Rapport Du Stage

Dédicace
Je dédie ce travail à :
 Ma chère mère, celle qui m’a toujours soutenu
 Mon père, mon ultime repère
 Mes frères et sœurs,
 Et tous mes amis
Abdessalam
Remerciement
Au terme de ce travail, je tiens d’abord à exprimer mes profonds remerciements et à
témoigner de ma reconnaissance à Monsieur BOUTTI Rachid, en sa qualité d’encadrant pour
mon stage de fin d’études, pour ses conseils et orientations.
Mes vifs remerciements sont adressés à :
 Madame ALAMI Fadela, responsable Contrôle Interne à Holidays Services et maitre
de mon stage, pour son assistance et sa générosité inégalées.
 Monsieur AKYAOU Hamid, contrôleur financier, pour son soutien et sa disponibilité.
 Tout le staff du département financier.
Je tiens à exprimer finalement ma sincère gratitude pour tous ceux qui de près ou de
loin, ont contribué au bon déroulement de notre stage et à l’aboutissement de ce travail

Liste des tableaux
 Tableau1 : Fiche signalétique de la société Enron ……………………………….25
 Tableau 2 : Classification des risques …………………………………………….47
 Tableau 3 : Approche par cycles des processus de HOS……………..…….….....49
 Tableau 4 : Fiche signalétique de Holidays Service ………………………………53
 Tableau 5 : Matrice SWOT pour Holiday Services ……………………..………..55
 Tableau 6 : constats du diagnostic Contrôle Achats …………………………..….58
 Tableau 7 : Liste des risques identifiés ………………………………………..…..59
 Tableau 8 : Analyse et évaluation des risques ………………………………...….62
 Tableau 9 : Classification des risques ………………………………………….….65
 Tableau 10 : Dispositif de contrôle interne COSO pour HOS ………………..….68

Liste des figures
 Figure 1 : Types de risques liés à l’activité………………………….…..……20
 Figure 2 : Processus de Management des risques……………………….……22
 Figure 3 : Texte de la section 302 de la loi Sarbanes-Oxley……….……...…33
 Figure 4 : Texte de la section 404 de la loi Sarbanes-Oxley……..….…….…34
 Figure 5 : Le Cube COSO…………………………………………………..…37
 Figure 6 : Processus Risk Management –ISO31000-……………….............. 45
 Figure 7 : Modèle de cartographie de risques …………………………..……47
 Figure 8 : Cartographie des flux Holidays Services …………….……………57
 Figure 9 : Flow-charte de la procédure Contrôle des achats ……….…….…59
 Figure 10 : Cartographie des risques opérationnels de Holidays Services….66
 Figure 11 : Flow Chart de la procédure Prépaiement …………………….…78
 Figure 12 : Flow Chart de la procédure Achat par petite Caisse………..…..81

Sommaire
Dédicace ................................................................................................................................. 1
Remerciement ......................................................................................................................... 2
Liste des tableaux ................................................................................................................... 3
Liste des figures ..................................................................................................................... 4
Sommaire ............................................................................................................................... 5
Introduction ............................................................................................................................ 7
PARTIE 1 : CADRE CONCEPTUEL ET CONTEXTUEL .................................................. 9
CHAPITRE I : Risk Management et Contrôle Interne ........................................................ 10
Section 1 : Le contrôle interne, une omniprésence dans toute organisation ........................ 10
Section 2 : Le Risk Management, vers une maitrise des risques ......................................... 17
CHAPITRE II : Impact de la loi Sarbanes-Oxley sur le contrôle interne. ........................... 25
Section1 : Origines et contenu de la SOX ............................................................................ 25
Section2 : Apports de la SOX au contrôle interne des organisations : ................................ 33
PARTIE 2 : CADRE METHODOLOGIQUE ET REFERENTIELS ADOPTES ............... 37
CHAPITRE I : COSO, référentiel universel de contrôle interne ........................................ 38
Section1 : Introduction au COSO......................................................................................... 38
Section2 : Les composants du contrôle interne selon COSO : ............................................. 39
Section3 : Positionnement du COSO2 par rapport au COSO1 ............................................ 43
CHAPITRE II : La démarche ERM selon la norme ISO 31000 .......................................... 44
Section1 : présentation de l’ISO 310001.............................................................................. 44
Section2 : La démarche ERM selon ISO 31000 .................................................................. 46
PARTIE 3 : Risk Management et renforcement du contrôle interne chez TUI PLC Travel –
Holidays Services. ................................................................................................................ 50
CHAPITRE 1 : Etablissement du contexte de TUI PLC Travel – Holidays Services ......... 52
CHAPITRE 2 : Appréciation des risques chez TUI PLC Travel – Holidays Services ........ 59
CHAPITRE 3 : Traitement des risques et mise en place d’un dispositif COSO du contrôle
interne ................................................................................................................................... 68
Conclusion ............................................................................................................................ 83
Bibliographie : ...................................................................................................................... 84
Table des matières ................................................................................................................ 85
Annexes ................................................................................................................................ 89
Introduction
Les nombreux scandales qui ont frappé les Etats-Unis en 2001 et au début de l’année
2002 (avec Enron, en tête, Adelphia, Xerox et WorldCom) ont entrainé une réaction brutale
du législateur américain et l’adoption de la loi dite « Sarbanes-Oxley » votée par le Congrès
des Etats-Unis et ratifiée par le président Bush le 30 Juillet 2002.
La loi SOX vise à redonner l’assurance aux bailleurs de fonds quant à la sécurité de
leurs actifs et la pertinence du reporting financier, et ce en imposant aux directions générales
des sociétés cotées les lignes directrices relatives à l’efficacité du contrôle interne
conformément au référentiel COSO, notamment par les sections 302 et 404 de ladite loi.
Holidays Services est l’une des sociétés marocaines concernées indirectement par cette
loi ; elle est détenue depuis 2008 à 99% par le géant anglais TUI Travel Plc introduit à son
tour en bourse de Londres en Septembre 2007.
Ce contexte financier international met Holidays Service devant l’obligation de

s’aligner aux directives de la SOX et d’améliorer son contrôle interne, classé en zone rouge
d’après le dernier audit interne de 2012, en vu d’offrir une plus grande assurance quant à son
reporting financier vers TUI Travel Plc, sa société mère.
C’est ainsi qu’elle ouvra son grand chantier de restructuration et de renforcement de

son contrôle interne, mettant comme objectif la protection des actif et la pertinence de
l’information financière.
Parachuté au cœur de ce chantier et rattaché au département Internal Control, nous

participerons dans le cadre de notre Stage de Fin d’Etudes pour l’obtention du diplôme des
ENCG à la réalisation du projet COSO pour le renforcement du contrôle interne chez
Holidays Services. Pour ce faire, nous avons adopté la voie du Risk Management en tant que
partie intégrante du contrôle interne selon le COSO.
A la lumière de ce qui précède, nous avons formulé notre problématique comme suit :
 Comment un contrôle interne efficace peut offrir de l’assurance raisonnable aux

bailleurs de fonds ?
 Comment peut-on renforcer le contrôle interne ?
Rapport de stage de fin d’études 2012/2013 7

 Quel est l’apport du Risk Management au contrôle interne ?
 Dans quelle mesure le Risk Management garantie la sécurité de l’information
financière ?
Pour répondre à cette problématique, nous avons mis l’hypothèse suivante :
« Le Risk Management assure la pertinence de l’information financière »
La vérification de l’hypothèse ci-dessus constituera donc l’essence de ce travail durant

lequel nous allons chercher à répondre aux questionnements de la problématique.
Méthodologiquement, notre travail sera modélisé selon la norme ISO 31000 relative
au management des risques ; elle offre les lignes directrices d’une démarche Entreprise Risk
Management qui commence par l’établissement du contexte, pour passer à l’appréciation
(identification, analyse et évaluation) des risques, et finir par le traitement des risques.
Notre travail sera subdivisé en trois parties :
 Une première présentera le cadre contextuel de la loi SOX et le cadre conceptuel du

contrôle interne et Risk Management
 Une deuxième sera dédiée au cadre méthodologique de l’Entreprise Risk Management
 Et une troisième exposera les résultats des différentes phases de notre mission à
Holidays Services.

PARTIE 1 : CADRE CONCEPTUEL ET
CONTEXTUEL
C
ette partie constitue présentera les fondements théoriques du contrôle
interne et du Risk Management, en plus du contexte d’apparition de la loi
Sarbanes-Oxley ainsi que ses éléments.
Il nous est paru opportun d’opérer ainsi afin de mieux assimiler nos concepts avant de
passer à la pratique.
CHAPITRE I : Risk Management et Contrôle Interne
Les risques sont partout dans l’entreprise, qu’on le veuille ou non, qu’on les gère ou
pas. Pire même, la survie de l’entreprise peut aller jusqu’à dépendre de cette notion. Les
pratiques de maîtrise de risque deviennent un accélérateur de développement de l’entreprise,
une garantie pour sa continuité d’activité et sa pérennité.
Nous allons voir que le risque, vu sous sa dimension globale et systémique, est en
lien direct et étroit avec le fonctionnement de l’entreprise.
Ainsi, nous pouvons affirmer que la prise de risque est inhérente à toute société. Il
n’existe pas de croissance, ni de création de valeur dans une société, sans prise de risque. S’ils
ne sont pas correctement gérés et maîtrisés, ces risques peuvent affecter la capacité de la
société à atteindre ses objectifs. En continuant à prévenir et à gérer les risques, les dispositifs
de gestion de risques et de contrôle interne jouent un rôle clé dans la conduite et le pilotage
des différentes activités.
Ce chapitre va nous éclaircir sur ce qu’est le concept de contrôle interne en sa

globalité. Il nous permettra aussi d’appréhender le Risk management, ses fondements et
objectifs.
Section 1 : Le contrôle interne, une omniprésence dans toute

organisation
1. Définition
Le contrôle interne est définit par L. Collins et G. Valin 1 comme suit « le contrôle
interne est mis en place par la direction d’une entreprise pour assurer la légitimité de ses
activités, la protection de ses actifs, la fiabilité de ses informations et l’utilisation efficace de
ses moyens humaines et matériels. Il comprend un plan d’organisation et un ensemble
cohérent de moyens, de méthodes et de procédures permettant la maitrise du fonctionnement
et de l’évolution de l’entreprise par rapport à son environnement ».
1
COLLINS, L. et VALIN, G., Audit et contrôle interne – Aspects financiers, opérationnels et stratégiques,
Dalloz, 1992, p 32.
2
Le COSO est un référentiel de Contrôle Interne défini par le Committee Of Sponsoring Organizations of the
Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du
contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.

Le contrôle interne aussi bien conçu et efficace qu’il puisse être, ne peut fournir aux
dirigeants qu’une assurance raisonnable quant à la réalisation des objectifs qu’ils se sont fixés.
Cette assurance ne peut en aucun cas être absolue, car des limites peuvent découler aussi bien
d’une erreur de jugement ou d’une mauvaise application des procédures que d’agissements
visant à tromper la vigilance du système.
Le COSO2 propose la définition du Contrôle Interne suivante :
« Le contrôle interne est un processus mis en œuvre par la direction générale, la

hiérarchie, le personnel d’une entreprise et destinée à fournir une assurance raisonnable quant
à la réalisation de trois catégories d’objectifs :
 La réalisation et l’optimisation des opérations

 La fiabilité des informations financières
 La conformité aux lois et aux règlementations en vigueur
Donc on peut dire que le Contrôle Interne n’offre pas la garantie absolue que les
objectifs fixés seront atteints, mais fournit uniquement « une assurance raisonnable » quant à
l’atteinte de ces objectifs. Il ne rend pas non plus la fraude impossible mais permet de la
limiter au maximum ou de la découvrir aussitôt que possible.
2. Principes du contrôle interne
Le contrôle interne repose sur un certain nombre de règles de conduite ou de

préceptes dont le respect lui confèrera une qualité satisfaisante.
Les principes2 sur lesquels s’appuie le contrôle interne sont :
 L’organisation ;
 L’intégration ;
 L’information ;
 La permanence ;
 L’universalité ;
 L’indépendance ;
 L’harmonie ;
2
Principes retenus par le Conseil de l’Ordre des Experts Comptables Français en 1977, qui fut crée en 1945 et
qui a pour vocation de gérer le plus grand réseau de professionnels libéraux.

a. Le principe d’organisation :
Pour que le contrôle interne soit satisfaisant, il est nécessaire que l’organisation de
l’entreprise possède certaines caractéristiques. L’organisation doit :
 Comporter une séparation convenable des fonctions ;

 Etre établie sous la responsabilité du chef d’entreprise. Cette responsabilité
consiste a fixer des objectifs, définir les responsabilités des hommes
(organigramme), déterminer le choix et l’étendue des moyens a mettre en œuvre ;
 Diffuser par écrits ses instructions est indispensable ;
La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice
d’une activité de l’entreprise un même agent cumul :
 Les fonctions de décisions (ou opérationnelles) ;

 Les fonctions de détention matérielle des valeurs et des biens ;
 Les fonctions d’enregistrement (saisie et traitement de l’information) ;
 Les fonctions de contrôle ;
Ou même simplement deux d’entre elles. En effet, un tel cumul favorise les erreurs,
les négligences, les fraudes et leur dissimulation.
b. Le principe d’intégration
Les procédures de mise en place doivent permettre le fonctionnement d’un système

d’autocontrôle mis en œuvre par des recoupements, des contrôles réciproques ou des moyens
techniques appropriés.
Les recoupements permettent de s’assurer de la fiabilité de la production ou du suivi

d’une information au moyen de renseignements émanant de sources différentes ou d’éléments
identiques traites par des voies différentes (concordance d’un compte collectif avec la somme
des comptes individuels).
Les contrôles réciproques consistent dans le traitement subséquent ou simultané

d’une information selon la même procédure, mais par un agent différent, de façon a vérifier
l’identité des résultats obtenus total des relevés de chèques reçus et total des bordereaux de
remises en banque).

Les moyens techniques recouvrent l’ensemble des procédés qui évitent, corrigent ou
réduisent, autant que faire se peut, l’intervention humaine et par voie de conséquence les
erreurs, les négligences et les fraudes (traitements automatiques informatises, clés de
contrôle).
c. Le principe d'information
Ce principe stipule que l'information qui chemine dans les circuits du contrôle interne doit
être :
 Pertinente, autrement dit adaptée à son objet et à son utilisation. Elle doit être
disponible et accessible dans les temps et lieux voulus,
 Objective, car elle ne doit en aucun cas être « déformée » dans un but particulier,
 Communicable, en d'autres termes, le destinataire doit pouvoir tirer clairement
les informations dont il a besoin à partir des informations reçues,
 Vérifiable, car il doit être possible d'en retrouver les sources grâce à des
références appropriées permettant de justifier l'information et de l'authentifier.
d. Le principe de permanence
La mise en place de l’organisation de l’entreprise et de son système de régulation – le

contrôle interne – suppose une certaine pérennité de ces systèmes. Il est clair que cette
pérennité repose nécessairement sur celle de l’exploitation.
e. Le principe d'universalité
Ce principe stipule que le système pour être efficace ne doit pas exclure de
personnes, ni tenir de secteur en dehors du système. Il doit s'étendre à tous les membres de
l'entreprise. Toutes les fonctions de l'entreprise, qu'elles que soient les personnes qui les
remplissent, sont soumises aux règles de contrôle interne.
Il s'agit de voir :
 si toutes les personnes se conforment aux procédures ;

 si les procédures sont respectées en tout lieu et en tout temps.

f. Le principe d'indépendance
Ce principe exprime l'idée que les objectifs du contrôle interne (sauvegarde du

patrimoine et amélioration des performances) sont à atteindre indépendamment des méthodes,
procédés et moyens de l'entreprise.
Il s'agit de vérifier que le paramétrage des systèmes automatisés de gestion n'élimine

pas certains contrôles. Par exemple :
 La suppression d'une écriture passée,

 Le défaut d'impression possible ou de reconstitution d'information traitée en
informatique.
g. Le principe d’harmonie
On entend par principe d’harmonie, l’adéquation du contrôle interne aux

caractéristiques de l’entreprise et de son environnement. C’est un simple principe de bon sens
qui exige que le contrôle interne soit bien adapte au fonctionnement de l’entreprise.
En particulier, dans une petite entreprise, le contrôle interne connaît des limites
inhérentes à la dimension, notamment pour ce qui concerne la mise en œuvre généralisée du
principe de séparation des fonctions. Mais, il ne faut pas ignorer que cette lacune se trouve en
partie compensée dans la connaissance des hommes et des activités possédées par le chef
d’entreprise qui est un des éléments essentiels du contrôle interne.
3. Objectifs du contrôle interne
Le contrôle interne est une démarche qui vise la maitrise des activités de l’entreprise
Parvenir à cette finalité passe par l’atteinte des 5 objectifs suivants
a. Fiabilité de l'information financière
Cet objectif est souvent privilégié car il met l'accent sur l'organisation des fonctions
comptables et financières et sur la capacité de l'entreprise à enregistrer fidèlement ses
opérations et les restituer sous forme d'états de synthèse.
b. Sauvegarde du patrimoine
L’organisation doit se doter de procédures et mécanismes qui permettent de mettre

à l’abri d’aléas divers son patrimoine corporel et incorporel.

