Académique Documents
Professionnel Documents
Culture Documents
Rapport Du Stage
Rapport Du Stage
Je dédie ce travail à :
Abdessalam
Remerciement
Je tiens à exprimer finalement ma sincère gratitude pour tous ceux qui de près ou de
Remerciement ......................................................................................................................... 2
Sommaire ............................................................................................................................... 5
Introduction ............................................................................................................................ 7
PARTIE 3 : Risk Management et renforcement du contrôle interne chez TUI PLC Travel –
Holidays Services. ................................................................................................................ 50
CHAPITRE 2 : Appréciation des risques chez TUI PLC Travel – Holidays Services ........ 59
CHAPITRE 3 : Traitement des risques et mise en place d’un dispositif COSO du contrôle
interne ................................................................................................................................... 68
Conclusion ............................................................................................................................ 83
Bibliographie : ...................................................................................................................... 84
Annexes ................................................................................................................................ 89
Introduction
Les nombreux scandales qui ont frappé les Etats-Unis en 2001 et au début de l’année
2002 (avec Enron, en tête, Adelphia, Xerox et WorldCom) ont entrainé une réaction brutale
du législateur américain et l’adoption de la loi dite « Sarbanes-Oxley » votée par le Congrès
des Etats-Unis et ratifiée par le président Bush le 30 Juillet 2002.
La loi SOX vise à redonner l’assurance aux bailleurs de fonds quant à la sécurité de
leurs actifs et la pertinence du reporting financier, et ce en imposant aux directions générales
des sociétés cotées les lignes directrices relatives à l’efficacité du contrôle interne
conformément au référentiel COSO, notamment par les sections 302 et 404 de ladite loi.
Holidays Services est l’une des sociétés marocaines concernées indirectement par cette
loi ; elle est détenue depuis 2008 à 99% par le géant anglais TUI Travel Plc introduit à son
tour en bourse de Londres en Septembre 2007.
A la lumière de ce qui précède, nous avons formulé notre problématique comme suit :
Méthodologiquement, notre travail sera modélisé selon la norme ISO 31000 relative
au management des risques ; elle offre les lignes directrices d’une démarche Entreprise Risk
Management qui commence par l’établissement du contexte, pour passer à l’appréciation
(identification, analyse et évaluation) des risques, et finir par le traitement des risques.
C
ette partie constitue présentera les fondements théoriques du contrôle
interne et du Risk Management, en plus du contexte d’apparition de la loi
Sarbanes-Oxley ainsi que ses éléments.
Il nous est paru opportun d’opérer ainsi afin de mieux assimiler nos concepts avant de
passer à la pratique.
CHAPITRE I : Risk Management et Contrôle Interne
Les risques sont partout dans l’entreprise, qu’on le veuille ou non, qu’on les gère ou
pas. Pire même, la survie de l’entreprise peut aller jusqu’à dépendre de cette notion. Les
pratiques de maîtrise de risque deviennent un accélérateur de développement de l’entreprise,
une garantie pour sa continuité d’activité et sa pérennité.
Nous allons voir que le risque, vu sous sa dimension globale et systémique, est en
lien direct et étroit avec le fonctionnement de l’entreprise.
Ainsi, nous pouvons affirmer que la prise de risque est inhérente à toute société. Il
n’existe pas de croissance, ni de création de valeur dans une société, sans prise de risque. S’ils
ne sont pas correctement gérés et maîtrisés, ces risques peuvent affecter la capacité de la
société à atteindre ses objectifs. En continuant à prévenir et à gérer les risques, les dispositifs
de gestion de risques et de contrôle interne jouent un rôle clé dans la conduite et le pilotage
des différentes activités.
1. Définition
Le contrôle interne est définit par L. Collins et G. Valin 1 comme suit « le contrôle
interne est mis en place par la direction d’une entreprise pour assurer la légitimité de ses
activités, la protection de ses actifs, la fiabilité de ses informations et l’utilisation efficace de
ses moyens humaines et matériels. Il comprend un plan d’organisation et un ensemble
cohérent de moyens, de méthodes et de procédures permettant la maitrise du fonctionnement
et de l’évolution de l’entreprise par rapport à son environnement ».
1
COLLINS, L. et VALIN, G., Audit et contrôle interne – Aspects financiers, opérationnels et stratégiques,
Dalloz, 1992, p 32.
2
Le COSO est un référentiel de Contrôle Interne défini par le Committee Of Sponsoring Organizations of the
Treadway Commission, une commission à but non lucratif qui établit en 1992 une définition standard du
contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.
Donc on peut dire que le Contrôle Interne n’offre pas la garantie absolue que les
objectifs fixés seront atteints, mais fournit uniquement « une assurance raisonnable » quant à
l’atteinte de ces objectifs. Il ne rend pas non plus la fraude impossible mais permet de la
limiter au maximum ou de la découvrir aussitôt que possible.
L’organisation ;
L’intégration ;
L’information ;
La permanence ;
L’universalité ;
L’indépendance ;
L’harmonie ;
2
Principes retenus par le Conseil de l’Ordre des Experts Comptables Français en 1977, qui fut crée en 1945 et
qui a pour vocation de gérer le plus grand réseau de professionnels libéraux.
