptation du
cadre de référence sur les procédures de gestion des risques.
L’activité d’audit interne dans les organisations et ses périmètres d’in-
tervention que sont la gouvernance, la gestion des risques et le contrôle
interne, ont été au cœur des débats du groupe de travail qui finalise ses
travaux au moment où cet ouvrage, qui partage les mêmes préoccupations,
est mis sous presse.
Les auteurs présentent les étapes méthodologiques à respecter pour
améliorer l’efficacité de la mission d’audit interne, tout en recherchant
la conformité avec le cadre de référence international des pratiques
professionnelles en la matière. Pour chaque étape, des conseils et des
fiches pratiques complètent opportunément les propos.
V
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
Sophie BARANGER,
Directrice des affaires comptables
de l’Autorité des marchés financiers2
Rapporteur du groupe de travail AMF
sur le dispositif de gestion des risques et du contrôle interne
1. Le contenu de cet ouvrage ne peut engager l’AMF et reste le fruit de ses auteurs.
2. Créée par la loi n° 2003-706 de sécurité financière du 1er août 2003, l’Autorité des
marchés financiers est un organisme public indépendant, doté de la personnalité morale
et disposant d’une autonomie financière, qui a pour missions de veiller à la protection
de l’épargne investie dans les instruments financiers, à l’information des investisseurs,
au bon fonctionnement des marchés d’instruments financiers.
VI
Avant-propos
D
epuis le début des années 2000, plusieurs réglementations et légis-
lations en provenance des Etats-Unis (Sarbanes Oxley Act), de
l’Union Européenne (4e et 7e directives) ou de France (loi LSF
du 1er août 2003 et la loi du 3 juillet 2008) ont renforcé les exigences
en matière de contrôle interne et de gestion des risques. De manière
indirecte, le rôle de l’audit interne qui est chargé d’évaluer les processus
de management des risques, de contrôle interne et de gouvernement
d’entreprise s’en est trouvé accru.
VII
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
Louis VAURS
Délégué général de l’IFACI
1. Le contenu de cet ouvrage ne peut engager l’IFACI et reste le fruit de ses auteurs.
VIII
Table des matières
Préambule III
Comment utiliser les flashcodes IV
Préface V
Avant-propos VII
Introduction 1
IX
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
X
Table des matières
Navigation 216
En synthèse 225
Chapitre 10 ■ Les référentiels de risques 227
La structuration et le mode d’utilisation des référentiels 227
L’approche globale suivant le référentiel AMF 230
L’approche par processus-domaines 241
Management – direction générale 242
Gestion des ressources humaines 244
Finance – comptabilité 249
Juridique et fiscal 255
Contrôle de gestion – reporting 260
XI
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
XII
Introduction
P
our assurer sa pérennité et son développement, toute organisation,
qu’elle soit publique ou privée, doit se fixer des objectifs. Une fois
cet horizon stratégique établi, il s’agit de définir les moyens néces-
saires pour y parvenir. Enfin il faut veiller à la bonne mise en œuvre
de ces moyens afin de « boucler la boucle ». Ce triptyque « Objectifs
– Moyens – Mise en œuvre » résume très brièvement la démarche stra-
tégique traditionnelle pratiquée, de façon plus ou moins formelle, dans
toutes les organisations. Ces préoccupations sont généralement dévo-
lues à la direction générale et aux instances composant la gouvernance
(conseil d’administration ou de surveillance, comité de direction, comité
d’audit…).
Dans nos environnements économiques actuels instables, l’atteinte
de ces objectifs n’est évidemment pas certaine. L’organisation est quoti-
diennement confrontée à une multitude de risques, d’importance et de
nature très différentes, qui peuvent perturber, voire rendre impossible,
la réalisation de ses objectifs. Même si l’aversion au risque est dans la
nature humaine, en matière de management la prise de risque est vitale
pour l’organisation. Un mode de gouvernance qui consisterait à ne s’en-
gager dans telle ou telle orientation stratégique que lorsque toutes les
incertitudes sont totalement levées conduirait, du fait d’un manque de
réactivité, bien évidemment à la remise en cause à terme de la pérennité
de l’organisation concernée.
Donc cette prise de risque est inévitable et nécessaire, cependant elle
doit être maîtrisée. Le concept de « contrôle interne », au sens littéral du
terme et pris ici dans son acception la plus large (processus de gestion
des risques, de contrôle et de gouvernance d’entreprise), correspond à la
mise en œuvre de dispositions qui assurent une maîtrise raisonnable des
1
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
2
Introduction
Les auteurs.
3
Partie 1
L’environnement de l’audit
C h a p i t r e 1
Le périmètre d’intervention
de l’audit
Le gouvernement d’entreprise
Le Cadre de référence international des pratiques professionnelles de
l’IIA (Institute of Internal Auditors – www.theiia.org), traduit en français
par l’IFACI (Institut Français de l’Audit et du Contrôle Internes – www.
ifaci.com) – voir sa présentation au chapitre 2, paragraphe « Une profes-
sion normée » – donne une définition du gouvernement d’entreprise ou
gouvernance :
« Dispositif comprenant les processus et les structures mis en place par le
Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’or-
ganisation en vue de réaliser ses objectifs ».
7
L’environnement de l’audit
8
Chapitre 1 ■ Le périmètre d’intervention de l’audit
9
L’environnement de l’audit
les réunions. Les principaux sujets abordés lors de ces comités d’au-
dit concernent : les missions et responsabilités de l’audit interne et le
suivi des plans d’actions.
10
Chapitre 1 ■ Le périmètre d’intervention de l’audit
combiné à…
Impact dommageable
Objectif compromis
11
L’environnement de l’audit
12
Chapitre 1 ■ Le périmètre d’intervention de l’audit
Détection Prévention
Impact
Conséquence
Protection
13
L’environnement de l’audit
s s
gie on on s ité
té ti ati ière rm
tra éra m
or nc n fo
S Op Inf fina Co
Environnement de contrôle
UNITÉ DE GESTION
Définition des objectifs
FILIALE
Identification des événements
ENTREPRISE
DIVISION
Évaluation des risques
Activités de contrôle
Information et Communication
Pilotage
14
Chapitre 1 ■ Le périmètre d’intervention de l’audit
15
L’environnement de l’audit
16
Chapitre 1 ■ Le périmètre d’intervention de l’audit
Le contrôle interne
Il est usuel de dire que le contrôle interne est un procédé, mis en œuvre
par les dirigeants et le personnel d’une organisation, à quelque niveau
que ce soit, destiné à leur donner en permanence une assurance raison-
nable que :
•• Les opérations sont réalisées, sécurisées, optimisées et permettent ainsi
à l’organisation d’atteindre ses objectifs de base, de performance, de
rentabilité et de protection du patrimoine ;
•• Les informations financières et opérationnelles sont fiables, et les lois,
les réglementations et les directives de l’organisation sont respectées.
Le contrôle interne est un état à atteindre et à maintenir, c’est un moyen
et non un but. La mise en place du contrôle interne fait partie intégrante
des attributions de tout responsable. Dans cette mission l’organisation
peut se doter par ailleurs d’un service ad hoc chargé de définir et de coor-
donner la mise en œuvre des dispositifs composant le système et d’en
assurer la maintenance. Dans ces conditions on veillera à ce que l’existence
d’un tel service ne conduise pas à la désappropriation ou au désintérêt du
concept de contrôle par les responsables fonctionnels ou opérationnels.
En toutes circonstances, tout responsable doit se poser la question
suivante :
« Dans quelle mesure mon organisation, mes méthodes de travail, mes
dispositifs de mesure et de contrôle, mon implication personnelle… me
donnent-ils une assurance raisonnable quant à :
© Dunod – La photocopie non autorisée est un délit
17
L’environnement de l’audit
Pour la mise en œuvre d’un bon contrôle interne nous disposons d’un
certain nombre de modèles conceptuels ou référentiels. Parmi les plus
connus et usités nous citerons :
•• le COSO (Committee Of Sponsoring Organizations of the Treadway
Commission ou Internal Control Integrated Framework), d’origine
anglo-saxonne (1992), dit COSO-I,
•• le COCO (Criteria Of COntrol) « Recommandations sur le contrôle »
de l’Institut canadien des comptables agréés (1995),
•• enfin, plus récemment, le « Cadre de référence AMF », une initiative
française sous l’égide de l’Autorité des Marchés Financiers publié
début 2007, et dont une mise à jour a été effectuée à l’été 2010, afin
de contribuer à une plus grande homogénéité des concepts sous-
tendant les travaux du comité d’audit, la rédaction du « rapport du
président » sur le contrôle interne et la gestion des risques.
Le COSO-I
Ce modèle donne la définition suivante du contrôle interne :
« Le contrôle interne est un processus mis en œuvre par le conseil d’adminis-
tration, les dirigeants et le personnel d’une organisation destiné à fournir une
assurance raisonnable quant à la réalisation des objectifs suivants :
– réalisation et optimisation des opérations ;
– fiabilité des informations ;
– respect des réglementations. »
Le contrôle interne est traditionnellement schématisé sous la forme
d’une pyramide à cinq composantes, chacune de ces composantes se
déclinant ensuite en un certain nombre d’items dont nous donnons
quelques exemples dans la figure 1.5.
Bien que le modèle COSO-I concerne le contrôle interne et le
COSO-II le management des risques, les deux cadres de références sont
complémentaires :
•• la composante « Évaluation des risques » du COSO-I est déclinée
dans le COSO-II en quatre items qui précisent cette notion (la défi-
nition des objectifs, l’identification des événements, l’évaluation des
risques, le traitement des risques) : face avant du cube ;
•• une dimension « Stratégie » complète les trois objectifs traditionnels du
contrôle interne énoncés dans la définition : face supérieure du cube.
18
Chapitre 1 ■ Le périmètre d’intervention de l’audit
– Communication interne
– Pilotage de gestion
– Communication externe – Évaluation et auto-évaluation
– Communication formelle – Organes de contrôle…
et informelle… – Mettre en place et activer les dispositifs
Pilotage – S’assurer de la correcte application
des directives
Information et
– Maîtriser les risques…
communication Activités – Définition des objectifs
de contrôle – Identification des risques
– Plans d’actions pour
les maîtriser…
Évaluation des risques – Culture du contrôle
– Éthique et style
de management
– Engagement
Environnement de contrôle de la direction…
ie on
s ns ité
Pilotage tég rat
i tio res rm
ra é rma nciè nfo
St Op o Co
Inf fina
Information Environnement de contrôle
et
communication
UNITÉ DE GESTION
Définition des objectifs
Information et Communication
Environnement
© Dunod – La photocopie non autorisée est un délit
de contrôle Pilotage
Le COCO
La définition du contrôle interne est brève mais à y réfléchir « tout est
dit » :
« Éléments de l’organisation, incluant :
– Ressources ;
– Systèmes ;
– Procédés ;
19
L’environnement de l’audit
– Culture ;
– Structure et tâches ;
… qui, mis ensemble, aident à atteindre les objectifs. »
BUT
Savoir quoi faire – Valeurs éthiques
– Pouvoirs, responsabilités
– Politique RH…
SUIVI et
APPRENTISSAGE ENGAGEMENT
S’ajuster aux changements
Vouloir le faire
Figure 1.7 – Le COCO
Le « Référentiel AMF »
Ce modèle, publié début 2007, est issu d’un travail réalisé par un groupe
de place réunissant les principales instances compétentes en matière de
contrôle des organisations dont l’IFACI. Il est en accord avec la LSF (loi
20
Chapitre 1 ■ Le périmètre d’intervention de l’audit
21
L’environnement de l’audit
n
s
ité
io
DG ion – Contrôles de prévention
at
té
m
ct
is
ili
or
et de détection
im
ru
ab
nf
st
pt
Co
Fi
– Contrôles manuels
In
O
ou informatisés
Activité/Processus C
Surveillance permanente
Activité/Proce ssus A
– Contrôles hiérarchiques…
– Recensement des risques
Activité/Processus B
Activités de contrôle – Analyse des risques
– Procédures de gestion
des risques
Analyse des risques – Communication
d’informations pertinentes,
Informations pertinentes fiables et diffusées
et fiables en temps opportun…
Organisation
– Responsabilités et pouvoirs
– Politique RH
– Système d’information
– Procédures et modes opératoires…
22
Partie 1
L’environnement de l’audit
Chapitre 2
Le positionnement
de l’activité d’audit
23
L’environnement de l’audit
24
Chapitre 2 ■ Le positionnement de l’activité d’audit
« AUJOURD’HUI »
gouvernance d’entreprise.
Le processus de management des risques évolue. L’audit interne est
considéré comme un outil de management qui permet de mettre en
place une démarche structurée au sein de l’organisation et de travailler
en étroite collaboration avec la gouvernance d’entreprise. Le dévelop-
pement des comités d’audit au sein des grands groupes en est le reflet
(transposition en droit français de la 8e Directive européenne).
Selon l’enquête 2009 de l’IFACI, les responsables d’audit interne
déclarent disposer d’une liberté d’action importante ou totale (Normes
1100 et 1100-A1), notamment pour accéder aux informations utiles
aux missions (98 %), aux personnes à interviewer (99 %), à la rédaction
et communication du résultat des audits (93 %). A contrario, 15 % des
25
L’environnement de l’audit
26
Chapitre 2 ■ Le positionnement de l’activité d’audit
27
L’environnement de l’audit
RÉSUMÉ
28
Chapitre 2 ■ Le positionnement de l’activité d’audit
Code de déontologie
Normes de mise en
de l’audit interne
de qualification
de l’audit interne
Définition
Définition
Normes
de fonctionnement
Glossaire
CRIPP
Figure 2.2
gations ;
– la compétence requise pour la réalisation des travaux d’audit ;
•• des normes pour la pratique professionnelle. Ces normes qui
constituent des exigences minimales sont subdivisées en « normes
de qualification » (les séries 1000) de l’audit et des auditeurs et des
« normes de fonctionnement » (les séries 2000). Elles sont le plus
souvent complétées de « normes de mise en œuvre » pour les missions
d’assurance et celles de conseil que chaque institut national, dont
l’IFACI, prodigue à ses membres ;
•• des modalités pratiques d’applications (MPAs) qui expliquent les
normes et évoluent régulièrement afin de promouvoir les meilleures
pratiques et tenir compte de l’actualité économique et réglementaire ;
29
L’environnement de l’audit
The Institut
of Internal IIA
Auditors
Union
francophone
UFAI de l’audit
CEIAI - ECIIA interne
Confédération
européenne
des instituts Institut français
IFACI
d’audit interne Figure 2.3 de l’audit et du
contrôle internes
Sur l’ensemble de ces sujets, le site internet de l’IFACI tient à jour une
base documentaire, que tout professionnel de l’audit se fera un devoir
de consulter régulièrement.
30
Chapitre 2 ■ Le positionnement de l’activité d’audit
RÉSUMÉ
31
L’environnement de l’audit
RÉSUMÉ
32
Chapitre 2 ■ Le positionnement de l’activité d’audit
•• le risk management ;
•• la qualité ;
•• la fonction émergente de « contrôle interne » récemment apparue,
suite notamment à la mise en place des dispositions propres à la loi
« Sarbanes-Oxley » ;
•• Les consultants externes « experts » en matière de contrôle interne ;
•• Les organisateurs internes spécialistes de tel ou tel domaine de gestion ;
•• enfin dans les établissements financiers, l’Inspection.
Il nous semble important de situer ces différents interlocuteurs par
rapport à l’activité d’audit interne afin, d’une part de préciser les fon-
damentaux de l’audit interne, ce qui fait sa spécificité et d’autre part
d’apporter une contribution à la clarification d’une situation qui nous
semble bien souvent confuse quant aux rôles, pouvoirs et périmètres
d’intervention de chacun.
L’audit externe
On assimile souvent l’audit externe au commissariat aux comptes
(CAC). Sa mission concerne la certification des états financiers élaborés
par l’organisation. Dans la phase intermédiaire de sa mission, dite de
contrôles intérimaires, le CAC est amené à apprécier, comme l’auditeur
interne, la qualité du système de contrôle interne. Mais deux aspects
distinguent fondamentalement leurs missions respectives. D’une part le
CAC se préoccupe de la dimension de contrôle interne principalement
© Dunod – La photocopie non autorisée est un délit
33
L’environnement de l’audit
Le contrôle de gestion
La distinction avec le contrôle de gestion (nous ne parlons pas ici du
simple contrôle budgétaire) est la plus nécessaire car ces deux fonctions
interviennent dans le même domaine, la gestion de l’entreprise et son
amélioration, en fonctionnels (analystes, conseillers, d’ailleurs de forma-
tion similaire) et non en opérationnels (responsables, décideurs), et en
34
Chapitre 2 ■ Le positionnement de l’activité d’audit
gestion.
Investigue le passé – seule Pour maîtriser l’avenir (plan),
réalité – pour trouver ce qu’on analyse pourquoi le présent
Horizon aurait pu faire de mieux et ne lui ressemble pas (écarts) :
l’appliquer à l’avenir : semble semble croire que le réel se
vouloir changer le passé ! trompe et que le plan a raison !
Découvre les moyens Élabore (mais ne décide pas)
Mode organisationnels pour atteindre les objectifs en s’appuyant
d'inter les objectifs. Valide les objectifs sur des hypothèses explicites.
vention (mode de détermination et Analyse coûts – bénéfices.
faisabilité).
Mécanicien de chaque secteur. Navigateur de l’ensemble des
Différences
secteurs.
35
L’environnement de l’audit
Le risk management
L’audit interne et le risk management se complètent parfaitement lorsque
les rôles respectifs sont bien définis, compris et admis par les deux parties.
En caricaturant on pourrait simplifier en disant : que par rapport aux
RISQUES, les uns (risk managers) en ont une vision MACRO et les
autres (auditeurs internes) la vision MICRO.
Les risk managers sont les « experts » internes du risque. Ils les identi-
fient, les classifient, les évaluent (impact/probabilité) et enfin élaborent
les traitements à prévoir « acceptation du risque, recours à l’assurance,
évolution du dispositif de maîtrise des risques »… Le risk management se
situe en amont de l’activité d’audit interne, notamment dans la contri-
bution qu’il peut apporter à l’élaboration du programme annuel d’audit
par l’établissement d’une cartographie des Risques, comme nous le ver-
rons ultérieurement.
Tableau 2.3 – Comparaison avec le risk management
Audit interne Risk management
COSO-I, COCO, « cadre de • Cadre de référence FERMA
Cadres de
référence AMF » (Federation of European Risk
référence
Management Associations)
usuels
• COSO-II
Cartographie L’exploite pour établir son En charge de l’établir
des risques programme annuel d’audit
Expert de l’identification des Expert de l’identification et
Par rapport
risques spécifiques à chaque de la quantification (impact/
au concept de
entité auditée probabilité) des risques
risque
globaux
Va sur le « terrain » et Intervient à distance et par
Mode
développe une méthodologie un réseau de correspondants
d’intervention
d’investigation détaillée
La qualité
Encore faudrait-il savoir de quelle qualité l’on parle.
S’agit-il de la démarche qualité qui s’inscrit dans le cadre du déploiement
des normes ISO 9000 (que les toutes premières versions de cette norme
appelaient l’assurance qualité) ou des approches dites « qualité totale ou
36
Chapitre 2 ■ Le positionnement de l’activité d’audit
37
L’environnement de l’audit
Sans porter de jugement trop hâtif sur « la meilleure formule » quant
à la combinaison entre l’audit interne et l’audit qualité (deux services
séparés, un seul service), une chose est certaine : ce thème mérite une
réflexion car nous sommes convaincus que des synergies sont possibles,
bénéfiques pour toute l’organisation, pour peu que les experts se rap-
prochent.
38
Chapitre 2 ■ Le positionnement de l’activité d’audit
39
L’environnement de l’audit
40
Chapitre 2 ■ Le positionnement de l’activité d’audit
41
L’environnement de l’audit
☞
Détecter et évaluer Concevoir, réaliser et
les risques et mettre en place les moyens
Objectifs dysfonctionnements, adaptés, pour le futur
en rechercher les causes, immédiat ou plus lointain
faire cesser ces causes
Compare le réel à un Analyse les méthodes et
référentiel très centré outils de travail ; analyse
sur le contrôle interne. des temps plus que des
Méthode
Orienté charges, il repère montants. Orienté flux,
plus facilement les sous- il repère plus facilement
activités les goulots
Laisse la décision et Décide et agit avec les
Responsabilité l’action aux audités. Reste intéressés. Est engagé.
indépendant.
L’inspection
Tableau 2.8 – Comparaison avec l’inspection
42
Chapitre 2 ■ Le positionnement de l’activité d’audit
43
Partie 1
L’environnement de l’audit
Chapitre 3 ■ L’organisation de l’activité d’audit
Chapitre 3
L’organisation
de l’activité d’audit
45
L’environnement de l’audit
46
Chapitre 3 ■ L’organisation de l’activité d’audit
47
L’environnement de l’audit
48
Chapitre 3 ■ L’organisation de l’activité d’audit
RÉSUMÉ
L’AI n’émet pas de commentaire sur les personnes. Ce sont les situations
et les systèmes qu’il évalue.
Les conclusions de l’AI font l’objet d’un rapport écrit :
– un projet de rapport est validé avec les seuls intéressés avant d’être
diffusé (procédure contradictoire) ;
– Les éventuels désaccords des audités sont annexés au rapport (procédure
écrite) ;
– le rapport définitif est ensuite diffusé aux responsables audités pour
action et aux directions pour information.
L’AI recommande des solutions mais ne les décide ni ne les met en place.
Ces recommandations ne déchargent en aucune façon le management de
ses responsabilités.
49
L’environnement de l’audit
50
Chapitre 3 ■ L’organisation de l’activité d’audit
51
L’environnement de l’audit
52
Chapitre 3 ■ L’organisation de l’activité d’audit
53
L’environnement de l’audit
•• et entre-temps pour d’une part organiser ces sorties (côté audit interne
cela pourra influer sur l’affectation des missions), et d’autre part pro-
téger l’audit interne des prédateurs qui confondraient pépinière, où
l’on attend que la plante soit mature, et vivier où l’on se sert : quand
les auditeurs sont bons, ils attirent les convoitises !
Quant au recrutement lui-même, il suit le processus habituel à l’entre-
prise, complété de discussions entre candidats et auditeurs pour s’assurer
que les candidats s’intégreront à l’équipe en place.
Évaluation de la technique
Productions
Qualité Célérité Précisions éventuelles
de l’auditeur
FAR ➙ ➚
54
Chapitre 3 ■ L’organisation de l’activité d’audit
Exemples
« Tes FAR (feuille d’audit et de recommandations) sont maintenant bonnes,
continue, mais tu devrais pouvoir aller plus vite, accélère ». « Tu travailles
vite, bravo, il te reste à augmenter la qualité de tes comptes rendus de tests ».
Exemples
« Réduis ton humour, cela blesse les autres » (et non : « tu es trop caus-
tique »). « Réduis tes initiatives, cela dérange le fonctionnement de… » (et
non : « tu es trop indépendant »). « Prends davantage d’initiatives, tu es
compétent » (et non : « tu es compétent mais trop passif »).
55
L’environnement de l’audit
56
Chapitre 3 ■ L’organisation de l’activité d’audit
57
L’environnement de l’audit
58
Chapitre 3 ■ L’organisation de l’activité d’audit
59
L’environnement de l’audit
60
Chapitre 3 ■ L’organisation de l’activité d’audit
On relèvera parmi les prises de position récentes sur le sujet, les élé-
ments suivants :
Évolution 2
On soulignera l'heureuse initiative de l’IFACI pour proposer des
démarches de certification permettant de mettre en œuvre les préconi-
sations des Normes 1300 et 1312 concernant l’assurance qualité.
Description : l’IFACI a en effet créé une filiale IFACI certification afin
de palier le problème de compétences et d’indépendance, sur le modèle
de l’IIA.
Cette filiale offre trois audits et contrôles :
•• la certification, qui se renouvelle tous les trois ans et permet d’obtenir
un label qualité ;
1. Sources : IIA.
61
L’environnement de l’audit
•• la revue qualité, d’une fréquence de cinq ans, délivre une opinion sur
le niveau de conformité aux normes du service d’AI ; l’approche ne
permet pas d’obtenir un « label » ;
•• la validation indépendante d’une auto-évaluation, dont la fréquence
est au minimum tous les cinq ans, se compose d’un processus détaillé
et documenté d’auto-évaluation et d’une validation sur site, indépen-
dante de cette auto-évaluation.
De plus, l’IFACI a mis à disposition sur son site internet de docu-
ments permettant une auto-évaluation, dans une démarche interne de
qualité de l’audit interne.
Intérêts : à travers ces normes, l’IFACI permet de mieux cerner et
promouvoir des moyens d’assurer la qualité des services d’AI. Elle a
aussi eu l’intelligence de développer un service externe d’évaluation des
services AI, tout en promouvant par les normes ce contrôle externe, en
ne laissant pas ces évaluations se faire par des cabinets « privés » et pas
forcement spécialiste en audit interne.
Description : évolution de la norme 1300 avec la sortie de la nouvelle
édition Quality Assessment Manual
Conformément aux nouveaux standards en vigueur le 1er janvier 2009 :
le directeur de l’audit interne doit développer et assurer une améliora-
tion continue de la qualité qui couvre tous les aspects de l’audit interne
(Standard 1300). À ce sujet un manuel est édité pour guider le directeur
de l’audit dans l’établissement de l’amélioration continue de la qualité,
pour les parties prenantes internes ou externes, utilisateurs ou évalua-
teurs.
Le Quality Assessment Manual publié le 1er janvier 2009 par « l’IIA
Research Foundation » en est à sa 6e édition et possède toutes les mises à
jour et évolutions des standards depuis la dernière version parue en 2006
(Quality Assessment Manual, 5e éd. v1.1). On y retrouve l’évaluation
externe définie par le Standard 1312 qui spécifie qu’elle doit être menée
au moins tous les 5 ans par une personne ou une équipe compétente et
externe à l’organisation.
Intérêts : l’utilisation d’un manuel à jour publié par l’IIA permet à
l’auditeur d’être informé de l’ensemble des évolutions nouvelles et de
s’assurer de la conformité de ses opérations.
62
Chapitre 3 ■ L’organisation de l’activité d’audit
63
Partie 1
L’environnement de l’audit
Chapitre 4
L’identification
des besoins d’audit
64
Chapitre 4 ■ L’identification des besoins d’audit
préoccupations :
•• la phase de décision quant à l’acceptation du risque résiduel ou la
définition et la mise en œuvre de nouveaux dispositifs de prévention,
de réduction ou de protection pour en assurer la maîtrise (assurance,
dispositifs de contrôle interne…) ;
•• la mise en place d’un système de reporting des résultats obtenus auprès
de la hiérarchie concernée.
Enfin n’oublions pas que cette approche n’a de sens que si elle s’inscrit
dans une démarche itérative. L’important n’est pas d’être exhaustif et
pertinent, « du premier coup », mais d’évoluer en permanence vers une
« toujours meilleure maîtrise des risques » de l’organisation.
65
L’environnement de l’audit
66
Chapitre 4 ■ L’identification des besoins d’audit
67
L’environnement de l’audit
68
Chapitre 4 ■ L’identification des besoins d’audit
69
L’environnement de l’audit
Disponibilité
des
auditeurs
70
Chapitre 4 ■ L’identification des besoins d’audit
© Dunod – La photocopie non autorisée est un délit
71
Partie 2
La méthodologie de l’audit
L’
objet d’une mission d’audit interne est l’étude de la maîtrise des
risques de l’activité, le processus ou l’entité qu’on audite — étude
au sens large : analyse, examen, identification des lacunes, éla-
boration de solutions (avec les audités), suivi de la mise en œuvre des
plans d’action des audités ; en bref, ce que fait le médecin généraliste
avec son patient, lorsqu’il effectue son diagnostic, réalise son pronostic
et préconise sa thérapeutique.
Une mission d’audit opérationnel peut durer de quelques jours à
quelques mois, selon l’envergure du sujet et le nombre d’auditeurs. Le
plus fréquent est de quatre à dix semaines pour une mission nouvelle
avec deux à quatre auditeurs dont un chef de mission.
Toute mission d’audit se déroule généralement en trois grandes phases :
étude, vérifications et conclusion. Les normes professionnelles parlent de
planification, accomplissement et communication. Les deux premières
phases sont approximativement de même durée quand le sujet de la mis-
sion est nouveau – la phase de conclusion est plus courte – mais quand on
dispose de programmes de travail rodés, la phase d’étude peut ne prendre
que quelques journées. D’où l’utilité de capitaliser le savoir-faire du service.
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
74
La méthodologie de l’audit
© Dunod – La photocopie non autorisée est un délit
75
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
76
La méthodologie de l’audit
© Dunod – La photocopie non autorisée est un délit
77
AUDIT INTERNE ET RÉFÉRENTIELS DE RISQUES
78
C h a p i t r e 5
79
Initialisation de la mission
La méthodologie de l’audit
80
Chapitre 5 ■ Les processus de conduite d’une mission
© Dunod – La photocopie non autorisée est un délit
81
Préparation de la mission
La méthodologie de l’audit
82
Chapitre 5 ■ Les processus de conduite d’une mission
© Dunod – La photocopie non autorisée est un délit
83
Lancement de la mission sur site
La méthodologie de l’audit
84
Chapitre 5 ■ Les processus de conduite d’une mission
© Dunod – La photocopie non autorisée est un délit
85
Conduite des vérifications
La méthodologie de l’audit
86
Chapitre 5 ■ Les processus de conduite d’une mission
© Dunod – La photocopie non autorisée est un délit
87
Rédaction des conclusions
La méthodologie de l’audit
88
Chapitre 5 ■ Les processus de conduite d’une mission
© Dunod – La photocopie non autorisée est un délit
89
Suivi de la mission
La méthodologie de l’audit
90
Chapitre 5 ■ Les processus de conduite d’une mission
© Dunod – La photocopie non autorisée est un délit
91
La méthodologie de l’audit
92
Partie 2
La méthodologie de l’audit
C h a p i t r e 6
93
La méthodologie de l’audit
94
Chapitre 6 ■ Les modalités d’application (MA)
1 Initialisation de la mission
Issu des demandes des
ORDRE de Mandate l’AI et PROGRAMME responsables, propositions
MISSION lance la mission ANNUEL de l’AI, souhaits de la DG
Vous
êtes ici
95
La méthodologie de l’audit
96
Chapitre 6 ■ Les modalités d’application (MA)
➤➤ L’examen de l’activité
Le sujet à auditer, et/ou chacune de ses parties, doit être regardé du
global au détaillé, du conceptuel au concret :
1. ses finalités et ses objectifs, y compris leur cohérence avec les poli-
tiques et la stratégie ;
© Dunod – La photocopie non autorisée est un délit
2. les responsabilités ;
3. les moyens et méthodes ;
4. le processus, les tâches réalisées ou à réaliser ;
5. les résultats, leur suivi, et leur comparaison aux objectifs.
97
La méthodologie de l’audit
Objectifs
VERS quoi ? POUR quoi ?
Responsabilités
QUI doit faire et QUAND ?
Effectifs
Moyens Méthodes Réglementation
Matériels
Instructions
Financiers AVEC QUOI faire ? COMMENT faire ?
Procdures
Syst. d’info.
Opérations :
Processus physiques,
Ce qui EST fait instellectuelles,
administratives
Résultats
Produits, prestations
ACTIONS CORRECTIVES
Bouclage
98
Chapitre 6 ■ Les modalités d’application (MA)
99
La méthodologie de l’audit
100
Chapitre 6 ■ Les modalités d’application (MA)
Toutes les prestations Aux conditions tarifaires Dans des délais brefs
en vigueur
101
La méthodologie de l’audit
1 Initialisation de la mission
Issu des demandes des
ORDRE de Mandate l’AI et PROGRAMME responsables, propositions
MISSION lance la mission ANNUEL de l’AI, souhaits de la DG
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
Vous
êtes ici
102
Chapitre 6 ■ Les modalités d’application (MA)
aspect/étape objets à
du processus contrôler
audité est
sous contrôle
et maîtrisé »
1 2 3 4 5
Un risque (scénario d’empêchement) = 1 ligne (souvent plusieurs lignes pour un objectif )
103
La méthodologie de l’audit
104
Chapitre 6 ■ Les modalités d’application (MA)
105
La méthodologie de l’audit
106
Chapitre 6 ■ Les modalités d’application (MA)
107
La méthodologie de l’audit
108
Chapitre 6 ■ Les modalités d’application (MA)
les défaillances des points de contrôle. Elles seront souvent la source des
recommandations.
On a maintenant terminé la partie difficile d’une mission d’audit
interne : on a déterminé les « objets auditables » et constitué le référentiel
d’audit.
Ceci permettra à l’auditeur d’observer, constater les pratiques ou
caractéristiques réelles et les comparer au référentiel (caractéristiques
souhaitées).
109
La méthodologie de l’audit
110
Chapitre 6 ■ Les modalités d’application (MA)
La réunion d’ouverture
(ou d’installation de l’équipe)
1 Initialisation de la mission
Issu des demandes des
ORDRE de Mandate l’AI et PROGRAMME responsables, propositions
MISSION lance la mission ANNUEL de l’AI, souhaits de la DG
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
ou « d’installation de l’équipe ».
Son contenu :
•• présenter les auditeurs, se faire présenter les responsables audités et
l’activité ;
•• clarifier le rôle de la fonction audit interne et son objectif, et décrire
la place du Service dans l’entreprise (à moins que cela soit déjà bien
connu des interlocuteurs pour avoir été fait récemment) ;
•• expliquer les circonstances de la mission, pourquoi ici et maintenant ;
c’est un point psychologiquement très important. Il s’agit de dissiper
les fantasmes de culpabilité qu’entraîne la venue de l’audit ;
111
La méthodologie de l’audit
Participants
• Le chef de mission + éventuellement le responsable de l’audit interne
• Les auditeurs
• Le « directeur des audités »
• Les chefs des services audités
112
Chapitre 6 ■ Les modalités d’application (MA)
1 Initialisation de la mission
Issu des demandes des
ORDRE de Mandate l’AI et PROGRAMME responsables, propositions
MISSION lance la mission ANNUEL de l’AI, souhaits de la DG
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
113
La méthodologie de l’audit
114
Chapitre 6 ■ Les modalités d’application (MA)
Le rapport d’orientation
À la fin de la phase d’étude de la mission et juste avant que ne démarre la
phase de vérification de l’audit, un document synthétique présente dans
un rapport d’orientation « R d’O », les objectifs poursuivis et zones de
risques que les auditeurs vont examiner. Il délimite ainsi précisément le
champ de l’intervention. Il est à noter que la direction de l’audit pourra
à ce stade proposer de ne pas continuer la mission, si en fin d’étude
préliminaire, l’enjeu ne s’avérait pas réel.
Nous recommandons de l'envoyer au demandeur de la mission pour
avis puis de la présenter aux audités pour information. Il est donc formulé
dans leur langage.
Il est une formulation et une précision de l’ordre de mission (on
passe d’ailleurs d’une demi-page à deux pages), et certains l’appellent
« recadrage ».
pour le client et rédigé en faisant abstraction des travaux d’audit qu’il implique.
Il est bref : de 1 à 3 pages.
• Pour être un « contrat » auditeur/audités (et demandeur) : utiliser des mots-clés.
115
La méthodologie de l’audit
116
Chapitre 6 ■ Les modalités d’application (MA)
Le programme de vérification
1 Initialisation de la mission
Issu des demandes des
ORDRE de Mandate l’AI et PROGRAMME responsables, propositions
MISSION lance la mission ANNUEL de l’AI, souhaits de la DG
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
117
La méthodologie de l’audit
118
Chapitre 6 ■ Les modalités d’application (MA)
1 Initialisation de la mission
Issu des demandes des
Mandate l’AI et PROGRAMME responsables, propositions
ORDRE de
lance la mission ANNUEL de l’AI, souhaits de la DG
MISSION
Préparation Identification
2 TABLEAU des RISQUES « théoriques »
de la mission DES RISQUES du processus audité
4 Conduite des
Papiers de travail, Travail de recherche
vérifications
feuilles de couverture et d’analyse sur le terrain
Vous
et FAR
êtes ici
© Dunod – La photocopie non autorisée est un délit
119
La méthodologie de l’audit
120
Chapitre 6 ■ Les modalités d’application (MA)
MODALITÉS D’EXÉCUTION
• Déterminer 3 périodes dans le dernier mois écoulé (début, milieu
et fin de mois) correspondant à la colonne 1 sur la feuille de test.
