« L’AUDIT SOCIAL »

outil d'aide au progrès dans 
l ’e n t r e p r i s e

Présenté par :
Mr.BENHALIMA Samir, MBA, PGS en Management & DPAI.
Formateur & Consultant en Audit, Contrôle interne et Risk Management

1
 Prémière Partie :
les piliers de la Gouvernance
d’Entreprise

2
LA GOUVERNANCE
D ’ENTREPRISE

3
• Définition standard de la gouvernance : Le gouvernement
d ’entreprise désigne l’ensemble des pratiques, des structures et des
procédures qui spécifient :
– le partage du pouvoir,
– la répartition des responsabilités
– les modes de contrôle
entre les différentes parties prenantes d’une organisation.

• Définition de la gouvernance selon l’OCDE (*)

Le gouvernement d’entreprise fait référence aux relations entre la
direction d’une entreprise, son conseil d’administration, ses
actionnaires et d’autres parties prenantes.
Il détermine également la structure par laquelle sont définis les objectifs
d’une entreprise, ainsi que les moyens de les atteindre et d’assurer une
surveillance des résultats obtenus.
(*) Organisation de coopération et de développement économiques
4
Les meilleures pratiques selon l’IIA / IFACI
● Responsabilité CA :
 Superviser le DG et la stratégie de l’entreprise
 Suivre les risques et le système de CI

● Indépendance d’une grande partie des

administrateurs
 Expertise des administrateurs
 Conditions de travail du conseil d’administration

5
 Le processus de gouvernance

Les meilleures pratiques selon l’IIA / IFACI (suite)

 Séparation des fonctions entre DG et président
du CA
 Transparence des communications du CA
 Comité des nominations , des rémunérations et
d’audit = administrateurs indépendants
 Audit interne rattaché directement au Comité
d’audit

6
LE CONTRÔLE INTERNE

7
Définition du contrôle interne
Définition 1: de l ’OECF (1977) :Ordre des Experts Comptables Français)
« Le CI est l ’ensemble des sécurités contribuant à la maîtrise de
l ’entreprise. Il a pour but d ’un côté d ’assurer la protection, la
sauvegarde du patrimoine et la qualité de l ’information, de
l ’autre l ’application des instructions de la direction et de
favoriser l ’amélioration des performances. Il se manifeste par
l ’organisation, les méthodes et les procédures de chacune des
activités de l ’entreprise pour maintenir la pérennité de celle-ci. »

Définition 2 : Définition du COCO

«Éléments de l ’organisation (incluant systèmes, procédures,
culture, structures et tâches) qui mis ensemble aident à
atteindre les objectifs ».

8
Définition 3 : Définition du COSO : (Committee of Sponsoring Organisations
of the Treadway Commission (Sept. 92)

« Le CI est un processus mis en œuvre par le

CA, les dirigeants et le personnel d ’une
organisation destinée à fournir une assurance
raisonnable quant à la réalisation des objectifs. »

9
Nécessité d ’un référentiel.

Le choix du COSO est le plus répandu : Il décrit et organise

les aspects essentiels à prendre en compte pour
l’évaluation du contrôle interne d’une organisation
quelconque.

Autre document de référence : Turnbull Guidance, élaboré

par leFinancial Reporting Council britannique. Il s’agit d ’un
document de « meilleures pratiques » concernant le
contrôle interne.

Cadre de référence français : l’IFACI, groupe de place créé

en 2005par l’AMF, a publié un cadre de référence
permettant aux sociétés de superviser leur de contrôle
interne.

10
Le référentiel « C.O.S.O I »
1. Un environnement de contrôle favorable;
2. Une évaluation des risques;
3. Des activités de contrôle;
4. L’information et communication;
5. Le pilotage.

