Vous êtes sur la page 1sur 88

Cartographie des risques pour le cycle gestion salariale

MEMOIRE DE FIN D’ETUDE ODEP

SOUS THEME

Elaboré par :
AHLAM KACHOUANI
Encadré par :
Mr. SEDDIK SGHIR

2004/2005

-1-
Cartographie des risques pour le cycle gestion salariale

Remerciements
Introduction
GENERALITES
Section I : présentation de l’ODEP
I- Identification
A- Fiche signalétique
B- Historique
C- Forme juridique
II- Organisation
A- La structure de l’ODEP
B- Objectifs de l’ODEP
III- Mission de l’ODEP
Section II : prise de connaissance générale des dispositifs de
l’audit interne au sein de l’ODEP
I. Objectifs généraux
II. Rôle de la fonction
III. Caractéristiques des missions de l’audit interne
IV. Domaine d’exercice de la fonction d’audit interne
V. Pratique de l’audit interne au sein de l’ODEP : déontologie et
normes de comportement

Partie I –LA MAITRISE DES RISQUES : UNE


PREOCUPATION DE l’AUDIT INTERNE.
Section I : la maîtrise des risques
I- Notion de risques
II- Maîtrise des risques
Section II : vers une nouvelle approche de audit interne
I- Méthodologie générale de l’audit interne
II- l’audit interne basé sur les risques
III- Apport des nouvelles normes d’audit interne

-2-
Cartographie des risques pour le cycle gestion salariale

Partie II- LA CARTOGRAPHIE DES RISQUES : UN


NOUVEL OUTIL POUR UN AUDIT BASE SUR LES
RISQUES.
Section I : notion de cartographie

I. Définition
II. Apports et difficultés de pratique

Section II : étapes de sa réalisation

I. Comment réaliser une cartographie


A- définir le cadre de référence.
B- recenser les processus
C- identifier les risques :
D- Evaluer/ hiérarchiser les risques :

II. La forme finale

Partie III- LA CARTOGRAPHIE DES RISQUES POUR


LE CYCLE GESTION DES RESSOURCES HUMAINES

I. Cadre de la cartographie des risques pour la gestion des ressources


humaines.

II. Recensement des procédures de la gestion des ressources


humaines.

III. La cartographie des risques pour le cycle gestion des ressources


humaines

-3-
Cartographie des risques pour le cycle gestion salariale

Le présent travail, qui constitue une synthèse des acquis de mon cursus au sein de l’ISCAE ,
et des réflexions personnelles étayées par la pratique de la vie professionnelle ,n’a pu être
réalisé que grâce à l’aide précieux qui m’a été apportée pour guider ma démarche.

A cet égard, je tiens à remercier particulièrement mon encadrant, M. Seddik Sghir ,pour sa
collaboration, sa modestie et son amabilité, et qu’il me soit permis d’exprimer mon profond
respect et mon admiration pour son savoir et son savoir faire.

Et je n’oublie pas, toute ma gratitude, estime et reconnaissance à MBelalia Abdelah,mon


encadrant à l’ODEP, et tout le corps professoral de l’Institut Supérieur de Commerce et
d’Administration des Entreprises. Pour L’intérêt constant qu’ils n’ont cessé de porter à
notre formation. Et J’espère qu’on sera à la hauteur de leurs attentes et que le résultat leurs
apporte pleine satisfaction.

Qu’ils trouvent ici, l’expression de ma profonde reconnaissance et de mon grand estime.

Enfin, qu’il me soit permis d’exprimer globalement mes remerciements à toutes celles et tous
ceux qui, de près ou de loin, ont manifesté leur appui et ont facilité l’élaboration de ce
mémoire.

-4-
Cartographie des risques pour le cycle gestion salariale

Au cours de ces dernières années dans une période ou la recherche de


productivité et d’économie des coûts sont devenus la préoccupation du monde
des affaires, les risques ne cessent d’augmenter dans l’économie et la fréquence
des défaillances d’entreprise est de plus en plus nombreux. Ce qui a mis en
évidence la nécessité de disposer d’outils de pilotage et de contrôle de plus en
plus efficaces pour renforcer la résistance et la dynamique de l’entreprise ou
l’organisation.

En effet, la conduite des affaires impose désormais une véritable culture de


contrôle diffusé dans les fonctions aussi bien administratives qu’opérationnelles.

En d’autre terme, tous les acteurs de la vie économique sont directement


concernés par la qualité du contrôle développé dans leurs entités, qui permettra
de limiter les risques de défaillance et d’optimiser l’efficacité des opérations.

Mais encore, faudra-t-il disposer d’un système de contrôle interne bien adéquat
et actualisé, un système permettant de détecter, en temps voulu tout dérapage par
rapport aux objectifs de rentabilité visés par l’entreprise et de limiter les aléas.

Dans ce contexte, il n’est pas étonnant que se manifeste une demande croissante
pour des système d’audit interne plus performants et permettant une maîtrise
parfaite de tout genre de risques entravant la réalisation des objectifs de
l’entreprise et ceci grâce à des outils développés qui contribuent au
recensements des différents aléas et risques qui peuvent surgir, et en assurent
une bonne maîtrise.

Dans ce sens, le présent mémoire se propose de contribuer à l’élaboration d’une


cartographie des risques pour les différents entités opérationnelles et
administratives de l’ODEP .l’intérêt d’un tel outil est de développer et
renforcer le système d’audit interne et d’assurer son adéquation avec les
nouvelles approches d’audit .

-5-
Cartographie des risques pour le cycle gestion salariale

De ce fait, procéder à une telle démarche implique tout d’abord d’avoir une idée
claire sur l’importance du système d’audit au sein de l’ODEP, il est utile à ce
niveau, d’examiner ses objectifs, ses missions et son domaine d’exercice.

Cette démarche implique également, la nécessité de comprendre la notion de


maîtrise des risques et ses différents outils, ainsi que les nouvelles pratiques de
l’audit basé sur les risques.

La mise en place d’une cartographie des risques implique enfin une


connaissance de ces étapes de réalisation ,ce qui permettra de se doter d’un
canevas aidant à la mise en place d’une cartographie générale répondant au
besoins d’audit à l’ODEP .

Dans ce présent mémoire, et toujours dans le cadre de la mise en place d’une


cartographie générale pour l’ODEP, je me propose d’élaborer une cartographie
pour le cycle gestion des ressources humaines, dans la mesure où cette activité
revêt d’une grande importance au sein de l’ODEP vue l’ampleur de la masse
salariale qu’il gère, pour cela je vais suivre la démarche suivante :

Dans une première étape, après une présentation générale de l’ODEP, son
organisation, sa mission et ses objectifs, on va mettre en lumière les dispositifs
de l’audit interne au sein de l’ODEP, c’est-à-dire on va prendre une
connaissance générale : des objectifs généraux, rôle, missions et pratique de
l’audit interne à l’ODEP.

Dans une deuxième étape, on va procéder à la présentation détaillée de la notion


du risque et de maîtrise des risques, pour pouvoir par la suite mettre en exergue
la nouvelle orientation de l’audit vers la maîtrise des risques.

Et enfin, dans une troisième étape, on va, après une présentation succincte de la
cartographie des risques et ses étapes de réalisation, procéder à l’élaboration de
la dite cartographie des risques pour le cycle gestion des ressources humaines.

GENERALITES
Section I : PRESENTATION DE l’ODEP
I – IDENTIFICATION

-6-
Cartographie des risques pour le cycle gestion salariale

A- FICHE SIGNALETIQUE

− Dénomination Sociale : Office D'Exploitation des Ports (ODEP)

− Logo Commercial :

− Objet Social : l'exploitation et la gestion des ports du Maroc

_ Forme Juridique : Organisme Public à caractère industriel et


commercial doté de la personnalité morale et de
l'autonomie financière

− Date de Création : 28 Décembre 1984 (loi N°6-84)

− Effectif : 3745 agents dont 488 Cadres Supérieurs.

− Nombre de ports exploités : 17 ports

− Ports exploités : Dakhla, Laâyoune, Tan-Tan Sidi Ifni, Agadir,


Essaouira, Safi, Jorf Lasfar, El Jadida,
Casablanca, Mohammedia, Sables d'or,
Kenitra, Tanger, M'Diq, Asilah, Al Hoceima et
Nador.
- Siège Social : 175, Bd Mohamed Zerktouni, Casablanca

- Téléphone : 022-23-23-24

- Chiffre d’affaires : 179 943 000 DHS (janvier 2005)

B- HISTORIQUE

-7-
Cartographie des risques pour le cycle gestion salariale

L’expérience marocaine dans le domaine portuaire a connu plusieurs


étapes :

™ Avant 1963 :

Durant cette étape, la politique portuaire du Maroc a été caractérisée par la


gestion des ports sous le régime de la concession à des sociétés privées qui
assuraient les activités commerciales, mais qui n’avaient en charge que
l’entretien du matériel. Ces entreprises privées n’assumaient aucun risque
financier du moment où les déficits éventuels des opérations commerciales
(manutention, magasinage) étaient couverts par le budget de l’Etat.

™ De 1963 à 1982 :

L’arrivée à terme des concessions a conduit l’Etat à créer la Régie


d’Aconage du Port de Casablanca (RAPC) qui reprend progressivement
l’exploitation des principaux ports (Safi, Agadir et Mohammedia).

Il s’agissait ainsi d’un premier transfert de l’activité commerciale vers un


organisme public. L’Etat gardait la construction et l’entretien des infrastructures,
la gestion du domaine public et des réseaux.

™ Dès 1982

Les pouvoirs publics ont décidé une refonte du secteur portuaire avec deux
préoccupations fondamentales :

Le rattachement de toute l’activité portuaire à la tutelle unique d’une seule


administration, le Ministère des travaux publics, de la formation
professionnelle et de la formation des cadres (Ministère de l’équipement et
du transport actuellement).

-8-
Cartographie des risques pour le cycle gestion salariale

L’assainissement de la gestion du secteur portuaire en fixant de nouveaux


objectifs à la Régie d’Aconage et en renforçant ses attributions en matière
d’entretien des infrastructures.

Les objectifs poursuivis ont été les suivants :


Redonner une énergie et une dynamique nouvelle à l’exploitation
portuaire visant à rendre les ports marocains plus performants et mieux
structurés afin de faire face aux nouvelles exigences économiques et
techniques de notre commerce extérieur.
Associer les opérations économiques, les élus locaux et les différentes
administrations à la gestion des nouvelles structures.
Assurer à tous les ports un niveau égal de développement.

La Création d’un organisme public sous la dénomination de « Office


d’Exploitation des Ports ». Cet organisme a été crée par la loi 6-84 promulguée
par le Dahir n° 1-84-194 du 28 Décembre 1984.

C- FORME JURIDIQUE

L’ODEP est un établissement public à caractère industriel et commercial,


doté de la personnalité morale et de l’autonomie financière puisqu’il possède en
ce sens des ressources propres qu’il peut allouer à se dépenses, il établit son
budget, son état de prévision financière et tient une comptabilité propre.

L’ODEP est l’un des établissements publics qui enregistre chaque année de
résultats positifs. Ce succès est le fruit d’une bonne gestion à tous les niveaux

-9-
Cartographie des risques pour le cycle gestion salariale

« opérationnel, budgétaire, stratégique » et d’une expérience qui date de


plusieurs années.

L’ODEP est placé sous la tutelle du Ministère de l’équipement et du


transport, il est soumis, conformément à la législation en vigueur, au contrôle
financier de l’Etat sur les établissements publics.

L’ODEP est composé :

¾ D’une direction générale, qui définit les stratégies et les politiques,


consolide les actions et les résultats, arbitre les évolutions et les
responsabilités, contrôle l’activité et coordonne entre les différents ports
notamment en matière de tarification, plan d’investissement et règlement
des marchés.

¾ Des Directions d’Exploitation des Ports (DEP) eux même, chargés de la


gestion opérationnelle de l’exploitation portuaire.

II- ORGANISATION

A- OBJECTIFS DE l’ODEP:

En matière d’exploitation : l’office a pour objectifs d’assurer le passage


de la marchandise à l’import et à l’export dans les meilleures conditions et aux
moindres coûts par l’amélioration de la qualité de service et de la productivité,
l’optimisation des coûts et la modernisation des services portuaires et des
méthodes de travail.

En matière financière : l’objectif est d’optimiser et de rechercher en


permanence les équilibres financiers, d’améliorer la rentabilité globale des

investissements et de rechercher les meilleurs financements pour préserver


l’indépendance financière de l’office et d’assurer sa solvabilité au moindre coût.

-10-
Cartographie des risques pour le cycle gestion salariale

En matière d’investissement : L’ODEP a pour but de garantir un


développement harmonieux de tous les ports en les dotant d’outils leur
permettant de servir dans les meilleures conditions l’économie nationale et
d’être compétitifs sur le plan international.

En matière commerciale : La politique de l’ODEP tend vers une


tarification simplifiée et concertée, une généralisation des conventions avec les
meilleures clients, et la maîtrise des créances de l’office.

En matière d’organisation et de système d’information : l’ODEP s’est


tracé comme objectif une décentralisation de l’organisation qui devrait favoriser
l’autorégulation, l’autonomie de gestion et la responsabilisation des acteurs sur
leurs missions. Ceci a été rendu facile par l’élaboration d’un manuel
d’organisation et la généralisation de la pratique de la délégation de signature.

B- LA STRUCTURE DE L’ODEP :

L’organisation de l’ODEP lui permet une large autonomie de gestion pour


chaque port. Ainsi, la structure de l’office est constituée d’entités qui doivent
garder et développer leur dynamisme propre contrôlé par une direction générale
qui définit les stratégies et les politiques, consolide les actions et les résultats,
arbitre les dévolutions et les responsabilités.