• Se référer au bordereau manuel envoyé par U. à V., décomposer
les soldes à partir des justificatifs joints au bordereau et déterminer
le nombre de règlements globaux (colonne 3).
• Relever la date sur le listing V. (colonne 2).
• Vérifier sur le listing que les montants enregistrés en n + 1 corres-
pondent aux nombres de règlements globaux envoyés par U. en n
(en fait compter le nombre de code 22 sur le listing (colonne 4)).
• Vérifier sur écran que les règlements non repérés sur le listing ont
été résolus dans la journée (colonne 5).
• Totaliser et déterminer les pourcentages du nombre de montants
enregistrés/non enregistrés.
Amont
121
La méthodologie de l’audit
122
Chapitre 6 ■ Les modalités d’application (MA)
La fiche d’audit
et de recommandations
1 Initialisation de la mission
Issu des demandes des
Mandate l’AI et PROGRAMME responsables, propositions
ORDRE de
lance la mission ANNUEL de l’AI, souhaits de la DG
MISSION
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
4 Conduite des
Papiers de travail, Travail de recherche
vérifications
feuilles de couverture et d’analyse sur le terrain
et FAR
Vous
êtes ici
123
La méthodologie de l’audit
Point d’audit
Trouvaille (finding)
Constat
Existant
124
Chapitre 6 ■ Les modalités d’application (MA)
Papier de travail :
Problème :
Constats :
Causes :
Conséquences :
Solution proposée :
125
La méthodologie de l’audit
126
Chapitre 6 ■ Les modalités d’application (MA)
127
La méthodologie de l’audit
Fiche d’audit et
de recommandation
On procède ainsi, section par section, avec des FAR validées au fur
et à mesure avec les audités, et référencées (la mission et le numéro de
la FAR, les papiers de travail qui l’étayent, son émetteur, l’approbation
par le chef de mission, la personne avec qui on l’a validée). Le pilotage
de la mission est grandement facilité.
La synthèse de la mission est grandement facilitée aussi : chaque pro-
blème est la synthèse d’une trouvaille, et il suffit de trier les problèmes
dans un ordre intéressant pour produire « l’extrait sec » de la mission :
l’ossature du rapport (prochain paragraphe).
L’émission du projet de rapport est aussi radicalement accélérée.
Si les FAR sont sur traitement de texte, on constitue, par quelques
modifications simples et rapides (24 à 48 heures), l’ossature du rapport
et le corps du rapport sans rédaction nouvelle (et ultérieurement les
formulaires de recommandation/réponse) : on débarrasse les FAR de
leurs mentions administratives, on les trie dans l’ordre de l’ossature, on
rajoute les titres des chapitres.
128
Chapitre 6 ■ Les modalités d’application (MA)
Constats :
Les copies de sécurité des fichiers de données ainsi que les sauvegardes de travaux
mensuels ne sont pas faites systématiquement.
En ce qui concerne les fichiers de données, il y a eu mélange dans les « générations »
de copies de sécurité. Il est prévu de sauvegarder périodiquement et alternativement
sur les disquettes 1 et 2, mais des inversions ont eu lieu.
Causes :
Il n’existe pas de procédure formalisée décrivant les sauvegardes périodiques et les
opérations à effectuer.
Conséquences :
Il n’est pas possible d’éditer le grand-livre avec la totalité des écritures de l’année
(perte des écritures de février).
En cas de reprise après incident, la société risque de ne pas avoir la dernière « génération »
de données, mais une version plus ancienne, ce qui implique une reprise laborieuse.
Chaque FAR est « traduite » en : il existe (tel Problème) qui se manifeste
par tels incidents et telles anomalies qui ont été constatées (les Constats),
l’origine en est (Causes), et cela a comme impact certain, probable ou
possible (Conséquences), cela nécessite (Recommandations).
129
La méthodologie de l’audit
L’ossature du rapport
L’ossature du rapport « OR » est l’enchaînement des messages que l’au-
dit interne veut délivrer dans le rapport concluant la mission ; elle est
élaborée à partir des « problèmes » figurant sur les FAR (et des conclu-
sions figurant sur les feuilles de couverture).
C’est un petit travail : au cours d’une réunion de synthèse interne à
l’équipe des auditeurs, on reprend les énoncés de « problèmes » figurant
en haut de chaque FAR, on les classe dans un ordre qui semble intéres-
sant – par thème, par ordre d’importance – et on rajoute les titres de
regroupements sous lesquels ils apparaîtront dans le rapport.
On suivait en effet, jusqu’ici, une logique de questionnement : celle du
rapport d’orientation et du programme de vérifications. Certaines ques-
tions ont donné des réponses sans grand intérêt, d’autres des réponses
très riches. Il faut maintenant pivoter vers une logique de présentation,
de points à faire passer (sauf quand on s’impose un plan standard pour
effectuer de temps à autre des comparaisons entre unités ou de la même
unité dans le temps, sur un thème donné).
Attention : réordonner les points aboutit parfois à fusionner deux
FAR pour faire de deux points secondaires un point important (ou à
éclater pour clarifier) : c’est une autre raison pour ne pas faire signer les
FAR quand on les valide ; il faut pouvoir évoluer.
C’est un travail nécessaire : il faut se forcer à prendre du recul et
organiser la réflexion et le discours de l’équipe d’audit avant de rendre
compte des travaux et conclusions aux principaux responsables audités,
au demandeur et à la direction. Ceci se fait en concertation avec le Res-
ponsable de l’audit interne et le superviseur.
Attention : le produit de ce petit travail, l’ossature du rapport, est
explosif. C’est, et ce n’est qu’une liste de problèmes formulés de manière
percutante, qui tient en général sur une page. C’est une page centrée sur
les seules faiblesses. Cela ne doit pas sortir du service d’audit interne,
sauf sous la forme d’un transparent que l’on projette (mais dont on ne
laisse pas de copies) et autour duquel on parle, en nuançant les critiques,
en les replaçant dans leur contexte, et en citant les points positifs.
L’ossature du rapport peut donc ainsi servir de support de présenta-
tion, mais pas de table des matières du rapport : elle risquerait d’être
130
Chapitre 6 ■ Les modalités d’application (MA)
1 Initialisation de la mission
Issu des demandes des
Mandate l’AI et PROGRAMME responsables, propositions
ORDRE de
lance la mission ANNUEL de l’AI, souhaits de la DG
MISSION
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
4 Conduite des
Papiers de travail, Travail de recherche
vérifications
feuilles de couverture et d’analyse sur le terrain
et FAR
© Dunod – La photocopie non autorisée est un délit
5
OSSATURE Regroupement et mise
Vous
Rédaction DU RAPPORT en ordre des problèmes
êtes ici
des
conclusions RÉUNION DE VALI-
et validation PROJET DE RAPPORT
DATION vaut OK
aux seuls audités
sur constats, déductions
et formulation
RAPPORT DÉFINITIF
Directions hiérarchiques,
y compris recommandations
fonctionnelles, générale
131
La méthodologie de l’audit
132
Chapitre 6 ■ Les modalités d’application (MA)
133
La méthodologie de l’audit
•• cas n° 3 : un retour sur le terrain pour validation n’est pas nécessaire
car durant le compte rendu final sur site, auditeurs et audités ont
balayé tous les points de conclusion de la mission avec validation de
chacun d’eux. Les auditeurs élaborent leur projet de rapport d’audit
et l’envoient aux audités pour accord ;
•• cas n° 4 : un retour sur le terrain pour validation n’est pas possible
mais serait nécessaire car le compte rendu final sur site n’a pas permis
de dissiper toutes les zones d’ombre, ambiguïtés, litiges entre audi-
teurs et audités.
Tableau 6.8 – Phases de conclusion d’une mission d’audit interne
Ajuster et
officialiser Rapport définitif
« On ne
« On ne retournera retournera pas
pas sur le terrain, on Le projet de sur le terrain
n’a pas droit à rapport d’audit mais on s’est mis « On ne s’est
l’erreur. Il faut doit éclaircir d’accord » donc pas mis d’accord
absolument se mettre toutes les zones s « Il suffit que le avant de se
Commen- d’accord avec les d’ombre non projet de quitter et on n’a
taires audités surtous les résolues durant rapport traduise pas l’occasion
constats et toutes les le compte rendu fidèlement les d’en reparler si
recommandations final sur site conclusions ce n’est à
attachées » du compte rendu distance »
final sur site » ATTENTION
134
Chapitre 6 ■ Les modalités d’application (MA)
1 Initialisation de la mission
Issu des demandes des
Mandate l’AI et PROGRAMME responsables, propositions
ORDRE de
lance la mission ANNUEL de l’AI, souhaits de la DG
MISSION
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
4 Conduite des
Papiers de travail, Travail de recherche
vérifications
feuilles de couverture et d’analyse sur le terrain
et FAR
© Dunod – La photocopie non autorisée est un délit
135
La méthodologie de l’audit
136
Chapitre 6 ■ Les modalités d’application (MA)
La réunion de validation
Une « réunion de validation » est tenue entre audités et auditeurs, et si
nécessaire en présence du commanditaire. Cette réunion a pour objet de
recueillir l’avis des audités sur les constats, raisonnements et conclusions
de façon à rendre le rapport incontestable.
Il est prévu en introduction à cette réunion de rappeler les objec-
tifs couverts par l’audit, les personnes rencontrées et sites audités puis
d’identifier pour information les points jugés sous contrôle relevés à
l’issue de l’analyse des risques ou à l’issue des travaux de vérification.
Ces points « forts » seront soulignés dans la note de synthèse présente
au sein du rapport définitif.
Dans le cas exceptionnel de désaccord persistant sur la formulation
d’un problème ou la pertinence d’une recommandation, les commen-
taires écrits des responsables audités confirmés par leur hiérarchie sont
annexés au cahier des recommandations.
Les recommandations majeures sont confirmées et validées, le délai
de leur mise en œuvre est proposé. Les destinataires de ces recomman-
dations sont désignés et chargés de fournir le plan d’actions détaillé.
La réunion de validation vaut accord pour le rapport définitif. La
position des audités est enregistrée. Au terme de la réunion de validation,
il n’y a plus lieu de commenter mais d’agir.
137
La méthodologie de l’audit
☞
En cas de désaccord persistant :
1) maintenir son opinion : indépendance ;
2) mentionner dans le rapport (et insérer le texte de l’audité, approuvé par sa
hiérarchie) : objectivité.
Rapport définitif
Le « rapport définitif » se compose d’une part d’une synthèse de trois
pages maximum destinée à être lue par les dirigeants, et d’autre part
des fiches examinées lors de la réunion de validation et d’une liste des
recommandations classées par destinataire précisant la position des audi-
tés et constituant de fait leur première réponse à l’audit.
Il est envoyé aux responsables audités en charge de mettre en œuvre
les plans d’action, aux chefs de branche, à leur référent membre du
comité exécutif ainsi qu’au président. Il est à noter que le commanditaire
initial de la mission fait également nécessairement partie de cette liste
de destinataires.
Le rapport d’audit matérialise le travail des auditeurs. Il est recommandé à
ses destinataires de ne pas étendre sa diffusion car il contient des informations
confidentielles et son style peut surprendre un lecteur non averti.
Un rapport d’audit n’est pas neutre : il analyse une situation, mais met
prioritairement l’accent sur les dysfonctionnements, pour faire dévelop-
per des actions de progrès, sans omettre d’évoquer les points forts.
Il contient des recommandations. Une recommandation n’est pas une
critique, elle n’implique pas de faute : c’est une amélioration proposée
au responsable habilité à mener l’action. Il est en charge de développer
et mettre en place une solution au problème soulevé : celle qui a été
proposée ou une meilleure.
Après lecture, le président peut inscrire l’examen du rapport à l’ordre
du jour d’un comité exécutif ou d’une réunion thématique avec, dans
ce cas, la présence des responsables audités et des auditeurs.
Seuls le commanditaire et le président peuvent décider d’une diffu-
sion plus large du rapport. Le président est la seule personne à pouvoir
autoriser la communication d’un rapport d’audit à l’extérieur de l’entre-
prise. Toute demande dans ce sens doit donc lui être soumise.
138
Chapitre 6 ■ Les modalités d’application (MA)
• CONCIS (court ?) : qui va droit au fait, évite les détails. Le minimum de mots
possible.
• UTILE : constructif, aidant à la réflexion, riche en améliorations… et émis dans
un délai permettant d’agir efficacement.
Comité de lecture
Aucun rédacteur ne peut être son propre relecteur : effet produit = effet désiré ?
Présentation
Standardiser pour aider les lecteurs et renforcer l’image de l’audit interne.
Diffusion
Réfléchie et restreinte, parfois partielle.
139
La méthodologie de l’audit
140
Chapitre 6 ■ Les modalités d’application (MA)
Adressée
Affirmative
Engageant à l’action
141
La méthodologie de l’audit
142
Chapitre 6 ■ Les modalités d’application (MA)
L’état des actions de progrès (EAP) dans sa première version est éta-
bli sur la base du cahier des recommandations transmis à l’audité sous
forme informatisée dans laquelle il communique son plan d’actions. Il
fera l’objet d’une actualisation périodique (EAP1, EAP2…).
Les statistiques (nombre de recommandations émises – nombre de
recommandations acceptées – nombre de recommandations en place)
sont à saisir dans le tableau de reporting ; les taux de recommandations
acceptées et de recommandations en place seront calculés automatique-
ment au moment de la saisie des nombres précités.
Des suivis intermédiaires sont à programmer en intermission. Ceci
peut supposer d’exploiter les réponses des audités à distance ou d’inter-
venir sur place pour apprécier le plan d’action.
Postérieurement à la réception des plans d’action des questionnaires
ouverts sont adressés aux prescripteurs de missions et aux responsables
audités.
Ils s’inscrivent dans une démarche qualité d’amélioration continue
du processus d’audit et visent à mesurer l’apport global de la mission
d’audit. Ils permettent d’alimenter un retour d’expérience interne.
En général, les critères de mesure de la performance du service d’audit
sont dans l’ordre les taux de mise œuvre des recommandations, de réa-
lisation du plan d’audit, d’acceptation des recommandations et le délai
moyen de sortie du rapport.
143
La méthodologie de l’audit
1 Initialisation de la mission
Issu des demandes des
Mandate l’AI et PROGRAMME responsables, propositions
ORDRE de
lance la mission ANNUEL de l’AI, souhaits de la DG
MISSION
Préparation Identification
2 TABLEAU
de la mission des RISQUES « théoriques »
DES RISQUES
du processus audité
4 Conduite des
Papiers de travail, Travail de recherche
vérifications
feuilles de couverture et d’analyse sur le terrain
et FAR
5 Rédaction
OSSATURE Regroupement et mise
des conclusions en ordre des problèmes
DU RAPPORT
et validation
RÉUNION DE VALI-
PROJET DE RAPPORT
DATION vaut OK
aux seuls audités
sur constats, déductions
et formulation
RAPPORT DÉFINITIF Directions hiérarchiques,
y compris recommandations fonctionnelles, générale
144
Chapitre 6 ■ Les modalités d’application (MA)
145
Partie 2
La méthodologie de l’audit
Chapitre 7
146
Chapitre 7 ■ Les documents associés (DA)
147
La méthodologie de l’audit
148
© Dunod – La photocopie non autorisée est un délit
« Être sûr que telle Scénarios de risques : Points de passage obligés, Poids des conséquences : Critères de satisfaction :
finalité de l’entreprise que peut-il se passer ? concrets, observables : • ¥ € $ objets auditables :
sera atteinte, que tel objets à contrôler : • image, éthique… • Adoptées
aspect/étape du processus • Exhaustivité • adaptées
audité est sous contrôle, • exactitude • Disponibles
149
maîtrisé. » • Autorisation • Performantes
• Délai
• Suivi/effet attendu
Rapport d’orientation
Le rapport d’orientation définit et formalise les axes d’investigation de la
mission et ses limites : il les exprime en objectifs à atteindre par l’audit
pour le demandeur et les audités.
AUDIT DE :
Caractéristiques
150
Chapitre 7 ■ Les documents associés (DA)
Premier thème :
Premier objectif
Second objectif
Nième objectif
Deuxième thème :
Premier objectif
Second objectif
Nième objectif
Troisième thème :
Premier objectif
© Dunod – La photocopie non autorisée est un délit
Second objectif
Nième objectif
Quatrième thème :
Premier objectif
Second objectif
Nième objectif
151
La méthodologie de l’audit
Programme de vérification
Le programme de vérifications est la « gamme de fabrication » à mettre
en œuvre pour atteindre les objectifs du rapport d’orientation.
C’est un document interne au service d’audit interne, destiné à défi-
nir, répartir, planifier et suivre les travaux des auditeurs par le biais des
feuilles de couverture.
AUDIT DE :
Chef de mission :
Auditeur 1 :
Auditeur 2 :
Auditeur 3 :
Auditeur 4 :
152
Chapitre 7 ■ Les documents associés (DA)
Tâche 2
Tâche 3
Tâche 4
Tâche 5
Objectif 2
(cf. Objectif 1 du rapport d’orientation)
Tâche 1
© Dunod – La photocopie non autorisée est un délit
Tâche 2
Tâche 3
Tâche 4
Tâche 5
Objectif 3
(cf. Objectif 1 du rapport d’orientation)
Tâche 1 : décrire
153
Budget – planning
Audit de : Sujet / Nom société / Date
Mois 1 Mois 2 Mois 3
S1 S2 S3 S4 S5 S6 S7 S8 S9 S10
j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5 j1 j2 j3 j4 j5
Objectif 1
Tâche 1
Tâche 2
Tâche 3
Tâche n
Objectif 2
Tâche 1
Tâche 2
Tâche 3
154
Tâche n
Objectif 3
Tâche 1
Tâche 2
Tâche 3
La méthodologie de l’audit
Tâche n
Objectif 4
Tâche 1
Tâche 2
Tâche 3
Tâche n
Le Budget - Planning se présente sous la forme d’un diagramme de GANT. Il permet au chef de mission de répartir les tâches rattachées à chaque
objectif du rapport d’orientation entre chaque auditeur durant une mission.
Auditeur 1 Auditeur 2 Auditeur 3
Chapitre 7 ■ Les documents associés (DA)
• Modalités d’exécution
• Résultats
• Plan de l’entretien
(éventuellement détaillé page suivante)
155
La méthodologie de l’audit
Constats :
Causes :
Conséquences :
Recommandation :
N° (de la recommandation) :
Le responsable (préciser fonction) devrait Action (verbe à l’infinitif )
156
Chapitre 7 ■ Les documents associés (DA)
problèmes.
Après validation des constats et recommandations, le rapport sera diffusé confor-
mément au processus de fin d’audit décrit.
Prénom NOM
Le directeur de l’audit
Copie :
157
La méthodologie de l’audit
Rapport d’audit
Prénom NOM
Le directeur de l’audit
Copie :
158
Chapitre 7 ■ Les documents associés (DA)
Date d’envoi
RAPPORT D’AUDIT
TITRE DE LA MISSION
PÉRIODE D’INTERVENTION :
Équipe d’audit
© Dunod – La photocopie non autorisée est un délit
Réunion de validation
Participants
Date
Nom Prénom Fonction
159
La méthodologie de l’audit
Rédaction – validation
Chef de mission Responsable de l’audit Responsable des audités
Date Visa Date Visa Date Visa
Diffusion
SOMMAIRE
1. Synthèse
2. Introduction descriptive
A) Champ de l’audit
B) Déroulement de la mission
C) Rappel des objectifs de la mission
D) Éléments identifiés lors de la phase d’étude
3. Fiches d’audit et de recommandations
N° 1 – Titre
N° 2 – Titre
N° 3 – Titre
4. Synthèse et hiérarchisation des recommandations
5. Suivi des recommandations
6. Annexes
160
Chapitre 7 ■ Les documents associés (DA)
1. Synthèse
2. Introduction descriptive
A) Champ de l’audit
Durant la période de JJ Mois Année à JJ Mois Année,
nous avons effectué un audit interne à l’entité X,
Localisation, Région. Un plan d’actions concernant
la mise en recommandations est joint en annexe au
présent rapport.
Xxx Xxx
Xxx Xxx
Xxx Xxx
Xxx Xxx
B) Déroulement de la mission
© Dunod – La photocopie non autorisée est un délit
161
La méthodologie de l’audit
3. Fiches d’audit
et de recommandations
N° 1 – Titre
Constat :
Cause :
Conséquences :
Recommandations :
4. Synthèse et hiérarchisation
des recommandations
R1
R2
R3
Rn
162
Chapitre 7 ■ Les documents associés (DA)
R1
R2
R3
Rn
163
La méthodologie de l’audit
164
Chapitre 7 ■ Les documents associés (DA)
Chef de mission :
Auditeur 1 :
Auditeur 2 :
© Dunod – La photocopie non autorisée est un délit
Auditeur 3 :
Auditeur 4 :
165
Rappel des éléments de recommandations issus du rapport d’audit Suivi du plan d’action
publié le (JJ/MM/AA) au (JJ/MM/AA)
Numéro et Responsable Date Recommanda- Date mise Recomman- Avis de Recom Date
descriptif de de la mise de réponse tion acceptée en place dation refusée la direction mandation mise en place
la recomman- en œuvre des audités (précision) prévue (motif évoqué) de l’audit sur en place Oui/ réalisée
dation les actions Non
proposées
166
La méthodologie de l’audit
attitude professionnelle :
capacité de travail sous pression :
Cœur : adaptabilité :
créativité :
qualité relationnelle :
maturité :
Main : implication personnelle :
prise d’initiative :
sens du management :
capacité de réalisation :
Jambes : dynamisme :
mobilité :
connaissances du groupe :
☞
167
La méthodologie de l’audit
☞
Principales compétences du collaborateur :
Date de l’entretien :
Réalisé par :
168
Chapitre 7 ■ Les documents associés (DA)
☞
Indiquez par un signe l’appréciation portée : ➚ à améliorer ➙ maintenir
Direction : diriger la phase d’étude :
planifier et répartir le travail terrain :
assurer son avancement section par section :
organiser l’achèvement de la mission :
méthode et sens de l’organisation :
Expertise : connaissances et application des techniques d’audit :
connaissances et application des référentiels d’entreprises :
caractère complet et explicite des objectifs,
conclusions et explications :
qualité de la synthèse du rapport :
Encadrement : faire appliquer la méthodologie et contrôler
la qualité du travail :
garantir le renseignement de la base mission :
animer l’équipe, former et évaluer les auditeurs :
capacité à faire travailler sous pression :
Représen aptitude à communiquer les problèmes
tation : de façon sélective et rapide :
attitude professionnelle :
capacité de discussion des rapports :
qualité relationnelle :
maturité :
Performances : implication personnelle :
prise d’initiative :
sens du management :
dynamisme
© Dunod – La photocopie non autorisée est un délit
Date de l’entretien :
Réalisé par :
169
La méthodologie de l’audit
AUDIT DE :
OBJECTIF
L’évaluation des missions par les fonctions auditées s’inscrit dans une démarche
qualité d’amélioration continue du processus de l’audit :
• entretenir le dialogue avec les audités ;
• mesurer l’apport global de la mission d’audit ;
• améliorer les méthodes d’audit ;
• apprécier le comportement des auditeurs.
DÉLAI
Le questionnaire est adressé après obtention du premier plan d’action reçu des
audités.
Merci de bien vouloir nous faire parvenir vos remarques sous huitaine.
Pourquoi –
Liste des questions Oui Non
comment ?
Lancement de la mission
1 Lettre de mission : avez-vous été informé de la
mission dans des délais satisfaisants (sinon quel
délai vous semble souhaitable) ?
☞
170
Chapitre 7 ■ Les documents associés (DA)
☞
Pourquoi –
Liste des questions Oui Non
comment ?
2 Les auditeurs vous ont-ils expliqué le rôle et
l’activité de la Direction de l’audit ?
3 Vous ont-ils expliqué les objectifs de la mission ?
4 Aviez-vous formulé des demandes
complémentaires qui n’ont pas été prises en
compte et si oui, lesquelles ?
5 Vous ont-ils expliqué comment la mission allait
se dérouler, ce qu’ils allaient faire et ce que vous
auriez à faire ?
6 Ces présentations vous ont-elles semblé utiles ?
Déroulement de la mission
7 Le déroulement des interviews et des tests vous
ont-ils paru satisfaisants (sinon pourquoi) ?
8 Les auditeurs avaient-ils une bonne connaissance
des caractéristiques de votre unité ou de la
fonction auditée ?
9 Les conclusions de la phase d’étude —
analyse rapide de votre organisation et de son
fonctionnement, détermination des points forts
et des points faibles apparents — vous ont-elles
été présentées (cf. rapport d’orientation) ?
10 Les informations recueillies et les vérifications
effectuées ont-elles été traitées de manière
© Dunod – La photocopie non autorisée est un délit
convaincante ?
11 Les audités ont-ils été informés en cours de
mission des points relevés par les auditeurs ?
12 Les audités ont-ils pu exprimer leur position et
leurs arguments sur les constats des auditeurs ?
13 Les audités ont-ils été associés à la recherche de
solutions ?
14 La mission s’est-elle déroulée sans trop perturber
le fonctionnement des services audités (sinon
pourquoi) ?
Avez-vous des suggestions à émettre quant au
15
comportement des auditeurs ?
☞
171
La méthodologie de l’audit
☞
Pourquoi –
Liste des questions Oui Non
comment ?
Conclusion de la mission
Avez-vous eu une restitution orale des
16 principaux constats relevés par l’audit, juste
avant le départ ?
Avez-vous pu vous prononcer sur le projet de
17
rapport avant l’émission du rapport définitif ?
Vos éventuelles divergences ont-elles été
18 prises en compte dans le rapport définitif
(modification ou annotation) ?
Le délai d’émission du projet de rapport est-il
19 satisfaisant (sinon quel délai vous semble-t-il
souhaitable) ?
Le délai annoncé d’émission du rapport définitif
20
a-t-il été respecté ?
Les recommandations sont-elles pertinentes
21
(sinon précisez) ?
La forme des rapports vous semble-t-elle efficace
22
(structure, présentation, longueur) ?
La mission vous a-t-elle apporté une meilleure
23 connaissance des pratiques en vigueur dans votre
entité ?
Une meilleure connaissance des dispositifs de
24
contrôle ?
25 Vous a-t-elle révélé des problèmes significatifs ?
A-t-elle confirmé des difficultés en les cernant
26 avec suffisamment de précision pour vous
permettre d’agir ?
Commentaires sur l’apport global de la mission d’audit interne :
172
Partie 3
P
armi les techniques d’audit les plus utilisées et sans que cela constitue
une présentation exhaustive, nous avons identifié onze pratiques,
outils à la disposition de l’auditeur :
•• l’analyse économique et financière ;
•• les volumes et types de transactions ;
•• les observations physiques ;
•• les diagrammes de circulation des documents (flow chart) ;
•• les interviews ;
•• la grille de séparation des tâches ;
•• les questionnaires (QCM et QO) ;
•• la piste d’audit ;
•• les rapprochements et reconstitutions ;
•• l’interrogation des fichiers informatiques ;
•• les sondages statistiques.
Pour chacun de ces outils une première fiche standardisée répondra
aux questions suivantes :
•• à quoi ça sert ?
•• quand l’utilise-t-on ?
•• comment l’utilise-t-on et qui l’utilise ?
•• les avantages/inconvénients, limites de l’outil.
175
Les outils de l’audit
À quoi ça sert ?
L’analyse économique et financière est un ensemble de travaux prélimi-
naires d’analyse sur les données chiffrées (principalement monétaires)
de la fonction ou entité auditée, qui permet de :
•• situer l’entité auditée et comprendre son évolution et son contexte ;
•• situer l’importance du sujet demandé par le commanditaire à l’audit
(enjeux et rôle stratégique pour l’organisation de tutelle) ;
•• situer les ordres de grandeur, connaître les chiffres significatifs, déter-
miner les seuils de matérialité.
Elle peut permettre de détecter certains risques globaux : ratios finan-
ciers et/ou évolutions préoccupantes.
Quand l’utilise-t-on ?
L’analyse économique et financière est une technique utilisée en phase
d’étude (initialisation de la mission et examen de l’activité et élaboration
d’un référentiel de risques).
176
Chapitre 8 ■ Les techniques d’audit (TA)
177
Les outils de l’audit
Quand l’utilise-t-on ?
Comme pour l’analyse économique et financière, l’approche « Volumes
et types de transactions » est utilisée en phase d’étude (initialisation
de la mission et examen de l’activité et élaboration d’un référentiel de
risques).
178
Chapitre 8 ■ Les techniques d’audit (TA)
Quand l’utilise-t-on ?
© Dunod – La photocopie non autorisée est un délit
179
Les outils de l’audit
180
Chapitre 8 ■ Les techniques d’audit (TA)
Quand l’utilise-t-on ?
L’auditeur utilise cet outil lors de la prise de connaissance du domaine
audité (phase de lancement de la mission sur site). À ce niveau de la
181
Les outils de l’audit
182
Chapitre 8 ■ Les techniques d’audit (TA)
Listing informatique.
183
Les outils de l’audit
☞
2. Les flux et autres indications (suite)
Sortie physique d’un document de
l’organisation. Destination à préciser.
Destruction du document.
184
Chapitre 8 ■ Les techniques d’audit (TA)
Les interviews
À quoi ça sert ?
L’interview est plus qu’un entretien, elle permet à l’auditeur d’appréhen-
der les différents processus de l’organisation en posant des questions aux
personnes impliquées dans le domaine audité. Il peut ainsi recueillir de
l’information afin de comprendre, pour chaque opération réalisée : les
objectifs poursuivis, la nature des tâches exécutées, les documents uti-
lisés, les difficultés rencontrées et ainsi identifier les risques potentiels.
Elle apportera une plus-value à la collecte des informations factuelles en
termes d’éléments d’analyse et de jugement. L’interview pourra servir
aussi dans certains cas pour délimiter le champ et les objectifs.
Quand l’utilise-t-on ?
Éventuellement lors de la phase d’initialisation de la mission d’audit
afin d’établir le projet d’ordre de mission : il s’agit de se faire préciser,
si nécessaire, dans le cadre d’entretiens avec les commanditaires leurs
attentes et préoccupations particulières.
Lors de la phase de lancement de la mission sur site afin de com-
prendre le domaine audité et d’identifier les faiblesses potentielles de
contrôle interne.
© Dunod – La photocopie non autorisée est un délit
➤➤ Avant
Préparer sa thématique en établissant un guide ou canevas d’entretien
(thèmes à aborder, documents à récupérer, points à détailler au regard
des préoccupations du commanditaire de la mission…)
185
Les outils de l’audit
➤➤ Pendant
Maîtriser le déroulement de l’entretien n’est pas chose facile. Il faut
tout à la fois : poser des questions en gardant le fil conducteur du guide
préalablement établi, noter les réponses et remarques des audités, récu-
pérer les documents complémentaires tout en conservant l’attention de
l’interviewé afin qu’il ne s’égare pas dans de futiles considérations, des
discours dithyrambiques ou encore ne s’épanche pas trop sur ces « états
d’âme » (éviter le cahier de doléance).
Cet exercice est par ailleurs à réaliser avec un souci de l’exhaustivité et
du détail des informations recueillies et dans un temps imparti. Si l’on
n’a pas couvert l’ensemble des points prévus à l’ordre du jour, on ne
pourra pas nécessaire reprogrammé un second rendez-vous.
➤➤ Après
Exercice fastidieux et obscur mais absolument nécessaire, le compte
rendu d’entretien. Même si à titre personnel l’auditeur « qui pense avoir
tout dans sa tête » n’en voit pas toujours l’intérêt, c’est indispensable.
Une mission d’audit est un travail d’équipe. À moins que l’équipe com-
plète participe ensemble à toutes les interviews (irréaliste compte tenu
de la contrainte de temps), les comptes rendus écrits servent à partager
l’information au sein de l’équipe. Par « un entretien c’est bien, trois
entretiens bonjour les dégâts » Même très professionnel et expérimenté,
l’enchaînement de plusieurs entretiens ne permet pas de se rappeler de
tout. La formalisation est une garantie de ne rien oublier.
186
Chapitre 8 ■ Les techniques d’audit (TA)
Au début – Se présenter
– Rappeler les objectifs, thèmes, documents demandés
– Organiser le temps
Au niveau du relationnel :
– Prise de parole, temps de réflexion/d’analyse
– Comprendre, éliminer particularités
embrouillantes
– Identifier objectifs cachés (réponses évasives,
à côté …
En fin
© Dunod – La photocopie non autorisée est un délit
APRÈS
– Établir le compte rendu dans les plus brefs délais
– En tirer la synthèse (conclusions, réorientations)
– Analyser, recouper : à confirmer, à préciser, à suivre
187
Les outils de l’audit
À quoi ça sert ?
La grille de séparation des tâches permet de comprendre par rapport
à la chronologie des opérations réalisées dans un processus ou une
fonction, la répartition des responsabilités entre les différents acteurs
à un instant donnée. L’auditeur établit cette grille (ou l’exploite si elle
existe par ailleurs) afin de s’assurer du respect d’un principe de base
du contrôle interne : « La séparation des fonctions ». En effet toute
organisation doit veiller à séparer les responsabilités « de détention/
manipulation », « d’enregistrement » et « d’approbation/décision » sans
quoi elle s’expose à un risque majeur au niveau de ses actifs si des collu-
sions s’instaurent entre les acteurs. Grâce à cette grille l’auditeur vérifie
qu’il n’y a pas cumul de fonctions sur un même acteur ou un groupe
restreint d’entre eux. Cet outil met aussi en évidence des éventuelles
anomalies concernant la répartition de la charge de travail entre les
différents intervenants.
Quand l’utilise-t-on ?
Principalement lors de la phase de conduite des vérifications afin de
rechercher les preuves de faiblesses du contrôle interne en la matière.
188
Chapitre 8 ■ Les techniques d’audit (TA)
189
Les outils de l’audit
Processus : ACHATS
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Demandeurs d’achats
2 Appels d’offres
3 Établissement des commandes
4 Autorisation des commandes
5 Réception (contrôle quantité
et qualité)
6 Rapprochement commande/
réception/facture
7 Contrôle du calcul des factures
8 Bon à payer
9 Tenue du journal des achats
10 Liste des bons de réception sans
facture
11 Tenue des comptes fournisseurs
12 Rapprochement des relevés
fournisseurs avec les comptes
13 Rapprochement de la balance
fournisseur avec le compte collectif
14 Émission des chèques
15 Signature des chèques
16 Envoi des chèques
17 Acceptations des traites
18 Tenue du journal des effets à payer
19 Tenue du journal de trésorerie
20 Approbation des retours
21 Contrôle du calcul des avoirs
22 Accès à la comptabilité générale
…
190
Chapitre 8 ■ Les techniques d’audit (TA)
Processus : VENTES
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Réception des commandes
2 Examen de la solvabilité des clients
3 Établissement des commandes
4 Expédition
5 Facturation
6 Rapprochement commandes/
expédition/facture
7 Contrôle du calcul des factures
8 Tenue du journal de ventes
9 Vérification de la continuité des
numéros des factures comptabilisées
10 Liste des bons d’expédition non
facturés
11 Tenue des comptes clients
12 Établissement des relevés clients
13 Rapprochement des relevés clients
avec les comptes
14 Établissement de la balance clients
par ancienneté
15 Relance des clients
16 Rapprochement de la balance
© Dunod – La photocopie non autorisée est un délit
191
Les outils de l’audit
Processus : PAIE
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
1 Approbation des entrées ou sorties
de personnel
2 Détermination des conditions
de rémunération
3 Autorisation des primes
4 Approbation des temps de
présence
5 Autorisation d’acomptes ou
avances
6 Préparation de la paie
7 Vérification du calcul de la paie
8 Signature des titres de paiement
☞
192
Chapitre 8 ■ Les techniques d’audit (TA)
☞
Acteurs, postes,
Fonctions fonctions
Tâches
incompatibles
A B C D E
9 Tenue du journal de paie
10 Détention des dossiers individuels
du personnel
11 Comparaison par sondage du
journal de paie avec les dossiers
individuels
12 Établissement des états de
rapprochement du compte
bancaire réservé aux salaires
13 Contrôle des comptes de
personnel et des charges
14 Accès à la comptabilité générale
…
Les questionnaires
À quoi ça sert ?
Un questionnaire est une liste de questions auxquelles on doit répondre
par écrit. Les réponses sont généralement reportées par l’auditeur, on
© Dunod – La photocopie non autorisée est un délit
Quand l’utilise-t-on ?