Pour les salariés, le contrôle interne leur procure un environnement professionnel
sécurisé par des procédures, des descriptions de poste... L'harmonie de tous ces éléments
permet d'exercer des responsabilités en parfaite connaissance de leur rôle et de leur
positionnement dans l'enchaînement des activités de l'entreprise.
c. Conformité aux lois et aux règlements
Il s’agit des lois et règlements auxquels la société est soumise. Les lois et les règlements en
vigueur fixent des normes de comportement que la société intègre à ses objectifs de
conformité. Compte tenu du grand nombre de domaines existants (droit des sociétés, droit
commercial, sécurité, environnement, social, etc.), il est nécessaire que la société dispose
d’une organisation lui permettant de : connaître les diverses règles qui lui sont applicables ;
être en mesure d’être informée en temps utile des modifications qui leur sont apportées (veille
juridique), transcrire ces règles dans ses procédures internes; informer et former les
collaborateurs sur celles des règles qui les concernent.
d. Optimisation des opérations
Le processus du contrôle interne permet d'identifier des insuffisances dans

l'organisation et dans l'exécution des différentes activités de l'entreprise. Ainsi, l'analyse du
processus met en évidence des tâches non effectuées, des activités effectuées par des
personnes ne disposant pas de la compétence ou des informations nécessaires à
l'accomplissement correct de ces tâches ces constatations peuvent ainsi conduire à réorganiser
certaines fonctions, et à automatiser certains contrôles.
e. L’application des instructions et des orientations fixées par la direction générale ou

le directoire
Les instructions et orientations de la Direction Générale ou du Directoire permettent

aux collaborateurs de comprendre ce qui est attendu d’eux et de connaître l’étendue de leur
liberté d’action. Ces instructions et orientations doivent être communiquées aux
collaborateurs concernés, en fonction des objectifs assignés à chacun d’entre eux, afin de
fournir des orientations sur la façon dont les activités devraient être menées. Ces instructions
et orientations doivent être établies en fonction des objectifs poursuivis par la société et des
risques encourus.

f. Maîtrise des activités
La majorité des objectifs du contrôle interne convergent vers la maîtrise des activités
de l'entreprise et le pilotage efficace de l'organisation. Ainsi, le contrôle interne institue dans
l'entreprise une culture d'autocontrôle à savoir la vérification par chaque collaborateur de la
qualité et de la conformité de son travail. De tout ce qui précède, le contrôle interne doit
permettre de sécuriser les flux financiers de l’entreprise, de fiabiliser l’information comptable
et de prévenir et détecter les risques au sein de l’organisation.
4. Limites du contrôle interne
Il faut garder à l’esprit que le contrôle interne, aussi bien conçu et appliqué qu’il soit,
ne peut au plus qu’une assurance raisonnable à la Direction quant à la réalisation des objectifs
de l’organisation.
La capacité à atteindre les objectifs fixés ne relève seulement de la volonté de

l’entreprise. En effet, il existe des limites inhérentes à tout système de Contrôle Interne. Ces
limites peuvent résulter de plusieurs facteurs, notamment des incertitudes du monde extérieur,
de l'exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison
d'une défaillance humaine ou d'une simple erreur.
D’un autre coté, lors de la mise en place du dispositif de contrôle, il faut prendre en
compte le rapport coût / bénéfice et éviter de développer des systèmes de contrôle interne
inutilement coûteux quitte à accepter un certain niveau de risque.
Les facteurs suivants peuvent a voir une influence sur l’efficacité du contrôle
interne:
a. L’erreur de jugement
Le risque d’erreur humaine lors de la prise de décisions ayant un impact sur les
processus de l’entreprise, peut limiter l’efficacité des contrôles. Les personnes responsables
sont souvent appelées à prendre des décisions dans un temps limité, en se basant sur les
informations disponibles, mais incomplètes et en faisant face à la pression liée à la conduite
des activités.

b. Les dysfonctionnements
Même les systèmes de contrôle interne bien conçus peuvent faire l’objet de
dysfonctionnements, par exemple lorsque les collaborateurs interprètent les instructions de
façon erronées, cèdent à la routine et ne sont plus attentifs aux erreurs.
c. Les contrôles « outrepassées » ou contournés par le management

Le contrôle interne ne peut pas être plus efficace que les personnes responsables de
son fonctionnement. En effet, un responsable peut être en mesure de contourner le contrôle
interne en dérogeant, par exemple, aux normes et procédures prescrites pour tirer un profit
personnel ou afin de dissimuler une partie de son activité à certaines obligations légales.
d. La collusion
Deux ou plusieurs ou plusieurs individus agissant collectivement pour accomplir et
dissimuler une action peuvent fausser les informations financières ou de gestion d’une
manière qui ne puisse être détectée par le contrôle interne.
Section 2 : Le Risk Management, vers une maitrise des risques
1. La notion de risque
Le petit Larousse (2009 : 89) estime que le risque est un danger, un inconvénient
plus ou moins probable auquel on est exposé. Dans le même ordre d’idée, Vicenti le reconnait
comme étant « la menace qu’un événement ou une action ait un impact défavorable sur la
capacité de l’organisation à réaliser ses objectifs avec succès »
Dans son lexique Les mots de l’audit, l’IFACI définit le risque comme étant « Un
ensemble d’aléas susceptibles d’avoir des conséquences négatives sur une entité et dont le
contrôle interne et l’audit ont notamment pour mission d’assurer autant que faire se peut la
maîtrise ».
Complétons cette définition par celle de Dominique VINCENTI3: « Le risque c’est

la menace qu’un événement ou une action ait un impact défavorable sur la capacité de
l’entreprise à réaliser ses objectifs avec succès. »
3
Dominique VINCENTI, « Dresser une cartographie des risques », in Revue Audit, n° 144.

On peut ajouter à cette définition le « risque opportunité » : on décide en
connaissance de cause de prendre un risque, mais on se donne les moyens de le maîtriser.
L’IIA (Institute of Internal Auditors) propose « Possibilité qu’il se produise un

événement susceptible d’avoir un impact sur la réalisation des objectifs. Le risque se mesure
en termes de conséquences et de probabilité ».
Toutes ces définitions mettent en évidence les composantes du risque :
 la gravité, ou conséquences de l’impact ;

 la probabilité qu’un ou plusieurs événements se produisent.
Ces composantes sont clairement mises en évidence par la définition ISO 4 du risque
comme étant « la possibilité d’occurrence d’un événement ayant un impact sur les objectifs. Il
se mesure en termes de conséquences et de probabilité. »
Et c’est pourquoi toutes les tentatives pour mesurer le risque se traduisent par le
produit de ces deux facteurs que l’on tente de chiffrer avec plus ou moins d’approximation.
Mais si le risk manager, dont c’est le métier, se livre à de savants calculs de mesure et de
probabilités, l’auditeur interne n’a pas à aller jusqu’à ce niveau de détail. Il le fait parfois
poussé par des directions générales qui perçoivent mal son rôle. Et c’est pourquoi il n’est pas
inutile de rappeler la fonction de chacun des acteurs :
 Le risk manager identifie les risques, en dessine la cartographie, les mesure et, à partir
de là, propose la politique qui sera appliquée dans le double domaine de la prévention
et de la protection ;
 Le manager opérationnel applique cette politique et met en place les moyens pour
maîtriser les risques inacceptables et limiter les risques acceptables (contrôle interne) ;
 L’auditeur interne apprécie la qualité de la cartographie et des moyens mis en place ; il
en détecte les lacunes et les insuffisances et formule des recommandations pour y
mettre fin. Mais il n’est pas concerné par l’élaboration et la mise en place d’une
gestion globale des risques.
Cela dit, là où il n’y a pas de risk manager, il n’est pas surprenant de voir se créer des
confusions, l’auditeur interne devant suppléer à l’absence de cartographie. Il fera au mieux
pour identifier les risques, mais ne pourra se sous- traire à ce travail car le principe demeure :
4
Norme 31000 relative au Risk Management

la démarche de l’audit interne est une approche par les risques. Les normes professionnelles
sont sur ce point sans ambiguïté, elles indiquent très clairement la route à suivre en donnant à
l’identification des risques une portée limitée mais non négligeable : pour l’auditeur interne la
mesure du risque est un outil de planning. Et c’est un outil de planning à deux niveaux :
 Au niveau de l’analyse globale où sont appréciés les risques de l’entité tout

entière. C’est la macro-évaluation qui va permettre la réalisation du plan d’audit,
c’est-à-dire la définition de la fréquence des missions en fonction de l’importance
des risques de chaque activité. Cette macro-évaluation se réalise à partir de la
cartographie des risques, s’il y en a une ; sinon l’auditeur devra développer des
méthodes de substitution.
 Au niveau de l’analyse des risques de chaque activité. C’est la micro-évaluation
que l’auditeur met en œuvre dans chaque mission d’audit pour établir le planning
de ses travaux. Mais on perçoit bien que le préalable idéal est l’existence d’une
cartographie sur laquelle l’auditeur interne pourra s’appuyer.
Les principales causes de risque sont étroitement liées. Ces causes sont le caractère
aléatoire des événements, le caractère imparfait ou incomplet de nos connaissances et un
contrôle insuffisant :
Le caractère aléatoire des événements inclut les différences naturelles

(pratiquement tous les objets et tous les événements sont uniques, la nature se répète rarement
de façon tout à fait identique) et le hasard. De plus, lorsqu’il existe des données historiques, la
fréquence des événements passés ne peut donner qu’une idée approximative de la probabilité
future pour l’ensemble de la population concernée.
Le caractère imparfait ou incomplet de nos connaissances vise notamment le

manque ou l’absence de données et d’informations fiables ou complètes, une connaissance
imparfaite des processus sous-jacents qui sont à l’origine des risques ou des dangers, et le
manque de précision des évaluations ou des observations et les petites erreurs qui en
découlent, qui peuvent affecter les valeurs prévues, et ce à une date qui n’est pas toujours
prévisible (« effet papillon »). En outre, les êtres humains sont conscients de leurs actes et
peuvent modifier leur comportement s’ils en décident ainsi, parfois par simple caprice ou par
dépit. De même que les contraintes que nous subissons en termes de ressources et de temps
limitent nos capacités à acquérir des informations et à améliorer la compréhension que nous
en avons. Enfin, nos capacités intellectuelles sont également limitées et nous ne pouvons gérer

qu’un nombre relativement restreint de facteurs ou de variables (même si nous nous efforçons
d’être rationnels, cette rationalité comporte toujours des limites).
L’absence de contrôle ou le contrôle limité que nous pouvons exercer sur les
événements est une source permanente de risques. Nous n’avons jamais la maîtrise entière des
événements. Il existe toujours des facteurs dont nous n’avons pas la maîtrise.
L’un des paradoxes liés au risque réside dans le fait qu’il est simple en théorie, mais
qu’il survient en pratique dans des conditions d’une complexité considérable. Le risque fait
l’objet de nombreux débats théoriques et deux conceptions s’affrontent : la conception
officielle « objective » ou statistique du risque, selon laquelle le risque peut être quantifié,
voire accepté en fonction de normes fixées et approuvées de façon rationnelle et une
conception du risque qui repose sur sa perception quotidienne, qui est multidimensionnelle,
qualitative et conditionnée par des facteurs sociaux.
2. Les familles de risques
Fondamentalement, il existe une extrême diversité des risques en entreprise, pouvant

remettre en cause sa pérennité au quotidien. Il s’avère nécessaire d’identifier, de comprendre
et de maîtriser tous les risques susceptibles, directement ou indirectement, de fragiliser
l’entreprise. La rupture de trésorerie ne constitue qu’une résultante technique de la
concrétisation effective de risques non maîtrisés à l’origine.
La cessation d’activité d’une organisation, quelle qu’elle soit, et quels qu’en soient
les motifs, ne résulte pas exclusivement d’une action ou d’une décision subjective défavorable
des partenaires bancaires et/ou financiers. Il y aura à l’origine, toujours, l’existence d’un - ou
d’une multitude de - risque(s) convergent(s), impactant et non maîtrisé(s). Chaque risque va
impacter l’entreprise à travers un coût économique et/ou financier, susceptible de déstabiliser
ses fondamentaux, d’obérer sa capacité de financement ou d’investissement, de remettre en
cause de facto son existence à court, moyen ou long terme, donc de fragiliser sa pérennité.
a. Types des risques liés à l’activité au sein de l’entreprise

Selon l’activité, les risques qui existent dans l’organisation sont de types stratégiques,
financiers et opérationnels. Ces risques peuvent avoir des origines internes comme externe à
l’organisation. La figure suivante résume les types de risque cités ci-dessus :

Figure 1 : Types de risques liés à l’activité 5
 Des risques stratégiques : Ils sont liés au déploiement d'une mauvaise stratégie,
à l'absence de veille concurrentielle. Fréquemment, les difficultés des entreprises
proviennent d'un manque d'anticipation de l'évolution de leur marché.
 Des risques opérationnels : Ils touchent au modèle économique de l'entreprise,
à son fonctionnement, à sa chaîne de valeur (la production, les ventes, les achats,
etc.). Aujourd'hui, la moindre altération d'une application au sein de votre chaîne
de production, d'approvisionnement ou de distribution peut interrompre
inopinément la continuité des affaires de l'entreprise.
 Des risques de réputation: Les risques incorporels de l'entreprise. Tout ce qui
concerne l'image, la marque, la propriété intellectuelle de l'entreprise... Ils sont
d'autant plus dangereux que, de nos jours, la confiance est essentielle à l'activité
de l'entreprise.
5
Source : mémoire « Elaboration d’une cartographie des risques opérationnels du cycle Ventes-Clients »,
Halima Keita Traore.

 Des risques financiers : Les plus dangereux sont souvent les plus méconnus.
Citons notamment les risques liés au reporting financier, comme la fiabilité des
informations produites par l'entreprise ou la qualité des arrêtés de compte. Ils
peuvent être :
 Risque de liquidité (risque de trésorerie) : il s’agit du risque de rupture de
trésorerie, engendrant potentiellement la cessation des paiements.
 Risque de crédit : il s’agit du risque de pertes ou de coûts financiers dus à la
défaillance d’un client et de son encours lié.
 Risque de marché : c’est le risque lié aux évolutions défavorables des taux
d’intérêt, des devises et des marchés financier sur lesquels la société opère.
b. Types de risque en audit

Ils sont :
 Risque Inhérent: lié à l'existence d'erreurs significatives dans les états

financiers (audités) d'une entreprise, ces erreurs étant dues à l'environnement
externe de l'entreprise (cela en supposant que les procédures de contrôle interne
ne soient pas opérationnelles).
 Risque de Non Contrôle: lié à l'existence d'erreurs significatives dans les états
financiers (audités) d'une entreprise, dues, ces erreurs, à l'environnement interne
de l'entreprise : cela dit ces erreurs seraient dues aux procédures de contrôle
interne inefficaces ou inexistantes.
 Risque de Non Détection: lié à l'existence d'erreurs significatives dans les états
financiers (audités) d'une entreprise, dues à l'incapacité de l'auditeur à les
détecter (cela en supposant que l'environnement externe et l'environnement
interne de l'entreprise aient fonctionné comme il le faut pour empêcher
l'insertion d'erreurs dans les états financiers).

3. Le management des risques, un processus a suivre
Partant de la définition suivante6 : « Le management des risques est un ensemble

d’activités coordonnées visant à diriger et piloter en fonction de l’appréciation des risques,
les différentes politiques possibles de maitrise de ces derniers. »
De cette définition nous pourrons affirmer qu’il s’agit d’un processus dont les étapes
peuvent être résumées comme suit :
Figure 2 : Processus de Management des risques7
6
Proposition de Mohamed-Habib MAZOUNI dans sa thèse « Pour une meilleure approche du management des
risques », pour obtention du doctorat de l’Institut National Polytechnique de Lorraine.
7
Mohamed-Habib MAZOUNI dans sa thèse « Pour une meilleure approche du management des risques », pour
obtention du doctorat de l’Institut National Polytechnique de Lorraine.

