MISE EN PLACE DE L’APPROCHE RISQUES AU PROFIT DE 15

MINISTÈRES

MÉTHODOLOGIE ET OUTILS D’ÉLABORATION DE LA

CARTOGRAPHIE, DU PLAN DE MITIGATION, ET D’AUDIT BASE
THEME SUR LES RISQUES DE 15 MINISTÈRES
DU 04 OCTOBRE AU 20 NOVEMBRE 2021

FINANCEMENT BUDGET NATIONAL

 Dates et heures Séquences/ Contenu Nombre de jours
SEMINAIRE DE FORMATION PROFESSIONNELLE APPROFONDIE DES ACTEURS :
METHODOLOGIE ET OUTILS D’ELABORATION DE LA CARTOGRAPHIE DES RISQUES ET
PLANIFICATION DE LA MISSION DANS LES 15 MINISTÈRES RETENUS :
• lundi 01 au Samedi 09 octobre 2021 (soit 6 jours) : session du 1er groupe : MDN et MISP ;
• lundi 11 au Samedi 16 octobre 2021 (soit 6 jours) : session du 2e groupe : MTCA, MSp et MASM
• lundi 18 au Samedi 23 octobre 2021 (soit 6 jours) : session du 3e groupe : MCVDD et MIC
• lundi 25 au Samedi 30 octobre 2021 (soit 6 jours) : session du 4e groupe : MESRS et MEMP
• lundi 02 au Samedi 06 novembre 2021 (soit 6 jours) : session du 5e groupe : MESTFP et
MPMEPE
• lundi 08 au Samedi 13 novembre 2021 (soit 6 jours) : session du 6e groupe : MEF et MTFP
• lundi 15 au Samedi 20 novembre 2021 (soit 6 jours) : session du 7e groupe : MDGL et MAEC
Lundi
8 H 00 à 16 H 00 : Travaux
- Présentation des participants, des
intervenants, des objectifs et
planning des travaux : 8 H 00 à 9 H 00
- Travaux : 9h00 à 10H30
- Pause-café : 10 h 30 à 10 h45
- Suite des travaux : 10 h 45 à 13 h 00
- Pause déjeuner : 13 h 00 à 14 h 00
- Suite des travaux : 14h 00 à 16 h 00
Mardi et mercredi
8 H 00 à 16 H 00 : suite des travaux
- Suite des travaux : 8 H 00 à 10 H 30
- Pause-café : 10 h 30 à 10 h 45
- Suite des travaux : 10 h 45 à 13 h 00 :
- Pause déjeuner : 13 h 00 à 14 h 00
- Suite des travaux : 14h 00 à 16 h 00
Jeudi et Jeudi
8 H 00 à 16 H 00 : Travaux de groupe
- Suite des travaux : 8 H 00 à 10 H 30
- Pause-café : 10 h 30 à 10 h 45
- Suite des travaux : 10 h 45 à 13 h 00 :
- Pause déjeuner : 13 h 00 à 14 h 00
- Suite des travaux : 14h 00 à 16 h 00
Samedi
8 H 00 à 16 H 00 : Travaux
- Suite des travaux : 8 H 00 à 10 H 30
- Pause-café : 10 h 30 à 10 h 45
- Suite des travaux : 10 h 45 à 13 h 00 :
- Pause déjeuner : 13 h 00 à 14 h 00
- Synthèse des travaux et clôture du
séminaire: 14h 00 à 16 h 00
Total
Approche théorique 1/6
Séquence 1 :
Le Management des risques dans le
du
secteur public : Concepts, référentiels,
principes et implications dans le cadre
des nouvelles réformes des finances
publiques au Bénin
Approche théorique et 2/6
pratique
Séquence 2 :
Comment élaborer une cartographie
ou registre des risques, le plan de
mitigation et d’audit : Méthodologie et
outils
Applications pratiques 2/6
Séquence 3 :
Modélisation, inventaire des risques,
Évaluation des risques et implications
(plan de mitigation et d’audit interne)
en travaux de groupe et planification
de la mission
Suite applications pratiques 1/6
(Restitutions) et planification de la
mission (constitution des équipes,
choix des points focaux, dates des
réunions d’ouverture, etc.)
3 6/6
1. Contexte et jus+fica+on
•L’internalisa+on des direc+ves de l’UEMOA de 2009,
engage une dynamique de modernisa2on sans
précédent de la ges2on publique.
Avec la promulga2on de la Loi organique 2013-14 du
27/09/2013, l’État bascule d’une logique de moyens à
une logique de résultats et s’engage résolument dans
une démarche de performance visant l’améliora2on de
l’efficacité des poli2ques publiques à travers l’approche
programme, avec comme leviers la GAR, ABR (contrôle
interne et management des risques : art 16).
L’ article 9.2 de la Convention des Unies de
2003 contre la Corruption précise en effet
• Chaque État par,e prend, conformément aux
principes fondamentaux de son système
juridique, des mesures appropriées pour
promouvoir la transparence et la
responsabilité dans la ges,on des finances
publiques.
• ➡Ces mesures comprennent notamment:
a) Des procédures d’adoption du budget
national;
b) La communication en temps utile des
dépenses et des recettes ;
c) Un système de normes de comptabilité et
d’audit, et de contrôle au second degré ;
d) Des systèmes efficaces de gestion des
risques et de contrôle interne, et
e) S’il y a lieu, des mesures correctives en cas de
manquement aux exigences du présent
paragraphe
Ø Article 12 de la DIRECTIVE N° 06/2009/CM/UEMOA DU 26 JUIN
2009 PORTANT LOIS DE FINANCES AU SEIN DE L’UEMOA (Art 14 Loi
Organique n°2013-14 du 27 septembre 2013 relatives aux Lois des
Finances au Bénin)

• « ……Un programme regroupe les crédits destinés à mettre en

oeuvre une action ou un ensemble cohérent d’actions représentatif
d’une politique publique clairement définie dans une perspective
de moyen terme.
• A ces programmes sont associés des objectifs précis,
• arrêtés en fonction de finalités d’intérêt général et des résultats
attendus. Ces résultats, mesurés notamment par des indicateurs de
performance, font l’objet d’évaluations régulières et donnent lieu à
un rapport de performance élaboré en fin de gestion par les
ministères et institutions constitutionnelles concernés…. »

8
Ø Article 13 de la DIRECTIVE N°
06/2009/CM/UEMOA DU 26 JUIN 2009
PORTANT LOIS DE FINANCES AU SEIN DE
L’UEMOA, article 16 LOLF Bénin du 27 sep 2013;
(17 CEMAC)
• »Sur la base des objectifs généraux fixés par le
ministre sectoriel, le responsable de programme
détermine les objectifs spécifiques, affecte les
moyens et contrôle les résultats des services
chargés de la mise en œuvre du programme. Il
s’assure du respect des dispositifs de contrôle
interne et de contrôle de gestion
• Les modalités de mise en œuvre des
contrôles budgétaires et comptables prévus
par la présente Direc@ve (LOIS) ainsi que par
la Direc@ve (Décret) portant règlement
général sur la comptabilité publique ;ennent
compte tant de la qualité et de l’efficacité du
contrôle interne que du contrôle de ges;on
pour chaque programme. Sans préjudice de
leurs missions de contrôle et de vérifica@on
de la régularité des opéra@ons financières,
les corps et ins@tu@ons de contrôle, ainsi que
la Cour des comptes, contrôlent les résultats
des programmes et en évaluent l’efficacité,
l’économie et l’efficience. »
 En ce qui concerne la rénovation du
contrôle
• L’Ar%cles 94 de la Direc*ve n°07/2009/CM/UEMOA
(ou, ar'cles 115, 116, 118 et 119 du Décret Béninois
du 7 octobre 2014,) portant règlement général sur la
comptabilité publique précise que « Les organes et
corps de contrôle exercent leurs missions d’inspec%on,
de vérifica%on ou d’audit, conduisent leurs
inves%ga%ons et élaborent leurs rapports
conformément (à la règlementa%on qui les régit) aux
normes interna%onales en vigueur. »
• Voir également ar%cle 90, 91, 93 Direc%ve RGCP

11
ØCes articles fixent les normes d’exercice
professionnel des contrôles internes : ces
normes sont les normes internationales en
vigueur.
• L’exigence de qualité de ces contrôles est
donc la plus élevée.

12
La maison des normes nouvelles : la NGP promu par le Directive 09/2009 UEMOA

Audi externe

Inspection
(Lutte Contre Audit
la Fraude Supérieur

2e niveau : Audit interne

1er niveau : Contrôle interne

Responsabilité managériale
 Tableau 1 : L’ancien et le nouveau système

Instance suprême
fixe L'Administration Le contrôle
(Roi, Parlement) +

Les obligations
1- Ancien système Vérifie
Les modalités
Loi, (décrets, règlements, Exécute (la régularité)
...
etc.) Sanctionne
TOUT
Évalue
(l'efficacité)
2- Nouveau système
Les objectifs Gère Mesure
Programme
Les résultats choix des moyens et (des (les résultats)
(revolving en fonction des
Les outils modalités) Recommande
résultats)
(des
améliorations)

Les objectifs de toute gestion administrative et financière

Modèle des trois lignes de maîtrise de l’IFACI, adapté à
l’administration de l’Etat au Bénin
Le ministre et le CMAI

Directions opérationnelles, Secrétariat général

Audit externe (Cour des comptes)

1ère ligne de maîtrise 2ème ligne de maîtrise 3ème ligne de maîtrise

Inspection / Pré- disciplinaire

Contrôle financier / de gestion

Systèmes de
gestion, Dispositifs Audit interne : IGM
processus, Qualité / Conformité
de contrôle (au sens du CRAIE)- -
méthodes, interne
moyens, Sécurité, SI
organisation (modèle CMAI / IGM )
Coordination du CI

CMMR
 corps externes
4 ème niveau
audit externe (CdC), CAC, BAI

3ème niveau services d’audit interne / IGM

2 ème niveau corps de contrôle

contrôleurs opérationnels,
Points focaux chargés du contrôle des risques,
contrôleurs opérationnels permanents

1 er niveau management
opérationnel ou fonctionnel
Les trois types de contrôles – Différences
Maîtrise des risques et audit interne :
le cercle vertueux
Maîtrise des risques Audit interne

• Cartographie des risques • Plan (pluri) annuel

(mise à jour annuelle) d’audit interne
• Risques liés aux activités
récurrentes ----------------------------------
• Risques générés par les
mutations du contexte • Observations et
Interne et externe recommandations des
• Plan de traitement des audits
risques (plan de • Plan d’action de l’audité
mitigation) • Synthèse
 Articulation contrôle interne / Audit
interne

OBJECTIFS RISQUES CONTRÔLE AUDIT INTERNE

INTERNE
Un objectif est un Un risque est Le contrôle interne L’audit interne
résultat vers lequel défini par le CRAIE est l’ensemble des évalue la qualité́ et
tend une comme la dispositifs l’efficacité́ des
organisation. “possibilité́ que se formalisés et dispositifs de
produise un permanents qui contrôle interne
évènement qui visent à maîtriser
aura un impact sur les risques liés à la
la réalisation des réalisation des
objectifs”. objectifs.
 Inspection et audit interne
• L'inspection est une action hiérarchique, à
logique verticale :
– décidée à la suite d’un dysfonctionnement, des
dénonciations ou pour évaluer des personnes,
– en vue de lutter contre la corruption, les fraudes
ou les irrégularités (intentionnelles)
– elle recherche les responsabilités individuelles et
peut aboutir à des sanctions.
• NB : « L'inspecteur travaille sous l’œil du juge
administratif ».
• L’audit interne cible les processus en vue
d’une amélioration de la conformité / de la
performance. Il ne s’inscrit pas dans un
contexte de dysfonctionnement constaté et
n’a pas pour objectif premier de lutter contre
la fraude.
 Audit externe et audit interne

• L’ audit externe est une fonction extérieure à

l’organisation dont la mission est de certifier la
régularité des prestations fournies.
• Pour nos administrations d’Etat, c’est la Cour des
comptes, en charge de la certification des
comptes de l’État, qui est notre auditeur externe.
• L’auditeur interne est membre de l’organisation et
travaille au bénéfice du responsable de
l’organisation.
• NB : les auditeurs externes peuvent demander
une certaine forme de collabora,on avec les
auditeurs internes, pour autant que les
premiers es,ment les travaux des seconds
suffisamment fiables [cf. notamment ISA,
norme 610, u,lisée par la CdC]
 Contrôle interne et audit interne

• Le contrôle interne est un ensemble de moyens, de

comportements, de procédures et d’actions, propres à
chaque organisation qui lui permettent d’assurer :
– L’atteinte des objectifs stratégiques de l’organisation ;
– L’efficacité et l’efficience des opérations et des projets ;
– La fiabilité et l’intégrité des informations financières et
opérationnelles ;
– Le respect des lois, règlements, règles, procédures et
contrats ;
– Le caractère soutenable des finances publiques ;
– La protection des actifs.
• L’audit interne évalue le contrôle interne [cf.
CRAIE 2130.A1].
 Contrôle de gestion et audit interne

• Le contrôle de gestion est un processus transversal

permanent, destiné à aider les responsables de
service à piloter leur organisation :
– en définissant des objectifs chiffrés,
– en mettant en place les indicateurs (tableaux de bord),
– en comparant les performances et les objectifs,
– en assurant l’adéquation entre les objectifs et les moyens.
• L’audit interne peut s’appuyer sur le contrôle de
gestion pour cibler les faiblesses de l’organisation ou
percevoir l’existence ou l’évolution de risques. Il peut,
en retour, contribuer à la fiabilisation des indicateurs
de gestion.
 Démarche qualité et audit interne
• La finalité de l’assurance qualité est :`
– de mettre en place le Système de Management
de la Qualité de l‘organisation. Ce système fournit
aux opérationnels des référentiels (description des
processus RH, Informatiques, …), des procédures,
des règles à respecter (lois et réglementation)
– de garantir la conformité de ce Système de
Management de la Qualité à la Norme ISO, par la
conduite d'audits qualité
• L’audit interne s’appuie sur le système d’assurance
qualité et a voca*on à développer une démarche
qualité qui lui est propre (cf. 1300 et suivantes du
CRAIE)
• NB : l’audit « de conformité » vise à s’assurer de la
conformité des actes et procédures à un ensemble de
normes applicables (réglementaires, juridiques,
comptables et financières, etc.), appelé ‘référen*el’,
annoncé par les auditeurs avant leurs travaux et
rappelé dans leur rapport d’audit. La plupart des audits
internes comprennent une par*e ‘examen de la
conformité’ par rapport à un ou plusieurs référen*els,
mais ils n’y sont toutefois pas réduits : leur étendue
excède souvent le strict cadre de l’examen de la
conformité
Évaluation (des politiques publiques) et
audit interne
• Les éléments constitutifs de l’évaluation sont en principe :
– L’examen de la pertinence des actions (par rapports aux
objectifs annoncés) ;
– L’examen de l’impact observé (y compris à l’extérieur du
domaine concerné) ;
– L’examen de la cohérence des actions (« interne » et « externe
») ;
– L’examen de l’efficacité (comparaison des résultats obtenus par
rapport aux résultats attendus) ;
– L’examen de l’efficience (estimation du ratio output / input, y
compris coût et délai de réalisation)
– L’examen de l’économie générale (ne pouvait-on faire aussi bien
mais autrement, et/ou ailleurs, et/ou pour moins cher ?).
• L’audit interne questionne aussi l’efficacité et
l’efficience, mais seulement plutôt celles des
dispositifs de CI qu’il évalue.
• NB : l’audit « de performance », aussi appelé
« value for money », porte sur ces « 3 E » (et
dans certains cas les auditeurs examinent
également en amont la pertinence des
objectifs spécifiques et celle de leurs
indicateurs de performance…) ; voir aussi
certains travaux de la CdC
 A RETENIR
• L’audit interne est strictement défini et normé.
• Il se distingue :
– du contrôle interne qu’il évalue ;
– de l’audit externe chargé de la certification des
comptes ;
– du contrôle de gestion et de la démarche qualité sur
lesquels il peut s’appuyer ;
– de l’évaluation avec laquelle il partage quelques outils
mais pas la finalité ;
– de l’inspection qui concerne les agents (et non les
entités, grandes fonctions, processus – objets de
l’audit interne).
• L’audit interne nécessite un changement de
posture par rapport à l’inspec+on.
 I.2 Les enjeux et implications de la réforme : La
maîtrise des risques pour une meilleure gestion
publiques

« Rien n’est plus nécessaire au gouvernement d’un

Etat que la prévoyance, puisque, par son moyen, on
peut aisément prévenir beaucoup de maux qui ne
se pourraient guérir qu’avec de grandes difficultés
quand ils sont arrivés. »

Cardinal duc de Richelieu, homme d’État français,

1er ministre de LOUIS XIII (1585-1642)
Source : Testament poli2que (1640), publié en 1688
35
• Tous les gouvernements sont confrontés à des
risques de toute nature pouvant menacer la
réalisa+on des poli+ques publiques dont les
ministres ont la charge.
• Il s’agit certes de risques comptables ou
budgétaires, bien connus, mais aussi de
risques « mé+ers » ou opéra+onnels liés à
leur mise en œuvre.

36
• À l’instar d’une entreprise dans laquelle la
survenance d’un risque majeur, de niveau
stratégique ou opéraBonnel, peut entrainer sa
faillite et sa dispariWon, un État se doit
d’anWciper tout risque majeur, systémique, qui
affecterait :
– sa souveraineté́,
– sa sécurité
– son image,
– sa capacité́ d’acCon et de délivrance des service
publics,
– sa situaCon financière ou sa gesCon, au détriment des
citoyens.

37
• Chaque ministre en charge d’une poli+que
publique sait que, pour réussir les missions
pour lesquelles il a été́ nommé, il doit
impéra+vement se prémunir des principaux
risques pouvant compromeMre leur bonne
réalisa+on.

38
• Ce#e approche managériale d’an3cipa3on
est pourtant encore ignorée ou sous-u3lisée
par :
– les dirigeants publics,
– responsables administraBfs
– comme poliBques.
• Les ministres ont désormais a leur
disposi3on, 2 nouveaux organes pour les
accompagner :
– Le CMMR
– Le CMAI (supervisant l’acBvité de l’audit
interne assuré par les IGM)

39
• La valeur ajoutée d’une démarche de
maitrise des risques dans chaque
ministère, est désormais organisée sur la
base :
– du contrôle interne (CI) : qui est un mode de
responsabilisa+on des managers publics sur des
risques affectant les poli+ques qu’ils meUent en
œuvre
– et de l’audit interne (AI) : qui met sous
tension et évalue le contrôle interne dans une
logique de responsabilisa+on pour une
améliora+on con+nue

40
• Ainsi le CMMR permet à l’État de mieux
an+ciper ses risques :
– d’abord en les cartographiant afin d’en avoir une
meilleure connaissance et de pouvoir les
hiérarchiser ;
– ensuite, en proposant à temps des réponses
durables pour éviter que ces risques ne puissent
se concré2ser (plan de mi2ga2on).
– Enfin il apporte un ou2ls précieux à l’audit
interne pour l’élabora2on de son PAIR, orienté
sur les risques majeurs pouvant empêcher
l’aceinte des objec2fs du ministère
41
42
II.1 Un corpus juridique mis en place, cons+tué
par :
– le décret n° 2018-396 du 29 Aout 2018 portant
réorganisa2on des organes de contrôle en
République du Benin ;
– le décret n° 2018-397 du 29 Août 2018 portant
approba+on du cadre de référence de l'audit
interne dans l'administra+on de l'État en
République du Bénin ;
– le décret n° 2018-398 du 29 Août 2018 portant
statuts par2culiers des corps de contrôle de
l'ordre administra2f en République du Bénin
 II.2 Organisa<on du contrôle et de
l’audit interne dans l’administra<on
• Remettre les ministres sectoriels au cœur du
dispositif de contrôle interne des ministères avec la
création
– de Comités Ministériels de Maîtrise des Risques - CMMR
– de Comités Ministériels d’Audit Interne – CMAI
• Placer les IGM chargées de l’audit interne dans les
ministères :
– sous la supervision technique des CMAI,
– Coordonnées par l’IGF chargée du suivi des suites données
aux principales recommandations des audits dans les
différents ministères
COMITÉ MINISTÉRIEL DE MAÎTRISE DES RISQUES – CMMR
Autorité : Secrétaire Général du Ministère
Mission :
Maîtriser les risques pouvant affecter l'efficacité des services en contribuant à renforcer le
dispositif de contrôle interne des Ministères

Composition (Art 7 et 8) Tâches (Art 6)