Le questionnaire s’emploie de deux manières : comme un outil d’ana-
lyse uniquement ou comme un outil d’interview et d’analyse. Dans le
193
Les outils de l’audit
premier cas, il est rempli par l’auditeur après l’interview à partir des
notes prises par celui-ci. Dans le second cas, les réponses sont fournies
directement par l’interrogé. Il peut être utilisé lors de la phase d’étude
comme lors de la phase de vérification pour apprécier la mise en œuvre
d’une tâche définie au programme de vérifications.
194
Chapitre 8 ■ Les techniques d’audit (TA)
La piste d’audit
À quoi ça sert ?
La piste d’audit recouvre deux notions. À l’origine c’est une technique
de contrôle comptable plus particulièrement à l’usage des auditeurs
externes (applicable dans le cadre de l’article 103 de la loi 89-935 du
29 décembre 1989 au contrôle fiscal des comptabilités informatisées).
C’est par ailleurs une technique d’audit à laquelle les auditeurs internes
ont largement recours. Ce texte de loi et différentes réglementations
© Dunod – La photocopie non autorisée est un délit
195
Les outils de l’audit
Quand l’utilise-t-on ?
Lors de la phase de lancement de la mission sur site afin d’identifier les
faiblesses potentielles du contrôle interne.
Lors de la phase de conduite des vérifications afin de récupérer les
preuves matérielles attestant des faiblesses avérées du contrôle interne.
196
Chapitre 8 ■ Les techniques d’audit (TA)
7 Relance Planning
éventuelle des relances
8 Contrôle et Proposition
envoi de la commerciale
proposition
9 Établissement Proposition
de la pro- commerciale
position
commerciale
10 Réception de Appels
l’appel d’offres d’offres
197
Les outils de l’audit
198
Chapitre 8 ■ Les techniques d’audit (TA)
Exemples
– Le rapprochement bancaire.
– Le rapprochement entre l’inventaire physique et l’inventaire comptable…
Exemples
– Le processus recrutement : 1. Besoin, 2. Recherche/sélection candidat,
3. Contrat, 4. Intégration, 5. Versement du salaire.
– Le processus achat : 1. Besoin, 2. Identification/sélection fournisseur,
3. Contrat, 4. Réception, 5. Vérification, 6. Règlement.
Quand l’utilise-t-on ?
Le rapprochement est utilisé en audit de conformité, afin de vérifier un
fait ou une affirmation d’une ou plusieurs opérations.
La reconstitution est utilisée en audit d’efficacité, afin d’évaluer le
fonctionnement et/ou la fiabilité d’un système, d’un processus.
NB : la reconstitution peut être utilisée pour valider un fait alors
que le rapprochement ne permet pas l’évaluation de la fiabilité ou d’un
fonctionnement d’un système.
© Dunod – La photocopie non autorisée est un délit
199
Les outils de l’audit
200
Chapitre 8 ■ Les techniques d’audit (TA)
Quand l’utilise-t-on ?
Principalement lors de la phase de vérification. Cette technique d’audit est
à retenir en priorité dès lors que les informations que l’auditeur souhaite
contrôler sont mémorisées dans les bases informatiques de l’entité auditée.
201
Les outils de l’audit
À quoi ça sert ?
Les sondages statistiques permettent d’obtenir les preuves d’un dys-
fonctionnement concernant une population nombreuse de plusieurs
milliers d’individus (la population « mère ») en observant les faits sur un
sous-ensemble réduit de cette population (l’échantillon). Dans le cadre
d’une mission d’audit (contrainte de temps), ils rendent ces contrôles
réalisables alors qu’un contrôle exhaustif serait inenvisageable car trop
consommateur de temps.
Cependant en ne contrôlant qu’un échantillon (quelques pourcents
de la population « mère ») les résultats d’un sondage statistique sont
entachés des deux incertitudes :
•• un niveau de confiance (90 %, 95 %, 99 %), c’est-à-dire le degré de
certitude avec lequel l’auditeur annonce le résultat ;
•• un intervalle de confiance, c’est-à-dire la fourchette plus ou moins
large dans laquelle se situe le résultat réel qui ne pourrait être connu
qu’à travers un contrôle exhaustif.
Quatre étapes jalonnent le déroulement d’un sondage statistique :
1. Préparation : définition de la population (taille N), de ses éléments
constitutifs ou individus, du caractère à estimer et du niveau de
202
Chapitre 8 ■ Les techniques d’audit (TA)
Quand l’utilise-t-on ?
© Dunod – La photocopie non autorisée est un délit
203
Les outils de l’audit
Formules mathématique
Dispersion s =
(écart type) x12 + x12 + + x n2 s = Pobs ◊ (1 - Pobs )
- m2
n
☞
204
Chapitre 8 ■ Les techniques d’audit (TA)
☞
Demi-intervalle a = s ◊t n0 Avec : n0 = n ⋅ N/(N – n)
de confiance et t lié à P niveau de
confiance :
1,645 pour 90 %
1,960 pour 95 %
2,576 pour 99 %
Fourchette m±a Pmin et Pmax les deux
encadrant la vraie proportions qui
valeur moyenne encadrent la proportion
réelle recherchée sur
la population sont les
2 solutions de l’équation
du second degré suivante :
Fourchette N . m + ou – N ⋅ a Ê t2 ˆ 2
encadrant la vraie ou encore Á1 + n ˜ p
valeur totale Valeur mini = N ⋅ m – N ⋅ a Ë 0 ¯
avec n0 = n ⋅ N/(N – n)
Si la précision On prélève un complément d’échantillon,
du résultat obtenu on contrôle les individus supplémentaires
est insuffisante et on recalcule les paramètres de moyenne,
(fourchette de dispersion et de demi-intervalle de confiance.
trop large)
Formulation Il y a P chances sur 100 Il y a P chances sur 100
du résultat que la valeur réelle totale que la proportion réelle
© Dunod – La photocopie non autorisée est un délit
205
Les outils de l’audit
206
Partie 3
Les outils de l’audit
C h a p i t r e 9
L’apport de l'informatique
selon un modèle Risk –
Organization – Knowledge
207
Les outils de l’audit
➤➤ Étape 1
Les référentiels de risques (chapitre 10) vont être implémentés dans la
solution (référentiel de risques colonne Risk) afin qu’ils soient renseignés
dans le cadre d’une démarche de self audit.
Les finalités de contrôle interne vont être exposées sous forme de
questionnaire auquel il conviendra de répondre par oui, non ou non
applicable (module self audit, colonne Organization).
208
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
➤➤ Étape 2
La solution va permettre, par cette première approche, de faciliter la
planification des missions d’audit, mais surtout de les conduire en décri-
vant et motorisant chacun des processus jalonnant le déroulement de la
mission (conduite de la mission colonne Organization).
La technique utilisée est celle du workflow. Les contrôles à effectuer
vont être proposés par l’outil à l’auditeur, la méthodologie sera décrite
étape par étape et l’ordonnancement des tâches géré (PERT et dia-
gramme de Gantt). Les supports utiles à la mission seront accessibles
dans la GED jointe (papiers de travail, feuilles de couverture, FAR…)
au fur et à mesure de l’avancement de la mission.
➤➤ Étape 3
La plateforme, renseignée du self audit et risk assesment d’une part,
© Dunod – La photocopie non autorisée est un délit
209
Les outils de l’audit
210
© Dunod – La photocopie non autorisée est un délit
GRC
BPM
211
Performance
BPA
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
Controlling
GRC
Exécution Performance
BPM BAM
Modélisation
BPA
212
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
213
Les outils de l’audit
214
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
215
Les outils de l’audit
Navigation
L’outil proposé se devait d’exposer clairement toutes ces problématiques,
autorisant à la fois la conduite de mission dans un environnement connu
et rassurant pour l’auditeur, mais embarquant également les dimensions
multidimensionnelles de l’organisation.
La navigation dans la plateforme sera ainsi tout naturellement tridi-
mensionnelle, ce qui n’est pas sans rappeler la modélisation du COSO-II
(est-ce un hasard ?), navigation structurée autour des dimensions orga-
niques de l’entité, mais également systémiques (systèmes par objectifs,
PM, RH…) et analytiques (composantes et sous composantes propres
à chaque système) regroupées par finalités analytiques (cartographie,
KPI…).
Saisie du prédiagnostic
L'outil embarque avec lui les référentiels de risque décrits au chapitre 3
qui couvrent quinze domaines et se spécialisent par retour d’expérience
(référentiels sectoriels : banque, assurances, automobile…).
216
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
217
Les outils de l’audit
218
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
219
Les outils de l’audit
220
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
221
Les outils de l’audit
222
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
223
Les outils de l’audit
224
Chapitre 9 ■ L’APPORT DE L'INFORMATIQUE SELON UN MODÈLE RISK…
En synthèse
La doctrine élargit chaque jour un peu plus le périmètre des risques et
renforce l’omnipotence de la mission de l’audit interne.
Le périmètre fonctionnel croît par retour d’expérience (chaque jour nous
amène sa cohorte de nouveaux scandales mus par l’ingéniosité ou la naïveté
de ses acteurs), l’importance et la légitimité de l’audit et du contrôle interne
s’en voient renforcées, mais leurs responsabilités également.
Nous nous efforçons dans cet ouvrage de proposer à la fois des réfé-
rentiels et une méthodologie applicables, mais également de montrer
qu’il est possible d’outiller la démarche en établissant, par le code et à
chaque étape, son intégrité avec la norme d’un côté et l’organisation de
l’entreprise de l’autre.
L’apport d’une solution TIC va non seulement optimiser la démarche
(gain de temps et sécurisation), mais également permettre l’accès à toute
l’information dématérialisée existante dans l’entreprise, agir sur l’organi-
sation, diffuser la bonne pratique résultante et mesurer la performance
qui en découle.
L’agrégation automatisée de toutes ces données dans un but de servir
le contrôle interne n’est pas une option mais une nécessité.
Entreprises et éditeurs ne s’y trompent pas. Il faut être à même de
modéliser voir d’automatiser les organisations que l’on contrôle. Il est
nécessaire d’intégrer le référentiel de risques à la démarche de l’audi-
teur et s’assurer que l’un comme l’autre soient cohérents avec la (les)
norme(s) et en lien direct avec l’entité modélisée.
© Dunod – La photocopie non autorisée est un délit
225
Les outils de l’audit
226
Partie 3
Les outils de l’audit
Chapitre 10
➤➤ Approche globale
Ce référentiel permet à l’auditeur d’appréhender la dimension contrôle au
niveau général d’une entité (filiale, agence, usine, service, processus…),
en fait au niveau d’un centre de responsabilité qui :
227
Les outils de l’audit
228
Chapitre 10 ■ Les référentiels de risques
229
L’approche globale suivant le référentiel AMF
L’APPROCHE GLOBALE suivant le référentiel « AMF » (avec correspondance Coso-II)
Référentiel AMF FINALITÉS RISQUES EXEMPLES
* Équivalences (objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Coso-II interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
230
par un chiffre associé à une – Incohérence entre revues à la baisse. performance.
mesure de temps. objectifs et moyens. – Décisions prises – Mettre en place un contrôle de
– Excès ou insuffisance incohérentes avec les gestion adapté.
de communication sur les objectifs. – Faire participer les collaborateurs
objectifs. – Entité décentralisée qui de l’organisation à la définition des
Les outils de l’audit
– Objectifs trop nombreux ne suit pas les directives de objectifs avec les responsables de
ou insuffisants. la maison mère. services afin d’en assurer la bonne
réalisation (tenir des réunions
de mise en place et de suivi des
objectifs).
– Formaliser de manière
exhaustive les objectifs confiés aux
collaborateurs.
– Organiser régulièrement des
réunions de suivi et d’atteinte des
objectifs.
– Donner aux entités décentrali-
sées les moyens de commenter les
résultats et d’expliquer les difficul-
tés d’atteinte des objectifs.
© Dunod – La photocopie non autorisée est un délit
2. Règles – Être sûr de la – Absence de formalisation – Charte éthique. – Conflits d’intérêts. – Définir, au plus haut niveau de
d’exemplarité formalisation, de la des « Règles d’exemplarité – Code de bonne – Manque de cohérence l’organisation, un cadre général
et d’intégrité communication et du et d’intégrité ». conduite. avec la politique générale. des principes éthiques (charte,
– « Environnement respect de l’ensemble – Absence de – Règlement intérieur. – Perte d’esprit de groupe, code de conduite…).
de contrôle ». des règles de conduite, communication de ces – Procédures de diffusion d’esprit d’entreprise. – Traduire ces concepts en
d’intégrité et de culture règles. des documents à destination – Risque d’absence de principes d’actions collectives et
d’entreprise. – Incohérence de ces du personnel. déontologie de la part individuelles déclinées vis-à-vis de
règles avec les actions de – Communication des des dirigeants ou des chaque groupe de collaborateurs
la société. rémunérations dont celles salariés. (ex. : « n’accepter aucun cadeau
– Règles non appliquées des dirigeants. – Perte de crédibilité des des fournisseurs pour les
par certains dirigeants – Dispositif de directions de l’entreprise : acheteurs »).
(absence du principe whisthelblowing. Création de « pouvoirs » – Porter à la connaissance de
d’exemplarité). parallèles. l’ensemble du personnel et des
parties prenantes les règles de
conduite (affichage, intranet…).
– Organisation de campagnes de
sensibilisation à l’importance de la
dimension éthique.
231
– Être sûr de la – Les règles sont mal – Définitions formalisées – Conflits d’intérêts. – Définir les principes éthiques de
transparence dans la définies/interprétées. des responsabilités de – Manque de légitimité l’organisation (charte d’éthique).
communication des – Manque de transparence chacun. envers les parties prenantes. – Émettre des règlements
informations. des transactions et prises – Communication des – Perte d’esprit de groupe, clairement formalisés.
de décision. rémunérations dont celles d’esprit d’entreprise. – Mettre en place un service de
des dirigeants. – Risque d’absence de communication ayant des objectifs
– Rédacteur des règlements déontologie de la part définis.
et références légales des dirigeants ou des
identifiés. salariés.
– Sanctions encourues en – Décisions inconnues
Chapitre 10 ■ Les référentiels de risques
3. « Règles du jeu » – Être sûr que – Défaut de mise à jour – Actions de formation du – Non-conformité aux – Sensibiliser et former le personnel
– « Environnement l’organisation dispose des connaissances. personnel. obligations légales. aux obligations qui s’imposent à eux.
de contrôle ». d’une connaissance – Défaut de diffusion des – Procédure de mise à jour – Litiges avec les employés. – Mettre en place un dispositif de
suffisante des obligations informations. des connaissances. – Conflits avec mise à jour des connaissances.
(lois, réglementations…) – Absence de formation. – Procédure de veille sur les syndicats et les – Procédure de veille sur les
qui s’imposent à elle – Diversité et densité des les réglementations. représentants du réglementations.
(« Règles du jeu »). informations. – Planning de diffusion personnel. – Procédure de diffusion des
L’information concernée – Les documents attestant des informations. – Sanctions prud’homales. informations.
doit être gérée : de la conformité ne sont – Documents comptables – Mettre en place une procédure
actualisation, conservation, pas conservés ou sont erronés. de conservation et d’archivage
disponibilité, diffusion… égarés. des documents attestant de la
conformité de l’entité aux lois et
réglementations en vigueur.
232
B. Organisation
1. Organisation – Être sûr que – Périmètre de l’organisa- – Cartographie des – Remise en cause de la – Déterminer le périmètre de
appropriée l’organisation est tion non déterminé/mal processus. pérennité de l’entreprise. l’organisation auquel s’applique le
– « Environnement objective et adaptée à connu. – Organigramme. – Dispositif de contrôle dispositif de Contrôle Interne.
Les outils de l’audit
de contrôle » la culture d’entreprise, – Organes de Gouvernance – Grille de séparation interne inadapté à – Définir les organes de
à l’environnement, au interne non définis. des fonctions. l’organisation. gouvernance interne.
secteur d’activité et à la – Absence de formalisation – Formalisation des – Non atteinte des – Établir une cartographie des
réalisation des objectifs. des liens entre les différents pratiques et processus clés. objectifs. processus.
services. – Dispositifs de – Manque de – Établir des procédures
– Taille de l’organisation conservation du savoir coordination. exhaustives, mises à jour, et
inadaptée. faire. – Mauvaise maîtrise des diffusées.
– Absence d’organigramme. – Compte rendu des risques liés à l’activité. – Établir un organigramme.
– Mauvaise estimation des réunions des organes de – Perte de productivité. – Définir clairement les postes et
ressources nécessaires à la gouvernance. – Pertes financières. les activités de l’organisation.
réalisation des objectifs. – Liste des pouvoirs.
– Mauvaise appréhension – Liste des relations
de l’environnement de fonctionnelles.
l’entreprise.
– Mauvaise connaissance de
la culture de l’entreprise.
© Dunod – La photocopie non autorisée est un délit
1. Organisation – Être sûr que – Méconnaissance des – Organes de gouvernance – Incohérence des actions – Organisation adaptée au secteur
appropriée (suite) l’organisation permet la objectifs. interne (comités d’audit, avec les objectifs. d’activité et à l’environnement.
– « Environnement réalisation des objectifs, – Périmètre de d’éthique…). – Mauvaise circulation des – Mise à disposition des ressources
de contrôle » ces derniers devant être l’organisation non – Adéquation entre les informations. matérielles et financières
planifiés, exécutés et déterminé/mal connu. besoins et les moyens mis – Mauvaise maîtrise des nécessaires afin d’atteindre les
contrôlés. – Organes de Gouvernance à disposition, définition de risques liés à l’activité. objectifs et respecter la législation.
interne non définis. politiques opérationnelles – Perte de productivité. – Communication des objectifs de
– Mauvaise articulation visant à l’atteinte des – Pertes financières. façon uniforme par le même canal
des objectifs stratégiques et objectifs. de communication et depuis la
opérationnels. – Indicateurs de contrôle même source.
– Objectifs flous, imprécis et plan d’action. – Définir le champ d’action de
et non suivis. – Plaquette de présentation l’organisation : Secteur d’activité,
de l’organisation, business produits, clients, fournisseurs…
plan et rapport annuel.
– Rapport de contrôle
interne.
2. Définition des – Être sûr que les – Organigramme – Organigramme. – Perte de temps – Définir un organigramme,
responsabilités et responsabilités et pouvoirs inexistant, méconnu, ou – Fiches de poste. (méconnaissance des des fiches de postes, une liste
233
des pouvoirs sont attribués à des non respecté. – Délégations de pouvoir. personnes habilitées, des personnes habilitées et des
– « Environnement personnes appropriées – Absence d’arbitrage – Listes des pouvoirs. tâches doublons, tâches délégations de pouvoir avec
de contrôle » selon les objectifs de objectif lors des définitions – Fréquence des mises incompatibles). la signature des personnes
l’organisation et en de fonction. à jour. – Non atteinte des concernées.
respectant le principe de – Manuel des procédures. objectifs. – Prévoir les accès aux fichiers/
séparation des fonctions. – Risque de fraudes. données en conséquence.
– Pertes financières.
– Être sûr que ces – Organigramme – Organigramme. – Perte de temps – Procédure de diffusion de ces
Chapitre 10 ■ Les référentiels de risques
responsabilités et pouvoirs inexistant, méconnu, ou – Fiches de poste. (méconnaissance des documents à l’ensemble des
sont formalisés et non mis à jour. – Listes des pouvoirs. personnes habilitées, personnes concernées.
communiqués. – Absence de répartition tâches doublons, tâches – Mise à jour régulière de ces
des tâches et des incompatibles). documents.
responsabilités (pas de liste
de personnes habilitées,
pas de fiche de poste).
– Relation informelle.
L’APPROCHE GLOBALE suivant le référentiel « AMF » (avec correspondance Coso-II)
Référentiel AMF FINALITÉS RISQUES EXEMPLES
* Équivalences (objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Coso-II interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
3. Politique et – Être sûr que les services – Absence de définition – Procédure de – Recrutement – Mettre en place les procédures
pratique de gestion disposent de moyens d’une politique claire en recrutement et de de personnes non concernées (recrutement,
des Ressources humains suffisants matière de recrutement, de formation. compétentes. formation…).
humaines (effectifs & compétences) formation, de promotion – Grille de rémunération. – Personnel ne répondant – Entretiens d’évaluation effectués
– « Environnement à leur bon fonctionnement et de rémunération. – Contrats de travail. pas aux attentes. par une personne habilitée.
de contrôle » et à l’atteinte des objectifs – Bilans de compétence. – Non atteinte des – Plan de formation continue.
fixés. – Notes attribuées au objectifs. – Validation des besoins de
personnel. – Performances revues à recrutement.
la baisse. – Grille pour les rémunérations
– Découragement et les promotions.
234
et démotivation du – Note de cadrage pour les
personnel. rémunérations et les promotions.
– Gestion prévisionnelle des
Emplois et des Compétences.
Les outils de l’audit
4. Système – Être sûr de l’adaptabilité – Système d’informations – Gestion des habilitations. – Accès aux informations – Gouverner et concevoir le
d’information (SI) du système d’information trop complexe ou – Plan de secours, et données non sécurisés système d’information.
– « Information et aux objectifs de insuffisant par rapport aux de continuité de (fraudes). – Rendre opérationnel le système
communication » l’organisation, de besoins du processus. l’exploitation, de sécurité. – Système d’informations informatique (formation des
la conservation des – Aucun plan de secours, – Programme de formation non adapté. utilisateurs, mise en place des
données, de la continuité de sécurité. des utilisateurs. – Mise en danger infrastructures).
d’exploitation (procédures – Absence de formations – Études préalables. de la continuité de – Sécuriser l’accès aux données et
de secours). du personnel à – Guides d’utilisateur. l’exploitation. programmes.
l’utilisation des systèmes – Risque de démotiver
d’information. le personnel à utiliser
convenablement le SI.
© Dunod – La photocopie non autorisée est un délit
5. Procédures, – Être sûr que le dispositif – Absence de référentiel de – Cartographie des – Mauvaise exécution – Définir les procédures, modes
modes opératoires, de Contrôle Interne (CI) procédures. processus. des tâches. opératoires et outils nécessaires aux
outils et pratiques repose sur : – Procédures non – Diffusion des – Non-fiabilité des missions des collaborateurs.
– « Environnement – des procédures ou modes mises à jour ou non informations. informations. – Formaliser les procédures de
de contrôle » opératoires par action ou communiquées. – Manuel des procédures. – Pertes financières. l’organisation et les diffuser de
processus. – Formation insuffisante – Fréquence des mises – Possibilité de fraudes. façon efficace.
– des outils ou instruments des collaborateurs. à jour. – Opérations non – Diffuser ces outils aux
de travail. – Procédures incomplètes – Cohérence globale de sécurisées. collaborateurs.
– des pratiques et inefficaces. l’ensemble des procédures. – Perte de productivité, – Veiller à ce que les modes
communément admises au – Mise à disposition allongement des délais opératoires, procédures ou autres
sein de la société. des modes opératoires, de traitement. documents soient connus de tous.
guides, procédures aux – Risques de conflits – Veiller à la mise à jour des
collaborateurs pour qu’ils d’intérêts non arbitrés. procédures.
puissent accomplir leur – Perte d’informations – Mettre en place une
mission. et de savoirs. coordination des procédures de
– Formalisation des – Non-optimisation des l’organisation.
procédures de CI au sein pratiques.
des services. – Découragement des
salariés, baisse de leur
235
engagement personnel.
1. Diffusion – Être sûr que les – Communication – Tableaux de bord. – Objectifs non réalisés. – Recenser les informations
en interne informations sont fiables, déficiente, excès – Supports de – Décisions de gestion nécessaires à la réalisation des
d’informations pertinentes et qu’elles sont d’informations ou retard communication (affichage, prises sur des informations objectifs et leur suivi.
pertinentes (suite) transmises aux personnes dans leur mise à jour et/ou intranet, courriers, notes non fiables. – S’assurer que la cohérence entre
– « Information et adéquates et disponibles en leur diffusion. de service…). – Manque de réactivité, les catégories de destinataires et
communication » temps opportun. – Protection et supports de – Reporting. performances revues à la leur responsabilité.
l’information inadaptés. – Liste des habilitations. baisse. – Gérer la diffusion des
– Absence d’étapes de – Bilans sociaux et états – Mauvaise gestion de crise procédures (liste de destinataires,
validation dans le processus financiers. en cas d’incident. date d’application, délai de
de communication de – Éléments statistiques – Informations transmises validité, procédures modifiées ou
l’information. utiles à la gestion. aux personnes inadéquates annulées…).
– Non-respect de la – Délégations de (absence de confidentialité – Mettre en place un programme
confidentialité. responsabilité/supervision. de l’information). de priorisation des informations
236
– Processus de diffusion. – Non-fiabilité de à traiter.
– Politique de l’information. – La diffusion de l’information
communication externe en – Perte d’informations. est déléguée de façon claire
cas de crise. – Informations non et supervisée à des individus
Les outils de l’audit
D. Analyse de risques
1. Identification – Être sûr que les – Clarification insuffisante – Cartographie des risques. – Non atteinte des – Mettre en place une cartographie
et recensement principaux risques, des objectifs. – Manuel de procédures. objectifs de l’organisation. des risques et un processus de
des risques pouvant avoir un – Mauvaise appréhension – Moyens alloués au – Mauvaise maîtrise des recensement continu.
– « Identification impact sur la capacité de des risques selon leur recensement des risques. risques. – Cibler les risques par domaine :
des événements ». l’organisation à atteindre nature et leur impact. – Existence et attributions – Performance revue à Métiers, fonctions, catégorie…
ses objectifs, sont identifiés – Domaine de définition d’une fonction risk la baisse et malversation – Effectuer des entretiens
et recensés de façon des risques mal connu. management. (inefficacité, perte individuels avec les managers des
exhaustive. – Manque de moyens pour financière, fraude…). processus concernés.
identifier les risques. – Risques importants non – Créer une fonction risk
détectés. management si nécessaire.
© Dunod – La photocopie non autorisée est un délit
2. Évaluation – Être sûr que les risques – Critères d’évaluation non – Fiches d’évaluations – Mauvaise maîtrise des – Définir des critères d’évaluation
des risques sont évalués de façon définis ou imprécis. des risques répertoriant risques. des risques pertinents en fonction
– « Évaluation pertinente selon leur – Critères d’évaluation des l’ensemble des critères. – Performance revue à des objectifs et nature d’activité
des risques » niveau d’impact et leur risques non pertinents. – Statistiques d’occurrence la baisse et malversation en tenant compte du degré
probabilité d’occurrence. – Sous estimation de et de la gravité des (inefficacité, perte d’occurrence et niveau d’impact
l’impact et/ou de la incidents rencontrés. financière, fraude…). – L’évaluation des risques doit être
probabilité d’occurrence. – Cartographie des risques. – Perte de temps. complétée par un recensement des
– Manque de moyens et – Hiérarchisation des – Pertes financières. moyens mis en œuvre pour traiter
d’outils pour évaluer les risques. – Mauvaise identification ces risques et par l’identification
risques (occurrence et – Recensement des moyens et évaluation des risques. des risques acceptés.
gravité des incidents). mis en œuvre pour traiter – Risque sur ou sous- – Élaboration de la cartographie
– Non-fiabilité de la les risques. évalué. des risques en tenant compte des
cartographie des risques. fondamentaux de l’organisation.
– Mettre à disposition des outils
permettant d’évaluer les risques.
– Créer une fonction risk
management si nécessaire.
– Être sûr d’avoir pris en – Mauvaise appréciation – Rapport de contrôle – Mise en place d’un – Effectuer des démarches de
237
compte l’environnement de l’environnement de interne. dispositif de contrôle benchmarking sur les évolutions
de l’organisation ainsi que contrôle existant. – Reporting sur la inadapté. du secteur.
les dispositifs de contrôle – Absence d’investigations situation financière et – Mauvaise appréciation – Disposer d’une cartographie
interne existants. sur le terrain ou de opérationnelle des entités des risques. des dispositifs de contrôle interne
reporting en provenance décentralisées à différentes – Manquement pour l’ensemble des entités de
des entités décentralisées. périodes.– Procédures de d’opportunités. l’organisation.
contrôle interne existantes. – Créer une fonction « Contrôle
interne » si nécessaire.
3. Procédures de – Être sûr que les – Procédures absentes, – Procédure de gestion des – Incapacité à réagir en cas – Formaliser une procédure de
Chapitre 10 ■ Les référentiels de risques
gestion des risques procédures de gestion et imprécises ou non risques. d’occurrence des risques. gestion des risques précisant les
et surveillance de surveillance des risques communiquées. – Inventaires des risques – Ralentissement de différentes alternatives possibles
– « Traitement des sont formalisées, connues – Responsabilités et rôles survenus. l’activité. dans le traitement du risque
risques » et appliquées. des personnes en charge – Fiches de mission des – Non atteinte des objectifs. (évitement, recours à l’assurance,
de la gestion des risques différents services et – Performance revue à mise en œuvre d’un dispositif de
et du suivi non définis ou acteurs. la baisse et malversation contrôle interne…).
imprécis. – Organigramme. (inefficacité, perte – Définir de façon précise les rôles
– Mauvaise financière, fraude…). respectifs de l’audit interne, du
communication entre les – Superposition des risk management et du Contrôle
services d’audit interne et dispositifs. interne en la matière.
de risk management. – Non-maîtrise des
impacts potentiels.
L’APPROCHE GLOBALE suivant le référentiel « AMF » (avec correspondance Coso-II)
Référentiel AMF FINALITÉS RISQUES EXEMPLES
* Équivalences (objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Coso-II interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
E. Surveillance et pilotage
1. Surveillance – Être sûr que le dispositif – Absence de structure – Rapport sur le contrôle – Perte de productivité – Instaurer une structure dédiée
permanente et de contrôle interne (DCI) de contrôle interne interne/Plan stratégique de due à un gaspillage à la surveillance permanente
pilotage est adapté à l’organisation formalisée. l’entreprise. de ressources dans les (recrutement, formation,
– « Suivi et pilotage et qu’il est piloté par – DCI trop lourd : Sur – Tableau de bord du DCI. opérations de contrôle. reporting…).
du dispositif de une structure identifiée contrôle. – Périmètre du DCI. – Des risques ne sont pas – Mise à jour des procédures de CI.
contrôle interne » (Fonction « Contrôle – DCI insuffisant : le DCI – Objectifs de la fonction identifiés pouvant mettre – Impliquer tous les échelons
interne »). ne couvre pas l’ensemble « Contrôle interne ». en péril l’atteinte des hiérarchiques de l’organisation
de l’organisation. – Organigramme et objectifs. dans la tenue du DCI.
– Le positionnement de la définitions de fonction des – Non atteinte des – Adapter le DCI et la nature
fonction Contrôle Interne contrôleurs internes. objectifs. des contrôles en fonction du
n’est pas précis. – Absence de crédibilité du secteur d’activité et des objectifs :
– Le DCI s’avère inadapté management entraînant « l’organisation ne vit pas pour le
238
compte tenu des objectifs une désolidarisation des contrôle »
et de l’organisation. employés au niveau du – Positionner la fonction
contrôle interne. « Contrôle interne » de façon
claire dans l’organisation.
Les outils de l’audit
239
fiables, non pertinents. – Ordres du jour et opérations. risques recensés.
– Absence d’archivage des comptes rendus des – Non atteinte des – Coordonner les activités de l’AI
contrôles effectués. comités d’audit. objectifs. avec celles des CAC.
– Acteurs ne disposant pas – Programme qualité de – Non-réalisation des – Archiver l’ensemble des rapports
des compétences requises. l’audit interne. opérations. d’audit de façon à être consulté à
– Inadéquation du niveau – Plan d’orientation sur les – Non-respect des temps opportun.
technique des auditeurs risques les plus importants. réglementations. – Rattacher le service d’audit
internes. – Risque de fraudes. interne directement à la direction
– Champ des activités de – Perte de crédibilité de générale et lui faire rendre compte
l’audit interne inapproprié l’audit interne car les au conseil (son émanation :
Chapitre 10 ■ Les référentiels de risques
3. Information – Être sûr que la – Structure de – Rapports d’audit. – Obligations – Mettre en place un Comité
au conseil direction générale rend Gouvernance inadaptée en – Planning des comités réglementaires non d’audit et définir son rôle en
– « Information compte de façon réelle matière de contrôle interne d’audit. remplies. matière de contrôle interne et de
et communication ». et pertinente au conseil et de management des – Ordres du jour et procès- – Prise de décisions management des risques.
(ou comité d’audit) des risques. verbaux des réunions. erronée (manque – Communiquer son planning des
caractéristiques essentielles – Rôle du conseil (comité – Documents de suivi. d’informations essentielles, réunions.
du dispositif de contrôle d’audit) imprécis. – Rapports sur le contrôle pertinentes). – Définir le rôle de la direction
interne et de management – Multiplicité ou interne. – Recommandations et générale et de l’audit interne (et
240
des risques. insuffisance des – Reporting, tableaux de plans d’actions émis à la autres instances de « contrôle ») en
informations jugées bord. suite de ces réunions ne matière de contrôle interne et de
essentielles. – Rapport annuel sur les reflétant pas la réalité. management des risques dans le
– Retard dans la travaux du Comité d’audit. – Non-information du cadre du comité d’audit.
Les outils de l’audit
241
Management – direction générale
Activités de contrôle
(découpage du processus et/ou domaine)
1. Planifier – Être sûr que pour toutes – Mauvaise identification – Tableau de planification. – Non atteinte des – Fixer les objectifs.
les activités prévues : des activités, des moyens et – Liste des activités. objectifs. – Recenser l’ensemble des
les moyens matériels, des responsabilités. – Calendrier d’exécution – Impossibilité de suivre la ressources dont dispose l’entreprise
financiers et humains – Absence de calendrier des activités. réalisation des activités. (ressources humaines, matérielles
sont déterminés et sont d’exécution des activités. – Budget – Défaillances dans la et financières).
en adéquation avec les – Outil de suivi inexistant. – Liste des responsabilités. structure entraînant – Établir un planning pour la
objectifs de l’organisation. une diminution de réalisation de chaque objectif qui
242
l’efficience et l’efficacité de sera communiqué à l’ensemble des
l’organisation. managers.
– Mauvaise optimisation
des ressources.
Les outils de l’audit
2. Piloter – Être sûr d’une remontée – Absence de dispositif de – Entretiens avec la – Mauvaise appréciation – Définir un planning des
d’information permettant remontée de l’information. direction générale. de l’activité. réunions de pilotage entre la
d’apprécier le déroulement – Non-fiabilité de – Choix des indicateurs – Pérennité de l’entreprise. direction générale et les principaux
des activités et de prendre l’information. pertinents. – Non atteinte des responsables opérationnels et
les décisions adéquates. – Pas d’indicateur de – Comptes rendus de objectifs. fonctionnels.
mesure de la performance. réunion entre la DG et les – Perte de temps dans la – Définir des modèles de tableaux
managers des différents prise de décision. de bord déclinés pour chaque
services. responsable.
– Définir un calendrier
institutionnel de diffusion des
informations nécessaires au
pilotage des activités.
© Dunod – La photocopie non autorisée est un délit
3. Veiller à la – Être sûr de la correcte – Absence de recensement – Contrat d’assurance. – Actifs mal protégés, – Existence de moyens de
sauvegarde protection des actifs de des actifs significatif de – Procédure de déclaration risque de perte financière. protection des actifs matériels
des actifs de l’entreprise. l’organisation. des sinistres. – Litige avec la compagnie (contre le vol, l’incendie…).
l’organisation – Sous estimation des – Procédure de revue d’assurance. – Procédure de dépôt de brevets.
actifs immatériels. périodique des contrats – Surévaluation de la – Contrat d’assurance réévalué
d’assurance. prime d’assurance. en fonction de l’évolution de
– Procédure de protection – Risque de vol l’organisation.
de la propriété intellec- – Risque de perte du savoir – Déclaration rapide des sinistres
tuelle de l’organisation. de l’organisation selon une procédure précise et
– Procédure de suivi des connue de tous.
remboursements des – Suivi du remboursement des
sinistres. sinistres.
4. Contrôler – Être sûr que les – Les données de sorties ne – Système d’Information. – Absence d’information – Définir une procédure précisant
et analyser les résultats financiers sont sont pas fiables. – Planning des réunions pour piloter l’organisation. les modalités d’analyse des
résultats financiers périodiquement comparés – Le Système d’analyse des résultats. – Difficulté pour les prises résultats financiers (périodicité,
aux objectifs initiaux. d’information (SI) est mal – Formalisation des de décisions, ou prises de informations nécessaires,
paramétré. objectifs généraux et décisions erronées. personnes concernées…).