Pour que le contrôle interne soit satisfaisant, il est nécessaire que l’organisation de
l’entreprise possède certaines caractéristiques. L’organisation doit :
La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice
d’une activité de l’entreprise un même agent cumul :
Ou même simplement deux d’entre elles. En effet, un tel cumul favorise les erreurs,
les négligences, les fraudes et leur dissimulation.
b. Le principe d’intégration
c. Le principe d'information
Ce principe stipule que l'information qui chemine dans les circuits du contrôle interne doit
être :
Pertinente, autrement dit adaptée à son objet et à son utilisation. Elle doit être
disponible et accessible dans les temps et lieux voulus,
Objective, car elle ne doit en aucun cas être « déformée » dans un but particulier,
Communicable, en d'autres termes, le destinataire doit pouvoir tirer clairement
les informations dont il a besoin à partir des informations reçues,
Vérifiable, car il doit être possible d'en retrouver les sources grâce à des
références appropriées permettant de justifier l'information et de l'authentifier.
d. Le principe de permanence
e. Le principe d'universalité
Ce principe stipule que le système pour être efficace ne doit pas exclure de
personnes, ni tenir de secteur en dehors du système. Il doit s'étendre à tous les membres de
l'entreprise. Toutes les fonctions de l'entreprise, qu'elles que soient les personnes qui les
remplissent, sont soumises aux règles de contrôle interne.
Il s'agit de voir :
g. Le principe d’harmonie
En particulier, dans une petite entreprise, le contrôle interne connaît des limites
inhérentes à la dimension, notamment pour ce qui concerne la mise en œuvre généralisée du
principe de séparation des fonctions. Mais, il ne faut pas ignorer que cette lacune se trouve en
partie compensée dans la connaissance des hommes et des activités possédées par le chef
d’entreprise qui est un des éléments essentiels du contrôle interne.
Le contrôle interne est une démarche qui vise la maitrise des activités de l’entreprise
Parvenir à cette finalité passe par l’atteinte des 5 objectifs suivants
Cet objectif est souvent privilégié car il met l'accent sur l'organisation des fonctions
comptables et financières et sur la capacité de l'entreprise à enregistrer fidèlement ses
opérations et les restituer sous forme d'états de synthèse.
b. Sauvegarde du patrimoine
Il s’agit des lois et règlements auxquels la société est soumise. Les lois et les règlements en
vigueur fixent des normes de comportement que la société intègre à ses objectifs de
conformité. Compte tenu du grand nombre de domaines existants (droit des sociétés, droit
commercial, sécurité, environnement, social, etc.), il est nécessaire que la société dispose
d’une organisation lui permettant de : connaître les diverses règles qui lui sont applicables ;
être en mesure d’être informée en temps utile des modifications qui leur sont apportées (veille
juridique), transcrire ces règles dans ses procédures internes; informer et former les
collaborateurs sur celles des règles qui les concernent.
La majorité des objectifs du contrôle interne convergent vers la maîtrise des activités
de l'entreprise et le pilotage efficace de l'organisation. Ainsi, le contrôle interne institue dans
l'entreprise une culture d'autocontrôle à savoir la vérification par chaque collaborateur de la
qualité et de la conformité de son travail. De tout ce qui précède, le contrôle interne doit
permettre de sécuriser les flux financiers de l’entreprise, de fiabiliser l’information comptable
et de prévenir et détecter les risques au sein de l’organisation.
Il faut garder à l’esprit que le contrôle interne, aussi bien conçu et appliqué qu’il soit,
ne peut au plus qu’une assurance raisonnable à la Direction quant à la réalisation des objectifs
de l’organisation.
D’un autre coté, lors de la mise en place du dispositif de contrôle, il faut prendre en
compte le rapport coût / bénéfice et éviter de développer des systèmes de contrôle interne
inutilement coûteux quitte à accepter un certain niveau de risque.
Les facteurs suivants peuvent a voir une influence sur l’efficacité du contrôle
interne:
a. L’erreur de jugement
Le risque d’erreur humaine lors de la prise de décisions ayant un impact sur les
processus de l’entreprise, peut limiter l’efficacité des contrôles. Les personnes responsables
sont souvent appelées à prendre des décisions dans un temps limité, en se basant sur les
informations disponibles, mais incomplètes et en faisant face à la pression liée à la conduite
des activités.
d. La collusion
Deux ou plusieurs ou plusieurs individus agissant collectivement pour accomplir et
dissimuler une action peuvent fausser les informations financières ou de gestion d’une
manière qui ne puisse être détectée par le contrôle interne.
1. La notion de risque
Le petit Larousse (2009 : 89) estime que le risque est un danger, un inconvénient
plus ou moins probable auquel on est exposé. Dans le même ordre d’idée, Vicenti le reconnait
comme étant « la menace qu’un événement ou une action ait un impact défavorable sur la
capacité de l’organisation à réaliser ses objectifs avec succès »
Dans son lexique Les mots de l’audit, l’IFACI définit le risque comme étant « Un
ensemble d’aléas susceptibles d’avoir des conséquences négatives sur une entité et dont le
contrôle interne et l’audit ont notamment pour mission d’assurer autant que faire se peut la
maîtrise ».