• Secrétaire Général du ministère :
Président
• Directeur de la Programmation et de la
Prospective : rapporteur
• Directeurs du ministère (centraux et
Techniques)
• Toute personne utile à la réalisation des
travaux
Dispositif de gouvernance et de remontée
des constats (Art 9)
• Se réunit par trimestre (au moins 4 fois
par an) en sessions ordinaires
• Émet un rapport annuel sur le contrôle
interne, destiné au Ministre au CMAI et à l’IGF
45 jours de la fin de l’année
• Veille au respect du cadre réglementaire
de contrôle interne défini par le
Gouvernement.
• Définit la politique de contrôle interne
sur les risques liés à la gestion des politiques
publiques dont le ministère a la charge.
• Établit la cartographie des risques du
ministère.
• Veille au développement et à la mise en
œuvre des dispositifs de contrôle interne
permettant de maîtriser ces risques (mise en
place de manuels de procédures...)
COMITÉ MINISTÉRIEL D'AUDIT INTERNE - CMAl
Autorité : Ministère
Mission : Orienter et superviser les activités d'audit interne exercées par
l'inspection Générale du Ministère
Composition (Art 11) Tâches (Art 10)
• Le Directeur de Cabinet du
ministre ; • Définit la politique d'audit interne
• Personne en charge du Contrôle du ministère,
Financier du ministère ; • S'assure de la qualité du dispositif
• Au moins deux personnalités de contrôle visant à assurer la
extérieures choisies en fonction de maîtrise des risques liés à la mise en
leur compétence en matière d'audit œuvre des politiques publiques ;
interne dans le secteur public (dont • Approuve le programme des
une est le président). audits ministériels et
• Ministre (invité).
Dispositif de gouvernance et de
remontée des constats (Art 15)
• Se réunit au deux fois par an
(session ordinaire)
• Émet un rapport annuel d'audit
interne et le suivi des
recommandations, destiné au
ministre sectoriel et à l'IGF dans
les 3 mois après la fin de l’année
INSPECTION GÉNÉRALE MINISTÉRIELLE – IGM
A ut orité : Inspecteur Général
M ission :
Met en œuvre le programme annuel d’audit interne validé par le Comité
Ministériel d’Audit Interne
C omposition
• L’inspecteur Général du
Ministère ;
• L’inspecteur Général Adjoint du
Ministère ;
• Agents de l’Etat détachés
(ou reversés) en fonction
de leurs expériences ;
• Collaborateurs débutant
recrutés par concours
• Auditeurs internes
expérimentés recrutés dans le
privé pour des durées
déterminées
D ispositif de gouvernance et de
r e montée des constats
• CRAIE, manuels
• Rapport d’audit par
mission destiné au
ministre sectoriel, au
service audité et à l’IGF
T â ches
• Propose et met en œuvre
les orientations du Comité
Ministériel d’Audit
Interne (CMAI)
• Propose un planning
d’audit interne sur la base
d’une analyse
ministérielle des risques
et le met en œuvre après
validation par le Comité
Ministériel d’Audit
Interne
• Apporte des Conseils aux
services opérationnels du
Ministère et au Comité
Ministériel de Maîtrise
des Risques (CMRR);
• Veille à la diffusion des
bonnes pratiques
relatives à l’audit interne.
48
III.1 Rôles et responsabilités d’un
CMMR
• Le CMMR est un organe chargé de la
conception, de la mise en œuvre et de la
surveillance du dispositif de contrôle interne
et de management des risques dont le rôle
est défini par l’article 6 du décret n° 2018-396
du 29 Aout 2018 portant réorganisation des
organes de contrôle en République du Benin

49
 DÉFINITION DU CONTRÔLE
• Le COSO1, instance de référence internaWonale
en maWère de gesWon des risques, de contrôle
interne et de prévenWon des fraudes, a défini le
contrôle interne comme « le processus mis en
œuvre par l’organe d’administraWon, les
dirigeants et le personnel d’une organisaWon
desWné à fournir une assurance raisonnable
quant à la réalisaWon de ses objecWfs liés aux
opéraWons, à la conformité et aux reporWng ».
• ☞COSO =Commicee of Sponsoring Organiza2ons of
the Treadway Commission

50
DÉFINITION DU MANAGEMENT DES RISQUES
DONNÉE PAR LE COSO2 RÉVISÉ 2017
• « Le processus mis en œuvre par le Conseil
d'administration, la direction générale, le
management et l'ensemble des collaborateurs de
l'organisation. Il est pris en compte dans
l'élaboration de la stratégie ainsi que dans toutes
les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles
d'affecter l'organisation et pour gérer les risques
dans les limites de son appétence au risque. Il
vise à fournir une assurance raisonnable quant à
l'atteinte des objectifs de l'organisation. »

51
• La maitrise des risques doit être l’affaire de
tous.
• Tous les agents de l’État, des gestionnaires aux
plus hauts responsables, sont concernés par
sa mise en œuvre

52
➢Elle repose sur deux piliers :

• 1/ l’obligaWon de meere en place un disposiWf

de « contrôle interne », reposant notamment
sur une cartographie des risques déclinée au
niveau opéraWonnel.
• Au-delà̀ du sens courant, la noWon de « contrôle
interne » est ici entendue dans son accepBon la
plus large de « mécanismes ou de mesures de
maitrise des processus et des opéraWons,
impliquant toute la chaine de gesBon dans sa
définiWon et dans sa mise en œuvre »

53
• 2/ l’obliga+on de disposer d’un système
d’audit interne (IGM) en charge d’évaluer et
d’améliorer ce disposi+f de contrôle interne
de façon con+nue.
• L’audit interne doit alors présenter toutes les
garan,es :
– d’indépendance (créa2on de corps, CMAI, mise à
disposi2on de moyens Art 25),
– de compétences et de crédibilité́ pour apporter
une réelle plus-value aux ministères.

54
• Le CMMR qui réunit l’ensemble des directeurs
vise à piloter cece démarche de contrôle
interne dans son ensemble, sur tout le
périmètre ministériel, en incluant :
– les fonc+ons support
– et les fonc+ons mé+ers.
• La maitrise des risques s’applique
ainsi a:
– ̀ tous les mé+ers,
– Tous niveaux hiérarchiques confondus.

55
Ø Les responsabilités spécifiques du CMMR sont :
• définir des poliWques de management des
risques, y compris les rôles et les responsabilités,
et parBciper à la fixaBon des objecBfs de mise en
œuvre (charte de contrôle interne et de
management des risques) ;
• définir, au sein des différentes unités du
ministère, les personnes responsables du
management des risques (les directeurs qui sont
les points focaux);
• promouvoir le management des risques dans
toute le ministère, en facilitant le développement
d'un savoir-faire technique et en aidant les
responsables à meWre en œuvre des traitements
du risque en foncBon des tolérances au risque de
l'organisaBon ;
• aider à intégrer le management des risques dans les
ac*vités de planifica*on et de management (sou'en
du DPP) ;
• établir un langage commun de management des
risques qui intègre des indicateurs homogènes rela*fs
à leur probabilité et à leur impact et qui définisse des
catégories communes de risques du ministère ;
• faciliter le développement par les managers de tableau
de bord qui *ennent compte de seuils quan*ta*fs et
qualita*fs et superviser le processus de repor*ng (avec
l’aide du DPP);
• rendre compte au Ministre, au CMAI et à l’IGF à la
fois :
– des progrès
– et des résultats atypiques ou anormaux
– et recommander et suivre la mise en œuvre les acMons
nécessaires (plan de miMgaMon).
• faire adhérer les acteurs mé+ers du contrôle
interne, et plus spécifiquement les managers :
– à l’iden2fica2on, l’analyse
– et à l’évalua2on des principaux risques placés
sous leur responsabilité
– à la hiérarchisa2on des risques validée par le
CMMR donnant une cartographie ministérielle des
risques
– Assor+t d’un tableau de bord de la ges+on des
ac+ons de préven+on des risques engagées par le
ministère (plan de mi+ga+on)

58
• La cartographie fait notamment par,e des
informa,ons u,les à l’Audit Interne (IGM et
IGF) pour pra+quer une analyse globale des
risques
• La cartographie des risques ministériels établit
et validée CMMR cons+tue un point d’appui
important au CMAI pour discuter et pour
approuver le plan d’audit interne, au regard
des risques iden+fiés comme prioritaires.

59
• La cartographie est aussi un support de
discussion et de partage entre les services
opéra+onnels.
• Elle permet d’installer le dialogue de ges+on
et un temps d’échange entre des services qui
se rencontrent peu fréquemment et de
décloisonner l’informa+on au sein des
organisa+ons.

60
III.4 Fonc4onnement du CMMR
• 1. La charte de contrôle interne et de
management des risques : Le CMMR doit
élaborer une charte de interne et de
management des risques précisant le
référen+el u+lisé, les rôles, responsabilités et
les ou+ls de mise en œuvre et de pilotage du
disposi+f de contrôle interne et de
management des risques (voir support de
forma+on des acteurs des 7 ministères)
61
• 2.Plan annuel (4 réunions au moins)
• Pour s’assurer de s’acquitter convenablement
de ses responsabilités, le CMMR doit
élaborer un plan annuel d’activités couvrant
ses domaines de responsabilité
• Ce plan doit intégrer un planning de
réalisation / actualisation de la cartographie
des risques du ministère (associée aux
échéances budgétaires) : voir projet proposé

62
• 3. Réunions (au moins 4 par an)
• Le nombre de réunions tenues chaque année
dépendra largement de la portée et de la
nature du travail des CMMR.
• L’efficacité générale des CMMR dépendra de
la qualité́ de la prépara+on des réunions par
le SGM et le DPP qui assure le secrétariat
(rapporteur).

63
• 4. Aeentes à l’égard du CMMR
➢Concevoir
• développer le disposiWf de contrôle interne, le
promouvoir et piloter sa mise en œuvre dans
l’ensemble du ministère.
• définir, à parBr des orientaBons sectorielles,
l’organisaWon du disposiWf de contrôle interne
(poliBque, processus de pilotage, responsabilités
des différents acteurs…) : Charte de contrôle
interne et de management des risques
• meWre à disposiBon des guides méthodologiques
et des ouBls et en assurer la mise à jour.

64
➢ Accompagner
• Sensibiliser les managers aux meilleures
pra,ques de contrôle interne.
• Contribuer à l’harmonisa,on des pra,ques en
diffusant une culture commune notamment
en termes d’intégrité et d’ahtude vis-à-vis des
risques.

65
• Sensibiliser et former les managers et leurs
collaborateurs aux meilleures pratiques de
contrôle interne
• Contribuer à la conduite du changement en
anticipant et en accompagnant les
transformations nécessaires à l’amélioration
de la performance et de la maîtrise des
activités.

66
• Animer le réseau des points focaux de contrôle
interne (Directeurs centraux et techniques).
• Aider les managers à décliner les direcBves et
orientaBons ministérielles dans des guides
praBques précisant les facteurs de risques et les
acWvités de contrôle correspondantes.
• Piloter le programme d’auto-évaluaWon du
contrôle interne et assurer une assistance à sa
mise en œuvre par les direcBons opéraBonnelles
et foncBonnelles.
• Meere en place les ouWls et les indicateurs de
suivi de l’efficacité du disposiWf de contrôle
interne.

67
• S’assurer du suivi de l'efficacité du disposi,f de
contrôle interne notamment à travers le suivi
de la mise œuvre des plans d’ac+ons et la
réalisa+on de certains plans de tests.
• Organiser les autocontrôles (par exemple en
testant la mise en œuvre d’ac,vités de
contrôle ou de plans de résolu,on de
défaillances)

68
➢ Rendre compte
• Traiter, consolider, commenter les informa,ons
(auto-évalua,ons, remontées d’indicateurs par
les animateurs du contrôle interne …) et le DPP.
• Préparer les communica,ons internes et
externes rela,ves au contrôle interne (CMAI,
IGF, etc.).
• Élaborer le rapport sur le contrôle interne et la
ges+on des risques adressé au CMAI, l’IGF,
IGM, etc. sur niveau de maitrise des risques et
des contrôles

69
• 5. AVentes à l’égard du président du CMMR
• Élaborer avec les membres la Charte de contrôle
interne et de management des risques et l’adopter
• Préparer le plan annuel du CMMR en collabora*on
avec les membres
• Surveiller les prépara'fs pour les réunions du CMMR
(ordre du jour, transmission des documents en temps
opportun, etc.)
• Présider les réunions du CMMRI (faciliter les
discussions, établir le consensus, inviter les
fournisseurs externes des services d’assurance à
par*ciper pour discuter des plans , conclusions, etc.)
• Diriger le processus d’auto-évalua*on du CMMR

70
• 6. A9entes à l’égard des membres du CMMR
• Bien connaitre les référen/els de contrôle interne et de
management des risques
• bien connaitre le CRAIE et les textes de la réforme qui
s’appliquent à leur travail
• Maîtriser les ou/ls d’élabora/on de la cartographie des
risques et du plan de mi/ga/on
• Conduire les ac@vités d’inden@fica@on / actualisa@on de
la cartographie des risques et du plan de mi@ga@on
• bien connaitre la portée de l’audit interne et les limites de
leurs champs d’ac@on
• Bien préparer et par/ciper ac/vement aux réunions
• Promouvoir une culture de communica/on ouverte,
honnête, respectueuse et directe entre les membres du
CMMR et le CMAI

71
• 7. SouWen de la part du Ministère
• Les ministres veillent à doter les organes de
contrôle de I 'ordre administraBf de leur
département ministériel de moyens humains,
matériels et financiers adéquats pour la
réalisaBon de leurs programmes d’acBvités tels
que validés par les Comités Ministériels d'Audit
Interne (arWcle 25 du décret précité).
• Pour effectuer son travail, le CMMR a besoin du
souWen du Ministre et du CMAI, en parWculier
de l’IGM et l’IGF (qui conserve son
indépendance) pour un appui méthodologie.
• Il s’agit d’un souBen technique et logisWque

72
• Il pourrait s’agir, notamment :
– De fournir de la documentaCon et des informaCons
– L’appui à l’élaboraCon / actualisaCon de la
cartographie des risques et du plan de miCgaCon
– Mise à disposiCon de vidéo projecteurs et
d’ordinateurs
– de réserver des salles de réunion
– d’organiser des déplacements,
– de préparer des rapports et des chartes,
– d’effectuer des recherches sur certains sujets
– et d’assurer la liaison avec les acteurs impliqués.

73
8. KIT DU MEMBRE DU CMAI
• 1. Renseignements généraux sur le ministère
• Textes fondateurs (AOF)
• Organigramme nomina,f
• Cartographie des risques et plan de mi,ga,on
(récent)
• Plan et poli,que sectoriels
• Programmes, responsables
• Codes de valeurs et d’éthique

74
• 2. Rapports sur la reddiWon des comptes
ministériels
• Cadre de Dépenses Moyen terme (CDMT)
• Projet annuel de performance (PAP) et rapport
annuel de performance (RAP) des 3 dernières
années
• 3. Documents sur le contrôle interne
• PoliBque de contrôle interne et Charte, manuel
• OuBls d’élaboraBon / actualisaBon de la
cartographie du plan de miBgaBon
• 4. Liste des rapports récents de l’IGM et des
autres organes de contrôle

75
• 5. Documents du CMAI
• Charte du CMAI
• Plan annuel
• Rapport annuel

76
2. Objec4f global de la forma4on

EDévelopper les compétences des

managers propriétaires des risques et
des auditeurs en
Øcontrôle interne
Øet en management des risques et
contribuer au renforcement de la
gouvernance publiques et à l’améliora+on
des performances.
3. Objec+fs spécifiques

EAinsi, la présente session de forma+on

vise t – elle les objec+fs spécifiques
suivants:

ØFournir des ou+ls de réflexion permecant

de comprendre les évolu,ons présentes et
futures des normes d’audit interne, le rôle
et la responsabilité des manager et des
auditeurs interne dans le secteur public :
– U"lité: situer l'ac-on du manager et de
l’inspecteur dans le contexte de ges2on
orientée vers les résultats (textes
communautaires, textes na-onaux, textes
spécifiques, normes ISA, IIA, COSO,
INTOSAI, GAO, etc.) et mesurer l'étendue et
les limites de sa fonc"on.
Ø Apporter des ou'ls d’élabora'on de la cartographie
et du plan d’audit basé sur les risques
– U"lité: Maîtriser les l’applica/on des normes pour la
pra"que professionnelle de l’audit interne de l’IIA
transposées dans le secteur public, en ce qui concerne les
aspects élabora/on du plan d’audit basé sur les risques
– Iden/fier les processus clés d'une organisa/on

Ø Fournir des ou'ls pour s'approprier la fonc'on

d'auditeur : développement personnel, échange
d'expériences.
– U"lité: A par/r de cas pra/que appropriés, savoir
ar/culer les ou/ls, les procédures et les techniques de
l’ABR.
 4. Résultats aGendus
➡Au terme de la session, les par+cipants :
– Maitrisent la no,on de risque et le management des
risques
– Comprennent comment les organisa,ons structurent
leurs ac,vités pour aNeindre leurs objecMfs ;
– Décrivent les différents rôles a<ribués à l'audit interne et
aux autres acteurs impliqués dans l’évaluaMon et le
management des risques dans une organisaMon ;
– IdenMfient les processus clés d'une organisaMon ;
– Comprennent un processus donné et savent le
documenter ;
– Définissent la relaMon entre gouvernance et management
des risques ;
– Comprennent les risques de base auxquels sont confrontées
les organisaMons ;
– Iden,fient et évaluent les principaux risques pesant sur la
réalisaMon des objecMfs de l'organisaMon et leur relaMon avec
les processus ;
– Savent élaborer un plan de mi,ga,on ou de management
des risques avec plan d’ac,on associé
– Élaborent un univers d'audit pour une organisaMon et
définissent un plan d'audit interne pluri annuel et annuel
reposant sur les principaux risques ;
– Savent planifier et assurer le suivi des ac,ons
d'améliora,on ;
– Élaborent un plan et conduisent une mission d’audit basé
sur le risque (mission d’assurance, de conseil, d’audit de la
fraude).
Dans le séminaire, l’accent sera mis sur la compréhension de ce qui est
important. Par conséquent, les par8cipants doivent :
– comprendre les concepts
– et avoir une bonne connaissance des méthodes et des ou8ls qui
seront mis à leur disposi8on.
• L’élabora+on d’une cartographie des risques
servira :
1. au management comme instrument pour la
progression vers la réalisa,on des objec,fs
stratégiques de l’Etat avec un niveau
d’assurance raisonnable (plan de mi,ga,on)
2. à l’Audit Interne comme ou+l de mesure
pour la concep+on d’un plan pluriannuel
d'audit et de contrôle.
85
« J'entends et j'oublie, Je vois et je me souviens, Je fais et je
comprends » Confucius

@Les méthodes d’anima,on sont ac,ves et combineront :

• De brefs exposés sous forme de fiches techniques (explicaMon

des concepts de base) ;
• D’échange d’expériences ;
• Plusieurs minis études illustrant l'approche (QCM) ;
• De discussions en atelier (formaMon de peMts groupes de
discussions autour d’une ou de plusieurs quesMons précises) ;
• De mise en situaMon réelle (applicaMon praMque sur le terrain) ;
• De remise d’une documentaMon appropriée (cahier de
parMcipant).
 Date : Durée :
METHODOLOGIE ET OUTILS
D’ELABORATION DE LA CARTOGRAPHIE
DES RISQUES, DU PLAN DE MITIGATION
ET D’AUDIT
Séquence 1 : Le Management des risques dans le Classement : Sq1 Rédacteurs :
secteur public : principes et implications SS

Objectifs ¨ Comprendre les principes du management des risques et les responsabilités

associées dans le cadre des nouvelles réformes au Bénin

Exposés :
N° Fiches Titres / Contenu Stratégie d’animation
Étude de cas : Lecture et
Étude de cas introductif (voir fin du commentaire (L'Eau à Dakar :
document : page 107) : MANAGEMENT Services publics, intérêts privés et
Cas DES RISQUES ET RESPONSABILITE choix stratégiques)
DES GOUVERNANTS

1 Les définitions du risque Illustrations et cas pratiques

Le Gouvernement d’entreprise dans le Illustrations

2 secteur public
Le cadre de référence relatif au Illustrations
3 management des risques du COSO2
Rôle et responsabilités dans le cadre du Illustrations
4 dispositif de management des risques
QCM QCM séquence Management des risques Travaux de groupe
 Cas : Six ans de prison pour les sismologues après la catastrophe de L'Aquila
« Un jugement historique »

88

— Les 6 chercheurs et un sous directeur

membres de « la commission des grands
risques » étaient accusés d'«homicide par
imprudence» après le séisme qui avait fait
309 morts le 6 avril 2009 des dizaines de
milliers de sans-abri.
— Le tremblement de terre, avait ravagé cette ville
d’Italie centrale, a traumatisé le pays.
 89

— Condamnation pour avoir sous-évalué les risques

avant le séisme à :
¡ six ans de prison ferme,
¡ interdiction définitive d’exercer tout emploi public
¡ 9,1 Millions d’Euros de dommages intérêts aux parties civile
¡ et le remboursement des frais de justice
 90
— Le parquet a reproché aux experts d’avoir
donné des informations trop rassurantes à
la population, qui aurait pu prendre des
mesures pour se protéger.
— Après la réunion de L’Aquila avant le séisme, les
experts avaient affirmé que l’activité sismique
de la zone ne constituait «aucun danger».
 91

— Selon le parquet, la réunion d’experts pour calmer

la population avait, dans une déclaration devenue
depuis célèbre, conseillé notamment aux habitants,
de se détendre avec un verre de vin.
 92