– Pas de réunion d’analyse de leur déclinaison en – Difficulté et/ou erreur – Définitions de fonction
243
des résultats au niveau de objectifs par processus et/ lors de la consolidation des intégrant cette responsabilité pour
l’organisation (direction ou fonctions. résultats. les personnes concernées.
générale et principaux – Organigramme et – Pas de valorisation du – Existence de tableaux de bord
responsables). définitions de fonction. travail des collaborateurs. pertinents.
– Mauvaise déclinaison des – Indicateurs mis – Formalisation d’une pratique
objectifs par services. à disposition du budgétaire (établissement et suivi
– Le SI ne permet pas de management. des budgets).
produire des tableaux de – Existence d’une fonction
bord de suivi. contrôle de gestion indépendante.
Chapitre 10 ■ Les référentiels de risques
5. Communiquer – Être sûr de l’existence – Absence de reporting. – Procédure sur les – Manque de réactivité sur – SI de la filiale intégrant les
les résultats à la et du respect des – Absence de procédure remontées d’informations le suivi de la réalisation exigences du reporting à la maison
maison mère (cas procédures de remontée détaillée. à la maison mère. des objectifs par la maison mère.
d’une filiale) des informations de la – Procédure non appliquée. – Caractéristiques du mère. – Formalisation d’une procédure
filiale à la maison mère – Le SI de la filiale ne Système d’Information – Erreur dans la stratégie précisant les modalités du
(reporting). permet pas d’alimenter le (SI) quant à sa capacité à locale et globale. reporting (planning, nature
reporting établi et destiné alimenter le reporting de la – Manque de coordination des informations demandées,
à la maison mère. maison mère. engendrant une faiblesse responsables concernés en filiales
– Les données ne sont pas – Planning du reporting. face à la concurrence. et au niveau du groupe…).
fiables. – Entretiens avec le service – Pas de vision à moyen
– Absence de planning des « Consolidation » de la long terme.
remontées d’informations. maison mère.
Gestion des ressources humaines
Activités de contrôle
(découpage du processus et/ou domaine)
A. Recrutement et évolution de carrière
1. Identification – Être sûr que le besoin – Absence de formalisation – Procédure de – Absence de recrutement. – Formaliser par écrit la procédure
du besoin de de recrutement est des besoins en recrutement recrutement. – Recrutement inapproprié. de recrutement intégrant toutes
recrutement correctement formalisé et de la part des services – Fiches de profils des – Pertes financières. les étapes (expression du besoin,
communiqué. demandeurs. postes recherchés et – Baisse de la productivité. rôles et responsabilités des acteurs,
– Mauvaise formalisation description des critères – Non-atteinte des objectifs. méthodes de sélection…).
de ces besoins (pas de fiche d’embauche. – Rédaction de fiches « Profil de
précisant le profil du poste – Entretiens avec les poste ».
recherché). responsables des différents – Entretiens réguliers avec les
244
– Absence de services demandeurs. différents services.
communication efficace de – Étude prévisionnelle du
ces besoins. marché du secteur.
Les outils de l’audit
2. Recrutement – Être sûr que le personnel – Difficulté et/ou – Procédure de – Personnel sur ou sous – Formaliser par écrit la procédure
du personnel recruté correspond aux incapacité à sélectionner les recrutement existante. qualifié. de recrutement intégrant toutes
besoins de l’organisation bons profils correspondant – Fiches « Profil de poste » – Sur ou sous effectif. les étapes (expression du besoin,
(effectifs et compétences). aux exigences des postes à et description des critères – Pertes financières. rôles et responsabilités des acteurs,
pourvoir. d’embauche. – Baisse de la productivité. méthodes de sélection…).
– Manque d’attractivité – Entretiens avec les – Mécontentement du – Favoriser la promotion interne
de l’organisation sur le responsables des différents personnel. avant de procéder aux sélections
marché de l’emploi. services demandeurs. – Non atteinte des de candidats en externe.
– Mauvaise formalisation – Étude prévisionnelle du objectifs. – Mettre à jour régulièrement
des besoins (pas de fiche marché du secteur. – Perte du savoir faire. l’analyse des besoins prévisionnels
précisant le profil du poste en termes d’effectifs, dans le cadre
recherché). de la planification des activités.
– Manque de candidats
qualifiés.
© Dunod – La photocopie non autorisée est un délit
3. Plan de carrière, – Être sûr que les – Absence d’une politique – Procédure interne de – Manque d’implication. – Mise en place d’une gestion
mutation et aspirations des salariés de d’évolution des carrières. promotion. – Manque de motivation. prévisionnelle des compétences.
promotion l’organisation sont prises – Absence de commu- – Questionnaire de – Mise en place d’une
en compte dans le cadre nication sur les postes à satisfaction des salariés sur communication interne pour
d’une politique d’évolution pourvoir en interne. leur possibilité d’évolution. informer les salariés sur les postes
des carrières. à pourvoir.
4. Analyse – Être sûr que les postes – Fonctions et postes ne – Document type d’analyse – Manque de cohésion, – Mise en place de documents
des postes existants sont pertinents. faisant pas l’objet d’une de poste. – Fiches de de transparence entre les types permettant de faire le point
et évaluation définition claire. définition de fonction. postes. sur les postes.
des personnes – Absence de veille sur les – Existence de postes – Veille des compétences.
évolutions de postes et de inutiles.
fonctions. – Perte financière et perte
de performance.
5. Évaluation – Être sûr que les salariés – Pas de fiche type – Comptes rendus – Démotivation des – Mise en place d’un guide
des personnes sont évalués objectivement d’évaluation des salariés. d’entretien annuel salariés. d’entretien individuel d’évaluation.
et régulièrement. – Pas de procédure d’évaluation. – Risque de poursuite – Établissement de bilan de
d’évaluation des – Procédure existante juridique. compétences.
compétences. d’évaluation des personnes. – Promotion des – Grille d’auto-évaluation.
245
– Pas de communication « mauvaises » personnes – Communication des résultats
des résultats d’évaluation aux « mauvais » postes. aux personnes concernées.
aux personnes concernées.
6. Rotation – Être sûr que la rotation – Les rémunérations et – Taux de turnover. – Démotivation du – Disposer d’une véritable
du personnel du personnel est à un avantages proposés par – Grilles de salaire de personnel. politique en matière de plan
niveau pertinent (turnover l’organisation ne sont pas référence – Turnover important. de carrière.
et rotation nécessaire des concurrentiels. – Fiches d’évaluation du – Départ des meilleurs – Mettre en place un benchmark
postes maîtrisés). – Les salariés peuvent personnel éléments. concernant les salaires et
Chapitre 10 ■ Les référentiels de risques
avoir le sentiment que – Existence de réunion – Installation de avantages proposés par les autres
leurs efforts ne sont pas permettant une remontée certaines catégories de organisations du même secteur
reconnus. d’informations sur la salariés dans une routine d’activité.
– Les salariés sont satisfaction des salariés. professionnelle. – Étude et évaluation régulière
réfractaires à la mobilité des rémunérations et avantages
professionnelle. accordés par l’organisation
– Formaliser les facteurs
d’évolutions de la rémunération
PROCESSUS ET/OU DOMAINE : gestion des ressources humaines
B. Rémunération
1. Salaire et son – Être sûr que les – Grilles de salaire non- – Grille de salaires. – Non-respect de – Définir une politique salariale
évolution rémunérations sont conformes. – Conventions collectives. la législation ou des conforme aux conventions
conformes à la législation – Pas de personne – Dispositions conventions collectives. collectives et aux dispositions
et/ou à la convention responsable des mises à législatives en matière de – Risque de fraude (baisse législatives.
collective. jour. rémunération. des cotisations sociales). – Mettre en place une veille
– Absence de politique réglementaire en la matière.
salariale.
– Être sûr qu’il y a – Pas de personne – Définitions de fonction. – Insatisfaction des – Mise en œuvre d’une gestion des
adéquation, pour chaque responsable des mises à – Liste des qualifications salariés. dossiers individuels du personnel
246
catégorie de postes, entre jour. requises par catégorie de – Absence des compétences (qualification lors de l’embauche,
les compétences requises et – Absence de postes. requises au poste donné. formations suivies, expériences
le niveau de qualification nomenclature des postes et – Dossiers du personnel. – Démotivation des acquises…).
des salariés (diplôme, de grilles des salaires. – Grilles des salaires en candidats ou des nouveaux – Définir une politique salariale
Les outils de l’audit
expérience…). – Absence d’arbitrage lors fonction du niveau de embauchés. conforme aux conventions
de l’attribution des postes. qualification. collectives et aux dispositions
législatives.
2. Autres éléments – Être sûr que – Méconnaissance des – Distribution effective – Risques de conflits – Formaliser tous ces éléments
de rémunération l’organisation respecte engagements en la matière. de la participation et sociaux. de rémunération (hors salaire)
ses engagements vis-à-vis – Absence et/ou faiblesse de l’intéressement, des – Poursuites prud’homales, dans les dossiers individuels du
de ses salariés concernant du système d’information primes… .. impliquant pertes personnel.
les « autres éléments permettant de transmettre – Calcul effectif des financières. – Définir une procédure de calcul
de rémunération » au service concerné, les montants. – Insatisfaction du et de versement de la participation
(participation et justificatifs de ces primes – Dossiers du personnel. personnel et l’intéressement.
intéressement, primes, et avantages divers. – Entretien avec les – Démissions des cadres. – Versement des primes aux
avantages divers…). – Retard dans le traitement responsables du Comité salariés suivant les critères et
des informations et dans d’Entreprise et autres périodicité convenus.
le règlement des montants instances représentatives.
concernés.
© Dunod – La photocopie non autorisée est un délit
C. Formation
1. Détection – Être sûr que chaque – Absence de – Pratiques concernant – Manque de compétences. – Établir des fiches types pour
des besoins salarié peut bénéficier des préoccupation en la l’identification des besoins – Pas d’évolution possible connaître les besoins et les attentes
et élaboration formations lui convenant matière. en matière de formation : des carrières et des de chacun.
du plan de et correspondant aux – Absence de démarche Plan de formation, connaissances de certains – Entretenir une relation client/
formation besoins de l’organisation. pour connaître les besoins cahier des charges, fiches salariés. fournisseur entre le service
en formation. formation… – Manque d’implication formation et les clients internes.
– Choix subjectifs – Circuit de validation des salariés. – Sensibiliser chaque responsable
concernant les personnes d’une formation. – Perte de compétitivité. de service à la nécessité et
à former et les domaines l’importance de la formation.
objet de la formation.
– Être sûr que – Méconnaissance des – Obligations en matière – Manque de compétences – Mettre en place une veille
l’organisation respecte ses obligations en la matière. de formation. des salariés. réglementaire.
obligations en matière de – Budget insuffisant. – Plan de formation. – Pas d’évolution possible – Définir une politique claire
formation. – Attestations des des carrières et des (formation en interne ou en
formations réalisées. connaissances de chacun. externe, individuelle ou collective,
– Manque d’implication avec des objectifs à atteindre).
des salariés. – Attribuer un poste de
247
– Perte de compétitivité. responsable formation et créer des
indicateurs de performance pour
cette fonction.
2. Mise en œuvre – Être sûr que les – Manque de compétences – Entretiens avec le service – Formations inefficaces. – Définir une procédure de mise
des actions de formations sont réalisées chez les formateurs. formation. – Démotivation des en œuvre des formations.
formation conformément aux cahiers – Formations inadaptées – Cursus antérieur à participants ressentant – Mettre en place des formations
de charges. (contenu et niveau ne chaque formateur. cela comme une perte de pertinentes par rapport à l’activité
correspondant pas aux – Cahiers des charges des temps. et au métier.
Chapitre 10 ■ Les référentiels de risques
2. Mise en œuvre – Être sûr que les – Pas de fiche de présence. – Documents relatifs – Formations inefficaces. – Établir un document de
des actions de formations sont – Pas de responsable, pas aux formations (détails, – Démotivation des déroulement de la formation.
formation (suite) correctement effectuées. d’encadrement. planning de la journée, stagiaires ressentant cela – Communiquer toutes les
– Pas de correspondance modalité). comme une perte de informations concernant les
entre la demande et la – Vérifier que les temps. formations aux stagiaires.
formation. salariés sont informés – Gaspillage de ressources. – Formaliser tous les supports
– Manque de compétences du déroulement de formation et veiller à ce qu’ils
248
des formateurs. de la formation soient à jour.
(communication). – Vérifier les expériences
antérieures des formateurs.
3. Évaluation – Être sûr de l’efficacité – Pas de dispositif – Documents de suivi. – Inadaptation des – Définir une procédure
Les outils de l’audit
des résultats des formations et de la d’évaluation de la – Procédures d’évaluation formations. d’évaluation des formations
satisfaction des besoins et formation ni par le des résultats. – Perte de crédibilité de la (par les participants et par les
attentes des participants. stagiaire ni par sa – Fiches synthèse des formation : Apparition de responsables hiérarchiques des
hiérarchie. remarques des participants. formation « Pirates ». participants).
– Pas de fiche de suivi – Démotivation des – Désigner une personne du
durant la formation. stagiaires. service formation, ne mettant
– Évaluation non pas en place les formations,
objective. chargée de la synthèse de ces
évaluations.
Finance – comptabilité
© Dunod – La photocopie non autorisée est un délit
Activités de contrôle
(découpage du processus et/ou domaine)
1. Gestion des – Être sûr que les comptes – Absence d’inventaire – Compte rendu – États financiers erronés. – Formalisation d’une procédure
immobilisations/ d’immobilisations régulier des des inventaires des – Détournements, fraudes. de suivi des immobilisations
amortissements corporelles sont fiables immobilisations immobilisations. – Risque de non- (entrée et sortie du patrimoine,
(exactitude, exhaustivité). corporelles. – Méthode d’e valorisation certification des comptes. inventaire, valorisation…).
– Certaines des immobilisations. – Mauvaises décisions de – Création d’une liste de
immobilisations ne sont – Séparation des fonctions gestion car prises sur la personnes habilitées pour chaque
pas comptabilisées. entre la personne habilitée à base d’informations fausses type de mouvements comptables.
– Valorisation erronée provisionner et celle habili- ou approximatives.
des immobilisations. tée à saisir les écritures.
249
– Être sûr que les – Absence de procédure – Liste des personnes – États financiers erronés. – Référencement et suivi des prêts
opérations sur titres, d’autorisation des habilitées à signer un bon – Détournements, fraudes. aux filiales.
l’attribution de prêts opérations sur titres de cession ou de mise aux – Risque de non- – Rapprochement des
(notamment les et d’attribution rebuts. certification des comptes. amortissements avec les prêts.
prêts aux filiales…) des prêts aux filiales. – Procédure claire – Mauvaises décisions de
sont correctement – Erreur sur le taux de cession des gestion car prises sur la
comptabilisées et font d’amortissement. immobilisations. base d’informations fausses
l’objet d’un suivi. – Erreur sur le mode ou approximatives.
d’amortissement.
Chapitre 10 ■ Les référentiels de risques
– Être sûr que les – Taux d’amortissement – Contrôler l’exactitude – États financiers erronés. – Contrôle des provisions.
amortissements sont erroné. des provisions. – Détournements, fraudes. – Création d’une liste de
correctement calculés et – Mode d’amortissement – Séparation des fonctions – Risques de non- personnes habilitées pour chaque
comptabilisés. inadapté. efficace entre la personne certification des comptes. type de mouvements comptables.
– Les provisions sont habilitée à provisionner et – Mauvaises décisions de – Mettre en place un référentiel
surévaluées ou sous- celle habiliter à saisir les gestion car prises sur la concernant les différentes
évaluées. écritures. base d’informations fausses provisions à effectuer sur l’année et
ou approximatives. la manière dont cela doit être fait.
PROCESSUS ET/OU DOMAINE : finance – comptabilité
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
2. Comptes – Être sûr du suivi et du – Absence ou mauvaise – Procédure de – États financiers erronés. – Procédure claire et exhaustive
d’achats contrôle des comptes application des procédures comptabilisation des – Détournements, fraudes. de comptabilisation des factures
fournisseurs. de comptabilisation des factures fournisseurs. – Mauvaises décisions de fournisseurs.
achats. – Procédure de création gestion car prises sur la – Instaurer une séparation des
– Liberté dans la création de comptes fournisseurs. base d’informations fausses fonctions, création de compte
de compte fournisseur. – Rapprochements ou approximatives. fournisseur, entrée des écritures
– Absence de séparation bancaires. – Sur paiement de et comptabilisation (personnes
des fonctions. – Liste des habilitations certaines prestations et/ou habilitées).
comptables fournisseurs. fournitures. – Vérification périodique des
comptes fournisseurs.
3. Comptes – Être sûr du suivi et du – Absence ou mauvaise – Procédure de – États financiers erronés. – Existence d’une procédure claire
de produits contrôle des comptes application des procédures comptabilisation des – Détournements, fraudes. et exhaustive de comptabilisation
250
Clients. de comptabilisation des factures clients. – Mauvaises décisions de des factures clients.
Produits. – Procédure de création gestion car prises sur la – Rapprochement entre les
– Manque de rigueur de comptes clients base d’informations fausses factures et les biens ou services
dans l’établissement des – Rapprochements ou approximatives. effectivement livrés.
Les outils de l’audit
4. Clôture – Être sûr que les travaux – Absence ou non – Planning des étapes – Retard dans la – Mise en place d’un planning
des comptes comptables concernant la application des procédures concernant la clôture des production des états des travaux de clôture des comptes
clôture des comptes sont comptables. comptes. financiers. (désignation d’un responsable de
planifiés. – Absence de responsable – Situation sur les clôtures – Non-certification des la coordination).
chargé de superviser précédentes. Commissaires aux comptes
l’application des règles – Procédure de (CAC).
comptables en matière de consolidation.
clôture de comptes.
– Être sûr de la bonne – Non-respect ou – Principes, règles et – États financiers erronés. – Répertorier l’ensemble des
application des règles méconnaissance des règles procédures comptables. – Impossibilité de obligations comptables, fiscales
comptables, fiscales et comptables, fiscales et – Rapports des connaître avec précision et juridiques qui s’imposent à
juridiques lors de la clôture juridiques. Commissaires aux les performances de l’organisation lors de la clôture
des comptes. – Absence de responsable comptes. l’entreprise. des comptes.
chargé de superviser – Liste d’habilitation pour – Non-certification des – Désigner un responsable en
l’application de ces règles. les arrêtés de compte et la commissaires aux comptes charge de la bonne application
– Application de plusieurs consolidation. (CAC). de ces obligations.
types de comptabilité au – Définir pour l’organisation une
sein d’un même groupe. norme comptable unique.
251
– Être sûr que les éléments – Intégration « anticipée » – Dates des documents se – États financiers erronés. – Répertorier l’ensemble des
et flux comptabilisés se d’écritures dans l’exercice rapportant aux écritures. – Non-certification des obligations comptables, fiscales
rattachent bien à l’exercice de l’année en cours. – Procédure de clôture Commissaires aux comptes et juridiques qui s’imposent à
concerné. – Report d’écritures de d’exercice comptable. (CAC). l’organisation lors de la clôture
fin d’année sur l’exercice des comptes.
suivant. – Désigner un responsable en
charge de la bonne application
de ces obligations.
– Effectuer les rapprochements
Chapitre 10 ■ Les référentiels de risques
5. Trésorerie – Être sûr de maîtriser au – Les encaissements ou – Procédure de reporting – Utilisation de la – Disposer d’une application
mieux les prévisions de décaissements ne sont pas financier exhaustive afin trésorerie non optimale. informatique pour la gestion
trésorerie afin d’utiliser de ou mal comptabilisées. de baser les prévisions de Pertes financières. de la trésorerie.
la manière la plus efficiente – Absence ou insuffisance façon optimale. – Risques de non- – Établir des échéanciers
possible les fonds à la de communication – Délégation de signatures certification des comptes. précis afin d’identifier les dates
disposition de l’entreprise. entre les services de et habilitations. prévisionnelles concernant les
l’organisation dont – Système d’approbation encaissements et décaissements.
l’activité impacte les des décaissements. – Consolider les informations
prévisions de trésorerie. – Consolidation des de trésorerie avant toute prise de
– Pas d’application données de trésorerie. décision.
informatique pour la – Définir les habilitations pour
gestion de trésorerie. tout décaissement.
252
– Être sûr de régler les – Méconnaissance par – Système de suivi des – Pertes financières. – Établir un échéancier clair afin
fournisseurs, verser les les services concernés des paiements fournisseurs. – Paiements non effectués d’identifier les dates de paiement.
salaires, rembourser les engagements de paiement – Alertes d’échéances de en conformément aux – Vérifier la concordance des
emprunts, payer les impôts pris versement existant dans engagements pris. sommes à payer et les bénéficiaires
Les outils de l’audit
6. Paie (suite) – Être sûr de la cohérence – Les conventions – Conventions collectives. – Image de la société – Vérifier l’application des
de la politique salariale. collectives ne sont pas – Grille de rémunération. affectée. conventions collectives.
appliquées ou pas connues. – Répartition de la paie – Rémunérations non – S’assurer de la cohérence de la
– Des disparités existent entre chaque catégorie de équitables. politique salariale (dans le temps
au niveau de la paie en salariés. – Démotivation des et entre catégories de salariés).
fonction des sites. – En cas de sous-traitance salariés, risque de – Identifier clairement un
– La politique de partielle ou totale de la poursuite. responsable de la paie.
rémunération n’est pas en paie, rapports d’audit – Dans le cas d’une sous-traitance
phase avec les objectifs de effectué chez le prestataire. partielle ou totale du versement
l’organisation. de la paie, effectuer des contrôles
– Une partie de la paie est périodiques sur le prestataire.
sous-traitée.
– Les rémunérations de
certains dirigeants ne
transitent pas par le circuit
de la paie.
7. Financement – Être sûr que les meilleurs – Mauvaises prévisions – Procédures existantes. – Augmentation des – Formalisation d’une procédure
choix sont faits en matière financières. – Dossiers de financement charges financières. précisant les modalités de
253
de financement. – Manque de clarté dans la récents et significatifs. – Le financement ne financement (responsabilités,
communication financière. correspond pas au besoin. calcul des besoins, sélection du
mode de financement…).
8. Caisse – Être sûr qu’on vérifie les – Pas de procédure mise – Vérifier l’existence d’une – Erreur de caisse. – Formalisation d’une
mouvements de caisse. en place. procédure. – Risque de fraude. procédure de tenue de la
– Pas de supervision de la – Liste des personnes caisse (responsabilités, niveau
personne en charge de la habilitées. de reconstitution, contrôles
tenue de la caisse. périodiques…).
9. Stocks
Chapitre 10 ■ Les référentiels de risques
– Être sûr que tous les – Absence ou non respect – Procédure d’inventaire – Sur ou sous estimation – Formalisation d’une procédure
stocks sont correctement de la procédure établie physique. de la valeur des stocks de suivi des stocks et de mise à
évalués et comptabilisés. pour les inventaires – Inventaire permanent. (états financiers erronés). jour de l’inventaire permanent.
physiques – Liste des écarts – Formalisation d’une procédure
– Aucun suivi des stocks d’inventaire. d’inventaire physique.
et/ou inventaire permanent – Formation du personnel – Formation des personnes
défectueux. comptable. concernées en matière de
– Méconnaissance des valorisation et de dépréciation
règles comptables (coûts des stocks.
unitaires, dépréciation…).
PROCESSUS ET/OU DOMAINE : finance – comptabilité
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
10. Certification – Être sûr de la conformité – Méconnaissances des – Procédure permettant – Non-certification des – Mettre en place des dispositifs
des comptes des états financiers de règles comptables, fiscales de vérifier la sincérité et comptes. afin de promouvoir les bonnes
l’organisation. et juridiques. la régularité des comptes – Dégradation de l’image pratiques professionnelles
annuels. de l’entreprise. comptables.
– Être sûr que le CAC – Le CAC n’apporte pas de – Engagement de – Risque d’intrusion – Définir la mission du CAC
remplit ses obligations contribution au niveau de confidentialité du CAC. du CAC au-delà de ses (périmètre d’intervention,
dans le cadre de sa mission l’appréciation du contrôle – Collaboration entre prérogatives. obligations et limites).
légale. interne. l’audit interne et le CAC. – Mise en péril de
– Le CAC outrepasse ses – Rapport du CAC sur le l’indépendance du CAC.
prérogatives concernant sa contrôle interne.
mission.
11. Fiscalité – Être sûr que – Manque d’informations. – Entretiens. – Fraude fiscale. – Mettre en place une veille sur
l’organisation est en – Méconnaissance de la – Rapprochement entre les – Opportunités fiscales les nouvelles réglementations en
conformité avec la fiscalité réglementation fiscale en postes relatifs aux taxes, le non exploitées. vigueur.
en vigueur. vigueur. CA et les stocks. – Mauvaise image de – Désigner un expert en fiscalité
254
– Mémento fiscal. l’entreprise. (interne ou externe) chargé de
superviser l’application effective
des règles.
Les outils de l’audit
12. Investissement – Être sûr que les projets – Procédure – Procédure – Inadéquation du projet – Existence, connaissance
d’investissement sont d’investissement absente d’investissement existante. d’investissement à la et respect d’une procédure
définis, autorisés par une ou mal définie ou mal – Définitions des fonctions stratégie de la société. d’investissement.
personne habilitée et en connue. concernées. – Absence de maîtrise du – Existence et connaissance
adéquation avec la stratégie – Absence d’outils – Mode de calcul de la projet d’investissement. des outils pour le choix de
de l’organisation. d’évaluation. rentabilité. l’investissement.
– Dossiers d’investissement
récents et significatifs
(appréciation du respect de
la procédure).
– Être sûr que les modes – Procédure de – Critères de choix des – Surcoût financier. – Existence, connaissance et
de financement des financement absente, mal modes de financement. respect d’une procédure de
investissements retenus définie ou mal connue. – Dossiers d’investissement financement.
sont judicieux. – Absence d’outils récents et significatifs – Existence et connaissance
d’évaluation. (appréciation du choix du des outils pour le choix de
mode de financement). l’investissement.
Juridique et fiscal
© Dunod – La photocopie non autorisée est un délit
Activités de contrôle
(découpage du processus et/ou domaine)
A. Juridique
1. Forme juridique – Être sûr que la forme – Statuts de la société non – Statuts de la société. – Les garanties liées aux – Vérifier l’existence et l’archivage
de l’entité juridique de l’entreprise est connus. – Document Kbis. statuts ne sont pas mises des documents de constitution de
adaptée à l’organisation. – Statuts de l’entité – Textes législatifs. en place. l’entité.
incohérents avec sa finalité. – Risques de sanctions – Vérifier si toutes les dispositions
– Méconnaissance des fiscales. et garanties prévues dans les statuts
législations locales dans le – Pertes d’opportunités sont bien appliquées.
cas de filiales (poids des fiscales (crédits – Désigner un expert juridique
partenaires locaux…). d’impôts…). (interne ou externe) en charge de
255
ces problématiques.
2. Définition et – Être sûr que – Non-respect de la – Comptes rendus de – Risque de fraude. – Mettre en œuvre des bonnes
mise en œuvre l’organisation est pilotée législation. l’assemblée générale – Absence de déontologie pratiques en matière de
des instances de par une Gouvernance – Direction générale non ordinaire et extraordinaire. si la direction ne montre Gouvernance.
gouvernance de d’entreprise clairement impliquée. – Comptes rendus des pas l’exemple. – Formaliser des procédures
l’organisation définie et conforme aux réunions du Conseil – Absence de pilotage, définissant les modalités de
obligations légales. d’administration. mettant en péril la fonctionnement des divers
– Comptes rendus des pérennité de l’organisation. comités, émanations du Conseil
Chapitre 10 ■ Les référentiels de risques
3. Législation et – Être sûr du respect de – Méconnaissance et – Textes législatifs et – Sanctions envers – Diffuser une culture juridique
réglementation l’ensemble des lois et non respect des lois et réglementaires. l’entreprise pour le non- dans l’organisation.
réglementations réglementations (lois et – Procédure de veille respect de la législation et/ – Désigner un expert juridique
réglementations locales juridique. ou réglementation. (interne ou externe) en charge de
dans le cas de filiales). – Atteinte à l’image et à la ces problématiques.
– Méconnaissance des réputation de l’entreprise – Mettre en œuvre une veille
activités de l’organisation – Personnel non informé juridique (ou s’appuyer, dans le cas
par le service juridique. sur ses droits : Risque de de filiales, sur les compétences de
– Pas de veille juridique. conflit. la maison mère en la matière).
4. Actifs corporels – Être sûr de la protection – Moyens de protection – Dispositifs matériels – Pertes d’actifs non – Sécuriser les actifs de l’entreprise
de l’entreprise des actifs qui constituent le inefficaces ou absents. de protection des actifs assurés suite à un sinistre. (moyens matériels de protection
patrimoine de l’entreprise. – Immobilisations corporels. – Litiges avec la société adaptés).
256
non couvertes par une – Contrats d’assurance. d’assurance. – Mettre en place une couverture
assurance ou couvertes – Inventaire exhaustif des – Charges d’assurance des risques par des contrats
plusieurs fois. immobilisations. excessive non justifiées. d’assurance adaptés (un seul
– Système de suivi des contrat pour tous les biens devant
Les outils de l’audit
5. Contrats (suite) – Être sûr que les contrats – Absence (ou non mise à – Liste des habilitations et – Sanctions envers – Établir une liste limitée de
sont signés par des jour) de listes de personnes délégations de signatures. l’organisation qui peuvent personnes habilitées à signer
personnes habilitées. habilitées. affecter son image et sa (par catégorie de contrats).
– Méconnaissance des réputation.
obligations en la matière. – Engagements mal
maîtrisés, et pouvant
entraîner des pertes
financières.
6. Brevets – Être sûr du dépôt – Brevets non déposés ou – Répertoire de l’ensemble – Perte de propriété – Formaliser une procédure
et licences et du suivi des brevets, trop tardivement. des brevets et licences. intellectuelle. précisant les modalités à suivre
marques, licences et autres – Pas de suivi des brevets. – Dispositifs de suivi – Perte d’avantages pour le dépôt et le suivi des
éléments constituant – Non-renouvellement des périodique des brevets. concurrentiels. brevets, licences… (responsables
la propriété intellectuelle contrats et des licences. – Charte de confidentialité – Difficultés à ordonnancer internes concernés, instances
de l’organisation. – Absence de règles de au niveau des personnes les brevets. externes à contacter, clauses…).
confidentialité concernant ayant accès aux brevets. – Associer un expert juridique
la publication et – Liste de personnes ayant (interne ou externe) à la
l’utilisation des brevets. accès aux brevets. supervision de l’établissement
– Accès aux brevets non des brevets, licences…
257
définis. – Établir une liste des personnes
étant habilitée à accéder aux
brevets.
7. Litiges – Être sûr de la maîtrise – Absence de directives en – Organigramme et – Pertes financières liées au – Associer un expert juridique
du suivi des litiges la matière. définitions de fonction paiement des dommages et au traitement des litiges.
(réduction des montants – Pas de suivi de concernées. intérêts. – Formaliser une procédure
de dommages et intérêts, recouvrement des créances. – Directives existantes en – Provisions sur/sous pour le traitement des litiges
limitation de l’impact sur – Manque de compétences la matière. estimées ce qui entache (responsables internes concernés,
l’image de l’organisation). en matière de gestion des – Cas de litiges récents et l’exactitude des comptes planning, instances externes à
Chapitre 10 ■ Les référentiels de risques
8. Droit – Être sûr de la bonne – Incapacité des – Organigramme et – Nullité du contrat. – Établir une liste de personnes
commercial application de la signataires. définitions de fonction. – Risques de litiges clients. habilitées à signer les documents
réglementation liée au – Absence de listes de – Listes des personnes – Engagement de engageant l’organisation
Droit commercial. personnes habilitées à habilitées à signer. la responsabilité de – Associer un expert juridique
signer. – Code de commerce, et l’organisation. (interne ou externe) en charge
– Méconnaissance de code des marchés publics. – Dégradation de l’image de superviser les opérations en la
la réglementation en – Procédure de veille de l’organisation. matière en concertation avec les
la matière et de son juridique existante. responsables commerciaux.
évolution. – Mettre en place une veille
juridique.
– Sensibiliser le personnel associé
à l’activité commerciale à la
réglementation en vigueur.
– Mener éventuellement des
258
actions de formation auprès de
cette population.
9. Droit social – Être sûr de la bonne – Méconnaissance de la – Organigramme et – Nullité des contrats. – Établir une liste de personnes
Les outils de l’audit
application de la réglementation en vigueur définitions de fonction. – Dédommagements habilitées à signer les documents
réglementation liée au et de son évolution. – Listes de personnes financiers. engageant l’organisation
Droit du travail. – Absence de listes de habilitées à signer. – Dégradation de l’image – Associer un expert juridique
personnes habilitées à – Contrats de travail. de l’organisation. (interne ou externe) en charge
signer – Conventions collectives. – Conflits sociaux. de superviser les opérations en
– Charte d’éthique et la matière en concertation avec
règlement intérieur. les responsables des Ressources
– Affichage des règles de humaines.
sécurité. – Mettre en place une veille
– Procédure de veille juridique.
juridique. – Sensibiliser le personnel associé
à l’activité des ressources humaines
à la réglementation en vigueur.
– Mener éventuellement des
actions de formation auprès de
cette population.
© Dunod – La photocopie non autorisée est un délit
– Être sûr que l’entreprise – Absence de procédures/ – Liste des destinataires : – Nullité des contrats. – Formaliser une procédure pré-
transmet correctement les responsables pour les Législateurs, interne à – Pénalités financières cisant les modalités à suivre pour
déclarations nécessaires aux déclarations obligatoires. l’organisation. en cas de retards de établir et transmettre les déclara-
organismes sociaux. – Tous les destinataires des – Échéancier de tenue des transmission. tions nécessaires aux organismes
déclarations sociales ne RDV sociaux prévus par la – Engagement de sociaux (responsabilités, planning,
sont pas informés. législation. la responsabilité de instances externes concernées,
– Les déclarations sont – PV des CE. l’employeur. nature des informations à trans-
incomplètes. – Instructions de rédaction – Redressements en cas mettre…)
des déclarations. d’erreurs. – Sensibiliser le personnel associé
à l’activité des ressources humaines
à la réglementation en vigueur.
– Mettre en place une veille
réglementaire en la matière.
B. Fiscal
10. Déclarations – Être sûr de la fiabilité – Méconnaissance et/ – Lois et réglementations Non-respect ou non- – Établir un calendrier répertoriant
fiscales des déclarations fiscales ou incompréhension fiscales. conformité avec la toutes les obligations fiscales avec
et du respect des délais des réglementations en – Liasse fiscale. réglementation fiscale les responsables concernés.
dans la transmission vigueur. – Liste et planning en vigueur : pénalités de – Associer un expert fiscaliste
259
de ces documents à – Les informations servant répertoriant toutes les retard, amendes… (interne ou externe) chargé
l’administration fiscale de base à la préparation obligations fiscales. – Dégradation de l’image d’accompagner et/ou de superviser
concernée. des documents fiscaux sont – Pratiques régissant les de l’organisation. l’établissement et la transmission
incomplètes ou inexactes. modalités de réponse à ces des déclarations fiscales
obligations.
11. Optimisation – Être sûr de – Les informations – Déclarations faites à – Opportunités – Examiner les déclarations et la
fiscale l’optimisation fiscale et de permettant de générer des l’administration fiscale d’économies d’impôt non situation fiscale périodiquement
la minimisation des impôts économies d’impôts ne (TP, TS, CS, etc.) saisies. afin d’identifier des possibilités
Chapitre 10 ■ Les référentiels de risques
12. Paiement des – Être sûr du respect des – Méconnaissance des – Pratiques existantes – Pénalités financières pour – Établir un échéancier « fiscal ».
impôts et taxes échéances de règlement. obligations en la matière. (échéancier de retard de paiement – Veiller à sa bonne application.
règlement…). – Dégradation de l’image
– Code général des impôts. de l’organisation.
– Risque de poursuites et
de non-certification des
comptes.