11
Les 05 composants du Contrôle Interne (COSO I)

12
1.Environnement de contrôle

• Une Éthique : l’existence de codes de conduite et des

règles d’étique, l’application des normes de comportement
moral.
« Tone at the top » : le top management doit donner
l’exemple non seulement dans les discours mais également
dans les comportements avec le personnel, les clients, les
fournisseurs, les administrations……

• Une politique : des délégations de pouvoirs clairement

définies, une permanente adaptation des compétences aux
postes attribués, des objectifs réalistes et réalisables, une
gestion des ressources humaines transparente et connue
par tous .

• Une organisation : avoir une organisation qui est adaptée

aux objectifs fixés.

13
2.Evaluation du risque
L’évaluation du risque implique un processus dynamique et
itératif afin d’identifier et d’évaluer les risques dans
l’accomplissement des objectifs. Les risques provenant de
l’activité sont considérés de manière relative dans la définition
des tolérances au risque. Ainsi, l’évaluation du risque constitue
la base pour la détermination du mode de gestion du risque.
Le management spécifie des objectifs relatifs aux opérations, au
reporting et la conformité avec suffisamment de clarté pour être
capable d’identifier et d’analyser les risques liés à ces objectifs.
L'évaluation des risques exige du management de prendre en
compte l’impact de possibles changements dans
l’environnement externe et à l’intérieur de son propre business
model qui pourraient rendre le contrôle interne inefficace.

14
 Les risques spécifiques à chaque fonction :

Fonctions dans l’organisation Nature des risques associés

Gestion/ Finance Risque boursier

Risque comptable
Risque d’investissement
Logistique Risques d’approvisionnement
Risques liés à la production
Commercial Insolvabilité des clients
Risque concurrentiel

Informatique Perte d’information

Sécurité et sauvegarde des données
Juridique Sinistre, fraudes
Risques environnementaux
Ressources Humaines Risques social,

15
 Cartographie globale des risques
Mineur

Quasiment certain 3
Modéré

4 Elevé
Probable 8
Probabilité

Critique
9 6 5
Possible 1
7

Les 09 premiers risques majeurs

Peu probable 2
R1 Risque lié au bruit

Risque de s'exposer à des pollutions

R2
Rare
R3 Risque de non disponibilité du produit

Non Très R4 Risque concurrentiel

Mineur Modéré Majeur
significatif significatif

R5 Perte des données

Impact
R6 Défaillance du matériel informatique

R7 Intrusion au réseaux locale

R8 Virus

R9 Risque lié à l'évaluation de la RH

16
3.Activités de contrôle

Les activités de contrôles sont les actions établies à travers les

politiques et procédures afin de réduire les risques pouvant
entraver la réalisation des objectifs. Les activités de contrôle
sont effectuées à tous les niveaux de l’entité, à plusieurs étapes
des processus opérationnels, et sur l’environnement
technologique. Elles pourraient être préventives ou détectives
par nature et englober une variété d’activités manuelles et
automatiques telles que les autorisations, les approbations, les
vérifications, les réconciliations et les revues de performances.
La séparation des tâches est typiquement construite dans la
sélection et le développement des activités de contrôles.
Lorsque la séparation des tâches n’est pas possible, le
management sélectionne et développe des contrôles alternatifs.

17
 Types d’activités de contrôles :
• Approbation, autorisation, et vérification (par exemple :
délégation des pouvoirs);

• Revue des indicateurs de performances;

• Sécurité des biens (par exemple : contrôle d’accès);

• Séparation des taches (par exemple : surveillance-

autorisation- enregistrement);

• Contrôle des systèmes d’informations :

§ Contrôle généraux informatiques (sécurité,
développement des applications,….)
§ Contrôle des applications.