— Cette sentence fait du bruit dans la communauté

scientifique, aussi bien en Italie que dans le monde.
— Cette condamnation appelle les scientifiques
et les gouvernants à l’extrême prudence dans
les appréciations et les prises de décisions
ETUDE DE CAS : MANAGEMENT DES RISQUES ET RESPONSABILITE
DES GOUVERNANTS : RUPTURE DU SERVICE PUBLIC DE
FOURNITURE DE L’EAU POTABLE A DAKAR EN 2013
93

— Historique
¡ Depuis le 23 avril 1996, la sénégalaise des eaux (SDE)
actuellement filiale d’Eranove, l'un des leaders mondiaux de
la gestion déléguée des services publics, assure la
production et la distribution d'eau dans les principales villes
sénégalaises, soit près de quatre millions d'habitants
desservis
 94
— La SDE est liée à l'État du Sénégal par un contrat
d'affermage.
— L'État assure la tutelle du secteur par
l'intermédiaire des ministères de
l'Hydraulique et des Finances.
— Les missions de la SDE sont :
¡ Exploitation et entretien de l'infrastructure et du matériel
¡ Renouvellement du matériel d'exploitation
¡ Renouvellement contractuel des réseaux, des branchements,
des compteurs et du matériel électromécanique
 95
¡ Extension de réseaux financée par des tiers
¡ Étude et justification des travaux de renouvellement et
d'extension de l'infrastructure
¡ Facturation et encaissement de l'eau potable et de la
redevance d'assainissement
¡ Communication et relations avec la clientèle
 96

— La SONES (Société nationale des eaux du Sénégal)

est chargée de la gestion du patrimoine et du
contrôle de la qualité de l'exploitation et du
service.
— Ses missions
¡ Gestion du Patrimoine ;
¡ Programmation des investissements ;
¡ Recherche de financements ;
¡ Maîtrise d’ouvrage des travaux de renouvellement et
d’extension de l’infrastructure ;
¡ Sensibilisation du public ;
 Résumé : La non continuité du service public de
production et de distribution de l’eau potable
97

— "Une défaillance d'ordre technique »

inadmissible :
¡ une déchirure d’une pièce en acier intercalée entre 2
conduites en fonte serait à l’origine de la pénurie sans
précédent d’eau potable à Dakar en 2013
¡ Portant des pannes techniques récurrentes sur cette
conduite ces dernières années devaient constituer un
signal fort pour analyser le système dans son
ensemble
— Un système vulnérable
98

¡ La défaillance de tout un système né de mauvaises

décisions prises plusieurs années plus tôt :
÷ Soit le système n'avait pas la volonté d’investir dans le
contrôle de ce risque, nécessitant des ressources humaines
et techniques sans générer de retours directs sur investissement
immédiat,
÷ soit ce système ne prévoyait pas de possibilité de problèmes
majeurs sur une conduite dont la faillite constitue un
grand risque au public.
¡ Leçon : Ceux qui ont le privilège de prendre en charge la
destinée d'un peuple doivent constamment se
préoccuper de la maîtrise des risques associés à
leurs décisions
— On a ignoré la gravité du risque

99
¡ Un ministre du gouvernement a insisté sur le fait qu'il
faudrait au-delà de 6000 camions-citernes en rotation
permanente pour pallier la perte enregistrée du fait de
l'incident "exceptionnel"
¡ Cela devrait plutôt pousser à réfléchir sur la gravité du
risque qui a été ignoré plutôt que sur le manque de
moyens a posteriori pour faire face à la phase aigue
d'une catastrophe.
¡ Il y aura toujours des catastrophes dont l'ampleur dépasse
les capacités humaines d'anticipation, mais il faudra
bien comprendre un jour que cette volonté divine peut être
la manifestation de la négligence humaine à prendre
consciencieusement ses responsabilités.
— Il faut toujours chercher à minimiser le
risque : 100

¡ La notion de gestion basée sur l'évaluation du risque, issue

du paradigme de gestion intégrée des ressources en
eau, sied bien aux infrastructures publiques.
¡ Il s'agit de toujours minimiser le risque. Cette
approche permet de surveiller les maillons faibles du
système, de prévoir des mesures :
÷ avant,
÷ pendant
÷ et après toute catastrophe.
 101

Questions :
1. La situation ci - dessus peut – elle se produire au Burkina ?
2. que vous inspire ce cas réel par rapport au projet de mise en œuvre de l’approche risque
dans le secteur public au Burkina ?
 NORMES PROFESSIONNELLE, MODALITES PRATIQUES
D’APPLICATION ET PRISE DE POSITION PERTINENTES
2010 – Planification
2100 – Nature du travail
2120 – Management des risques
Modalité pratique d’application 2010-1 : Prise en compte des risques et des menaces pour
l’élaboration du plan d’audit
Modalité pratique d’application 2120-1 : Evaluer la pertinence des processus de
management des risques
Modalité pratique d’application 2210.A1-1 : Evaluation des risques dans la planification de la
mission
Prise de position : Rôle de l’audit interne dans le management des
risques d’entreprise)
Modalité pratique d’application 2010-2 : Prise en compte du management des risques dans
la planification de l’audit interne
1. Quelques défini>ons (les mots clés de
la défini>on de l’AI à comprendre)

1.1 Défini;on du Risque

• Le mot français risque dérive du la,n

resecare, qui a donné l'italien rischiare, verbe
qui signifie «oser » ; il s'agit de faire un choix
dans des condi+ons incertaines, plutôt que
de s'en remeMre au des+n.
1.2 Concept de Risque :

• Possibilité que se produise un événement

suscep;ble d’avoir un impact sur la réalisa;on
des objec;fs.

• Le risque se mesure en termes :

– de conséquences ou impact
– et de probabilité ou d’occurrence.
• C’est l’occurrence d’un fait imprévisible ou plus
ou moins incertain suscep,ble d’affecter :
– les membres,
– le patrimoine,
– l’ac2vité de l’organisa2on et de modifier son
patrimoine et/ou ses résultats.

qNota : il n’y a de risque que par rapport à

l’aEeinte d’un objec;f ou plus précisément par
rapport à la conséquence dommageable de ce
risque quant à l’a;einte d’un objec=f.
qUn exemple (illustraWon) dans notre quoWdien :
• La noBon de risque est associée :
– D’une part à celle d’incer&tude et d’évènements
incertains : « il risque de pleuvoir »
– D’autre part à ce que l’on encourt si l’évènement se
réalise : « je risque de me faire mouiller ou tremper »

• Dans cet exemple l’objecWf est implicite : « rester

sec et net », mais il aurait mieux fallu l’expliciter.

• les éléments de la définiBon dans notre exemple :

– L’événement incertain = la pluie (qui peut tomber :
probabilité)
– ObjecCf dont la réalisaCon pourra âtre compromise :
rester sec et net
• Il a plu, je suis mouillé : Questions ?
– Quelle est la circonstance (l’occasion)
– Quelle est la cause ?
– Quelle est la conséquence ?
qQuestions : comment gérer le risque de se
faire mouiller ?
– Ne pas sortir
– Sortir avec un parapluie pour ne pas se faire
surprendre
• Il a plu, je suis mouillé : Réponses
– Quel est l’évènement ou la circonstance (qui n’est
plus incertain) : la pluie (l’avènement de la pluie)
– Quelle est la cause ? c’est le fait d’être sortie sans
parapluie (pluie combinée avec l’absence de
parapluie) : en effet je ne suis pas tremper parce
qu’il a plu mais parce qu’à la fois il a plu et je suis
sorti sans parapluie (une cause : l’absence de
parapluie…)
– Quelle est la conséquence ? je suis trempé (je ne
suis pas sec et net : donc objectif compromis =
conséquence)
Qu’est-ce qu’un risque ?
Exercices : concept de risque
L’entreprise Camara et frère est tombée en faillite, le
comptable, cousin du « PDGP » a fui avec les fonds.
Questions :
•Quelle est la circonstance, l’évènement ?
•Quelle est la conséquence ?
•Quelle sont les causes possibles ?

D’où la définition suivante du Le RISQUE est un concept désignant la

concept de risque : possibilité que la combinaison d’un évènement
incertain et d’un mode de fonctionnement
aléatoire ait pour conséquence la non - atteinte
d’un objectif
 Evénements incertains /incident réalisé ou
potentiel :« circonstance »

Impact
Facteurs de risques / dommageable :
Mode de Objectif
fonctionnement compromis
aléatoires (parapluie)

Maîtrise des risques = Contrôle

interne
• Les facteurs de risque qui, combinés à la survenance de
ces événements vont ou ne vont pas entraîner de
conséquences dommageables, sont tous à rechercher
dans l’organisation et le fonctionnement de l’entité,
c’est le rôle de l’auditeur.

Ø Ainsi est qualifié de risque opérationnel, le risque de

perte directe résultant :
• d’une inadéquation
• ou d’une défaillance attribuable :
– à des personnes,
– des procédures,
– des systèmes mis en place
– et à des évènements extérieurs.
qFacteurs ou sources de risques sont :
Øinternes (gouvernance, processus, procédures,
ressources humaines, systèmes d’informa+on)
Øou externes (opportunités à saisir, menace à gérer).

qLes conséquences, impact ou gravité sont

diverses :
Ørésultat compromis
Øincapacité/impossibilité à saisir une opportunité,
Ø impact sur les performances (5E), le patrimoine,
réputa-on, etc.
qPar exemple, pour pallier les risques d’incendie
de la salle informaWque, nous allons prendre des
mesures de :
– préven7on pour éviter l’incendie : panneaux
d’interdicCon de fumer et cendriers pour écraser sa
cigareOe, sensibilisaCon / formaCon du personnel au
risque d’incendie ;
– détec7on pour s’apercevoir que l’incident redouté est
survenu malgré les mesures de prévenCon :
détecteurs de fumées et de chaleur, en général au
plafond ;
– protec7on pour limiter les dégâts occasionnés par
l’incendie sprinklers et diffuseurs de gaz inertes,
portes coupe-feu, assurance, coffres ignifuges…
Les facteurs de risque sont des lacunes de l’organisation qui, combinés à la survenance
d’événements, vont entraîner des conséquences dommageables.
Détection
Fait, circonstance, événement / incident réalisé ou potentiel

Manifestation
/ Fait
Prévention Protection

Facteurs de Impact
Cause risques Conséquence
organisationnelle financière ou autre

C’est ce que l’auditeur recherche car il est un « préveneur » de risques.

Cause + Circonstance = Conséquence

Et trois types de mesures pour pallier les facteurs de risques : prévention, détection,
protection.
Nota :
•l’auditeur ne contrôle, ni ne vérifie : il évalue et propose des améliorations
•l’auditeur ne dénonce ni n’accuse : il arbitre « les règles du jeu » du groupe en faisant pratiquer les 3R :
•Rechercher
•Reconnaitre
•Remédier AUX FAIBLESSES DE L’ORGANISATION
 3. Typologie des risques
Généré par l’environnement interne de l’entité (stratégie, organisation, procédures,
Risque interne
moyens, système d’information, supervision, etc.)

Généré par l’environnement externe de l’entité (législatif, économique, social,

Risque externe
concurrents, physique, groupe de pression, etc.)
Risque inhérent Risque brut, lié à l’environnement et/ou à la nature de l’activité, avant prise en compte
du contrôle interne
Risque de non contrôle Se rapportant à la défaillance des dispositifs de contrôle interne (environnement de
contrôle, analyse des risques, activités de contrôle, information et communication,
pilotage)

Risque de non détection ou d’audit Lié aux procédures d’audit mises en œuvre par l’auditeur pour identifier les anomalies
provenant de l’erreur ou de la fraude

Risque cible (ou appétence pour le risque) Niveau de risque acceptable ou à atteindre. Certains risques, quelque soit leur niveau,
peuvent être considérés comme inacceptables (tolérance zéro). Ces risques doivent
être mis sous contrôle permanent car leur survenance est jugée inacceptable (par
rapport à leur impact sur les objectifs de l’entité).

Risque résiduel Risque qui subsiste malgré les dispositifs de gestion des risques mis en place. Il est à
rapprocher du risque cible définit par le management.

Il constitue la menace (danger) que le manager doit garder sous contrôle, la mission
Le risque source d’audit doit détecter, comprendre (rechercher les causes) et préconiser la gestion
(stratégie et plan d’action de gestion des risques).
Le risque concourant C’est la menace responsable (cause) du risque source. L’appréciation du risque
coucouant conduit à identifier et à analyser les causes réelles des risques en vue
de prendre les mesures adéquates (stratégie et plan d’action de gestion des
risques)
Le risque incident Il constitue la conséquence de la réalisation de la menace source. Appréciation
conduisant à prioriser les risques en fonction de leur gravité (coefficient de risque)
et d’assurer ainsi une meilleure allocation des ressources.
1. La no+on de gouvernance : « Corporate
governance »

• La gouvernance définit les rela+ons entre :

– les ac'onnaires,
– le Conseil et ses comités spécialisés
– et la Direc'on Générale.

• Dans ce cadre, le Conseil a un rôle de

surveillance des ac,vités de la Direc,on
Générale dans le but d'aEeindre les objec;fs de
l'organisa;on.
• Dans les Normes transposées pour les
administrations de l’Etat (Transposition des Normes
Professionnelles interne et bonnes pratiques « Edition
spéciale- Administrations de l’Etat » IFACI –Juillet
2011):
– les termes « gouvernement d’entreprise » ont été
remplacés par « gouvernance »,
– et les termes « direction générale et conseil » par «
instances dirigeantes ».
• Dans cette perspective les instances dirigeantes
Pourront concerner selon le cas :
– le ministre ;
– le comité de direction,
– le secrétaire général du ministère,
– la direction ou la direction générale ;
– le comité d’audit.
 Nota :
• Le responsable du service d’inspec,on, d'audit
ou de contrôle, appar+ent aux instances
dirigeantes en tant que membre du comité de
direc,on et/ou du comité d’audit.
• Le glossaire du Cadre de référence
international des pratiques professionnelles
de l'audit interne (les Normes) de l'IIA décrit la
gouvernance comme « le dispositif
comprenant les processus et les structures mis
en place par le Conseil afin d'informer, de
diriger, de gérer et de piloter les activités de
l'organisation en vue de réaliser ses objectifs».
• La Gouvernance (ou gouvernement d’entreprise)
touche les grands domaines :
– La direction stratégique de l'entité : Il revient aux
instances dirigeantes (ou au Conseil) de donner
l'orientation stratégique et les lignes directrices
relatives à la définition des objectifs clés de
l‘organisation qui doit cadrer avec les priorités
des parties prenantes.
– Les instances dirigeantes (ou le Conseil) doivent,
ensuite, surveiller les avancées vers la réalisation
des buts et objectifs de l'organisation (à travers le
système de reporting et les tableaux de bord :
rapport de performance)
• Après avoir cerné les besoins des principales
parties prenantes, les instances dirigeantes
s'attachent à leur satisfaction.

• les instances dirigeantes ont une

responsabilité fiduciaire vis-à-vis des parties
prenantes auxquelles elles doivent rendre
compte (Redevabilité : exigence de reporting
opérationnel, financier et comptable).
• Au quotidien, la gouvernance est exercée par :
– la direction de l'organisation,
– l’encadrement supérieur (propriétaire des
risques)
– et les cadres intermédiaires à travers les activités
de management des risques.
• La direction générale et le management
supérieur rendent compte aux instances
dirigeantes à une périodicité définie
(reporting)
• 2. La gouvernance dans le secteur public (voir
normes de contrôle interne à promouvoir dans
le secteur public - Informa;ons
complémentaires sur la ges;on des risques des
en;tés de l’INTOSAI : INTOSAI GOV 9130 et
ar+cles 13 et 17 des Direc+ves portant Lois des
finances de l’UEMOA et de la CEMAC )
4Dans le secteur public, la gouvernance englobe :
servant à orienter les
acCvités d une organisaCon en vue de fournir
l’assurance raisonnable :
• que les objecLfs sont aMeints
• et que les acLvités sont menées de façon éthique et
responsable.
pour établir et aOeindre les objecCfs
• Elle recouvre enfin les
:
– une prestation équitable des services

– et l’adoption de comportements appropriés par

ses représentants réduisant ainsi le risque de
corruption publique.
4Les principes de gouvernance ci-après
s’appliquent tout aussi bien aux organismes du
secteur privé qu’à ceux du secteur public, bien
qu’ils soient décrits dans les termes propres
au secteur public :

îDonner le ton qui convient. Une saine

gouvernance comprend l’établissement de
poli;ques qui orientent les ac;ons de
l’organisa;on (plan stratégique, contrat plan,
contrat d’objec,fs).
• Au sein de l’Etat, les poli*ques peuvent s’exprimer par
la voie :
– des grands objecMfs naMonaux (document de stratégie)
– des plans stratégiques (naMonal, sectoriel, contrat plan,
contrat d’objecMfs)
– des objecMfs de performance (PAP, RAP),
– des orientaMons législaMves,
– des organismes de surveillance désignés (pour le suivi
technique, etc.) ou des comités de surveillance législa,ve.
• Les politiques de l’État ou du moins ses priorités
se trouvent généralement enchâssées dans son
budget (CDMT ou CBMT), lequel a pour objet de
répartir des ressources limitées entre diverses
activités.

îInculquer des valeurs d’éthique et d’intégrité. Une

saine gouvernance comprend :
– des valeurs éthiques (code d’éthique et de
déontologie des employés),
– des objectifs et des stratégies clairement articulés;
– le ton mobilisateur donné par la direction;
– et le contrôle interne (dispositif de maîtrise des
risques).
• Les politiques et les procédures doivent être
alignées de manière à encourager l’adoption
de comportements conformes aux valeurs d’
éthique et d’intégrité de l’organisme public.
• Pour favoriser l’adoption de comportements
conformes aux valeurs d éthique et
d’intégrité, il importe notamment :
– D’établir des lignes claires de reddition de
comptes
– et de veiller à leur respect pour que les
personnes soient tenues responsables d’adopter
les bons comportements (responsabilité et
imputabilité).
îSuperviser les résultats (Voir art 12 LOLF de
2013 sur les PAP et les RAP). Une saine
gouvernance exige une surveillance continue
afin de s’assurer :
– que les politiques sont appliquées comme prévu,
– que les stratégies sont réalisées
– et que la performance globale du secteur public
répond aux attentes et aux besoins dans les
limites des politiques, des lois et de la
réglementation.
• « Dans presque tous les ressorts territoriaux, le
secteur public joue un rôle important au sein de la
société, et une saine gouvernance peut y favoriser
une utilisation efficiente des ressources, renforcer la
reddition de comptes à l ’égard de ces ressources,
améliorer la gestion et la prestation des services et,
par conséquent, améliorer la vie des citoyens. Une
saine gouvernance est également essentielle au
maintien de la confiance dans les entités publiques
une condition sine qua non de la réalisation efficace
des objectifs des entités publiques. » International
Federation of Accountants (IFAC), Corporate Governance in the
Public Sector :A Governing Body Perspective, 2001
îRééditer les comptes (ou redevabilité). Comme les
organismes publics agissent à *tre d’« agents » qui
u*lisent les ressources et les pouvoirs qui leur sont
confiés (débiteurs) pour aVeindre des objec'fs établis,
elles doivent rendre compte de l’u*lisa*on des ressources
et des résultats obtenus (crédit).
• Par conséquent, une saine gouvernance exige une
reddi'on de comptes régulière sur les aspects financiers
et opéra*onnels, dont l’exac'tude est aVestée par un
auditeur indépendant (Cour des comptes, CAC, etc.).
• La reddi*on de comptes suppose également l’imposi*on
de pénalités ou de sanc*ons à ceux qui u'lisent les
ressources à des fins autres que les fins autorisées (faute
de ges'on, fraudes, corrup'on, etc.).
• « La reddition de comptes est le processus suivant lequel
les entités publiques et les personnes qui en font partie
sont tenues de répondre de leurs décisions et de leurs
actions, y compris en ce qui concerne l’utilisation des
fonds publics et tous les aspects de la performance, et de
se soumettre à un examen externe approprié. L’obligation
de rendre compte repose sur une bonne compréhension
des responsabilités par toutes les parties et une définition
claire des rôles de chacun au moyen d’une structure
solide. En fait, l’obligation de rendre des comptes consiste
en l’obligation faite à une personne de répondre de l
exécution des responsabilités qui lui ont été confiées. »
Source: IFAC, Governance in the Public Sector: A Governing Body
Perspective, 2001.
îPrendre des mesures correcWves. Lorsque
l’organisaBon n’a pas aWeint les objecBfs fixés sur le
plan financier ou opéraBonnel, ou lorsque des
problèmes sont décelés au chapitre du
foncBonnement ou de l’uBlisaBon des fonds, un
système de gouvernance efficace permet d’idenBfier
la cause des problèmes, de déterminer les mesures
correcBves à apporter et d’assurer un suivi pour
établir si les mesures correcBves ont été appliquées
efficacement. Les constataWons et les
recommandaWons des auditeurs consBtuent des
apports essenBels à une saine gouvernance qui
peuvent inciter les organisaBons à prendre des
mesures correcBves promptes et appropriées pour
pallier les faiblesses et les déficiences relevées
îAssurer la transparence. Le principe de transparence
concerne le degré d’ouverture de l’État envers ses
citoyens.