C’est ainsi qu’on sépare de processus de management des risques est scindé en 3
phases :
 L’analyse des risques

 L’évaluation de l’acceptabilité des risques
 Et la maitrise des risques
a. L’analyse des risques :

C’est l’utilisation systématique d'informations pour identifier les facteurs de risque
et pour estimer le risque. Elle consiste à :
 Identifier des facteurs de risque : processus permettant de trouver, recenser et

caractériser les phénomènes dangereux
 Estimer les risques : affecter des valeurs à la probabilité et aux conséquences d'un
risque.
b. Evaluation de l’acceptabilité des risques

L’évaluation des risques est une procédure de classification de l’acceptabilité de
ces risques en fonction des fréquences d’occurrence et des gravités. Elle permet une
comparaison du risque estimé avec des critères de risque donnés pour déterminer l'importance
du risque.
Risque = gravité * occurrence
c. Maitrise des risques

La maîtrise des risques (Risk control) est un processus conduisant à évaluer et
choisir l’une des différentes possibilités de réduction ou de transfert des risques ; C’est d’une
manière générale l’ensemble des actions de mise en œuvre des décisions de la gestion des
risques visant à les ramener sous le seuil d’acceptabilité. Elle peut être :
 Une réduction du risque : ensemble des actions entreprises en vue de diminuer la

gravité des conséquences (protection), les probabilités d’occurrence (prévention)
ou les deux en même temps. Ça pourrait concerner la réduction des temps
d’exposition et la multiplication des possibilités d’évitement des situations
dangereuses.
 Un transfert de risque : Hormis la réduction des risques, la maitrise des risques
contient les actions de transfert de risque vers un autre acteur, par exemple, en

faisant appel à un assureur qui, par effet de masse, est capable de supporter des
risques forts.
Après avoir pris connaissance avec le Risk Management comme étant une démarche
qui améliore la sécurité du fonctionnement de l’organisation, on passera dans la section qui
suit au contrôle interne, qui le complète comme étant un dispositif qui veille à cette sécurité
en permanence.
CHAPITRE II : Impact de la loi Sarbanes-Oxley sur le

contrôle interne.
Les nombreux scandales qui ont frappé les Etats-Unis en 2001 et au début de l’année
2002 (avec Enron, en tête, Adelphia, Xerox et WorldCom) ont entrainé une réaction brutale
du législateur américain et l’adoption de la loi dite « Sarbanes-Oxley » votée par le Congrès
des Etats-Unis et ratifiée par le président Bush le 30 Juillet 2002.
Cette loi SOX constitue la plus importante réforme aux Etats-Unis depuis la crise des
années 1930 et le Securities Act de 1934 qui régit encore largement le monde de la finance.
Elle est guidée par trois grands principes : l’exactitude de l’accessibilité de l’information, la
responsabilité des gestionnaires et de l’indépendance des organes vérificateurs. La loi a pour
objectif d’augmenter la responsabilité de la société et de mieux protéger les investisseurs,
ainsi que redonner confiance aux investisseurs et aux petits épargnants. Cette loi comporte un
volet qui nous préoccupe directement dans cet article : l’obligation pour les dirigeants des
sociétés américaines d’évaluer l’efficacité et la qualité de leur système de contrôle interne.
Ainsi, après avoir présenté brièvement les origines et principaux éléments de la SOX,
nous développerons les dispositions de cette loi en rapport avec le contrôle interne.
Section1 : Origines et contenu de la SOX

L’économie américaine connait un rythme de croissance soutenu durant les années
90 graçe à l’émergence de la nouvelle économie, la mondialisation et la bonne tenue des
marchés financiers. Les entreprises, fortes de valorisation boursière élevée, et entreprenant
des stratégies à long terme couteuses. Le nombre des fusions et des acquisitions atteint au
cours de ces années des niveaux record.
Cependant, les déséquilibres économiques apparaissent : les sociétés du secteur

technologique ayant acheté à prix d’or leurs concurrents se retrouvent finalement dans un

marché moins lucratif que prévu. Les valeurs technologiques s’effondrent en 2001 mais les
grandes entreprises industrielles annoncent une croissance des profits pour rassurer les
investisseurs. Elles utilisent pour cela toutes les possibilités offertes par la comptabilité
créative, quitte à manipuler les comptes et à tromper les actionnaires. Ces manœuvres
frauduleuses éclatent au grand jour avec une série de scandales aux Etats-Unis : Enron,
WorldCom, Tyco … Le continent européen n’est pas epargné par de tel agissements, la chute
de Parmalat interviendra deux années après cele d’Enron.
1. Le cas Enron : Titanic Financier du 21ème siècle
Etant le méga scandale qui a déclenché l’alarme quant aux maquillages comptables
des grandes firmes internationales, Enron est un cas à contempler. Il était à l’origine des
réflexions autour de la loi Sarbanes-Oxley. Nous développerons ci-après les détails de cet
effondrement historique.
a. Le contexte
La société Enron est née en 1985 de la fusion entre Houston Natural Gas et
Internorth sous l’influence de Kenneth Lay qui prendra ensuite la direction de l’entreprise.
Très vite cette société a diversifié ses activités pour que l’activité initiale d’opérateur de
gazoduc devienne marginale. En effet, dès 1989, poussé par les lois fédérales sur la
déréglementation, Kenneth Lay décide de transformer le producteur et transporteur de gaz
Enron en une société de négoce en énergie.
Jusque en 1990, date d’entré de Andrew Fastow, Enron connaissait une croissance
régulière et équilibré supporté par des investissements modérés.
Le premier investissement de grande ampleur, la construction d’une centrale en Inde

en 1993, déjà était controversé. L’activité de trading en électricité s’est généralisée pour
devenir l’activité principale en 1994. C’est en 1997 qu’Enron se lance dans un cycle sans fin
d’investissements massifs. On retiendra par exemple l’achat de Portland General Electric pour
32 milliards de $(07/97), la constitution d’Azurix pour gérer les nombreux investissement de
la compagnie à l’étranger (07/98). C’est aussi à partir de cette date là qu’Enron s’implante sur
le marché des produits dérivés, notamment grâce au concept de « dérivé météorologiques »
(censés protéger les entreprises des risques dus aux aléas climatiques. La société s’est
impliquée toujours davantage dans le négoce. Du papier aux fibres optiques, sans oublier les
câbles, la bande passante, le bois… de nombreux domaines sont couvert, souvent sans rapport

avec l’énergie qui constitue pourtant l’activité d’origine. Supportée par la croissance de la fin
du 20ème siècle du à l’essor des nouvelles technologies, Enron à connu une évolution
positive.
La société semble se porter pour le mieux : élevée au rang «d’investment grade »

Enron a vu son chiffre d’affaire dépasser les 100 milliards de dollars en 2000 et le cours de
ces actions dépasser les 90$. Tous les chiffres de la société pour l’année 2000 sont ceux d’une
société de haut rang.
Chiffres d’affaires 180 milliards de $

Actif 47,3 milliards de $
Production d’électricité E.U 7050 Mw
Production d’électricité R-U 2800 Mw
Réseau de gazoducs 49 000 Km
Réseau de fibre optique 25 000 Km
Effectifs 21 000 dans 40 pays,
Tableau1 : Fiche signalétique de la société Enron
Enron a d’ailleurs été classée comme la 7ème société aux Etats-Unis.
b. Le début de la crise, révélation du scandale.

Août 2000 : Premier avertissement : La crise californienne concerne Enron. Aussi
des problèmes avec la filiale holding Azurix apparaissent et le cours de l'action de la holding
(garanti par la maison mère) s'en ressent passant de 19 à 5 $. Usant de sa force de persuasion,
Kenneth K. Lay redonne confiance aux analystes du marché et aux média. Kenneth Lay est
élu manager de l'année aux Etats-Unis.
En janvier 2001, les dirigeants d’Enron savent que les pertes enregistrées par la
société s'élèvent à 600 millions de dollars. Wall Street s'inquiète passagèrement ; l'action
baisse à 50 $. Pour rassurer les milieux financiers, Kenneth Lay confie la direction de
l'entreprise à son adjoint Jeffrey K.Skilling. Ces derniers vendent en masse leurs actions. J.K.
Skilling empoche par exemple 17,5 millions de dollars, Kenneth Lay 34 millions. Les salariés
ne peuvent réaliser leurs stockoptions bloquées qui se dévaluent tout comme la valeur de leur
fonds de pension, constitués sur recommandation de la direction d'Enron, à plus de 60%
d'actions de l'entreprise.

Malgré ces ventes massives de la part des dirigeants, les invitations au personnel à
investir dans la société persistent jusqu’en octobre 2001; date à laquelle les pertes sont pour la
première fois officiellement annoncées. La force de persuasion de Kenneth Lay est désormais
impuissante à rassurer l’opinion. Le mois suivant, la SEC lance une enquête. Une série
d’événements prépare ensuite la fin d’Enron. : Dynergie retire sa proposition de rachat de
l’entreprise, l’action Enron, qui constituait une valeur sure est abaissée au rang de junk bond
et perd en quelque semaine toute valeur pour tomber sous le seuil de 1$. Enron se place alors
sous le régime de protection du droit des faillites américain.
2. Eléments de la loi SOX
Aux termes du texte de loi, la SEC était ainsi tenue d'adopter et de publier les règles
finales d'application de la loi SOX, pour la majorité d'entre elles, au plus tard le 30 janvier
2003.
Cinq grands chantiers ont été ouverts par la loi SOX
a. Réglementation et surveillance de la profession de commissaire aux comptes

La loi SOX a mis fin à la tradition d'autorégulation qui prévalait dans la
profession américaine de commissaire aux comptes en créant un nouvel organisme de
réglementation et de surveillance, le Public Company Accounting Oversight Board («
PCAOB »), qui a pour rôle de contrôler l'audit des sociétés cotées aux Etats-Unis, sous le
contrôle de la SEC.
Les pouvoirs conférés au PCAOB par le Titre I de la Loi sont étendus et

comprennent :
 l'enregistrement de l'ensemble des firmes d'audit préparant ou émettant des

rapports d'audit sur des sociétés cotées aux Etats-Unis,
 l'établissement de standards en matière d'audit, de contrôle qualité, d'éthique
ou d'indépendance,
 l'inspection des firmes d'audit enregistrées,
 la conduite d'enquêtes et l'adoption de procédures disciplinaires et de
sanctions à l'encontre des firmes d'audit enregistrées.
En plus de la loi SOX, d’autres règles d’application ont été adoptés par la SEC et par
le PCAOB lui-même pour permettre un fonctionnement limpide de cet organisme.

b. Accroissement de l'indépendance des commissaires aux comptes
Conformément à la Section 208(a) de la loi SOX, la SEC a adopté la règle
finale d'application intitulée Strengthening the Commission's Requirements Regarding
Auditor Independence en date du 28 janvier 2003 qui précise notamment les points suivants :
 Interdiction pour les firmes d'audit de fournir à leurs clients à la fois des
services d’audit et des services autres que des services d'audit (Section 206 de la
Loi)
 Approbation préalable par le comité d'audit de la société émettrice de
l'ensemble des services ainsi que du contenu de la mission confiée à cette firme
(section 201 de la loi)
 Rotation de certains associés de firmes d'audit tous les 5 ans (Section 203 de la Loi)
 Interdiction pour une firme d'audit d’auditer les comptes d’une société
émettrice dans le cas où certains dirigeants de la société émettrice ont été
employés de la firme d'audit dans l'année précédant l'audit en qualité de lead
partner, de concurring partner ou de membre de l'équipe d’audit (Section 206 de
la Loi)
 Amélioration de l'information communiquée au marché par les sociétés cotées
c. Amélioration des pratiques de corporate gouvernance (responsabilisation du CEO et

CFO)
Au sens de la loi SOX, il s’agit de responsabiliser davantage le CEO et le
CFO de l’information financière publiée, de reconfigurer et consolider le rôle du comité
d’audit et d’assurer l’indépendance des administrateurs.
 certification des rapports annuels et trimestriels par les dirigeants et mise en

place de procédures et de contrôles de l'information :
Aux termes de la Section 302(a), le CEO et le CFO d'une société cotée sont
chacun tenus de certifier, eu égard aux informations contenues dans chacun des
rapports annuels et trimestriels émis par la société :
 qu'ils ont revu le rapport,

 que ce rapport ne contient, à leur connaissance, aucune erreur ou
omission, substantielle,

 que les états financiers et l'information financière qu'il contient présentent
fidèlement la situation financière, les résultats et la trésorerie de la société.
En matière de contrôle interne ces mêmes dirigeants doivent attester qu’ils :
 sont responsables de la mise en place et du maintien du contrôle interne,

 ont conçu ce contrôle de telle sorte que toute information significative
concernant
 l’entreprise et les sociétés consolidées est connue par les dirigeants,
notamment pendant la préparation des rapports périodique,
 ont évalué dans les 90 jours précédant la certification, l’effectivité de ces
procédures et contrôles et ont fait part des résultats de cette évaluation
dans le rapport.
Les dirigeants signataires doivent également :
 signaler aux auditeurs et au comité d’audit les déficiences significatives

dans le contrôle interne et les fraudes liées au contrôle interne,
 mentionner dans le rapport sur le contrôle interne s’il y’a eu des
changements significatifs dans le contrôle interne après la date d’évaluation.
La section 302 (a) de la loi SOX s’applique à toutes les sociétés côtés y
compris les sociétés étrangères cotées aux Etats-Unis et ce conformément à la règle finale
d’application de la SEC en date du 29 août 2002 intitulée « Certification of Disclosure
in Companies Quaterly and Annual Reports ».
 Le comité d'audit
D'après la loi SOX, le comité d'audit est :
 composé exclusivement d'administrateurs indépendants,

 chargé directement du recrutement, de la rémunération et du contrôle des
firmes d'audit,
 capable d'engager des conseils indépendants et de fixer leur rémunération,
 chargé de mettre en place des procédures pour la collecte et le traitement
des
 réclamations adressées à la société par des tiers et relatives à la
comptabilité, les contrôles comptables internes et les audits.

Pour les rapports qu’entretiennent les commissaires aux comptes avec le comité
d’audit, il s’agit pour le commissaire aux comptes de :
 reporter directement au comité d'audit,

 informer le comité d’audit des politiques et pratiques utilisées et de tous
les traitements comptables alternatifs discutés avec la direction et des
implications de ces traitements alternatifs,
 informer le comité d’audit du traitement finalement adopté par les auditeurs
ainsi que du contenu de toute correspondance importante échangée entre la
direction et les auditeurs.
Par ailleurs, la section 407 de la loi SOX impose qu’au moins un membre
du comité d’audit soit un expert financier.
d. L’amélioration de l’information financière

Il s’agit essentiellement pour les sociétés cotées de :
 Rehausser l’information comptable :
En réponse aux manipulations de comptes pratiquées par Enron, WorldCom et autres

dans le but de gonfler leurs résultats, notamment par le biais des opérations hors-bilan,
la Section 401(a) de la Loi a prescrit la communication de leurs opérations hors bilan par les
sociétés cotées.
En application de la Section 401(a), la SEC a adopté la règle finale d'application

et ce dans un souci de transparence des opérations ne figurant pas au bilan. Ainsi, les
sociétés cotées sont tenues de produire, dans une section spéciale une description détaillée de
tout engagement hors-bilan ayant, ou susceptible d'avoir, dans l'immédiat ou dans le futur,
un effet significatif sur la société aux yeux des investisseurs. Cette information devra
être incluse dans tous les documents enregistrés, les rapports annuels et trimestriels et les
communiqués concernant les états financiers des exercices fiscaux clos au 15 juin 2003
ou à une date ultérieure.
De plus, les sociétés cotées sont tenues d'inclure dans leurs rapports annuels un
tableau récapitulatif de leurs engagements contractuels reprenant l’ensemble des montants
des paiements dus par la société au titre des contrats auxquels elle est partie.

Cette information devra être comprise dans les documents enregistrés, les rapports
annuels et trimestriels et les communiqués concernant les états financiers des exercices
fiscaux clos au 15 décembre 2003.
 Evaluer le contrôle interne à l’égard de l’information financière :
Aux termes de la Section 404 de la Loi SOX, le rapport annuel des sociétés
cotées doit contenir un rapport sur le contrôle interne qui :
 confirme que la direction est responsable de la mise en place et de la gestion

d’une
 structure de contrôle interne adéquate et des procédures pour la
communication financière,
 contienne une évaluation de l’efficacité de la structure de contrôle interne
et des procédures de communication financières, à la date de clôture des
comptes.
 Ce point sera développé dans la section qui suit.
 Conservation des documents produits et utilisés dans le cadre de la conduite

d’audits et de revues financières
Afin d'empêcher la destruction ou la fabrication d'éléments de preuve et de

préserver les archives en matière d'information financière et d'audit, la Section 802 de la Loi
impose aux commissaires aux comptes qui auditent ou revoient les comptes d'une
société cotée de conserver certains documents d'archive relatifs à cet audit ou à cette revue.
Aux termes de la règle finale d'application, la période de conservation des

documents d'archives relatifs aux audits et aux revues (initialement fixée à 5 ans dans la
proposition de la SEC) est augmentée et désormais fixée à 7 ans et court à compter de la
clôture de l'audit ou de la revue des états financiers par le commissaire aux comptes.
Les documents d'archives désignent les documents de travail et certains autres

documents contenant des conclusions, opinions, analyses et données financières relatifs à
l'audit ou à la revue.
e. Renforcement de l’exécution des règles boursières et des sanctions.