La Direction Générale se compose de dix directions et de cinq missions qui


se présente comme suit au niveau de l’organigramme :

-11-
Cartographie des risques pour le cycle gestion salariale

Conseil d’administration Comité de direction

DIRECTEUR GENERAL
Filiales M. Mustapha BARROUG Missions

Secrétariat général

Direction Financière
Inspection Générale
Direction des Equipements
Communication
Direction d’Infrastructure Gestion de l’Environnement

Coordination d’exploitation des


Direction d’Organisation et ports régionaux
Système d’Information Audit
Administration du siège
Direction des ressources
Humaines

Direction Planification E
d Agence Comptable
Direction juridique

Direction action Sociale

Direction d’Exploitation
Comités techniques Portuaire

DEP DEP DEP DEP DEP DEP DEP DEP


Casabla Moha Safi Agadi Tanger/ Nado Jorf Kenitr
nca media Essaou r et p. M’diq
ira r /Ho /Jadi a/Mah
a
ceim da dia

-12-
Cartographie des risques pour le cycle gestion salariale

C- CARACTERISTIQUES DE LA STRUCTURE ORGANISATIONNELLE


de l’ODEP

Une organisation décentralisée

L’objectif de l’organisation est d’assurer à l’ODEP, à tous les niveaux, la


meilleure performance, aux meilleurs coûts pour ce qui est du service aux clients
et de l’utilisation optimale de l’outil.

Par conséquence, l’idée maîtresse réside dans la décentralisation de la


décision au plus près de l’action, et ce :

9 Pour privilégier, face aux aléas, la rapidité d’adaptation nécessaire


dans les métiers du commerce maritime.
9 Pour diminuer les temps passés en coordination internes, en réduisant
la longueur des chaînes hiérarchiques nécessaires.
9 Pour favoriser l’autorégulation et l’autonomie.
9 Pour responsabiliser les cadres dans leurs missions.

Une homothétie de l’organisation

Elle s’appuie, d’une part sur une ligne hiérarchique directe, squelette de
l’organisation qui, de l’exécution, remonte au Directeur Général ; et d’autre part
sur les diverses spécialités des services qui se trouvent à chaque échelon :

9 Services fonctionnels CPA (Centres de Production Autonomes).


9 Services fonctionnels DEP (Direction d’Exploitation des Ports).
9 Services fonctionnels DG (Direction Générale).

-13-
Cartographie des risques pour le cycle gestion salariale

Un partage clair des responsabilités entre les niveaux

L’organisation de l’ODEP présente trois niveaux :

9 La gestion opérationnelle.
9 La gestion budgétaire.
9 La gestion stratégique.

Les CPA (Centres de Production Autonomes) sont structurés en centres de


contribution, ils sont responsables de la gestion opérationnelle de leurs missions.

Les Directions d’Exploitation Portuaire sont structurées en centres de


profit, elles sont responsables des résultats de leurs comptes et de leur propre
gestion budgétaire.

La Direction Générale est structurée comme un Etat-Major de holding,


elle garde à la fois la responsabilité de la gestion stratégique, du contrôle
budgétaire, de la consolidation et de la coordination.

Un contrôle adapté à la décentralisation

Dans un souci de responsabilité, le contrôle doit porter sur les résultats


plus que sur les moyens détaillés.

Un métier bien défini

Un partage clair des responsabilités et des métiers afin de faciliter les


arbitrages et la coordination, et de mieux faire apparaître les liens entre
organisation et objectif.

Une organisation souple

L’organisation étant l’un des moyens utilisés pour la réalisation des objectifs,
elle doit permettre, chaque fois que l’exercice de la mission de l’ODEP l’exige,
d’opérer les ajustements nécessaires au niveau des descriptions de postes sans
que la structure ne soit modifiée

-14-
Cartographie des risques pour le cycle gestion salariale

III- MISSIONS DE l'ODEP :

Il est utile d’insister sur l’importance du secteur maritime et portuaire dans


un pays comme le nôtre, dont l’économie est traditionnellement ouverte sur le
marché international. La création de L’ODEP, dont le but essentiel est le
développement du secteur portuaire et sa dynamisation, ainsi que l’amélioration
de qualité du service et des conditions générales du travail, a été donc jugée
nécessaire et incontournable.
Ainsi, divers services sont rendus par l’ODEP depuis l’annonce de l’escale
du navire jusqu’à la livraison de la marchandise à son propriétaire :
™ Un service d’aide à la navigation (VTS au Port de Casablanca et régions) ;
™ Le pilotage, le remorquage, le lamanage et l’avitaillement des navires ;
™ La manutention et l’entreposage des marchandises ;
™ Un système d’information permanent.

Outre sa mission d’exploitant portuaire, l’ODEP est aussi chargé de :


• La maintenance des infrastructures portuaires autres que les
ouvrages extérieurs et les chenaux d’accès ;
• La gestion du domaine public portuaire ;
• La gestion gares maritimes ;
• La gestion des cales de halage, des formes de Radoub et des cales
sèches ;
Par ailleurs, l’ODEP assure pour le compte de l’Etat, et sous son contrôle,
les missions de Police Portuaire.

-15-
Cartographie des risques pour le cycle gestion salariale

Section II : PRISE DE CONNAISSANCE GENERALE DES


DISPOSITIFS DE L’AUDIT INTERNE

I- OBJECTIFS GENERAUX

L’Audit Interne a pour objectif d’assurer, au sein de l’Office, une double


fonction de sécurité et de progrès

™ Fonction de sécurité : elle contribue, par ses vérifications et par


ses analyses, à l’information de la Direction Générale et des
managers, opérationnels et fonctionnels, sur le degré de maîtrise
des processus et le niveau d’efficacité de l’organisation interne de
l’Office :

- fiabilité du fonctionnement des entités ;


- niveau de protection de l’organisation vis à vis de son
environnement ;
- rationalisation de l’utilisation des moyens ;
- efficacité finale des activités et des procédures de gestion qui les
concernent.

™ Fonction de progrès : elle participe, par ses études et par ses


réflexions, à l’identification et à la conception des mesures
correctives et des améliorations souhaitables, tant des dispositifs et
des procédures de contrôle interne en vigueur, que des modes de
prise des décisions pratiqués dans l’organisation.

L’Audit Interne se distingue des autres entités - avec lesquelles il doit


entretenir d’étroites relations de coordination et de complémentarité – par sa
compétence générale, c’est à dire sa vocation à intervenir dans toutes les
activités, structures et types de problèmes, d’une part, et par le caractère
discontinu et non permanent, de ses interventions dans le cadre de missions
ponctuelles préalablement définies d’autres part.

-16-
Cartographie des risques pour le cycle gestion salariale

En effet, d’autres entités ont, au sein de l’ODEP, des objectifs voisins de ceux
de l’Audit Interne, qui touchent également à la sécurité et au progrès de la
gestion dans des domaines spécialisés. Parmi elles, notamment, le Contrôle de
Gestion (en matière de performances économiques et financières), la Gestion
des risques (technologiques, catastrophiques, …) et la Gestion de la qualité (des
prestations de toutes natures fournies aux utilisateurs des installations
portuaires).

II- ROLE DE LA FONCTION

™ Evaluer le « Contrôle Interne » de l’Office, c’est à dire les modes


d’organisation et de travail ainsi que les dispositifs de contrôle qui
doivent permettre de maîtriser la gestion, d’informer les
responsables hiérarchiques concernés sur les résultats des audits et
de proposer des mesures correctives et des actions d’améliorations.

Il doit, à ce titre :

• Examiner la fiabilité et la qualité des informations financières et


opérationnelles (statistiques), ainsi que la sûreté des moyens utilisés
pour les recueillir, les traiter et les présenter ;

• Examiner les systèmes et les procédures qui ont pour objet d’assurer le
respect des politiques, des plans et des directives internes, ainsi que
des lois et des réglementations administratives intéressant
significativement les activités et les moyens de l’Office, et,
simultanément, vérifier que l’organisation s’y conforme
effectivement ;

• Examiner les dispositions prises pour protéger le patrimoine de


l’Office et si nécessaires, vérifier l’existence et la valeur des actifs tant
corporels qu’incorporels.

™ Evaluer l’efficacité de l’organisation, au regard des


objectifs.

™ Informer les managers sur les résultats des audits

™ proposer des mesures correctives et des actions


d’amélioration

-17-
Cartographie des risques pour le cycle gestion salariale

Il doit, à ce titre :

• Apprécier si les moyens (humains, matériels, intellectuels et


financiers) mis en œuvre sont acquis, organisés et utilisés de façon
économique et productive, et s’ils sont convenablement adaptés aux
objectifs auxquels ils sont affectés.
• Vérifier que les opérations et les programmes (projets non répétitifs)
des unités sont exécutés conformément aux objectifs fixés.
• Apprécier la pertinence des objectifs, leur degré d’ambition et de
faisabilité, ainsi que leur cohérence avec les finalités de l’ODEP.

L’Audit Interne n’exerce aucune autorité hiérarchique propre au sein de


l’Office. Il ne détient aucun pouvoir de contrainte sur les responsables
hiérarchiques des unités, des activités ou de la gestion des ressources qui font
l’objet d’une mission d’audit.
« L’Autorité d’influence » qui doit lui être reconnue tient à la pertinence de
ses diagnostics, à la qualité de ses propositions et de ses prestations de conseil à
la hiérarchie, ainsi qu’à l’esprit de « service » qui doit animer ses interventions.

L’Audit Interne doit cependant être informé des suites qui ont été données à
ses recommandations par les managers qui en ont été destinataires. Dans les cas,
exceptionnels, où, ses recommandations n’ayant pas été suivies, et s’il estime
que ce rejet peut nuire gravement aux intérêts de l’Office, l’Audit Interne peut
faire appel de ce rejet auprès des autorités hiérarchiques des niveaux supérieurs
à celui des destinataires de ses recommandations.

Le rôle de l’Audit Interne est d’apprécier ou d’évaluer des systèmes


d’organisation, des méthodes et des procédures, des normes, des actifs, des
décisions, des résultats, …
Il n’est en aucun cas de porter un jugement sur les personnes.
Lorsque les constats effectués au cours d’une mission d’audit paraîtront
devoir mettre en cause la compétence professionnelle, les comportements ou
l’intégrité d’une ou de plusieurs personnes, les responsables de la mission
devront transmettre le dossier de leur intervention à l’inspection Générale dans
les conditions fixées par les notes d’organisation interne de l’Office

-18-
Cartographie des risques pour le cycle gestion salariale

III- Caractéristiques des missions de l’Audit Interne


Les facteurs-clés de l’analyse des situations soumises à audit sont :

• L’économie et l’efficience dans l’utilisation des ressources (1)


mises à la disposition de l’unité, de l’activité ou de la fonction ;

• La qualité et la sécurité du fonctionnement et sa sécurité vis-à-


vis des risques pouvant naître de l’environnement spécifique de
l’activité ou de l’unité ;

• L’efficacité des résultats obtenus, c’est à dire leur conformité


aux objectifs préalablement fixés.

Toute mission d’audit combine ces différents axes d’investigation, en


proportions variables, tenant compte des caractéristiques de la situation observée
et des objectifs particuliers de la mission.
Les missions d’audit axées sur des contrôles de régularité et de conformité, se
préoccupent en priorité de sécurité interne et de sécurité extérieure, et,
éventuellement, à titre secondaire, de l’économie et de la productivité des
moyens mis en œuvre (cas des missions traditionnelles d’audit comptable et
financier).

Les missions d’audit dit « opérationnel » ciblent leurs investigations sur


l’économie des moyens, leur efficience (leur productivité), la maîtrise et
l’efficacité finale des opérations auditées. Les audits d’organisation s’attachent à
apprécier soit l’efficacité et la rentabilité des contrôles existant dans cette
organisation, soit la productivité des moyens mis en œuvre, soit la clarté de la
répartition des responsabilités et des fonctions et leur relation avec l’efficacité
de l’organisation.
Les audits d’évaluation générale d’une unité ou d’une fonction mettent en jeu,
de façon systématique, la totalité de la « grille » des facteurs-clés d’analyse, etc.

Il appartient donc à la fonction d’Audit Interne de l’ODEP de proposer, lors de


la préparation de ses missions, les axes d’analyse à privilégier pour atteindre les
objectifs souhaités par la hiérarchie intéressée.

-19-
Cartographie des risques pour le cycle gestion salariale

- Limites des missions de l’Audit Interne

N’entrent pas dans les attributions de la fonction d’Audit Interne :


1- La vérification courante systématique de l’exactitude des états
financiers et des tableaux de bord de gestion périodiques ;
2- Le contrôle régulier des inventaires et de la situation des actifs ;
3- La prise en charge de fonctions permanentes d’organisation interne,
ou la participation directe à la réalisation des recommandations
concluant des missions d’audit antérieures (ce qui ne dispense pas
l’Audit Interne de sa mission de conseil de la hiérarchie pour
l’application de ses recommandations),
4- Ainsi que toute fonction permanente de surveillance ou de
supervision à l’intérieur de l’Office.

Ces travaux détournent les moyens nécessairement limités de la fonction


d’Audit interne de sa mission spécifique de contrôle ponctuel et discontinu. Ils
ne peuvent en outre que nuire à son efficacité et à son indépendance.

IV- Domaines d’exercice de la fonction d’Audit Interne.


L’Audit Interne apporte sa contribution à l’ensemble des activités de
l’ODEP.
Il a donc vocation à intervenir, dans le cadre des missions qui lui sont
régulièrement confiées, dans toutes les entités et dans toutes les installations de
l’Office, pour tout type de problèmes touchant au fonctionnement interne de
l’organisation, ainsi qu’aux relations entre les opérations et l’environnement

A- Modes d’intervention de la fonction d’Audit Interne

L’Audit Interne intervient de façon discontinue dans les domaines et dans


les problèmes de fonctionnement qui sont soumis à son appréciation. Cette
discontinuité ne signifie pas inorganisation des travaux de la fonction.

1- L’Audit interne agit soit dans le cadre de missions programmées sur la


base d’un plan d’audit interne, soit pour la prise en charge de missions
spécifiques, hors programmes décidées, pour répondre à un besoin non prévu
lors de la programmation, ou pour faire face à un incident de fonctionnement
de l’organisation.