3
Dominique VINCENTI, « Dresser une cartographie des risques », in Revue Audit, n° 144.
Ces composantes sont clairement mises en évidence par la définition ISO 4 du risque
comme étant « la possibilité d’occurrence d’un événement ayant un impact sur les objectifs. Il
se mesure en termes de conséquences et de probabilité. »
Et c’est pourquoi toutes les tentatives pour mesurer le risque se traduisent par le
produit de ces deux facteurs que l’on tente de chiffrer avec plus ou moins d’approximation.
Mais si le risk manager, dont c’est le métier, se livre à de savants calculs de mesure et de
probabilités, l’auditeur interne n’a pas à aller jusqu’à ce niveau de détail. Il le fait parfois
poussé par des directions générales qui perçoivent mal son rôle. Et c’est pourquoi il n’est pas
inutile de rappeler la fonction de chacun des acteurs :
Le risk manager identifie les risques, en dessine la cartographie, les mesure et, à partir
de là, propose la politique qui sera appliquée dans le double domaine de la prévention
et de la protection ;
Le manager opérationnel applique cette politique et met en place les moyens pour
maîtriser les risques inacceptables et limiter les risques acceptables (contrôle interne) ;
L’auditeur interne apprécie la qualité de la cartographie et des moyens mis en place ; il
en détecte les lacunes et les insuffisances et formule des recommandations pour y
mettre fin. Mais il n’est pas concerné par l’élaboration et la mise en place d’une
gestion globale des risques.
Cela dit, là où il n’y a pas de risk manager, il n’est pas surprenant de voir se créer des
confusions, l’auditeur interne devant suppléer à l’absence de cartographie. Il fera au mieux
pour identifier les risques, mais ne pourra se sous- traire à ce travail car le principe demeure :
4
Norme 31000 relative au Risk Management
Les principales causes de risque sont étroitement liées. Ces causes sont le caractère
aléatoire des événements, le caractère imparfait ou incomplet de nos connaissances et un
contrôle insuffisant :
L’absence de contrôle ou le contrôle limité que nous pouvons exercer sur les
événements est une source permanente de risques. Nous n’avons jamais la maîtrise entière des
événements. Il existe toujours des facteurs dont nous n’avons pas la maîtrise.
L’un des paradoxes liés au risque réside dans le fait qu’il est simple en théorie, mais
qu’il survient en pratique dans des conditions d’une complexité considérable. Le risque fait
l’objet de nombreux débats théoriques et deux conceptions s’affrontent : la conception
officielle « objective » ou statistique du risque, selon laquelle le risque peut être quantifié,
voire accepté en fonction de normes fixées et approuvées de façon rationnelle et une
conception du risque qui repose sur sa perception quotidienne, qui est multidimensionnelle,
qualitative et conditionnée par des facteurs sociaux.
La cessation d’activité d’une organisation, quelle qu’elle soit, et quels qu’en soient
les motifs, ne résulte pas exclusivement d’une action ou d’une décision subjective défavorable
des partenaires bancaires et/ou financiers. Il y aura à l’origine, toujours, l’existence d’un - ou
d’une multitude de - risque(s) convergent(s), impactant et non maîtrisé(s). Chaque risque va
impacter l’entreprise à travers un coût économique et/ou financier, susceptible de déstabiliser
ses fondamentaux, d’obérer sa capacité de financement ou d’investissement, de remettre en
cause de facto son existence à court, moyen ou long terme, donc de fragiliser sa pérennité.
Des risques stratégiques : Ils sont liés au déploiement d'une mauvaise stratégie,
à l'absence de veille concurrentielle. Fréquemment, les difficultés des entreprises
proviennent d'un manque d'anticipation de l'évolution de leur marché.
Des risques opérationnels : Ils touchent au modèle économique de l'entreprise,
à son fonctionnement, à sa chaîne de valeur (la production, les ventes, les achats,
etc.). Aujourd'hui, la moindre altération d'une application au sein de votre chaîne
de production, d'approvisionnement ou de distribution peut interrompre
inopinément la continuité des affaires de l'entreprise.
Des risques de réputation: Les risques incorporels de l'entreprise. Tout ce qui
concerne l'image, la marque, la propriété intellectuelle de l'entreprise... Ils sont
d'autant plus dangereux que, de nos jours, la confiance est essentielle à l'activité
de l'entreprise.
5
Source : mémoire « Elaboration d’une cartographie des risques opérationnels du cycle Ventes-Clients »,
Halima Keita Traore.
De cette définition nous pourrons affirmer qu’il s’agit d’un processus dont les étapes
peuvent être résumées comme suit :
6
Proposition de Mohamed-Habib MAZOUNI dans sa thèse « Pour une meilleure approche du management des
risques », pour obtention du doctorat de l’Institut National Polytechnique de Lorraine.
7
Mohamed-Habib MAZOUNI dans sa thèse « Pour une meilleure approche du management des risques », pour
obtention du doctorat de l’Institut National Polytechnique de Lorraine.