 Dispositions pénales

La loi SOX a renforcé considérablement les sanctions pénales. Ainsi, la
certification des états financiers par le CEO et le CFO non conformes à la réglementation est
passible d’une amende de 1 millions de dollars ou d’un emprisonnement de 10 ans au
plus. En outre, commettre intentionnellement la même infraction fait passer l’amende à
5 millions de dollars et l’emprisonnement jusqu’à 20 ans
Aussi, la falsification de document dans l’intention de faire obstruction à la

justice fait l’objet d’une amende à laquelle peuvent venir s’ajouter des peines de
prison pouvant atteindre 20 an. Le défaut de conservation par un auditeur des
documents d’audit pendant au moins 7 ans est également sanctionné par la Loi.
 Responsabilité civile
La Section 303 de la Loi SOX a donné compétence exclusive à la SEC pour
poursuivre civilement quiconque influencerait un auditeur de manière contestable aux fins de
rendre les comptes certifiés significativement trompeurs.
Aussi, selon la Section 304 de la Loi, dans le cas où une société cotée est obligée de
revoir ses comptes suite à un non-respect des règles de reporting financier, le CEO et
le CFO devront rembourser tout bonus et tout bénéfice sur la vente des actions de la
société reçu ou réalisé dans les 12 mois suivant l'établissement ou le dépôt des comptes
faisant l'objet du réajustement.
Section2 : Apports de la SOX au contrôle interne des

organisations :
La SEC a restreint le contrôle interne au contrôle interne à l’égard de
l’information financière, considérant qu’il s’agit de la notion qui correspond le mieux à
l’objectif initial de la loi et ce à travers sa règle d’application publiée.
Le contrôle interne à l’égard de l’information financière ne constitue qu’une

partie du contrôle interne au sens large du terme. Il peut être défini comme étant 8 :
« Le processus conçu par le chef de la direction(CEO) et le chef des finances (CFO)
de l’entité ou par des personnes exerçant des fonctions analogues, ou sous leur supervision,
et mis en oeuvre par le conseil d’administration, la direction et d’autres employés de l’entité,
pour fournir une assurance raisonnable que l’information financière est fiable et que les
8
Définition de la SEC dans sa règle d’application intitulée : « Management’s Reports on Internal Control Over
Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports », en date du 5 juin 2003

états financiers ont été établis, aux fins de la publication de l’information financière,
conformément aux principes comptables généralement reconnus. Ce terme s’entend des
politiques et procédures qui :
 concernent la tenue de comptes suffisamment détaillés qui donnent une image
fidèle des opérations et des cessions d’actifs de l’entité;
 fournissent une assurance raisonnable que les opérations sont enregistrées comme il
se doit pour établir les états financiers conformément aux principes comptables
généralement reconnus et que les encaissements et décaissements de l’entité ne
sont faits qu’avec l’autorisation de la direction et du conseil d’administration;
 fournissent une assurance raisonnable que toute acquisition, utilisation ou cession
non autorisée des actifs de l’entité qui pourrait avoir une incidence importante sur les
états financiers est soit interdite, soit détectée à temps. »
La loi SOX est venue avec des dispositions importantes en matière de contrôle
interne à travers la section 302 et plus particulièrement la section 404 de la loi. En effet, la
section 302 traite globalement de la certification par le management (CEO et CFO) de sa
responsabilité sur le contrôle interne. La section 404 est beaucoup plus exigeante
puisqu’elle oblige chaque entreprise cotée à une évaluation annuelle de l’efficacité de
la structure de contrôle interne et des procédures de communication financière, à la date
de clôture des comptes.
1. La section 302 de la SOX : Implication des dirigeants dans le contrôle interne
Figure 3 : Texte de la section 302 de la loi Sarbanes-Oxley

La section 302 précise que le directeur général CEO et le directeur financier CFO
doivent rédiger une déclaration, accompagnant le rapport des auditeurs, qui certifie la validité
des états financiers et les engagements hors-bilan contenus dans le rapport annuel ou
périodique. Cet article a des conséquences en matière de contrôle interne puisque les
dirigeants attestent qu’ils :
 Sont responsables de la mis en place du contrôle interne

 Ont conçu ce contrôle de telle sorte que toute information significative concernant
l’entreprise et les sociétés consolidées est connue par les dirigeants, notamment
pendant la période de préparation des rapports périodiques.
 Ont évalué l’efficacité du contrôle interne de l’entreprise oins de 90j de la publication
des rapports.
 Ont présenté dans leur rapport leurs conclusions concernant l’efficacité du contrôle
interne.
En outre, les dirigeants doivent signaler aux auditeurs et aux comités d’audit les
déficiences dans le contrôle interne et les fraudes liées au contrôle interne. Enfin, ils doivent
mentionner dans leur rapport s’il y eu des changements significatifs dans le contrôle interne
après la date d’évaluation.
2. La section 404 de la SOX : Evaluation du contrôle interne :
Figure 4 : Texte de la section 404 de la loi Sarbanes-Oxley

« L’article 404 de La Loi exige donc que chaque rapport annuel contienne un rapport
sur le contrôle interne qui :
 Confirme que la direction est responsable de la mise en place et de la gestion d’une

structure de contrôle interne adéquate et de procédures pour la communication
financière.
 Contienne une évaluation de l’efficacité de la structure de contrôle interne et des

procédures de communication financières, à la date de clôture des comptes.
Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur
l’évaluation du contrôle interne réalisée par la direction de l’entreprise. »
La loi oblige les entreprises à évaluer, sous la responsabilité de la direction,

l’efficacité de la conception et la mise en place des procédures de contrôle. Cette évaluation a
pour objectif d’identifier les points faibles de chaque procédure ainsi que toute faiblesse qui
puisse mettre en cause la capacité de l’entreprise à collecte, analyser et révéler l’information
exigée dans un délai de temps défini. Tout changement dans les procédures de contrôle, y
compris les actions correctives qui ont été prises suite à l’identification de faiblesses ou
déficiences, doit également être évalué. Avant la publication du rapport annuel, les résultats
de cette évaluation doivent être communiqués et réexaminés par la direction et par le conseil
d’administration de l’entreprise.
La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation.

Chaque entreprise doit plutôt développer les procédures qui s’adaptent le mieux à sa gestion
et au déroulement de ses activités. Néanmoins, la SEC propose la création d’un comité
dépendant de la Direction qui serait responsable de l’évaluation du caractère significatif des
informations obtenues (materiality of information) et de la détermination de l’opportunité de
leur publication (determining disclosure obligations on a timely basis).
Enfin, les exigences de la loi Sarbanes-Oxley sur la validation du contrôle interne

augmenteront sensiblement le coût de l’audit pour les groupes cotés : les auditeurs voudront
avoir la certitude que le processus de contrôle choisi par le management est rigoureux, ce qui
comportera un renforcement des vérifications. Les contrôles financiers devront être dûment
documentés et communiqué à toutes les personnes concernées, et leur efficacité testée.
Inévitablement, ces lourdes procédures risquent de focaliser l’attention du management sur la
forme des contrôles, et de faire passer eu deuxième plan le contenu.

PARTIE 2 : CADRE METHODOLOGIQUE ET
REFERENTIELS ADOPTES
L
ors de notre mission, consistant à mettre en place un dispositif de
contrôle interne bien fondé, nous avons été contraints de suivre un
cadre scientifique preuve de professionnalisme. Ainsi, et pour rester
dans un cadre académique aussi, il nous est paru indispensable
d’adopter un référentiel reconnu pour crédibiliser notre travail.
En effet, nous avons trouvé que le COSO est le seul référentiel existant
actuellement en matière de contrôle interne, et que l’ISO31000 est la norme
internationale la plus adoptée en matière de management des risques.
Ainsi, nous allons développer dans cette partie les fondements du COSO et
la principale ligne directrice de l’ISO31000, pour ensuite expliciter la démarche
ERM que nous avons suivi durant notre mission.
CHAPITRE I : COSO, référentiel universel de contrôle interne
Section1 : Introduction au COSO

Le COSO est le seul référentiel existant actuellement en matière de contrôle interne.
Il est issu des travaux initiés en 1985 aux Etats-Unis d’Amérique par la « Treadway
Commission » qui était chargée de préparer une étude approfondie sur le contrôle interne
visant à définir les nouveaux concepts et l’approche de référence. Le document final de ces
travaux (Internal Control-Integrated Framwork) est apparu en 1992, communément appelé
«COSO Report », COSO signifiant : Committee of Sponsoring Organizations of the
Treadway Commission. Ce rapport est devenu le référentiel de nombreuses grandes
entreprises.
COSO définit le contrôle interne comme un processus influencé par le conseil
d’administration, la direction et les collaborateurs, conçu pour offrir une sécurité appropriée
en vue d’atteindre les trois objectifs clés suivants:
 Efficacité et rentabilité des activités;
 Fiabilisation des informations financières ;
 Conformité aux lois et aux réglementations en vigueur.
Ces trois objectifs clés représentent l’une des trois dimensions du cube COSO,
comme le montre la figure ci-dessous. Ils peuvent être atteints par les deux autres
dimensions : les composantes (au nombre de 5), d’une part, et l’entreprise et ses divisions,
d’autre part.
Le lien qui existe entre les trois objectifs (opérationnels, information financière,
conformité) que cherche à atteindre l’entreprise, les cinq composantes du contrôle interne et
les activités de l’entreprise est représenté par le cube de Coso :
Le contrôle
interne
s’applique à
l’entreprise
dans son
ensemble ou à
l‘une
Le pilotage est nécessaire quelconque de
pour atteindre les trois ses unités ou
objectifs et ce pour activités.
l’ensemble des activités de
l’entreprise
Figure 5 : Le Cube COSO

le contrôle interne (les cinq composantes) est applicable à l’ensemble des
activités de l’entreprise et est nécessaire à la réalisation des trois objectifs de l’entreprise
(opérationnels, information financière, conformité).
Section2 : Les composants du contrôle interne selon COSO :
1. L’environnement de contrôle
L’environnement de contrôle donne le ton d’une organisation et détermine le

niveau de sensibilisation du personnel au besoin de contrôles.
La qualité de l’environnement de contrôle est fonction de l’intégrité, de

l’éthique et de la compétence du personnel, de la direction de l’entreprise et de la délégation
de pouvoir:
 Intégrité et éthique : l’existence ou non de codes de conduite et de descriptifs

formalisés des tâches et des responsabilités ; le degré d’implication de la direction
de l’entreprise dans la gestion et le contrôle…
 Compétence : l’existence ou non d’analyses de compétences nécessaires pour mener
à bien les tâches confiées ; degré de compréhension de ce que l’entreprise attend
des salariés (l’objet de leurs responsabilités et leur comportement) …
 Conseil d’administration et comité d’audit : le conseil d’administration a pour
rôle de surveiller et piloter les activités de la société, guider les dirigeants et apporter
des conseils. Le comité d’audit a les pouvoirs nécessaires pour interroger la
direction sur ses responsabilités en matière d’informations financières.
 Philosophie et style de management des dirigeants : ont une incidence sur la
conduite des affaires de l’entreprise et sur le niveau de risque accepté
 Délégation de pouvoir : concerne les délégations de pouvoirs et de
responsabilités au sein des activités opérationnelles, les liens hiérarchiques
permettant la remontée des informations et les règles en matière d’approbation.
2. L’évaluation des risques
 Identification des risques
Avant de procéder à l’évaluation des risques, il est nécessaire de définir des
objectifs compatibles et cohérents.

Les objectifs peuvent être regroupés en trois grandes catégories :
 objectifs liés aux opérations : performance, rentabilité, protection des

ressources, etc
 objectifs liés aux informations financières : publication d’informations fiables ;
 objectifs de conformité : respect des lois et règlements.
L’identification et l’analyse des risques constituent un processus continu et

répétitif. Ce processus est un élément clé d’un système de contrôle interne efficace. Le
management doit, à tous les niveaux, identifier minutieusement les risques et prendre les
mesures adéquates afin de les limiter.
 Analyse des risques
Il est nécessaire de procéder à une analyse des risques une fois que ceux-ci ont été
identifiés à la fois au niveau de l’entreprise et de chaque activité. Il existe différentes façons
de procéder à cette analyse dans la mesure où bien des risques sont difficiles à
quantifier. Néanmoins, le processus, plus ou moins formel, se décompose généralement de la
façon suivante :
 Evaluation de l’importance du risque ;

 Evaluation de la probabilité (ou fréquence) de survenance du risque ;
 Prise en compte de la façon dont le risque doit être géré,
L’évaluation des risques reste difficile ; on peut les décrire selon leur importance
comme étant « forts », « moyen » ou « faibles ».
3. Activités de contrôle
 Typologie des activités de contrôle
Il s’agit de l’ensemble des procédures de contrôle qui contribuent à s’assurer

que les instructions de la direction sont bien appliquées.
Ces procédures de contrôle concernent tous les domaines de l’entreprise et tous les
niveaux de personnel. Elles prennent la forme d’approbation, d’autorisation, de
vérification, de rapprochement, d’analyses des performances par les responsables
fonctionnels ou opérationnels, de contrôles physiques, de séparations de tâches, etc.

Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de contrôles
orientés vers la prévention ou vers la détection, de contrôles manuels ou informatiques,
ou encore de contrôles hiérarchiques.
 Intégration des activités de contrôle à l’évaluation des risques
Parallèlement à l’évaluation des risques, le management doit déterminer et mettre en

œuvre le plan d’action destiné à les maîtriser. Une fois déterminées, ces actions devront
également servir à définir les opérations de contrôle qui seront mises en œuvre pour
garantir leur exécution correcte et en temps voulu.
 Contrôle des systèmes d’information
Les opérations de contrôle relatives aux systèmes d’information peuvent être

réparties en deux groupes :
 les contrôles globaux, qui s’appliquent à la quasi-totalité des opérations et

contribuent à assurer leur fonctionnement correct. Il s’agit des contrôles sur les
logiciels d’exploitation, les contrôles d’accès et les contrôles sur le
développement et maintenance des applications ;
 les contrôles applicatifs, qui comprennent des procédures programmées à
l’intérieur même des logiciels d’application, ainsi que des procédures manuelles
associées assurant le contrôle du traitement des différentes transactions.
L’ensemble de ces contrôles, permet de garantir l’exhaustivité, l’exactitude et la
validité des informations, financières ou autres, stockées dans le système.
4. Information et communication
Toutes les entreprises doivent recueillir les informations pertinentes (financières
ou non) relatives aux événements et activités, externes comme interne, identifiés par la
direction comme étant utiles à la conduite des affaires. Ces informations doivent
ensuite être communiquées dans une certaine forme et dans des délais adéquats aux
personnes qui ont en besoin ; elles leur permettront d’assumer leurs responsabilités et,
notamment, d’effectuer les contrôles qui leur incombent.
 Information
Le processus qui permet l’identification, la collecte, le traitement et la
diffusion de l’information est communément appelé « systèmes d’information ». Les
systèmes d’information peuvent être informatisés, manuels ou la combinaison des deux.

Les systèmes d’informations informatisés devraient être conçus de telles manières à
ce que la qualité des informations qu’ils véhiculent répond positivement aux contraintes de :
contenu, délai, actualisation, exactitude et accessibilité.
Les systèmes d’information de façon générale ne sont pas figés, mais doivent
évoluer en fonction d’une part de l’entreprise, et d’autre part de son environnement.
 Communication
La communication est différente selon qu’elle soit interne ou externe.
 La communication interne correspond notamment aux notes internes, aux

procédures et modes opératoires qui aident à la compréhension de l’étendue
des responsabilités, ainsi qu’aux règles d’éthique et de comportement au sein de
l’entreprise.
 La communication externe correspond notamment aux informations
nécessaires au développement de l’entreprise, aux réclamations des clients, à
l’opinion des auditeurs externes sur les comptes, etc
La communication prend diverses formes, telles que des manuels de procédures, des
notes internes, des revues internes, des tableaux d’affichage, les messages transmis
oralement (réunion d’équipe, entretien individuel). Aussi, les mesures prises par le
management à l’égard des employés constituent également un puissant moyen de
communication interne.
5. Pilotage
Le pilotage est le processus d’évaluation du contrôle interne à travers le temps. Cet

aspect temps est très important du fait des changements internes et externes qui peuvent avoir
lieu.
Les opérations de pilotage peuvent être pratiquées soit au travers des activités
courantes, soit par le biais d’évaluations ponctuelles.
 Opérations courantes de pilotage
Les opérations courantes de pilotage sont intégrées dans l’entreprise à la chaîne des
activités d’exploitation. Elles comprennent les activités courantes de gestion et de

supervision, les analyses comparatives, les rapprochements d’informations et autres tâches
courantes.
 Evaluations ponctuelles
Les évaluations ponctuelles peuvent être effectuées par l’audit interne, ou par les
responsables des divisions ou des fonctions particulières (auto-évaluation) ou bien encore par
des auditeurs externes.
La fréquence des évaluations ponctuelles dépend de l’importance des risques

couverts par les contrôles internes, de l’évolution de l’entreprise (changement de
stratégie, etc.) ou de son environnement.
Section3 : Positionnement du COSO2 par rapport au COSO1
Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise

(Enterprise Risk Management Framework). La gestion des risques de l’entreprise est un
processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une
organisation, exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à :
 identifier les événements potentiels pouvant affecter l’organisation,
 maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence
au risque)» de l’organisation,
 fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.
Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième

point et le complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision
orientée risques de l’entreprise.
La notion de « Risk Appetite » est nouvelle dans le COSO 2. Le « Risk Appetite »

est le niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur.
Différentes stratégies exposeront l’organisation à différents risques. En conséquence,

le « Risk Appetite » doit être pris en compte dans la définition de la stratégie de l’organisation
afin de s’assurer que les résultats de cette stratégie sont cohérents avec le « Risk Appetite »
défini pour l’organisation.