-20-
Cartographie des risques pour le cycle gestion salariale

• Les missions programmées ont pour l’essentiel un caractère récurrent.


Elle reflètent les examens systématiques qui doivent porter sur les
systèmes de gestion et plus largement sur le « contrôle interne » de
l’organisation.

• Les missions spécifiques hors programmes correspondent à des besoins


d’expertise ou d’évaluation particuliers, souvent urgents et très ponctuels.
Certaines de ces missions, consécutives à l’avènement de problèmes, ont
pour objet de démontrer le mécanisme utilisé afin de renforcer les
procédures et d’éviter la répétition d’incidents du même type. Ces
missions sont à la charge de l’Audit Interne, les problèmes de personnes
étant traités par la commission d’inspection.

2- L’Audit Interne intervient soit pour répondre à des besoins de contrôle


internes, soit, sur instruction de la Direction Générale, soit pour répondre à des
demandes de missions formulées par des Directions Centrales

V- PRATIQUE DE L’AUDIT INTERNE AU SEIN DE


L’ODEP :

Pour jouer pleinement leur rôle et contribuer ainsi à l’amélioration


des performances de l’ODEP, les équipes d’audit doivent informer leurs
interlocuteurs (audités, hiérarchie concernée, partenaires externes
éventuels, …) sur les objectifs de leurs missions, sur l’organisation de
leurs interventions et sur leurs méthodes de travail.
Elles doivent en outre respecter un certain nombre de normes
professionnelles et de règles éthiques relevant de la déontologie propre
aux activités d’Audit.

A- Règles de conduite des équipes d’Audit

1- Sur le plan professionnel et technique, les équipes d’audit interne


doivent faire preuve :

a- D’objectivité : absence de préjugés ; respect des faits, priorité des


faits sur les opinions ; bien fondé et pertinence des constats, des
conclusions et des recommandations ; maîtrise des réactions
« affectives » et impartialité ;

-21-
Cartographie des risques pour le cycle gestion salariale

b- De compétence : connaissance suffisante des problèmes soumis à


leur examen ; juste évaluation des limites de cette connaissance et
des possibilités des moyens affectés à l’intervention ; refus des
tâches non compatibles avec leurs missions spécifiques ;

c- De rigueur et de fiabilité dans la maîtrise des normes, des


méthodes, des techniques et des outils d’investigation ;

d- De discrétion : secret professionnel vis-à-vis des tiers ;


confidentialité des dossiers ; maîtrise des retours partiels
d’informations aux audités au cours de la mission.

2- Sur le plan éthique et psychologique, ces équipes doivent faire


preuve :

a- D’ouverture aux opinions des audités, d’une grande capacité


d’écoute des besoins et des préoccupations de leurs interlocuteurs et
d’une volonté d’appréhension des réalités opérationnelles ;

B- Comportement du personnel et des responsables hiérarchiques dont


les activités font l’objet d’un audit interne.

L’ordre de mission qui provoque son intervention confère à l’équipe


d’audit interne qui le reçoit une délégation de pouvoir lui donnant plein
accès aux documents, aux locaux, aux biens et aux personnes qui ont
rapport avec l’objet de sa mission.

Le personnel audités et leurs responsables hiérarchiques sont tenus


d’apporter un concours sans réserve aux investigations des auditeurs, non
seulement en écartant tout obstacle éventuel au bon déroulement des
enquêtes, sur pièces ou sur place, mais également en prenant toute
initiative pouvant faciliter les recherches d’informations de l’équipe
d’audit et la conduite des travaux (regroupements de documents, collecte
de données statistiques, prise de rendez-vous …).

Il appartient au responsable de la mission d’audit de réunir, en


concertation avec la hiérarchie des niveaux appropriés, les conditions
nécessaires à la réalisation satisfaisante de sa mission.

-22-
Cartographie des risques pour le cycle gestion salariale

Partie I –LA MAITRISE DES RISQUES : UNE


PREOCUPATION DE l’AUDIT INTERNE.
Section I : la maîtrise des risques

1-La notion du risque

Le risque peut être défini comme étant une conséquence plus ou moins
prévisible pouvant affecter l’atteinte des objectifs d’une organisation .il existe
plusieurs types de risques selon le genre d’activités réalisées par l’entreprise, les
caractéristiques propres de ses opérations, l’environnement dans lequel les biens
sont produits et les services sont rendus,

Le risque est également une incertitude, menace ou opportunité (résultant d’une


action ou inaction) que l’entreprise doit anticiper, comprendre et gérer pour
protéger ses actifs, atteindre ses objectifs dans le cadre de sa stratégie et créer de
la valeur.

Ainsi, nous pourrons distingué deux types de classification des risques auxquels
une entreprise peut être confrontée.

La première classification consiste à classer les risques en deux types :

Les risques spéculatifs, qui sont l’essence même de l’entreprise : investir des
capitaux dans une nouvelle usine, se lancer sur de nouveaux marchés, lancer un
nouveau produit …ces prises de risques sont conscientes, et elle ont pour objet
d’engendrer un profit.

Les risques purs, traditionnellement définis comme étant le résultat du


hasard, ce sont des événements (tels que les incendies, explosions, atteinte à
l’environnement…) engendrés par l’activité de l’entreprise qui se réalisent à la
suite de concours de circonstance et sur lesquels il est possible d’agir de manière
préventive ou moyennant un refinancement.

-23-
Cartographie des risques pour le cycle gestion salariale

La deuxième classification comporte les risques suivants :

Le risque inhérent ,est celui qui existe en soi sans tenir compte des
mécanismes de contrôle et de maîtrise présents dans l’entreprise .on dit aussi
,que c’est celui que l’on retrouve dans l’environnement des activités
humaines,qui fait partie de l’existence.

Le risque de non contrôle, on le définit comme la probabilité qu’une mesure de


contrôle ou un mécanisme de contrôle faille à prévenir ou à détecter une menace
présente que l’on veut absolument éviter.

Le risque de non détection : c’est la probabilité qu’une mauvaise conclusion


soit tirée des résultats de travaux d’audit interne ou d’autres analyses effectuées
par des personnes habilitées. On retrouve cela normalement en matière de
comptabilité publique.

Le risque résiduel, c’est le risque qui subsiste après l’application des


techniques de maîtrise des risques

Plus précisément, Le risque est, selon l’institut de l’audit interne (IIA :institute
of internal auditors) : « la possibilité qu’il se produise un événement susceptible
d’avoir un impact sur la réalisation des objectifs .le risque se mesure en termes
de conséquences et de probabilités. »

En effet, nous retenons la définition du risque selon l’institut de l’audit interne


pour les raisons suivantes :

La transversalité de la définition fait qu’elle peut être applicable dans n’importe


quel domaine, au niveau de toute entreprise ou de ses processus, il suffit qu’il y
ait des objectifs à atteindre ou à réaliser.
La perception du risque sous une forme quantitative (probabilité et impact) qui
permet l’évaluation du risque selon des critères simples, mesurables et
reproductibles.
La définition de l’IIA est une définition normée et sert de base pour
l’identification et l’évaluation des risques dans le cadre de la démarche de la
maîtrise des risques.

-24-
Cartographie des risques pour le cycle gestion salariale

2- La maîtrise des risques

a)Définition :

La maîtrise des risques est l’ensemble des initiatives souhaitables qu’une


entreprise devrait adopter pour faire face aux principaux risques inhérents à ses
activités. En d’autre termes, maîtriser les risques c’est prendre les initiatives
pour éviter les ennuis et pour ne pas manquer les opportunités. C’est une
démarche managériale qui existe souvent mais de manière non globale et non
structurée. Sa possession procure un avantage compétitif majeur puisqu’elle
permet une meilleure :

ƒ Efficacité dans l’atteinte des objectifs


ƒ Sécurité dans la protection des actifs
ƒ Transparence vis-à-vis des parties prenantes.

b) La valeur de la maîtrise des risques

L’aspect organique

La maîtrise des risques bénéficie davantage à l’organisation puisqu’elle


permet de ne maintenir que les dispositifs efficaces. La maîtrise des risques
est plus susceptible de couvrir l’ensemble des préoccupations des
gestionnaires puisqu’elle fonde son analyse sur les risques plutôt que de
repérer et d’analyser les mécanismes de contrôle.
Ainsi, la maîtrise des risques permettra de préciser les risques et d’évaluer les
moyens qu’empruntent les gestionnaires pour atténuer ceux-ci. En d’autres
termes, la maîtrise des risques va permettre de valoriser tout dispositif de
contrôle interne adopté puisque ne sera retenu que le dispositif permettant :

9 La fiabilisation : elle est atteinte, en adoptant une approche


systématique des bonnes pratiques face aux risques identifiés de
survenance d’ennuis.

9 La stimulation : ceci en systématisant les bonnes initiatives face aux


risques identifiés de ratage d’opportunité

9 La simplification : par la maîtrise des risques permettra de ne


maintenir que les dispositifs utiles et de ce fait, éliminer les contrôles
bureautiques ou autres non légitimés par un risques quelconque.

-25-
Cartographie des risques pour le cycle gestion salariale

9 La délégation : en maîtrisant les risques et en adoptant des contrôles


interne adéquats, le top management pourra déléguer sans risque les
responsabilités.

9 La transparence : un dispositif de contrôle interne basé sur la maîtrise


des risques permet de mieux assurer les actionnaires et les met en
confiance.

L’aspect économique

La maîtrise des risques confère un avantage concurrentiel majeur,


En effet, en réduisant les coûts évitables futurs, la maîtrise des risques permet
de restreindre les coûts liés aux risques inhérents de majoration de coûts
normaux prévus ou de minoration de gains normaux prévus.

Ainsi, la maîtrise des risques se veut un outil quantitatif de mesure de la


valeur économique et permettra à l’ingénierie de maîtrise (assistance à la
maîtrise des risques) et à l’ingénierie de fonctionnement (direction générale,
stratégie et développement) d’apprécier l’efficacité économique à partir du
niveau des coûts liés aux risques futurs.

L’aspect financier

L’aspect financier de la maîtrise des risques consiste en la mise en place et en


une surveillance des principes d’indemnisation financière, sur les risques
difficilement maîtrisables, mais assurables. A ce titre, il incombe au directeur
financier de gérer ces différents risques, soit de les transférer (cas assurances)
ou de les traiter (cas instruments financiers (option, swap.)

c) Frontière de la maîtrise des risques au sein du management globale des


risques

Le management global des risques

La maîtrise des risques s’inscrit dans le cadre de la gestion des risques qui
vise à identifier les risques à l’échelle de l’entreprise, à mesurer
financièrement l’ensemble des risques, à prendre en compte cette mesure du
risque dans l’appréciation des performances des activités et à mettre en place
des processus de suivi des risques intégrés à la gestion des opérations.

-26-
Cartographie des risques pour le cycle gestion salariale

Ceci nécessite au préalable, la mise en place d’une architecture de gestion


globale des risques afin de doter l’entreprise de moyens nécessaires pour
réussir l’intégration de la gestion des risques dans les processus de gestions
opérationnelle et stratégique de l’entreprise.
A défaut de ce dispositif, les risques ne peuvent être analysés, divulgués,
comparés et gérés d’une manière cohérente et efficace à tous les niveaux de
l’organisation considérée dans son ensemble .les principaux éléments d’un
dispositif de management des risques sont :

9 Des politiques et des directives claires et cohérentes en matière de


management des risques.

9 Des moyens adaptés à la diffusion d’information sur les risques et à


leur analyse

9 Une définition claire des responsabilités et des pouvoirs en matière de


gestion des risques, et leurs attributions à des personnes clés.

9 Des procédures et des programmes de gestion des risques adéquats

9 Et un dispositif adéquat de suivi et de revue des processus de


management des risques (audit) permettant notamment de tirer en
permanence les enseignements de l’expérience acquise au sein de
l’entreprise.

La position de la maîtrise des risques au sein du management global des


risques.

La maîtrise des risques est l’un des trois thèmes du management globale des
risques qui sont : l’économie des risques (RISK ECONOMICS), la maîtrise
des risque elle même, et le financement du risque (RISK FINANCING).

L’économie des risques intervient lors de la prise de décision sur les choix
des investissements et projets arrêtés par l’entreprise, avec l’assistance de la
direction de la stratégie .l’économie des risques a pour objet de traiter les
aspects stratégiques de l’entreprise ainsi que les nouvelles orientations.
Le support est assuré par la direction de la stratégie et l’objectif étant
d’évaluer le couple (risque / opportunité).

-27-
Cartographie des risques pour le cycle gestion salariale

Une fois les décisions prises, la maîtrise des risques intervient pour veiller à
ce que les objectifs tracés initialement (lors de la prise de décision) soient
atteints. L’objectif est, à cet effet, d’évaluer les risques susceptibles
d’entraver la réalisation des objectifs et d’élaborer les plans d’action idoines.
Le support à la maîtrise des risques est assuré par la direction business
control où contrôle général.

Le financement du risque par contre, se situe directement après la maîtrise


des risques puisqu’il tâchera de gérer tout risque jugé non maîtrisable
(difficile).

Ainsi, le financement des risques pourra faire l’objet d’un transfert du risque
(sous-traitance) ou un financement pur moyennant un contrat d’assurance ou
une provision contre le risque .le support du financement du risque est assuré
par la direction financière.
(Voir annexe ; figure1)

d) le sens de la démarche de la maîtrise des risques

Tout dirigeant désireux de structurer la maîtrise des risques se pose les


questions suivantes : comment initier la démarche ? Où commencer ?
La mise en place de la maîtrise des risques s’appuie en premier lieu sur la
définition du risque. Comme nous avons cités précédemment, nous
préconisons la définition normée du risque de l’institut de l’audit interne.

Sur la base de cette définition, les risques seront dans un premier temps
identifiés, analysés, évalués, de manière subjective par les managers de
l’entreprise en faisant appel aux quatre notions suivantes : objectifs, risques,
contrôle et alignement.