• Une bonne gouvernance comprend une communica2on

adéquate des informa2ons clés aux par+es prenantes en
ce qui concerne la performance et les ac+vités de l’État.
• La transparence des ac2ons et des informa2ons de l’Etat
joue un rôle crucial dans la surveillance publique.
Ø Les législateurs et le public comptent sur l’audit pour
obtenir l’assurance que les ac+ons du gouvernement sont
:
– éthiques et légales,
– et que les informaMons financières et opéraMonnelles reflètent
avec exac,tude la mesure réelle des ac,vités.
îGarantir la Probité. Selon le principe de
probité, les fonctionnaires doivent agir avec
intégrité et honnêteté.

îPromouvoir l’Équité. Le principe d’équité

concerne la mesure dans laquelle les
représentants des organismes
gouvernementaux font preuve de justice dans
l’exercice des pouvoirs qui leur sont confiés :
– coût des services,
– prestations de service,
– forces publiques,
– et information.
 3. Code de bonnes pratiques de
gouvernance des SE du Burkina

• En plus des informations financières les SE

sont tenues de communiquer des
informations non financières significatives,
notamment, celles relatives :
– À leur politique sociale et environnementale
– les règles éthiques et déontologiques
– les informations sur le contrôle interne, de
gestion des risques et les transactions
significatives
– le fonctionnement des organes du CA ;
– les facteurs de risques significatifs ainsi que les
mesures prises pour y faire face (CARTOGRAPHIE ET
PLAN DE MITIGATION) ;
– les aides financières éventuelles, notamment les
garanties reçues de l’Etat et les engagements pris
par l’Etat pour le compte des Sociétés d’État ;
– toute transaction significative avec des parties
apparentées ;
ØLes SE doivent meMre en place et développer
des disposi+fs de contrôle interne et de
ges+on des risques pour ajouter de la valeur à
l’ac,vité de la société et l’aider à aceindre ses
objec,fs.
• Ce dispositif doit comporter, notamment :
1. un Code de déontologie et d’éthique des
Employés (annexe 8) ;
2. un contrat plan (ou contrat de programme) ;
3. un plan stratégique et opérationnel mis en
œuvre par la contractualisation ;
4. Un plan annuel de passation des marchés
5. un organigramme de gestion avec des fiches de
description de poste ;
6. un statut du personnel incluant des critères de
recrutement et des procédures d’évaluation du
personnel fondées sur les performances ;
6. un référen;el des emplois et des
compétences ;
7. un règlement intérieur du personnel ;
8. un plan de carrière du personnel ;
9. un bilan social (contenu détaillé en annexe
7) ;
10.un plan de forma;on pluriannuel du
personnel ;
11.une cartographie des risques majeurs et un
plan de mi;ga;on tenant compte du niveau
d’appétence pour le risque du management ;
12.un manuel des procédures à jour couvrant
toutes les fonc;ons et un référen;el de
13.un système d’informa;on automa;sé et
intégré de ges;on performant (comptabilité
générale, budgétaire, ma;ères, analy;que,
tableaux de bord de pilotage), permeQant
l’établissement et la publica;on d’états de
synthèse réguliers, sincères et cer;fiés par un
ou plusieurs auditeurs externes habilités à
exercer la profession de Commissaire aux
Comptes ;
14.une structure de contrôle interne et de ges;on
et d’Audit Interne (intervenant sur la base d’un
plan d’audit pluriannuel basé sur l’analyse des
risques rapportant au Conseil
d’administra;on).
1. Le management des risques : définition et
implications
• Le Committee of Sponsoring Organizations of the
Treadway Commission (COSO 1, 1992, révisé en 2013
et entré en vigueur le 15 décembre 2014) définit le
risque comme «... la possibilité qu'un événement se
produise et ait une incidence défavorable sur la
réalisation des objectifs».
• Le management des risques, qui est étroitement lié au
gouvernement d'entreprise (à la gouvernance), est le
processus conduit par la direction qui consiste à
comprendre les incertitudes (risques et opportunités)
qui pourraient influer sur la capacité de
l'organisation à atteindre ses objectifs, et à agir en
conséquence.
ØIl y a lieu de retenir de la définition que :
• Le risque est la possibilité de survenance d'un
événement incertain qui entravera la
réalisation des objectifs (fraude par exemple)
• L’opportunité désigne la possibilité de
survenance d'un événement qui favorisera la
réalisation des objectifs
• Le risque commence avec la formulation de la
stratégie et la définition des objectifs
• Les risques sont inhérents à tous les aspects
de la vie
148
ØPar ailleurs :
① Le risque commence avec la formulation de la
stratégie et la définition des objectifs.

149
② Les risques sont inhérents à tous les aspects de la
vie
• À la lumière de ceMe défini+on du risque, il
devient évident qu'une organisa=on rencontre
un grand nombre de risques lorsqu'elle
s'efforce d'appliquer sa stratégie et d'a;eindre
ses objec=fs.

150
• Cette multitude de risques pouvant entraver
significativement la bonne marche de
l‘organisation, il apparaît d'autant plus nécessaire
de disposer d'un processus qui permette :
– de comprendre
– et de gérer efficacement les risques sur l'ensemble
de l'organisation.

151
ELa définition ci- dessus très large reflète certains
concepts fondamentaux.

ØLe dispositif de management des risques :

– est un processus permanent qui irrigue toute
l’organisation,
– est mis en œuvre par l’ensemble des collaborateurs, à
tous les niveaux de l’organisation,
– est pris en compte dans l’élaboration de la stratégie,
– est mis en œuvre à chaque niveau et dans chaque
unité de l’organisation et permet d’obtenir une vision
globale de son exposition aux risques (cartographie)

152
2. Le référentiel du CI, COSO1- 2013
2.1. Défini+on du contrôle interne selon le COSO
2013

• Le contrôle interne est un processus mis en

œuvre par le conseil (les instances dirigeantes), le
management et les collaborateurs, et qui est
des+né à fournir une assurance raisonnable
quant à la réalisa,on d’objec,fs liés aux
opéra,ons, au repor,ng et à la conformité.

153
 Nota : Le rôle de l'audit interne selon le
CRIPP transposé dans le secteur public
• Transposition de la Norme 2130.A1 – L'audit interne doit évaluer la
pertinence et l'efficacité du dispositif de contrôle choisi pour faire face
aux risques, d’origine externe ou interne à l’entité, relatifs à la
gouvernance, aux opérations et systèmes d'information de l'organisation.
Cette évaluation doit porter sur les aspects suivants :
– l’atteinte des objectifs stratégiques de l’organisation
– la fiabilité et l'intégrité des informations financières et
opérationnelles ;
– l'efficacité et l'efficience des opérations et des programmes ;
– le caractère soutenable des dépenses publiques ainsi que la
protection des actifs et des informations ;
– le respect des lois, règlements, règles, procédures et contrats.
2.2. Les 17 principes structurants du COSO1 2013
• Les 5 composantes de la version initiale du
COSO sont ici officiellement déclinées :
– en 17 principes
– complétés par des points d'attention
– et des illustrations.
• Le tableau ci-dessous précise ces principes
de base.
• Les 17principes du COSO1 actualisé
2013, sont entrés en vigueur le 15
décembre 2014
155
156
157
3. Les référen+els ou cadre conceptuel de
management des risques du COSO2 (Du
COSO 1 au COSO 2) révisé en 2017

• COSO est l’acronyme abrégé de CommiWee Of

Sponsoring OrganizaBons of the Treadway
Commission : une commission à but non lucraBf qui
a établit en 1992 :
– une définiCon standard du contrôle interne
– et crée un cadre pour évaluer son efficacité.
• Par extension ce référenBel s'appelle aussi COSO
(COSO 1- révisé en 2013).
• Publié en 2004 (révisé en 2017) et traduit en
français par l'IFACI et Price Water House
Coopers en 2005 sous le titre Le Management
des risques de l'entreprise, Cadre de
référence - Techniques d'application, le COSO
2 est un cadre de référence international
solide permettant d'aider les organisations à
identifier, évaluer et gérer efficacement le
risque.
eUn peu d’histoire
• En réponse à une série de scandales
financiers intervenus dans les années 80 aux
USA (Polly Peck, Maxwell, et Barings,), des
spécialistes de cabinets d'audit et d'expertise
comptable ainsi que des chercheurs se sont
réunis en 1985 à la demande du sénateur
américain Treadway sur le thème de la «
fraude dans le reporting financier ».
eLa commission Treadway était chargée :
– d'étudier les déterminants des principales causes de
fraudes dans les états financiers
– et de formuler des recommandations pertinentes.

• Le rapport de la commission Treadway est publié en

septembre 1987.
• Il constitue une base de recommandations pour
prévenir et détecter les fraudes dans les états
financiers.
• Après la publication du rapport Treadway, la
commission COSO a été constituée pour poursuivre
la mise en œuvre ses recommandations.
eLes organisations qui ont sponsorisé les travaux du
COSO sont :
– American Accounting Association (AAA): Association
Comptable Américaine
– American Institute of Certified Public Accountants (AICPA):
Institut des experts-comptables
– Financial Executives International (FEI): La fédération
internationale des Directeurs financiers
– Institute of Management Accountants (IMA): l'institut des
professionnels comptables et financiers d'entreprise
– Institute of Internal Auditors (IIA): Institut des auditeurs
internes
• Le COSO est indépendant des organisa,ons
membres.
• Sur la base des recommanda,ons de la
commission Treadway, le COSO a rédigé le
«Internal Control – Integrated Framework» -
cadre conceptuel du contrôle interne intégré -
ou référen,el COSO publié en 1992 (COSO 1).
• Le COSO 1 propose un cadre de référence pour
la ges,on du contrôle interne.
3.1 Définition du management des risques par le
COSO 2

• Au sens classique, le Contrôle Interne est « un

ensemble de dispositifs ayant pour but, d'un
côté d'assurer la protection, la sauvegarde du
patrimoine et la qualité de l'information, de
l'autre d'assurer l'application des instructions
de la Direction et de favoriser l'amélioration
des performances ».
Le contrôle interne : L’approche dite « classique»

• Le terme Contrôle Interne est la traduc+on

liMérale de l'expression anglo-saxonne:
« Internal Control» (ou Business Control pour
les Américains) dans lequel le verbe « to
control» signifie conserver la maîtrise de la
situa;on alors qu'en français le mot
« contrôle » est davantage compris comme le
fait d'exercer une ac=on de surveillance sur
quelque chose pour l'évaluer.
¾L'« Internal Control» se traduit dans les faits par
2 aspects complémentaires :
1. un état d'esprit dont la responsabilité incombe à
toute personne exerçant quelque autorité dans
l'organisation : planifier les tâches, organiser les
responsabilités, conduire les opérations et en
contrôler la bonne marche;
2. Un ensemble de moyens, mesures et méthodes
pour y parvenir
• Dans sa version originale, « to control » signifie
« exercer une influence volontaire pour
contribuer à la réalisation d’un objectif
préétabli ».

• ¾Cette définition englobe deux concepts

étroitement liés :
– D’une part, pour exercer un contrôle, il est nécessaire
de disposer d’objectifs préétablis ; sans objectif, le
contrôle n’a pas de sens.
– D’autre part, exercer un contrôle signifie,
implicitement, influencer quelqu’un ou quelque
chose – tel que le personnel de l’organisation, une
unité, ou l’ensemble de l’organisation – en vue de
progresser vers la réalisation des objectifs.
• Établir des objectifs et entreprendre des
actions visant à les atteindre sont donc 2
éléments fondamentaux d’une démarche de
contrôle au sens du contrôle interne.

• Par ailleurs, le mot « interne » signifie « qui

est situé en dedans, tourné vers l’intérieur ».
Les mots « en dedans » et « intérieur »
peuvent être considérés comme se rapportant
à une organisation à laquelle s’intègre le
contrôle interne.
• De cette façon, le contrôle interne se rapporte aux
actions des organes de surveillance, du
management ou du personnel de l’organisation, y
compris les auditeurs internes, à l’exclusion des
actions des autorités de tutelle ou des auditeurs
externes, situés en dehors de l’organisation.

• Le contrôle Interne (CI) implique ainsi en premier

lieu l’établissement d’une cartographie des
activités et des processus de l’organisation
(métiers, supports, gestion et pilotage..).
• A ce titre, il mobilise l’ensemble de ses niveaux de
responsabilité.
eLe système de management des risques de l’entreprise (ou
d’en,té), c’est quoi ?

• Le COSO2 définit le management des risques de l'entreprise

comme : « Le processus mis en œuvre par le Conseil
d'administraMon, la direcMon générale, le management et
l'ensemble des collaborateurs de l'organisaMon. Il est pris en
compte dans l'élaboraMon de la stratégie ainsi que dans toutes
les acMvités de l'organisaMon. Il est conçu pour idenMfier les
événements potenMels suscepMbles d'affecter l'organisaMon et
pour gérer les risques dans les limites de son appétence au
risque. Il vise à fournir une assurance raisonnable quant à
l'aNeinte des objecMfs de l'organisaMon. »

Il apparaît que le COSO 2 inclut les éléments du COSO 1-2013et est

basé essenMellement sur une vision orientée risques de
l’entreprise.
Le nouveau référentiel de management des
risques : le Coso 2 révisé en septembre 2017

172
 Composantes Principes
Exercer une surveillance des risques
1
par le conseil
Gouvernance et culture
La gouvernance donne le ton dans l’organisation, en 2 Définir les structures
insistant sur l’importance du management des risques organisationnelles.
de l’entreprise et en définissant les responsabilités de 3 Définir la culture souhaitée
surveillance de cette démarche. La culture correspond Démontrer l’engagement en faveur de
aux valeurs éthiques, aux comportements souhaités et 4
valeurs fondamentales
à la compréhension des risques dans l’entité.
Attirer, former et fidéliser des
5
personnes compétentes

173
 Stratégie et définition des objectifs 6 Analyser le contexte de l’organisation
Le management des risques de l’entreprise, la stratégie 7 Définir l'appétence pour le risque
et la définition des objectifs contribuent conjointement 8 Évaluer les stratégies alternatives
au processus de planification stratégique. L’appétence
Définir les objectifs opérationnels
pour le risque est définie et ajustée à la stratégie ; les
objectifs opérationnels permettent de mettre en œuvre
la stratégie tout en servant de base pour l’identification, 9
l’évaluation et le traitement des risques.

174
 Identifier les risques

Performance
Les risques qui peuvent affecter la réalisation de la
10
stratégie et des objectifs opérationnels doivent être
identifiés et évalués. Les risques sont priorisés selon
leur criticité dans le contexte de l’appétence pour le
risque de l’organisation. L’organisation sélectionne
ensuite les modalités de traitement des risques et
analyse en termes de portefeuille le niveau de risque 11 Évaluer la criticité des risques
assumé. Les résultats de ce processus sont 12 Prioriser les risques
communiqués aux parties prenantes clés concernées Mettre en œuvre les Modalités de
par les risques. 13 traitement des risques
Développer une vision globale du
14
portefeuille de risques

175
 Revue et amendement 15 Évaluer les changements substantiels
En examinant la performance de l’entité, une Réexaminer les risques et la
organisation peut prendre en considération la manière 16
performance
dont les composantes du management des risques Poursuivre l’amélioration du
fonctionnent au fil du temps, et en fonction de
changements substantiels, ainsi que les éventuels
management des risques de
17 l’entreprise
amendements nécessaires.

176
 Information, communication et rapports Tirer parti des données et des
Le management des risques de l’entreprise exige un
18
technologies
processus permanent d’obtention et de partage des Communiquer les informations
informations nécessaires, provenant de sources 19
relatives aux risques
internes et externes, qui sont transmises de façon
Rendre compte des risques, de la
ascendante, descendante ou transversale dans 20 culture et de la performance
l’organisation.
3.3 Modèles de Contrôle – Une Approche du
Risque et du Contrôle

• Pourquoi est-il important de mettre le risque

au centre de la démarche d’audit?
– Introduit un langage commun entre la direction et
l’auditeur concernant le risque et le contrôle
– Aide une organisation à mettre en œuvre des
mesures de sauvegarde de ‘bon sens’
– Aide à ce que le risque soit géré plus
efficacement et mieux surveillé
– Aide à orienter l’activité d’audit et d’inspection
vers les risques les plus significatifs
eLes Points Communs des RéférenWels

• La gesBon du risque est une composante de base

pour une gouvernance et un contrôle interne
efficace.

• La gesBon du risque est une responsabilité de la

direcBon (management) et du personnel

• Les auditeurs doivent inscrire leurs tâches sur la

gesBon des risques et le contrôle dans un
dialogue conWnu avec les organes de direcWon et
le personnel en respectant les principes
d’indépendance et d’objecBvité.
eExemples de Bonnes Pratiques dans le
Secteur Public
ØPays ayant adopté ou mettant actuellement
en œuvre COSO-I et/ou COSO-II au sein des
services publics:
• Afrique du Sud, Kenya, Indonésie, Royaume-
Uni, Canada, Mozambique, Burkina, Mali….
ØPays ayant adopté les normes d’Audit Interne
IIA:
• Afrique du Sud, Kenya, Indonésie, Royaume-
Uni, Canada, Ouganda, Burkina, Mali…
1. Le Conseil - Instances dirigeantes :

• Le Conseil - Instances dirigeantes surveille le

management d'une organisation. Il doit jouer un
rôle dans la définition de la stratégie, la
formulation des objectifs de haut niveau,
l'affectation globale des ressources et la création
de l'environnement éthique.

• Le COSO précise que, concernant le dispositif de

management des risques, le Conseil (les instances
dirigeantes) exerce une supervision de la
gouvernance en :
– Établissant un comité de gouvernance
– Précisant les exigences de reporting au Conseil
– Réévaluant régulièrement (tous les ans) les attentes
vis-à-vis de la gouvernance
– Créant une structure organisationnelle qui vienne en
appui à la réalisation de la stratégie de l‘organisation
– Instaurant une politique de gouvernance concernant
la réalisation des principales activités de l'organisation
– Définissant et mettant en place des lignes
hiérarchiques claires en termes de responsabilité et
de reddition des comptes, au sein de l'ensemble de
l'organisation
– S'assurant d'une supervision adéquate par la
direction, avec notamment l'instauration et le
maintien d'un dispositif solide de contrôle interne
2. La direction générale :
• Le management est responsable de toutes les
activités d'une organisation, y compris du
dispositif de management des risques. Le
directeur général (DG) a la responsabilité
ultime de l'efficacité et de l'efficience du
management des risques :
– Il donne le ton,
– exerce un leadership,
– définit une orientation aux cadres supérieurs
– et pilote l'ensemble des activités de l'organisation
liées au risque, en fonction de l'appétence au
risque de cette dernière.
Ø La direction générale exercera ses responsabilités de gouvernance
en :
• Instaurant un comité de gestion des risques (Comité de direction).
• Précisant les exigences de reporting (états financiers, opérationnel et
tableau de bord)
• Communiquant les informations clés de manière appropriée et
transparente aux parties prenantes
• Surveillant correctement les transactions et les situations
potentiellement sources de conflit d'intérêts avec les parties liées
• Evaluant régulièrement (probablement tous les ans) les attentes
concernant la gouvernance
• Cette situation donne également à la direction générale l'occasion
d'évaluer l'efficacité globale du programme de management des
risques de l'organisation
• Communiquant les processus de gouvernance et en comparant ces
processus avec les codes nationaux et les bonnes pratiques reconnues
3. Les propriétaires de risques
• Le directeur général et les autres dirigeants
sont les propriétaires des risques au sein de
l'organisa,on.
• Ils ont la responsabilité, au quo,dien, de
veiller à ce que les ac,vités de management
des risques permeMent de gérer efficacement
les risques conformément à l'appétence pour
le risque de l'organisa,on dans la réalisa,on
des objec,fs.
4. Le directeur du risque (« risk manager » voir
également : Responsable du Contrôle Interne
niveau 1 et niveau 2)
Ø Lorsqu’il existe :
• il doit servir de point de coordination centralisé
pour faciliter le management des risques
• il travaille avec les managers opérationnels pour
établir un système de management des risques
efficace au sein de leur sphère de responsabilité.
Ø Le COSO décrit les responsabilités spécifiques du
directeur des risques :
• définir des poliWques de management des
risques, y compris les rôles et les responsabilités,
et parBciper à la fixaBon des objecBfs de mise en
œuvre ;
• définir, au sein des différentes unités de
l'organisaBon, les personnes responsables du
management des risques ;
• promouvoir le management des risques dans
toute l'enBté, en facilitant le développement d'un
savoir-faire technique et en aidant les
responsables à meWre en œuvre des traitements
du risque en foncBon des tolérances au risque de
l'organisaBon ;
• aider à intégrer le management des risques dans
les acBvités de planificaBon et de management ;
• établir un langage commun de management des
risques qui intègre des indicateurs homogènes
relaBfs à leur probabilité et à leur impact et qui
définisse des catégories communes de risques ;
• faciliter le développement par les managers de
tableau de bord qui Bennent compte de seuils
quanBtaBfs et qualitaBfs et superviser le
processus de reporBng ;
• rendre compte au directeur général à la fois :
– des progrès
– et des résultats atypiques ou anormaux
– et recommander les acCons nécessaires.
 Responsable du contrôle
interne
Niveau 1 (Direction Générale)
Définition synthétique du poste

Développer le dispositif de contrôle interne, le promouvoir

et piloter sa mise en œuvre dans l’ensemble de
l’organisation.
Définir, à partir des orientations des organes dirigeants,
l’organisation du dispositif de contrôle interne (politique, charte,
processus de pilotage, responsabilités des différents acteurs…).
Concevoir

Mettre à disposition un référentiel de contrôle interne et des guides

méthodologiques. En assurer la mise à jour.
 Sensibiliser la direction générale aux meilleures pratiques de
contrôle interne.