L’ERM initiée par le COSO2 nous a inspiré donc dans le cadre de notre démarche
risque management, du même que l’existence de ISO 31000 qui offre les lignes directrices
suffisantes pour ce faire.
CHAPITRE II : La démarche ERM selon la norme ISO 31000
Section1 : présentation de l’ISO 310001
1. Présentation
ISO 31000 regroupe une famille de normes de gestion des risques codifiés par
l’organisme International Organization for Standardization. Le but de la norme ISO
31000:2009 est de fournir des principes et des lignes directrices du management des risques
ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Elle ne vise
pas à promouvoir l'uniformisation du management du risque au sein des organismes, mais
plutôt à harmoniser la myriade d’approches, de standards et de méthodologies existantes en
matière de management des risques.
Actuellement, la famille ISO 31000 comprend :
 ISO 31000:2009 – Management du risque — Principes et lignes directrices
 ISO/IEC 31010:2009 - Gestion des risques - Techniques d'évaluation des risques
 ISO Guide 73:2009 - Management du risque — Vocabulaire
ISO 31000 propose une approche générique du Management des risques mais ne
préconise pas de moyens opérationnels de mise en œuvre. Cette norme suggère de bonnes
questions pour aborder le sujet complexe de la gestion des risques et non de bonnes pratiques
pour y répondre. Les moyens de mise en œuvre du Management des risques sont développés
dans les documents métiers sectoriels qui ne sont donc pas rendus obsolètes par cette norme.
Ils y trouvent au contraire un vocabulaire et un cadre global pour les situer.
L’ISO 31000 ne concerne pas exclusivement les grands groupes industriels ou

financiers ou les grandes administrations publiques, mais tout type d’organisme, de tous
secteurs et de toutes tailles (entreprise, gouvernement, ONG, individu, etc.). Ses principes
stipulent d’ailleurs que sa mise en œuvre doit être adaptée aux caractéristiques de l’organisme

(taille, type de risque traité, etc.). Elle n’a donc pas pour but d’uniformiser les pratiques, mais
d’harmoniser les démarches en termes de principes et de processus.
2. Principes du risk management selon la norme ISO 31000
 Le management des risques crée de la valeur et la préserve . Le management des

risques contribue de façon tangible à l'atteinte des objectifs et à l'amélioration des
performances de l’organisation, à travers la révision de son système de management et de
ses processus.
 Le management des risques est intégré aux processus d’organisation. Le
management des risques doit être intégrée dans le système de management existant tant
au niveau stratégique qu’au niveau opérationnel
 Le management des risques est intégré aux processus de prise de décision . Le
management des risques est une aide à la décision pour faire des choix argumentés, pour
définir des priorités et pour sélectionner les actions les plus appropriée
 Le management des risques traite explicitement de l'incertitude . En identifiant les
risques potentiels, l’organisation peut mettre en place des outils de réduction et de
financement des risques dans le but de maximaliser les chances de succès et minimiser
les possibilités de pertes.
 Le management des risques est systématique, structuré et utilisé en temps utile .
Les processus du management des risques devraient être cohérents à travers
l’organisation afin d’assurer l’efficacité, la pertinence, la cohérence et la fiabilité des
résultats.
 Le management des risques s'appuie sur la meilleure information disponible .
Pour un management des risques efficace, il est important de considérer et de comprendre
toutes les informations disponibles et pertinentes pour une activité, tout en reconnaissant
les limites des données et des modèles utilisés
 Le management des risques est adapté . Le management des risques d’une
organisation doit être adapté en fonction des ressources disponibles – ressources de
personnel, de finance et de temps – ainsi qu’en fonction de son environnement interne et
externe
 Le management des risques intègre les facteurs humains et culturels . Le
management des risques doit reconnaitre la contribution des personnes et des facteurs
culturels à la réalisation des objectifs de l'organisation.

 Le management des risques est transparent et participatif . En impliquant les
parties prenantes, internes et externes, lors des processus de management des risques,
l’organisation reconnait l’importance de la communication et de la consultation lors des
étapes d’identification, d’évaluation et de traitement des risques.
 Le management des risques est dynamique, itératif et réactif au changement . Le
management des risques doit être flexible. L’environnement concurrentiel oblige
l’organisation à s’adapter au contexte interne et externe, spécialement lorsque de
nouveaux risques apparaissent, lorsque certains risques sont modifiés, tandis que d'autres
disparaissent.
 Le management des risques facilite l'amélioration continue de l'organisation Les
organisations possédant une maturité en matière de management des risques sont celles
qui investissent à long terme et qui démontrent la réalisation régulière de ses objectifs.
Section2 : La démarche ERM selon ISO 31000

Le processus de gestion des risques (nommée Etreprise Risk Management) doit être
adapté au business process de l’organisation, il doit integré dans sa culture et ses pratiques. I
comprend les activités décrites dans la figure suivante :
Figure 6 : Processus Risk Management –ISO31000-

1. Etablissement du contexte
L’établissement du contexte comprend la prise en compte des éléments suivant :
 Paramètres externes : environnement culturel, politique, légal, financier, économique

 Paramètres internes : capacités de l’organisation en termes de ressources et
connaissances, parties prenantes, stratégies et objectifs, politiques et procédures,
référentiels adoptés, structure organisationnelles …
 Risk management existant : responsabilités, méthodes déjà utilisées, évaluation des
risques …
 Critères de risques : types de conséquences à inclure, comment déterminer les niveau
et probabilités relatifs aux risques, acceptabilité des risques …
Outil employés : Etude documentaire, matrice SWOT, brainstorming, entretiens.
2. Identification du risque
C’est le processus qui permet d’identifier, reconnaitre et d’enregistrer toute source de

risque, champs d’impact, événement ayant un effet négatif sur l’atteinte des objectifs tracés
par l’organisation.
L’identification des risques inclut tous les risques qu’ils soient sous contrôle ou non,
elle doit être documentée et formalisée.
Outils à employé : Flow Charte, entretien, observation participante, inspection,

check-list (voir Annexe 1)
3. Analyse des risques
Cette étape consiste à comprendre le risque, à déterminer les conséquences et leurs

probabilités pour les risques identifiés, tenant en considération l’existence ou non de contrôles
appropriés. Le couple conséquence/probabilité détermine le niveau de risque.
Lors de cette étape aussi, la question est posée quant aux contrôles déjà mis en place
pour remédier aux risques, leur existence et sur leur efficacité.
L’analyse des risques peut être qualitative, semi-quantitative ou quantitative. Nous

avons opté pour la deuxième méthode, vu l’insuffisance de la première et de l’indisponibilité
d’information de la troisième.

L’analyse semi-quantitative des risques utilise une notation à échelle numérique
(allant de 1 jusqu’à 5) pour la gravité et la probabilité (occurrence). Le produit de ces deux
notations nous donnera le niveau du risque en question.
Outils employés : diagramme Ishakawa, diagramme causes à effets, cartographie de risques.
Figure 7 : Modèle de cartographie de risques –préparée par nos soins -
4. Evaluation des risques
C’est l’étape de prise de décision, et ce quant au traitement du risque ou non et quant

aux priorités de traitement.
Les risques seront évalués comme suit :

Niveau de risque Décision Priorité
0–3 Risque majeur Impact majeur sur l’activité et sur la
situation financière.
Situation difficile à contrôler.
4–7 Risque important Perturbation de l’activité de la société et
impact élevé sur la situation financière de
l’entreprise.
8 – 14 Risque moyen Perturbation mineure de l’activité du
processus et impact moyen sur la
situation financière.
Situation rapidement contrôlée
15 et plus Risque faible Risque qui n’affecte pas le performance
de l’entreprise avec un impact faible sur
la situation financière.
Tableau 2 : Classification des risques –réalisé par nous même-
5. Traitement des risques
C’est la sélection et l’implémentation des mesures de contrôle appropriées pour

modifier le risque. Le traitement du risque comporte son contrôle, son transfert ou son
évitement.
Par ce fait on cherchera à éliminer ou au moins à réduire le risque afin d’améliorer le

contrôle interne.
Il faudrait veiller, dans une logique de coût-avantage, à ce le coût d’implémentation

du contrôle relatif à un risque ne soit pas supérieur à la perte courue par ce même risque.

PARTIE 3 : Risk Management et renforcement du
contrôle interne chez TUI PLC Travel – Holidays Services.
D
ans cette deuxième partie, qui est plus empirique par rapport à la
première, il s’agit de modéliser la démarche ERM suivi et de mettre
en œuvre un dispositif de contrôle interne visant la minimisation des
risques détectés.
Pour ce faire, nous avons procédé à la modélisation du

fonctionnement de la société dans une approche par cycles, à l’élaboration
d’une cartographie des risques, qui sert comme outil pour l’analyse et
l’évaluation des risques identifiés, et par la suite nous avons proposé un
dispositif de contrôle interne suivant le COSO.
L’approche par cycles appliquée à la société nous a permis de modéliser les cycles
suivants :
Cycles Processus
Trésorerie - Encaissement/décaissement front office
- La remise en banque
- Achat par petite caisse
- Dépenses par carte Corporate
- Remboursement des notes de frais
- Virement de masse
Ventes - Ouverture des lignes de crédits
- Credit management
- Ventes Front Office
- Facturation
- Modification/annulation des réservations
- Cadrage CA encaissé – CA comptabilisé
Achats - Les prépaiements
- Le contracting
- Contrôle des achats
RH - Elaboration des contrats de travail
- La paie
- Avances aux employés
Reporting financier - Clôture mensuelle des comptes
- Report du résultat et génération de l’EBITDA
- Mapping IFRS sur HFM
Immobilisations - Acquisition des immobilisations
- Amortissement des immobilisations
- Réévaluation des immobilisations (IAS 36)
Health & Safety - Sélection et formation des chauffeurs
- Maintenance et entretien des véhicules
- Heures de conduite
Tableau 3 : Approche par cycles des processus de HOS
Dans ce qui suit, nous procéderons à la démarche ERM pour Risk Management.

CHAPITRE 1 : Etablissement du contexte de TUI PLC
Travel – Holidays Services
1. Secteur d’activité
a. Présentation du secteur :
Le secteur du tourisme représente un des piliers de l’économie marocaine, il apporte
des devises et participe à l’équilibre de la balance des paiements, crée des emplois, améliore
les revenus et génère des effets multiplicateurs sur le reste des secteurs de l’économie. Il
contribue à hauteur de 7,5% du PIB national et 14,8% des recettes de la balance des
paiements en 2010. Par ailleurs, la participation du secteur touristique aux recettes en devises
a atteint près de 56,1 milliards de dirhams en 2010, soit 440,6 milliards de dirhams sur la
période 2001-20109.
b. Les métiers du tourisme au Maroc 10:

A travers une politique rigoureuse d'incitation à l'investissement dans le secteur, la
diversification d'une offre parfaitement adaptée aux attentes des visiteurs et l'adaptation
continue de la législation aux exigences du secteur, le Maroc ambitionne de faire valoir ses
potentialités et ses richesses en vue d'atteindre les objectifs qu'il s'est assigné à l'horizon de
2020.
L'atteinte de ces objectifs ambitieux passe, entre autres, par une professionnalisation
continue des métiers du tourisme à savoir :
 L'hôtellerie (et ses différentes formes d'hébergement);
 La restauration (selon ses différentes spécialités) ;
 Les agences de voyages (pour l'organisation de voyages) ;
 Le transport touristique (pour les déplacements) ;
 Les guides de tourisme (accompagnement et animation des touristes).
9
Ministre de l’économie et des finances, Direction des Études et des Prévisions Financières, DEPS/SAT, bilan
de la vision 2010 publié en Avril 2011 sous le titre de « Secteur du tourisme : Bilan d’étape et analyse
prospective »
10
Extrait du site officiel du ministère de tourisme marocain : http://www.tourisme.gov.ma/francais/3-Metiers-
tourisme/1-Presentation/Presentation.htm

Cette professionnalisation est plus que jamais impérieuse du fait de la rude
concurrence à laquelle se livrent tous les pays à vocation touristique pour mieux se
positionner sur l'échiquier touristique international.
De même, et à l'heure de la mondialisation et de la globalisation des économies, les

destinations qui consolideront leur position sur le marché touristique mondial ou chercheront
à gagner d'autres parts de ce marché, seront celles qui feront de la qualité des prestations
offertes aux visiteurs, leur credo.
Le Maroc, pays à haut potentiel touristique est conscient de ces enjeux, et le

Département du Tourisme veille et veillera à ce que les professionnels du secteur intègrent la
démarche « Qualité » dans les différents processus de commercialisation de notre produit
touristique national.
c. Stratégie du secteur : La vision 2020 11:

La Vision 2020, présentée le 30 novembre 2010 devant Sa Majesté le Roi
Mohammed VI, est avant tout, une stratégie de régionalisation touristique, de qualité et du
développement durable.
Conçue pour mettre en valeur chacune des régions du Maroc, cette Vision vient
pérenniser les réalisations de la Vision 2010 et donner une impulsion nouvelle au secteur du
tourisme. Elle se fixe comme objectif de doubler la taille du secteur touristique, hissant ainsi
le Royaume parmi les 20 premières destinations touristiques mondiales.
En effet, les solides fondations posées par la Vision 2010 et les opportunités offertes
par les nouvelles tendances du tourisme mondial, nous permettent de nourrir de grandes
ambitions pour la nouvelle décennie, fondées sur nos valeurs fondamentales et nos points de
différentiation :
 L'authenticité
 La diversité : des territoires et des paysages, des richesses naturelles et des

écosystèmes, des cultures et des influences
 La qualité :
 La durabilité :
11
Extrait du site officiel du ministère de tourisme marocain : http://www.tourisme.gov.ma/francais/2-
Vision2020-Avenir/1-en-bref/enbref.htm

Grâce à un modèle touristique unique, le Maroc fera émerger progressivement, tout
au long de la décennie, six nouvelles destinations touristiques pour relayer la croissance des
deux pôles internationaux déjà établis à Marrakech et Agadir.
Objectifs pour 2020: doubler la taille du secteur
La Vision 2020 se fixe comme objectifs de :
 Doubler les capacités d'hébergement, avec la construction de 200.000 nouveaux lits

pour offrir à nos visiteurs une expérience touristique riche et dense.
 Doubler en conséquence les arrivées de touristes, en doublant les parts de marché sur
les principaux marchés européens traditionnels et en attirant 1 million de touristes
issus des marchés émergents.
 Tripler également le nombre de voyages domestiques, avec l'objectif de démocratiser

le tourisme dans notre pays.
Axes de développement
La concrétisation de cette ambition et de ces objectifs implique que le tourisme devra

s'inscrire dans un cadre repensé et renouvelé. Celui-ci sera fondé sur trois axes majeurs :
 Une politique d'aménagement territorial de l'offre touristique, garante de la diffusion

des bénéfices du tourisme et du développement socio-économique de toutes nos
régions.
 Une nouvelle structure de gouvernance, à même d'apporter la dynamique et le
leadership nécessaires.
 Une démarche intégrée de développement durable, respectueuse de notre
environnement et de notre authenticité socioculturelle.
2. Entreprise d’accueil
Doté d’une assise financière en pleine évolution, d’un capital de savoir-faire

diversifié et de produits modernes, Holidays Services SA, filiale du géant du tourisme
international PLC Travel, a réussi à se hisser en leader des opérateurs touristiques.