260
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
Activités de contrôle
Les outils de l’audit
2. Informations – Être sûr que les – Système d’information – Système d’information – Non-fiabilité des – Formaliser une procédure
nécessaires informations nécessaires ne fournissant pas les utilisé. indicateurs fournis. définissant les modalités de calcul
à la valorisation à la valorisation des informations nécessaires. – Difficultés rencontrées – Retard dans la des indicateurs de mesure de la
des indicateurs indicateurs sont au niveau de la récolte des communication des performance (outils informatiques
disponibles et fiables. informations nécessaires. tableaux de bord. utilisés, informations nécessaires,
étapes de calcul, périodicité,
forme, exploitation des
résultats…).
3. Définition des – Être sûr que les tableaux – Non-consultation des – Tableaux de bord Tableaux de bord inadapté – Formaliser une procédure
tableaux de bord de bord, destinés à responsables concernés existants. au pilotage des activités. définissant les modalités de calcul
chaque responsable, sont par l’utilisation des – Entretiens avec le – Performance de des indicateurs de mesure de la
pertinents (nature et indicateurs. contrôle de gestion et les l’entreprise compromise performance (outils informatiques
nombre d’indicateurs, – Décision unilatérale du responsables concernés afin car outil d’aide à la utilisés, informations nécessaires,
périodicité, forme…) contrôle de gestion d’apprécier si les tableaux décision inexploitable. étapes de calcul, périodicité,
au regard des prises de de bord répondent aux forme, exploitation des
décisions qu’ils doivent besoins des utilisateurs résultats…).
permettre d’éclairer. – Associer les utilisateurs des
indicateurs de mesure de la
261
performance à la conception des
tableaux de bord.
4. Conseils – Être sûr de l’utilisation – Exploitation informelle – Procédure d’élaboration – Désintérêt des – Formaliser une procédure
apportés aux pertinente des indicateurs et/ou non systématique des des tableaux de bord (si responsables concernés définissant les modalités de calcul
responsables de mesure de la indicateurs. elle existe). concernant l’utilisation des des indicateurs de mesure de la
concernés performance. – Non-communication – Comptes rendus de tableaux de bord dans le performance (outils informatiques
dans le pilotage de ces résultats aux réunions entre le service pilotage de leur activité. utilisés, informations nécessaires,
de leur activité responsables concernés. contrôle de gestion et les – Gaspillage de ressources. étapes de calcul, périodicité,
responsables concernés – Absence d’outils de forme, exploitation des
Chapitre 10 ■ Les référentiels de risques
5. Communication – Être sûr qu’une synthèse – Manque d’intérêt de la – Organigramme et – Mauvaise interprétation – Formaliser une procédure défi-
des résultats à la périodique de ces direction générale (et/ou définitions de fonction. de l’information, nissant les modalités de calcul
direction générale indicateurs de mesure de instances de gouvernance) – Liste des personnes entraînant une mauvaise des indicateurs de mesure de la
et/ou instances la performance est faite à concernant la mesure de la destinataires des tableaux orientation dans la prise performance (outils informatiques
de gouvernance la direction générale et/ou performance. de bord. de décision/le choix utilisés, informations nécessaires,
instances de gouvernance. – Synthèse des indicateurs – Comptes rendus de stratégique. étapes de calcul, périodicité, forme,
de mesure de la réunion avec la direction – Manque de réactivité exploitation des résultats…).
performance inadaptée générale concernant dans la prise de décision. – Définir la nature et la forme des
aux attentes de la direction l’analyse de la synthèse synthèses à faire auprès de la direc-
générale. des indicateurs de mesure tion générale (et/ou les instances
de la performance. de Gouvernance) sur les indica-
teurs de mesure de la performance
B. Démarche budgétaire
262
1. Construction – Être sûr que les budgets – Absence ou imprécision – Procédure budgétaire (si – Budgets en décalage avec – Établir un planning des étapes
des budgets sont élaborés de façon des objectifs généraux de elle existe). les objectifs généraux et la jalonnant la démarche budgétaire.
pertinente et en cohérence l’organisation et de leurs – Liste des objectifs stratégie de l’organisation. – Formaliser une procédure
avec les objectifs de déclinaisons en objectifs généraux de l’organisation – Découpage budgétaire pour la démarche budgétaire
Les outils de l’audit
2. Suivi et contrôle – Être sûr que les budgets – Absence de suivi et de – Procédure budgétaire (si – Désintérêt des – Formaliser une procédure
budgétaire font l’objet d’un suivi et contrôle budgétaire. elle existe). responsables de centre pour la démarche budgétaire
d’un contrôle périodique – Suivi et contrôle – Résultats du contrôle budgétaire pour la (responsabilités, informations
tout au long de la période budgétaire non régulier et/ budgétaire de l’exercice démarche. initiales nécessaires, interlocuteurs
budgétaire. ou informel. précédent (appréciation de – Gaspillage de ressources. concernés, modalités de suivi
la réalité de ces contrôles). et de contrôle, exploitation des
– Planning précisant résultats…).
les étapes budgétaires
(construction, suivi et
contrôle…).
3. Exploitation – Être sûr de l’utilisation – Exploitation informelle – Procédure budgétaire (si – Désintérêt des – Formaliser une procédure
des résultats pertinente des résultats du des résultats du contrôle elle existe). responsables de centre pour la démarche budgétaire
du contrôle contrôle budgétaire tout au budgétaire. – Comptes rendus de budgétaire pour la (responsabilités, informations
budgétaire long de la période. – Non-communication réunions entre le service démarche. initiales nécessaires, interlocuteurs
de ces résultats aux contrôle de gestion et les – Gaspillage de ressources. concernés, modalités de suivi
responsables de centre responsables de centre et de contrôle, exploitation des
budgétaire. budgétaire pour expliquer résultats…).
les écarts budgétaires – Réaliser des réunions pério-
263
éventuels. diques tout au long de l’exercice.
4. Supports – Être sûr que la démarche – Absence ou insuffisance – Outils informatiques – Lenteur dans le – Établir une liste des personnes
de la démarche budgétaire est supportée des supports informatiques existants. traitement des opérations. concernées par la démarche
budgétaire par des outils adaptés et pour la démarche. – Liste des personnes budgétaire.
performants (Système – Responsabilités mal responsables concernées. – Disposer d’applicatifs
d’information, méthode définies. informatiques encadrant la
structurée…). – Méthodes non démarche.
structurées
Chapitre 10 ■ Les référentiels de risques
2. Choix et – Être sûr que le choix – Méconnaissance des – Méthodes de calcul de – Précision et/ou fiabilité – Définir les critères permettant
application des des méthodes de calcul principes et méthodes coûts pratiquées. des coûts calculés le choix des méthodes de calcul
méthodes de calcul des coûts est judicieux de calcul des coûts. – Justifications des choix inadaptées aux besoins de des coûts.
des coûts en fonction de la finalité – Méconnaissance des retenus en matière de l’organisation. – Former les contrôleurs de
recherchée. obligations réglementaires choix des méthodes. gestion aux méthodes de calcul
en la matière (valorisation des coûts.
« fiscale » des stocks). – Formaliser une procédure
définissant les modalités de calcul
– Être sûr que les – Méconnaissance des – Appréciation des – Non-fiabilité des coûts des coûts pour la ou les méthodes
méthodes de calcul principes et méthodes de pratiques lors de calculés. pratiquées (outils informatiques
retenues sont correctement calcul des coûts. l’application des méthodes utilisés, informations nécessaires,
mises en œuvre. – Système d’information de calcul des coûts. étapes de calcul, exploitation des
inadapté à la mise en – Système d’information
264
résultats…).
œuvre des méthodes utilisé.
de calcul
3. Informations – Être sûr que les – Système d’information – Système d’information – Non-fiabilité des coûts – Formaliser une procédure
Les outils de l’audit
nécessaires au informations nécessaires ne fournissant pas les utilisé. calculés. définissant les modalités de calcul
calcul des coûts au calcul des coûts sont informations nécessaires. – Difficultés rencontrées des coûts pour la ou les méthodes
disponibles et fiables. au niveau de la récolte des pratiquée (outils informatiques
informations nécessaires. utilisés, informations nécessaires,
étapes de calcul, exploitation des
résultats…).
4. Exploitation – Être sûr que les – Absence ou insuffisance – Comptes rendus de – Insatisfaction des – Formaliser une procédure
des résultats de ces résultats des calculs de de communication entre le réunion entre le service responsables/demandeurs définissant les modalités de calcul
calculs de coûts coûts sont exploités, de service contrôle de gestion contrôle de gestion et les concernés par les coûts des coûts pour la ou les méthodes
façon pertinente, afin de et les utilisateurs concernés responsables concernés par calculés. pratiquées (outils informatiques
répondre aux besoins des par les coûts calculés. les coûts calculés. – Prises de décision utilisés, informations nécessaires,
demandeurs. – Organigramme et incertaines en l’absence étapes de calcul, exploitations des
définitions de fonction. d’éclairage précis sur les résultats…).
coûts.
© Dunod – La photocopie non autorisée est un délit
265
disponibles au niveau – Entretiens avec les non fondées. fiable et dans les délais prévus.
du système d’information responsables en filiale et à – Formaliser une procédure
de la filiale. la maison mère en charge reporting au niveau du groupe
– Informations alimentant de ces opérations. (responsables concernés, planning
le reporting non fiables. – Modalités d’exploitation de transmission de l’information,
du reporting à la maison explication de la nature des
mère. informations demandées…).
3. Communication – Être sûr du respect – Intérêt relatif de la – Entretiens avec les – Retard dans – Formaliser une procédure
Chapitre 10 ■ Les référentiels de risques
du reporting des exigences de reporting filiale qui n’en comprend responsables en filiale et à la transmission reporting au niveau du groupe
à la maison mère par la filiale (délais…). pas l’utilité et qui vit ces la maison mère en charge du reporting et donc dans (responsables concernés, planning
obligations comme une de ces opérations. la consolidation groupe. de transmission de l’information,
contrainte. – Dates réelles de explication de la nature des
– Sources d’informations transmission des tableaux informations demandées…).
alimentant le reporting de reporting comparées au
non disponibles. planning prévu.
Systèmes d’informations
Activités de contrôle
(découpage du processus et/ou domaine)
1. Accès aux – Être sûr que seules – Accès au système – Liste de personnes – Perte de confidentialité. – Établir la liste des autorisations
systèmes les personnes autorisées d’information non habilitées ayant accès – Perte de qualité/intégrité d’accès au SI, aux applications et
informatiques ont accès aux systèmes contrôlé. au SI. des informations. aux fichiers/données sensibles :
d’information. – Non mise à jour des – Listes des logins et mots – Absence de détection de codes d’accès, outils de gestion des
listes de personnes de passe. modification de fichiers/ accès (tables d’accès par identifiant,
autorisées. – Procédure de mise à jour données sensibles. notion de groupe d’utilisateurs,
des logins et mots de passe. – Risques de fraude. différenciation lecture/écriture ...).
– Historique des – Risque financier. – Formaliser une procédure
connexions. d’attribution (arrivée, mutation),
– Hiérarchisation des de suppression et de mise à jour
266
informations présentes sur des mots de passe et codes d’accès.
le SI en fonction du degré – Désigner un responsable de l’attri-
de confidentialité. bution des niveaux de confidentialité
et la gestion des autorisations d’accès.
Les outils de l’audit
267
(risque juridique). procédure. – Analyse du niveau de dépen-
– Délai de paiement des – Liste des habilitations et dance vis-à-vis des sous-traitants.
prestataires de services non de typologie des droits. – Définition des champs
respecté (risque financier). d’application et des types de
– Absence de procédure travaux sur lesquels les prestataires
de gestion des contrats de peuvent intervenir.
prestation. – Existence de clauses de
– Collusion avec les confidentialité adaptées.
prestataires. – Choix de prestataires de services
– Habilitations des certifiés.
Chapitre 10 ■ Les référentiels de risques
4. Gestion des – Être sûr que les données – Absence de sauvegarde – Liste des sauvegardes – Risque financier. – Mise en place d’une procédure
sauvegardes sont sauvegardées de systématique. effectuées. – Perte d’informations périodique de sauvegarde
manière périodique sur – Absence de – Correspondance du stratégiques. automatisée des données.
différents supports à hiérarchisation des nombre des sauvegardes – Reprise compromise – Hiérarchisation des données
différents endroits. données à sauvegarder. listées avec le niveau des des exploitations. à sauvegarder.
– Absence de sauvegarde stocks de sauvegardes. – Incapacité à restaurer, – Salle de confinement des
régulière en fonction du – Codes classifiant en priorité, les données sauvegardes avec des accès sécurisés
niveau d’importance des l’importance des données. les plus critiques. et limités.
données. – Perte de confidentialité – Suivi par registre des personnes
– Absence de protocole de liée à des accès aux accédant aux sauvegardes.
stockage de sauvegarde. sauvegardes non – Procédure formalisée de
– Sauvegarde sur un contrôlées. restauration des données et testées
268
support unique. de façon périodique.
– Compte rendu de la bonne
exécution des sauvegardes.
Les outils de l’audit
5. Maintenance – Être sûr de la pérennité – Bugs à répétition. – Périodicité des contrats – Problèmes d’accès au SI. – Existence de moyens pour
de fonctionnement des – Pas de mise à jour des de maintenance. – Perte éventuelle des reprendre l’exploitation en cas de
systèmes informatiques. programmes. – Réactivité des personnes données. panne ou de perte importante de
– Non-renouvellement chargées de régler les bugs : – Non-utilisation du données (plan de reprise, contrat
des licences Tableaux de bord des SI car vu comme étant de maintenance…).
– Prestation de performances du service. « contraignant et lourd ». – Existence d’une hotline/
maintenance « générique » – Définition du champ – Utilisation de SI personnes dédiées (interne ou
non définie. d’application de la parallèles (PC personnels externe).
maintenance. etc.). – Reporting des bugs rencontrés
– Classification des bugs (machine, circonstance,
génériques. explications).
– Création d’un service de
maintenance interne : Hotline,
service client...
© Dunod – La photocopie non autorisée est un délit
6. Pertinence – Être sûr de la pertinence – Manque de personnels – Actions périodiques de – Inadéquation des – Définition d’une politique de
du système du système informatique compétents en système formation aux systèmes systèmes d’information aux choix des matériels informatiques.
d’information au sein de la société et de d’information. d’information. besoins de la société. – Existence d’un budget et d’un
son efficacité usuelle. – Manque de matériels – Renouvellement du – Perte de temps. suivi des coûts.
performant, optimisant matériel informatique. – Perte d’efficacité. – Existence et pertinence des cri-
l’utilisation des systèmes – Cohérence entre le – Non-optimisation des tères de choix et de hiérarchisation
d’information. besoin des utilisateurs et ressources. des développements à réaliser.
– Absence de formations les outils informatiques. – Insatisfaction des – Modalités d’échanges entre infor-
facilitant l’utilisation des – Planning des projets utilisateurs. maticiens et utilisateurs (existence
systèmes d’information. informatiques. – Absence de maîtrise du de correspondants informatiques,
– Complexité accrue du – Redéfinition des volume de travaux des modalités des transmissions des
système d’information. applications périodiques systèmes d’information. demandes ou des dysfonctionne-
en collaboration avec les – Risque financier (absence ments à l’informatique).
utilisateurs. de maîtrise des coûts). – Définition d’un plan d’action
permettant l’évolution des
systèmes d’information.
7. Fiabilité – Être sûr de la fiabilité du – Programme non correct – Procédures de – Perte de qualité – Existence d’un schéma décrivant
du système système d’information. ou non mis à jour. développement et de et d’intégrité de l’architecture des systèmes
269
d’information – Infrastructures maintenance (licences, l’information. d’information.
inadaptées pour les contrats de maintenance). – Dégradation accélérée du – Existence d’interfaces appropriées
serveurs. – Existence d’un modèle matériel. entre les systèmes et les applica-
– Absence de possibilité de conceptuel de données tions : absence de double saisie,
back-up. (MCD). contrôle automatique des saisies,
– Salles aux normes : contrôle des échanges de données.
« Salles blanches ». – Installation des serveurs centraux
dans des locaux adaptés.
8. Documentation – Être sûr qu’il existe une – Documents non mis – Procédure de gestion – Machines et outils en – Mise en place d’une
Chapitre 10 ■ Les référentiels de risques
base de documentation à jour. documentaire. panne impossible à réparer documentation fournie, variée et
du système d’information – Documentation trop – Base de données dans l’immédiat. mise à jour régulièrement.
disponible et mise à jour complexe. documentaires. – Difficultés de – Mise à disposition de l’ensemble
afin d’atteindre les objectifs – Documentation absente maintenance appropriée. des documents nécessaires en
assignés. ou incomplète. – Difficultés de formation temps opportuns.
des nouveaux employés. – Dissocier documentation tech-
– Non-utilisation des SI nique et documentation utilisateur.
de manière optimale. – Créer un archivage papier en
parallèle de l’archivage numérique.
Recherche et développement
Activités de contrôle
(découpage du processus et/ou domaine)
1. Lancement – Être sûr que le – Absence d’étude de coûts – Existence et pertinence – Projet incohérent avec les – Mettre en place un comité de
d’un projet lancement d’un projet est et/ou de faisabilité. des études de coût et de objectifs de l’organisation. décision indépendant pour le
conforme avec les objectifs – Absence de comité de faisabilité. – Projet trop long, lancement d’un projet R&D,
de l’organisation, qu’il est décision. – Existence et composition coûteux, non rentable, non réuni périodiquement.
faisable et planifié. – Absence de planification du comité de décision. faisable. – Diffuser l’information aux
des tâches et ressources – Existence, – Décision irrationnelle. personnes concernées.
nécessaires au projet. communication et – Non atteinte des – Exiger un avant-projet systé-
réalisme de l’avant-projet objectifs. matique pour les projets évalués,
(responsable, équipe, – Pertes financières. comprenant des études de coûts
ressources, tâches, délai…). et de faisabilité, une planification
270
détaillée et les responsabilités.
2. Gestion – Être sûr que les – Équipes éloignées, ne – Existence et utilisation – Perte de savoir-faire. – Mettre en place d’un système de
des flux entre différentes équipes de disposant pas de système des supports de – Doublons dans les diffusion de l’information adapté,
Les outils de l’audit
4. Tests et – Être sûr que les tests – Absence de planification – Suivi des tests et – Projet retardé. – Mettre en place un dispositif de
expérimentations et expérimentations sont détaillée et/ou de expérimentations : – Tests faussés. suivi de la phase de test et d’expé
menés dans les temps, par responsable désigné dans rapports, réunions de – Pertes financières. rimentation avec des réunions
les personnes habilitées l’avant-projet. travail et bilan justifié et de présentation de l’avancée des
et sont suivis par le détaillé des tests. travaux et des conclusions, des
responsable. rapports justifiant les conclusions.
5. Accord final – Être sûr que la direction – Prise d’une décision – Procédure de validation – Défiance des – Existence d’une procédure lors
de la direction dispose de toutes les sans tenir compte de la DG (respect des actionnaires. de l’émission d’un avis (assurant le
informations nécessaires des informations du réglementations en – Mauvais positionnement respect des réglementations et des
pour prendre les décisions service R&D et de la vigueur). pour la maîtrise des lois en vigueur).
appropriées concernant réglementation. résultats de la société.
la commercialisation du – Non atteinte des
produit. objectifs.
– Atteinte à l’image de
l’entreprise.
– Pertes financières.
6. Dépôt de brevet – Être sûr de la protection – Non-paiement des taxes – Dossier de demande – Imitation et contrefaçon. – Existence d’une veille
juridique des produits nécessaires à l’obtention d’obtention d’un brevet. – Perte d’avantage concurrentielle et juridique.
271
conçus. d’un brevet. – Factures établies concurrentiel. – Existence d’une collaboration
– Développement d’un par l’organisme – Perte financière. avec le service juridique.
produit faisant déjà l’objet d’enregistrement. – Projet non rentable. – Mettre en place un archivage
d’un brevet. – Brevets. – Contentieux avec fiable des brevets.
– Dépôt tardif ou non – Certificats de l’INPI. d’autres dépositaires.
dépôt des brevets.
– Absence de veille juri-
dique concernant les
législations sur la propriété
Chapitre 10 ■ Les référentiels de risques
industrielle et intellectuelle.
– Être sûr de la bonne – Absence de dispositif et/ – Existence et pertinence – Retard au niveau des – Élaboration d’un cahier des
formalisation et de la mise ou de politique concernant du dispositif de DPI : dépôts de brevets. charges.
à jour des procédures de les DPI. responsable, conditions – Dépôts de brevets non – Mettre en place un dispositif
brevetage. – Non suivi des de dépôt du brevet, conformes. clair concernant les DPI : comité
procédures/politique de (comité…), enregistrement. de décision (évaluation de la
dépôt de brevet. – Politique de dépôt de rentabilité et de la pertinence
brevet en corrélation avec la de la démarche), personnes
politique de développement. responsables, suivi des brevets.
PROCESSUS ET/OU DOMAINE : recherche et développement
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
6. Dépôt de brevet – Être sûr du maintien des – Dépassement du – Existence et pertinence – Perte d’avantage – Existence d’une veille
(suite) brevets dans le temps. délai imparti quant à du dispositif de DPI : concurrentiel. concurrentielle et juridique.
l’enregistrement du brevet responsable, conditions – Perte financière. – Mettre en place une procédure
et à sa publication. de dépôt du brevet, – Projet non rentable. de publication des brevets.
(comité…), enregistrement.
7. Gestion du – Être sûr de la gestion des – Gestion floue des projets – Dispositif de suivi des – Projets non menés à – S’assurer périodiquement que
portefeuille projet projets en cours. en cours. projets (remontée de terme. tous les projets s’inscrivent dans
l’information, suivi des – Non atteinte des la ligne définie par la R&D et
projets : réunions…). objectifs organisationnels. en cohérence avec les objectifs
stratégiques de l’organisation.
8. Conception – Être sûr que les Objectifs de la R&D – Évaluation et suivi de la – Doublons, superposition – Mettre en place un lien privilégié
des procédés innovations se traduisent peu clairs. conception des procédés des tâches avec le bureau entre la R&D et le bureau d’étude
de production par l’industrialisation des – Mauvaise de production à grande d’étude. pour élaborer les procédés de
272
produits concernés. communication avec échelle (lien avec le bureau – Innovation non production industriels : définir les
la production. d’étude). appliquée. responsabilités et tâches de chaque
service, réunions de suivi des
travaux…
Les outils de l’audit
9. Veille – Être sûr que – Aucune information – Liste des habilitations – Ne pas identifier une – Établir une procédure de veille
technologique l’organisation identifie recensée sur les nouveautés des personnes qui sont innovation majeure. technologique.
rapidement les technologiques ou responsables de cette – Perte de part de – Préciser sur les habilitations et
technologies pouvant information indisponible. mission. marché : les concurrents rôles de chacun dans le processus
permettre à l’organisation – Aucune personne – Procédures de sélection développent des produits de veille technologique.
de développer de nouveaux réellement en charge et de tri des informations. plus avancés. – Établir des procédures de sélec-
produits, d’améliorer ou formée à ce type de – Origine des – Temps de réaction trop tion et de hiérarchisation en termes
ses anciens produits, démarche de veille. informations/sources. long. de priorités des informations.
d’améliorer son outil – Procédure de – Interface R&D et services
de production et sa hiérarchisation de priorités concernés (production, marketing)
productivité. et/ou de sélection des afin de faciliter les remontés
informations. d’informations sur les tendances,
sur le contenu technologique des
produits concurrents, et assurer
une consultation permanente.
Marketing
© Dunod – La photocopie non autorisée est un délit
PROCESSUS ET/OU DOMAINE : marketing
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
Activités de contrôle
(découpage du processus et/ou domaine)
1. Connaissance – Être sûr que le marché – Absence ou insuffisance – Études de marchés. – Perte de chiffre d’affaires, – Formaliser les étapes de
du marché et ses évolutions sont d’informations nécessaires – Documents d’analyse du de parts de marché. réalisation des études de marchés.
et de son parfaitement connus et à une bonne connaissance cycle de vie des produits. – Non atteinte des – Disposer de toutes les données
environnement maîtrisés par le service du marché. – Étude régulière des objectifs commerciaux nécessaires à la détermination de la
marketing. – Position actuelle facteurs d’évolutions des – Manque de réactivité taille du marché ont été prises en
dominante ne favorisant marchés (conjoncture de l’organisation face à de compte (CA du marché, nombre
pas la sensibilisation des économique, politique nouvelles opportunités. d’acheteurs, quantité moyenne
services concernés à ce type ou sociale, variations – Perte d’image vis-à-vis de par acheteur, ventes totales,
de préoccupations. saisonnières, modes, la clientèle actuelle. taux de pénétration, valeur d’un
temps, offres, consommateur).
environnement). – Faire un point régulier sur les
tendances actuelles et futures
273
du marché (structure du
marché, évolutions...) et sur le
positionnement de l’organisation.
– Mise à jour des techniques
relatives aux études de marché.
– Être sûr que la – Concurrents mal – Documents d’analyse de – Perte de chiffre d’affaires, – Formaliser les étapes de réalisa-
concurrence est connue identifiés. la position concurrentielle de parts de marché. tion des analyses concurrentielles.
et maîtrisée par le service – Absence ou et calcul des parts de – Non atteinte des – Définir les critères permettant
Chapitre 10 ■ Les référentiels de risques
marketing (opportunités insuffisance en matière marché. objectifs commerciaux. une analyse complète de la posi-
de développement et/ de veille concurrentielle – Sources diverses tion concurrentielle (position sur
ou menaces de mise en (documentations en matière de veille le marché, puissance de la marque,
péril de certains produits nécessaires, compétences concurrentielle. critères techniques, critères finan-
ou services proposés par requises…). ciers, modes de calcul des parts de
l’organisation). – Position actuelle marché en volume et en valeur…).
dominante ne favorisant – Diversifier les sources en matière
pas la sensibilisation les de veille concurrentielle (clients,
services concernés à ce type distributeurs, fournisseurs,
de préoccupations. prestataires, panel, presse, salons,
colloques, informations financières
publiées, déclarations, études…).
PROCESSUS ET/OU DOMAINE : marketing
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
1. Connaissance – Être sûr que les besoins – Absence ou insuffisance – Analyse des principaux – Perte de chiffre d’affaires, – Définir les facteurs influençant
du marché des consommateurs et les d’analyse comportementale facteurs influençant de parts de marché. l’achat : facteurs socioculturels,
et de son facteurs influençant l’achat des consommateurs. l’achat. – Perte d’image vis-à-vis psychosociaux, personnels,
environnement ont bien été identifiés. – Outils de veille – Sources d’informations de la clientèle actuelle. psychologiques (besoins,
(suite) (quantitatifs et qualitatifs) sur les besoins actuels et – Insatisfaction des clients. motivation, perception,
inadaptés. besoins futurs (statistiques, – Perte financière. apprentissage, attitudes).
comptes rendus de la force – Vérifier l’existence d’études
de vente, sondages…). prévisionnelles des débouchés d’un
produit ou service.
2. Choix Segmentation – Mauvaise connaissance – Procédure de – Faible rentabilité. – Vérifier l’existence de procédures
des options – Être sûr que le marché du marché. segmentation – Perte de parts de de segmentation.
stratégiques a été découpé en sous- – Critères de segmentation – Documents d’analyse marchés. – Vérifier la pertinence des choix
274
fondamentales ensemble aussi homogènes non-pertinences, statistique des différences de segments. Les critères doivent
que possible, afin de difficilement mesurables, entre segments être choisis a priori et confirmés
permettre à l’organisation non pratiques ou non par des analyses statistiques des
d’adapter au mieux sa poli- mesurables par le différences entre segments.
Les outils de l’audit
2. Choix Positionnement – Absence ou insuffisance – Analyse des attentes du – Positionnement du – Définir le positionnement du
des options – Être sûr que le public d’informations sur les public. produit inadapté. produit (service marketing).
stratégiques puisse situer le produit produits concurrents. – Analyse du positionne- – Faible taux de vente. – Mener des analyses des attentes
fondamentales dans l’univers des produits – Le produit n’est pas ment des concurrents. du public, du positionnement des
(suite) analogues et le distinguer clairement identifié. – Étude d’image ou de concurrents et d’études d’image ou
des autres. – Le produit n’est pas concept pour déterminer de concept.
différencié des autres du les atouts potentiels du
même genre. produit.
3. Formulation Produit – Informations sur – Étude des attributs clés – Faible taux de vente. – Formaliser une procédure claire
et évaluation du – Être sûr que le produit les attributs clés du jouant un rôle majeur dans – Pas de garantie sur le et complète sur l’aspect produit :
marketing mix a été clairement et produit inexistantes ou les perceptions et attitudes système de qualité du définition (produit et attributs,
stratégiquement défini. approximatives. des consommateurs. produit. norme, gamme, conditionnement
– Cible positionnement – Règles communes – Menace d’exclusion du et emballage, service, marque) et
incohérent, pas clair. de fabrication et de marché. cycle de vie du produit.
– Aucune information des présentation des produits. – Pas de retour sur – Mener des études de marché
normes en vigueur. investissement. afin de déterminer le produit le
– Mauvaise hiérarchisation plus attractif possible auprès des
des critères prioritaires des consommateurs.
275
consommateurs. – Établir des règles communes de
fabrication et de présentation des
produits (normes).
– Vérifier l’adéquation du produit
avec le budget et les technologies
alloués au projet par l’entreprise.
– S’assurer que le service
marketing travaille en relation avec
le service R&D pour l’élaboration
de nouveaux produits.
Chapitre 10 ■ Les référentiels de risques
Produit – Les moyens possédés par – Estimation du cycle de – Pas de retour sur – Mener des études de marché
– Être sûr que le produit l’entreprise ne permettent vie du produit. investissement. afin de déterminer le produit le
possède un fort potentiel de réaliser service et/ou le – benchmark auprès des – Menace d’exclusion du plus attractif possible auprès des
pour l’avenir. produit. concurrents. marché. consommateurs.
– Mauvaise analyse du – Informations sur le – Faible taux de vente. – Déterminer la place du produit
marché. secteur du produit : – Mise en péril de la dans son cycle de vie.
– Lancement d’un produit (image, pérennité, etc.). pérennité de l’entreprise. – Effectuer des démarches sur le
sur un segment non viable segment de marché des produits.
ou en décroissance.
PROCESSUS ET/OU DOMAINE : marketing
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
3. Formulation Prix – Mauvaise évaluation – Procédures de fixation – Faible taux de vente. – Formaliser les modalités de prise
et évaluation du – Être sûr que le prix a une du coût de production, des prix. – Insatisfaction des clients. en compte des 4 facteurs suivant
marketing mix influence positive sur la prix de revient, des prix – Études des coûts de – Perte de parts de pour la détermination du prix :
(suite) rentabilité de l’entreprise des concurrents et des production. marchés. objectifs généraux de la stratégie
et ne constitue pas une distributeurs. – Documents de – Diminution du CA marketing, structure des coûts
barrière à l’achat pour les – Le prix n’est pas cohérent benchmarking axé sur le (rentabilité 0). de production, politique de prix
consommateurs. avec le positionnement du prix des concurrents. des concurrents et distributeurs,
produit ou du service. – Étude de l’élasticité de la élasticité de la demande finale par
demande finale par rapport rapport au prix.
au prix. – Vérifier l’adéquation entre
le prix de vente, le prix de
revient, la stratégie de vente et le
276
positionnement du produit face
aux consommateurs.
– Définir les modalités de
collaboration entre le service
Les outils de l’audit
3. Formulation Publicité – Mauvaise connaissance – Études réalisées sur – Le message n’est pas – Mener des analyses des
et évaluation du – Être sûr que la de l’audience par les populations ciblées. décodé ou pas entendu par populations ciblées et leur
marketing mix communication sur l’émetteur. – Plan et budget le récepteur. rapprochement avec le produit
(suite) le produit est faite – Mauvaise répartition de communication – Faible taux de vente. et le mode de promotion choisi.
en adéquation avec du budget entre les outils (annonces presse, – Perte de clients – Établir et faire valider le plan
le public visé. de communication. spots radio, messages potentiels. média par la direction.
télévisés…).
– Dispositifs de fidélisation
client.
Promotion – Moyens de promotion – Répartition des budgets – Pas de retour sur – Définir un plan et un budget
– Être sûr que les moyens du produit inadaptés. promotion par rapport les investissements en de communication.
utilisés pour promouvoir – Mauvaise répartition aux objectifs. communication. – Effectuer le rapprochement
le produit sont pertinents du budget entre les outils – Études concernant – L’organisation ne entre le contenu de chaque partie
et efficaces. de communication. le rapprochement parvient pas à faire du plan média avec les différents
entre positionnement connaître son produit. objectifs.
du produit, cible et – Faibles ventes ➙ hausse
moyens de promotions. des stocks.
4. Planification – Être sûr que les objectifs – Stratégie marketing floue – Objectifs stratégiques. – Absence de réalisation – Définir des plans d’actions
277
marketings définis (cible, positionnement, – Plans d’actions (nature des objectifs stratégiques, cohérents avec la stratégie
sont déclinés au niveau ventes…). des opérations à mener, s’ils ne sont pas déclinés et marketing, qui soient validés par
opérationnel en plan responsabilités et moyens affectés. la DG et les services concernés
d’action. nécessaires…). (commercial, production,
R&D…).
– Attribuer les plans d’actions
détaillés à des personnes
responsables de leur réalisation
dans les délais impartis
Chapitre 10 ■ Les référentiels de risques
5. Mise en œuvre – Être sûr de la bonne – Absence de plans – Moyens de communica- – Non atteinte des – Effectuer un suivi de la mise en
réalisation des plans d’actions ou plans tion des plans d’action aux objectifs et des plans œuvre des plans d’actions (de la
d’action sur le terrain d’actions flous, sans services concernés (produc- d’action. réunion de lancement au bilan)
par les personnes et/ou responsable identifié. tion, finance, commercial, – Résistance des autres régulier et avec l’ensemble des
les services concernés. – Moyens insuffisants pour RH…) et réunions de tra- services pour la mise en acteurs concernés.
la mise en œuvre des plans vail pour suivre leur bonne œuvre des plans d’action. – Mettre en œuvre un système
d’action. – Plans d’action mise en œuvre.– Outils de de communication adapté entre
non validés avec les autres pilotage de l’avancement les services.
services concernés. des plans d’action. – Mettre en œuvre un système
– Liste des personnes en de remontée des informations
charge de ce pilotage. pertinentes vers les personnes en
278
charge du pilotage (DG…).
6. Contrôle – Être sûr que les résultats – Contrôle discontinu. – Dispositifs de contrôle – Objectifs marketing non – Définir les dispositifs de
et veille des actions marketings – Planification n’ayant pas dans les plans d’action. atteints. contrôle et de pilotage concernant
Les outils de l’audit
sont mesurés afin d’en intégré de dispositifs de – Outils de contrôle – Perte financière directe et la mise en œuvre des actions
apprécier l’efficacité et contrôle des actions. disponibles pour évaluer indirecte. marketings au regard des objectifs
qu’ils servent au pilotage – Absence d’objectifs les objectifs : existence et – Perte de clients et de part commerciaux.
de l’activité (actions chiffrés dans les plans cohérence. de marché. – Anticiper les écarts en mettant
correctives en cas de d’action. – Réalisation effective des en place des mesures correctives
dérive, identification des – Outils de contrôle ne contrôles. influant sur les objectifs ou les
opportunités à saisir…). permettant pas d’évaluer – Dispositifs de moyens d’action.
les objectifs. veille concurrentielle – Mise en œuvre d’un système
– Absence de moyens (existence et modalités de de veille concurrentiel continu
nécessaires à la veille fonctionnement). permettant une réactivité de
technologique. – Comparer le résultat l’organisation par rapport aux
avant et après les actions évolutions de son environnement.
correctives.
Achats
© Dunod – La photocopie non autorisée est un délit
Activités de contrôle
(découpage du processus et/ou domaine)
1. Expression – Être sûr que l’achat – Achat non nécessaire, – Organigramme détaillé – Achat mal défini risquant – Mettre à jour régulièrement la
du besoin correspond à un besoin non réalisable ou non avec définitions de de ne pas correspondre aux hiérarchisation des pouvoirs au
réel de l’organisation et autorisé. fonction écrites pour la besoins. niveau des DA qui seront émises
qu’il est validé par une – Achat non conforme aux Demande d’Achat (DA) – Risque de dépassement par un responsable du service
personne autorisée. principes de l’organisation. et son acceptation. par rapport au budget. demandeur et validées par une
– Achat inutile ou non – Règles et pouvoirs de personne autorisée.
anticipé. signature. – Valoriser et référencer la DA à
– Achat d’urgence non un budget.
maîtrisé. – Référencer la DA à un cahier des
279
charges pour certains types d’achats.