Contribuer à l’harmonisation des pratiques en diffusant une

culture commune notamment en termes d’intégrité et
d’attitude vis-à-vis des risques.

Contribuer à la conduite du changement en anticipant et en

accompagnant les transformations nécessaires à
Accompagner

l’amélioration de la performance et de la maîtrise des

activités.
Animer le réseau des animateurs de contrôle interne.

Aider les managers à décliner les directives et orientations de

la direction générale dans des guides pratiques précisant les
facteurs de risques et les activités de contrôle
correspondantes.
 Participer à l’alimentation de la cartographie des risques, et
plus généralement au dispositif de maîtrise des risques.

Mettre en place les outils et les indicateurs de suivi de

l’efficacité du dispositif de contrôle interne.
Evaluer

S’assurer du suivi de l'efficacité du dispositif de contrôle

interne notamment à travers le suivi de la mise œuvre des
plans d’actions et la réalisation de certains plans de tests.

Organiser les contrôles sur place (par exemple en testant la

mise en œuvre d’activités de contrôle ou de plans de
résolution de défaillances).
 Discuter des pistes d’amélioration avec les directions métiers et
fonctionnelles.

Préparer les communications externes relatives au contrôle interne.

Contribuer à la rédaction du rapport des dirigeants sur le contrôle
interne et la gestion des
Rendre compte

risques.
Rendre compte aux organes dirigeants, notamment au comité d’audit,
du niveau de maitrise des risques et des contrôles.

Participer aux instances de coordination avec les autres acteurs de la

gestion des risques (risques financiers, opérationnels ou de
conformité…).
Informer régulièrement l’audit interne.

Administrer l’outil de contrôle interne (base de données comportant le

référentiel de contrôle interne, des bonnes pratiques d’identification et
Gérer le service

de maîtrise des risques, des indicateurs de suivi…).

Assurer une veille réglementaire et professionnelle. La diffuser.

Coordonner son programme de travail avec les autres fonctions de la

gestion des risques afin d’éviter les effets d’empilement qui nuisent à la
clarté et à la crédibilité du dispositif de gestion des risques.
Savoir-faire Connaissances
• Définir et fixer des objectifs, • Activités, métiers clés de
• Définir des priorités, arbitrer, l’organisation,
• Etre force de proposition, convaincre, • Modélisation des processus,
• Définir des indicateurs de pilotage • Analyse et évaluation des risques,
d’activité • Cadres de référence de contrôle
pertinents, interne,
• Animer un réseau, • Environnement réglementaire,
• Communiquer, rédiger, synthétiser, • Systèmes d’information notamment
• Etre pédagogue, la maîtrise des outils d’analyse de
• Gérer les conflits, données,
• Interagir avec les dirigeants, leur • Outils de communication et
rendre d’animation,
compte de son activité. • Gestion de projets.
Point d’attention
Rappelons que les managers sont responsables de la mise en place des dispositifs de
contrôle interne efficaces et de la mise en œuvre au quotidien des procédures.
Le poids des activités citées ci-dessus pourra varier en fonction du secteur d’activité,
de l’organisation, du niveau de maturité du dispositif de contrôle interne, de l’effectif
et de l’organisation de la « filière contrôle interne », de la nature des relations avec
les contrôleurs internes métiers (cf. niveau 2). Néanmoins, les cinq catégories
proposées (concevoir, accompagner, évaluer, rendre compte et gérer le service) sont
 Contrôleur interne métier
Niveau 2 (Direction support ou
métier)
Définition synthétique du poste

Accompagner et conseiller les lignes opérationnelles et

fonctionnelles concernées par la mise en œuvre d’un
dispositif de contrôle interne cohérent avec les orientations
définies au niveau du Groupe
Identifier des activités de contrôle spécifiques à son domaine de
Concevoir

responsabilité en s’assurant de leur pertinence avec le responsable du

contrôle interne (cf. niveau I).

Apporter un appui méthodologique aux en4tés relevant de son domaine de responsabilité.

Accompa-

Proposer des axes d’améliora4on pour un usage managérial du contrôle interne.

gner

Assister les entités lors de leur exercice d’auto-évaluation.

 Mettre en œuvre le référentiel contrôle interne et
les plans de contrôle définis par le responsable du
contrôle interne (cf. niveau 1).
Tester la conception et la mise en œuvre des
Evaluer

activités de contrôle par les entités relevant de son

domaine de responsabilité.
Actualiser
Informer les la cartographie
instances desrelevant
dirigeantes risques,deleson
plan de
périmètre
tests,
de les outils, les procédures sur son périmètre de
responsabilité.
responsabilité.
Participer aux instances locales de coordination avec les
Rendre compte

autres fonctions dédiées à l’amélioration de la performance

et à la maîtrise des risques (qualité, sécurité, gestionnaires
des risques,…).
Participe au réseau de contrôle interne notamment en
assurant la remontée d’informations fiables et en temps utile
ainsi que le partage des bonnes pratiques.
Savoir-faire Connaissances
• Etre pédagogue, • Activités, métiers clés du
• Travailler en équipe, périmètre concerné,
• Communiquer, Convaincre, • Cadres de référence de
Rédiger, contrôle interne,
• Conduire le changement, • Typologies des contrôles et
• Evaluer l’efficacité des modalités de
contrôles, mise en œuvre,
• Analyser les données. • Environnement réglementaire,
Point d’attention • Outils de communication et
d’animation.
Rappelons que les managers sont responsables de la mise en place des dispositifs de
contrôle interne efficaces et de la mise en œuvre au quotidien des procédures.
Le poids des activités citées ci-dessus pourra varier en fonction du secteur d’activité,
de l’organisation, du niveau de maturité du dispositif de contrôle interne, de l’effectif
et de l’organisation de la « filière contrôle interne », de la nature des relations avec le
RCI (cf. niveau 1).
Néanmoins, les quatre catégories proposées (concevoir, accompagner, évaluer et
rendre compte) sont communément partagées.
5. La direction financière
ØLes cadres rattachés à la Direction financière
(comptabilité, contrôle de gestion, etc..) ainsi
que leurs équipes s'occupent d'activités qui
concernent toute l'organisation :
• Ils jouent un rôle majeur dans la prévention et
la détection des reportings erronés.
• Ils participent à la conception, la mise en
œuvre et le pilotage du système de contrôle
interne sur le reporting financier de
l'organisation ainsi que les systèmes annexes
6. L'audit interne
• La « Norme 2120 : Management des risques »
précise que « l'audit interne doit évaluer
l'efficacité des processus de management des
risques et contribuer à leur amélioration ».

• Le rôle que l'audit interne peut jouer dans le

dispositif de management des risques est
différent selon que :
– l'organisation dispose
– ou non d'une fonction spécifique dédiée au
management des risques.
6.1 Organisations dotées (dispositif) d'une fonction
spécifique de management des risques

• La version anglaise du « Cadre de référence international

des pratiques professionnelles de l'audit interne »
comprend une prise de position qui précise que : «
Concernant le dispositif de management des risques, le rôle
essentiel de l'audit interne consiste à apporter au Conseil
(instances dirigeantes) une assurance objective quant à
l'efficacité des activités de management des risques, afin
que les principaux risques de l'entreprise soient gérés
correctement et que le système de contrôle interne
fonctionne bien».

• Cette prise de position est présentée dans un diagramme

en éventail qui précise les différents rôles que l'audit
interne doit ou ne doit pas assumer (figure ci-après) :
ePrincipaux rôles de l'audit interne.
ØCes activités d’assurance sont les suivantes :
• Donner une assurance concernant les processus
de gestion des risques.
• Donner l'assurance que les risques sont bien
évalués.
• Évaluer les processus de gestion des risques.
• Évaluer la communication des principaux
risques.
• Examiner la gestion des principaux risques.
eRôles légitimes de l'audit interne qui ne
doivent pas devenir prépondérants.
Ø L'audit interne peut apporter des services de
conseil (section jaune au centre l'éventail) qui
améliorent :
– la gouvernance,
– la gestion du risque
– et les contrôles au sein d'une organisation.
Ø Ces activités de conseil sont les suivantes :
– Faciliter l'identification et l'évaluation des risques.
– Accompagner la direction dans le traitement des
risques.
– Coordonner les activités d'ERM.
– Centraliser la communication des risques.
– Actualiser et développer le cadre de l'ERM.
– Challenger le dispositif d'ERM.
– Élaborer une stratégie de management des risques à
valider par le Conseil.
eRôles que l'audit interne ne doit pas jouer (sous peine
de compromecre son indépendance).
– Définir l'appétence au risque (risque résiduel acceptable ou
risque cible)
– Imposer des processus de management des risques
– Apporter une assurance sur les risques aux instances
dirigeantes autrement dit, cons"tuer la seule source
d'assurance pour la direc"on que les risques sont
correctement gérés, ce qui reviendrait à exécuter une
fonc"on de management.
– Décider de la manière de traiter les risques.
– Me?re en œuvre des mesures de traitement des risques
au nom de la direc&on ou des instances dirigeantes.
– Prendre la responsabilité du management des risques.
6.2 Organisations dotées d'un dispositif de
management des risques piloté par l'audit
• La Modalité pratique d'application 2120-1-4 : «
Evaluer la pertinence des processus de
management des risques », indique que « les
Instances dirigeantes sont responsables des
processus de management des risques et de
contrôle de leur organisation. Toutefois, les
auditeurs internes peuvent, dans le cadre d'une
mission de conseil, aider l'organisation à
identifier, à évaluer et à mettre en place des
méthodes de management des risques et des
contrôles permettant de maîtriser ces risques ».
• Le rôle de l'audit interne dans le processus de
management des risques d'une organisation
peut évoluer dans le temps et revêtir les
formes suivantes :
– aucune intervention ;
– audit du processus de management des risques
dans le cadre du programme d'audit interne ;
– soutien actif et continu, et participation au
processus de management des risques, notamment
dans le cadre de comités de surveillance, d'activités
de suivi et de rapports officiels ;
– gestion et coordination du processus de
management des risques. »
Ø Ainsi, l’audit interne est un acteur efficace du
processus de gouvernance s’il :
ü S'efforce de comprendre pleinement les
orientations et les attentes des Instances
dirigeantes s'agissant de la gouvernance
ü Soutient le programme de management des
risques de la direction :
– Elabore un plan d'audit interne (Norme 2010 de IIA :
Planification), englobant les missions d'assurance
concernant la gouvernance et prévoit des
communications périodiques aux instances dirigeantes
au sujet de l'efficacité des activités de management des
risques.
– Elabore le plan des missions d'audit sur la base d'une
évaluation des principaux risques et menaces.
qAu total : Les Pré-requis de toute démarche
d’audit:

eLa connaissance des Normes d’audit:

• Normes de Institute of Internal Auditors – IIA
ou Institut des auditeurs internes
(www.theiia.org); normes de contrôle de
l’INTOSAI, IFAC,

ABR Bénin - Souleymane SERE

eLa maîtrise des Référentiels de contrôle interne et de
management des risques

• COSO IC-IF, COSO ERM, ISO 31000, KING 3 pour la

gouvernance des entreprises, INTOSAI (INTOSAI GOV
9130),
• Australian /New Zealand Standard Risk Management
(AustraWan Standard 4360), Joint Technical Committee
OB/7— Risk Management, Australie/Nouvelle-Zélande,
révision 2004
• Référentiel FERMA (Fédération Européenne des
associations de Risk Management)
• Cadre de référence de l'AMF « Les dispositifs de
gestion des risques et le contrôle interne », juillet 2010
(France)
Ø Autres cadres de réduction des risques
reconnus

• Convergence internationale de la mesure

et des normes de fonds propres (Accord
de Bâle), Comité de Bâle sur le contrôle
bancaire, 1988
• Convergence internationale de la mesure
et des normes de fonds propres - dispositif
révisé (Bâle II ou Nouvel accord de Bâle),
Comité de Bâle sur le contrôle bancaire
 Ques>ons à choix mul>ple (QCM)
(à Traiter en groupe : durée 1 heure 30)
Sélectionnez la meilleure réponse pour chacune des
questions suivantes.

1) Selon le dispositif de management des risques du

COSO 2013, tous les éléments suivants font partie de
l'environnement interne d'une organisation sauf un,
lequel ?
a) Fixer les objectifs de l'organisation.
b) Déterminer l'appétence au risque.
c) Assigner des pouvoirs et des responsabilités.
d) Engagement du management en faveur de la
compétence
2) Parmi les éléments suivants, lequel ne
constitue pas un exemple de stratégie de
partage des risques ?
a) Externaliser un domaine à haut risque non
essentiel.
b) Vendre une unité non stratégique.
c) Se couvrir contre les fluctuations des taux
d'intérêt.
d) Souscrire une police d'assurance pour se
protéger contre les aléas météorologiques.
3) Une organisation surveille un site Web qui
accueille des blogs anonymes consacrés à son
secteur d'activité. Récemment, des messages
anonymes ont évoqué l'adoption éventuelle d'une
législation susceptible d'avoir un effet considérable
sur le secteur en question. Parmi les éléments
suivants, lequel pourrait engendrer le risque le plus
élevé si cette organisation prenait des décisions
fondées sur les informations contenues sur ce site
Web ?
a) La pertinence de l'information.
b) La disponibilité de l'information en temps utile.
c) L'accessibilité de l'information.
d) L'exactitude et la fiabilité de l'information.
4) Qui est responsable de la mise en œuvre du
management des risques ?
a) Le directeur financier.
b) Le responsable de l'audit interne.
c) Le responsable de la conformité.
d) Le management et l’ensemble du personnel
dans toute l'organisation.

5) Parmi les critères suivants, lequel n’est pas pris

en compte dans l’évaluation du risque inhérent ?
a) Vulnérabilité.
b) Probabilité.
c) Impact.
d) Soudaineté
6) Parmi les propositions suivantes, laquelle
constitue le meilleur argument pour inciter le
responsable de l'audit interne à tenir compte du
plan stratégique de l'organisation lors de
l'élaboration du plan d'audit interne annuel ?
a) Insister sur l'importance de la fonction d'audit
interne pour l'organisation.
b) Veiller à ce que le plan d'audit interne soit
validé par la direction générale.
c) Formuler des recommandations visant à
améliorer le plan stratégique.
d) Veiller à ce que le plan d'audit interne favorise
la réalisation des objectifs généraux de
l'organisation.
7) Lorsque la direction générale accepte un niveau
de risque résiduel que le responsable de l'audit
interne juge inacceptable pour l'organisation, le
responsable de l'audit interne doit :

a) Faire immédiatement état du niveau de risque

inacceptable au président du comité d'audit et
au cabinet d'audit extérieur indépendant.
b) Démissionner.
c) En discuter avec les membres de la direction
qui sont bien informés et, si la question n'est
pas tranchée, la soumettre au comité d'audit.
d) Accepter la position de la direction générale,
car c'est elle qui définit l'appétence pour le
risque de l'organisation.
8) Dans le cadre de la mise en œuvre du dispositif de
management des risques d'une organisation, on demande
au responsable de l'audit interne de diriger l'évaluation
des risques de l'organisation. Parmi les situations
suivantes, laquelle ne serait pas pertinente pour protéger
l'indépendance et l'objectivité de l'audit interne ?
a) Une partie de la direction participe à l'évaluation de
la probabilité et de l'impact de chaque risque.
b) Les propriétaires des risques reçoivent une
responsabilité pour chaque risque important.
c) Un membre de la direction générale présente les
résultats de l'évaluation des risques au Conseil et
précise qu'ils représentent le profil de risque de
l'organisation.
d) La fonction d'audit interne obtient l'aide d'un
consultant externe pour mener à bien la session
d'évaluation formelle des risques.
9) Une mission d'audit interne a été définie dans le cadre
du plan d'audit interne annuel.
D'après le modèle de risque de la fonc%on d'audit
interne, cet audit est considéré comme étant à risque
modéré. Le cycle d'audit en cours s'étend sur deux
ans. Parmi les situa%ons suivantes, laquelle aura
certainement l'impact le plus fort sur la planifica%on
de la mission et sa durée pour ceZe mission d'audit
interne ?
a) Le domaine audité requiert le traitement d'un
volume important de transac*ons.
b) Certaines composantes du processus sont
externalisées.
c) Un nouveau système a été mis en œuvre en cours
d'année et a changé le mode de traitement des
transac*ons.
d) Les montants traités ne sont pas négligeables.
10)La crise financière chez les PTFs qui réduit
significativement les ressources d’un Etat est
liée le plus directement à quelle catégorie
d'objectifs ?
a) Objectifs stratégiques.
b) Objectifs opérationnels.
c) Objectifs de reporting.
d) Objectifs de conformité.
Séquence 2
METHODOLOGIE ET OUTILS Date : Durée

D’ELABORATION DE LA
CARTOGRAPHIE, DU PLAN DE
MITIGATION ET DU PLAN
D’AUDIT BASES SUR LES
RISQUES
Séquence 2 : Comment élaborer une cartographie ou Classement : Sq2 Rédacteur :
registre des risques ? SS

Objectifs ¨ Maîtriser la démarche et les outils d’élaboration d’une cartographie des risques
¨ Maîtriser les techniques d'identification et d'évaluation des risques ;
¨ Maîtriser les grilles d'analyse des risques

N° Fiches Titres / Contenu Stratégie d’animation

5 La cartographie des risques : objectifs et Exposés, discussions
démarche
6 Comprendre les processus Exposés, discussions

7 Identification et description des Exposés, discussions

«ensembles homogènes » : l’univers
d’audit
8 Identification et évaluation des risques Illustrations
bruts ou inhérents
9 Identification et évaluation du contrôle Illustrations
interne
10 Evaluation des risques résiduels Illustrations

Test de Travaux de groupe de 5 (durée 1

connaissances QCM synthèse risques heure 30)
Cas pratique Cas pratique : Elaboration de la Travaux de groupe de 5 (durée 2
cartographie, du plan de mitigation et du heures)
plan d’audit basé sur les risques des 5
ministères
 1. Normes professionnelles, modalités
pratiques d'application et prises de position
pertinentes IIA
2010 —Planification
2120 — Management des risques
2200 — Planification de la mission
Modalité pratique d'application 2010-1 : Prise en compte des risques et des
menaces pour l'élaboration du plan d'audit

Modalité pratique d'application 2120-1 : Évaluer la pertinence des

processus de management des risques

Modalité pratique d'application 2200-1 : Planification de la mission

Modalité pratique d'application 2210-1 : Objectifs de la mission

Modalité pratique d'application 2210.A1-1 : Évaluation des risques dans la planification
de la mission
2. La cartographie des risques : défini+on
e La cartographie des risques (portefeuille, registre)
est un document qui permet :
– de recenser et d’évaluer les risques majeurs d’une
organisaCon
– et de les présenter de façon synthéCque sous une forme
hiérarchisée
– pour en assurer une démarche globale de maîtrise.
• Ceee hiérarchisaWon s’appuie sur les critères
suivants :
– L’impact potenCel
– La probabilité de survenance
– Le niveau actuel de maitrise de risques (maturité du CI)
3. Objectifs et utilités de la cartographie des
risques :
– Mettre en place un contrôle interne ou un processus
de management stratégique et opérationnel des
risques en fonction des ressources disponibles;
– L’allocation stratégique des ressources (humaines,
matérielles, financières, délégation, etc.), en fonction
de la qualité du dispositif de maîtrise des risques
prioritaires;
– Orienter les contrôles comptables et budgétaires
(article 13 Directive 06 UEMOA)
– Alléger le contrôle à priori ou adapter leur contrôle
approche à la qualité des contrôles internes comptables
et budgétaires (article 91 Directive RGCP UEMOA)
– Mettre en place une stratégie de communication
interne et externe relative à la gestion des risques;
– Assurer le suivi du plan d’action;
– Aider le management dans l’élaboration de son plan
stratégique et de sa prise de décision ;
– Orienter le plan d’audit interne (pluriannuel et
annuel, et individuel des missions) en mettant en
lumière les processus au niveau desquels se
concentrent les risques majeurs ;
– Renforcer la bonne image de l’organisation (rassurer
toutes les parties prenantes);
– Référentiel d’analyse permettant de choisir la
démarche à adopter en matière de gestion des
risques.
 Les objectifs de la gestion des risques
§ Fournir au management une vision consolidée & cohérente
du niveau d’exposition de l’Etat aux risques stratégiques
et opérationnels
§ Renforcer le contrôle interne et favoriser le bon déploiement
des politiques et des programmes
§ Donner l’accès aux informations relatives au traitement des
risques
§ Optimiser le rapport entre bénéfices & coûts des contrôles
Objectifs
§ Renforcer la solidité des CI pour l’atteinte des objectifs avec un
niveau d’assurance raisonnable
§ Promouvoir la culture du risque dans l’administration
§ Être exemplaire, en appliquant les standards internationaux
(COSO1 et 2, IINTOSAI, etc.) et accompagner l’internalisation des
Directives UEMOA (Pluri annualité, GAR, etc.)
 Contexte spécifique : Les orientations stratégiques

• Aider l’administration à mieux identifier et surveiller ses risques et à

continuer à renforcer et structurer son contrôle interne.