Tout au long de ces dernières années, Holidays Services n’a cessé de réfléchir et de
repenser ses métiers pour tracer les orientations à long terme afin de garder sa position de
leader national incontesté.
a. Quelques dates clefs (12)

 1968 : Fondation à Agadir de l'agence Holidays Services par Guy Marrache, bientôt
rejoint par Mr Ahmed Bennabes Taarji.
 1972 : Création à Agadir de la filiale SMDTT, compagnie de transport, disposant

aujourd'hui d'un parc récent de 130 véhicules.
 1990 : TUI entre dans le capital de Holidays Services à hauteur de 50%.
 1999 : Lancement de la marque Eden Voyages, pour l'activité Outgoing, avec plus de 50
destinations à travers le monde.
 2002 : Développement de la plate forme Voyages d'Affaires en partenariat avec des

leaders mondiaux.
 2002 : Création d'une filiale « New Eden » agent général de vente de compagnie
aérienne.
 2003 : « New Eden » devient GSA de la compagnie aérienne Corsair.
 2009 : TUI est propriétaire de 100% du capital de HOLIDAYS SERVICES.
b. Fiche Signalétique :
Forme juridique Société anonyme
Capital social 510.000dhs
Objet social Agence de voyage.
Siège social Avenue Hassan, Agadir.
Directeur Général Adam Peter Manshovn
Effectif Patente : 48311430
12
Site officiel de Holidays Services

CNSS 1896614
Identification Fiscale 06900049
Tableau 4 : Fiche signalétique de Holidays Service
c. Métiers de Holidays Services

Bénéficiant de la force d'un réseau intégré d'entreprises partenaires, Holidays
Services est en mesure d'intervenir dans tous les domaines de l'industrie touristique : Mice
(Business groupes), voyages d'affaire, voyages organisés, réceptif, out-going, hôtellerie, golf,
thalassothérapie, Transporteur Touristique, Tour Operator, GSA de compagnie aérienne…
Ces activités complémentaires permettent à Holidays Services d'offrir des gammes

élargies de produits touristiques à forte valeur ajoutée, visant à satisfaire chaque type de
clientèle.
d. Partenaires de Holidays Services

Sa maîtrise du terrain a fait d'Holidays Services le partenaire privilégié des plus
grands tour-operateurs mondiaux, dont le leader européen TUI (Touristik Union
International). Des alliances qui ouvrent de nouvelles opportunités à Holidays Services et
améliorent sa compétitivité sur ses différents marchés aussi bien au niveau de l'activité
réceptive que de l'activité en pleine croissance de l'outgoing, sous la marque « Eden Voyage
». En outre, Holidays Services a des partenariats de grande envergure avec la majorité des
compagnies du groupe TUI.
3. Matrice SWOT de HOLIDAYS SERVICES
Avant de commencer tout travail, il nous est paru opportun de soumettre la société
l’accueil, Holidays Services, à une analyse SWOT (Figure ci-dessous) mettant en évidence
les couples Forces/Faiblesses et Opportunité/Menaces.
Cette analyse nous permettra, tant que risque manager, de détecter les premières
zones de risques et d’orienter notre mission de risk management.
Pour ce faire, nous avons mené à une étude documentaire exploitant les rapports du
ministère de tourisme, le manuel de procédures de la Hoidays Services, les différentes notes
de service émises par la direction, les rapports d’activités de ladite société … Nous avons

aussi réalisé un entretien avec le responsable Contrôle Interne qui nous a éclairci a ce propos,
sur les faiblesses du fonctionnement.
FORCES: FAIBLESSES :
• Leader sur son marché • Système d'information peu
• Des gammes de produits très performant (Sage 100) ne permettant
diversifiées pas d’analyses d’information
• Capacités financières importantes avancées
• Savoir-faire et maitrise du métier de • Système de contrôle interne faible,
voyagiste défaillance au niveau de
• Grande taille et grande compétitivité l’implémentation de procédures.
• Obsolescence des connaissances
• Absence de comptabilité analytique.
OPPORTUNITES: MENACES:
• Marché international et large • Forte concurrence des pays de la
• Progression en 2013, malgré la crise, méditerranée, à leur tête l’Espagne et
des arrivées de 3%, les nuitées de la Turquie.15
14% et les recettes de 5,9 %13 • La crise économique en Europe
• Subventions et facilités et législation • Absence d’une diversité des produits,
favorable au secteur touristique centrés autour du tourisme culturel et
• PLC Travel, numéro 1 mondial des balnéaire uniquement.
voyages, qui détient la majorité des • La concurrence informelle interne
actions Holidays Services.14
13
http://www.lavieeco.com/news/economie/tourisme-les-arrivees-ont-progresse-de-3-et-les-nuitees-de-14-en-
janvier-24845.html
14
http://www.tuitravelplc.com/

• Evolution du tourisme national
Tableau 5 : Matrice SWOT pour Holiday Services –réalisé par nous même-
4. Cartographie des flux de la société HOLIDAYS SERVICES
Les premières semaines de la mission étaient une observation minutieuse du

fonctionnement afin de détecter les premiers traits des risques opérationnels dont l’analyse
sera la suivante. Ces semaines ont été couronnées par l’élaboration d’une cartographie de flux
(figure ci-dessous) mettant en relief les différent flux entre départements, à savoir le
département Commercial, Achats, Production, Comptabilité-Finance et Contrôle.
Figure 8 : Cartographie des flux Holidays Services –réalisé par nos soins -
15
http://www.lavieeco.com/news/economie/tourisme-les-arrivees-ont-progresse-de-3-et-les-nuitees-de-14-en-
janvier-24845.html

CHAPITRE 2 : Appréciation des risques chez TUI PLC Travel –
Holidays Services
Cette étape regroupe l’identification, l’analyse et l’évaluation des risques.
1. Identification des risques
Lors de cette phase nous allons dresser un tableau qui synthétise les risques détectés.
Afin d’identifier les risques opérationnels, lié aux défaillances des procédures, du
personnel et des systèmes internes, nous avons essayé de s’impliquer dans chaque processus
appart, a travers de l’observation participante. Une narration et un Flowchart sont dressés par
la suite afin d’analyser le processus. Les constats sont finalement attribués aux risques
correspondants.
a. Exemple illustratif :
Ci-après, une illustration de l’analyse du processus « Contrôle des achats » :
 Narration de la procédure :
Après réception des factures et vouchers y afférents, le bureau d’ordre saisi les saisit
sur « HS Factures » et le soulève au service contrôle des achats.
Le responsable contrôle procède au contrôle comme suit :
 Dans un premier temps, les vouchers (Voir Annexe 3) saisi sur Exceed avant la
prestation sont revus et ajustés aux vouchers réels reçus en nombre de pax et PU.
 Ensuite, le montant des vouchers est comparé à celui sur la facture, avant de passer à
la validation.
 La validation d’un voucher consiste à y insérer la date de facture et la date de contrôle
(cette dernière est la date à partir de laquelle est calculée l’échéance de paiement).
(Voir Annexe 2)
 Toute validation est matérialisée par un numéro de contrôle.
 Après validation de tous les vouchers composant la facture, un journal des achats
contenant ces derniers est joint à la facture.
 Les factures validées par le responsable contrôle des achats sur Exceed sont intégrées
par le chef comptable sur Sage pour permettre au comptable fournisseur d’être
informé sur les factures à régler.

 Flow-charte :
Figure 9 : Flow-charte de la procédure Contrôle des achats –réalisé par nos soins-
 Risques identifiés :
Constats Risques
A l’entrée des vouchers, à part la signature du Risque d’écart entre réservation et prestation
guide, il n’existe aucune preuve quant à la réelle
pertinence du nombre de pax indiqué. De plus,
les vouchers rendus par les guides ne sont ni
revus, ni rapprochés à ceux de l’hôtel.
Le comptable-fournisseur n’a pas accès aux Risque de double paiement des factures.
factures-fournisseur, et ne porte aucune
mention sur les factures payées.
Le comptable-fournisseurs exécute les Risque de paiement de fournisseurs avant

règlements sur la base du journal d’achats même intégration comptable sur Sage,
édité par le service contrôle achats ou via
impliquant un débit des comptes Fournisseurs
consultation de Sage.
temporairement sans contrepartie sur les
comptes Achats.
La gestion des contrats et faite sur des fichiers Risque d’erreur élevé, et risque de

.docx ou .xlsx modifications indésirables.
Cas fréquentés : Absence de vouchers, Risque de retard en paiement fournisseurs, et

numéros de référence invalides, numéros de réclamations multiples.
vouchers invalides, … Ce qui oblige le
contrôleur achats de faire recours à chaque
fois au responsable réservation pour remédier
à de telles situations.
Tableau 6 : constats du diagnostic Contrôle Achats –préparée par nos soins-
C’est ainsi que nous procédé afin de ressortir les risques liés à tous les cycles de
Holidays Services.
b. Récapitulatif des risques identifiés :

NB :
Pour des raisons de confidentialité, la liste des risques ci-dessous n’est pas
exhaustive, elle comporte uniquement les risques autorisés par la direction de Holidays
Services être mis sur notre rapport.
Numéro
Cycle risque Description
risque
Encaissement ou décaissement ne
Flux d’espèces
1 correspondant pas aux pièces
incorrects
justificatives
vol d'espèces que ce soit aux locaux de
2 Vol la société ou lors des transferts pour
remise en banque
Dépenses payées par espèce et dont le

Règlement par caisse montant est supérieur à 1000Dh non
3
non autorisé autorisée par le CFO, ou dépenses non
Trésorerie autorisées à être payées par caisse.
La saisie manuelle du fichier .txt relatif

virement de masse aux virements de masse peut comporter
4
erroné de faux RIB, soit par erreur ou par
fraude.
Le RIB saisi par le comptable-

5 Virement non autorisé fournisseurs et dont l'autorisation n'est
pas matérialisée par CFE/CFO

Utilisation de la carte, dédiée aux
Abus d’utilisation de la dépenses des directeurs en déplacements
6
carte corporate internationaux, pour des dépenses
inappropriées.
Les mises à disposition pour dépenses

Mise à disposition non
7 des croisières son ventilée sans pièces
sécurisée
justificatives.
Rapprochement bancaire non édité

Balance du compte temps, par conséquent un retard ou
8
banque erronée omission dans l'enregistrement des frais
et agio bancaires
Ligne de crédit ouverte pour un client

9 Client défaillant
devenu insolvable.
10 CA non encaissé Réservation effectuée sans garantie
Modification/annulation Modification/annulation des réservations

11
tardives en retard impliquant des dépenses
Ventes
Prix vente inférieur au Prix de vente mal estimé à cause d'une

12
coût de la réservation absence de comptabilité analytique
Intégration comptable des données

Enregistrement non
13 Gestour vers Sage incomplète ou
exhaustif du CA
insuffisante
Paiement de réservation Réservation pour un nombre de pax
14 ne correspondant pas à supérieur à celui des pax consommés
prestation réelle réellement
Valorisation des achats Les achats correspondant à une facture

15
Achats inexacte non valorisées précisément
double paiement des Facture payées deux fois au profit du

16
factures même fournisseur
Prépaiement désavantageux pour la
17 Prépaiements mal suivis
société
Chauffeurs recrutés sans expérience
Chauffeurs recruté non
18 suffisante ou manquant de
qualifié
professionnalisme
Health & Véhicule qui tombe en panne en plein
19 Panne de véhicule
Safety transfert
Chauffeurs épuisé ou Chauffeur ne pouvant pas poursuivre ses
20 incapable de remplir ses tâches à cause de fatigue, maladie,
tâches drogue…

Contrat de travail non Contrat de travail signé ne remplissant
21
conforme à la législation pas toute les conditions légales
Responsable RH exécutant des

Virement de salaires
22 virements de salaires sans contrôle et
incorrect ou non autorisé
validation du CEO/CFO
RH
Divulgation des données
23 Accès non limité aux données de la paie
de la paie
Avances sur salaires dépassant les 1/3 du

Avances sur salaire non salaire, et exécutée avant le 15 de
24
maitrisées chaque mois, ce qui se confronte avec la
politique du groupe
Communication des tarifs par service

25 Tarif mal communiqués Achats se fait sur des fichiers .xls
modifiables.
Les vouchers ne sont pas validés par un
Emission de voucher
26 senior, ce sont les agents qui les
non autorisé
génèrent et signent
Production Certaines prestations sont effectuées par

27 Prestation sans Voucher le fournisseur sans remise du voucher
par les clients
Les contrats ne sont pas mis à jour, et la

Tarif non correspondant
28 facturation ne prend pas en considération
à la saison encours
la tarification saisonnière
Tableau 7 : Liste des risques identifiés – réalisée par nos soins-
Les risques étant identifiés, nous allons procéder à une analyse de leurs causes,
conséquences, probabilité d’occurrence et de leur gravité.
2. Analyse et évaluation des risques

Lors de cette étape, nous avons réunis les deux phases d’analyse et d’évaluation dans un
même tableau. D’une part, une analyse causes à effets pour les différents risques détectés
nous à permis de mettre en évidence les causes d’apparition de tels risques ainsi que les
conséquences et pertes engagées par Holidays Services courant ces risques. D’autres parts,
l’établissement de la cartographie de risques nous a permis de séparer les risques selon leur
niveau général de gravité évalué en multipliant le niveau de gravité par celui d’occurrence.
c. Analyse des risques identifiés :

Numéro Probabilité Niveau
risque Causes conséquences gravité
risque d'occurrence de risque
- Contrôle insuffisant
1 Flux d’espèces incorrects - Omission ou erreur Perte financière 3 2 6
- Fraude
2 Vol Perte financière 3 2 6
- Transferts non sécurisé
3 Règlement par caisse non autorisé Perte financière 2 2 4
- Omission ou erreur
4 virement de masse erroné - Omission ou erreur Perte financière 4 4 16
- Fraude
5 Virement non autorisé -Contrôle insuffisant Perte financière 4 4 16
6 Abus d’utilisation de la carte corporate Perte financière 3 2 6
- Suivi non formalisé
- Manque de justificatifs
Fonds dédiés aux croisières sont non
7 - Activité des croisières Perte financière 3 3 9
sécurisée
peu formelle
- Rapprochements Information
8 Balance du compte banque erronnée bancaires peu formalisés et financière 4 2 8
non édité à temps inexacte
- Gestion du risque
9 Client défaillant Perte financière 4 5 20
d'insolvabilité peu efficace
-Réservation sans prise de
10 CA non encaissé garantie Perte financière 4 1 4
Information
- Suivi non formalisé des
11 Modification/annullation tardives financière 3 1 3
réservations
inexacte

- Valorisation des achats et
Prix vente inférieur au coût de la ventes moins pertinente
12 Perte financière 4 2 8
réservation - Pas de comtabilité
analytique
- Contrôle insuffisant Information
13 Enregistrement non exhaustif du CA - Integration comptable financière 4 2 8
erronnée inexacte
- Pas de contrôle des
vouchers retournés par le
Paiement de réservation ne
14 guide Perte financière 4 2 8
correspondant pas à prestation réelle
- Erreur ou omission
- Fraude
- Factures achats ne
Information
correspondant pas
15 Valorisation des achats inexacte financière 3 2 6
spécifiquement à une seule
inexacte
facture Vente
- Factures payées non
16 double paiement des factures mentionnées Perte financière 3 2 6
- Suivi non formalisé
17 Prépaiements mal suivis - Contrôle insuffisant Perte financière 4 2 8
-Fraude
- Pas de test de conduite
Non-conformité à
18 Chauffeurs recruté non qualifié - Pas de vérification 3 1 3
la législation
formelle
- Maintenance et entretien
19 Panne de véhicule Perte financière 4 1 4
insuffisants
- Longues heures de travail
Chauffeurs épuisé ou incapable de - Consommation de
remplir ses tâches drogues et/ou alcool par le
chauffeur

Contrat de travail non conforme à la - Mal formalisation du Non-conformité à
21 3 1 3
législation processus Recrutement la législation
- Erreur ou omission
Virement de salaires incorrect ou non
22 - Fraude Perte financière 5 1 5
autorisé
- Manque de séparation d
tâches
- Accès non limité aux
23 Divulgation des donnée de la paie données de la paie Perte financière 3 1 3
Avances sur salaire et prêts non - Non conforme à la
maitrisées politique du groupe
-Support de Information
25 Tarif mal communiqués communication modifiable financière 4 2 8
- Contrôle insuffisant inexacte
- Contrôle insufisant
26 Emission de voucher non autorisé - Manque de séparation Perte financière 4 2 8
des tâches
-Omission
27 Prestation sans Voucher Perte financière 4 2 8
- Contrôle insuffisant Information
Tarif non correspondant à la saison
28 - Pas de mise à jour de financière 4 1 4
encours
données inexacte
Tableau 8 : analyse et évaluation des risques

Après avoir analysé les risques identifiés en termes de cause/conséquences, une
évaluation en termes de gravité/probabilité d’occurrence nous a permise de les classer en 4
catégories : risques majeurs, importants, moyen et faible. Le tableau ci- après synthétise le
classement de nos risques selon niveau de risque général.
Niveau de risque Risques

Risque faible R11, R18, R21, R23
Risque moyen R3, R10, R19, R20, R24, R28, R22, R1, R2, R6, R15, R16
Risque important R8, R12, R13, R14, R17, R25, R26, R27, R7
Risque majeur R4, R5, R9
Tableau 9 : Classification des risques –réalisée par nos soins-
a. Cartographie des risques de TUI PLC Travel – Holidays Services :
En se prenant les risques évalués ci-dessus, nous avons pu élaborer notre

cartographie de risques de Holidays Services. Cette cartographie qui trace les différents
risques opérationnels auxquels la société est exposée, et dont l’audit interne et le contrôle
interne se servira comme référence lors de leurs missions.
Figure 10 : Cartographie des risques opérationnels de TUI PLC

Travel - Holidays Services

Commentaire :
3 risques nécessitent une intervention urgence de la part de Holidays Services, R4, R5 et R9.
On constate que les risques détectés chez Holidays Services sont peu probables généralement,
sauf pour les R4, R5 et R9 que nous avons qualifiés de fréquents, vu leur occurrence effective
durant la période de notre mission.
De plus, les risques sont en majorité entre moyens et importants, cela ne nécessitera donc
aucune intervention urgente de HOS, elle pourra intervenir aisément afin de remédier aux
risques pour lesquelles elle est exposée, et ce via de simples contrôles peu couteux.
CHAPITRE 3 : Traitement des risques et mise en place d’un

dispositif COSO du contrôle interne
Le dispositif de contrôle interne que nous avons mis en place est un ensemble de
politiques, procédures et activités qui ont pour objectif de maitriser les risques en vue
d’atteindre les objectifs de performance souhaités. Il s’agit de contrôles pour prévenir un
risque de survenir ou de détecter qu’un risque s’est produit et prendre les mesures correctives
nécessaires.
Les contrôles ne peuvent jamais réduire le risque à zéro, ils le gèrent vers un niveau
acceptable.
Il reste à noter que les contrôles mis en place on été implémentés dans une logique
coût/avantage en prenant en considération aussi la « Risk Appetite » qu’a adoptée Holidays
Services.
Types de contrôle utilisés :
 Détectifs : mettant en évidence un risque ayant survenu

 Préventifs : stoppe un risque de se produire
 Automatiques : lié à une technologie
 Manuels : mené par des personnes
Exemple : Un contrôle préventif sur les stocks peut être de sécuriser le magasin et de
limiter son accès. Un contrôle détectif serait de procéder un inventaire périodique de ce stock.
Catégories de contrôles mis en place :