18
4.Information et communication
L’information est nécessaire pour que l’entité puisse mener ses
responsabilités de contrôle interne afin de supporter la
réalisation de ses objectifs. Le management obtient ou génère et
utilise la qualité pertinente de l’information provenant de sources
internes et externes afin de supporter le fonctionnement d’autres
composantes du contrôle interne. La communication est un
processus continu, itératif de fourniture, transmission et
d’obtention de l’information nécessaire. La communication
interne est le moyen par lequel l’information est disséminées à
travers l’organisation. Elle permet au personnel de recevoir un
message clair du management sur le fait que les responsabilités
de contrôles doivent être considérées sérieusement. La
communication externe est de deux ordres: elles permet la
diffusion en interne d’informations extérieures pertinentes et elle
fournit une information aux parties externes en réponses aux
exigences.
19
4.Information et communication
Information :
• Inclut l’identification, l’obtention, et la diffusion d’information
pertinente (interne ou externe) selon le bon moyen de
communication, au bon moment, aux bonnes personnes, afin
que ces dernières puissent réagir et assurer leurs
responsabilités.

• Systèmes d’information : Infrastructures, logiciels, processus-

manuels ou automatiques, Données.

• La qualité de l’information s’évalue selon les critères suivants :

Opportunité / Contenu
A temps / Délai
A jour
Exactitude
Accessibilité.

20
Communication :
• Une bonne compréhension des rôles et responsabilité de
chacun;
• Les salariés comprennent comment leur travail est lié à celui
des autres;
• Peut être sous forme de :
§ Manuels des procédures
§ Manuels de comptabilité et de reporting financier
§ Électronique, oralement (réunion, compte-rendu) et par
des actions des Dirigeants
 Faciliter la communication top-down et bottom-up
 Communiquer avec les tiers.
« La transparence doit être la règle : pas de rétention
d’information, pas de circuits de communication
excessivement complexes, pas d’information superflus ».

21
5. Le pilotage
Les évaluations continues, séparées ou la combinaison de deux
sont utilisées afin de s’assurer que chacune des 5 composantes
du contrôle interne est présente et fonctionne.
Les évaluations continues réalisées dans les business
processus à différents niveaux de l’entité doivent fournir une
information adéquate. Les évaluations conduites
périodiquement varieront en scopes, fréquence, dépendant de
l’évaluation des risques, de l’efficacité des évaluations
continues et d’autres considérations à prendre par le
management.
Les résultats sont évalués par rapport aux critères établis par
les organismes de régulation, le management, et le conseil
d’administration, si approprié.

22
5. Le pilotage
Les responsables de l’entreprise font parfois du contrôle interne
sans le savoir.
Chaque responsable Ou qu’il soit, s’organise pour diriger son
activité : il va définir les tâches de chacun, mettre au point des
méthodes de travail, se doter d’un système d’information,
superviser les activités de son personnel.

Objectifs du pilotage du contrôle interne :

• Déterminer si le contrôle interne mis en place est adéquat,

appliqué et efficace;

• Contrôler les performances du contrôle interne en continu et

évaluations ponctuelles;

• Suivre et remédier (mise en place de plans d’actions correctifs)

aux faiblesses identifiées qui doivent être reportées au niveau
hiérarchique adéquat.
23
Pour un contrôle interne efficace:
 Chacune des 5 composantes et 17 principes doivent être présents et fonctionner
 Les 5 composantes doivent fonctionner ensemble et de façon intégrée

1. Démontre un engagement à l’intégrité et aux valeurs

Environnement de contrôle éthiques
2. CA Exerce des responsabilité de supervision
3. Etablit une structure, une autorité et une responsabilité
4. Démontre l’engagement vers la compétence
5. Fait appliquer la responsabilité

6. Défini des objectifs adéquats

Evaluation du risque 7. Identifie et analyse les risques
8. Apprécie le risque de fraude
9. Identifie et analyse les changements significatifs

10. Sélectionne et développe

Selects and develops les
control activités de contrôle
activities
Activités de contrôle
11. Sélectionne et développe
Selects and develops les controls
general contrôleover
généraux sur la
technology
12. technologie
Deploys through policies and procedures
12. Déploie grâce aux les politiques et procédures

Information & 13. Utilise une information pertinente

Communication 14. Communique de façon interne
15. Communique de façon externe

16. Effectue des évaluations continue et/ou séparées

Pilotage 17. Evalue et communique les déficiences
24
25
26
La réglementation régissant
le Système de contrôle
Interne

27
La réponse réglementaire
à travers SOX

28
Les grandes lignes de SOX
“Americans will always do the right thing…..
after they have exhausted all other options”

Sir Winston Churchill

29
Le contexte réglementaire
La loi Sarbanes-Oxley (SOX).
…. Enron se déclare en faillite, WorldCom découvre une
fraude….plusieurs scandales financiers….