Après avoir pris connaissance avec le Risk Management comme étant une démarche
qui améliore la sécurité du fonctionnement de l’organisation, on passera dans la section qui
suit au contrôle interne, qui le complète comme étant un dispositif qui veille à cette sécurité
en permanence.
Cette loi SOX constitue la plus importante réforme aux Etats-Unis depuis la crise des
années 1930 et le Securities Act de 1934 qui régit encore largement le monde de la finance.
Elle est guidée par trois grands principes : l’exactitude de l’accessibilité de l’information, la
responsabilité des gestionnaires et de l’indépendance des organes vérificateurs. La loi a pour
objectif d’augmenter la responsabilité de la société et de mieux protéger les investisseurs,
ainsi que redonner confiance aux investisseurs et aux petits épargnants. Cette loi comporte un
volet qui nous préoccupe directement dans cet article : l’obligation pour les dirigeants des
sociétés américaines d’évaluer l’efficacité et la qualité de leur système de contrôle interne.
Ainsi, après avoir présenté brièvement les origines et principaux éléments de la SOX,
nous développerons les dispositions de cette loi en rapport avec le contrôle interne.
Etant le méga scandale qui a déclenché l’alarme quant aux maquillages comptables
des grandes firmes internationales, Enron est un cas à contempler. Il était à l’origine des
réflexions autour de la loi Sarbanes-Oxley. Nous développerons ci-après les détails de cet
effondrement historique.
a. Le contexte
La société Enron est née en 1985 de la fusion entre Houston Natural Gas et
Internorth sous l’influence de Kenneth Lay qui prendra ensuite la direction de l’entreprise.
Très vite cette société a diversifié ses activités pour que l’activité initiale d’opérateur de
gazoduc devienne marginale. En effet, dès 1989, poussé par les lois fédérales sur la
déréglementation, Kenneth Lay décide de transformer le producteur et transporteur de gaz
Enron en une société de négoce en énergie.
Jusque en 1990, date d’entré de Andrew Fastow, Enron connaissait une croissance
régulière et équilibré supporté par des investissements modérés.
En janvier 2001, les dirigeants d’Enron savent que les pertes enregistrées par la
société s'élèvent à 600 millions de dollars. Wall Street s'inquiète passagèrement ; l'action
baisse à 50 $. Pour rassurer les milieux financiers, Kenneth Lay confie la direction de
l'entreprise à son adjoint Jeffrey K.Skilling. Ces derniers vendent en masse leurs actions. J.K.
Skilling empoche par exemple 17,5 millions de dollars, Kenneth Lay 34 millions. Les salariés
ne peuvent réaliser leurs stockoptions bloquées qui se dévaluent tout comme la valeur de leur
fonds de pension, constitués sur recommandation de la direction d'Enron, à plus de 60%
d'actions de l'entreprise.
Aux termes du texte de loi, la SEC était ainsi tenue d'adopter et de publier les règles
finales d'application de la loi SOX, pour la majorité d'entre elles, au plus tard le 30 janvier
2003.
En plus de la loi SOX, d’autres règles d’application ont été adoptés par la SEC et par
le PCAOB lui-même pour permettre un fonctionnement limpide de cet organisme.
Interdiction pour les firmes d'audit de fournir à leurs clients à la fois des
services d’audit et des services autres que des services d'audit (Section 206 de la
Loi)
Approbation préalable par le comité d'audit de la société émettrice de
l'ensemble des services ainsi que du contenu de la mission confiée à cette firme
(section 201 de la loi)
Rotation de certains associés de firmes d'audit tous les 5 ans (Section 203 de la Loi)
Interdiction pour une firme d'audit d’auditer les comptes d’une société
émettrice dans le cas où certains dirigeants de la société émettrice ont été
employés de la firme d'audit dans l'année précédant l'audit en qualité de lead
partner, de concurring partner ou de membre de l'équipe d’audit (Section 206 de
la Loi)
Amélioration de l'information communiquée au marché par les sociétés cotées
Aux termes de la Section 302(a), le CEO et le CFO d'une société cotée sont
chacun tenus de certifier, eu égard aux informations contenues dans chacun des
rapports annuels et trimestriels émis par la société :
La section 302 (a) de la loi SOX s’applique à toutes les sociétés côtés y
compris les sociétés étrangères cotées aux Etats-Unis et ce conformément à la règle finale
d’application de la SEC en date du 29 août 2002 intitulée « Certification of Disclosure
in Companies Quaterly and Annual Reports ».
Le comité d'audit
Par ailleurs, la section 407 de la loi SOX impose qu’au moins un membre
du comité d’audit soit un expert financier.
De plus, les sociétés cotées sont tenues d'inclure dans leurs rapports annuels un
tableau récapitulatif de leurs engagements contractuels reprenant l’ensemble des montants
des paiements dus par la société au titre des contrats auxquels elle est partie.
Aux termes de la Section 404 de la Loi SOX, le rapport annuel des sociétés
cotées doit contenir un rapport sur le contrôle interne qui :
Responsabilité civile
La Section 303 de la Loi SOX a donné compétence exclusive à la SEC pour
poursuivre civilement quiconque influencerait un auditeur de manière contestable aux fins de
rendre les comptes certifiés significativement trompeurs.