 Sécurité physique et accès au système : ce sont les contrôles qui limitent l’accès aux
locaux de la société et aux différents bureaux, ainsi que ceux qui limitent l’accès au
système financier et aux bases de données.
 Rapprochements : qui assurent la validité et l’exactitude de l’information financière,
s’assurent qu’aucune modification non autorisée n’ait été introduite, et détectent les
omissions et fraudes. Ils sont effectués par la confrontation de la même information en
provenance de différentes sources.
 Autorisations : ces contrôles permettent des tâches à être entreprises ou approuvées
par un supérieur hiérarchique ou fonctionnel.
 Séparation de tâches : ces séparations sont nécessaires afin d’éviter le cumul de
fonctions chez une même personne (initiation, enregistrement, autorisation et
contrôle). Elles doivent être clairement définies, affectées et formalisées.
Le tableau ci-après résume l’ensemble des contrôles que nous avons mis en place
pour minimiser les risques déjà identifiés, analysés et évalués :

Fréquence
Type de Activité de
Numéro Risque Contrôle Description du contrôle du
contrôle contrôle
contrôle
Les représentants doivent se présenter
chaque semaine au contrôleur (billetterie et - Séparation de
contrôle des croisières), ce dernier saisit les tâches
Préventif Régulier
encaissements front office encaissements sur Exceed et édite un état -
transmis au caissier qui devra recevoir les Rapprochement
fonds et établir un accusé de réception.
1 Flux d’espèces incorrects
La remise des fonds en banque doit être
effectuée par une personne n'ayant pas
Contrôle des remises en accès ni aux écritures comptables ni aux - Séparation des
préventif journalier
banques encaissements. Il devra accuser les fonds tâches
après réception de la part du caissier et
après dépôt chez la banque.
Le risque de vol d'espèce à horizon de

2 Vol Assurance sur coffre 200,000 MAD aux locaux de la société est Transfert - -
transféré à la société d'assurance
Un fond de caisse de 10,000 MAD est dédié

aux achats urgents, de faible valeur ou pour
lesquels la vois classique n'est pas optimal.
Les achats en question sont: timbres
Règlement par caisse non Contrôle des achats par fiscaux, frais déplacement, frais croisières et
3 Préventif -Autorisation Régulier
autorisé petite caisse excursions, eau, électricité, téléphone...
Dont une facture libellée est impérativement
nécessaire pour accomplir le règlement.
Tout achat supérieur à 500 MAD doit être
validé par le CFO
Rapport de stage de fin d’études 2012/2013

70
Les virements de masse sont à effectuer sur -Autorisation
le site de Sogecash utilisant un "digipass", -Séparation de
4 virement de masse erroné Contrôle des virements en impliquant le comptable fournisseur dans tâches
préventif Régulier
multiples (Voir Annexe 5) la saisie des numéros de comptes, le - Sécurité et
responsable trésorerie comme vérificateur, accès au
et le CFO/CEO comme signataire. système
5 Virement non autorisé
Après retour de l'utilisateur de la carte de
Abus d’utilisation de la contrôle des dépenses par son déplacement, il présente les justificatifs -
6 détectif Régulier
carte corporate Carte Corporate de ses dépenses qui vont être rapprochés au Rapprochement
relevé bancaire.
Un fond de caisse de 80,000 MAD est

réservé aux croisières, - Après chaque
croisière, un état des dépenses accompagné
-Séparation de
Fonds dédiés aux des copies des justificatifs est remis au
Contrôle des fonds de Préventif tâches - Régulier
7 croisières sont non responsable trésorerie pour rapprochement,
croisières / détectif - - Mensuel
sécurisée un complément leur sera versé pour
Rapprochement
alimenter le fonds de caisse, Un reporting
mensuel est transmis par l'agent de croisière
au contrôle financier.
Tous les comptes bancaires doivent être

rapprochés aux balances banques par le
Balance du compte comptable-banques. Les états de -
8 rapprochement bancaire détectif Mensuel
banque erronée rapprochement bancaire doivent être revus Rapprochement
et signés par le responsable trésorerie et
classés.

71
Au département Credit Management,
l'ouverture d'une ligne de crédit est
conditionnée par une étude de solvabilité
9 Client défaillant Politique de crédit Préventif - Autorisation Régulier
qui détermine sa limite, une
garantie/assurance égale à celle-ci est
entretenue. (Cf.: procédure Credit Policy)
Prise de garanties nécessaires (Fax ou Email

provenant de personne habilitées pour le
10 CA non encaissé Contrôle du Front Office Préventif - Autorisation Régulier
Tour-opérateur, et paiement au comptant
pour les tiers)
S'assurer que les modifications/annulation

suivent les conditions générales arrêtées par
HOS. Une facturation des prestations en cas
Contrôle des de dépassement des délais
Modification/annulation
11 modifications/annulations d’annulation/modification (30% si moins Préventif - Autorisation Régulier
tardives
sur réservations de 6 jours de la date de réalisation de la
prestation, 50% si moins de 4 jours et 100%
si moins de 24h de la date effective de la
prestation)
Il faut s’assurer que le CA comptabilisé

dans Gestour est cohérent avec le CA
Enregistrement non Cadrage CA comptabilisé - -
13 encaissé. Le gestionnaire est tenu de faire détectif Journalier
exhaustif du CA CA encaissé Rapprochement
un rapprochement entre le CA comptabilisé
et le CA encaissé à la clôture des caisses.

72
Le contrôleur des achats doit rapprocher les
Paiement de réservation
Contrôle des retours de vouchers en provenance des fournisseurs -
14 ne correspondant pas à Détectif Régulier
vouchers avec ceux retournés par le guide, tout écart Rapprochement
prestation réelle
est à signaler et à justifier.
Toute facture réglée doit prendre le tampon

double paiement des Formalisation du règlement
16 "Payé" et classée sur le dossier fournisseur Préventif Régulier
factures fournisseurs
y correspondant.
Tout prépaiement doit faire l'objet d'un

Business Plan mettant en évidence sa
profitabilité. L'approbation du CEO/CFO
17 Prépaiements mal suivis Suivi des prépaiements est ensuite impérative pour exécuter le Préventif - Autorisation Régulier
prépaiement. Le suivi des prépaiements est
réalisé en remplissant le Template Risk
Analysis.
La sélection d'un chauffeur passe par la

vérification de son permis de conduite, de
ses références auprès de l'ancien employeur.
- Autorisation
Chauffeurs recruté non Il est soumis ensuite un test de vue, à une Préventif
18 Sélection des chauffeurs - Régulier
qualifié visite médicale avant de passer le test de / détectif
Rapprochement
conduite sur route. Tous les contrôles
doivent être documentés et retenus dans le
dossier du chauffeur,
Une inspection régulière du véhicule doit

être effectuée par le chauffeur, ceci
- Autorisation
Entretien & maintenance concernant les freins, pneus, feux, niveau Préventif
19 Panne de véhicule - Régulier
des véhicules d’huile, klaxon, ceintures de sécurité, sortie / détectif
Rapprochement
de secours, extincteurs de feu. Elle doit être
documentée et retenu.

73
Un entretien annuel de l’état mécanique du
véhicule doit être effectué annuellement, et - Autorisation
Préventif
Entretien annuel tout défaut détecté doit être réparé et - Annuel
/ détectif
reporté. Les justificatifs de cet entretien Rapprochement
doivent être conservés par la compagnie.
Les heures des chauffeurs sont à gérer de

manière à respecter les consignes suivantes
:
- Les heures de conduite d’un chauffeur ne
doivent pas dépasser 9h par jour et 56h par
semaine, sans que les jours de travail ne
dépasse les 6j.
Chauffeurs épuisé ou - Tout chauffeur doit prendre un repos d’au
Contrôle des heures de
20 incapable de remplir ses moins 45h par semaine, réductible à 24h à Préventif Autorisation Journalier
travail
tâches condition que le repos de la semaine d’après
complète les 45h. Le reliquat de 21h est à
rattraper durant les 3 semaines qui suivent
la déduction.
- Après un trajet de 2h, le chauffeur devra
faire une pause d’au moins 15min. Après
4h30 de conduite, la pause est d’au moins
45min.

74
Il est strictement interdit aux chauffeurs
durant les heures de travail de :
- Fumer à l’intérieur du véhicule
- Prendre ou d’être sous effet de drogues
- Prendre ou d’être sous effet d’alcool
Procédure Tabac, drogues
Sur ce, toute violation des instructions ci- Préventif Autorisation Régulier
et alcool
dessus (suivant déclaration de passagers,
procès de police, …) est susceptible
d’entraîner des mesures disciplinaires
contre le chauffeur (mise-à-pied, retenues
de salaires, … voir même le licenciement)
Il convient de créer un dossier contenant:

- le contrat signé par le recru et la DG
Contrat de travail non Signature des contrats de - CV
21 Préventif Autorisation Régulier
conforme à la législation travail - Justificatif d'identité
- Fiche de poste
- Copie des diplômes
- Les données de paie ne sont accessibles

qu’aux personnes habilitées (mots de passe
confidentiels sur le programme de paie,
bulletins de paie et documents relatifs aux
- Autorisation
rémunérations délivrés uniquement aux
- Accès au
Virement de salaires personnes responsables) Détectif/
22 Contrôle de la paie système Mensuel
incorrect ou non autorisé - Le directeur s’assure de la conformité de Préventif
- Séparation de
la paie et notamment les fiches de paie des
tâches
personnes en charge d’établir les bulletins
de salaire
- Les éléments exceptionnels de paie
(primes exceptionnelles) sont approuvés et

75
motivés par un écrit (mail) du responsable
hiérarchique, visés mensuellement par le
Directeur
-Les données de la paie sont enregistrées
exhaustivement en comptabilité, par
Divulgation des données rapprochement entre le livre de paie
23 (journal de paie), les documents
de la paie
communiqués à l’administration et
comptabilité
Les avances sur salaires ne peuvent

Avances sur salaire et Contrôle des avances sur dépasser 35% du salaire mensuel, et ne
24 Préventif -Autorisation Régulier
prêts non maitrisées salaire doivent être accordées qu'après le 15 du
mois. Tout prêt aux salariés est interdit.
Les tarifs reçu par le service Achats doivent

être communiqués aux autres services - autorisation
25 Tarif mal communiqués communication de tarifs (facturation, production) sous forma non- préventif - Accès au Régulier
modifiable, et ce pour éviter toute fraude ou système
erreur.
Les vouchers sont édités par un agent,

Emission de voucher non
26 Validation des vouchers vérifiés et signés par un senior du Préventif - Autorisation Régulier
autorisé
département production.
Le contrôleur des achats doit rapprocher les

Contrôle des retours de vouchers en provenance des fournisseurs -
27 Prestation sans Voucher Détectif Régulier
vouchers avec ceux retournés par le guide, tout écart Rapprochement
est à signaler et à justifier.
Tableau 10 : Dispositif de contrôle interne COSO pour HOS

76
La formalisation de l’implémentation des contrôles ci-dessus est assurée moyennant
des procédures mettant en relief l’objectif, l’objet, les intervenants, le déroulement et les
normes relatives à chaque contrôle. Ces procédures sont regroupées en cycles, notamment :
 Cycle Trésorerie
 Cycle Achats
 Cycle Ventes
 Cycle RH
 Cycle Production
 Cycle Health & Safety
Ces procédures sont introduites au manuel de procédures de la société et

implémentées, en majorité pour le moment, lors de réunions mensuelles du top management
de Holidays Services.
A titre d’illustration, nous présentons ci-après deux exemples de procédure formelle

implémentée au sein de Holidays Service, notamment :
 Cycle Achats : procédure des prépaiements

 Cycle Trésorerie : Procédure des achats par petite caisse
Cycle Achat
CHATS – PRODUCTION
Procédure des prépaiements
i. Objectif
S’assurer que les montants avancés aux fournisseurs font l’objet d’une analyse et
d’un lettrage correct lors de la réception des factures correspondantes
ii. Contrôle
 S’assurer que les normes sont définies et bien connues du personnel
 S’assurer de la bonne application de la procédure
 Corriger les anomalies détectées et formuler des recommandations d’amélioration

77
Responsable: Supervision :
Etape 1 : Agent commercial Etape 1 : Directeur commercial, Directeur Général et ou
Etape 2 : Responsable Contrôle Directeur Financier
fournisseur Etape 2 : Chef Comptable
Type de contrôle:
Exhaustif Sondage
Quand :
régulier Mensuel
iii. Les intervenants

 Le responsable comptable ;
 Le responsable contrôle fournisseur ;
 Le Directeur Commercial ;
 Agent commercial;
 Directeur Général ;
 Directeur Financier
iv. Déroulement
Selon la procédure instaurée par le groupe, il convient de remplir les deux fichiers
suivants :
Service Commercial /
L’agent commercial en charge du dossier est tenu de remplir le Template nommé ‘

Prepayment Template Preventive’ (Voir Annexe 7) qui doit être validé par le directeur
commercial et par le CEO et/ou CFO avant la demande d’exécution du prépaiement au niveau
du département trésorerie
La demande d’exécution du paiement au niveau du Département Trésorerie doit être
transmise 7j (sept jours ouvrés) avant la date de la prestation
L’exécution du prépaiement doit être suivie de la remise de la facture correspondante

à la prestation (en cas de paiement par chèque, ce dernier ne sera remis qu’en contre partie de
la remise de la facture, en cas de virement, la remise de la facture pro forma est impérative
suivi de la facture finale)
L’agent commercial se doit également de prévenir le service contrôle fournisseurs de

tout changement se produisant sur le dossier

78
Service Contrôle /
Une fois la demande de prépaiement est validée par le Directeur Commercial et le

CFO et/ou CEO, celle-ci doit être transférée au département financier (service contrôle, chef
comptable et responsable trésorerie)
Le comptable fournisseur devra remplir le Template ‘Risk Analysis unsecured

prepayments’ (Voir Annexe 8) dès réception du Template ‘Prepayment Template Preventive’
Au moment de la réception de la facture, le contrôleur procède aux différentes

vérifications habituelles afin de valider la facture préalablement payée (contrôle de la
tarification par rapport au contrat ou s’il y a eu négociation d’un tarif spécial, voucher etc…)
Une fois la facture validée, celle-ci sera comptabilisée et lettrée

v. Normes à respecter
Le service commercial doit impérativement informer le service contrôle de tous les
changements qui surviennent sur les dossiers
vi. Flow Chart :
Figure 11 : Flow Chart de la procédure Prépaiement

79
Cycle Trésorerie
Règlement des achats par caisse
i. Objectif
 Garantir la sécurité des règlements

 Garantir le respect de la séparation des flux d’encaissement et de décaissement
 S’assurer que les montants payés par caisse ne dépassent pas le plafond autorisé
(10.000DH)
 Respecter le listing des achats autorisés à être payés par caisse.
ii. Contrôle
 S’assurer que les normes sont définies et bien connues du personnel /

 S’assurer de la bonne application de la procédure /
 Corriger les anomalies détectées et formuler des recommandations d’amélioration /
Responsable :: Caissier Supervision : Gestionnaire / Responsable Trésorerie

Type de contrôle :: Exhaustif Sondage
Fréquence : :Continue Continue
iii. Les Intervenants
 L’initiateur de l’achat
 Le caissier
 Le responsable de la trésorerie
 Le Chef Comptable et/ou le Directeur Général
iv. Déroulement
Les achats par caisse sont des achats non courants, avec des montants très réduits.
Il s’agit soit, des achats à caractère immédiat, c'est-à-dire qui ne peuvent être
effectués en passant par le circuit classique soit, des achats avec des montants très faibles,
pour lesquels le paiement par chèque ou virement ne constitue pas une solution optimale

80
 Un fonds de caisse spécifique est dédié aux achats par petite caisse, ce dernier s’élève à
10.000 Dhs (Dix mille dirhams). En aucun cas ces dépenses ne sont prélevées sur les
fonds de caisse d’exploitation
 Le montant du fonds de caisse global est fixe, il s’élève à 80 000 Dhs (dont 10 000 Dhs
correspondant aux achats par petite caisse)
 Aucun achat par caisse ne peut être effectué sans consulter le responsable de la trésorerie
et / ou le directeur comptable
 Un journal de caisse reprenant l’ensemble des opérations de règlement par caisse est tenu
et soumis, avec les justificatifs, au responsable trésorerie pour contrôle
 Ces dépenses sont de caractère exceptionnel, de faible montant, et pour lesquelles le
circuit fournisseur classique ne peut pas s’appliquer
 Ces achats sont tous justifiés par une facture libellée
 Les justificatifs sont visés par le directeur financier (pour tous les montants > 200 Dhs)
 Les dépenses d’ordre social (acomptes) sont payées par petite caisse en contre partie d’un
ordre de paiement établi par le département des Ressources Humaines et qui respecte le
circuit de signature classique
 Les notes de frais sont également remboursées par petite caisse, en contre partie de la
remise d’une fiche de déplacement et de la fiche de retour de mission dûment remplies
avec les justificatifs nécessaires (Voir aussi dans le cycle ‘Ressources Humaines’)
 Chaque fin de trimestre, un document synthétisant les avances pour les déplacements
professionnels qui sont encours, doit être validé à la fois par le responsable de trésorerie
(car le contrôle des notes de frais s’effectue au niveau du département trésorerie) et le
Responsable des Ressources Humaines (car dès que l’employé est en dépassement d’un
mois sur le remboursement de ses frais, une note de débit est élaboré au niveau du
département RH et le montant est automatiquement débité de son salaire)
 En cas de perte d’un justificatif de note de frais, une attestation sur honneur doit être écrite
et signée par le bénéficiaire, la validation de la direction générale est nécessaires avant de
procéder au remboursement des frais y afférents
v. Normes à respecter
Liste des dépenses autorisées pour règlement par caisse
 Frais de déplacement du personnel /