 SOX est entrée en vigueur le 30 juillet 2002.

 Impose aux entreprises cotées aux Etats unis de nouvelles

exigences favorisant la transparence et l’exactitude de
l’information financière.

 Le but de cette loi est de décourager les pratiques

frauduleuses.

30
Le contexte réglementaire .
La loi Sarbanex-Oxley et le contrôle interne.

 La section 302 impose aux entreprises la mise en place

d’un dispositif de contrôle interne destiné à assurer
l’exactitude et la fiabilité de l’information financière.

 La section 404 demande la publication d’un rapport annuel

sur le contrôle interne de l’entreprise.

 La section 906 accroît la responsabilité pénale des

dirigeants (CEO / CFO) face à l’information comptable et
financière de l’entreprise.

 Impose un audit annuel des procédures de contrôle

interne.
31
Les limites du contrôle interne
 Jugement humain erroné;

 Collusion de 2 ou plusieurs personnes;

 Absence d’un contre pouvoir au sein du conseil

d’administration;

 l’ingérence du management dans l’application

des procédures et des instructions de gestion;

 Prise en compte de la balance coût / avantage.

32
LE MANAGEMENT DES
RISQUES

33
Le processus de management
des risques selon COSO 2

34
Définition : un processus

o Mis en œuvre par le Conseil d’administration, la direction générale, le

management et l’ensemble des collaborateurs,

o Pris en compte dans l’élaboration de la stratégie de l’organisation ainsi que

dans toutes ses activités,

o Conçu pour identifier les événements potentiels pouvant affecter

l’organisation et gérer les risques dans les limites de son appétence pour le
risque,

o Afin de donner une assurance raisonnable quant à la réalisation des objectifs

de l'organisation.

35
Le référentiel « C.O.S.O II» dédié au Management
des Risques

36
37
De l’environnement de contrôle à l’environnement interne

● Culture d’entreprise en matière de management des risques;

● Importance de la composition du conseil d’administration en

termes d’administrateurs indépendants.

38
39
40
41
42
43
L’Audit Interne

44
Définition 1: définition de l’IIA (*)

L’audit interne est une activité indépendante,

objective, d’assurance et de conseil, menée pour
apporter de la valeur et améliorer les opérations
d’une organisation. Il aide une organisation à
atteindre ses objectifs en adoptant une approche
systématique et méthodique pour évaluer et
améliorer l’efficacité des processus de gestion des
risques, de contrôle et de gouvernance.

(*) The Institute of Internal Auditors

45
L’utilité de l’audit dans une économie de marché

 Contrôler, sous mandat des actionnaires, les décisions

(opportunistes) des dirigeants (Théorie de l’agence,
Jensen & Meckling, 1976).

 L’auditeur joue un rôle important dans l’économie en tant

que gardien de confiance (watchdog or guardian of trust)
(Shapiro, 1987, p.635)

 Réduction du risque de l’investisseur et de l’asymétrie

d’information .

 Crédibilisation de l’information par certification légale

(CAC ou auditeurs légals).
46
 Pourquoi existe-t-il une demande d’audit ?

 S’assurer que le produit généré (les états financiers) est

conforme aux normes.

 S’assurer que le contrôle interne est défini, pratiqué et

efficient (il détecte les anomalies et favorise leur correction).

 Fiabiliser la chaîne de contrôle actionnaires/dirigeants).

47
Qualité de l’audit et gouvernement d’entreprise.

48
‫شكرا‬

‫‪49‬‬