Aussi, selon la Section 304 de la Loi, dans le cas où une société cotée est obligée de
revoir ses comptes suite à un non-respect des règles de reporting financier, le CEO et
le CFO devront rembourser tout bonus et tout bénéfice sur la vente des actions de la
société reçu ou réalisé dans les 12 mois suivant l'établissement ou le dépôt des comptes
faisant l'objet du réajustement.
8
Définition de la SEC dans sa règle d’application intitulée : « Management’s Reports on Internal Control Over
Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports », en date du 5 juin 2003
En outre, les dirigeants doivent signaler aux auditeurs et aux comités d’audit les
déficiences dans le contrôle interne et les fraudes liées au contrôle interne. Enfin, ils doivent
mentionner dans leur rapport s’il y eu des changements significatifs dans le contrôle interne
après la date d’évaluation.
Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur
l’évaluation du contrôle interne réalisée par la direction de l’entreprise. »
L
ors de notre mission, consistant à mettre en place un dispositif de
contrôle interne bien fondé, nous avons été contraints de suivre un
cadre scientifique preuve de professionnalisme. Ainsi, et pour rester
dans un cadre académique aussi, il nous est paru indispensable
d’adopter un référentiel reconnu pour crédibiliser notre travail.
En effet, nous avons trouvé que le COSO est le seul référentiel existant
actuellement en matière de contrôle interne, et que l’ISO31000 est la norme
internationale la plus adoptée en matière de management des risques.
Ainsi, nous allons développer dans cette partie les fondements du COSO et
la principale ligne directrice de l’ISO31000, pour ensuite expliciter la démarche
ERM que nous avons suivi durant notre mission.
CHAPITRE I : COSO, référentiel universel de contrôle interne
Le contrôle
interne
s’applique à
l’entreprise
dans son
ensemble ou à
l‘une
Le pilotage est nécessaire quelconque de
pour atteindre les trois ses unités ou
objectifs et ce pour activités.
l’ensemble des activités de
l’entreprise
1. L’environnement de contrôle
Il est nécessaire de procéder à une analyse des risques une fois que ceux-ci ont été
identifiés à la fois au niveau de l’entreprise et de chaque activité. Il existe différentes façons
de procéder à cette analyse dans la mesure où bien des risques sont difficiles à
quantifier. Néanmoins, le processus, plus ou moins formel, se décompose généralement de la
façon suivante :
L’évaluation des risques reste difficile ; on peut les décrire selon leur importance
comme étant « forts », « moyen » ou « faibles ».
3. Activités de contrôle
Ces procédures de contrôle concernent tous les domaines de l’entreprise et tous les
niveaux de personnel. Elles prennent la forme d’approbation, d’autorisation, de
vérification, de rapprochement, d’analyses des performances par les responsables
fonctionnels ou opérationnels, de contrôles physiques, de séparations de tâches, etc.
4. Information et communication
Toutes les entreprises doivent recueillir les informations pertinentes (financières
ou non) relatives aux événements et activités, externes comme interne, identifiés par la
direction comme étant utiles à la conduite des affaires. Ces informations doivent
ensuite être communiquées dans une certaine forme et dans des délais adéquats aux
personnes qui ont en besoin ; elles leur permettront d’assumer leurs responsabilités et,
notamment, d’effectuer les contrôles qui leur incombent.
Information
Le processus qui permet l’identification, la collecte, le traitement et la
diffusion de l’information est communément appelé « systèmes d’information ». Les
systèmes d’information peuvent être informatisés, manuels ou la combinaison des deux.
Les systèmes d’information de façon générale ne sont pas figés, mais doivent
évoluer en fonction d’une part de l’entreprise, et d’autre part de son environnement.
Communication
La communication prend diverses formes, telles que des manuels de procédures, des
notes internes, des revues internes, des tableaux d’affichage, les messages transmis
oralement (réunion d’équipe, entretien individuel). Aussi, les mesures prises par le
management à l’égard des employés constituent également un puissant moyen de
communication interne.
5. Pilotage
Les opérations de pilotage peuvent être pratiquées soit au travers des activités
courantes, soit par le biais d’évaluations ponctuelles.
Les opérations courantes de pilotage sont intégrées dans l’entreprise à la chaîne des
activités d’exploitation. Elles comprennent les activités courantes de gestion et de
Evaluations ponctuelles
Les évaluations ponctuelles peuvent être effectuées par l’audit interne, ou par les
responsables des divisions ou des fonctions particulières (auto-évaluation) ou bien encore par
des auditeurs externes.
maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence
au risque)» de l’organisation,
1. Présentation
ISO 31000 regroupe une famille de normes de gestion des risques codifiés par
l’organisme International Organization for Standardization. Le but de la norme ISO
31000:2009 est de fournir des principes et des lignes directrices du management des risques
ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. Elle ne vise
pas à promouvoir l'uniformisation du management du risque au sein des organismes, mais
plutôt à harmoniser la myriade d’approches, de standards et de méthodologies existantes en
matière de management des risques.