– Mettre en place une procédure
d’exception pour les achats en
urgence (si récurrence de ce type
d’achat).
2. Sélection – Être sûr d’obtenir un – Fournisseurs potentiels – Annuaires professionnels. – Fournisseurs ne – Mettre en place un système
du fournisseur maximum d’informations non consultés, fournisseurs – Offres fournisseurs. répondant pas aux d’information sur les fournisseurs
sur les fournisseurs privilégiés. – Fiches fournisseurs. attentes (rupture des à la disposition des acheteurs.
potentiels afin d’évaluer – Absence de véritable – Procédure d’appel approvisionnements). – Supprimer les relations de
Chapitre 10 ■ Les référentiels de risques
leurs propositions mise en concurrence. d’offres (AO). – Surcoût des achats par dépendance avec les fournisseurs.
équitablement et ainsi – Mauvaise évaluation du – Procédure de absence véritable de mise – Mettre en place une procédure
comparer leurs offres de fournisseur sélectionné par dépouillement des offres. en concurrence. d’AO et de dépouillement.
manière pertinente. des critères de comparaison – Pertinence, fiabilité – Collusion. – L’acheteur doit rédiger l’AO en
inadaptés (éléments et qualité du système collaboration avec les demandeurs
quantifiables : prix et délai/ d’information fournisseurs. après étude préalable du marché.
qualité et fiabilité). – Définir des critères de comparai-
son permettant de justifier les choix
(prix, qualité technique des pro-
duits, situation du fournisseur…).
PROCESSUS ET/OU DOMAINE : achats
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle de bonnes pratiques
Sous-domaines Facteurs (scénarios
interne) Points de contrôle Impacts de contrôle interne
d’empêchement)
3. Négociation – Être sûr que les – Termes de la commande – Règles et pouvoirs – Non-respect des termes – Mettre en place un support de
et Contrat commandes existent non négociés. de signature. de la commande. commande standard, numérotée
et que les termes de – Termes de la commande – Liste de fournisseurs – Termes de la commande et comportant les conditions
ces commandes ont négociés mais non autorisés. modifiés à des fins générales d’achat (conditions
été négociés, formalisés formalisés. – Bons de commande personnelles. de transport, conditions de
et autorisés. – Engagement non (BC). – Litiges avec les paiement…).
autorisé. – Accusés de réception fournisseurs. – Mettre à jour régulièrement
– Court-circuitage par de commande (AR). – Achats non conformes la liste des personnes habilitées
le service demandeur aux principes de à signer les commandes.
280
de la procédure d’achat. l’entreprise. – Diffuser l’information de
– Dépassement par rapport la passation de commande au
au budget. service demandeur, au service
comptabilité et au service
réception.
Les outils de l’audit
4. Suivi des – Être sûr que les – Absence d’un suivi – Bons de commande – Non-respect des termes – Diffuser l’information de
commandes commandes en cours font des engagements de (BC). de la commande. la passation de commande au
en cours l’objet d’un suivi fiable, l’entreprise. – Accusés de réception de – Risque de litiges service demandeur, au service
pertinent et efficace. – Absence d’une procédure commande (AR). importants ; de non- comptabilité et au service
de suivi des commandes – Tableau de suivi des respect de délai de réception.
en cours ou procédure commandes en cours. livraison. – Classer les BC en attente
incomplète ou imprécise. de réception et AR.
– Rapprocher les BC avec
les AR.
– Établir un tableau de suivi
des commandes en cours.
© Dunod – La photocopie non autorisée est un délit
5. Réception – Être sûr que le contrôle – Méconnaissance des – Bons de commande – Non-conformité en – Réceptionner les livraisons en
des marchandises de la réception des livraisons. (BC). quantité ou en qualité. des lieux définis.
ou livraison de marchandises ou de la – Absence d’une procédure – Bons de livraison (BL). – Marchandises reçues – Établir des bons de réception (BR)
la prestation livraison de la prestation de contrôle ou procédure – Bons de réception (BR). ne correspondant pas aux et les rapprocher aux BL et BC.
est correctement effectué incomplète ou imprécise. – Lettres de relance, besoins au niveau quantité – Si des écarts ou des retards sont
de façon à vérifier la – Bons de commandes réclamation aux et/ou qualité. constatés, relancer le fournisseur et
conformité avec la (BC) et/ou bons de fournisseurs. – Ralentissement de avertir les demandeurs.
commande. livraison (BL) « égarés ». – Bordereaux de retour. l’activité. – Envoyer un double du BR
– Absence de – Erreur d’imputation et/ au service comptable et classer
rapprochement entre BL et ou erreur d’affectation l’original en attente de facture
marchandises reçues. dans les états financiers. (enregistrement du BR vaut un
bon à payer).
– Mettre en place une procédure
formalisée concernant les litiges
(avec ou sans retour, réclamations).
6. Contrôle et – Être sûr que les – Absence de procédure de – Factures. – Retard ou omission dans – Définir, formaliser et communi-
enregistrement des factures fournisseurs sont réception des factures ou – Bons de réception (BR). la comptabilisation. quer des procédures de réception
factures, paiement correctement contrôlées, procédure imprécise. – Bons de commande – Problème de cut-off et de paiement des factures claires
281
des fournisseurs enregistrées et réglées. – Procédure de réception (BC). (non-respect des règles et précises en définissant le rôle et
des factures méconnue ou – Mouvements comptes comptables de séparation les responsabilités de l’ensemble
mal communiquée. fournisseurs et flux de des mois/années). des acteurs (opérations de règle-
– Perte de factures. trésorerie dans les états – Double paiement. ment effectuées différentes de
– Absence de financiers. – Paiement non autorisé. celles qui approuvent les pièces
rapprochement entre – Liste de personnes – Factures impayées. justificatives, comptabilisent les
facture et BR (quantité, habilitées à signer les – Détournements (non- opérations d’achat et paient les
qualité) et BC (prix). documents de paiement. séparation des fonctions). règlements bancaires).
– Absence de procédure de – Procédures de réception – Mettre à jour la liste des
paiement des factures ou et de paiement des factures personnes habilitées à signer les
Chapitre 10 ■ Les référentiels de risques
7. Implication – Être sûr que le service – Non-prise en compte des – Analyse des écarts – Prévisions de budget – Impliquer le service achats dans
du service achat achat participe à stocks lors de l’élaboration précédents entre le en déconnexion avec les l’élaboration du budget annuel,
dans le pilotage l’élaboration du budget du budget achats. prévisionnel et le réel. objectifs et les contraintes des plans d’achats annuels et des
du Groupe annuel et des plans – Le service achats – Procès-verbal de la opérationnelles de écarts prévisions/réel.
d’achats annuels. ne participe pas à réunion d’élaboration du l’activité. – Établir un planning des
l’élaboration de son budget budget. – Absence de maîtrise des principales commandes passées par
et des plans d’achats. – Planning budgétaire des coûts. le service.
dépenses. – Prendre en compte les états de
– Prévisions des évolutions stocks lors de l’élaboration des
de stocks. budgets achats.
282
– Être sûr que le service – Absence de contact des – Nomenclature des – Détérioration des – Ratifier des contrats de longue
achat est l’interlocuteur achats avec l’extérieur : fournitures et matériels. rapports avec les durée avec les principaux
privilégié des fournisseurs. Faible autonomie. – Procédure achat et post- fournisseurs. fournisseurs.
Les outils de l’audit
Activités de contrôle
(découpage du processus et/ou domaine)
1. Estimation – Être sûr que le stock – Stocks insuffisants pour – Prévision des ventes/ – Surestimation du – Estimation des besoins en stock
et prévision permettra de satisfaire les la production. objectifs généraux. stock nécessaire, risque en collaboration avec les services
des stocks aléas de la demande des – Absence de mise à jour – Procédure d’estimation de charges financières contrôle de gestion/marketing/
clients (externe/interne). des caractéristiques de des stocks. supplémentaires. commercial/production.
l’appareil productif. – Rapprochement avec – Sous-évaluation du – Mise à jour des caractéristiques de
inventaires périodiques. stock nécessaire, risque l’appareil productif à chaque modi-
– Tableaux de gestion des de rupture de stock. fication du processus de production.
stocks par produit. – Apparition de stocks – Effectuer des inventaires
– Planning des demandes its dormants. périodiques afin d’estimer les
283
de sorties en provenance niveaux de stocks en vue d’ajuster
des services clients. les prévisions.
– Être sûr que l’estimation – Absence de procédure – Procédure d’estimation – Surestimation du – Estimation des besoins en stock
des niveaux de stocks d’estimation des stocks. des stocks. stock nécessaire, risque en collaboration avec les services
nécessaires tient compte – Les stocks de sécurités ne – Données historiques de charges financières contrôle de gestion/marketing/
du stock de sécurité et sont pas connus. (niveau de production/ supplémentaires. commercial/production.
correspond à l’activité – Présence de stocks stocks des années – Sous-évaluation du – Mise à jour des caractéristiques
de l’organisation. dormants non pris en précédentes). stock nécessaire, risque de l’appareil productif à chaque
compte. – Travaux d’estimations de rupture de stock. modification du processus de
Chapitre 10 ■ Les référentiels de risques
2. Les mouve- – Être sûr que tout – Entrée ou sortie de stock – Fiche des entrées/sorties – Risque de démarque – Signature du bon de réception
ments de stock mouvement de stock fictive. de stocks. (détournement de stocks). par le service gestion des stocks
(entrée/sortie) correspond a une réalité – Absence de bon – Liste des bons de – États financiers faussés. et le service achat.
et a une justification. de cession au client/ cessions. – Charges financières – Procédure entrées et sorties de
demandeur. – Liste des commandes. supplémentaires. stocks.
– Absence de – Liste des bons de – Accroissement des – Rapprochement bon de bon
rapprochement entre liste réceptions. volumes de stocks de façon de commande du client/bon de
des commandes et entrées – Liste des bons non justifiée. livraison/bon de réception client.
en stock. d’expéditions. – Rapprochement bon de
– Absence de suivi entrées/ réception du service/bon de
sorties. commande de la société.
– Être sûr que tout – Non-enregistrement des – Procédures d’entrée et – Charges financières – Tracer les produits de façon
mouvement de stock est mouvements de stocks. sortie de stock. supplémentaires. homogène via le même dispositif.
284
enregistré. – Absence de dispositif de – Récapitulatif des entrées/ – États financiers faussés. – Enregistrer les mouvements de
tracking des produits. sorties journalières stocks en temps réel.
– Dispositif de tracking comparé au stock net en
non uniforme. fin de journée.
Les outils de l’audit
3. Maintien du – Être sûr que pour tout – Absence de commande – Estimation d’une marge – Rupture de stock. – Identification des biens
niveau de stock besoin de reconstitution systématique en deçà d’un de stockage correspondant – Surfacturations des pouvant faire l’objet de tel
et réapprovision- des stocks, un certain niveau de stock. aux aléas de la demande. fournisseurs/prestataires réapprovisionnement et
nement. réapprovisionnement – Stock de sécurité calculé – Estimation du niveau de logistiques. négociation de contrat avec
est fait. erroné stock nécessaire. – Estimation des stocks les fournisseurs.
– Délais de – Listing des arrivées de erronée, ce qui biaise les – Accréditer un responsable
réapprovisionnement trop réapprovisionnement. informations financières. de gestion des stocks ayant
long. – Liste des demandes – Coût de pouvoir d’effectuer les
de réapprovisionnement réapprovisionnement trop réapprovisionnements permettant
rapprochée au niveau de important. de reconstituer des stocks.
stocks actuel.
– Méthode de
calcul du seuil de
réapprovisionnement.
© Dunod – La photocopie non autorisée est un délit
3. Maintien du – Être sûr que le niveau – Mauvaise estimation – Méthode de – Perte de contrat (ou – Mise en place d’un outil de
niveau de stock de stock est maintenu. des niveaux de stocks. calcul du seuil de litige) réapprovisionnement automatique
et réapprovision- réapprovisionnement. – Ruptures de stock. en deçà d’un certain niveau de
nement (suite) – Estimation du niveau – Impossibilité à satisfaire stock.
de stock nécessaire. une commande. – Suivre une méthode de calcul
– États des ruptures de – Charges financières unique pour toute définition des
stocks. éventuelles (pénalité seuils de réapprovisionnement.
de retard, absence de
négociation des tarifs dû
aux petites quantités).
4. Évaluation/ – Être sûr que le stock – Défaut de connaissance – Communication des – Valorisation comptable – Mettre en place une procédure
valorisation est évalué selon les des normes comptables normes comptables de des stocks faussée, états de valorisation des stocks en
des stocks principes comptables choisies par l’entreprise/le l’entreprise/du groupe. financiers faussés (BFR, accord avec les règles comptables
de l’organisation. groupe pour la valorisation – Procédure de valorisation provisions, etc.). de la société/du groupe, procédure
des stocks (CUMP etc.). des stocks et des en-cours. – Baisse de crédibilité. incluant les en-cours.
– Absence de méthode de – Fiche de suivi des stocks. – Prise de décision – Nommer un responsable de la
valorisation des stocks. – États de valorisation éventuellement erronée. valorisation des stocks.
– Valorisation des stocks des stocks des années – Réaliser une valorisation
285
hétérogène en fonction précédentes. périodique en rapprochant les
de la période. sorties (et demande des services)
et les entrées en stocks (réception
de marchandise).
– Être sûr que la – Outil/méthode de – Procédure de valorisation – Baisse de crédibilité. – Mettre en place une procédure
valorisation est valorisation non efficace. des stocks et des en-cours. – Prise de décision de valorisation des stocks en
représentative de la réalité. – La valorisation n’est – Rapprochement des éventuellement erronée. accord avec les règles comptables
pas effectuée au moment valeurs des références – Risque de non- de la société/du groupe, procédure
opportun. stockées sur site avec les certification des comptes incluant les en-cours.
Chapitre 10 ■ Les référentiels de risques
5. Inventaire – Être sûr que le résultat – L’inventaire n’est pas – Procédure d’inventaire – États financiers faussés. – Procédure d’inventaire physique
des stocks de l’inventaire des stocks exhaustif. des stocks incluant la – Risques de démarque exhaustive.
est conforme à la réalité. – Absence de procédure séparation des tâches. (détournement de stocks). – Séparation des tâches.
d’inventaire. – Fiche(s) d’inventaire(s). – Éventuel double comptage
– Absence ou mauvaise – Plan/programme pour les stocks critiques ou en cas
séparation des tâches. d’inventaire. d’écarts.
– Absence de plan/ – Liste du personnel – Contrôles de l’inventaire.
programme d’inventaire. d’inventaire. – Plan/programme d’inventaire.
– Dispositif de sécurité – Effectuer les rapprochements
physique. entre les stocks virtuels (dans le SI)
et les stocks réels.
286
– Sécuriser les accès de l’entrepôt
lors du déroulement de
l’inventaire.
– Être sûr que – Absence ou mauvaise – Date de l’inventaire. – Pertes financières. – Procéder à l’inventaire durant
Les outils de l’audit
l’organisation des séparation des tâches. – Plan/programme – Cessation d’activité. les périodes creuses de l’activité.
inventaires physiques – Manque de ressources d’inventaire. – Planifier le déroulement de
assure une continuité nécessaires lors de l’inventaire en corrélation avec
d’exploitation. l’inventaire. l’activité.
6. Sécurisation – Être sûr que la sécurité – Locaux non sécurisés – Règle de sécurité. – Destruction ou – Souscription d’une assurance.
des stocks des stocks est assurée. (absence de système de – Preuve de l’entretien des détournement des stocks. – Mise à jour des règles de sécurité
prévention/détection/ systèmes de prévention/ – Charges financières. et communication de celles-ci.
protection). détection/protection. – Systèmes de prévention/
– Absence/non application – Règlement intérieur. détection/protection entretenus.
de règles de sécurité. – Liste des personnes
– Non-restriction de ayant suivi une formation
l’accès aux stocks. sécurité.
Production et services connexes
© Dunod – La photocopie non autorisée est un délit
Activités de contrôle
(Découpage du processus et/ou domaine)
1. Conception et – Être sûr qu’on étudie – Concurrence avec la – Cahier des charges bien – Risque de conflits de – Assurer un strict suivi du cahier
études préalables quels seront les concepts fonction Recherche et suivi. pouvoir entre fonction des charges.
à la production technologiques et/ou Développement (R&D). – Communication et R&D et production. – Communiquer sur les aspects
méthodes à utiliser pour – Technologie trop collaboration lors de – Augmentation des délais techniques importants de la mise
satisfaire le cahier des compliquée à mettre en l’élaboration du cahier des de lancement et mise en en production ainsi que sur le
charges. œuvre. charges. production. planning de développement.
– Coût trop élevé. – Définition précise des – Difficulté à passer d’un – Collaboration entre ces deux
– Concept en rôles de la R&D et du stade de production services.
287
inadéquation avec les bureau d’étude. expérimental à un stade de – Veiller à ce que du personnel
besoins des clients. – Connaissance et production industrielle. R&D soit détaché pour aider à la
communication des – Production irréalisable, mise en place de la production.
moyens de production inadaptée.
existants et des normes de
fabrication.
– Être sûr que ces concepts – Les études réalisées ne – Budget production – Augmentation des délais – Prévoir au préalable une
et/ou méthodes de suivent pas les mêmes validé. de lancement et mise en estimation du budget de mise
production sont définis orientations stratégiques – Points de vérification du production. en production.
Chapitre 10 ■ Les référentiels de risques
afin de minimiser les que les objectifs de cahier des charges validés – Augmentation des coûts – Veiller à la conformité et au
coûts, les pertes de temps l’entreprise. avec le client. due à l’aboutissement caractère réalisable des projets.
et de garantir une sécurité – Il y a des contradictions – Connaissance et sur des solutions non
maximale. dans les études réalisées. communication des optimisées.
– Absence de réunions moyens de production
de travail entre les existants et des normes
collaborateurs et/ou les de fabrication.
différents bureaux d’étude
PROCESSUS ET/OU DOMAINE : production et services connexes
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
1. Conception et – Être sûr que les études – Absence d’objectifs – Réunion périodique – Les études ne répondent – Évaluer les écarts entre
études préalables théoriques sont réalisables, clairs. d’analyse des études pas aux besoins de les études réalisées et les objectifs
à la production cohérentes et qu’elles ne – Absence de réunions réalisées. l’entreprise. finaux.
(suite) remettent pas en cause les de travail entre les – Cahier des charges – Augmentation des délais – Les études réalisées doivent être
objectifs de l’organisation. collaborateurs et/ou les relatant les exigences que de lancement et mise en orientées dans le même axe que
différents bureaux d’étude. devra respecter l’outil de production. ces objectifs.
production. – Non-conformité des – Les études doivent aboutir sur
– Existence et projets avec le cahier des des projets réalisables.
connaissance des objectifs charges. – Tenir des réunions périodiques
organisationnels. permettant de faire un point
et de re-cadrer l’étude en cas
de « dérive » par rapport aux
288
objectifs.
– Être sûr de la bonne – Mauvaise connaissance – Cahier des charges – Les études ne répondent – Choix en concertation entre
coordination entre des normes et/ou des relatant les exigences que pas aux besoins de R&D ayant mis au point le
Les outils de l’audit
le service Recherche moyens de fabrication. devra respecter l’outil de l’entreprise. produit et bureau d’étude devant
& Développement, – Absence de production. – Dégradation de l’image gérer la production industrielle
le bureau d’étude, le communication entre les – Existence et de la production auprès de celui-ci.
service ordonnancement/ collaborateurs et/ou les connaissance des objectifs des clients interne. – Définir le rôle de chaque service
lancement. différents bureaux d’étude. organisationnels. – Non-conformité des connexe à la production ainsi
– Les rôles de la R&D – Réunions de travail projets avec le cahier que ses moyens (humains et
et de la production dans périodiques régulières des charges. financiers).
l’élaboration des concepts (avancée des travaux). – Définir la contribution de
ne sont pas ou mal définis. chaque service aux objectifs
opérationnels de la production.
– Structurer les études
(calendrier…) de façon formelle
et les communiquer aux
collaborateurs concernés.
© Dunod – La photocopie non autorisée est un délit
2. Planification – Être sûr que la – Manque de – Cahier des charges. – Production en déphasage – Existence de documents
de la production production est planifiée communication et – Plan prévisionnel de avec les prévisions de standards pour la préparation
de manière à réduire les d’information. production. ventes et disponibilité de et la communication des
coûts et les stocks à leur – La planification est mal – Système de l’outil industriel. prévisions de ventes et plans
minimum. effectuée : les prévisions communication des – Défaillance de la de charges.
de ventes ne sont pas membres du service. planification des – Connaissance des prévisions de
transformées en prévision – État des stocks. approvisionnements en ventes et de la disponibilité de
de production. – Plans de production termes de quantités ou de l’outil industriel par le personnel
– Il n’existe aucune passés. délais. de production.
méthode formalisée pour – Approbation du plan de – Insuffisance ou excédent – Existence de procédures
arbitrer les priorités de production. de matières. de comparaison des plans de
planning. – Procédure – Gestion de la production production aux prévisions et
– Absence de d’information du service non optimisée. d’identification d’écart en termes
communication entre les achats des impératifs – Perte de productivité. de délais et de quantités.
membres du service. d’approvisionnement. – Perte de performance. – Établissement de niveaux
– Les méthodes de – Risque de conflit entre de priorités au niveau de la
planifications ne prennent le personnel du service de production sur la base de critères
pas en compte les production. préétablis.
exigences client. – Établissement d’un plan
289
– Les délais de de production annuel précis
planifications sont trop et réaliste, approbation du
courts pour mobiliser les plan de production au niveau
ressources d’appoint. approprié.
– Existence d’indicateurs de
performance pour suivre les cas
d’insuffisance ou d’excédent de
stocks de matières.
– Évaluer la capacité de
Chapitre 10 ■ Les référentiels de risques
production de la chaîne de
production.
– Veiller à la formalisation
des responsabilités de chacun
dans la conception du produit.
– Mettre en place un système
d’information formalisée.
– Établir un « bon à tirer » pour
chaque étape de la production.
PROCESSUS ET/OU DOMAINE : production et services connexes
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
2. Planification – Être sûr que le service – Le planning budgétaire – Budget de production. – Gestion de la production – Communiquer le budget de
de la production de production respecte le n’est pas traduisible en – Tableau des écarts. non optimisée. production au service production.
(suite) planning budgétaire. exigences de production : – Planning des dépenses – Pertes financières – Intégrer les responsables
Trop flou. liées à la production. potentielles dues à des production dans l’élaboration du
– Le planning budgétaire dépenses au mauvais budget nécessaire pour respecter le
se révèle incompatible moment. plan de production.
avec les exigences de la
production.
– Être sûr que chaque – Absence de spécialisation – Fiche de postes. – Risque de conflit entre – Veiller à la formalisation des
membre du service dans les tâches. le personnel du service de responsabilités de chacun dans
production connaît son – Pas de rôle défini pour production. la conception du produit.
290
rôle. les membres du service – Veiller à ce que chacun respecte
production. sa mission.
3. Gestion des – Être sûr qu’une personne – Mauvaise définition des – Organigramme – Conflits engendrant des – Un organigramme doit être
ressources (travail, gère l’équipe et la dirige rôles. fonctionnel nuisances pour la société. présent dans le service avec la
Les outils de l’audit
capital et matières vers un but commun. – La distribution des – Procédures claires et – Non atteinte des fonction de chaque membre
premières) Cette personne est chargée pouvoirs est confuse. formalisées de transmission objectifs. de l’équipe et le rôle qui lui est
de définir les rôles des – Mauvaise des informations. – Diminution de la attribué.
membres de l’équipe et communication entre – Plan de travail des productivité – La distribution des pouvoirs
de leur attribuer certains les postes et le service équipes. – Risque de perte de doit aussi être documentée et être
pouvoirs. manutention. – Aménagements horaires qualité due à l’accélération connue de tous.
– Manque de flexibilité des services par rapport de la cadence de – Désigner un correspondant
dans la définition de la aux cycles de production. production. pour la communication interne
gestion de la production. entre les services manutention,
production, fournisseurs,
gestion des stocks et bureau
d’ordonnancement.
– Formaliser une procédure de
transmission des informations.
© Dunod – La photocopie non autorisée est un délit
3. Gestion des – Être sûr du respect des – Définition de moyens – Prévisions de ventes. – Retards de production. – Définition des moyens humains
ressources (travail, priorités de production non adaptés à la réalisation – Plan de production. – Insatisfaction clients. et techniques en relation avec
capital et matières arbitrées au niveau des des objectifs. – Attribution des équipes. – Investissements en la production et les bureaux des
premières) (suite) clients internes : Moyens – Contraintes techniques – Spécification technique moyens inadaptés. méthodes et d’ordonnancement.
associés à la réalisation du non prises en compte par de la production. – Communication des
plan de production. les clients. informations rapide et pertinente
– Le planning n’est fait que aux collaborateurs concernés.
d’urgences. – Suivi des flux en temps réels à
– Le plan de production l’aide d’outils adaptés.
ne prend pas en compte – Formaliser une procédure de
les priorités des clients transmission des informations.
internes. – Élaborer une liste exhaustive
des contraintes techniques de
fabrication et la mettre à jour
systématiquement : rapprocher
les contraintes techniques avec
les demandes internes.
– Mettre en place un système
de prise en charge des besoins
291
imprévus.
– Être sûr que – Manque de matières – Seuil minimum de stock. – Arrêt de la chaîne de – Travailler en collaboration avec
l’approvisionnement premières. – Procédure de production pour ressources le service de gestion des stocks et
des postes de travail, la – Seuil limite de ressources réapprovisionnement. insuffisantes. le service d’approvisionnement.
réception des marchandises mal défini, non connu. – Inventaire des moyens – Retard sur la production – Définir clairement le seuil mini-
des fournisseurs et le mis à disposition de la et l’acheminement aux mum avant approvisionnement.
rangement des produits manutention. stocks. – Utiliser des grilles bien
finis sont correctement – Non atteinte des définies (dates, quantités) qui
réalisés. objectifs. informeraient le service achat des
Chapitre 10 ■ Les référentiels de risques
impératifs d’approvisionnement.
– Comparer les prévisions d’achats
avec les achats réels afin de prévoir
les quantités de matières premières
à utiliser.
– Répertorier les excédents/
insuffisances de stocks de matières
premières afin de mieux planifier
l’approvisionnement.
PROCESSUS ET/OU DOMAINE : production et services connexes
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
3. Gestion des – Être sûr que les stocks – Seuil limite de ressources – Indicateurs de gestion – Gestion des entrées et – Vérifier le calcul et la prise en
ressources (travail, de produits finis sont mal défini ou non connu. de stocks. sorties de matières non compte d’indicateurs.
capital et matières minimisés. – Manque de clarté dans – Commandes clients. gérées de façon optimale. – Attribuer une série produite
premières) (suite) la définition du plan de Délais d’attente entre – Augmentation des à une ou plusieurs commandes.
fabrication. fin de production et charges de stockage. – Entretiens réguliers entre
expédition. – Diminution du résultat le responsable de la gestion
des stocks et le personnel
du service connexe affecté
à cette tâche.
– Construction d’indicateurs
pertinents.
292
– Être sûr que la gestion – Absence de calcul d’un – Inventaire des moyens – Retards dans la – Évaluer et suivre les besoins
du stock d’outils seuil de sécurité. mis à disposition de la production. (d’où lancement de la fabrication
nécessaires à la production – Absence d’informations manutention. – Non-atteinte des en interne ou sur commande).
permet la réalisation des relatives au niveau des – Procédure de gestion du objectifs. – Comparer les méthodes
Les outils de l’audit
3. Gestion des – Être sûr du bon entretien – Entretien effectué de – Planning de – Retards dans la – Diagnostiquer la panne,
ressources (travail, de la chaîne de production façon non conforme. maintenance. production. définir les moyens d’actions
capital et matières et de l’optimisation des – Obsolescence du – Plan de tests. – Défaillance du matériel. et effectuer les actions
premières) (suite) coûts et délais d’entretien. matériel. – Guide de diagnostic. – Arrêt de production. préventives.
– Utilisation non optimale – Nomenclature des – Impossibilité de réparer – Tester le matériel après
du matériel. principales pannes et des donc matériel inutilisable les interventions.
– Priorité donnée à la réparations associées. et obligation de rachat. – Minimiser les périodes
maintenance curative – Contrat de prestation. d’interruption de la chaîne
de production.
– Vérifier que la maintenance
soit effectuée aux dates prévues.
– Vérifier que le matériel
soit renouvelé quand cela est
nécessaire.
– Disposer de contrat de
service avec une entreprise
de maintenance/réparation
ou avec le fournisseur
du matériel.
293
– Entretenir le matériel
aux dates prévues par le service
de la maintenance.
– Vérifier l’existence ou créer
une fiche de produit
permettant de situer
la défaillance du produit
et de son fonctionnement.
– Créer une procédure de
Chapitre 10 ■ Les référentiels de risques
définition du planning de
maintenance.
PROCESSUS ET/OU DOMAINE : production et services connexes
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
3. Gestion des – Être sûr que l’outil – Dépassement des délais – Planning de – Arrêt de production. – Sensibiliser le personnel sur la
ressources (travail, de production est de maintenance. maintenance. – Retards dans la nécessité d’effectuer des tests avant
capital et matières correctement renouvelé. – Utilisation de – Plan de tests. production. réutilisation du matériel renouvelé.
premières) (suite) technologies obsolètes. – Cahier des charges. – Risque de casse anticipée – Mettre en corrélation le cahier
– PV de réunion de projet. du matériel de production. des charges concernant le nouvel
– Procédure de mise outil avec les caractéristiques de
en fonctionnement de l’outil renouvelé.
nouveau matériel. – Disposer de contrat de
– Historique des pannes service avec une entreprise de
majeures et solutions de maintenance/réparation ou avec le
réparation appliquées. fournisseur du matériel.
– Entretenir le matériel aux
dates prévues par le service de la
294
maintenance.
– Formaliser une procédure de
vérification avant réutilisation du
matériel : check-list tests à effectuer.
Les outils de l’audit
3. Gestion des – Être sûr que les – Contraintes techniques – Indicateurs de pannes – Non atteinte des – Formaliser un PV pour
ressources (travail, machines répondent mal définies. (informatiques). objectifs. les réunions de recadrage
capital et matières aux exigences du service – Ignorance des lois et – PV de réunion de projet. – Production non réglementaire.
premières) (suite) et aux préoccupations règlements. – Rapport sur la conforme aux attentes – Mettre en place un dispositif
de protection de – Moyens techniques réglementation. (cahier des charges non de veille juridique et des
l’environnement. inadaptés. respecté). réglementations.
– Non-respect des – Élaborer une liste exhaustive
réglementations (sanction des contraintes techniques de
pénale). fabrication et la mettre à jour
– Risque de perte de systématiquement.
qualité.
– Image de l’entreprise
affectée.
4. Réalisation – Être sûr que l’on – Aucun plan de – Plan de production. – Non-réalisation des – Établir un schéma détaillé
de la production produit et que l’on traite production établi ou – Procédure de production objectifs de production. décrivant le processus et les
les quantités requises, plan de production et documents associés. – Performance revue méthodes de production.
conformément aux imprécis. – Spécifications de à la baisse, retard de – Réaliser un tableau de bord
295
spécifications et aux plans – Plan de production non production. production. permettant de suivre les résultats
de production. ou mal communiqué. – Liste des machines (date – Perte de temps, d’argent de production, l’avancement du
– Défaillance dans la d’acquisition, capacité de et d’efficacité. processus, le nombre d’heures
planification production…). – Augmentation du taux de travail, les matériaux utilisés
– Incompréhension des – Procédure de traitement de rebuts « déchets ». et autres…
étapes du processus de des commandes urgentes. – Problématiques de – Connaître le processus de
production. – Tableau de bord recyclage. production des concurrents afin
– Quantités à produire contrôlant le taux de de simplifier celui-ci au sein de
inadaptées ou peu rebuts l’entreprise.
claires. – Dispositif de sécurité
Chapitre 10 ■ Les référentiels de risques
4. Réalisation – Être sûr que la – Lois, réglementations, – Lois et réglementations – Accidents ou infractions. – Création de services de veille
de la production production est réalisée normes non ou mal en matière d’hygiène et – Problèmes de qualité « technologique », « juridique »…
(suite) conformément aux lois et communiquées, de sécurité. découverts tardivement. – Sensibilisation et formation du
réglementations en vigueur méconnues ou – Normes de qualité – Amendes ou personnel.
en matière d’hygiène et incomprises. adoptée par l’entreprise. redressement des autorités – Procédure de mise à jour et
de sécurité, aux normes – Priorités données à la – Normes et obligations administratives. de diffusions des informations.
qualités et obligations maîtrise des coûts et/ou au légales en matière – Interruption de la – Donner la priorité au respect
légales en matière respect des délais. d’environnement. production et non respect des lois et normes.
d’environnement. – Non-respect des normes – Système des droits à des délais. – Faire certifier la fonction
environnementales. polluer. – Performance de l’activité de production à la norme
– L’outil de production – Certifications « vertes ». revue à la baisse. ISO 14001.
296
n’est pas aux normes. – Certificats de – Impact sur l’image de
maintenance. l’entreprise.
Les outils de l’audit
5. Assurer – Être sûr que la – Inexistence ou – Plan de suivi de la – Interruption de la – Créer des procédures visant
la qualité production est réalisée méconnaissance des qualité des produits finis. production. à garantir la qualité du processus
des produits conformément aux normes procédures visant à assurer – Système de tracking des – Vente de produits de production.
de qualité adoptées par la qualité des produits. produits dès leur entrée en défectueux. – Réaliser des tests de contrôle.
l’organisation. – Les problèmes de chaîne. – Perte de clients. – Sensibiliser le personnel à la
qualités ne sont pas – Mauvaise image. maîtrise de la qualité.
identifiés durant le – Établir un indicateur de taux
processus de production. de défauts.
– Procéder au suivi des retours
de marchandises de qualités
insuffisantes et des réclamations
des clients.
© Dunod – La photocopie non autorisée est un délit
6. Gestion des – Être sûr du – Mauvaise transmission – Contraintes de – Dégradation des – Vérifier que les produits finis
produits finis conditionnement des des informations. manipulation des produits. produits finis. soient conditionnés conformément
produits finis. – Manque de personnel. – Procédure de – Pertes financières. aux procédures définies.
– Manque de temps. conditionnement/ – Risque de démarque. – Mettre en place des normes de
– Conditionnement expédition. – Retards d’expédition. conditionnement.
inadapté. – Tracking des produits – Séparer les tâches (le personnel
finis. qui conditionne est différent
– Normes de transport/ de celui responsable de
manutention (en fonction l’acheminement).
des produits). – Établir des plannings.
– Plannings
d’acheminement.
– Être sûr de – Le circuit – Itinéraires de transfert – Risque de démarque. – Vérifier le correct acheminement
l’acheminement vers d’acheminement n’est pas chaîne production/Stock/ – Risque de casse et vers les stocks.
les stocks. connu. expéditions. d’accident. – Afficher les itinéraires
Le circuit d’acheminement – Protection physique des – Retards d’expédition. d’acheminement pour chaque
est complexe et implique circuits d’acheminement : – Dégradation des type de références sur les sites
le passage dans des restriction des accès, produits. de sortie de chaîne.
297
zones ouvertes sur marquage au sol… – Prendre en considération
l’extérieur. – Les moyens – Contraintes de la nature des produits lors de
et les circuits utilisés manipulation des produits. l’acquisition du matériel de
pour l’acheminement – Tracking des produits manutention.
des produits ne sont pas sur le site. – Établir des plannings
adaptés. – Plannings d’acheminement en collaboration
– Manque de temps. d’acheminement. avec le service de gestion des
stocks.
– Séparer les tâches (le personnel
qui conditionne est différent
Chapitre 10 ■ Les référentiels de risques
de celui responsable de
l’acheminement).
– Être sûr que les produits – Manque de – Bon de retour des – Produits retournés non – Travailler en collaboration avec
retournés sont pris en communication avec le produits. traités. le service SAV.
compte par le service service SAV. – Fiche d’anomalie du Problème de stockage à – Établir une fiche d’anomalies
(recyclage…) et traités. produit retourné. cause de la multitude de types pour chaque produit.
produits non traités.
PROCESSUS ET/OU DOMAINE : production et services connexes
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
7. Veille – Être sûr que les machines – Parc industriel vieillissant – Liste des contraintes – Non atteinte des – Élaborer une liste exhaustive
technologique existantes sont aptes à et non adaptable. techniques. objectifs. des contraintes techniques de
intégrer les nouveautés – Utilisation de – Plan de fabrication. – Risque de perte de fabrication et la mettre à jour
technologiques. technologies en fin de vie. – Contraintes techniques. qualité. systématiquement.