Les objectifs

Dans la mesure où les risques sont définis comme les éléments pouvant
avoir un impact sur la capacité de l’entreprise à réaliser ses objectifs, il est
important de commencer par répertorier les objectifs qui concernent
l’ensemble soumis à l’examen : l’entreprise dans sa globalité, la fonction,
l’unité opérationnelle ou le processus .ils sont ensuite comparés à ceux du
niveau inférieur ou supérieur, et ainsi de suite selon une approche
pyramidale.

-28-
Cartographie des risques pour le cycle gestion salariale

Cette première étape permet notamment de s’interroger sur la cohérence


effective entre les objectifs des différents niveaux de l’organisation et de
mettre en évidence le cas échéant les risques liés à une situation
d’incohérence, de flou dans la définition ou d’incompréhension des objectifs.

Les risques

Les risques sont ensuite identifiés sur la base des objectifs répertoriés lors de
la phase précédente. Il est procédé ainsi pour chaque niveau d’organisation
de l’entreprise, en partant du niveau le plus global sans pour autant atteindre,
les sous processus élémentaire au risque d’alourdir le processus
d’identification des risques .après synthèse et mise en cohérence, les risques
sont évalués puis hiérarchisés en considèrent leurs probabilités d’occurrence
et leurs conséquences potentielles.

Le contrôle

La notion de contrôle recouvre d’une part les réponses apportées par le


management pour gérer le risques et d’autre part le dispositifs de contrôle
donnant l’assurance au management que ces réponses sont effectives .les
réponses aux risques comprennent les dispositifs de prévention, de protection
et de transfert du risque sur autrui ou l’acceptation pure et simple du risque.

L’alignement

Il convient enfin de s’assurer de la cohérence entre objectifs ,risques et


contrôle à un niveau donné ou d’un niveau à l’autre de l’organisation ou
encore entre unités comparables de l’entreprise .

En effet, une approche globale des risques implique toutes les activités et
tous les niveaux de l’organisation dans l’entreprise.
Pour éviter les zones non couvertes et les redondances dans le dispositif
global d’identification et d’évaluation des risques, il faut s’assurer que
chaque activité et chaque niveau de l’organisation agissent dans le même
sens. Tous les éléments nécessaires au diagnostic d’ensemble sont alors
réunis et il s’ensuit, le cas échéant, un plan d’action pour améliorer la
situation.

-29-
Cartographie des risques pour le cycle gestion salariale

Le processus de la maîtrise des risques

Le processus de la maîtrise des risques supposes un dispositif de maîtrise des


risques global et construit sur la base d’éléments structurés et adaptés au
contexte de l’entreprise.
Il s’agit d’établir un cadre, de recenser les processus, d’identifier les risques,
les évaluer, les hiérarchiser (cartographie des risques) et de traiter ces dits
risques.
Ce processus est continuellement amélioré, il permet de faire évoluer la
cartographie des risques (identification …hiérarchisation) préétablie et de
faire passer les risques d’une zone de criticité à une zone de couverture.
Aussi, il s’agit d’effectuer des revues d’audit interne pour évaluer le
dispositif de maîtrise des risques selon la figure ci-dessous :

Objectifs de l’entreprise

Pilotage, audit
Traiter les
risques

Hiérarchiser
les risques

Identifier les
risques

Recenser les
processus
Amélioration continue
Etablir un
cadre

-30-
Cartographie des risques pour le cycle gestion salariale

Etapes de la méthodologie

Le processus d’évaluation globale des risques peut être réparti en deux


phases :
Une phase d’identification, évaluation et traitement des risques
Une phase de revue du processus (audit interne)

Etape1
Lors de cette étapes, on définit un cadre, et on identifie les risques affectant
les ressources de l’organisation .on peut distinguer les ressources humaines,
techniques, informationnels, financières ou naturelles.

Etape 2
La deuxième phase concerne la revue indépendante (audit interne) du
dispositif d’évaluation des risques pour une amélioration continue du
processus et afin de s’assurer de la pertinence de chaque étape d’évaluation
des risques.

-31-
Cartographie des risques pour le cycle gestion salariale

Section II : Vers une nouvelle approche de l’audit interne.


1- Méthodologie générale de l’audit interne

La méthodologie de l’audit interne selon l’ouvrage « la conduite d’une


mission d’audit interne » d’OLIVIER LEMANT, s’inscrit dans la lignée de
LARRY SAWYER, père de l’audit participatif, et met l’audit interne au
service de la totalité de l’entreprise pour conseiller l’ensemble des managers.
Ainsi, le plan d’audit est décidé suivant les différents besoins des managers,
et les auditeurs internes se basent sur ce plan pour établir leur planning de
travail suivant la disponibilité de l’effectif et la charge de travail.

La démarche

En générale, La mission d’audit s’ouvre par un ordre de mission « mandat


donné par la direction générale à l’audit interne, qui informe les principaux
responsables concernés de l’intervention imminente des auditeurs .cette
dernière consiste en trois étapes fondamentales :

• Phase étude
• Phase vérification
• Phase conclusion

-32-
Cartographie des risques pour le cycle gestion salariale

1-phase étude

Cette étape, organisée par le plan d’approche, consiste en une étude complète
du sujet et abouti à trois produits successifs :
™ Le tableau des forces et faiblesses apparentes pour analyse des
risques, il est nommé aussi le TFfa .
Ce tableau, constitue l’état des lieux des forces réelles ou potentielles d’une
part et des faiblesses c’est à dire les pertes subies et les risques encourus.
Toute force ou faiblesse s’exprime par rapport à un objectif de contrôle
interne ou une caractéristique normalement attendue pour assurer le bon
fonctionnement d’une organisation ou l’atteinte d’un résultat escompté.
Il permet de hiérarchiser les risques dans le but de préparer le rapport
d’orientation.
™ Le rapport d’orientation (liste des objectifs d’audit qui en
découlent)
Il définit et formalise les axes d’investigations de la mission et ses limites, il
les exprime en objectifs à atteindre par l’audit pour le demandeur et les
audités.
Le choix des orientations de la mission qui doit être effectué à partir du
tableau des forces et faiblesses apparents et matérialisé en rapport
d’orientation qui sera signé par le responsables de l’audit.
Le rapport doit également définir la mission en terme d’objectifs à atteindre
par l’audit,l’objectif n’étant pas de décrire les travaux ou techniques
spécifiques qui seront définis dans le programme de vérification ,mais de
préciser les services qui vont être rendus à l’audité.

-33-
Cartographie des risques pour le cycle gestion salariale

™ Le programme de vérifications (programme de travail pour les


atteindre)
Le programme de vérification est la gamme de fabrication à mettre en oeuvre
pour atteindre les objectifs du rapport d’orientation. C’est un document
interne au service d’audit, destiné à définir, répartir dans l’équipe, planifier et
suivre les travaux des auditeurs.
Ce programme contient l’ensemble des tâches à effectuer par les auditeurs
pour atteindre les objectifs du rapport d’orientation.
Ainsi, il reprend le rapport d’orientation comme charpente et liste pour
chaque objectif les travaux d’audit correspondants, ce n’est pas un rapport
d’orientation détaillé, mais c’est une liste d’actions concrètes dont on peut
identifier le début et la fin.

2-La phase de vérification

Elle est précisée par une feuille de couverture sur laquelle sont reportés les
résultats et conclusions, le détail apparaissant dans les papiers de travail.
Chaque section du travail terrain est clôturée en reportant les
dysfonctionnements constatés sur une (ou plusieurs) FRAP (feuille de
révélation et d’analyse de problème) qui se présente comme suit :

La FRAP, feuille de révélation et d’analyse de problème, est le papier de


travail synthétique par lequel l’auditeur documente chaque
dysfonctionnement, et communique avec l’audité concerné .l’ensemble des
FRAP, après reclassement et titrage, peut constituer le corps du rapport.
La FRAP est par conséquent, une reformulation de tout dysfonctionnement
relevé sous la forme suivante :

-34-
Cartographie des risques pour le cycle gestion salariale

1. Le « problème » (résumant le dysfonctionnement) ; il consiste en une


formulation résumant la trouvaille (fait+cause+conséquence) pour
communiquer le dysfonctionnement qui compromet l’atteinte d’un
objectif.

2. Les « faits » (prouvant le dysfonctionnement) ; il consiste en un


événement survenu, une anomalie, un incident, voire un accident .il se
constate, se voit, ou il est l’absence de quelque chose de concret.

3. Les « causes » (expliquant le dysfonctionnement), c’est une condition


non remplie, un facteur de non qualité ou de risque. elle explique la
survenance du fait : elle est logique ou historique ; elle est observée ou
déduite. la cause est souvent le négatif de la recommandation.

4. Les conséquences (qu’il entraîne). C’est un résultat quantifiable ou au


moins descriptible- constaté par l’auditeur ou par l’audité (comme un
coût, des erreurs, une difficulté de fonctionnement..) ou évalué par
l’auditeur (il s’agit alors de risques), en logique, les conséquences peuvent
être celles des faits ou des causes.
5. les « recommandations » (qui le résolvent)
ainsi,nous retrouvons la notion du risque et de ses attribut lors de
l’identification du problème et du fait « exposition au risque ,évènement
entravant la réalisation d’un objectif »,au niveau des causes « facteurs de
risque » ,et de l’évaluation des conséquences « gravité du risque ».

-35-
Cartographie des risques pour le cycle gestion salariale

3-la phase de conclusion

La phase de conclusion commence par une synthèse dans le service d’audit


interne qui aboutit à l’ossature du rapport et facilite le compte rendu final. Elle
se poursuit avec le rapport d’audit interne et se termine par l’état des actions et
progrès (suivi des recommandations) : acceptation des réponses puis
éventuellement suivi par la mise en place des action prévues.

D’après ce qui précède, la principale fonction de l’audit interne se limite à


évoluer les contrôles existants : « sont ils adéquats et efficaces par rapport aux
objectifs et aux risques ? » toutefois les seuls contrôle ne garantissent pas le
succès. Par exemple, de grandes banques avec des centaines de contrôles de
transactions ont perdu des centaines de millions pour ne pas avoir compris le
risque qu’un cambiste réalise ses engagements et transactions en marge du
système proscrit.

En effet, chaque contrôle ajouté au système exige davantage de ressources pour


faire fonctionner.
Si les auditeurs continuent d’auditer et de recommander des contrôles
supplémentaires et plus serrés sans en supprimer aucun, la charge de ces
contrôles fera s’écrouler le processus de l’entreprise.

Bien que les auditeurs respectent les normes de l’IIA lors de la préparation de
leurs missions, la pratique est de concentrer les travaux d’audit sur l’examen des
contrôles plutôt que sur la manière de gérer les risques. L’heure est venue de
changer de procéder.

-36-
Cartographie des risques pour le cycle gestion salariale

Ainsi, si on prend l’exemple d’un audit classique des achats, l’auditeurs interne
va évaluer et hiérarchiser les risques que court l’organisation dans la poursuite
de ses objectifs d’achat, qui sont : « fournir les biens et services nécessaires au
juste prix, dans les quantités requises, au moment voulu, et par le bon
fournisseur ».

Dans ce cas, l’auditeur étudie les risques inhérents à la poursuite de ces


objectifs et détermine quels contrôle, s’il y en a, sont en place pour maîtriser ces
risques. Le procédé d’audit est de tester ces contrôles pour déterminer leur
adéquation et leur efficacité. Le résultat probable de cette mission sera des
constats et des recommandations pour des contrôles supplémentaires ou
améliorés.

Projetons l’effet de ce type d’audit vingt ans plus tard. Pendant ces vingt années,
les auditeurs ont examiné les contrôles internes régissant le processus achats de
l’organisation. Les recommandations se sont ajoutées aux recommandations. Les
contrôles se sont empilés les uns sur les autres .le processus achats est
maintenant lourd et laborieux. Chaque mission d’audit interne apporte une
valeur ajoutée décroissante au processus achats,

Et par conséquent, l’auditeur se trouve concentré sur le résultat –les contrôles


nécessaires- plutôt que sur les objectifs de l’organisation ou les risques de son
environnement.

-37-
Cartographie des risques pour le cycle gestion salariale

2- L’audit basé sur les risques :


L’audit basé sur les risques étend et améliore le modèle d’évaluation des risques
en déplaçant la vision de l’audit. Au lieu de regarder le système de contrôle
interne dans les processus de l’entreprise, l’auditeur interne voit les processus de
l’entreprise dans un environnement de risques .le raisonnement est évident : une
mission focalisée sur les risques apporte une plus grande valeur ajoutée à
l’organisation qu’une mission focalisée sur les seuls contrôles.

En effet, pour apporter une plus grande valeur ajoutée à ses clients et à
l’organisation, les auditeurs internes doivent réorienter leur regard du passé vers
le futur. Si l’auditeur se focalise sur les risques, il est vraisemblable que la
mission s’ajustera mieux aux préoccupations du management.

Ainsi, au lieu d’identifier et de tester des contrôles, l’auditeur identifiera des


risques et testera comment le management maîtrise ces risques. Les moyens de
cette maîtrise seront le plus souvent des contrôles ; mais l’auditeur testera « ces
risques sont-ils bien gérés ? » plutôt que « les contrôles de ces risques sont-ils
adéquats et efficaces ? ».

En fait, les concepts d’audit basé sur les risques ne sont pas difficiles, et aucune
connaissance particulière n’est nécessaire. Cette nouvelle approche d’audit
marche pour toute taille de service d’audit et tout type d’audit .même quand la
mission découle d’obligations légales ou réglementaires, ou est requise par un
patron qui a des idées particulièrement arrêtées, l’audit basé sur le risque peut
aider à cibler le champ de l’audit sur ce qui est le plus indispensable. Et ses
rapports sont plus faciles à élaborer sans générer de conflits inutiles.