ISO 31000 propose une approche générique du Management des risques mais ne
préconise pas de moyens opérationnels de mise en œuvre. Cette norme suggère de bonnes
questions pour aborder le sujet complexe de la gestion des risques et non de bonnes pratiques
pour y répondre. Les moyens de mise en œuvre du Management des risques sont développés
dans les documents métiers sectoriels qui ne sont donc pas rendus obsolètes par cette norme.
Ils y trouvent au contraire un vocabulaire et un cadre global pour les situer.
2. Identification du risque
L’identification des risques inclut tous les risques qu’ils soient sous contrôle ou non,
elle doit être documentée et formalisée.
Lors de cette étape aussi, la question est posée quant aux contrôles déjà mis en place
pour remédier aux risques, leur existence et sur leur efficacité.
D
ans cette deuxième partie, qui est plus empirique par rapport à la
première, il s’agit de modéliser la démarche ERM suivi et de mettre
en œuvre un dispositif de contrôle interne visant la minimisation des
risques détectés.
Cycles Processus
Trésorerie - Encaissement/décaissement front office
- La remise en banque
- Achat par petite caisse
- Dépenses par carte Corporate
- Remboursement des notes de frais
- Virement de masse
Ventes - Ouverture des lignes de crédits
- Credit management
- Ventes Front Office
- Facturation
- Modification/annulation des réservations
- Cadrage CA encaissé – CA comptabilisé
Achats - Les prépaiements
- Le contracting
- Contrôle des achats
RH - Elaboration des contrats de travail
- La paie
- Avances aux employés
Reporting financier - Clôture mensuelle des comptes
- Report du résultat et génération de l’EBITDA
- Mapping IFRS sur HFM
Immobilisations - Acquisition des immobilisations
- Amortissement des immobilisations
- Réévaluation des immobilisations (IAS 36)
Health & Safety - Sélection et formation des chauffeurs
- Maintenance et entretien des véhicules
- Heures de conduite
Tableau 3 : Approche par cycles des processus de HOS
Dans ce qui suit, nous procéderons à la démarche ERM pour Risk Management.
1. Secteur d’activité
a. Présentation du secteur :
Le secteur du tourisme représente un des piliers de l’économie marocaine, il apporte
des devises et participe à l’équilibre de la balance des paiements, crée des emplois, améliore
les revenus et génère des effets multiplicateurs sur le reste des secteurs de l’économie. Il
contribue à hauteur de 7,5% du PIB national et 14,8% des recettes de la balance des
paiements en 2010. Par ailleurs, la participation du secteur touristique aux recettes en devises
a atteint près de 56,1 milliards de dirhams en 2010, soit 440,6 milliards de dirhams sur la
période 2001-20109.
L'atteinte de ces objectifs ambitieux passe, entre autres, par une professionnalisation
continue des métiers du tourisme à savoir :
9
Ministre de l’économie et des finances, Direction des Études et des Prévisions Financières, DEPS/SAT, bilan
de la vision 2010 publié en Avril 2011 sous le titre de « Secteur du tourisme : Bilan d’étape et analyse
prospective »
10
Extrait du site officiel du ministère de tourisme marocain : http://www.tourisme.gov.ma/francais/3-Metiers-
tourisme/1-Presentation/Presentation.htm
Conçue pour mettre en valeur chacune des régions du Maroc, cette Vision vient
pérenniser les réalisations de la Vision 2010 et donner une impulsion nouvelle au secteur du
tourisme. Elle se fixe comme objectif de doubler la taille du secteur touristique, hissant ainsi
le Royaume parmi les 20 premières destinations touristiques mondiales.
En effet, les solides fondations posées par la Vision 2010 et les opportunités offertes
par les nouvelles tendances du tourisme mondial, nous permettent de nourrir de grandes
ambitions pour la nouvelle décennie, fondées sur nos valeurs fondamentales et nos points de
différentiation :
L'authenticité
La qualité :
La durabilité :
11
Extrait du site officiel du ministère de tourisme marocain : http://www.tourisme.gov.ma/francais/2-
Vision2020-Avenir/1-en-bref/enbref.htm
Doubler en conséquence les arrivées de touristes, en doublant les parts de marché sur
les principaux marchés européens traditionnels et en attirant 1 million de touristes
issus des marchés émergents.
Axes de développement
2. Entreprise d’accueil
1999 : Lancement de la marque Eden Voyages, pour l'activité Outgoing, avec plus de 50
destinations à travers le monde.
2002 : Création d'une filiale « New Eden » agent général de vente de compagnie
aérienne.
b. Fiche Signalétique :
Forme juridique Société anonyme
12
Site officiel de Holidays Services
Avant de commencer tout travail, il nous est paru opportun de soumettre la société
l’accueil, Holidays Services, à une analyse SWOT (Figure ci-dessous) mettant en évidence
les couples Forces/Faiblesses et Opportunité/Menaces.
Cette analyse nous permettra, tant que risque manager, de détecter les premières
zones de risques et d’orienter notre mission de risk management.
Pour ce faire, nous avons mené à une étude documentaire exploitant les rapports du
ministère de tourisme, le manuel de procédures de la Hoidays Services, les différentes notes
de service émises par la direction, les rapports d’activités de ladite société … Nous avons
FORCES: FAIBLESSES :
• Leader sur son marché • Système d'information peu
• Des gammes de produits très performant (Sage 100) ne permettant
diversifiées pas d’analyses d’information
• Capacités financières importantes avancées
• Savoir-faire et maitrise du métier de • Système de contrôle interne faible,
voyagiste défaillance au niveau de
• Grande taille et grande compétitivité l’implémentation de procédures.