• Centraliser et hiérarchiser l’information sur les risques et préparer des

synthèses à l’intention des décideurs :
– en mettant en place un réseau permanent le management des risques ;
– en établissant un canevas méthodologique d’analyse et de maîtrise des risques
commun à l’ensemble des Domaines, des programmes ;
– en élaborant une démarche de consolidation globale des risques et de reporting
destiné au Gouvernement ;
_ permettant aux corps de contrôle interne d’élaborer un plan stratégique basé sur le
risque en conformité avec les standards internationaux (Normes IIA).
à confortées par les évolutions récentes (COSO I, COSO II, Déclaration
de Paris sur l’efficacité de l’aide au développement, SNCI, Directives UEMOA,
etc.)
 Les fondamentaux
De l’approche par les contrôles
à l’approche par les risques (1/2)

v L’approche par les contrôles - c’est-à-dire vérifier, sans

autre démarche, l’applicaLon de contrôles types à des
acLvités types, auparavant largement répandue, a montré
ses limites :

– recensement des risques non préalable donc non exhausLf ;

– disposiLf non adapté à la prise en compte de risques nouveaux ou de

l’évoluLon des enjeux ;

– privilégie la conformité plutôt que la perLnence des contrôles ;

– méthode descendant d’emblée à un niveau très fin de l’acLvité.

 Les fondamentaux

De l’approche par les contrôles

à l’approche par les risques (2/2)

v La pratique professionnelle adopte désormais une

approche par les risques (c’est-à-dire recenser les
risques encourus préalablement à toute interrogation
sur les contrôles effectués) qui :
- permet d’adopter une démarche progressive, en allant par étape
échelonnée dans le temps, des risques principaux aux risques les plus
fins,
- s’inscrit dans la logique des activités par domaines et par programmes.
 L’organisa2on transversale de la
maîtrise des risques
Architecture générale : les trois niveaux de contrôle

NIVEAU 3
AUDIT EXTERNE

AUDIT INTERNE NIVEAU 2

Risque Ligne 3
Risque
inhérent Ligne 2 Direction Contrôle Interne
résiduel

Ligne 1 Degré 2 RESPONSABLES

NIVEAU 1
Degré 1 OPERATIONNELS
4. La cartographie des risques : étapes de réalisation
Objectifs
Catégories de
de Gestion Risques
• Strategique
• Operationnel
• Financier
• Technologique Mesure du Risque
• Reputation • Vulnérabilité
• Impact
• Probabilité

Contrôle
Interne

Risques Risques
Inhérents Résiduels
 • La planification de la mission : Partir des objectifs de gestion et découper la structure en ensembles
Etape 1 homogènes (processus, sous processus et à l’intérieur de chaque processus, les entités.), … : l’univers
de management et d’audit

• Réalisation de la mission : Identifier et évaluer les risques bruts ou inhérents (risques de gestion
pouvant empêcher l’atteinte des objectifs du Département ou de l’unité : Causes, probabilité x impact
Etape 2

• Réalisation de la mission : Identifier et évaluer des contrôles internes clefs mis en œuvre dans le but
de répondre et mitiger les risques de gestion ci-dessus (prévision, protection)
Etape 3

• Réalisation de la mission : Evaluation du risque résiduel, déterminer les modalités de traitement et

Contribution attendue des Services d’audit (comparaison avec l’appétence pour le risque)
Etape 4

• Communication des résultats : Présentation de la cartographie ou registre des risques

Etape 5
5. Planification de la mission
• Elle porte sur :
– la définition des objectifs et du périmètre,
– le calendrier de la mission,
– les prévisions d'effectifs et les budgets financiers.

• Elle doit permettre également de connaitre

l’audité, notamment ses objectifs et ses
assertions (recherche documentaire).
5.1 La connaissance de l’audité et ses assertions

• l'auditeur doit en premier lieu comprendre :

– les objectifs de l'audité,
– les tâches et activités effectuées qui visent à
atteindre ces objectifs,
– ainsi que les mécanismes de pilotage des
performances et de mesure de la réussite.

• Il convient, pour avoir une information fiable,

de se référer aux documents sources,
rassemblés dans un dossier unique pour toutes
les entités (dossier permanent).
• La consBtuBon du dossier de référence (dossier
permanent : plan de dossier Réf 0) peut passer
par l’obtenWon des informaWons de base ci –
après (Réf. 7 Kit) :
– la définiCon de la mission de l’enCté, les objecCfs et
les plans (missions, objecCfs stratégiques,
opéraConnels, indicateurs de performance),
– des informaCons sur l'organisa7on :
• organigramme général et détaillé,
• descripLons de poste effecLfs et les noms des
collaborateurs,
• personnel occupant des postes-clé,
• manuels de procédure et de poliLque,
• détails sur les derniers changements d'organisaLon, y
compris les changements importants de systèmes
informaLques,
– des informations budgétaires, des résultats
des opérations, et des données financières sur
l'activité à auditer,
– les dossiers d'audits précédents,
– des résultats d'autres audits, y compris ceux
des auditeurs externes, terminés ou en cours,
– des dossiers pour déterminer des problèmes
potentiels importants,
– la littérature technique faisant autorité pour
l'activité.
• Il est en particulier essentiel d'obtenir la
validation des dossiers par les Directeurs
opérationnels concernés afin d'être certains
de la référence qu'utiliseront les auditeurs.

• La constitution de ces dossiers est un moment

important de la démarche d’élaboration de la
cartographie et du plan d’audit basé sur les
risques, elle permet la formalisation de la
lettre de mission (Lettre de mission Réf. 1 Kit).
Ø Un atelier d’échange et de cadrage avec tous les acteurs
impliqués (managers, opérationnels) peut être organisé
pour permettre aux participants de :
– comprendre et s’accorder sur les concepts, les
techniques et les outils ;
– Comprendre comment les organisations structurent
leurs activités pour atteindre leurs objectifs ;
– appréhender les différents rôles attribués aux
managers et à l'audit interne dans le management
des risques dans une organisation ;
– De maîtriser les techniques et les outils
d’identification et d’évaluation des risques
– De maîtriser les techniques et les outils d’élaboration
du plan de mitigation et d’audit basé sur les risques
5.2 Déterminer les objectifs et le périmètre de la
mission : la lettre de mission

q La mission d’élaboration ou l’actualisation de la

cartographie des risques conduite par l’audit interne
entre la catégorie des missions de conseil qui vise la
palette d’objectifs suivants :
Ø l'évaluation indépendante d'un processus ou de
contrôles
Ø des conseils aux managers à tous les niveaux de
l'organisation sur la manière de documenter et de
regrouper leurs évaluations des risques et des contrôles.
Ø Faciliter les autoévaluations :
– l'évaluation par la direction générale des risques qui
menacent l'organisation dans son ensemble;
– l'évaluation par les propriétaires des processus des risques
qui menacent leurs activités.
ØMener des formations en interne :
– renseigner les audités et leur hiérarchie sur les
nouvelles lignes directrices qui font autorité sur la
gouvernance d'entreprise, le management des
risques et le contrôle ;

– informer les propriétaires des processus et le

personnel sur les concepts fondamentaux que
sont les instances dirigeantes, la gouvernance, le
management des risques et le contrôle.
Ø La lettre de lancement de mission doit, notamment préciser (Lettre
de mission Réf. 1 Kit) :

• l’objet de la mission
• en pièces jointes :
– le planning de réalisation de la mission (macro programme : Réf. 2 et 3
Kit)
– la liste de la documentation nécessaire et des personnes à rencontrer
(Liste documentation nécessaire et personnes à rencontrer, Réf. 5 Kit)

• le type de mission : Mixte

• Le directeur de mission :
• Destinataires : responsables des entités auditées
• Copie pour information : toute personne impliquée ou concernée
•

• Origine et justification de la mission

• Résultats attendus (y compris, la forme et le contenu de la cartographie
qui varient naturellement d’une organisation à une autre en fonction
des choix et des finalités recherchées)
• Les méthodes d’identification et d’évaluation des
risques à mettre en œuvre ( Approche qui est
participative : application de la méthode MIRIS)
• Périmètre et limites
– Géographique
– fonctionnelle
• Responsabilité de la mission (composition de l’équipe)
• Chef de mission : ……………………………………………….
• Auditeurs :
• Le contrôle qualité (éventuellement).
• Calendrier de la mission (date de début et durée
prévisionnelle)
• Les moyens à mettre à la disposition des auditeurs
(personnel, véhicules, accès aux outils informatiques).
Nota : à propos des limites (périmètre de la
mission)

• La lecre de mission définit le périmètre de

chaque cartographie des risques suivant les
besoins et les objec,fs poursuivis :
– toute l’organisa+on (cartographie globale), une
unité de ges+on (business unit), un site
(cartographie sectorielle ou théma+que), ou
uniquement un projet pilote;
– tous les objec+fs ou les objec+fs clés ;
– tous types de risques ou des risques spécifiques.
5.3 Élaborer un programme de travail et allouer
des ressources

• Une planification détaillée avec affectation des

ressources est faite (Planning de travail, Réf. 3
Kit).

• L'auditeur doit identifier et désigner les membres

du personnel correspondant au niveau
d'expérience et de compétence approprié, afin
que la mission puisse être menée dans les temps
et avec efficacité.
• Il y a lieu également d’estimer les moyens
logistiques et financiers nécessaires à la correcte
réalisation de la mission (Budget type ABR, Réf.
4 Kit) :
– Bureau
– Équipements
– Fournitures de bureaux
– Déplacement
– Prise en charges des auditeurs
– Etc.
5.4 La réunion d’ouverture
• Fortement recommandée, conduite par le chef de
mission, elle réunie la hiérarchie supérieure et les
opérationnels de la structure « auditée » (futurs
interlocuteurs) et a pour objectif de préciser avec ces
derniers :
– l'objet de la mission,
– les attentes prioritaires des audités,
– le cadre et les limites,
– la date de début et la durée prévisionnelle,
– le ou les structures concernées,
– la composition de l'équipe d'audit,
– l’approche et les outils
– l’ordre de passage (Fiche de prise de rendez – vous, Réf. 8 Kit)
– si cela est nécessaire, les moyens à mettre à la disposition des
auditeurs (personnel, véhicules, accès aux outils
informatiques, bureaux, etc.).
• La réunion d’ouverture est sanctionnée par
un procès verbal (PV réunion d’ouverture,
Réf. 8.1 Kit).

• Le travail terrain peut alors commencé !!!.

1. Les processus : définition
• Les activités sont structurées en processus ou en
projets.

îQu'est-ce qu'un processus ? C'est simplement

l'ensemble des activités reliées les unes aux
autres qui permet d'atteindre un objectif un but
(résultats).

• Un processus est un ensemble d'activités corrélées

ou interactives qui transforment les éléments
d'entrée en éléments de sortie (norme ISO
9001:2000).
îUn exemple pour illustrer :
• Prenons un objecLf simple : arriver à l'heure au cours à 8h00
demain macn. Détaillons maintenant les étapes conduisant à cet
objecLf : Vous pouvez :
1. meWre dans votre sac le cahier du par8cipant et tout ce dont vous
aurez besoin, ainsi que votre ordinateur portable ;
2. meWre votre réveil à sonner pour 6h00, et aller vous coucher;
3. vous lever quand votre réveil sonne ;
4. Vous doucher
5. vous habiller ;
6. prendre votre pe8t déjeuner ;
7. Prendre votre voiture;
8. Conduire jusqu’à la salle;
9. Vous garer;
10. marcher jusqu'à la salle de forma8on ;
11. choisir sa place ;
12. prendre place.

• Pour élaborer ceMe liste, vous avez procédé à un certain nombre de

choix, parmi différentes opLons que vous auriez pu prendre. Ainsi,
vous auriez pu préparer votre sac le maLn au lieu du soir.
ØPourquoi avez-vous fait ces choix ?
• Dans certains cas, il peut s'agir de préférences
personnelles. Ainsi, si vous faites votre sac la
veille, vous pouvez dormir cinq minutes de plus le
lendemain matin.
• Dans d'autres cas, votre choix peut avoir une
incidence directe sur votre capacité à atteindre
votre objectif.

• Ainsi, vous avez décidé de régler votre réveil au

lieu de vous fier à votre horloge intérieur pour
vous réveiller à 6 H00.
• Dans ce cas, vous tenez le raisonnement sur le
management des risques.
ØDans toute organisation, il peut être identifié 3
types de processus :
– les processus opérationnels (de pilotage et
de réalisation ou de métiers),
– les processus de gestion et de soutien
(fonctions supports),
– ainsi que les projets (ou programmes).
L'encadré ci-dessous présente une classification de base pour les entreprises.
ØLes processus opérationnels représentent
l'activité cœur de métier de l'organisation :
– de l'élaboration à la prise de commande
– la livraison des produits et services pour les clients.

• Pour une entreprise de production, il s'agit des

processus par lesquels elle fabrique et vend des
produits.
• Pour les prestataires de services, comme un
cabinet de conseil ou un établissement
financier, ce sera le processus par lequel ils
commercialisent et fournissent leurs services.
• Les services publics ou les organisations à but
non lucratif (les associations... par exemple)
ont aussi des processus opérationnels lesquels
ils délivrent des services.

ØLes processus de pilotage représentent

l'activité d'élaboration des informations
internes permettant le pilotage de l'activité de
l'organisation.

ØOn distingue souvent :

– le pilotage opérationnel
– et le pilotage stratégique.
îLes processus de support représentent les
Processus clés grâce auxquels l'organisation
atteint ses objectifs prioritaires

• l'activité de mise à disposition en interne des

ressources nécessaires à la réalisation des
processus opérationnels (à la création de la valeur):
– Achats de fournitures,
– RH (recrutement, gestion des carrières, formation, paie,
etc.)
– Comptabilité, reporting, finances et trésorerie
– Système d’information et communicationnel
– etc.
• La structuration en projets ou programmes
est utilisée lorsque les activités se déroulent
sur une période longue.
 APPLICATIONS
CARTOGRAPHIE DES PROCESSUS D’UNE STRUCTURE
D’AUDIT

Ø Processus opéra'onnels (gouvernance et mé'ers)

1. Comprendre l’environnement (interne et externe)
2. Comprendre les missions et les objec+fs de ges+on
3. Iden2fier et évaluer les risques liés aux différents
objec+fs de ges+on (cartographie des risques)
4. Elaborer un plan pluri annuel d’audit et
programme annuel d’audit basés sur le risque
5. Réaliser des missions d’audit internes
6. Cons+tuer des dossiers d’audit internes
7. Suivre les recommanda+ons
ØProcessus supports ou d’appui (soutien)
– Gestion des ressources humaines
– Gestion des finances et de la comptabilité
– Gestion de l’administration et de la logistique
(immobilisations et stocks)
– Gestion de la conformité à la règlementation et aux
prescriptions déontologiques
– Gestion de la documentation, du système
d’informationnel et de la technologique
– Gestion des relations externe
2. Composition des processus
Chaque processus peut être décomposé en sous-processus
(procédures) ou en phases (ou étapes) et chaque étape se compose
de tâches et en opérations.
îNota :
• Il ne faut pas confondre « processus » avec
« procédure ».
• Les processus décrivent les activités de
l'organisation selon une vision transversale
par rapport à l'organisation de celle-ci
• tandis que les procédures explicitent le
"comment faire" dans cette organisation.
• L'approche processus permet d'identifier et de maîtriser
les interfaces entre les différentes activités.
• Le processus répond aux questions :
– QUOI FAIRE ?
– POUR QUELLE VALEUR AJOUTÉE ?
– QUI ?
• La procédure répond aux questions :
– COMMENT FAIRE ?
– QUAND ?
• Le mode opératoire répond de plus aux questions :
– OÙ ?
– SELON QUEL PROCÉDÉ ?
• Le mode pilotage répond de plus à la question :
COMBIEN ?
• L'utilisation d'une approche processus peut
conduire à élaborer une cartographie des
processus qui permet de représenter
l'organisation à travers les liens entre les
différents processus (voir classification de
base ci-avant).
îUn processus est caractérisé par 6 paramètres :

1. Le pilote (celui qui rend compte du

fonctionnement du processus),
2. Les ressources requises (financière,
humaine, matérielle...),
3. Les éléments d'entrée (données ou
produits),
4. La valeur ajoutée,
5. Les éléments de sortie (données ou
produits), et
6. Le système de mesure, de surveillance ou de
contrôle associé.
îExemple de points à documenter dans une
fiche de données processus :
– Les éléments d'entrée,
– Les éléments de sortie,
– Une description succincte du processus,
– La désignation du pilote, des acteurs, des supports
et principaux moyens,
– Le ou les clients du processus,
– Le ou les fournisseurs du processus,
– Les points de mesure,
– Les moyens de surveillance,
– Les objectifs...
3. Les préalables : Comprendre, iden+fier,
décrire et documenter les processus clés

• Les auditeurs internes DOIVENT COMPRENDRE

le modèle économique de l’organisa+on.
• Ce modèle énonce :
– les missions
– et les objec2fs de l’organisa2on
– et la manière dont ses processus sont structurés
pour aUeindre ces objec+fs.
3.1 Identification des processus clés

• La première, descendante (top down), part de

l'organisation, avec ses objectifs, puis identifie
les processus clés critiques pour les atteindre.

• Un processus est considéré comme clé par

rapport à un objectif spécifique si sa défaillance
aura pour conséquence directe d’empêcher
l'atteinte de cet objectif.
qRemarque
• Il est fortement recommandé d’envisager (dans les
grandes structures notamment) une description
détaillée et une modélisation exhaustives de tous les
processus.
• Toutefois, il convient de concentrer les efforts
d’abord sur les processus clés à forte valeur ajoutée
(agrégeant plusieurs métiers).

• Une fois les processus clés identifiés, ils sont

analysés, détaillés et documentés.
• Chaque processus est scindé en sous-processus,
jusqu’au niveau des activités.
îExemple : Processus de gestion des ressources
humaines dans l’administration (décomposition
du processus en sous processus)

1. expression des besoins

2 recrutement
3 formation
4 titularisation ou enrôlement
5 système d’évaluation des fonctionnaires
6 formation
7 système de gestion des carrières
8 système de gestion des présences
• Voir Ref 6 Cartographie des processus
 îExemple : Processus d’une structure d’audit

PROCESSUS SOUS PROCESSUS PROCEDURES/ ACTIVITES / TACHES

Produire un plan triennal d’audit et
ASSURER LES programme annuel d’audit
AUDITS Réaliser des missions d’audit
internes
Constituer des dossiers d’audit
internes
Suivre les recommandations
Elaborer et mettre en œuvre le plan triennal d’audit et
programme annuel d’audit
Exécuter les missions d’audit internes
• Planifier
o Déterminer les objectifs et le périmètre de la mission
o Connaitre l’audité (ses objectifs et ses assertions)
o Identifier et évaluer les risques
o Identifier les contrôles clés existant
o Evaluer l’adéquation de la conception des contrôles
o Elaborer un plan de tests (programme de travail)
o Allouer des ressources à la mission
• Conduire la mission
o Réaliser les tests pour collecter des preuves
o Evaluer les preuves rassemblées et en tirer des
conclusions
o Faire des observations et formuler des
recommandations
• Communiquer les résultats
o Evaluer les observations et faire remonter
l’information
o Procéder à des communications préliminaires et
intermédiaires (rapport provisoires)
o Rédiger le rapport d’audit final
o Procéder aux communications informelles et
formelles des résultats définitifs
Classement des dossiers d’audit
Mettre en œuvre des procédures de surveillance et de suivi
• Dans cette démarche descendante, c’est
l’équipe qui détecte les risques et les soumet
pour avis aux opérationnels
• Cette approche est efficace car elle produit un
ensemble gérable de processus critiques.
• Cependant, elle peut conduire à négliger des
processus critiques.
• L'approche ascendante (bottom up) commence
par une revue de tous les processus au niveau
des activités par les opérationnels.
• Elle nécessite donc que tous les services de
l'organisation identifient et documentent les
processus auxquels ils participent.
• Dans cette démarche ascendante, ce sont les
opérationnels qui identifient les risques.
• Ces risques sont ensuite soumis à l’équipe pour
validation, analyse et évaluation.
• Les processus identifiés sont ensuite agrégés
sur l'ensemble de l'organisation.
• Si cette approche fonctionne bien pour des
organisations de petite taille comportant un
nombre limité de processus, elle est moins
efficace pour les organisations grandes et
complexes (comme les Ministères) car il
devient difficile de classer, par ordre de
priorité, l'importance de chaque processus
par rapport aux autres.
3.2 Détermina+on des objec+fs clés
(arborescence)

îPour un auditeur interne, la première source

d'informa,on est :
– le propriétaire du processus
– et la documenta2on existante sur les poli2ques
– et les procédures dudit processus.
• Dans l'idéal, son propriétaire a défini des
objectifs formels (voir fiche de données
processus ci-dessus).
• Sinon, l'auditeur interne devra, travailler avec
les personnes impliquées dans ce processus
(les propriétaires des risques).
îPour comprendre comment ces données et
activités se combinent pour générer de
résultats, il convient de commencer par
analyser les documents existants, par exemple :
– Dossier permanent (s’il existe) ;
– Les textes fondateurs ;
– L’organigramme ;
– manuels de procédures ;
– les politiques liées au processus ;
– description de postes des personnes concernées ;
– le diagramme de flux des processus.
îLa description écrite du processus peut se
révéler très efficace pour :
– Orienter les nouveaux salariés,
– Définir les périmètres de responsabilité,
– Evaluer l'efficience des processus,
– Déterminer des zones prioritaires,
– Identifier les principaux risques et contrôles.
ØDeux outils sont généralement utilisés :
– les diagrammes de flux,
– et les descriptions narratives des processus.
Les diagrammes peuvent être généraux ou détaillés activité
par activité. Ils peuvent s'accompagner d'un texte.
Modalités pratiques d’application
Voir Kit du cartographe, Réf 6 : Description de la cartographie des processus et Réf 10 : Fiche de description de poste.
1
PROCESSUS / Domaines/ Missions
(Classification chronologique)
Ministère :
Structure :

SOUS PROCESSUS
(HIERARCHISES)

STRATEGIQUES OOBJECTIF
S chiffrés

OPERATIONNELS

INDICATEURS DE
PERFORMENCE

PROPRIETAIRE DU PROCESSUS
DESCRIPTION CARTOGRAPHIE DES PROCESSUS

AUTRES INTERVENANTS (Clients ou

fournisseurs)

ELEMENTS D’ENTREES
(INTRANTS)

ELEMENTS DE SORTIE
(EXTRANTS)
1. Position du problème : Les prescriptions de la
norme IIA 2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur
les risques afin de définir des priorités cohérentes avec les objectifs
de l'organisation.
Interprétation :

Il incombe au responsable de l’audit interne de développer un plan d’audit

fondé sur les risques. Pour ce faire, le responsable de l’audit interne prend
en compte le système de management des risques défini au sein de
l’organisation, il tient notamment compte de l’appétence pour le risque
définie par le management pour les différentes activités ou branches de
l’organisation. Si ce système de management des risques n’existe pas, le
responsable de l’audit interne doit se baser sur sa propre analyse des
risques après consultation des instances dirigeantes.
2010.A1 – Le plan d'audit interne doit s'appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an. Les points de vue des
instances dirigeantes doivent être pris en compte dans ce processus.