-38-
Cartographie des risques pour le cycle gestion salariale

En outre, l’audit basé sur les risques, s’appuyant sur un nouveau procédé, amène
l’audit interne à élargir sa vision à toutes les techniques de gestion des risques, y
compris les techniques de management autres que les activités de contrôle. Ce
procédé donne aussi à l’auditeur l’occasion d’examiner un processus de
l’entreprise en vue de déceler ses contrôles inutiles ou excessifs—et l’occasion
rare de recommander moins de contrôle quand il relève des méthodes dépassées
et inefficaces.

Selon la déclaration des responsabilités de l’audit interne de l’IIA, le but de


l’audit interne est d’examiner et d’évaluer les activités de l’organisation, et de
fournir des analyses, des appréciations, des recommandations, des avis, et des
informations sur les activités étudiées. Chaque mission a un objectif d’audit, et
cet objectif est proche de fournir les résultats de cet examen et de cette
évaluation des activités.

Ancien procédé Nouveau procédé


L’audit porte son Le système de contrôle Les risques
accent sur interne
Les tests sont concentré Les activités de contrôle Toutes les actions de
sur maîtrise des risques
Le rapport insiste sur L’adéquation et L’adéquation et
l’efficacité du contrôle l’efficacité de la maîtrise
interne des risques
Le résultat de la Des contrôles Une maîtrise des risques
mission est supplémentaires ou appropriés.
améliorés

-39-
Cartographie des risques pour le cycle gestion salariale

La différence entre l’ancien et le nouveau procédé peut paraître marginale. Le


processus d’audit basé sur les risques est néanmoins plus riche. Et par
conséquent, il y a de meilleurs chances pour que la direction apprécie la valeur
ajoutée de l’audit interne si l’on pratique un audit base sur les risques.

Par ailleurs, la maîtrise des risques, s’inscrit dans le cadre du management


global des risques qui vise à identifier les risques à l’échelle de l’entreprise,
à évaluer l’ensemble des risques et à prendre en compte cette mesure du
risque dans l’appréciation des performances des activités et à mettre en place
des processus de suivi des risques intégrés à la gestion des opérations.

Ceci nécessite au préalable, la mise en place d’une architecture de gestion


globale des risques afin de doter l’entreprise de moyens nécessaires pour
réussir l’intégration de la gestion des risques dans les processus de gestion
opérationnelle et stratégique de l’entreprise.

Par conséquent, la mission de l’auditeur interne va consister en l’évaluation


du dispositif de maîtrise des risques mis en place par l’opérationnel. Ce dernier
« dispositif de maîtrise des risques » est élaboré sur la base d’une identification
et évaluation globale des risques qui est du ressort du risk manager.
De ce fait
9 Le risk manager identifie les risques, en dessine la cartographie, les
mesures et à partir de là, définit la politique qui sera appliquée.
9 Le management opérationnel applique cette politique et met en place
les moyens pour maîtriser les risques inacceptables et limiter les
risques acceptables.
L’audit interne apprécie les moyens mis en place, en détecte les lacunes et
insuffisances et fait des recommandations pour y mettre fin.

-40-
Cartographie des risques pour le cycle gestion salariale

3- Apport des nouvelles normes d’audit interne


La définition des tâches ci-dessus suppose que l’audit interne doit être en
mesure d’évaluer le processus de management des risques ce qui lui permettra
de s’assurer de la pertinence du dispositif de maîtrise des risques mis en place
par l’opérationnel.

En effet, la nouvelle définition de l’audit interne et les nouvelles normes de


l’audit interne partent du principe que la finalité de l’audit interne est d’apporter
de la valeur à l’entreprise, en aidant les responsables opérationnels à maîtriser
les risques inhérents à leurs activités.

On entre en ce début de siècle officiellement dans la philosophie de la valeur,


qui ambitionne pour l’audit interne d’être une technique active du management,
ou sinon, condamnée à disparaître en tant que dépense injustifiée.

Si on essaie de faire une synthèse de la lecture des nouvelles normes, on


s’aperçoit que celles-ci repoussent les frontières traditionnelles de l’audit
interne, et que le flot de bons principes apportés pourrait parfaitement être
présenté sous le titre « assistance à la maîtrise des risques »le vocable
assistance »mettant bien sûr en lumière, que les opérationnels ,sont seuls
responsables des risques de leurs activités ,et que l’audit interne a vocation à les
aider,et non à se substituer à eux.

-41-
Cartographie des risques pour le cycle gestion salariale

En effet, la phase d’identification et d’évaluation des risques doit être


dorénavant incluse lors de :
La planification de la mission
Normes 2010-planification : Le responsable de l’audit interne doit
établir une planification fondée sur les risques afin de définir les priorités
cohérentes avec les objectifs de l’organisation.

2010-A1- le programme des missions d’audit interne doit s’appuyer sur


une évaluation des risques réalisée au moins une fois par an et tenir compte
du point de vue de la direction générale et du conseil.

2201-considérations :relatives à la planification : lors de la


planification de la mission, les auditeurs internes doivent prendre en compte :
• les risques significatifs liés à l’activité,ses objectifs,les ressources
mises en œuvre et ses tâches opérationnelles,ainsi que les moyens par
lesquels l’impact potentiel du risque est maintenu à un niveau
acceptable.
• La pertinence et l’efficacité des systèmes de management des risques
et de contrôle de l’activité, en référence à un cadre ou à un modèle de
contrôle appropriés.
• Les opportunités d’améliorer de manière significative les systèmes de
management des risques et de contrôle de l’activité.

-42-
Cartographie des risques pour le cycle gestion salariale

La revue du dispositif de management des risques


Norme 2110-management des risques : L’audit interne doit aider

l’organisation en identifiant et en évaluant les risques significatifs et


contribuer à l’amélioration des systèmes de management des risques et de
contrôle.
Contrôle
Norme 2120-A1 : sur la base des résultats de l’évaluation des risques,

l’audit interne doit évaluer la pertinence et l’efficacité du dispositif de contrôle


portant sur le gouvernement d’entreprise, les opérations et les systèmes
d’information de l’organisation.

La détermination des objectifs de la mission


2210-objectifs de la mission : les objectifs de la mission doivent aborder
les processus de management des risques, de contrôle et de gouvernement
d’entreprise associés aux activités soumises à l’audit.

2210-A1- en planifiant la mission ,l’auditeur interne doit relever et


évaluer les risques liés à l’activité soumise à l’audit .les objectifs de la mission
doivent être déterminés en fonction des résultats de l’évaluation des risques.

Mission de conseil
2210. C1- au cours de la mission de conseil, les auditeurs internes doivent
s’intéresser à l’ensemble des risques rencontrés, y compris ceux qui ne rentrent
pas dans le périmètre de la mission, dans la mesure où ils sont significatifs.

-43-
Cartographie des risques pour le cycle gestion salariale

2210. C2- les auditeurs internes doivent intégrer dans le processus


d’identification et d’évaluation des risques significatifs de l’organisation les
risques révélés lors des missions de conseil.

A partir des normes citées ci-dessus, nous déduisons que la démarche de l’audit
est une approche par les risques car l’appréciation réalisée par l’auditeur
présuppose qu’il a regardé en priorité les zones les plus sensibles et pour ce faire
les a identifiées.
Mais pour réaliser cette identification, la fonction ne prétend ni développer une
science du risque, ni mettre à la disposition des auditeurs internes des outils
savants et complexes de mesure de l’impact. Les normes professionnelles
indiquent très clairement la route à suivre en donnant à l’identification des
risques une portée limitée, mais non négligeable : pour l’auditeur interne, la
mesure du risque est un outil de planning à deux niveau :

9 Au niveau de l’analyse globale où sont appréciés les risques


de l’entité toute entière afin de réaliser le plan d’audit par le
biais d’une cartographie annuelle des risques.
9 Au niveau analytique où les risques sont appréciés tâche par
tache, pour l’activité objet de la mission d’audit.

-44-
Cartographie des risques pour le cycle gestion salariale

Partie II: Cartographie des risques ; un nouveau outil


pour un audit basé sur les risques.

Section I : notion de cartographie des risques

I- définition

La cartographie des risques consiste à recenser, évaluer et analyser à l’aide de


techniques de représentation, les risques pesant sur une organisation.
Elle constitue une référence qui permet à l’entreprise d’élaborer sa stratégie de
gestion globale des risques.

L’exploitation des résultats lui permet de se fixer des objectifs de réduction des
risques, puis de définir, mettre en œuvre et assurer le suivi des moyens
nécessaire à ces objectifs (protection, prévention, transfert financier du risque,
etc.)
Elle aide également à déterminer les axes de communication interne et externe
relative à la gestion des risques.

La cartographie des risques est également ,un outil de référence dans le domaine
du management des risques ayant comme objectifs généraux
,d’anticiper,évaluer, visualiser , agir ; et contribue à :

9 Améliorer la robustesse de la stratégie et de l’image durable de la société


9 Optimiser le potentiel technique, financier et humain consacré à la
maîtrise des risques
9 Réduire les vulnérabilités en identifiant et anticipant les risques majeurs et
en évaluant leur niveau de traitement.
9 Contribuer à identifier les compétences, les fonctions et les processus
critiques
9 Exploiter les opportunités (processus, produits.)

-45-
Cartographie des risques pour le cycle gestion salariale

Contexte organisationnel de la cartographie

Les entreprises ont conscience de l’enjeu du risque et mettent en place depuis


quelques années des actions de cartographie des risques.
Certaines élargissent la fonction du risk manager, traditionnellement consacrée
à la gestion des assurances, au rôle de consultant auprès des décideurs et
responsables opérationnels pour l’assistance à l’élaboration de la cartographie
des risques.
En l’absence d’un risk manager, l’auditeur interne pourrait assister à
l’élaboration de la cartographie des risques et diffuser la méthodologie.
Une fois assimilée par les opérationnels, l’auditeur interne pourrait porter un
jugement sur l’évaluation des risques au niveau de son entreprise.

II- apports et difficulté de pratique

a) Apport de la démarche

La démarche de la cartographie des risques présente des avantages importants :

9 Elle s’adapte à tout processus global de gestion des risques


9 Elle définit des standards d’évaluation qui aident à la comparaison
9 Elle est aisément déclinable à plusieurs niveaux d’une organisation à toute
taille, tout type d’activité moyennant une adaptation des composants du
risque
9 Elle favorise une communication interne au sein de l’entreprise
(ascendante et descendante)

b) les difficultés des pratiques de la cartographie

Lors de la mise en place d’une cartographie des risques, on peut


rencontrer divers problèmes à savoir :
9 absence de référentiel méthodologique : la notion de gestion des risques
relativement récente. il n’existe pas encore dans le monde un référentiel
commun sur la gestion des risques

9 la difficulté de communication sur le risque :parler de risque au


responsables n’est pas toujours facile,la perception du risque entraîne
souvent des résistances parce qu’il est considéré comme une forme
déguisée du contrôle des activités.

-46-
Cartographie des risques pour le cycle gestion salariale

9 La difficulté de quantifier le risque en l’absence d’un système


d’information sur la gestion des risques .en effet,la mise en place d’un
dispositif de maîtrise des risques adéquat suppose l’alimentation régulière
d’une base de données (fiches des risques) et sa mise à jour régulière.

9 Absence du risk manager : la plupart des structures même les grands


groupe, ne disposent pas de cellules gestion des risques. cette dernière se
résume souvent à une personne occupant la fonction de directeur des
assurances ou directeur financier qui ne traite que d’un aspect globale des
risques (le financement du risque ou « risk management »).

Section II : étapes de sa réalisation :

I- Comment réaliser une cartographie

Comme on a mentionné précédemment, il existe plusieurs formes de


cartographie en fonction des activités de l’entreprise à auditer et leurs
critères,ainsi toujours basé sur les risque ,on peut suivre une démarche
s’étalant sur quatre étapes principales à savoir :

1- définir un cadre de la cartographie


2- recenser les processus
3- identifier les risques
4- évaluer et hiérarchiser les risques

Ces étapes peuvent être présentés dans la figure ci-dessous comme suit :

Etape I Etape II Etape III Etape IV

Définir un Recenser les Identifier les


Evaluer et
Les étapes cadre processus risques
hiérarchiser
les risques
Déterminer la Lister les Dresser une Elaborer les
stratégie et les processus liste, qui sera cartes de
Les objectifs limites du existant la plus risques.
processus de suivant le exhaustive
cartographie modèle possible, des
des risques d’entreprise risques

-47-
Cartographie des risques pour le cycle gestion salariale

a- définir un cadre de référence

Avant toute mise en place d’une cartographie des risques, il convient de


définir la stratégie et les attentes de l’opération de cartographie
proprement dite, notamment le périmètre à l’intérieur duquel les risques
doivent être analysés et la profondeur de l’analyse.
Ainsi, on débute par :

ƒ définir le contexte de la cartographie


ƒ déterminer les objectifs pris en considération pour la cartographie
ƒ l’horizon temporel retenu pour la cartographie
ƒ les parties prenantes prises en considération afin de prendre en
compte leurs objectifs et leurs perceptions des risques
ƒ les limites à l’exhaustivité du recensement des risques.

si l’un des éléments du contexte évolue (par exemple ,révision de certains


objectifs,réorganisation ,fusion acquisition,nouvelle partie prenante),les
opération cartographie en cours doivent être révisées en reprenant l’étape n°1 et
en effectuant une revue des choix fait lors de cette étape.

b- recenser les processus

Cette tâche a pour objet de décrire la méthodologie adoptée pour recenser les
processus existants au sein d’une entité définie.
Selon la norme internationale ISO9000 le processus peut être défini comme
suit :

Ensemble d’activité corrélées ou interactives qui transforment des éléments


d’entrée en éléments de sortie.
En ce qui concerne l’activité, elle peut concerner tout ce que l’on peut décrire
par un verbe dans la vie de l’entreprise : tourner, fraiser, assembler, négocier…,
une activité est une succession de tâches élémentaires :

• Accomplies par un individu ou un groupe d’individus


• Faisant appel à des ressources (matériels, informations, moyens
financiers)
• Permettant de transformer les éléments d’entrée en un résultat avec valeur
ajoutée.