– Outil de production sur- – Difficulté d’effectuer
spécialisé compte tenu des une maintenance correcte
exigences de l’activité. entraînant obligation de
rachat.
– Être sûr que les usines – La direction n’a pas accès – Notes de synthèse des – Perte de compétitivité de – Suivi des documents
et la direction technique aux informations relatives progrès technologiques. la société par rapport à ses publiés sur l’environnement
298
s’informent constamment aux dernières avancées – Procédure de diffusion concurrents. économique, la technique et
des dernières avancées technologiques. d’information et de – Non-optimisation de l’industrie dans lesquels évolue
technologiques qui – Non prise en compte par recueil des besoins et l’activité de la société. l’organisation.
peuvent avoir un impact la direction d’informations opportunités. – Participation à des séminaires
Les outils de l’audit
Activités de contrôle
(Découpage du processus et/ou domaine)
1. Connaissance – Être sûr d’une parfaite – Absence ou mauvaise – Documents relatifs aux – Produits mal connus. – Introduction stratégique du
du produit compréhension du produit présentation du produit. produits (mode d’emploi, – Politique commerciale produit.
dans ses principales – Absence ou descriptif, composition). inadaptée. – Présentation du produit et
fonctionnalités et mauvais descriptif des – Existence de réunions : – Mauvaise démonstration de ses fonctionnalités
évolutions prévues, par fonctionnalités mise en application du du produit. – Mise en situation.
le personnel du service – Absence ou manque produit (essais). – Ventes insuffisantes, – Formation des employés à
commercial. d’informations quant aux baisse du CA. l’utilisation.
299
points forts et faibles du – Mettre en place une procédure
produit. d’intégration des nouveaux
– Manque de formation collaborateurs, incluant une
des employés sur le formation « produits ».
produit. – Mise à jour du contenu de
la procédure en fonction des
nouveaux produits.
2. Connaissance – Être sûr de la – Absence/ou inefficacité – Études de marché – Mauvaises cibles. – Prise en compte de
du marché cible
Chapitre 10 ■ Les référentiels de risques
connaissance du marché, du benchmarking. (existence, pertinence…) – Diminution des ventes à l’environnement et de ses
des cibles privilégiées, – Mauvaise clientèle ciblée. (s’il en existe). cause de la non-pertinence évolutions, dans les différents
de la concurrence et de – Mauvais positionnement – Documents relatifs à la des études de marché. aspects économiques,
l’environnement. du produit sur le marché. clientèle ciblée sociaux, législatifs,
normatifs, technologiques,
psychologiques, etc.
– Cibler la clientèle voulue.
PROCESSUS ET/OU DOMAINE : commercial
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
3. Prospection – Être sûr que le service – Mauvaise connaissance – Base de données clients. – Diminution du CA. – Création de typologies de clients
de la clientèle commercial est capable des produits par les – Procédure de prospection – Prospection de clients en accord avec le marketing.
de trouver de nouveaux vendeurs. des clients. ne faisant pas partie de la – Hiérarchisation des typologies.
clients. – Le service ne dispose – Tableau de bord des cible de base. – Création d’une liste de clients
pas de l’autonomie pour performances du service : cibles.
envoyer son personnel sur Nombre de ventes, – Intéressement des commerciaux
le terrain. nombre de prospections à l’efficacité de la prospection
– Les commerciaux effectuées etc. (nouveaux clients/maîtrise des
ne connaissent pas la coûts).
stratégie commerciale de – Réaliser des études de clients
l’entreprise. potentiels et les mettre à jour
régulièrement.
300
– Existence et mise à jour d’une
base de données sur la clientèle
(nom, adresse…).
Les outils de l’audit
– Être sûr que les – Absence ou peu – Critères de sélection des – Les clients démarchés – Création de typologies de clients
nouveaux clients d’informations préalables clients. ne correspondent pas aux en accord avec le marketing.
correspondent aux cibles sur les clients. – Fiches de descriptif produits élaborés. – Hiérarchisation des typologies.
de l’organisation. – Les commerciaux produit. – Litiges avec le client. – Mise en place de réunion avec le
ne connaissent pas la – Étude de marché. – Perte de notoriété, service marketing.
stratégie commerciale de d’image. – Réaliser des études de clients
l’entreprise. – Perte de commandes et potentiels.
– L’argumentaire de vente de clients. – Communiquer les fiches
ne donne pas l’impression produits aux prospecteurs et
au client potentiel que assurer leur formation sur les
le produit répond à ses produits.
besoins. – Mettre en parallèle les études de
marchés et la typologie de clients
démarchés.
© Dunod – La photocopie non autorisée est un délit
3. Prospection – Être sûr que la recherche – Absence/mauvaise – Suivi des coûts de – Zones géographiques – Proposer des formations
de la clientèle de nouveaux clients délimitation du champ prospection. non couvertes. méthodologiques pour les
(suite) est faite de manière de prospection des – Affectation géographique – Diminution du CA. prospecteurs.
efficiente, en accord avec commerciaux (géographie/ des commerciaux. – Perte de commandes et – Délimitation du champ de
la charte et les objectifs de typologie client/produit). – Critères éthiques de de clients. prospection (géographique…)
l’organisation. sélection des clients. – L’argumentaire de vente en accord avec l’activité de
– Tableau de bord du ne donne pas l’impression l’entreprise.
suivi d’activité avec une au client potentiel que – Communiquer les fiches
partie concernant la le produit répond à ses produits aux prospecteurs et
recherche (prise de besoins. assurer leur formation.
contact, nombre de visites,
nombre de nouveaux
clients, etc.).
– Être sûr que chaque – Absence de trace des – Portefeuille client. – Mauvaise connaissance – Mettre en place une base de
client prospecté est clients au fil du temps. – Base de données des clients déjà existants. données des clients informatisée
répertorié pour permettre informatisée. – Démarche et procédure et consultable par tous les
et faciliter une négociation de prospection à redéfinir. prospecteurs.
future sur un nouveau – Perte de temps à se – Mise à jour régulière du
301
produit. renseigner sur le client ou à portefeuille clients.
trouver le client. – Relance des clients existants sur
des nouveaux produits.
– Être sûr que les vendeurs – Les vendeurs ne – Absence de catalogue – Litiges avec le client. – Élaboration d’un catalogue
proposent aux clients la connaissent pas tous les produit. – Mauvaise image de de fiches articles (référence
gamme des produits de produits proposés par leur – Manque de mise à jour marque. de l’article, caractéristique du
l’organisation. entreprise. sur l’ensemble des produits – Rupture de stocks. produit…) pour chaque référence
– Les vendeurs sont disponibles ou non dans – Nombre important de en vente.
mal informés sur les le catalogue. commande impossible à – Dispenser une formation visant
Chapitre 10 ■ Les référentiels de risques
4. Proposition – Être sûr que l’offre – Absence d’outil de – Outil de détection des – Perte de chiffre d’affaires. – Mettre en place des comptes
commerciale correspond à la demande. détection des besoins. besoins : guide d’entretien – Coûts commerciaux rendus de visite. Identifier une
– Mauvaise identifica- de prospection… inutiles/non efficients. proposition commerciale pour
tion des fluctuations – Liste des besoins – Perte de clientèle, litiges chaque contact client.
de la demande (retards, identifiés. client. – Mise en place d’un outil de suivi
mauvaises prévisions des – Demande client (cahier des besoins dans le temps incluant
évolutions). des charges). l’échéance de celui-ci (ex. : besoin
– Durée de validité – Proposition commerciale qui sera effectif dans x mois).
différente entre processus et devis. – Mettre en place un plan de
Vente et Administration détection des besoins clients.
Commerciale.
– Non-respect des
302
conditions de vente.
– Être sûr que les besoins – Absence de suivi des – Tableaux de bord. – Absence de maintien/ – Mettre en place un dispositif
identifiés sont suivis. besoins découverts. – Procédure de suivi des accroissement du chiffre de suivi du besoin du client.
– Mauvaise identification besoins. d’affaires.
Les outils de l’audit
5. Rédaction – Être sûr que la – L’entreprise ne dispose – Communication des – Impossibilité/difficultés – Validation des offres
de l’offre proposition commerciale pas des compétences éléments de la politique à honorer l’offre commerciales par le directeur
commerciale peut être honorée par techniques permettant commerciale. commerciale réalisée. commercial et/ou le directeur de
(suite) l’organisation. de répondre au besoin – Validations faites par les – Perte d’image. production et/ou le directeur du
du client. directeurs commerciaux/ – Litiges clients. contrôle de gestion pour des offres
– Les commerciaux se sont contrôle de gestion/ supérieures à un certain montant
engagés sans s’assurer que production. et/ou pour une certaine typologie
le reste de l’organisation de produits.
(production, logistique, – Définir la politique commerciale
DSI...) puisse assurer les en corrélation avec les capacités
prestations. de l’entreprise et la politique de
– Les devis sont mal l’organisation.
établis.
– Être sûr que l’offre – L’offre commerciale est – Offres commerciales – Perte d’image. – Étude de rentabilité des offres
commerciale positionne surévaluée/sous-évaluée. pour lesquelles l’entreprise – Réalisation d’offres pour commerciales.
l’organisation de manière – L’offre commerciale n’a pas tiré de bénéfices. lesquelles l’entreprise ne – Effectuer des études de marché.
concurrentielle. cible un marché sans y être tire pas de bénéfices. – Se procurer des devis provenant
303
adaptée. de la concurrence.
– Les devis sont mal
établis.
– Être sûr que l’offre – Les éléments de l’offre – Types de clients visés : – Moyen de paiement – Analyse des offres commerciales
commerciale est en accord commerciale (délais, base de données client. ne convenant pas à n’ayant pas entraîné de bénéfices
avec la politique de moyens de paiement, etc.) – Instruction de l’organisation. + retour d’expérience.
l’organisation/du Groupe. ne sont pas en accord avec définition de la politique – Délais de paiement – Participer à la définition de la
la politique de l’entreprise. commerciale. trop long. stratégie commerciale.
Chapitre 10 ■ Les référentiels de risques
5. Rédaction – Être sûr que l’offre – L’offre commerciale ne – Études de marchés. – Manque d’opportunité. – Analyser les études de marchés
de l’offre commerciale est en respecte pas les décisions – Types de clients visés : – Pas de contractualisation avant de concevoir la politique
commerciale accord avec les politiques marketing (ex. : le base de données client. et de ventes. commerciale.
(suite) commerciales et marketing mix). – Instruction de – Diminution des parts de – Participer à l’élaboration du
marketing. définition de la politique marchés. – Non-respect marketing mix.
commerciale. de la politique marketing, – Inclure le service marketing
déficit d’image. dans l’élaboration de la politique
commerciale.
– Communication des éléments de
la politique marketing si le service
304
commercial ne participe pas à son
élaboration.
– Être sûr que l’offre – Absence de consultation – Fiche d’état des stocks. – Perte d’une vente. – Mise en place d’un outil rendant
Les outils de l’audit
correspond à un produit des stocks. – Référence stock sur – Litige, car engagement compte de l’état des stocks.
en stock. – Produit non disponible proposition commerciale. aveugle.
en stock.
6. Négociation – Être sûr que les – Absence de listes de – Document délimitant les – Risque d’engagement – Délimitations claires des
commerciale négociations commerciales personnes habilitées. responsabilités de chacun. de l’organisation sur des responsabilités de chacun.
et gestion des sont menées par des – Non-respect des listes de – Procédure de validation opérations commerciales – Définir un circuit de validation
remises personnes habilitées. personnes habilitées. des remises. non rentables. des remises et des devis.
– Risque de fraude.
– Pertes de rentabilité sur
certaines offres.
© Dunod – La photocopie non autorisée est un délit
6. Négociation – Être sûr d’une définition – Il n’existe pas de – Liste des pouvoirs. – Risque d’engagement – Délimitations claires des
commerciale claire des limites autorisées définition des remises – Document détaillant de l’organisation sur des responsabilités de chacun.
et gestion des quant aux remises commerciales. les remises commerciales opérations commerciales – Détailler les remises pour chacun
remises (suite) commerciales. – Les plafonds de remises possibles pour les non rentables. des produits.
ne sont pas cohérents vis-à- commerciaux en fonction – Perte de client si les – Formaliser une procédure
vis des marges potentielles. des types de clients. remises commerciales ne d’attribution des possibilités de
– Les possibilités d’accord – Échelle de valorisation sont pas adaptées remises par type de commerciaux.
de remise sont « libres ». des remises. – Risque de fraude. – Définir un circuit de validation
– Conditions de remises. – Pertes de rentabilité sur des remises et des devis.
certaines offres.
– Diminution du chiffre
d’affaires si une remise est
vue comme « une baisse de
prix due ».
– Être sûr que les – Confusions quant aux – Tarifs concurrentiels – Négociation – Publication régulière d’un
remises commerciales remises possibles. – Échelle de valorisation inappropriée au client : document quant aux attributions
sont comparables à la – Rapport marges/ des remises. déconnexion du marché. de remises.
305
concurrence. rentabilité mal défini. – Conditions de remises. – Risque d’engagement – Adapter les remises selon le
– Compte rendu entretien de l’organisation sur des client (contrôle du responsable).
client. opérations non rentables. – Mise à jour des grilles de
– Perte de client si les remise en fonction des tarifs de la
remises commerciales ne concurrence.
sont pas adaptées – Écouter le client sur les retours
possibles qu’il a dû faire vis-à-vis
des autres propositions qu’il a
reçues.
Chapitre 10 ■ Les référentiels de risques
7. Contractuali- – Être sûr que les contrats – Non-respect des – Liste des contrats. – Contrat moins (non) – Faire valider les contrats (clauses
sation sont en accords avec conditions de ventes – Clauses et conditions rentable pour l’entreprise. et conditions de ventes) par le
les offres commerciales décidées par l’entreprise. générales de ventes. – Satisfaction client service juridique de l’entreprise.
réalisées. – Les offres commerciales – Réglementation du moindre.
ne sont pas compatibles secteur. – Risques de litige.
avec les exigences – Rupture de contrat.
juridiques du secteur.
PROCESSUS ET/OU DOMAINE : commercial
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
7. Contractuali – Être sûr que les contrats – Absence de – Liste des contrats. – Satisfaction client – Communication et mises
sation (suite) tiennent compte de rapprochement offre/ – Devis présentés au client. moindre. à jour régulières des conditions
l’éventuelle négociation. négociation/contrat. – Risques de litige. de contractualisation de
– Les contrats sont types – Perte de client potentiel. l’entreprise.
et indépendants de la – Image de l’entreprise – Mettre en parallèle les devis
négociation. détériorée. validés par les clients et les contrats
de commande client.
– Créer une structure de contrat
type.
306
– Être sûr que les contrats – Conditions de vente – Liste des contrats. – Risques de litige. – Communication et mises
tiennent compte de la différentes de celles prévues – Clauses et conditions – Rupture de contrats. à jour régulières des conditions
politique concernant les par l’entreprise. générales de ventes. – Image de l’entreprise de contractualisation de
conditions de vente. – Conditions de – Politique commerciale. détériorée. l’entreprise.
Les outils de l’audit
– Être sûr que les contrats – Contrat non signé par les – Liste des contrats. – Contrats non valides – Établir une liste des personnes
sont signés par les personnes habilitées. – Liste des habilitations. en cas de signature habilitées à signer les contrats.
personnes habilitées. par des personnes non – Faire valider les contrats
habilitées. (clauses et conditions de ventes)
– Contentieux juridiques par le service juridique de
dans le cas de contrats l’entreprise.
hors normes.
© Dunod – La photocopie non autorisée est un délit
8. Commande – Être sûr que les – Commandes en double – Bon de commande. – Doublons, erreurs – Mettre en place un outil
commandes sont ou non honorées. – Outil de saisie des (quantité, prix, spécificités, informatisé pour la gestion des
formalisées, contrôlées, – Commandes impossibles commandes. facture, livraison). commandes.
suivies et autorisées. à satisfaire car ne – Rapprochement avec – Litiges clients. – Assurer un suivi par le
correspondent pas ou plus stocks et offre disponible. – Pertes financières. commercial dès la prise de
à une offre de l’entreprise. – Liste des personnes – Fraudes, vols, commande jusqu’à la livraison
– Problèmes sur les prix habilitées à valider une détournements de fonds. du bien et le paiement
ou les quantités. commande. par le client.
– Moyens de paiement – Procédure de prise – Vérification de l’application
non sécurisés. et de modification de effective de la procédure.
commande. – Délais spécifiés entre la signature
du bon de commande et la
livraison du bien.
– Vérifier les habilitations des
personnes intervenant dans
le processus de passation de
commande : pas d’occupation
de fonctions incompatibles.
307
– Être sûr que les – Une commande livrée – Bon de livraison. – Litiges clients. – Vérifier les habilitations des
commandes sont livrées. n’est pas enregistrée en – Facture. – Pertes financières. personnes intervenant dans
sortie de stock. – État/Sortie de stock. – Fraudes, vols, le processus de passation de
– Une commande a été – Liste des personnes détournements de fonds. commande : pas d’occupation
validée sans que le produit habilitées à valider une de fonctions incompatibles.
soit en stock. commande. – Établir une grille de délais
– L’adresse indiquée pour – Procédure de prise de livraison.
la livraison est fictive. et de modification de – Vérification de l’application
commande. effective de la procédure.
Chapitre 10 ■ Les référentiels de risques
9. Facturation – Être sûr que chaque – Manque d’adéquation – Factures et bon de – Erreurs de facturation. – Adéquation facturation/bon
commande est entre commande et commandes. – Pertes financières. de commande.
correctement facturée par facturation. – Liste des personnes – Comptabilité erronée. – Vérification permanente des
les personnes habilitées. – Commande non facturée habilitées à facturer. – Plusieurs fonctions données.
ou double facturation. – Grille de facturation. connexes exercées à la fois – Documents signés.
– Certaines factures sont = risque de fraude. – Établir les factures au sein
expédiées sans validation. – Image de l’entreprise du service commercial
– Le prix facturé diffère dégradée. et les faire encaisser par la
sans raison apparente de ce comptabilité.
qui a été contractualisé. – Expliquer toute modification
entre la commande et la
facturation : remises, avantages
308
client, surfacturation etc.
– Être sûr que la facture – La facturation est – Dates factures et bon de – Émission trop lente de la – Adéquation facturation/bon
est émise dans des délais déconnectée de l’émission commande. facture = retard paiement. de commande.
prévus afin de favoriser de la commande. – Conditions de paiement. – Délais de paiement trop – Rédiger des conditions
Les outils de l’audit
le respect des délais de – Les délais de paiement courts = problème de de paiement homogènes et
paiement. exigés sont trop courts ou trésorerie. applicables par rapport au secteur.
en inadéquation avec les – Litiges client.
conditions de paiement.
10. Livraison – Être sûr que la livraison – Date enregistrement – Date d’expédition. – Erreurs. – Reconnaître le revenu au bon
est effectuée dans les comptable de la vente/ – Date de livraison. – Pertes financières. moment.
délais prévus et qu’elle est Date de livraison. – Accusé de réception. – Comptabilité erronée. – Envoyer préalablement
enregistrée de manière – Livraison non effectuée, – Perte d’image auprès du à la livraison un avis de
conforme à la norme ou en retard. client. confirmation de la date de
comptable. livraison ou de proposition
d’une nouvelle date.
– S’assurer que le client est
présent le jour de la livraison
(appel téléphonique).
© Dunod – La photocopie non autorisée est un délit
11. Enregistrement – Être sûr de l’efficacité – Manque de clarté dans – Fiches métier. – Litiges. – Facilitation de la circulation de
comptable des enregistrements l’enregistrement comptable. – Circulation de – Erreurs. l’information entre les services.
comptables. – Mauvaise adéquation l’information entre – Fraudes. – Respect et contrôle des
facturation/Enregistrement comptabilité et facturation. – Pertes financières. personnes habilitées.
comptable. – Contrôle par une tierce – Suivi du paiement des
– Personnes habilitées non personne. commandes.
respectées.
12. Avoirs – Être sûr que les avoirs – Les avoirs ne sont pas – Procédure d’émission – Mécontentement de la – Mettre en place une méthode
sont correctement émis. émis de façon correcte : au des avoirs (si elle existe). clientèle mal gérée. claire de définition des avoirs.
bon moment et dans les – Grille de montants des – Perte de clientèle. – Vérifier que les clients
bonnes situations. avoirs. bénéficiant d’un avoir l’obtiennent
– Les montants des avoirs – Méthode de calcul des de façon homogène.
sont mal définis. avoirs.
– Être sûr de la séparation – Non-respect des – Document délimitant les – Doublon. – Séparation des tâches d’émission et
des tâches entre l’émission personnes habilitées et du responsabilités de chacun. – Risque de fraude. d’enregistrement des chèques d’avoir
et l’enregistrement des circuit de validation. – Procédure d’émission des – Mécontentement de la – Respect des personnes habilitées.
avoirs. – Les avoirs sont délivrés avoirs. clientèle mal gérée. – Instaurer une double validation
par les vendeurs. – Perte de clientèle. des avoirs.
309
13. Marges – Être sûr que les marges – Mauvaise délimitation – Documents établissant le – Difficulté d’évaluer les – Responsabiliser une personne en
commerciales sont respectées. des marges commerciales. mode de calcul des marges. escomptes possibles. charge des marges, mettre en place
– Mauvaise définition des – Document de – Pertes financières un outil efficace.
personnes habilitées. vérification des marges.
14. Commissions – Être sûr que les – Manque de clarté – Tableau des – Risque de fraude. – Respecter des méthodes loyales
commissions sont justifiées du pourcentage des commissions. – Multiplication erreurs. de ventes.
et justement rémunérées. commissions. – Personnes habilitées. – Abus. – S’assurer de l’éthique des clients.
– Non-respect de charte – Vérification régulière des relevés
Chapitre 10 ■ Les référentiels de risques
15. Suivi/gestion – Être sûr que chaque – Absence/oubli de suivi – Procédure de suivi client. – Satisfaction client – Créer un dossier client pour
client (suite) client bénéficie d’un suivi. pour certains clients. – Plan de relance/suivi affectée. chaque vente.
– Le suivi n’est pas client. – Tableau de bord – Notoriété/image affectée. – Archiver les documents retraçant
formalisé. sur l’efficience du « service la relation client : courriers, copies
client ». d’avoirs…
– Mettre en place un tableau de
bord visant à évaluer la pertinence
et l’efficience du service client.
16. Fidélisation – Être sûr que l’entreprise – Absence de traitement – Listing des clients. – Absence de fidélisation. – Formaliser/communiquer
clientèle est en mesure de fidéliser différencié pour les « bons – Listing des clients à – Coûts commerciaux trop la politique de fidélisation :
310
sa clientèle de manière clients ». fidéliser. élevés. classement en typologies de clients
efficiente. – Absence d’encadrement – Politique de fidélisation. – Absence d’accroissement pour lesquels les démarches sont
des avantages attribués. – Démarches fidélisation du chiffre d’affaires. différentes.
réalisées. – Risque de fraude. – Chiffrage et suivi des coûts de
fidélisation.
Les outils de l’audit
17. Risque client – Être sûr de l’existence – Pas de prise en compte – Analyses risque client. – Pertes financières – Système d’information recensant
d’un pôle dédié à l’étude du risque client. – Études sur solvabilité. – Retards de paiement les risques clients.
du risque client et au – Pas de mise à jour du – Provisions clients. – Procédure de gestion des clients
recouvrement des créances. fichier clients. – Mises à jour. douteux.
– Manque de transparence – Contrat d’assurance. – Réaliser les relances clients
entre les services. – Procédure de suivant la procédure.
– Pas de provisions pour recouvrement des créances. – Calcul des intérêts de retard
risques. selon la méthode déterminée par
– Pas d’étude sur la l’entreprise.
solvabilité du client.
– Mauvaise gestion des
relances.
© Dunod – La photocopie non autorisée est un délit
18. Traitement – Être sûr que les créances – Non-comptabilisation – Délai moyen de retard de – Frais financiers – Existence d’une procédure de
des litiges anciennes et douteuses des créances recouvrées ou livraison. importants. relance (relance préventive et
sont correctement traitées. non recouvrables. – Tableau de bord du – Rapprochement bancaire relance curative).
– Retard de paiement de nombre de réclamations. erroné. – Partage clair des responsabilités
créances litigieuses. – Tableau de bord du – Perte de créances. entre commercial et administratif.
311
– Relances non effectuées nombre d’avoirs. – Perte de trésorerie. – Mise à jour des échéances dans
dans les délais. – Tableau de bord du les comptes.
– Absence de procédures nombre de commandes – Suivi du montant des échus,
de relances. totalement ou nombre de relances, nombre de
– Absence de suivi de partiellement retournées. recouvrements effectifs.
paiement des créances. – Liste des conditions – Standardisation du contenu des
nécessaires pour accorder lettres de relance.
des prorogations – Suivi des délais réels de
d’échéances. règlement et intérêts liés aux
Chapitre 10 ■ Les référentiels de risques
retards.
– Être sûr de l’efficacité – Non-comptabilisation – Logiciel enregistrant les – Perte de crédibilité. – Procédures de traitement des
du traitement des litiges des créances recouvrées ou litiges clients. – Perte de clients. litiges clients.
clients. non recouvrables. – Guide de réglementation des
– Retard de paiement de litiges clients.
créances litigieuses.
– Relances non effectuées
dans les délais.
Service après-vente
Activités de contrôle
(Découpage du processus et/ou domaine)
1. Réception – Être sûr de la bonne – Non-enregistrement du – Procédure d’enregis- – Perte de produit. – Logiciel mis à jour pour les
produit au réception ou récupération produit. trement des produits – Insatisfaction client. enregistrements des entrées de
magasin du produit retourné. – La récupération n’est pas retournés bien définie. – Dégradation de l’image. produit.
effectuée dans les délais – Stockage adapté. – Personnel formé à l’utilisation
cités dans les conditions – Procédure de prise en du logiciel.
de vente. charge d’une demande – Dédier des équipes à la récupé-
de SAV. ration de produits à domicile ou
pouvant intervenir sur site.
2. Gestion – Être sûr que les garanties – Absence de prise sous – Base de données des – Prise d’opération de SAV – Mettre en place une base de
312
de la garantie accordées dans le cadre des garantie. ventes. sous garantie injustifiée, données des ventes réalisées
ventes sont honorées. – La garantie est appliquée – Liste des garanties possibles charge financière mise à jour, incluant la garantie
sur une vente non vérifiée. pour chaque type de vente. supplémentaire. associée à chaque vente.
– Contrats clients. – Garantie non honorée. – Mettre en place une procédure
Les outils de l’audit
– Être sûr que les durées – Absence de connaissance – Liste des garanties – Garantie non honorée. – Mettre en place une procédure
des garanties sont de la date d’échéance de la possibles pour chaque type – Litiges clients. de prolongation de garantie.
correctement gérées. garantie. de vente. – Surcoûts d’exploitation – Mettre en place une base de
– Des garanties sont – Contrats clients. lors de prises en charge de données des ventes réalisées
modifiées pour des raisons – Conditions de vente. garanties périmées. mise à jour, incluant la garantie
non expliquées. – Procédure de prise en associée à chaque vente.
charge des garanties. – Mettre en place des autorisations
ciblées de prolongement de garanties.
– Définir des délais d’application
des garanties en fonction du type
de vente et de conditions de vente.
© Dunod – La photocopie non autorisée est un délit
3. Diagnostic – Être sûr que le personnel – Diagnostic incorrect ou – Document mettant en – Perte de crédibilité de – Recenser les pannes récurrentes
de la panne fait un bon diagnostic de non respect des délais de relation le type de panne et l’entreprise. de chaque produit en indiquant
la panne ou le cas échéant réparation. le délai de réparation. – Litige client. de quelle façon elles ont été
s’assure de l’envoi des – Outils inappropriés pour – Plan de formation du – Impact image négatif. résolues afin d’améliorer le
produits aux fournisseurs. tester les produits arrivant personnel. – Surcharge financière par diagnostic et le délai de
pour des réparations. – Contrats maintenance l’obligation de remplacer réparation.
– Envoi retardé du produit fournisseur. le produit. – Mettre en place un tableau de
au fournisseur. – Manuel technique bord des pannes survenues.
– Le fournisseur n’existe produit. – Former le personnel aux
plus ou ne prend plus en différents types de panne et leurs
charge ce produit. réparations.
– Maintenir une clause d’aide
à la maintenance/réparation
des produits par le fournisseur.
4. Enregistrement – Être sûr de – Vice ou panne caché. – Entretien avec le client et – Le bien revient dans le – Vérifier sur place avec le client
de la panne l’enregistrement du type de – Coordonnées du client test sur place avec lui. même état donc avec la de l’état du matériel et des
panne et des coordonnées non actualisées. – Vérification des panne. coordonnées du client.
du client. – Le client est inconnu coordonnées du client. – Impossibilité de – Centraliser la base de données
313
dans la base de données de – Manuel technique contacter le client : Impact client afin que toutes les entités
ce point de vente. produit. d’image négatif. puissent prendre en charge les
– Procédure de prise en – La prise en charge demandes SAV.
charge d’une demande du client est rallongée : – Rédiger une check-list de
SAV. L’organisation se met tests à effectuer sur tout produit
en infraction avec ses reçu au SAV même sur les
conditions de vente. fonctions des produits décrits
« sans problème ».
Chapitre 10 ■ Les référentiels de risques
5. Élaboration – Être sûr que le – Informations inexactes – Bases de données mises – Litiges client. – Mettre à jour régulièrement
des devis SAV élabore les devis ou indisponibles. à jour avec les tarifs et – Perte de clients. les tarifs des pièces et réparations.
conformément aux – Les tarifs peuvent être informations concernant – Établir une liste de personnes
dispositions tarifaires en erronés. chaque produit. habilitées à consulter et/ou
vigueur. modifier les tarifs.
– Mettre en place un tableau
d’évaluation des coûts nécessaires
à chaque réparation et des délais
nécessaires.
PROCESSUS ET/OU DOMAINE : service après-vente (SAV)
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
6. Réception – Être sûr du bon – Un produit peut être – Documents recensant – Perte de produit. – Installer un logiciel enregistrant
des produits enregistrement des flux égaré. les produits envoyés – Insatisfaction des clients. les entrées des produits, et le
à l’entrepôt (entrées et sorties) des – Mauvais diagnostic. accompagnés des devis – Perte en termes de parts mettre à jour régulièrement.
de réparation produits et des pièces. – Le client attend trop et de l’accord ou non du de marché. – Former le personnel à
du SAV longtemps son produit. client pour effectuer la – Risque de démarque. l’utilisation du logiciel.
– Les emplacements de réparation. – Assurer un système
stockage ne sont pas – Procédure d’information permanent
définis. d’enregistrement des entre les produits entrants
– Les manipulations de produits. et sortants pour minimiser les
produits provenant du – Stockage adapté. délais et les pertes ou égarement
314
SAV sont effectuées par le – Tracking spécifique des de produit.
service SAV au sein d’un produits SAV. – Établir un bon de commandes.
entrepôt traitant aussi les – Plan de l’implantation – Séparer les aires de traitement
produits neufs. de l’entrepôt. des produits SAV et neufs.
Les outils de l’audit
7. Traitement – Être sûr que toutes les – Oubli de traitement des – Listing des demandes de – Litige client. – Mettre en place un outil de suivi
des commandes demandes d’intervention demandes. SAV reçues. – Insatisfaction clientèle. des demandes de SAV.
du SAV sont correctement – Les informations ne – Listing des opérations de – Perte de commandes. – Utiliser les bons de commandes
traitées. sont pas traitées en temps SAV réalisées. pour y associer une prestation
voulu. – Outil de suivi des SAV.
– Manque de personnel. demandes de SAV. – Mettre en place un suivi relation
client.
– Mettre en place une procédure
de traitement des produits
en SAV.
© Dunod – La photocopie non autorisée est un délit
7. Traitement – Être sûr que toutes les – Absence de – Utilisation de bons – Impact image négatif. – Mener des études sur les
des commandes commandes de réparation connaissances techniques. d’enregistrement datés. – Perte de compétitivité. traitements qui ont dépassé les
sont rapidement et – Les informations – Système d’information – Litiges client. délais prévus.
correctement traitées. concernant les prix et les fiable. – Pertes financières : – Utiliser les bons de commandes
stocks sont incorrectes – Définition de l’effectif obligation de pour y associer une prestation SAV.
(non-mise à jour). nécessaire pour atteindre remplacement. – Utiliser le dernier tarif en vigueur.
– Manque de personnel. les objectifs. – Mettre à jour les informations
sur les prestations et les
communiquer aux clients.
– Vérifier que le personnel est en
effectif suffisant et possède les
compétences requises pour que les
produits soient réparés dans un
délai raisonnable.
8. Récupération – Être sûr de la bonne – Le fournisseur n’a pas – Base de données avec les – Retard dans la – Mettre à disposition un document
des pièces relation avec les ou plus la pièce demandée informations fournisseurs. commande client. comprenant les pièces disponibles
nécessaires aux fournisseurs ou sous en stock. – Contrat avec les – Litiges avec les selon chaque fournisseur.
réparations traitants pour les pièces ou – Le fournisseur ne veut fournisseurs. fournisseurs. – Établir des contrats avec chaque
315
pour les réparations (dans pas prendre en charge la – Guide sur chaque fournisseur pour savoir qui prend
les meilleurs délais). réparation. produit de l’entreprise et en charge la réparation selon la
– Commande d’une ses caractéristiques. panne diagnostiquée.
mauvaise pièce. – Contrôler fréquemment les
informations fournisseurs.
9. Contrôle – Être sûr de la bonne – Le personnel n’est pas – Programme de – Insatisfaction des clients. – Former correctement les
des réparations qualité des réparations correctement formé. formation. – Litige avec les clients. personnes chargées des réparations.
effectuées. – Mauvaise pièce changée. – Système de contrôle – Existence de procédures pour les
de fonctionnement des formations du personnel.
Chapitre 10 ■ Les référentiels de risques
11. Récupération – Être sûr du bon – Coordonnées du client – Base de données avec les – Il est impossible de – Mettre en place un fichier client
du bien par enregistrement des incorrectes. informations client. contacter le client en cas et le mettre régulièrement à jour.
le client coordonnées du client. – Pas de fichier client. – Procédure de contact de problème sur le produit. – Rapprochement coordonnées du
client. – Litiges avec les clients. client au dépôt et au retrait du bien.
– Être sûr que le client est – Le bien retombe en panne. – Procédure de contact client. – Litiges avec les clients. – Rappeler au client les termes
bien informé dans le cas – Les extensions de – Instruction des octrois – Le client ne sait pas que du contrat en se qui concerne la
d’une éventuelle extension garanties ne sont pas d’extension de garantie son produit n’est plus garantie.
de garantie. mentionnées. possible en fonction des garanti après réparation… – Informer le client sur les
– Les extensions de garanties souscrites. conditions post-SAV.
garanties ont été – Liste des habilitations – Identifier des personnes
« vendues » au client sans pour les extensions de habilitées à octroyer des extensions
316
être validées. garanties. de garanties.
– Être sûr que le client est – Coordonnées du client – Procédure de contact – Litiges avec les clients. – Mettre en place une procédure
informé que son produit incorrectes. client. – Stockage longue durée d’appel client quand le produit
est disponible. – Oubli de contacter le – Délais de contact après de produits inutilisés est prêt.
Les outils de l’audit
Activités de contrôle
(Découpage du processus et/ou domaine)
1. Planification – Être sûr que les – Matériel défectueux. – Politique de maintenance. – Perte de réactivité. – Établir une planification de
logistique ressources logistiques sont – Absence de gestion – Formalisation d’une – Augmentation des délais. la chaîne logistique formalisée.
planifiées et disponibles. des moyens de la chaîne planification de la chaîne – Surcoût d’exploitation. – Évaluer les moyens de la chaîne
logistique. logistique. (matériel, transport
– Gestion des flux au coup – Plannings de l’activité : intra-entreprise…).
par coup. Lissage expéditions et récep-
tions, gestion de stocks etc.
– Planning d’affectation
des moyens.