2010.C1 – Lorsqu'on lui propose une mission de conseil, le responsable de

l'audit interne, avant de l'accepter, devrait considérer dans quelle mesure elle
est susceptible de créer de la valeur ajoutée, d'améliorer le management des
risques et le fonctionnement de l'organisation. Les missions de conseil qui ont
été acceptées doivent être intégrées dans le plan d'audit.
• Ainsi, planifier les activités de l’Audit Interne c’est
élaborer un plan à partir d’une cartographie des
risques, définir un planning et prévoir un système
de reporting des résultats obtenus auprès de la
hiérarchie concernée.
• Le plan d’Audit Interne peut comprendre :
– un plan-pluriannuel
– et un programme annuel.

• L’élaboration de la cartographie des risques est

l’étape (l’outil) indispensable de l’identification
institutionnelle des besoins d’audit (plan d’audit)
d’une organisation.
• La réalisation d’une cartographie des risques
dans une organisation permet de disposer d’une
vision d’ensemble, exhaustive et précise, de son
exposition aux risques (aux turbulences) de
toutes natures, tant internes qu’externes.

• Indépendamment du plan d’audit (missions

d’audit) qui en découlera ultérieurement, la
cartographie des risques permet par ailleurs de
définir (identifier) les dispositifs adéquats à
mettre en place pour maitriser ces risques.
ÊLes quatre (4) étapes classiques à suivre pour
l’élaboration d’une cartographie des
risques sont :

1. Découper l’organisation en «ensembles

homogènes »
2. Identification et évaluation des risques
bruts ou inhérents
3. Identification et évaluation du contrôle
interne
4. Evaluation des risques résiduels
2. La démarche : L’univers d’audit en 3 tâches
3. Les approches possibles pour dresser l’univers
d’audit

¾¾¾ Le découpage de l’organisation en ensembles

homogènes ou univers d’audit peut être fait
selon les différentes approches suivantes:

¾Approche par les métiers ou structure

• Il s’agit de partir de l’organigramme dont chaque
case doit être auditée.
• A chaque métier correspond un ou plusieurs
services : c’est aussi une approche par les
structures.
¾Approche par les thèmes

• On peut citer :
– audit des contrats,
– audit de la micro-informatique,
– audit de la sécurité, etc.

• Cette approche peut permettre de déceler des

faiblesses de contrôle interne concernant
l’ensemble des services ou l’ensemble des
cycles.
¾Approche par les processus

• On part des processus (processus de gouvernance,

processus métiers et processus supports, projets) :
– processus de production,
– processus des achats / ventes,
– processus de la trésorerie,
– Etc.

• Cette approche permet :

– d’analyser les activités de l’organisation de façon
transversale en passant d’un service à l’autre,
– de regarder le fonctionnement des interfaces et
l’efficacité des processus de contrôle interne. Elle permet
de mieux apprécier le contrôle interne dans sa globalité.
2.Les ensembles homogènes sont élaborés et
validés avec les opérationnels (lors de l’atelier
de cadrage)

Nota : La méthode utilisée est généralement la

combinaison de ces différentes approches.

• Travaux de groupe
• Les outils ci-après doivent être validés
• (Tableaux croisés et univers de management
et d’audit de la Structure)
1. Problématique de la gestion du risque
• Les risques sont des événements incertains susceptibles
d’affecter la réalisation des objectifs de l’organisation:
– Impact négatif – non atteinte des objectifs
– Impact positif ou opportunité– événement apportant un
bénéfice non attendu à l’organisation

• Si un événement est certain– ce n’est pas un risque

• Les risques peuvent être mesurés en termes de:

– Vulnérabilité: L’organisation est-elle susceptible d’être exposée à
ce risque (maturité du CI)?
– Probabilité: Quelle est la probabilité que ce risque aura lieu et
avec quelle fréquence?
– Impact: Quelle est l’ampleur, conséquence de cet événement?
º Les sinistres et les catastrophes se multiplient et avec
elles les réactions se font de plus en plus fortes:
• « Comment est-ce possible? »,
• « Comment a-t-on pu en arriver là ?»,
• « Pourquoi n'avoir pas réagi avant? »

En effet, si la survenance d'incidents plus ou moins graves

n'a rien de nouveau et si la prévention et la réactivité
étaient et demeurent des saines pratiques reconnues, on
note bien qu'aujourd'hui le manque de vigilance,
d'anticipation et de sens des responsabilités est
nettement moins bien accepté.

L'aléa n'est plus une donnée incontournable ... plus une

justification en soi.
• Le public pour les causes nationales (les
catastrophes : inondations, tremblements de
terre) ne pardonnent plus les erreurs de
jugement et jugent plus sévèrement ce qui relève
de la force majeure comme ce qui relève de ce
qui aurait dû être géré (Procès de Séisme de
l’Aquila – 309 morts en 2009).

• On recherche et on valorise une certaine

continuité, une sécurité accrue. Actionnaire,
dirigeant, cadre, employé, fournisseur ou client,
citoyens, nous sommes tous peu ou prou dans
cette mouvance et nous recherchons une
meilleure maîtrise de notre environnement, une
sécurisation renforcée et une visibilité.
• Les autorités de tutelle des secteurs sensibles
(banque, assurance, santé, aviation ... ) :
– développent des systèmes de
normalisation, de mesure, de contrôle des
risques (réglementations prudentielles) ;
– et modulent agrément et marges de
manœuvre en
• Enfin, la bonne maîtrise de ses activités, ce qu'on
appelle le professionnalisme, c'est-à-dire
finalement un niveau supérieur de savoir faire
technique n'est-ce pas d'atteindre avec plus
d'assurance le
?

• Assurer sa performance, gérer les risques, mettre

sous contrôle son activité ou une activité déléguée
c'est bien évidemment :
– fixer des objectifs,
– organiser des moyens et manager la performance ...
– mais c'est aussi faire face aux risques.
•
2. Mise en œuvre de la démarche et des outils :

Il s’agit d’élaborer une matrice d’évaluation

(Rapport type élaboration cartographie et plan d’ABR Réf.
16 Kit) suivant les étapes ci-après :
Etape 2 : Identification et évaluation des risques bruts ou inhérents

Livrables Etape 2 (tâches 6) :

 Etape 2.1 Elaboration d’une typologie des risques (identification des risques
bruts)

¾¾Comment identifier les Risques majeurs inhérents ou bruts dans le

secteur public?

e Les différentes techniques d’identification des risques sont les

suivantes :
– Identification basée sur les actifs créateurs de valeurs (risques
associés aux actifs intangibles).
– Identification basée sur l’atteinte des objectifs (un risque peut
empêcher l’atteinte des objectifs; ces derniers sont d’abord définis,
avant de leur associer les menaces pesant sur eux).
– Identification basée sur les check-lists: liste déjà préconçue qui
énumère l’ensemble des risques possibles afin de voir si chaque risque
concerne l’entité ou pas.
– Identification par analyse historique: identification en se basant sur les
risques opérationnels déjà survenus au sein de l’entité.
– Identification basée sur l’analyse de l’environnement (menaces de
l’environnement économique, technologique…).
– Identification par analyse des activités: décomposition des processus
en activités identification des risques associés (conséquences
potentielles de la non/mauvaise exécution des tâches).
îNota

• Dans le secteur public, les trois techniques

combinées généralement utilisées sont :
– L’identification basée sur l’atteinte des objectifs
– l’identification par analyse des activités
– Et l’identification par analyse historique

Important : Il ne s’agit pas d’identifier tous les

risques : mais les risques critiques
eDémarche

• Commencez d’abord par réfléchir en citoyen

et usager des services publics, utilisez vos
compétences d’audit et de gestionnaire par la
suite.
• En tant que citoyen et usager des services
publics, il se peut que vous connaissiez
certains des risques susceptibles d’affecter les
objectifs du secteur public.
eVous connaitrez aussi quels sont les risques
par :
– Votre propre expérience
– Les médias
– Les régulateurs
– Les bailleurs de fonds
– Rumeurs (mais faites attention…)
– Vos collègues
– Un questionnaire (voir modèle COSO proposé) et
entretiens (préparer le guide d’entretien) :
Méthode MIRIS
• Les risques à considérer sont ceux
susceptibles d’affecter la réalisation des
objectifs de l’organisation. La connaissance
des objectifs de l’organisation doit donc
précéder l’évaluation des risques.

eUtiliser un modèle type COSO pour identifier

et définir les objectifs de l’organisation :
– Rendre compte
– Conformité
– Opérations
– Protection des ressources
ØExemple générique d’une Classification des
Risques (Taxonomie) dans le secteur public
• Concevoir des outils et retenir les techniques
d’identification des risques (voir Matrice par
Direction).
• Il convient donc d’appliquer les techniques
d’entretien individuel et collectif.
Source Catégories de Risque Description
du
Risque
Interne Stratégique Risques liés aux mauvais choix stratégiques,
définition des objectifs à long et moyen terme,
politiques et priorités sectorielles.
Opérationnel Risques liés à la mauvaise exécution des plans et
choix stratégiques. Ces risques s’expriment dans
le court terme et dans le cadre de la
programmation et planification annuelle.
Ressources Humaines Risques liés aux ressources humaines. Ces
risques peuvent avoir des effets sur le capital
humain. Par exemple:
• Intégrité et honnêteté
• Recrutement (fraude)
• Connaissances et compétences
• Bien-être des employés
• Relation avec les employés
• Rétention, et
• Santé et sécurité au travail
Information (pour aide à la décision) Risques liés à l’accès et partage des connaissances & qualité des informations de gestion
(opérationnelles, financières) disponibles au sein de l’organisation. Par exemple:
• Disponibilité de l’information (temps, exhaustivité)
• Stabilité de l’information
• Intégrité, fiabilité de l’information
• Pertinence de l’information
• Rétention, et Protection
Litiges Risques de pertes causées par un litige. Par exemple:
• Réclamation des employés, du public, des fournisseur de services
• Défaut d’exercer ses droits
Perte/Vol d’Actifs Risques de pertes ou vol d’actifs
Risque d’approvisionnement Risques liés aux approvisionnements. Par exemple:
• Coûts et stratégies d’approvisionnement
• Accès aux ressources
• Gaspillage des ressources matérielles
Niveau de service Les organisations du secteur public existent pour fournir des services aux contribuables. Les
risques surviennent quand la qualité des services rendus n’est pas celle promise, ou le niveau de
service est insuffisant
Technologie de l’Information Risques liés spécifiquement aux objectifs des TI, infrastructures etc. Par exemple:
• Problèmes de sécurité
• Disponibilité de la technologie (à jour)
• Infrastructures des TI
• Intégration/interface des systèmes
• Efficacité des technologies, et
• Obsolescence des technologies
Niveau de service Les organisations du secteur public existent pour fournir des services aux contribuables. Les
risques surviennent quand la qualité des services rendus n’est pas celle promise, ou le niveau de
service est insuffisant
Niveau de service Les organisations du secteur public existent pour fournir des services aux contribuables. Les
risques surviennent quand la qualité des services rendus n’est pas celle promise, ou le niveau de
service est insuffisant
Source du Catégories de Risque Description
Risque
Interne Technologie de l’Information Risques liés spécifiquement aux objectifs des TI,
(suite) infrastructures etc. Par exemple:
• Problèmes de sécurité
• Disponibilité de la technologie (à jour)
• Infrastructures des TI
• Intégration/interface des systèmes
• Efficacité des technologies, et
• Obsolescence des technologies
Performance des Risques liés à la dépendance vis-vis des tiers, sous-traitants.
Tiers, Sous-traitants Par exemple:
• Performance insuffisante
• Services rendus en retard
• Problèmes de qualité
Santé et Sécurité Risques liés à la santé et sécurité (ex. accident de travail,
déclaration d’une maladie dans l’institution)

Plan de remise en état en cas de Risques liés à la non préparation ou l’absence d’un plan de
Sinistre/ remise en état pouvant ainsi nuire au bon fonctionnement après
Continuité des affaires un sinistre (ex. désastre naturel, actes de terroristes, etc.) Ceci
amène une interruption dans le processus de production et
pourrait possiblement interrompre les opérations jusqu’à la
remise en fonction des installations. Les facteurs à inclurent:
• Procédures en cas de sinistres, et
• Plan de crise
Conformité/ Risques liés aux exigences de conformité. Par exemple:
Législation • Mécanismes d’application et supervision
• Conséquences de la non conformité, et
• Contraventions ou pénalités payées

Fraude et Risques liés aux actes illégaux ou irréguliers commis par des employés et
Corruption résultant en une perte d’actifs ou de ressources

Financier Risques englobant l’étendue de la gestion financière en général (à l’exception de

la qualité de l’’information financière). Quelques exemples:
• Cash flow et sa gestion
• Pertes financières
• Dépenses injustifiées
• Allocations budgétaires
• Collecte des revenus
• Augmentation des dépenses opérationnelles

Culturel Risque liés à la culture d’entreprise dans son ensemble et l’environnement de

contrôle. Quelques exemples:
• Canaux de communication et leur efficacité
• Intégration culturelle
• L’éthique et les valeurs
• Style de gestion
Source du Catégories de Risque Description
Risque
Externe Environnement Économique Risques liés à l’environnement économique.
Quelques exemples:
• Inflation
• Fluctuation dans les taux de change,
• Taux d’intérêts
Environnement Politique Risques émanant de facteurs politiques et décisions
ayant un impact sur le mandat et les opérations de
l’institution.
Quelques exemples:
• Troubles politiques
• Élections nationales, provinciales, locales
Environnement Risques liés à l’environnement social de l’institution.
Social Quelques exemples:
• Le chômage, sous-emploi,
• Situation émigration/immigration
Environnement Risques liés à l’environnement naturel et son impact sur
Naturel les opérations. Quelques exemples:
• Épuisement des ressources naturelles
• Dégradation environnementale
• Pollution
Environnement Risques émanant des effets des avancements et
Technologique changements dans la technologie.
Environnement Risques relatifs à l’environnement législatif de
Législatif l’institution. (ex. Changements dans la législation,
réglementation, etc.)
Remarques : 11 Catégorie de risques sont retenues

1. Risques Economiques
2. Risques Stratégiques
3. Risques Financiers
4. Risques Opérationnels
5. Risques de fraude, corruption, détournement
6. Risques qualité des services
7. Risques Juridiques
8. Risques Informatiques
9. Risques Ressources Humaines
10. Risques d’images
11. Risques qualité de l’information
• Etape 2.2 Création d’une échelle de cotation
des risques et mise en œuvre (quantification
ou cotation)

¾La Quantification ou cotation des Risques :

Mesure du risque: Quantifier la vulnérabilité
du ministère ou de l’entité face au risque par
l’évaluation de:
– l’impact possible du risque et
– sa probabilité de survenance ou occurrence.
e La Quantification des Risques – Evaluation de l’Impact
¾ L’impact peut concerner :

• l’Humain : sur les travailleurs (surcharge de travail, stress,

démotivation, accidents de travail, maladies...).
• le Financier : pertes financières (ressources en moins)
• l’Image : réputation.
• les relations avec les Clients/partenaires, usagers : impact sur les
parties prenantes externes : clients/usagers/bénéficiaires,
fournisseurs, Etat, régulateurs, investisseurs, revendicateurs, etc.
• la technique : dysfonctionnements, impact sur la continuité du
processus, sur les activités, sur les produits/services, sur la qualité
et les délais.

¾ Quelques facteurs permettant de mesurer l’impact:

– Matérialité
– Conséquences financières
– Conséquences humaines
– Visibilité et degré d’implication des instances dirigeantes
e La Quantification des Risques – Probabilité de Survenance ou
occurrence

Echelle de probabilité des risques

Niveau de Très probable Probable Modérément Peu probable Rare
probabilité 5 4 probable 2 1
3
Le risque est Le risque a une Le risque est Le risque est
Le risque s’est
courant. Il a une chance au-dessus très peu concevable mais
manifesté
chance de la moyenne de fréquent, et peu il n’est
fréquemment et se
importante de se se manifester au probable de susceptible de se
Description manifestera très
manifester au moins une fois survenir dans manifester que
probablement plus
moins une fois dans les 3 les 3 dans
d’une fois dans les
dans les 12 prochaines prochaines circonstances
12 prochains mois prochains mois années années extrêmes
Critères qualitatifs (orientés fraudes, malveillances,…)
Nuire à la bonne
Enrichissement Nuire à la Attirer l’attention
Nuire à marche d’un
Motivation personnel ou motifs hiérarchie ou à (satisfaire son
l’institution service ou d’un
idéologiques ses collègues égo)
processus
Critères qualitatifs (orientés erreurs, incidents opérationnels,…)
Culture limité du Forte culture du
Aucune culture du Faible culture du risque et du Très forte culture
risque et du
risque et du risque et du contrôle du risque et
contrôle interne.
contrôle interne. contrôle interne. interne. contrôle interne.
Personnels de
Sensibilisation Personnels de Personnels Personnels de Personnels
différents profils
et compétence différents profils différents profils différents profils expérimentés
avec des
des avec des avec des compétences et avec des avec une réelle
personnels compétences et compétences et compétences et expertise.
une expérience
une expérience ne expérience de standard. une expérience Formation
faibles. Absence de base. Formation avancées. continue de haut
Formation
formation de base standard Formation niveau
spécialisée
¾Quelques facteurs influençant la probabilité
ou l’occurrence de survenance :
— Complexité des opérations
— Antécédents et réputation
— Compétence
— Stabilité et réforme
— Liquidités des actifs
Etape 2.3 La Quantification ou cotation des Risques Inhérents – (Impact x
Probabilité) pour chaque ensemble homogène et formalisation des résultats dans
une matrice des risques bruts ou inhérents (Etape 2.4)
Risque brut ou inhérent[1]: L’exposition au risque en terme absolu avant prise en considération des mesures de contrôle
interne
e Représentation Graphique du Risque Inhérent – Cartographie du Risque

Score Ampleur
Combiné du Risque Réponse et Traitement du Risque
(IxP) Inhérent

15 - 25 ELEVE Niveau de risque inacceptable– nécessité de maintenir un

(rouge) haut niveau de contrôle pour réduire le risque résiduel à
un niveau acceptable

8 - 14 MOYEN Niveau de risque inacceptable, excepté sous certaines conditions – un

(jaune) niveau modéré de contrôle est nécessaire pour réduire le risque résiduel
à un niveau acceptable

1-7 FAIBLE Généralement acceptable – un niveau faible de contrôle voire une

(vert) absence de contrôle peut être autorisé
La cartographie (ou Heat Map) permet de:
•Visualiser les risques acceptables et non acceptables
• individuellement
• en relations l’un par rapport à l’autre
• en groupes ou sous-groupes
e Représentation Graphique du Risque Inhérent – Cartographie du Risque
Impact

Probabilité
e Matrice des Risques Inhérents (ou registre) – Cartographie du Risque inhérents
Département:
Objectif(s) Départementaux
1. Xx
2. Xx

Réf Réf. Risques Catégorie Analyse Responsables Risque Inhérent Bonnes

domaines, potentiel (par de risque Causale pratiques de
Missions, rapport (11 (par Prob I Score / CI de
activités, objectifs catégories) rapport CR ou maîtrise des
tâches gestion et du composants poids risques
CI) du CI)
Environnement
de contrôle et
pilotage
(processus de
pilotage
stratégique et
opérationnel)
Processus
Métier
Processus
d’appui
q Les différentes méthodes de traitement des Risques

• Traitement – mise en place de contrôles efficaces

• Tolérance – Pas d’action supplémentaires, le risque se

trouve dans les limites convenues, la probabilité est
extrêmement basse ou le coût du traitement dépasse
le bénéfice attendu

• Transfert -Passer le risque à d’autres institutions, par

exemple, une assurance contre le risque, un
partenariat, une sous-traitance ou contractualisation
du risque

• Terminer : Suppression – Abandon de l’activité risquée

1. Rappel de la définition du contrôle interne

qC’est « le processus mis en œuvre par la

direction générale, la hiérarchie, le personnel
d'une entreprise et destiné à fournir une
assurance raisonnable quant à la réalisation
des objectifs suivants :
• La réalisation et l’optimisation des
opérations (y compris la protection des
ressources),
• La fiabilité des informations,
• Respect des réglementations en vigueur
2. La démarche et les outils d’évaluation du contrôle interne
Etape 3 : Identification et évaluation du contrôle interne
1. Pour chaque ensemble homogène, et au regard de chaque risque, identifier les dispositifs de contrôle interne clefs en place (Matrice
d’évaluation de la qualité du contrôle interne, Réf. 11 Kit, ou Matrice des risques et contrôle, Réf. 13 Kit). (Tâche 1).