-48-
Cartographie des risques pour le cycle gestion salariale

Ainsi, l’identification d’un processus consiste à repérer et à cerner les


différentes chaînes d’activités qui caractérisent le fonctionnement de
l’entreprise et qui contribuent à un objectif commun.

Pour faciliter cette identification, l’établissement d’une cartographie des


processus de l’organisme permet, en privilégiant une vision transversale,
d’utiliser plus efficacement les ressources disponibles pour répondre aux
besoins de l’organisme et de ses clients.

c- identifier les risques :

L’objectif de cette étape est d’obtenir une liste exhaustive des risques pesant
sur l’organisation, avec leurs descriptions et leurs interactions.

Pour effectuer le recensement, plusieurs approches sont possibles. Il est


souhaitable de les combiner pour plus d’exhaustivité, au cas par cas, en
s’adaptant à l’organisation :

Brainstorming : le groupe doit comporter des représentants des grandes


fonctions de l’organisation et des personnes ayant une bonne connaissance de
l’organisation.

Entretien individuels : cette approche est intéressante pour une famille de


risques impliquant un métier ou une compétence, ou interviewer un
connaisseur de risque

Diagnostic général : l’élaboration d’un diagnostic général sur la base des


rapports touchants l’activité et des rapports d’audit antérieurs (externes ou
internes) pour plus d’exhaustivité.

d- Evaluer/ hiérarchiser les risques :

L’objectif de cette étape est d’élaborer les cartes de risques, et de hiérarchiser


les risques.
Pour cela, on peut procéder à l’évaluation de la probabilité et la gravité du
risque :
En ce qui concerne la probabilité, ,celle-ci peut être mesurée en prenant en
compte l’horizon de temps ,ce qui fait appel à une précision des termes
« souvent », »régulièrement »…de l’historique et la période qu’on doit
considérer.

-49-
Cartographie des risques pour le cycle gestion salariale

Par la suite, on procédera à la construction d’une échelle en collaboration


avec des experts participant à l’analyse de risques en fonction de l’horizon
temporel considéré.

Par exemple, si l’horizon est d’un an, une échelle possible est :

1. presque nulle : cela pourrait arriver, il n’existe aucun historique récent à


ce jour.
2. faible : cela arrive de temps en temps.
3. moyenne : cela arrive toutes les décennies
4. probable : cela arrive tous les ans

On peut également utiliser une autre échelle, à savoir :

1. très peu probable : moins d’une chance sur 10 de se produire


2. peu probable : moins d’une chance sur deux de se produire
3. plus d’une chance sur deux de se produire
4. quasi certain : plus de neuf chance sur 10 de se produire.

Pour ce qui est de la gravité, celle-ci signifie une définition de l’importance


du risque par rapport aux objectifs du processus, elle peut être mesurée par
l’échelle suivante : risque non significatif, significatif et très significatif.

Une fois l’échelle est établie, on passe à l’élaboration de la carte, cette


dernière peut prendre plusieurs formes, mais on générale, on devra respecter
la condition de noter sur la carte seuls les risques ou les groupe de risque
majeurs, ceci dans le souci d’une visibilité de la carte, ainsi on ne dépassera
pas à titre indicatif une dizaine de risques.

-50-
Cartographie des risques pour le cycle gestion salariale

Exemple de carte de risque :

PROBABILITE

Traiter

Élevé
Transférer/éli
miner/réduire

Moyen

Accepter

Faible

Élevé Moyen Faible GRAVITE

Pour faciliter la présentation on pourra avoir une matrice d’appréciation du


risque qui se résume comme suit :

GRAVITE :

DEGRE GRAVITE

3 Fort

2 Modéré

1 Faible

PROBABILITE :

-51-
Cartographie des risques pour le cycle gestion salariale

DEGRE PROPABILITE

3 Probable

2 Peu probable

1 Faible

MATRICE D’APRECIATION

G 3 3
R
A 2 2 4
V
I
T
1 1 2 3
E
G/P 1 2 3

PROBABILITE

II-La forme finale

En générale et quelques soit le mode de présentation qu’elle peut prendre, La


cartographie des risques peut englober les éléments suivants :

9 Dans un premier temps, elle contiendra les objectifs auditables, ainsi on


sera amené à découper le sujet ou l’activité en éléments plus simples à
visualiser, il existe plusieurs manières de le faire :

o La plus analytique : découper par arborescence sémantique ou de


facteurs clés de succès

o La plus sure : partir du schéma de l’examen d’une activité (objectifs,


responsabilités, moyens, méthodes…) et pour chaque élément se
poser une batterie de questions.

o Recommandée par l’IFACI : passer en revue les processus clés : de


pilotage, support, de réalisation, de mesure

-52-
Cartographie des risques pour le cycle gestion salariale

o La plus communicante : identifier les parties prenantes et discuter


avec elles leurs attentes, puis les risques et bonne pratiques.

o La plus facile : s’inspirer de la documentation du service, de ses


collègue et anciens amis, visiter le fonds documentaire de l’IFACI,
partir de « guide de self audit)

9 Pour chacun de ces activités on déterminera ses objectifs et ses risques


9 Et comme troisième étape on mentionnera les modalités de
fonctionnement requises pour maîtriser ces risques et atteindre ces
objectifs.
9 Mais on consacrera une colonne pour déterminer le degré
d’importance du risque.

En effet, l’auditeur pourra déterminer si les caractéristiques de fonctionnement


réelles permettent d’atteindre les objectifs et d’éviter les risques, ou ne le
permettent pas.
En outre, l’audité comprendra le référentiel de l’auditeur (et l’aura souvent aidé
à le compléter).cela fournira un référentiel agrée, car focalisé sur les buts, et non
sur les moyens et méthodes.

Pour cette démarche on peut utiliser un tableau nommé « tableau des


risques : référentiel » ou communément connu par « TaRi-Référentiel, ou
TaRiR ».

Ce tableau contient les éléments suivants :

9 Objectifs : se sont les objectifs de contrôle interne issus des objectifs


auditables généraux

9 Risques : on énumère dans cette partie , Les empêchements pour


lesquelles les finalités ou objectifs ne soient pas atteintes,et aussi les
impacts éventuels,en d’autre termes , rechercher les conséquences
induites par un critère de contrôle non satisfait. et on peut ajouter
également le degré d’importance des risques prélevés.

9 Bonne pratiques : moyens du contrôle interne ,il s’agit de rechercher les


éléments constitutifs du dispositif de contrôle interne qui assurent a
priori que les risques sont couverts ,ces bonnes pratiques doivent être
existantes,adaptées ,disponibles et performantes.

-53-
Cartographie des risques pour le cycle gestion salariale

Partie III- La cartographie des risques pour le cycle


gestion des ressources humaines

1-cadre de la cartographie des risques du cycle GRH

Contexte de la cartographie :

Après avoir conçu une cartographie des cycles achat, facturation, et


manutention. , j’ai trouvé opportun de suivre cette démarche et j’ai choisi
d’établir une cartographie pour le cycle de la gestion des ressources
humaines.

L’objectif général étant de promouvoir la démarche de la maîtrise des


risques et permettre aux auditeurs internes d’évaluer et d’enrichir le
processus de maîtrise des risques conformément à la nouvelle définition de
l’audit interne.

En effet, pour ce qui est de la gestion des ressources humaines,la mise en


place d’une cartographie des risques permettra d’avoir un référentiel
exhaustif des risques de la gestion des ressources humaines, et d’améliorer
l’efficacité des opérations d’audit concernant ce volet , au sein de l’ODEP.

Périmètre :

La cartographie concernera essentiellement tout ce qui a relation avec la paie


du personnel, l’accord des prêts, l’octroi des avantages sociaux, le
recrutement et la formation. Pour cela on va voir dans un premier temps, la
rémunération du personnel permanent et les éléments variables qui compose
le salaire (prêts, avantages sociaux, ordre de missions…), on va voir par la
suite, la rémunération des dockers occasionnels, et on va entamer ensuite le
processus de recrutement et on va finir par le processus de formation.

Parties prenantes

En fait, les parties prenantes sont les différentes divisions et service


constituant la direction des ressources humaines, on peut les énumérer comme
suit :

-54-
Cartographie des risques pour le cycle gestion salariale

• Division Gestion des Cadres : elle a pour missions de participer à la


définition de la politique de promotion des cadres, d’assurer le suivi de
carrières des cadres, appliquer la politique du personnel conformément
aux règlements et procédures en vigueur et d’assurer la gestion
administrative, salariale et sociale des cadres de l’ODEP ;

• Division Gestion Administrative et Sociale : elle participe à


l’élaboration de la politique du personnel des échelles 1 à 15 de l’office
en matière de rémunération et de statut, assure la gestion
administrative, sociale et salariale du personnel de la Direction
Générale et consolide les liens fonctionnels avec les Directions des
Ressources Humaines des différents DEPs ;

• Division Développement Professionnel : elle définit la politique de


développement du personnel de l’ODEP (recrutement, formation et
planification des emplois), définit les principes, méthodes et moyens
permettant à l’ODEP de recruter des candidats dont le profil est adapté
aux exigences d’efficacité et de performance et à l’environnement
humain de l’office ;

• Division Planification et Suivi des Ressources Humaines : elle suit les


budgets de fonctionnement et d’investissement de la Direction des
Ressources Humaines, suit l’évolution des effectifs sur le plan
quantitatif et qualitatif, attire l’attention du Directeur des Ressources
Humaines sur toute anomalie ou risque dans la gestion des ressources
humaines, entreprend des études (conditions de travail, absentéisme,
formation, sécurité,…), consolide et diffuse le tableau de bord mensuel
des ressources humaines et le bilan social annuel et produit le Plan
Prévisionnel des Emplois et des Ressources Humaines (PPERH).

Grâce à ces divisions, on a pu avoir une idée claire sur les procédures de la
gestion des ressources humaines avec ses différents volets, et sur lesquels on
s’est basé pour identifier, et hiérarchiser les risques d’une part, et de les
mettre en relation avec les objectifs du contrôle interne.

Il est à noter également qu’on a essayé de dresser une cartographie recensant


le maximum possible des risques qu’on peut rencontrer dans la gestion des
ressources humaines en général. Cela veut dire qu’il s’agit d’une
cartographie standard et non pas spécifique seulement au besoin de l’ODEP.

-55-
Cartographie des risques pour le cycle gestion salariale

2-recensement des procédures de la gestion des RH

A- recensement des procédures de la gestion salariale :

Pour faciliter le recensement des procédures on va débuter par une


visualisation schématique du service concerné et ses relations avec les autres
services :

Service
Direction de gestion
administratif (1)
sociale (2)

La gestion
salariale
(4)

La mission
L’agence administration
comptable du siège

Les autres entités


externes via la DRH (3)

-56-
Cartographie des risques pour le cycle gestion salariale

(1) le service administratif s’occupe de regroupement des documents, liés à


la paie, suivants :

ƒ décision d’échelle et d’échelon


ƒ décisions de prélèvement pour absence irrégulier
ƒ décision relative à la nomination
ƒ les états des mutations
ƒ état des reclassements
ƒ situations des congés
ƒ attestations de travail
ƒ les recrutements
ƒ les retraités
ƒ état des licenciements et démissions

(2) En ce qui concernes les autres entités externes (les autres ports..), elles
envoient essentiellement, via la direction des ressources humaines, les
éléments suivants :

ƒ les ordres de missions


ƒ les dossiers justificatifs des avantages fiscaux

(3) pour le service gestion sociale, il s’occupe de la gestion des différents


prêts, et envoie au service gestion salariale les éléments suivants :

ƒ l’avis d’octroi du prêt


ƒ l’échéancier des différents prélèvements
ƒ les souscriptions d’assurance
ƒ souscription de retraite

(4) le service gestion salariale centralise tous les éléments relatifs à la paie
cités ci-dessus pour passer après à la saisie.

-57-
Cartographie des risques pour le cycle gestion salariale

Ainsi, la procédure peut être présenté comme suit :

a- processus de la rémunération du personnel permanent.

1. Préparation des éléments de la paie (éléments fixes et éléments


variables)

2. Saisie des éléments

3. Vérification des éléments saisis

4. Tirage du journal de la paie

5. Envoi du journal de la paie à l’agence comptable pour validation

6. Impression des états de virements et poste paie (il contient les


différents éléments de déclaration : CNSS, retraite, mutuelle,
assurance, IGR)

7. Envoi des états de virement pour règlement

8. Envoi des états de poste paie à la direction de gestion sociale pour


vérification et règlement

-58-
Cartographie des risques pour le cycle gestion salariale

Le processus peut être présenté comme suit :

Les Service Service gestion salariale Agence comptable Mission


entités gestion administrative
externes administratif responsable personnel secrétariat Fondé de du siège
pouvoir
(1)

(2) (3)

(4)
(5)

(6)
(7)
(8)

(9)
(10)
(11)

(12)

(1) réception des documents relatifs à la paie (ordre de mission,


justification fiscale) communiqué par les différentes entités, internes et
externes,

(2) vérification de la conformité de ces documents

-59-
Cartographie des risques pour le cycle gestion salariale

(3) Saisi des éléments relatifs à la paie

(4) Vérification de la saisie

(5) Tirage du journal

(6) Recoupement par rapport au journal n-1.

(7) Réception du journal communiqué par le service gestion salariale.


(8) Contrôle par le fondé de pouvoirs de la conformité du journal et
établissement des remarques éventuelles.

(9) Validation du journal de paie en l’absence d’anomalies.

(10) Impression des états de virement et les postes paie (les différentes
déclarations)

(11) Validation des états de virement et établissement de l’ordre de


paiement
(12) Règlement

En fait, pour rendre le processus de la rémunération du personnel permanents


plus claire, que se soit agents ordinaire ou cadre supérieur, on peut
l’accompagné des processus qui se font en parallèle concernant les différents
éléments de la paie.