317
2. Gestion des – Être sûr que les – Les approvisionnements – Procédure – Les approvisionnements – Création, diffusion et mise à jour
approvisionne- approvisionnements sont sont faits par une personne d’approvisionnement. ne correspondent pas périodique d’une liste exhaustive
ments matériels faits par une personne non habilitée. – Liste d’habilitations réellement au besoin de personnes habilitées à la gestion
habilitée à la gestion des – Absence d’habilitations. au contrôle des du processus logistique des approvisionnements.
approvisionnements. approvisionnements. (impact sur les coûts, la – Vérifier l’existence d’une
qualité, les délais). procédure d’approvisionnement
– Activités malhonnêtes ou et de sa diffusion.
actes frauduleux commis
par les fournisseurs.
Chapitre 10 ■ Les référentiels de risques
– Être sûr que les – Les approvisionnements – Résultats des – Perte de crédibilité. – Contrôler la fréquence des
approvisionnements sont ne sont pas faits dans les chronotachygraphes. – Rupture de stock. approvisionnements avec les
faits dans les délais prévus. délais impartis. – Circuits de livraisons – Retards dans les délais tableaux de bord.
– Il n’existe pas de circuits types. d’approvisionnement. – Lister, contrôler, et expliquer
d’approvisionnement – Grilles de délais de exhaustivement toutes les
définis. livraison en fonction de la transactions ayant fait l’objet
– Les délais de destination. de retard.
réapprovisionnements sont – Procédure
mal déterminés. d’approvisionnement.
PROCESSUS ET/OU DOMAINE : logistique
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
2. Gestion des – Être sûr que l’on – Absence de suivi des – Incoterm. – Activités malhonnêtes ou – Existence d’une instruction
approvisionne- contracte avec des fournisseurs. – Panel fournisseurs actes frauduleux commis de suivi des fournisseurs qui
ments matériels fournisseurs agréés – La logistique validés. par les fournisseurs. soit mis à jour régulièrement,
(suite) capables de répondre aux s’approvisionne auprès – Fiche de suivi de la – Litiges avec les concernant les problèmes
besoins de l’organisation de fournisseurs non qualité fournisseur. fournisseurs. de production, de rupture de
et qui répondent aux référencés. stocks, de non-conformité
conditions contractuelles. – Les incoterms ne sont technique.
pas respectés. – Communiquer au service
logistique la liste des fournisseurs
en contrats cadre.
– Être sûr de la continuité – Absence de – Méthode de calcul du – Perte de crédibilité. – Rapprochement journalier
des approvisionnements définition d’un seuil de seuil de réapprovisionne- – Risque de rupture. des tableaux de bord et de l’état
318
et d’une gestion des réapprovisionnement. ment. – Risque de surstock. du stock.
approvisionnements. – Les stocks ne sont pas – Listing des références – Les approvisionnements – Analyse des écarts entre les
tenus à jour. stockées. ne correspondent pas approvisionnements réels et
– Procédure réellement au besoin prévisionnels.
Les outils de l’audit
3. Réception – Être sûr que les contrôles – Contrôles réalisés – Procédure de réception. – La sécurité de – Vérifier l’existence d’une
de marchandises quantitatifs et qualitatifs plusieurs fois ou pas du – Moyens d’identification la personne et procédure de réception/
(suite) de la marchandise tout. de la livraison : système de des marchandises déchargement et de sa diffusion.
sont effectués lors de – Aucune réserve n’est scan EDI. réceptionnées est – Définir les personnes respon-
la réception et de leur émise à la livraison. – Tracking des produits. compromise. sables des contrôles, suppléants.
conformité par rapport – La réception n’est pas – Contrat de transport. – Marchandises avariées. – Mettre en place des documents à
à la commande. effectuée conformément au – Accusé de réception des – Réception partielle. remplir de manière exhaustive lors
contrat. marchandises. – Marchandises détériorées de chaque réception
– Rapports/Relevés des – Surcoûts lors des – Rédiger des contrats types de
contrôles effectués. contrôles. transports en collaboration avec le
– Réglementation des service juridique.
transports. – Assurer une formation régulière
à l’utilisation d’engins de levage et
vérifier que les diplômes nécessaires
à la conduite de ces engins soient
en possession de ces personnes.
– Être sûr que la – Erreur sur la quantité. – Procédure de réception. – Marchandises avariées. – Vérifier l’existence d’une procé-
marchandise réceptionnée – Erreur sur la qualité. – Accusé de réception des – Réception partielle. dure de réception et de sa diffusion.
319
est conforme aux attentes. – Marchandise détériorée. marchandises. – Mettre en place des documents à
remplir de manière exhaustive lors
de chaque réception
– Faire en sorte que le destinataire
de la marchandise puisse effectuer
certaines vérifications dès la
réception.
4. Contrôles des – Être sûr que le contrôle – Le contrôle est fait par – Vérifier l’existence d’une – Risque de démarque. – Création, diffusion et mise à jour
marchandises des marchandises est fait une personne non habilitée. procédure de contrôle et – États des stocks inexacts : périodique d’une liste exhaustive
Chapitre 10 ■ Les référentiels de risques
réceptionnées par une personne habilitée. – Le contrôle des de sa diffusion. impact sur la véracité des de personnes habilitées à la gestion
marchandises se fait – Vérifier l’existence des états financiers. des approvisionnements.
par la même personne listes de personnes habilitées – Pertes de marchandises/ – Séparer les fonctions
qui réceptionne ou qui et de sa mise à jour. Nécessité de grossir les manutention, réception,
expédie. – Vérifier l’existence d’une commandes. expédition et entrée en stocks.
– Certaines marchandises fiche de poste pour les – Création involontaire de – Effectuer des rapprochements
ne sont pas contrôlées. personnes chargées de stocks « dormants ». entre états des stocks et entrées et
– Les contrôles quantitatifs contrôle, et mise à jour sorties.
et qualitatifs ne sont pas régulière de ce document. – Comparer les entrées et sorties
assez exhaustifs et précis. – Listings des réceptions et de stocks aux commandes client et
états des stocks. commandes d’achats.
PROCESSUS ET/OU DOMAINE : logistique
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
5. Détermination – Être sûr de la pertinence – Lieux éloignés des voies – Réalisation d’une étude – Impossibilité de livrer les – Vérifier la bonne remontée
des lieux de des choix en matière de de transports. sur l’environnement marchandises à temps. de l’information concernant
stockage lieux de stockage. – Lieux éloignés du des lieux de stockage – Mauvaise organisation l’environnement.
marché. et les besoins de de l’espace de stockage, – Vérifier la mise à jour des
– Lieux éloignés des chaque marchandise. perte de temps ... informations.
ressources (énergie, – Réglementation – Augmentation des coûts – Mettre en place un processus
carburants…), et des d’implantations de de transports. de gestion des stocks.
infrastructures (gares, stockage spécifiques. – Mise en péril de la – Implanter le lieu de stockage
hôtellerie…). – Plan cadastral/ sécurité des personnes. en fonction des principaux clients
– Mauvaise connaissance aménagement urbain. et des contraintes géographiques.
des lieux de stockages. – Référencer les
320
– Stockage inadapté à la produits stockés et leurs
marchandise. emplacements dans
l’entrepôt.
– Principales adresses de
Les outils de l’audit
destination.
– Être sûr que le lieu de – Lieu de stockage sans – Dispositif de protection – Perte de produits. – Avoir un lieu de stockage aux
stockage est sécurisé. surveillance. (extincteurs, portes coupe- – Risque environnemental. normes de sécurité du secteur.
– Mauvaise connaissance feu, isolation…). – Infraction avec la – Établir des fiches de
des lieux de stockages. – Plan d’évacuation. législation. référencements précises des
– Pas de fiches de – Dispositif de prévention produits.
référencements des (alarmes, fiche de – Vérifier la bonne remontée
produits stockés. coordonnées des services de l’information concernant
– Non-respect des normes d’intervention). l’environnement. – Identifier
de sécurité. un responsable sécurité/
environnement des sites de
stockage.
© Dunod – La photocopie non autorisée est un délit
6. Préparations – Être sûr que les produits – Erreur sur la nature du – Personnes habilitées. – La préparation de – Liste des personnes habilitées.
des commandes préparés correspondent au produit. – Processus de préparation commande ne correspond – Contrôle du travail par une autre
clients bon de commande. – Erreur sur la quantité du des commandes. pas au bon de commande personne
produit. – Listing produits entrés – Insatisfaction client. – Mettre en place un processus de
– Erreur sur la préparation en préparation. – Dégradation de l’image préparation des commandes validé
de la commande. de marque, perte de par deux personnes.
confiance des clients envers – Instaurer des techniques standardi-
l’entreprise. sées de préparation de commande.
7. Validation des – Être sûr que la validation – Absence de validation. – Liste des personnes – Livraison faite en – Vérifier l’application et la mise
commandes clients est faite selon la procédure – Les personnes habilitées à valider une doublon. à jour de la liste des personnes
établie et par les personnes validatrices ne sont pas commande. – Livraison non effectuée. habilitées et des fiches de postes.
habilitées. identifiées. – Procédure d’expédition. – Risque de fraude. – Vérifier si les fiches de postes des
– Validation faite par une – Fiches de poste. – Expéditions fictives validateurs les accréditent des valida-
personne non habilitée. faussant l’état des stocks. tions de commande.
– Communiquer les commandes
validées à l’expédition au service de
gestion des stocks afin de tenir les
stocks en temps réel.
321
8. Gestion des – Être sûr que le délai – Pas de mise à jour. – Relevés de plaintes – Litiges avec le client. – Existence d’une mise à jour des
délais de livraison entre la commande et la – Pas de mise en relation émises par les clients. – Pertes financières. délais de livraisons.
clients livraison est optimisé. entre les différents – Relevé incidents – Mauvaise publicité. – Mise à jour quotidienne de
événements pouvant logistiques lors des – Perte de commandes. l’ensemble des disponibilités en
modifier les délais. livraisons. – Problèmes de stockage. stocks.
– Les livraisons sont faites – Listings des livraisons – Relever toutes les livraisons
au coup par coup. soldées par un retard. ayant fait l’objet d’un retard et en
– Absence de définition de – Parcours de livraison explique la cause.
délais de livraison. prédéfinis.
Chapitre 10 ■ Les référentiels de risques
– Plans de chargement.
– Être sûr que des règles – Manque de communica- – Propositions – Rupture de stocks. – Relever les contraintes
sont établies pour les tion entre les commerciaux commerciales éditées par – Délais impossibles à géographiques pouvant influer sur
engagements de délai sur et le service logistique. le service commercial. respecter. les délais de livraison.
les nouveaux produits. – Pas de mise en relation – Grille de définition des – Problèmes de stockage. – Porter à la connaissance des
entre les différents délais de livraison moyens – Retour de marchandises. livreurs les parcours de livraison.
événements pouvant en fonction des zones. – Mauvaise publicité. – Lettres d’informations entre le
modifier les délais. – Relevés du chrono service commercial et le service
– Absence de définition tachygraphes. logistique relatives aux délais de
de délais de livraison. livraison.
PROCESSUS ET/OU DOMAINE : logistique
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
9. Gestion du – Être sûr que les modes – Conditionnements – Taux de retour de – Taux de plaintes – Recherche des modalités de
conditionnement de conditionnement sont standard ou inadaptés. marchandises. importants. conditionnements les plus adaptés
des marchandises optimisés. – Pas de précautions prises – Relevé d’incidents – Litiges avec le client. aux différents types de livraisons.
livrées en fonction des types de durant le transport. – Refus de la marchandise – Rémunérer les préparateurs
produits. – Tableau de classification livrée. sur plusieurs critères et non
– Impératifs liés aux des conditionnements par – Matériels détériorés. uniquement le nombre de
caractéristiques du produit. produit. commandes préparées.
– Rémunération basée sur la
performance uniquement.
– Être sûr que les modes – Pas de prise en compte – Tableau de classification – Taux de plaintes – Classification des produits en
de conditionnement ont des différents types de des conditionnements par importants. fonction des risques possibles lors
été étudiés. produits. produit. – Litiges avec le client. de la livraison et de la mise en
322
– Impératifs liés aux – Analyse des modalités – Refus de la marchandise stockage.
caractéristiques du produit. pour chaque type de livrée. – Optimiser la conception des
– Conditionnements produit. – Matériels détériorés. emballages en fonction du produit
standard ou inadaptés. – Plans de chargement. et d’une remorque ou container
Les outils de l’audit
standard.
10. Gestion – Être sûr que le transport – Le transport pour – Fichiers de livraison. – Les coûts ne sont pas – Définir préalablement la capacité
des transports a été étudié et optimisé. livraison n’est pas optimisé. – Conditions de transport. optimisés. de remplissage de chaque unité de
– Pas d’études relatives – Plan de chargement. – Coûts de livraison très transport.
aux livraisons qui sont – Plan de livraisons types importants. – Utilisation par les livreurs de
réalisées. ou effectués au jour. – Taux de remplissage systèmes de navigation (GPS…).
– Absence de calculs des entités de transport – Prises de rendez-vous avec
concernant la rentabilité et itinéraire non étudié : l’acquéreur de la livraison.
des livraisons. surcoût de transport. – Prédéterminer des itinéraires
– Chargement non – Problèmes de retard dans de transports et scinder la zone
optimisé. les livraisons. de desserte en zone géographique
– Absence d’itinéraires auxquelles sont affectés des
définis. moyens.
© Dunod – La photocopie non autorisée est un délit
10. Gestion – Être sûr du respect des – Pas d’études relatives – Relevés chrono – Problèmes de retard dans – Utilisation par les livreurs de
des transports engagements liés à la aux livraisons qui sont tachygraphes. les livraisons. systèmes de navigation (GPS…).
(suite) livraison. réalisées. – Relevés GPS. – Perte de marchandises. – Mise en place d’un processus
– Adresse inconnue ou – Scan de sortie : – Problèmes liés aux de suivi des livraisons.
incomplète. Relevé des marchandises impératifs de livraison. – Base de données clients
– Marchandises cassées ou expédiées à la journée. – Dégradation de l’image actualisée.
volées lors du transport. – Procédure de livraison. de la marque.
– La livraison est effectuée – Réglementation des – Litiges avec les clients.
de manière non conforme. transports. – Problèmes de retards de
– Incoterms. livraisons.
11. Relation – Être sûr que les contrats – Délais annoncés – Contrats existants. – Problèmes logistiques – Les besoins logistiques
clientèle conclus avec les clients impossibles à respecter. – Procédure de livraison. provoquant des retards nécessaires à la livraison doivent
précisent le processus de – Manque d’informations – Réglementation des de livraison voire être prévus dans le contrat.
livraison. données au client transports. l’inexécution totale de – Prise de contact entre le client
concernant la livraison. – Incoterm. l’obligation de livrer. et le livreur.
– Livraisons mal effectuées – Litiges avec le client. – Porter à la connaissance des
car modalités imprécises. – Perte de clientèle. livreurs, les règlements liés à la
323
livraison.
12. Validation – Être sûr que le directeur – Des livraisons sont – Signature de tous les – Risque de démarque. – Les commandes et les livraisons
des bons de du service de distribution effectuées sans validation. bons de transport et de – Pertes financières. doivent être validées par le
livraison valide les bons de livraison. – Des livraisons ne sont livraison par un chef de – Livraisons « fantômes » directeur de la distribution.
pas contrôlées : pas de scan service compétent. faussant les états de stocks. – Définir une procédure
expéditions. – Listings livraison. secondaire qui prévoit la
– Collusion entre un – Adresses livrées. personne responsable en cas
employé et une personne – Commandes à expédier d’absence du directeur du
Chapitre 10 ■ Les référentiels de risques
Activités de contrôle
(Découpage du processus et/ou domaine)
A. Qualité
1. Connaissance – Être sûr que – Manque de sensibilisa- – Entretien avec la – Absence ou insuffisance – Définir et formaliser une
du « marché » l’organisation appréhende tion des responsables à la direction générale. de réflexion pour définir procédure permettant d’identifier
(besoins et attentes bien les besoins et attentes nécessité de bien connaître – Entretiens avec la une politique qualité les besoins et attentes du marché
des clients en des clients les attentes et besoins des direction commerciale et répondant aux besoins (responsabilités, planning, nature
matière de qualité) clients afin de définir une le responsable qualité. et attentes du marché. des informations à récupérer,
politique qualité adaptée. – Résultats des enquêtes – Politique qualité ne outils nécessaires…).
– Absence d’outils et/ou réalisées auprès des clients. correspondant pas à la
méthodes pour identifier stratégie de l’organisation.
324
ces besoins et attentes.
2. Politique et – Être sûr que la politique – Manque de sensibilisa- – Formalisation de la – Politique qualité ne – Définir les informations
Objectifs Qualité qualité, tel que définie tion des responsables à la politique et objectifs correspondant pas à la nécessaires préalables à la
Les outils de l’audit
par la direction générale nécessité de bien connaître qualité. stratégie de l’organisation. définition de la politique qualité
(DG), prend en compte les attentes et besoins des – Entretiens avec la DG. – Décision d’engagements de l’organisation.
les contraintes de clients afin de définir une – Résultats des enquêtes de dépenses non justifiée. – Disposer d’estimations de
l’organisation et les besoins politique qualité adaptée. réalisées auprès des clients. dépenses au niveau des alternatives
et attentes des clients. – Absence ou mauvaise possibles en matière de politique
identification des besoins qualité.
et attentes des clients.
3. Choix de la – Être sûr que – Méconnaissance des – Entretien avec la – Choix d’une démarche – Sensibiliser la DG à toutes les
démarche qualité l’organisation a retenu avantages/inconvénients des DG (appréciation de qualité inappropriée à la solutions envisageables concernant
la mieux adaptée la démarche qualité différents types de démarche la connaissance des politique qualité. les démarches qualité.
à la stratégie de appropriée à sa politique qualité (Démarche ISO alternatives possibles). – Décision d’engagements – Disposer d’informations suffi-
l’organisation qualité et à sa stratégie. 9000 avec ou sans certifica- – Entretien avec le de dépenses non justifiée. santes concernant les différentes
tion, démarches « Qualité responsable qualité. solutions possibles (durée de mise
totale »…). en œuvre, moyens nécessaires…).
© Dunod – La photocopie non autorisée est un délit
4. Mise en place – Être sûr que – Méconnaissance des – Entretien avec le – Retard dans la mise en – Désigner un comité de pilotage
de la démarche l’organisation met en exigences à satisfaire en responsable qualité. œuvre de la démarche du projet.
qualité retenue œuvre la démarche qualité fonction du référentiel – Planning de mise en qualité. – Désigner un responsable de
conformément aux retenu. œuvre du projet. – Abandon du projet. projet.
exigences du référentiel – Absence ou implication – Comptes rendus des – Dépenses – Définir un planning de
retenu. insuffisante de la DG réunions du comité de supplémentaires. réalisation des différentes étapes.
dans la démarche. pilotage du projet. – Sensibiliser, motiver, former
– Manque de préparation l’ensemble des personnes
de l’ensemble du concernées par la mise en œuvre
personnel de l’organisation de la démarche qualité.
aux exigences de mise en
œuvre de la démarche.
5. Pérennité – Être sûr que – Manque de – Comptes rendus – Diminution – Définir, formaliser dans une
du système de l’organisation veille sensibilisation (DG, des réunions qualité. de l’efficacité procédure et réaliser les différentes
management à la pérennité du système responsable qualité, – Comptes rendus organisationnelle qu’avait actions permettant de pérenniser le
de la qualité de management de la ensemble du personnel) à des revues de direction. permis d’atteindre la système de management qualité :
(par exemple : qualité afin de conserver la nécessité de pérenniser – Rapports d’audit démarche qualité. • audit interne qualité,
325
conservation des la certification obtenue le système de management qualité. – Perte de la certification • actions correctives et/ou
certifications ISO) (par exemple certification qualité. – Résultats des actions ISO 9000. préventives,
ISO 9000). – Ignorance des correctives et/ou – Dégradation de l’image • révision du système
conséquences sur le non- préventives. de l’organisation. documentaire si nécessaire,
renouvellement de la – Évolution du système – Démotivation du • archivage des documents qui
certification. documentaire (création personnel. constituent des « preuves » en
ou modification de matière de qualité (documents
procédures, archivage des d’enregistrement qualité).
documents qualité…).
Chapitre 10 ■ Les référentiels de risques
PROCESSUS ET/OU DOMAINE : qualité – sécurité – environnement
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
6. Amélioration – Être sûr que l’entreprise – Se satisfaire du niveau – Résultats des enquêtes – Diminution – Définir, formaliser dans
continue du met en place des actions de qualité atteint sans réalisées auprès des clients de l’efficacité une procédure et réaliser les
système de pour améliorer en volonté de s’améliorer en concernant les évolutions organisationnelle qu’avait différentes actions permettant
management permanence les produits/ permanence. de leurs besoins et attentes. permis d’atteindre la une amélioration continue des
qualité (exigences services proposés aux – Comptes rendus des démarche qualité. produits/services proposés aux
des différents clients et le système de réunions qualité. – Perte de la certification clients, des processus internes, des
référentiels en management qualité. – Comptes rendus des ISO 9000. salariés et autres parties prenantes :
la matière) revues de direction. – Dégradation de l’image • audit interne qualité ;
– Rapports d’audit qualité. de l’organisation. • actions correctives et/ou pré-
– Résultats des actions ventives ;
correctives et/ou • enquêtes auprès des parties
préventives. prenantes (salariés, fournisseurs,
326
environnement…) afin de
connaître l’évolution de leurs
besoins et attentes ;
• veille technologique en la
Les outils de l’audit
1. Politique – Être sûr qu’une politique – Manque de – Politique sécurité. – Incendies, inondations : – Définir, formaliser et
Sécurité et de prévention des risques sensibilisations aux – Manuels de sécurité. risques environnementaux. communiquer une procédure
définition des et de réduction de leurs problématiques de sécurité. – Liste des personnes en – Non-respect des précisant les modalités
dispositifs sécurité conséquences est définie – Méconnaissance des charge de la sécurité. obligations réglementaires d’élaboration de la politique
mis en œuvre ainsi que les dispositifs de réglementations en – Panneaux/consignes de (poursuites, amendes…). sécurité et de définition
(suite) sécurité adéquats. vigueur. sécurité. – Sabotage, pertes, vols, des dispositifs adéquats
– Absence ou insuffisance – Législation en vigueur. intrusions étrangères, (responsabilités, nature des
du recensement des risques – Inventaire des dispositifs espionnage : risque par des informations nécessaires,
et menaces en matière de de sécurité. individus. nature des dispositifs
sécurité. – Accidents de travail. (prévention, détection,
– Dispositifs de protection), mode de
sécurité inadaptés à la communication des consignes
politique sécurité et à la de sécurité…).
réglementation en vigueur. – Mettre en œuvre une base
« incidents » afin de capitaliser
l’expérience et améliorer
les dispositifs de sécurité
existant.
– Sensibiliser l’ensemble du
327
personnel de l’organisation
à la dimension sécurité et
au respect des consignes en la
matière.
– Recours non judicieux – Liste des contrats – Problèmes juridiques, – Établir une liste des contrats
à l’assurance par rapport d’assurance. litiges avec la partie d’assurance en cours.
à d’autres solutions – Contrats d’assurance concernée. – Vérifier l’adéquation des contrats
envisageables. – Sanctions pénales. d’assurance par rapport aux risques
Chapitre 10 ■ Les référentiels de risques
1. Politique – Être sûr que l’ensemble – Absence de – Charte interne sécurité – Augmentation des – Définir une politique de
Sécurité et du personnel a communication auprès de (si elle existe). accidents de travail communication en matière
définition des connaissance du système l’ensemble du personnel – Panneaux/consignes de – Risques accrus de sécurité (vecteurs de
dispositifs sécurité de sécurité mis en place. des informations relatives sécurité. d’incendie, sabotage, communication, destinataires,
mis en œuvre à la politique sécurité de – Autres formes de pertes, vols… périodicité…).
(suite) l’organisation. communication auprès de – Risques accrus – Sensibiliser l’ensemble du
l’ensemble du personnel d’intrusions étrangères personnel de l’organisation à la
concernant les dispositifs dans l’organisation dimension sécurité et au respect
sécurité mis en œuvre. (espionnage). des consignes en la matière.
– Être sûr que les – Méconnaissance des – Manuels de maintenance – Augmentation des – Établir une liste des dispositifs
dispositifs de sécurité font exigences réglementaires au concernant les dispositifs accidents de travail. de sécurité existants.
l’objet d’une maintenance niveau de la maintenance de sécurité. – Sanctions pénales. – Définir les actions de
328
régulière et conforme à la des dispositifs de sécurité. – Réglementation en – Pénalités financières. maintenance à assurer afin
réglementation. – Manque de compétences vigueur. – Risques accrus d’être sûr que les dispositifs
techniques pour assurer – Règlement intérieur. d’incendie, sabotage, sont, d’une part en bon état de
cette maintenance. – Certificats délivrés par pertes, vols… fonctionnement, d’autre part en
Les outils de l’audit
2. Mise en œuvre – Être sûr que tous les – Absence de registre de – Liste des incidents/ – Évolution de la politique – Établir un historique des
des dispositifs incidents/accidents consignation des incidents/ accidents majeurs sécurité non pertinente par accidents ayant eu lieu ainsi
sécurité (suite) sont répertoriés et que accidents survenus (nature, survenus. manque d’exploitation des que des traitements qui ont été
l’organisation intègre les causes, mesures prises…). – Comptes rendus de ces expériences vécues. effectués pour y faire face.
résultats de ces événements – Pas d’exploitation de événements. – Tenir compte des meilleures
lors de la révision de sa ces informations lors de pratiques sécuritaires mises
politique sécurité. la révision de la politique en œuvre lors des précédents
sécurité de l’organisation. accidents lors de la révision de la
politique en matière de sécurité.
3. Protection – Être sûr que les – Possibilité pour tous les – Contrats de travail. – Divulgations des – Définir, formaliser et
des valeurs valeurs immatérielles personnels de connaître les – Liste de personnes ayant informations importantes communiquer une procédure
immatérielles de l’organisation sont informations. accès à des informations à la concurrence. de protection des informations
de l’organisation correctement protégées et – Aucune clause de confidentielles. – Perte des informations importantes et confidentielles
sécurisées. confidentialité n’est – Dispositifs de importantes ou de de l’organisation (liste des
précisée pour les personnes conservation et de données. informations concernées, nature
ayant accès à des protection des documents des protections à mettre en
informations importantes. importants. œuvre…).
– Le système informatique – Dispositifs de protection – Indiquer dans les contrats
329
ne dispose pas de sécurités du système informatique. de travail des clauses de
suffisantes pour faire face à confidentialité.
une intrusion. – Munir le système informatique
des moyens nécessaires pour
palier toute intrusion ou attaque
d’origine externe ou interne.
C. Environnement
1. Connaissance – Être sûr que – Manque de – Entretien avec la – Non-respect de la – Mettre en place un système de
Chapitre 10 ■ Les référentiels de risques
des obligations l’organisation appréhende sensibilisation des direction générale législation. veille réglementaire.
réglementaires correctement toutes les responsables à la nécessité – Entretiens avec – Sanctions financières. – Sensibiliser la DG et l’ensemble
obligations réglementaires de satisfaire à ces le responsable – Politique de l’organisation aux obligations
qui s’imposent à elle. obligations réglementaires. environnement. environnementale ne réglementaires.
– Absence d’outil de veille – Système de veille correspondant pas à la – Développer une culture éthique
réglementaire. réglementaire (s’il existe). stratégie de l’organisation. dans l’organisation.
– Absence de – Détérioration de l’image
préoccupations éthiques. éthique de l’organisation.
PROCESSUS ET/OU DOMAINE : qualité – sécurité – environnement
FINALITÉS RISQUES EXEMPLES
Étapes/
(objectifs de contrôle Facteurs (scénarios de bonnes pratiques
Sous-domaines Points de contrôle Impacts
interne) d’empêchement) de contrôle interne
2. Politique – Être sûr que la politique – Manque de sensibilisa- – Formalisation – Politique – Définir les informations
environnementale environnementale prend tion des responsables à la de la Politique environnementale ne nécessaires préalables à la
de l’organisation en compte les contraintes nécessité de bien connaître environnementale. correspondant pas à la définition de la politique
de l’organisation, les les réglementations. – Entretiens avec la DG. stratégie de l’organisation. environnementale de
exigences réglementaires – Absence de préoccupa- – Réglementations – Décision d’engagements l’organisation.
à satisfaire et l’image tions éthiques. environnementales de dépenses non justifiée. – Disposer d’estimations de
« Éthique » qu’elle veut se – Difficulté à appréhender concernant l’organisation. dépenses au niveau des alternatives
donner. les conséquences orga- possibles en matière de politique
nisationnelles de la mise environnementale.
en place d’une démarche
environnementale.
3. Choix de – Être sûr que – Méconnaissance des – Entretien avec la DG – Choix d’une démarche – Sensibiliser la DG à toutes les
la démarche l’organisation a avantages/inconvénients (appréciation de la environnementale solutions envisageables concernant
330
environnementale retenu la démarche des différents connaissance des alterna- inappropriée à la politique les démarches environnementales.
la mieux adaptée environnementale types de démarche tives possibles). en la matière. – Disposer d’informations
à la stratégie de appropriée à sa stratégie et environnementale – Entretien avec le respon- – Décision d’engagements suffisantes concernant les
l’organisation et sa politique en la matière. (Démarche ISO 14000 sable environnement. de dépenses non justifiée. différentes solutions possibles
Les outils de l’audit
à ses obligations avec ou sans certification, – Informations dispo- (durée de mise en œuvre, moyens
autres démarches…). nibles sur les différentes nécessaires…).
démarches environnemen-
tales possibles.
4. Mise en place – Être sûr que – Méconnaissance des exi- – Entretien avec – Retard dans la mise en – Désigner un comité de pilotage
de la démarche l’organisation met en gences à satisfaire en fonction le responsable œuvre de la démarche du projet.
environnementale œuvre la démarche du référentiel retenu. « Environnement ». environnementale. – Désigner un responsable de projet.
retenue environnementale – Absence ou implication – Planning de mise en – Abandon du projet. – Définir un planning de
conformément aux insuffisante de la DG dans œuvre du projet. – Dépenses réalisation des différentes étapes.
exigences du référentiel la démarche. – Comptes rendus des supplémentaires. – Sensibiliser, motiver, former
retenu. – Manque de préparation réunions du comité de l’ensemble des personnes
de l’ensemble du personnel pilotage du projet. concernées par la mise en œuvre
de l’organisation aux de la démarche environnementale.
exigences de mise en – Développer une culture éthique
œuvre de la démarche. au niveau global dans l’organisation.
© Dunod – La photocopie non autorisée est un délit
5. Pérennité – Être sûr que – Manque de – Comptes rendus – Non-respect de la – Définir, formaliser dans une
du système de l’organisation veille à la sensibilisation des réunions réglementation. procédure et réaliser les différentes
management pérennité du système (DG, responsable « Environnement ». – Sanctions financières. actions permettant de pérenniser
environnementale de management environnement, – Comptes rendus des – Perte de la certification le système de management
(par exemple : environnemental afin de ensemble du personnel) à revues de direction. ISO 14000. environnemental :
conservation des conserver la certification la nécessité de pérenniser – Rapports d’audit interne – Dégradation de l’image • audit interne environnemental,
certifications ISO) obtenue (Par exemple le système de management environnemental. éthique de l’organisation. • actions correctives et/ou
Certification ISO 14000). environnemental. – Résultats des actions – Démotivation du préventives,
– Ignorance des correctives et/ou préventives. personnel. • révision du système
conséquences sur le non- – Évolution du système documentaire si nécessaire,
renouvellement de la documentaire (création • archivage des documents qui
certification. ou modification de constituent des « preuves » en matière
procédures, archivage des de protection de l’environnement
documents…). (documents d’enregistrement).
6. Amélioration – Être sûr que l’entreprise – Se satisfaire du – Résultats des enquêtes – Perte d’un avantage – Définir, formaliser dans une
continue du met en place des actions niveau de protection de réalisées auprès des parties d’image de l’organisation procédure et réaliser les différentes
système de pour anticiper sa politique l’environnement atteint prenantes concernées en matière de protection actions permettant une amélioration
management environnementale par sans volonté de s’améliorer (clients, riverains des sites de l’environnement. continue des performances environ-
331
environnemental rapport à de futures en permanence. de production de l’organisa- nementales de l’organisation :
(anticipation de exigences et/ou pour tion, opinion publique…) • enquêtes auprès des parties
nouvelles exigences améliorer son image concernant les évolutions prenantes (salariés, fournisseurs,
en matière de éthique. de leurs préoccupations en environnement…) afin de
protection de matière de protection de connaître l’évolution de leurs
l’environnement) l’environnement. préoccupations en matière de
– Comptes rendus des protection de l’environnement.
revues de direction. – Veille technologique en la
– Rapports d’audit interne matière (innovations des process
environnemental. de fabrication…),
Chapitre 10 ■ Les référentiels de risques
Conclusion
S
i nous devions choisir un mot, celui qui pourrait constituer le mot
clef de notre ouvrage, ce serait sans hésiter « Risques ». Si nous avions
la possibilité de le compléter, ce serait « Maîtrise des Risques ».
Le management des risques assure l’identification, l’évaluation et le
traitement des risques. Le contrôle interne (ou le système de contrôle
interne) est la réponse organisationnelle à la maîtrise des risques. La
gouvernance, entre autre, structure le fonctionnement des différentes
instances chargées de coordonner et piloter la maîtrise des risques. Enfin
l’audit, et plus précisément l’audit interne, apprécie l’existence, la bonne
application et l’efficience de tous ces dispositifs. Comme nous l’avons
dit de manière un peu caricaturale en introduction, « l’audit, c’est le
contrôle du contrôle ».
En matière d’audit interne, le Cadre de Référence International des
Pratiques Professionnelles élaboré par l’IIA recense les bonnes pratiques
qui garantissent un excellent niveau de qualité aux prestations d’audit
réalisées par les services qui s’inscrivent dans cette démarche. La métho-
dologie que nous préconisons intègre parfaitement les recommandations
de ce cadre de référence.
Pour ce qui est du contrôle interne, le modèle préconisé par l’AMF et
celui du Coso constituent actuellement des guides conceptuels incon-
tournables pour définir et mettre en œuvre les dispositifs nécessaires à la
maîtrise des risques. Les référentiels de risques proposés dans cet ouvrage
s’inspirent de cette logique.
Cependant, et c’est l’objet de toute conclusion d’un ouvrage, nous
nous devons d’élargir notre réflexion sur le contrôle des organisations à
d’autres dimensions non abordées jusqu’à présent mais qui ne doivent
et ne peuvent pas être ignorées.
332
Conclusion
carbone ».
La satisfaction des attentes de ces autres parties prenantes constitue,
pour l’organisation, des objectifs à atteindre tout aussi importants que
les objectifs de rentabilité vis-à-vis des actionnaires. Dans la mesure où
l’organisation se fixe des objectifs à atteindre, on n’échappe pas à l’en-
chaînement des étapes que nous avons évoqué dans l’introduction de
cet ouvrage : « Objectifs, Risques, Dispositifs de maîtrise des risques,
Audit ».
On constate donc qu’il existe, parallèlement au système de contrôle
interne, divers autres systèmes de management destinés à assurer (autant
que peut se faire) la satisfaction des attentes de chaque partie prenante
importante pour l’organisation par l’atteinte des objectifs correspondants.
333
Audit interne et référentiels de risques
334
Quiz « Méthodologie »
335
Audit interne et référentiels de risques
Pour pallier les risques quelles sont les mesures qui constituent des éléments
du dispositif de contrôle interne à mettre en place ?
Le COSO-I
« Le contrôle interne est un processus mis en œuvre par le Conseil d’admi-
nistration, les dirigeants et le personnel d’une organisation destiné à fournir
une assurance raisonnable quant à la réalisation des objectifs suivants :
•• réalisation et optimisation des opérations ;
•• fiabilité des informations ;
•• respect des réglementations. »
Le contrôle interne est traditionnellement schématisé sous la forme d’une
pyramide à cinq composantes. Lesquelles ?
336
Quiz « Méthodologie »
Le « référentiel AMF »
Par rapport au référentiel « AMF », identifier la nature des trois faces du
cube et leurs composantes.
© Dunod – La photocopie non autorisée est un délit
337
Audit interne et référentiels de risques
Méthodologie de l’audit
Représentez le déroulement d’une mission d’audit (graphique et fiche expli-
cative)
Pour chacun des points ci-dessous, répondez aux questions suivantes :
– « Qu’est-ce que c’est et à quoi ça sert ? »
– « Comment ça se fabrique ? »
338
Quiz « Méthodologie »
ensuite ?) ;
339