• Obsolescence des connaissances
• Absence de comptabilité analytique.
OPPORTUNITES: MENACES:
• Marché international et large • Forte concurrence des pays de la
• Progression en 2013, malgré la crise, méditerranée, à leur tête l’Espagne et
des arrivées de 3%, les nuitées de la Turquie.15
14% et les recettes de 5,9 %13 • La crise économique en Europe
• Subventions et facilités et législation • Absence d’une diversité des produits,
favorable au secteur touristique centrés autour du tourisme culturel et
• PLC Travel, numéro 1 mondial des balnéaire uniquement.
voyages, qui détient la majorité des • La concurrence informelle interne
actions Holidays Services.14
13
http://www.lavieeco.com/news/economie/tourisme-les-arrivees-ont-progresse-de-3-et-les-nuitees-de-14-en-
janvier-24845.html
14
http://www.tuitravelplc.com/
Figure 8 : Cartographie des flux Holidays Services –réalisé par nos soins -
15
http://www.lavieeco.com/news/economie/tourisme-les-arrivees-ont-progresse-de-3-et-les-nuitees-de-14-en-
janvier-24845.html
Lors de cette phase nous allons dresser un tableau qui synthétise les risques détectés.
Afin d’identifier les risques opérationnels, lié aux défaillances des procédures, du
personnel et des systèmes internes, nous avons essayé de s’impliquer dans chaque processus
appart, a travers de l’observation participante. Une narration et un Flowchart sont dressés par
la suite afin d’analyser le processus. Les constats sont finalement attribués aux risques
correspondants.
a. Exemple illustratif :
Ci-après, une illustration de l’analyse du processus « Contrôle des achats » :
Narration de la procédure :
Après réception des factures et vouchers y afférents, le bureau d’ordre saisi les saisit
sur « HS Factures » et le soulève au service contrôle des achats.
Dans un premier temps, les vouchers (Voir Annexe 3) saisi sur Exceed avant la
prestation sont revus et ajustés aux vouchers réels reçus en nombre de pax et PU.
Ensuite, le montant des vouchers est comparé à celui sur la facture, avant de passer à
la validation.
La validation d’un voucher consiste à y insérer la date de facture et la date de contrôle
(cette dernière est la date à partir de laquelle est calculée l’échéance de paiement).
(Voir Annexe 2)
Toute validation est matérialisée par un numéro de contrôle.
Après validation de tous les vouchers composant la facture, un journal des achats
contenant ces derniers est joint à la facture.
Les factures validées par le responsable contrôle des achats sur Exceed sont intégrées
par le chef comptable sur Sage pour permettre au comptable fournisseur d’être
informé sur les factures à régler.
Figure 9 : Flow-charte de la procédure Contrôle des achats –réalisé par nos soins-
Risques identifiés :
Constats Risques
A l’entrée des vouchers, à part la signature du Risque d’écart entre réservation et prestation
guide, il n’existe aucune preuve quant à la réelle
pertinence du nombre de pax indiqué. De plus,
les vouchers rendus par les guides ne sont ni
revus, ni rapprochés à ceux de l’hôtel.
Le comptable-fournisseur n’a pas accès aux Risque de double paiement des factures.
factures-fournisseur, et ne porte aucune
mention sur les factures payées.
C’est ainsi que nous procédé afin de ressortir les risques liés à tous les cycles de
Holidays Services.
Pour des raisons de confidentialité, la liste des risques ci-dessous n’est pas
exhaustive, elle comporte uniquement les risques autorisés par la direction de Holidays
Services être mis sur notre rapport.
Numéro
Cycle risque Description
risque
Encaissement ou décaissement ne
Flux d’espèces
1 correspondant pas aux pièces
incorrects
justificatives
vol d'espèces que ce soit aux locaux de
2 Vol la société ou lors des transferts pour
remise en banque
Les risques étant identifiés, nous allons procéder à une analyse de leurs causes,
conséquences, probabilité d’occurrence et de leur gravité.
3 risques nécessitent une intervention urgence de la part de Holidays Services, R4, R5 et R9.
On constate que les risques détectés chez Holidays Services sont peu probables généralement,
sauf pour les R4, R5 et R9 que nous avons qualifiés de fréquents, vu leur occurrence effective
durant la période de notre mission.
De plus, les risques sont en majorité entre moyens et importants, cela ne nécessitera donc
aucune intervention urgente de HOS, elle pourra intervenir aisément afin de remédier aux
risques pour lesquelles elle est exposée, et ce via de simples contrôles peu couteux.
Les contrôles ne peuvent jamais réduire le risque à zéro, ils le gèrent vers un niveau
acceptable.
Il reste à noter que les contrôles mis en place on été implémentés dans une logique
coût/avantage en prenant en considération aussi la « Risk Appetite » qu’a adoptée Holidays
Services.