En effet, on présente, ci-dessous, les plus marquants à savoir : le processus


relatif aux prêts accordé au personnel, et celui de suivi des avantages sociaux

-60-
Cartographie des risques pour le cycle gestion salariale

™ Processus relatif aux prêts accordés aux personnels :

DRH (service gestion Agence comptable


sociale) secrétariat Fondé du pouvoir

(1) (2)

(3)

(4)

(5)

(6)

(7)

(1) préparation des dossiers de prêts accordés au personnel.

(2) Réception par le secrétariat du dossier d’accord préalable de prêt transmis


par le service gestion sociale,

(3) Le fondé de pouvoirs s’assure auprès du service coordination de la


disponibilité des crédits budgétaires dans l’enveloppe du prêt et s’assure
que toutes les conditions requises pour l’octroi du prêt sont remplies.

(4) Vise l’accord de principe et retourne le dossier au service émetteur.

(5) Réception du dossier de déblocage du prêt communiqué par la mission


administration du siège ou de la division financière et comptable pour le
cas des DEPs.

(6) Contrôle l’exhaustivité des pièces constituant le dossier de prêt.

(7) Visa de l’ordre de paiement et du chèque.

-61-
Cartographie des risques pour le cycle gestion salariale

™ Processus relatif au suivi des avantages sociaux.

DRH (service gestion Agence comptable


sociale) secrétariat Fondé du pouvoir

(1) (2)

(3)

(4)

(5)

(6)

(7)

(1) préparation des dossiers relatifs aux différentes cotisations et primes


d’assurance.
(2) Réception du dossier de règlement transmis par le service gestion sociale,

(3) Suivi budgétaire et contrôle de l’existence de toutes les pièces


justificatives requises par le fondé de pouvoirs.

(4) Etablissement par le fondé de pouvoirs d’une note d’observations


récapitulant les régularisations, s’il y a lieu, et restitution du dossier au
service émetteur.

(5) Restitution du dossier

(6) Visa de l’ordre de paiement relatif à la dépense en question en l’absence


d’anomalies.

-62-
Cartographie des risques pour le cycle gestion salariale

b- procédure de la rémunération des agents occasionnels :

DFC des DEPs, MAS, AC


DACS
Secrétariat FP

(1)

(2)

(3)

(4)

(1) Réception du dossier de la paie communiqué par la Division financière et


comptable de la DEP, la MAS, ou la DACS.

(2) Contrôle par le fondé de pouvoirs de l’existence de toutes les pièces


justifiant les éléments de la paie.

(3) Etablissement d’une note d’observations récapitulant les régularisations


requises en cas d’anomalies relevées, et restitution du dossier de paie au service
émetteur.

(4) Visa de l’ordre de paiement relatif à la dépense en question, en l’absence


d’anomalies.

-63-
Cartographie des risques pour le cycle gestion salariale

c- procédure de solde pour tout compte :

DRH MAS ou AC
DFC des
ports Secrétariat FP

(2)

(3)

(4)

(5)

(1) Réception du dossier de solde de tout communiqué par la DRH (cas de la


DG), ou par la division des ressources humaines au niveau des DEPs.

(2) Contrôle de l’existence de toutes les pièces justifiant le montant du solde de


tout compte à servir à l’intéressé.

(3) Visa de l’état du solde de tout compte et envoi à la DRH.

(4) Réception du dossier de règlement transmis par le service émetteur

(5) Visa de l’ordre de paiement et du chèque.

-64-
Cartographie des risques pour le cycle gestion salariale

B- recensement des procédures de recrutement :

a- Processus de recrutement :

(1) préparation du plan prévisionnel des emplois et des ressources humaines

(2) consolidation et validation du plan

(3) établissement de la loi cadre

(4) procéder au recrutement (présélection, concours écrits, entretien, tests


psychotechniques)

(5) proposition au directeur général

(6) validation de la décision de recrutement définitive

(7) intégration des nouveaux recrus

(8) désignation des parrains de stage

(9) titularisation (validation d’affectation après l’expiration de la période de


stage)

-65-
Cartographie des risques pour le cycle gestion salariale

Le processus peut être présenté comme suit :

Direction concernée (ayant DRH Direction générale Ministère de


exprimé le besoin en finance
recrutement
(1) (2) (3)
(4)

(5)

(6)

(7)

(8)

(9)

1) La direction concernée prépare les besoins en recrutement et les envois à


la DRH

2) La DRH centralise les besoins reçus par toutes les entités ayant exprimé
leurs besoins en recrutement et dresse le plan de besoins en recrutement.

3) La direction générale reçoit l’état des besoins en recrutement, l’examine


et passe à sa validation.

-66-
Cartographie des risques pour le cycle gestion salariale

4) Le ministère de finance valide le plan et établit une loi cadre résument les
besoins en recrutement qui ont été validés par catégorie.

5) La DRH procède à la sélection des condidats, et envoi ses propositions à


la direction générale

6) La direction générale valide les propositions

7) La direction concernée en collaboration avec la DRH procède à


l’organisation du processus d’intégration.

8) Elle procède à la désignation du parrain de stage de titularisation

9) Après expiration du délai de stage, elle valide le rapport et passe à la


titularisation du nouveau recru.

b- Processus de formation:

(1) Recueille des besoins en formation

(2) Validation des besoins

(3) Consolidation des besoins au niveau de la DRH

(4) Etablissement d’un budget d’estimation des coûts et du nombre de jours

(5) Classement des besoins par ordre de priorité

(6) Diffusion du plan de formation

(7) Suivi du plan et examen du bilan de formation trimestriel.

-67-
Cartographie des risques pour le cycle gestion salariale

C- l’établissement de la cartographie des risques

Pour le cas de la cartographie des risques des ressources humaines,il s’est


avérer convenable de prendre comme canevas, le tableau des risques
communément appelé (TARIF),déjà cité dans la partie précédente,ce tableau
contiendra les éléments suivants :

Les objectifs audit ables : on énumère dans cette colonne les


différents éléments composant l’entité des ressources humaines

Les objectifs de contrôle interne : se sont les buts recherchés pour


rendre la gestion des ressources humaines très efficace et réduire les
risques qui en découlent.
Les risques : on recense dans cette partie les conséquences induites
par un dysfonctionnement de la gestion des éléments des ressources
humaines.
Les bonnes pratiques : ou également appelé POCA (pratiques
d’organisation communément admises),se sot les moyens du contrôle
interne assurant un empêchement des risques déjà recensés,il est à
noter qu’il ne suffit pas d’énumérer ces pratiques mais plutôt doivent
être existantes,adaptées et performantes.
Le degré du risque : dans cette étape il s’est avérer plus
communicant de se baser sur le tableau suivant :

DEGRE PROPABILITE

3 Probable

2 Peu probable

1 Faible

En effet,les degrés ont été fixés à partir des avis des responsables de la
gestion des différents éléments composant les ressources humaines ,en vue
de leur expériences et leur vécu ,ainsi que ceux des auditeurs à partir de leurs
missions concernant ce cycle .

-68-
Cartographie des risques pour le cycle gestion salariale

3- la cartographie des risque pour le cycle gestion salariale.

OBJECTIFS OBJECTIFS DE CONTRÖLE RISQUES POTENTIEL Degré POCA (pratiques


AUDITABLES INTERNE de d’organisation
risque communément
admises)
Rémunération des -s’assurer que les règles - la conception du système 2 -Mettre en œuvre des
agents permanents d’établissement des n’intègre pas les règles prévues programmes de calcul
rémunérations sont en dans la convention collective des rémunérations qui
conformité avec la convention ou dans les accords individuels reflètent les contrats
collective et les politiques passés avec les salariés. signés et les
retenues par l’entité. dispositions de la
convention collective.

-s’assurer que le dossier du -omission de l’un des éléments 3 -vérifier


personnel contient tous les relatifs à la paie périodiquement
documents relatifs à la l’exhaustivité des
préparation de la paie éléments constituants
les dossiers relatifs à
la paie.

-s’assurer que la préparation de -risque d’erreur de calcul des - mettre en place des
ce dossier et les calculs salaires. 2 contrôles de sécurité
nécessaires sont effectués par -risque de calcul des salaires qui limitent l’accès à
un service n’ayant pas d’autres pour des agents fictifs. la préparation de ces
fonctions en matière de paie. dossiers.

-69-
Cartographie des risques pour le cycle gestion salariale

- s’assurer qu’il y a des -existence des cartes de -vérifier et approuver


procédures pour relever les pointage ou autres informations 2 les heures travaillées.
absences (cartons de pointage, sources qui renvoient à des
feuilles de présence) salariés fictifs.

-risque de calcul des salaires


sur des bases non fiables

-s’assurer que les arrêts -risque de ne pas défalquer -vérifier et approuver


temporaires de travail certaines indemnités liées à la 3 tous les éléments non
(maladie, accident de présence. standard, tels que les
travail,..)sont communiqué en indemnités de
temps réel. maladie, les congés
payés et les primes.

-S’assurer que le service de la -risque d’affectation des -vérifier


gestion salariale (chargé de la salaires pour des personnes 1 périodiquement les
paie) est avisé à temps des inexistants. bases de données
démissions ,licenciements et relatives à la paie.
promotion.

-70-
Cartographie des risques pour le cycle gestion salariale

-s’assurer que les états des -calcul de salaire sur des 2 -vérifier
mutations arrivent à temps éléments ayant été modifiés. périodiquement et
pointer l’état de
mutation avec la base
des salariés.

-s’assurer qu’il existe une liste -risque d’application des taux, 1 - vérifier et approuver
des retenus sur les salaires. n’ayant pas été correctement toute modification des
approuvés ou ne sont pas taux.
exacts

-s’assurer qu’il existe une base -risque d’application des 2 -vérifier


selon laquelle les heures barèmes non conformes à la périodiquement les
normales sont payées base prévue bases de données.

-s’assurer que les salariés on -risque d’omission des droits 1 -rapprochement


des fichiers individuels annuels de congés. périodique entre les
récapitulant les droits annuels -risque de modification non états de droit de
aux congés acquis. justifiée des droits de congés. congés et des
journaux de paiement.

-71-
Cartographie des risques pour le cycle gestion salariale

-s’assurer qu’il existe une -risque de calcul à tord de la 2


procédure déterminant les partie de salaire relative aux
bases selon lesquelles les heures supplémentaire.
heures supplémentaires sont
payées. -risque d’intégration des heures 2 -vérifier
non justifiées, et pour des gents périodiquement les
ne bénéficiant pas bases de données
normalement de ces heures. relatives aux heures
supplémentaires.

-S’assurer que les heures -risque d’omission 1 -vérifier et approuver


supplémentaires sont d’intégration des heures les états relatifs aux
communiquées en temps utile supplémentaires dans le calcul supplémentaires.
au service paie. des salaires.

-s’assurer que l’état des agents -risque d’octroi des dimanches 3 - contrôle des listings
autorisés à travailler le pour des agents n’ayant pas résumant les états des
dimanche est signé par le l’autorisation. dimanche.
responsable de l’entité.

-s’assurer que le taux des -risque d’octroi d’un montant 2 - vérifier les états
indemnités des frais de non adéquat avec le grade de relatifs à l’octroi de
déplacement correspond au l’agent. ces indemnités.
grade de l’agent concerné
(cadre, chef de service, chef de
division….)

-72-
Cartographie des risques pour le cycle gestion salariale

-s’assurer que l’indemnité -risque d’erreur de calcul de 1


kilométrique est conforme avec l’indemnité.
le nombre des chevaux du
véhicule de l’intéressé.

-s’assurer que les bénéficière -risque d’octroi de l’indemnité 1


des indemnités kilométriques aux agents n’ayant pas de
ont déposé une attestation véhicules.
d’assurance au service de la
paie.

-s’assurer que l’accès au fichier -risque d’accès par des agents 1 -mettre en place un
informatique du personnel est non autorisés, système de sécurité
protégé. performant.

-s’assurer que la mise à jour de -risque de fraude ou 2


ce fichier est justifiée. modification des fichiers non
justifiée.

-73-
Cartographie des risques pour le cycle gestion salariale

-s’assurer qu’il existe un -risque de transmission des 1 -vérification


contrôle des calculs relatifs à la journaux de paie contenant des systématique des
paie. anomalies. journaux lors de leur
préparation.

-s’assurer que les journaux de -risque de gonflement des -charger une autre
paie sont visés par une autre salaires personne
personne ne participant pas à -risque d’ajout des éléments 2 indépendante.
leur préparation dans le journal non justifiés.

-s’assurer que le total du -risque d’existence des écarts 1 -rapprochement


journal est rapproché avec ceux inexplicables périodique des
précédents journaux par rapport à
ceux précédents.

-s’assurer que les salaires sont -risque d’existence d’opération 1 -vérifier les relevés
réglés sur un compte bancaire ne concernant pas ce compte. bancaires.
distinct et que l’apurement de
ce compte se fait
régulièrement.

-74-
Cartographie des risques pour le cycle gestion salariale

Gestion des avantages -s’assurer que le montant de -risque d’octroi d’un montant 3 -vérifier des états
sociaux. cotisations à verser est celui non conforme aux cotisations relatifs aux
figurant sur les journaux de effectivement attribuées. cotisations à accorder.
paie

-s’assurer que tout le personnel -risque d’une double affiliation 2 -contrôle et


statutaire en activité est affilié du personnel. vérification des
à un régime de retraite listings des retraités.
correspondant et à un seul.

-s’assurer que le personnel -risque d’octroi de cotisations 1


pour lequel la part patronale a pour des agents qui ne sont pas
été payée concerne les agents en activité.
en activité ou retraité.

-S’assurer du taux des -risque d’application des taux 2 -vérifier


cotisations patronales non conformes aux règles. périodiquement les
appliquées. états relatifs aux
cotisations

-s’assurer que le plafond des -risque de dépassement du 1


cotisations n’est pas dépassé. plafond de cotisations.