 Timbres fiscaux (timbres de légalisations)

81
 Frais des croisières et des excursions /
 Facture eau et électricité /
 Frais d’envoi des courriers /
 Frais des fournitures du ménage /
 Toute dépense à caractère exceptionnel, de faible montant, et pour laquelle le circuit
fournisseur classique ne peut s’appliquer /
vi. Focus
Pour renforcer ce contrôle un document formalisant l’autorisation de sortie d’espèce

de la petite caisse est mis en place mentionnant le motif, le nom de la personne retirant
l’argent et son service. Il est signé par la direction avant tout retrait d’espèces
vii. Flow chart
Figure 12 : Flow Chart de la procédure Achat par petite Caisse

82
Conclusion
Tout au long de notre travail nous avons cherché à déficeler la relation entre le Risk
Management et la pertinence de l’information financière prônée par la SOX, cette relation
étant notre hypothèse de base.
Sur notre champs de mission « Holidays Services », nous avons suivi une démarche
Entreprise Risk Management ISO31000 afin d’identifier, d’analyser et d’évaluer les risques
opérationnels auxquels la société est exposée. Ceci nous a permis de dresser la cartographie
des risques opérationnels classé par cycles.
Selon cette cartographie, Holidays Services citée ci-dessus présente des risques
opérationnels relativement importants mais peu probables. Cependant, ils affectent l’atteinte
de ses objectifs et remettent en cause son reporting mensuel vers TUI Travel Plc, sa société
mère.
Par conséquent, la phase finale de notre démarche ERM, celle du traitement des
risques, est dispositif complet de contrôle interne conçu suivant le référentiel COSO. Il s’agit
de contrôles implémentés sous forme de procédures communiquées dans un manuel de
procédures.
C’est ainsi que nous avons abouti à une certaine assurance quant à la couverture des
risques détectés, pouvant nuire à l’atteinte des objectif de Holidays Services, à la sécurité de
ses actifs et à la pertinence de l’information financière communiquée.
Il reste à souligner, que malgré l’efficacité des dispositifs de contrôle interne exigés
par la SOX, ils nécessitent des investissements considérables en systèmes informatiques
pouvant parfois même dépasser le dommage subit en cas d’occurrence des risques couverts.
Aussi, l’obligation de rendre publiques des informations précieuses sur le contrôle interne de
l’entreprise bénéficie aux investisseurs et aux régulateurs mais également aux concurrents.
Ce qui pousse à centrer nos réflexions aussi autour d’une logique coût-avantage.
Au terme de notre travail, nous tenons à témoigner que la réalisation du présent

rapport a été pour nous une opportunité de fructifier nos acquis théoriques pendant 5 années
de formation et de couronner notre cursus universitaire par un projet dont nous sommes très
satisfait.

83
Bibliographie :
OUVRAGES :
 Dr Rachid BOUTTI, Les Fondamentaux de la comptabilité analytique décisionnelle et

du contrôle de gestion en action, Tome II, Alwouroud, 2012.
 Jaques RENARD, Théorique et pratique de l’audit interne, 7ème édition primée par
IFACI, Eyrolles, 2010.
 Robert OBERT, Marie-Pierre MAIRESSE, DSCG Comptabilité et Audit, 2ème édition,
dundo, 2009.
 Hassan BELLIHI, La gestion des risques en projets de création d’entreprises, Edition
Succès Entrepreneurial, 2009.
 Pascal KEREBEL, Management des Risques, Eyrolles, 2009.
 Gilles MOTET, La norme ISO31000 en 10 questions, FonCSI, 2010
 Gérard Valin, Lionel Collins, Audit et contrôle interne : Aspects financiers,
opérationnels et stratégiques, 4ème édition Dalloz, 1992
ARTICLES :
 Aon Global Risk Consulting, Enterprise Risk Management : intégrez la gestion des
risques au cœur du pilotage de vos activités, Avril 2010
 IFACI, Le dispositif de Contrôle Interne : Cadre de référence, présentation des travaux
de groupe de Palace, Novembre 2006.
 Hervé Stolowy, Edouardo Pujol, Mauro Molinari, Audit Financier et contrôle interne :
l’apport de la loi SOX, HEC, 2010
WEBOGRRAPHIE :
 http://www.kpmg.com/FR/fr/IssuesAndInsights/ArticlesPublications/Pages/201011-
ACI-Guide-methodologique-IFA.aspx
 http://www.iso.org/iso/fr/home/standards/iso31000.htm
 http://www.coso.org/documents/coso_framework_body_v6.pdf

84
Table des matières
Dédicace ................................................................................................................................. 1
Remerciement ......................................................................................................................... 2
Liste des tableaux ................................................................................................................... 3
Liste des figures ..................................................................................................................... 4
Sommaire ............................................................................................................................... 5
Introduction ............................................................................................................................ 7
PARTIE 1 : CADRE CONCEPTUEL ET CONTEXTUEL .................................................. 9
CHAPITRE I : Risk Management et Contrôle Interne ........................................................ 10
Section 1 : Le contrôle interne, une omniprésence dans toute organisation ........................ 10
1. Définition ............................................................................................................... 10
2. Principes du contrôle interne.................................................................................. 11
a. Le principe d’organisation : ............................................................................... 12
b. Le principe d’intégration .................................................................................... 12
c. Le principe d'information ................................................................................... 13
d. Le principe de permanence ................................................................................ 13
e. Le principe d'universalité ................................................................................... 13
f. Le principe d'indépendance.................................................................................... 14
g. Le principe d’harmonie ...................................................................................... 14
3. Objectifs du contrôle interne .................................................................................. 14
a. Fiabilité de l'information financière ................................................................... 14
b. Sauvegarde du patrimoine .................................................................................. 14
c. Conformité aux lois et aux règlements ............................................................... 15
d. Optimisation des opérations ............................................................................... 15
e. L’application des instructions et des orientations fixées par la direction générale

ou le directoire .............................................................................................................. 15
f. Maîtrise des activités .............................................................................................. 16

85
4. Limites du contrôle interne .................................................................................... 16
a. L’erreur de jugement .......................................................................................... 16
b. Les dysfonctionnements ..................................................................................... 17
c. Les contrôles « outrepassées » ou contournés par le management .................... 17
d. La collusion ........................................................................................................ 17
Section 2 : Le Risk Management, vers une maitrise des risques ......................................... 17
1. La notion de risque ................................................................................................. 17
2. Les familles de risques ........................................................................................... 20
a. Types des risques liés à l’activité au sein de l’entreprise ................................... 20
b. Types de risque en audit ..................................................................................... 22
3. Le management des risques, un processus a suivre ............................................... 23
a. L’analyse des risques : ....................................................................................... 24
b. Evaluation de l’acceptabilité des risques............................................................ 24
c. Maitrise des risques ............................................................................................ 24
CHAPITRE II : Impact de la loi Sarbanes-Oxley sur le contrôle interne. ........................... 25
Section1 : Origines et contenu de la SOX ............................................................................ 25
1. Le cas Enron : Titanic Financier du 21ème siècle ................................................... 26
a. Le contexte ......................................................................................................... 26
b. Le début de la crise, révélation du scandale. ...................................................... 27
2. Eléments de la loi SOX .......................................................................................... 28
a. Réglementation et surveillance de la profession de commissaire aux comptes . 28
b. Accroissement de l'indépendance des commissaires aux comptes .................... 29
c. Amélioration des pratiques de corporate gouvernance (responsabilisation du

CEO et CFO) ................................................................................................................ 29
d. L’amélioration de l’information financière ........................................................ 31
e. Renforcement de l’exécution des règles boursières et des sanctions. ................ 32
Section2 : Apports de la SOX au contrôle interne des organisations : ................................ 33

86
1. La section 302 de la SOX : Implication des dirigeants dans le contrôle interne ... 34
2. La section 404 de la SOX : Evaluation du contrôle interne : ................................. 35
PARTIE 2 : CADRE METHODOLOGIQUE ET REFERENTIELS ADOPTES ............... 37
CHAPITRE I : COSO, référentiel universel de contrôle interne ........................................ 38
Section1 : Introduction au COSO......................................................................................... 38
Section2 : Les composants du contrôle interne selon COSO : ............................................. 39
1. L’environnement de contrôle ................................................................................. 39
2. L’évaluation des risques ........................................................................................ 39
3. Activités de contrôle .............................................................................................. 40
4. Information et communication ............................................................................... 41
5. Pilotage .................................................................................................................. 42
Section3 : Positionnement du COSO2 par rapport au COSO1 ............................................ 43
CHAPITRE II : La démarche ERM selon la norme ISO 31000 .......................................... 44
Section1 : présentation de l’ISO 310001.............................................................................. 44
1. Présentation ............................................................................................................ 44
2. Principes du risk management selon la norme ISO 31000 .................................... 45
Section2 : La démarche ERM selon ISO 31000 .................................................................. 46
1. Etablissement du contexte ...................................................................................... 47
2. Identification du risque .......................................................................................... 47
3. Analyse des risques ................................................................................................ 47
4. Evaluation des risques ............................................................................................ 48
5. Traitement des risques ........................................................................................... 49
PARTIE 3 : Risk Management et renforcement du contrôle interne chez TUI PLC Travel –
Holidays Services. ................................................................................................................ 50
CHAPITRE 1 : Etablissement du contexte de TUI PLC Travel – Holidays Services ......... 52
1. Secteur d’activité.................................................................................................... 52
a. Présentation du secteur : ..................................................................................... 52

87
b. Les métiers du tourisme au Maroc : ................................................................... 52
c. Stratégie du secteur : La vision 2020 : ............................................................... 53
2. Entreprise d’accueil................................................................................................ 54
a. Quelques dates clefs () ....................................................................................... 55
b. Fiche Signalétique : ............................................................................................ 55
c. Métiers de Holidays Services ............................................................................. 56
d. Partenaires de Holidays Services ....................................................................... 56
3. Matrice SWOT de HOLIDAYS SERVICES ......................................................... 56
4. Cartographie des flux de la société HOLIDAYS SERVICES ............................... 58
CHAPITRE 2 : Appréciation des risques chez TUI PLC Travel – Holidays Services ........ 59
1. Identification des risques ....................................................................................... 59
a. Exemple illustratif : ............................................................................................ 59
b. Récapitulatif des risques identifiés :................................................................... 61
2. Analyse et évaluation des risques .......................................................................... 63
c. Analyse des risques identifiés : .......................................................................... 63
CHAPITRE 3 : Traitement des risques et mise en place d’un dispositif COSO du contrôle
interne ................................................................................................................................... 68
Conclusion ............................................................................................................................ 83
Bibliographie : ...................................................................................................................... 84
Table des matières ................................................................................................................ 85
Annexes ................................................................................................................................ 89

88
Annexes
 Annexe 1 : Check-list des contrôles
 Annexe2 : Interface de validation des factures achats sur Exceed (système de
gestion des réservations)
 Annexe 3 : Voucher (équivalent d’un bon de commande)
 Annexe 4 : Pièce de caisse
 Annexe 5 : Interface de validation et signature enligne des virements multiples
sur www.Sogecash.ma
 Annexe 6 : Signification des symboles sur les Flow Charts
 Annexe 7 : prepaymenent Template Preventive
 Annexe 8 : Risk Analysis unsecured prepayments

89
Annexe 1 : Check-list des contrôles
COSO PROJECT 38 Min Set of Controls
Entity name:
30/03/2013 30/03/2013 30/03/2013

Control Executed Deadline Evidence kept Deadline Process documented Deadline Comments
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

90
Annexe2 : Interface de validation des factures achats sur Exceed (système de gestion des
réservations)
Annexe 3 : Voucher (équivalent d’un bon de commande)

91
Annexe 4 : Pièce de caisse
Annexe 5 : Interface de validation et signature enligne des virements multiples sur

www.Sogecash.ma

92
Annexe 6 : Signification des symboles sur les Flow Charts
SYMBOLE SIGNIFICATION
Processus / opération
Décision
Document
Saisi manuelle
Opération manuelle
Début / Fin
Circulation de document
Circulation d’information
Contrôle (Validation, approbation,

vérification, signature, rapprochement …)

93
Annexe 7: prepaymenent Template Preventive

94
Annexe 8 : Risk Analysis unsecured prepayments

95

Rapport Du Stage

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport Du Stage

Transféré par

Droits d'auteur :

Formats disponibles

Dédicace

 Ma chère mère, celle qui m’a toujours soutenu

 Mon père, mon ultime repère

 Mes frères et sœurs,

 Et tous mes amis

Au terme de ce travail, je tiens d’abord à exprimer mes profonds remerciements et à

témoigner de ma reconnaissance à Monsieur BOUTTI Rachid, en sa qualité d’encadrant pour

mon stage de fin d’études, pour ses conseils et orientations.

Mes vifs remerciements sont adressés à :

 Madame ALAMI Fadela, responsable Contrôle Interne à Holidays Services et maitre

de mon stage, pour son assistance et sa générosité inégalées.

 Monsieur AKYAOU Hamid, contrôleur financier, pour son soutien et sa disponibilité.

 Tout le staff du département financier.

loin, ont contribué au bon déroulement de notre stage et à l’aboutissement de ce travail

 Tableau1 : Fiche signalétique de la société Enron ……………………………….25

 Tableau 2 : Classification des risques …………………………………………….47

 Tableau 3 : Approche par cycles des processus de HOS……………..…….….....49

 Tableau 4 : Fiche signalétique de Holidays Service ………………………………53

 Tableau 5 : Matrice SWOT pour Holiday Services ……………………..………..55

 Tableau 6 : constats du diagnostic Contrôle Achats …………………………..….58

 Tableau 7 : Liste des risques identifiés ………………………………………..…..59

 Tableau 8 : Analyse et évaluation des risques ………………………………...….62

 Tableau 9 : Classification des risques ………………………………………….….65

 Tableau 10 : Dispositif de contrôle interne COSO pour HOS ………………..….68

 Figure 1 : Types de risques liés à l’activité………………………….…..……20

 Figure 2 : Processus de Management des risques……………………….……22

 Figure 3 : Texte de la section 302 de la loi Sarbanes-Oxley……….……...…33

 Figure 4 : Texte de la section 404 de la loi Sarbanes-Oxley……..….…….…34

 Figure 5 : Le Cube COSO…………………………………………………..…37

 Figure 6 : Processus Risk Management –ISO31000-……………….............. 45

 Figure 7 : Modèle de cartographie de risques …………………………..……47

 Figure 8 : Cartographie des flux Holidays Services …………….……………57

 Figure 9 : Flow-charte de la procédure Contrôle des achats ……….…….…59

 Figure 10 : Cartographie des risques opérationnels de Holidays Services….66

 Figure 11 : Flow Chart de la procédure Prépaiement …………………….…78

 Figure 12 : Flow Chart de la procédure Achat par petite Caisse………..…..81

Liste des tableaux ................................................................................................................... 3

Liste des figures ..................................................................................................................... 4

PARTIE 1 : CADRE CONCEPTUEL ET CONTEXTUEL .................................................. 9

CHAPITRE I : Risk Management et Contrôle Interne ........................................................ 10

Section 1 : Le contrôle interne, une omniprésence dans toute organisation ........................ 10

Section 2 : Le Risk Management, vers une maitrise des risques ......................................... 17

CHAPITRE II : Impact de la loi Sarbanes-Oxley sur le contrôle interne. ........................... 25

Section1 : Origines et contenu de la SOX ............................................................................ 25

Section2 : Apports de la SOX au contrôle interne des organisations : ................................ 33

PARTIE 2 : CADRE METHODOLOGIQUE ET REFERENTIELS ADOPTES ............... 37

CHAPITRE I : COSO, référentiel universel de contrôle interne ........................................ 38

Section1 : Introduction au COSO......................................................................................... 38

Section2 : Les composants du contrôle interne selon COSO : ............................................. 39

Section3 : Positionnement du COSO2 par rapport au COSO1 ............................................ 43

CHAPITRE II : La démarche ERM selon la norme ISO 31000 .......................................... 44

Section1 : présentation de l’ISO 310001.............................................................................. 44

Section2 : La démarche ERM selon ISO 31000 .................................................................. 46

CHAPITRE 1 : Etablissement du contexte de TUI PLC Travel – Holidays Services ......... 52

Table des matières ................................................................................................................ 85

Ce contexte financier international met Holidays Service devant l’obligation de

C’est ainsi qu’elle ouvra son grand chantier de restructuration et de renforcement de

Parachuté au cœur de ce chantier et rattaché au département Internal Control, nous

 Comment un contrôle interne efficace peut offrir de l’assurance raisonnable aux

Rapport de stage de fin d’études 2012/2013 7

Pour répondre à cette problématique, nous avons mis l’hypothèse suivante :

« Le Risk Management assure la pertinence de l’information financière »

La vérification de l’hypothèse ci-dessus constituera donc l’essence de ce travail durant

Notre travail sera subdivisé en trois parties :