Exemple : Un contrôle préventif sur les stocks peut être de sécuriser le magasin et de
limiter son accès. Un contrôle détectif serait de procéder un inventaire périodique de ce stock.
Le tableau ci-après résume l’ensemble des contrôles que nous avons mis en place
pour minimiser les risques déjà identifiés, analysés et évalués :
Cycle Trésorerie
Cycle Achats
Cycle Ventes
Cycle RH
Cycle Production
Cycle Health & Safety
Cycle Achat
CHATS – PRODUCTION
i. Objectif
S’assurer que les montants avancés aux fournisseurs font l’objet d’une analyse et
d’un lettrage correct lors de la réception des factures correspondantes
ii. Contrôle
S’assurer que les normes sont définies et bien connues du personnel
S’assurer de la bonne application de la procédure
Corriger les anomalies détectées et formuler des recommandations d’amélioration
iv. Déroulement
Selon la procédure instaurée par le groupe, il convient de remplir les deux fichiers
suivants :
Service Commercial /
i. Objectif
ii. Contrôle
L’initiateur de l’achat
Le caissier
Le responsable de la trésorerie
Le Chef Comptable et/ou le Directeur Général
iv. Déroulement
Les achats par caisse sont des achats non courants, avec des montants très réduits.
Il s’agit soit, des achats à caractère immédiat, c'est-à-dire qui ne peuvent être
effectués en passant par le circuit classique soit, des achats avec des montants très faibles,
pour lesquels le paiement par chèque ou virement ne constitue pas une solution optimale
v. Normes à respecter
vi. Focus
Sur notre champs de mission « Holidays Services », nous avons suivi une démarche
Entreprise Risk Management ISO31000 afin d’identifier, d’analyser et d’évaluer les risques
opérationnels auxquels la société est exposée. Ceci nous a permis de dresser la cartographie
des risques opérationnels classé par cycles.
Selon cette cartographie, Holidays Services citée ci-dessus présente des risques
opérationnels relativement importants mais peu probables. Cependant, ils affectent l’atteinte
de ses objectifs et remettent en cause son reporting mensuel vers TUI Travel Plc, sa société
mère.
Par conséquent, la phase finale de notre démarche ERM, celle du traitement des
risques, est dispositif complet de contrôle interne conçu suivant le référentiel COSO. Il s’agit
de contrôles implémentés sous forme de procédures communiquées dans un manuel de
procédures.
C’est ainsi que nous avons abouti à une certaine assurance quant à la couverture des
risques détectés, pouvant nuire à l’atteinte des objectif de Holidays Services, à la sécurité de
ses actifs et à la pertinence de l’information financière communiquée.
Il reste à souligner, que malgré l’efficacité des dispositifs de contrôle interne exigés
par la SOX, ils nécessitent des investissements considérables en systèmes informatiques
pouvant parfois même dépasser le dommage subit en cas d’occurrence des risques couverts.
Aussi, l’obligation de rendre publiques des informations précieuses sur le contrôle interne de
l’entreprise bénéficie aux investisseurs et aux régulateurs mais également aux concurrents.
Ce qui pousse à centrer nos réflexions aussi autour d’une logique coût-avantage.
OUVRAGES :
ARTICLES :
Aon Global Risk Consulting, Enterprise Risk Management : intégrez la gestion des
risques au cœur du pilotage de vos activités, Avril 2010
IFACI, Le dispositif de Contrôle Interne : Cadre de référence, présentation des travaux
de groupe de Palace, Novembre 2006.
Hervé Stolowy, Edouardo Pujol, Mauro Molinari, Audit Financier et contrôle interne :
l’apport de la loi SOX, HEC, 2010
WEBOGRRAPHIE :
http://www.kpmg.com/FR/fr/IssuesAndInsights/ArticlesPublications/Pages/201011-
ACI-Guide-methodologique-IFA.aspx
http://www.iso.org/iso/fr/home/standards/iso31000.htm
http://www.coso.org/documents/coso_framework_body_v6.pdf
Remerciement ......................................................................................................................... 2
Sommaire ............................................................................................................................... 5
Introduction ............................................................................................................................ 7
1. Définition ............................................................................................................... 10
f. Le principe d'indépendance.................................................................................... 14
d. La collusion ........................................................................................................ 17
a. Le contexte ......................................................................................................... 26
5. Pilotage .................................................................................................................. 42
1. Présentation ............................................................................................................ 44
PARTIE 3 : Risk Management et renforcement du contrôle interne chez TUI PLC Travel –
Holidays Services. ................................................................................................................ 50
1. Secteur d’activité.................................................................................................... 52
2. Entreprise d’accueil................................................................................................ 54
CHAPITRE 2 : Appréciation des risques chez TUI PLC Travel – Holidays Services ........ 59
CHAPITRE 3 : Traitement des risques et mise en place d’un dispositif COSO du contrôle
interne ................................................................................................................................... 68
Conclusion ............................................................................................................................ 83
Bibliographie : ...................................................................................................................... 84
Annexes ................................................................................................................................ 89
sur www.Sogecash.ma
SYMBOLE SIGNIFICATION
Processus / opération
Décision
Document
Saisi manuelle
Opération manuelle
Début / Fin
Circulation de document
Circulation d’information