-75-
Cartographie des risques pour le cycle gestion salariale

Gestion des prêts -s’assurer que le dossier de -risque d’octroi de prêts pour 2 -contrôle périodique et
accordés au demande de prêt comprends des agents ne remplissant pas vérifications des
personnel. tous les éléments nécessaires. tous les conditions nécessaires. éléments constituant
les dossiers de prêts

-s’assurer que l’octroi du prêt a -risque d’octroi des prêts à tord 1 -vérifier le visa
fait l’objet d’une décision et sans justification. accordé par la
dûment visée par les personnes personne habilitée.
habilitées après accord
préalable du directeur général
de l’ODEP.

-s’assurer que le bénéficiaire -risque d’affectation de prêt 1 -vérification


est un agent effective dans pour des personnes fictives. systématique des états
l’entreprise et remplissant tous relatifs aux prêts.
les conditions requises.

-s’assurer que le montant du -risque d’erreur d’affectation 3


prêt demandé ne dépasse pas des prêts selon les catégories.
les plafonds fixés pour chaque
catégorie de personnel.

-76-
Cartographie des risques pour le cycle gestion salariale

-s’assurer de la conformité de -risque de commettre des 3 -vérifier la sincérité et


l’échéancier de erreurs pour les modalités de la conformité des
remboursement, du taux paiement. documents présentés.
d’intérêt et des montants
retenus sur salaires.

-s’assurer que le bénéficière -risque de bénéficier des 1


des abattements pour les prêts abattements de prêts sans en
immobilier ont déposé les avoir droit.
attestations de résidence
relatives à l’année, plus un
engagement personnel du
bénéficière.

-s’assurer que les taux d’intérêt -risque d’application d’un taux 2 -comparaison entre les
appliqués sont ceux prévus par non conforme. taux appliqués et ceux
la note de service régissant prévus dans les notes
l’octroi du prêt. et conventions.

-s’assurer que le chèque établit -risque d’octroi du chèque à 1 -s’assurer de l’identité


pour le prêt concerne une autre personne autre que du bénéficiaire.
effectivement l’agent celle normalement bénéficiaire.
bénéficiaire du prêt.

-77-
Cartographie des risques pour le cycle gestion salariale

-s’assurer que l’ordre de -risque d’affectation de l’ordre 2 -contrôler l’identité


paiement est établi au nom de à une autre personne autre que des personnes
l’agent bénéficiaire. celle effectivement bénéficiant des ordres
bénéficiaire. de paiement.

La gestion des -s’assurer que tous les salariés -les conditions d’admission aux 2 -former le personnel
retraités admissibles aux plans de plans ne sont pas clairement approprié aux
retraite, et seulement ceux-la communiquées au personnel conditions
sont inscrits concerné d’admission aux plans
et aux éventuels
amendements
apportés à ceux-ci.

-risque d’inexactitude des 2 -analyser les


informations concernant les informations par
salariés et qui sont rapport au dossier
communiquées au personnel personnel du salarié
chargé de gestion des ou en vérifier
adhésions aux plans de retraite l’exactitude par tout
autre moyen

- risque d’avoir des salariés 1 -vérifier


admissibles, exclus à tort du périodiquement la
plan de retraite. liste des participants

-78-
Cartographie des risques pour le cycle gestion salariale

par rapport à celle des


salariés en activité et /
ou des salariés en
retraite.

-risque d’existence des salariés 1 - vérifier l’existence et


fictifs inscrits comme le statut des
participant au plan de retraite participants

-les dispositions des plans en 2 -s’assurer que la


matière de prestation de retraite documentation
sont confuses ou complexe relative au plan de
retraite décrit
clairement les
dispositions relatives
aux prestation et
comporte des
exemples de calcul de
celle-ci.

-risque d’erreur lors du calcul 2 -standardiser les


des prestations formulaires ou les
programmes utilisés
pour calculer les
prestations de retraite

-79-
Cartographie des risques pour le cycle gestion salariale

La rémunération des -s’assurer que les dossiers de -risque d’existence des agents 2
agents occasionnels. paie comprennent tous les fictifs.
éléments nécessaires à
l’identification de ces agents.
et ceux relatifs aux primes et
cotisations.

-s’assurer que les dossiers sont


visés par le responsable
habilité ayant exprimé le
besoin.

-s’assurer de la conformité -risque d’inadéquation entre les 1 -rapprochement entre


entre les bons de commandes bons de commande et la les bons de commande
et la situation d’embauche. situation d’embauche. et la situation
d’embauche.
-s’assurer que l’ordre de -risque d’erreur de calcul ou 2
paiement concernant les application des taux de prime -vérifier le visa
différentes primes et et cotisations qui ne sont pas accordé.
allocations est visé par exactes.
l’ordonnateur ou toute
personne habilité.

-80-
Cartographie des risques pour le cycle gestion salariale

-Recrutement -S’assurer qu’il y a un plan -Pas d’anticipation et vue à 1 -examen des plans
prévisionnel des emplois et long terme prévisionnels.
ressources humaines -manque de repère sur l’avenir

-s’assurer que le plan est -manque de coordination entre 2 -comparaison et


diffusé à toutes les entités les différentes entités et la étalonnage avec les
DRH. autres entités.

-s’assurer qu’il existe une -risque de non adéquation entre 1 -vérification de la


procédure d’embauche bien le profil nécessaire et la conduite de la
définie personne recrutée. procédure
-perte de productivité d’embauche.

-s’assurer que la définition du -risque d’avoir des demandes 1 -vérifier l’authenticité


besoin émane des services sous non justifiées. de la décision.
forme d’une demande écrite.

-s’assurer que la demande -risque de non adéquation entre 2 -consulter les fiches
précise la définition du poste et le profil des condidats à des postes à pourvoir
le profil du condidat souhaité rechercher et le poste vacant. et vérifier la
concordance avec les
fiches de profil des
condidats recherchés.

-81-
Cartographie des risques pour le cycle gestion salariale

-S’assurer qu’il existe une -réception des demandes à tord. 1


personne responsable de la
décision d’expression du
besoin de recrutement au
niveau de l’entité concernée.

-s’assurer que le nombre de -dépassement des besoins 2 -comparaison et


besoin à accepter correspond prévus dans les plans. contrôle des besoins
au nombre de recrus prévu exprimés et ceux
dans les plans prévisionnels. acceptés.

-s’assurer qu’il existe une -risque d’effectuer des 2 -vérifier que la


méthode de recherche de recherches qui ne sont pas procédure de
condidat bien définie utiles et efficaces. recherche est pointue.

-s’assurer qu’il existe une -risque d’augmentation des 3


recherche interne frais d’embauche.

-s’assurer qu’il existe des gents -risque d’effectuer des 3 -vérifier les fiches des
compétents pour l’étape de sélections non efficaces. agents chargés de la
sélection. -entretiens non professionnels sélection.

-s’assurer qu’il existe une -risque de sélection des 2


procédure de sélection condidats ne répondants pas
rigoureuse. exactement aux besoins
exprimés.

-82-
Cartographie des risques pour le cycle gestion salariale

-s’assurer qu’il existe une -risque de prendre des 3


commission regroupant la décisions unilatérales à ce
DRH et l’entité ayant exprimé niveau.
le besoin en recrutement.

-s’assurer que les -risque d’empêcher l’embauche 2 -vérifier l’exactitude


prolongations de stages sont définitive du stagiaire des justifications
visés par le responsable de présentées.
l’entité d’affectation de
l’intéressé.

-s’assurer que l’arrêt de stage -risque d’arrêt de stage sans 1 -vérifier le contenant
de titularisation est justifié justification fondée. de la fiche de décision
d’arrêt.
-s’assurer que le stagiaire est -risque de détournement du 1
avisé de l’arrêt de stage à stagiaire contre l’entreprise
temps. concernée

-s’assurer que le parrain de -pas d’encadrement du 2


stage est désigné dès le début stagiaire
du stage.

-s’assurer que le stagiaire -pas d’accompagnement du 1


bénéficie d’une intégration nouveau recru.

-83-
Cartographie des risques pour le cycle gestion salariale

-s’assurer qu’il y a une grille -risque de non adéquation entre 2 -vérification du


d’échelle bien définie selon les les qualifications du nouveau dossier du nouveau
qualifications du recru recru et l’échelle accordée au recru et la grille
début. d’échelle préétablie.

-s’assurer que tout avis de -retard de paie des nouveaux 2 -vérifier et contrôler
décision d’embauche est recrus. les nouveaux dossiers
adressé au service de la paie. des recrus.

-s’assurer que chaque -risque de confusion des postes 2


embauche donne lieu à la lors de l’octroi des salaires.
création d’un dossier
individuel. -risque d’octroi des salaires ne 1
correspondants pas aux
qualification du nouveau recru.

- Formation -s’assurer que les différentes -besoin en formation non 2 -vérification de la


entités expriment leurs besoins satisfait. fiche de recensement
en formation. du besoin.

-s’assurer qu’il existe une -risque d’avoir des 2 -révision des


analyse systématique des programmes de formation plannings de
besoins en formation. déconnectés de la réalité. formation.

-84-
Cartographie des risques pour le cycle gestion salariale

-s’assurer que le plan de besoin -incohérence entre le plan de 1


en formation est cohérent avec formation et les besoins réels
la stratégie globale de de l’entreprise.
l’entreprise.

-s’assurer que tout le personnel -risque d’avoir des charges en 2


bénéficie effectivement de la formation fictives
formation prévue.

-s’assurer que les -risque d’avoir une formation 1 -Vérification des


entités/formateurs chargés de la non pointue. fiches des formateurs
formation sont compétents.

-s’assurer qu’il y a une -risque de déconnection entre 3 -vérification des


cohérence entre la formation et appréciation et formation. statuts des agents
appréciation. -risque de démotivation du 2 après la formation.
personnel
-risque de découragement 2
d’assister à la formation.

-s’assurer qu’il y a une -risque d’existence d’une 1 -contrôle de la


logistique efficace que se soit logistique lourde et défaillante. logistique de
prise en charge en interne ou formation.
externe.

-85-
Cartographie des risques pour le cycle gestion salariale

L’entreprise est confrontée à un environnement mouvementé de plus en plus


complexe, l’affrontation journalière suppose une maîtrise de la maison interne et
un vrai aménagement, cet aménagement suppose avant tout de connaître tous les
coins de cette maison, et même mieux avoir un miroir bien claire pour marcher à
pas sûr. Cette maîtrise des forces et faiblesse de sa propre entreprise et la
recherche de remède sur la base d’informations fiables et transparentes, sont
aujourd’hui la devise pour réussir et survivre dans un monde changeable.

maîtriser des risques ,faire face aux fraudes qui épuisent le patrimoine d’une
société et l’instauration d’un système d’audit interne très performant qui permet
à la fois la transparence et la maîtrise de sa propre entreprise,est l’objectif
incontournable pour la réussite d’une entreprise moderne.

Actuellement ,de nombreux consultants parlent d’assistance à la maîtrise des


risques à la place d’audit interne ,ceci est la résultante d’une complémentarité
approuvée entre audit interne,management des risques et maîtrise des risques
suite à la nouvelle définition de l’audit interne qui exige l’évaluation du
processus de management des risques. Ce processus fait actuellement partie
intégrante de toutes les activités de l’entreprise.

Par conséquent ,la division audit interne de l’ODEP,n’a qu’a suivre cette
évolution et faire en sorte que la planification et la préparation de ses missions
seront basées sur une cartographie annuelle qui permettra d’établir un plan
focalisé sur les risques auxquels l’entreprise est exposée.

En effet, j’espère que ce présent mémoire portant sur la cartographie des risques
pour le cycle gestion des ressources humaines, cette cartographie qui n’est que
dans sa phase préliminaire et susceptible d’être complétée et améliorée, servira
de mieux à l’élaboration d’une cartographie globale contenant tous les volets
opérationnels et administratifs de l’ODEP.

Enfin, j’en profite pour remercier une deuxième fois tous ceux qui m’ont aidé de
près ou de loin à l’élaboration de ce mémoire et j’espère qu’il sera à la hauteur
de leurs attentes.

-86-
Cartographie des risques pour le cycle gestion salariale

™ Les nouvelle pratiques du contrôle interne : committee of sponsoring


organisation of the treadway commission, avec la permission de American
Institute of Certified public Accountants-traduction Cooper & Lybrand et
institut de l’audit interne.

™ La conduite d’une mission d’audit interne : Olivier Lemant

™ Normes pour la pratique professionnelle de l’audit interne : The Institute


of Internal Auditors IIA.

™ Gestion des risques et contrôle interne : Thierry Colatnella, Associe


KPMG, audit

™ Théorie et pratique de l’audit interne Jacque Renard , édition


d’organisation 2002.

™ Management des risques, G Marmuse, X Montaigne, Vuibert

™ Bilan relatif à la réalisation des recommandations des auditeurs


internes : l’ODEP

Séminaires :

™ Séminaire de l’IIA Maroc du 24,25 novembre 2004 animé par Olivier


Lemant sous thème : « créer un audit interne et le faire fonctionner selon
la définition internationale et les normes actuelles »

™ Séminaire du 14,15 avril 2004 animé par Antoine Viel sous thème :
ƒ « L’Audit des Ressources Humaines »

™ Séminaire de Mozartis en partenariat avec L’IFACI sous thème :


« Caractéristiques de l’audit du management des ressources humaines ».

-87-
Cartographie des risques pour le cycle gestion salariale

™ Séminaire animé par Pierre Schick le 23,24 octobre 2003 à l’AMACI sous
thème : « méthodologie de l’audit interne »

™ Article paru à la revue française de l’audit interne n° 138, sous thème :


« L’audit basé sur les risques » de David McNamee. »

Sites Internet :

http://www.efe.fr/fprmation professionnelle
Conférences et séminaire pour les cadres « audit des risques, outils et
méthode/ le risk management »

http://www.aon.fr/entre/audit-conseil/cartographie.jsp

www.snecma.com/fr/finance

www.les echos.fr.peter

www.internaland.biz risk based auditing (rates on the risk database)

-88-