2. De procéder à la cotation de la qualité du contrôle interne par rapport à sa capacité de prévenir à protéger donc à maîtriser les risques
identifiés : adéquation de la conception et efficacité des contrôle (Matrice d’évaluation de la qualité du contrôle interne, Réf. 11 Kit,
ou Matrice des risques et contrôle, Réf. 13 Kit). (Tâche 2).
Par exemple une échelle de 4 en fonction des critères suivants :
* 0 à 3 pour la prévention : Qualité du dispositif de prévention des risques (formation, sensibilisation, contrôles, etc.)
* 0 à 3 pour la Qualité du dispositif de protection contre les impacts des risques : pilotage institutionnel performant, formalisation des
procédures et diffusion, procédures appliquées et mises à jour, compétence suffisante, diffusées (détection, correction)

3. Procéder à une cotation des dispositifs de CI existants (Tâche 3) : capacité à réduire la probabilité des risques (prévention) et / ou
à réduire l’impact (protection) : appréciation globale du CI sur une grille de 1 à 5
Une note de (voir grille d’évaluation de la maturité du ci- après):
1 est attribuée pour un CI non ou peu fiable
2 est attribuée pour un CI informel
3 est attribuée pour un CI standardisé
4 est attribuée pour un CI maîtrisé ou surveillé
5 est attribuée pour un CI optimisé

4. Cette étape aboutit à la formalisation des résultats dans une maitrise d’évaluation du CI (Rapport type élaboration cartographie et
plan d’ABR Réf. 16 Kit). (tâches 4)

Matrice d’évaluation
Livrables Etape 3 (tâches 4) : du CI
3. Matrice d’évaluation du Contrôle Interne
eLes contrôles internes mis en place pour
maîtriser les risques peuvent être :

– Préventifs, détectifs ou de correctifs (ou a

posteriori) et directif
– manuelles ou automatiques,
– Contrôle essentiel (contrôle clés et secondaire)
– Contrôle complémentaire ou contrôle de
compensation
– s’effectuent au niveau de l’entité, du processus,
ou au niveau des opérations (transactions)
eRappel : Quelques exemples des activités de contrôle
les plus courantes décrites par le COSO :
– Revues du management, tels les examens du respect du
budget, l'actualisation des prévisions, la surveillance des
actions ou des initiatives de maîtrise des coûts.
– Supervision directe d'une activité ou d'une fonction par les
responsables de fonctions ou d'activités spécifiques, par
exemple vérification des rapports analytiques de gestion,
rapprochements.
– Traitement de l'information. Contrôles conçus pour vérifier
l'exactitude, l'exhaustivité et la validation des transactions, tels
que :
• les contrôles généraux de l'infrastructure,
• la sécurité physique et logique,
• les contrôles sur la mise en œuvre des systèmes,
• les évolutions de versions ou les modifications,
• la reprise après sinistre et les contrôles des opérations issues des
systèmes.
– Contrôles physiques :
• (1) l’inventaire physique des espèces, des titres, des
stocks, du matériel et des autres immobilisations, et la
comparaison du résultat de cet inventaire avec les
chiffres enregistrés dans les comptes et les dossiers
• et (2) les obstacles ou restrictions physiques, tels que
les barrières et les verrous.

– Indicateurs de performances : analyse des écarts

entre prévisions et réalisations.

– Séparation des tâches incompatibles afin de

limiter le risque d'erreur ou de fraude.
Grille d’évaluation de la prévention

Niveau Qualité de la prévention Commentaire sur le CI

Aucune mesure de prévention n’existe
(Prévention inexistante), ou il manque
0 une mesure importante, ou les mesures
sont inadaptées ou non mises en œuvre
(Prévention inadaptée et ou Inefficace)
Il existe des mesures de prévention peu
ou moyennement adaptées et/ ou
1 moyennement ou peu efficaces
(Prévention peu ou moyennement
adaptée et ou efficace)
Qualité du Contrôle interne clef très faible,
induisant une probabilité du risque très élevée
(risque certaine) d’occurrence
Qualité du Contrôle interne clef moyenne
induisant une probabilité du risque modérée
(quasi certaine ou probable) d’occurrence

Il existe des mesures de prévention Qualité du Contrôle interne clef élevé induisant
2 adaptées qui sont mises en œuvre une probabilité du risque faible (ou peu
(Protection adaptée et efficace) probable) d’occurrence

Il existe des mesures de prévention très

adaptées qui sont efficacement mises en Qualité du Contrôle interne clef très élevé
3 œuvre et pour lesquelles on assure une induisant une probabilité du risque très faible
traçabilité, un suivi et un contrôle (ou quasi impossible) d’occurrence
(Prévision très adaptée et efficace)
 Grille d’évaluation de la protection:

Niveau Qualité de la protection Commentaire sur le CI

Aucune mesure de protection n’existe,
ou il manque une mesure importante,
Contrôle interne clef n’offrant aucun effet
ou les mesures sont inadaptées ou
0 protecteur (réducteur) sur l’impact du risque
non mises en œuvre (Protection
sur les objectifs
inexistante, inadaptée et ou
Inefficace)
Il existe des mesures de Protection
Contrôle interne clef ayant un effet
moyennement ou peu adaptées et ou
1 protecteur (réducteur) modéré ou moyen
efficaces (Protection moyennement ou
sur l’impact du risque
peu adaptée et ou efficace)

Il existe des mesures de Protection

Contrôle interne clef ayant un effet
2 adaptées qui sont mises en œuvre
protecteur (réducteur) sur l’impact du risque
(Protection adaptée et efficace)

Il existe des mesures de Protection

très adaptées qui sont efficacement
Contrôle interne clef ayant un effet
mises en œuvre et pour lesquelles on
3 protecteur (réducteur) maximum sur
assure une traçabilité, un suivi et un
l’impact du risque
contrôle (Protection très adaptée et
efficace)
e La réalisation des tests suivants permet de s’assurer de
l’adéquation de la conception et de l’efficacité des contrôles
clés :
– existence des bonnes pratiques (des contrôle internes clés conformes
aux bonnes pratiques)
– pertinence (Adéquation), de la qualité de la conception, de la
qualité de l’application et de l’Efficacité de la mise en œuvre
des bonnes pratiques (prise en compte des incidents :
historique)
– existence de dispositifs alternatifs (dispositifs mis en place en
l’absence des bonnes pratiques).
– pertinence (adéquation), de la qualité de la conception, de la
qualité de l’application et de l’Efficacité de la mise en œuvre
de ces dispositifs alternatifs.
• L’évaluation globale et la cotation du dispositif de maîtrise des risques
intervient à la fin des tests ci- dessus. Une validation avec les opérationnels
permet de conclure sur la qualité réelle du Contrôle interne.
Cotation du niveau de maturité du CI, échelle de 1 à 5 : qui définit la qualité, l’efficacité,
la pertinence, la fiabilité, et l’efficience du dispositif de contrôle interne mise place et
selon un code couleur lié à sa gravité

Commentaire sur la maturité du CI

Niveau Qualité
(Qualité du dispositif du contrôle interne)

Les activités de contrôle sont coordonnées et la

5
Optimisé gestion des risques est conduite dans un
(Vert)
système intégré

Les activités de contrôle sont décrites en détail

4 Maîtrisé ou et les contrôles sont effectifs. Il y a un
(Jaune) surveillé responsable du CI et des vérifications sont
faites régulièrement

Des lignes directrices ont été mises en place,

3
Standardisé les processus sont documentés et les contrôles
(Jaune)
sont adaptés

Les activités de contrôle internes sont mises en

2
Informel place mais sans standardisation. Ils dépendent
(Rouge)
des individus

1 Peu ou pas d’activités de contrôle interne sont

Non ou peu fiable
(Rouge) mises en place. L’organisation est à risque
 MATRICE D’EVALUATION DU CONTROLE INTERNE (évaluation des contrôles internes
clés existants : Tableau des forces et des faiblesses apparentes) : Ref 11
ELEMENTS (OU DOCUMENTATION PERTINENTE UTILES OU Existence Cotation du
COMPOSANTS) DE CONTROLES INTERNES CLES EXISTANTS Oui Non ou contrôle Interne :
CONTROLE INTERNE (Bonnes pratiques) N/A Prévention (3) et
Nota : Les contrôles internes clés garantissent l’atteinte Protection (3) =
des objectifs de gestion de l’entité à travers les 4 sous Niveau de maturité
objectifs suivants : Sécurité des ressources, respect des CI
lois et des règlements, fiabilité de l’information, 1à5
optimisation des performances (5 E)
1. OBJECTIFS • Textes Fondateurs
CLAIREMENT DEFINI• Document de politique générale
•
ET DECLINES DE HAUT Plan stratégique
EN BAS • Programme d’activités
• CDMT global ou sectoriel
• Dispositions législatives
• Lettre de mission
• Contrats d’objectifs
• Indicateurs correspondant aux objectifs
• tableaux de bord
• Code d’éthique
• PV conseil de discipline
• Plan d’action
• Autres à préciser
2. ORGANISATION ADAPTEE • Organigramme général
• Organigramme détaillé
• Fiche de description des postes
• Séparation des fonctions
• Compte rendu des réunions des organes de
gouvernance (PV).
• Délégation des pouvoirs
3. MOYENS EN • Moyens humains :
ADEQUATION AVEC o qualité
LES OBJECTIFS o quantité
• Plan de formation
• Motivation
• Système d’évaluation individuel
annuel
• Moyens matériels (bureautique)
o qualité
o quantité
• Moyens matériels (autres, à
préciser)
• Moyens financiers

4. PROCEDURES • Manuel de procédure

FORMALISEES • Notes de procédures ou guide
COUVRANT TOUTES des tâches
LES FONCTIONS ET • Manuel d’exécution
APPLIQUEES • Cartographie des processus
• Fréquence des mises à jour.
5. SYSTEME • Comptabilité générale
D’INFORMATION • Comptabilité budgétaire
PERTINENT COUVRANT • Comptabilité analytique
TOUTES LES • Comptabilité matières
FONCTIONS ET • Indicateurs clés par direction et par processus et
PRODUISANT DES tableaux de bord
INFORMATIONS • planning des reporting
FIABLES, • Rapport d’activité
PERTINENTES, • Schéma directeur informatique
EXHAUSTIVES, • Plan d’entretien
DISPONIBLES A TEMPS • Gestion des habilitations.
• Plan de secours, de continuité de l'exploitation, de
sécurité.
• Programme de formation des utilisateurs.
• Etudes préalables.
• Guides d'utilisateur.

6. SUPERVISION • Contrôle hiérarchique (autorisation, Réunion, a

PERTINENTE ET sanctions)
UNIVERSELLE (tout est • Contrôle sur les processus par la hiérarchie
supervisé et tout le monde (séparation des tâches et des fonctions, procédure
est supervisé) de prévention et de détection, procédures de
traitement des incidents)
• Contrôle indépendant (y compris DCI, l’audit et
l’inspection)
• contrôle sur les transactions (recoupements,
rapprochements, inventaires physiques, etc.)
Nota : Ces éléments classiques peuvent être
repositionnés dans le COSO 1 révisé en 2013
(Fêtes l’exercice)
Composantes Principes
L'organisation démontre son engagement en faveur
1
de l'intégrité et de valeurs éthiques.
Le conseil d'administration fait preuve
d'indépendance vis-à-vis du management. Il
2
surveille la mise en place et le bon fonctionnement
du système de contrôle interne.
La direction, agissant sous la surveillance du
conseil d'administration, définit les structures, les
Environnement
3 rattachements, de contrôle ainsi que les pouvoirs et
de contrôle
les responsabilités appropries pour atteindre les
objectifs.
L'organisation démontre son engagement à attirer,
4 former et fidéliser des collaborateurs compétents
conformément aux objectifs.
L'organisation instaure pour chacun un devoir de
5 rendre compte de ses responsabilités en matière de
contrôle interne.
L'organisation spécifie les objectifs de façon
6 suffisamment claire pour permettre l’identification
et l'évaluation des risques associés aux objectifs.
L'organisation identifie les risques associés à la
réalisation de ses objectifs dans l'ensemble de son
7 périmètre de responsabilité et elle procède à leur
Evaluation des analyse de façon à déterminer les modalités de
risques gestion des risques appropriées.
L'organisation intègre le risque de fraude dans son
8 évaluation des risques susceptibles de
compromettre la réalisation des objectifs.
L'organisation identifie et évalue les changements
9 qui pourraient avoir un impact significatif sur le
système de contr61e interne.
 L'organisation sélectionne et développe les
activités de contrôle qui contribuent à ramener à
10
des niveaux acceptables les risques associés à la
réalisation des objectifs.
L'organisation sélectionne et développe des
Activités de activités de contrôle général en matière de système
11
contrôle d'information pour faciliter la réalisation des
objectifs.
L'organisation met en place les activités de
contrôle par le biais de directives qui précisent les
12
objectifs poursuivis et de procédures qui mettent en
œuvre ces directives.
L'organisation obtient ou génère puis utilise des
informations pertinentes et de qualité pour faciliter
13
le fonctionnement des autres composantes du
contrôle.
L'organisation communique en interne les
Information et informations nécessaires au bon fonctionnement
communication 14 des autres composantes du contr61e interne,
notamment en ce qui concerne les objectifs et les
responsabilités associés au contrôle interne.
L'organisation communique avec les tiers au sujet
15 des facteurs qui affectent le bon fonctionnement
des autres composantes du contrôle interne.
L'organisation sélectionne, met au point et réalise
des évaluations continues et/ou ponctuelles afin de
16
vérifier si les composantes du contr61e interne sont
bien mises en place et fonctionnent.
Pilotage L'organisation évalue et communique les faiblesses
de contrôle interne en temps voulu aux
17 responsables des mesures correctrices, notamment
à la direction générale et au conseil
d'administration.
 Cartographie des risques (Forces et faiblesses apparentes du CI par rapport aux risques inhérents)

Réf Réf. et domaines Identification Catégorie de Analyse Responsables Risque Inhérent Bonnes Identification des Evaluation des
. auditables (les des Risques risque (11 Causale (par (propriétaires pratiques Contrôles Internes Contrôles Internes
missions) : potentiels catégories) rapport des risques et
Prob I Score de CI de Clefs existants pour Clefs existants (Pro
composants P*I maîtrise mitiger le risque (par et Pré) = Maturité
Processus, sous (par rapport client,
objectifs du du CI) des risques rapport composants du CI
processus, missions, fournisseur, du CI) Pré Pro Niveau
activités, tâches CI) appui) de
maturité
CI
1à5
Environnement de
contrôle et
gouvernance

Processus Métiers

Processus d’appui
4. Traitement des Risques par les Activités de Contrôle
Interne
• Le contrôle interne est le principal mécanisme de traitement des risques.

• Contrôles internes: Procédés destinés à aider le ministère à accomplir ses objectifs

de gestion par le biais de:
– Structure organisationnelle
– Répartition des tâches
– Délégations de pouvoir
– Qualité du personnel
– Systèmes de gestion de l’information

¾Les 2 catégories de systèmes de la nouvelle gestion publique :

Contrôle interne
=
Contrôle interne financier (budgétaire et comptable)
+
Contrôle interne de gestion
¾A- Les systèmes financiers de gestion et de
contrôle sont constitués par tous les systèmes de
finances publiques traditionnels qui sont en vigueur
dans l'Administration :
– budgétaire,
– comptable,
– de trésorerie,
– de paiement, etc.

• La mise en œuvre des principes de la NGP exige, et

c'est l'innovation :
– qu'ils soient mis à niveau, à hauteur des normes
internationales les plus modernes (IPSAS, les bonnes
pratiques, par exemple la programmation budgétaire par
objectifs (CDMT déjà appliquée dans l’UEMOA, etc.)
– et le contrôle centré sur les résultats, qui sont les 2
caractéristiques principales du contrôle interne public).
• La mise à niveau des systèmes financiers doit se
faire dans la ligne conceptuelle qui caractérise la
NGP et la Directive 06/2009 UEMOA sur les Lois
de finances ou celle de la CEMAC :
– responsabilité des gestionnaires,

– maîtrise des processus (control),

– efficacité (objectifs, coûts, résultats),

– mais aussi, sécurité (contrôles automatisés,

hiérarchisés, analyse de risque, préoccupations anti-
fraude, etc.).
¾B- Les systèmes de contrôle interne de gestion
Ils constituent, la pierre angulaire de la nouvelle gestion publique introduite
par la Directive 06/2009 UEMOA ou 2011 de la CEMAC dans ce qu’elles ont
de plus innovant.
• Leur but est de responsabiliser le gestionnaire, le
fonctionnaire (manager),:
– en lui donnant tous les moyens de maîtriser (de contrôler) sa
gestion,
– par l’évaluation du risque et la panoplie des procédures,
systèmes et contrôles, évoqués ci-avant, qu’il doit mettre en
œuvre pour obtenir cette maîtrise.

• Le but à atteindre est qu’il puisse réaliser ses objectifs avec

le maximum d’efficacité et le minimum de risque.

e Le contrôle interne de gestion porte sur les domaines de

la responsabilité managériale suivante :
1. la maîtrise des activités (organisation, prise et suivi des
décisions),
2. la gestion des risques (identification, évaluation,
contrôle),
3. la performance (économie, efficacité, efficience).
 CONTROLE INTERNE DE GESTION ET CONTROLE INTERNE FINANCIER (budget
et comptable)

Besoins OBJECTIFS Elaboration du Exécution Réalisations Résultats Impacts

budget et mise Engagement des
à disposition des dépenses dépenses
Stratégie Programmes des crédits
opérationnels

Contrôle interne financier Contrôle

interne
comptable

CONTROLE INTERNE
 - Les deux formes de contrôle interne :
comptable et financier ou de gestion

Systèmes de gestion Systèmes financiers

(management) (budgétaire et comptable)

Contrôle interne de gestion (contrôle interne comptable et CI budgétaire)

(objectifs. décisions, risques, résultats ... )
Standards applicables: Normes
COSO, IIA, Intosai - comptables (Ifac, Ipsas, IFRS ... )
- budgétaires
Audit Audit
de régularité, de système audit financier (régularité),
et de performance certification (audit externe)

92
eREMARQUE
La dernière étape est d’évaluer avec les propriétaires des risques dans quelle mesure le système
de contrôle interne en place réduit le niveau du risque inhérent (probabilité/prévision ou
impact/protection). .
1. En rapprochant, pour chaque « ensemble homogène », la matrice des risques bruts
de celle concernant l'évaluation du contrôle interne, l’auditeur détermine les
risques résiduels (filtrés par le CI), il peut être déduit une cartographie des
risques résiduels (non couvert ou mal couvert par un dispositif de CI absent ou
défaillant) : (Tâche 1).

2. On obtient en final une cartographie des risques pour toute l’organisation

découpée en métier, entité et processus (Tâche 2).

q Nota : L’évaluation du risque résiduel est effectuée comme suit : score

Risque résiduel égal :
1. L’Impact résiduel (= Impact risque inhérent – Niveau de Protection CI) :
c’est la différence entre la cotation de l’impact (I) du risque inhérent et la cotation du
niveau de protection du CI (Pro).

Conditionnalité de la cotation de la protection : le niveau de la protection (dispositif de

contrôle interne mis en place qui devrait agir sur l'impact ou la gravité d'un risque) ne peut
être supérieure ou égal (>=) à celui de l’impact du risque inhérent, car elle ne permettra
pas une couverture totale de la gravité du risque. Par conséquent, la cotation de la protection
sera toujours inférieure(<) d’au moins 1 point de celle de l’impact.

2. la Probabilité résiduelle = Probabilité risque inhérent –niveau de la capacité

du CI à Prévenir le risque : c’est la différence entre la cotation de la probabilité du
risque (risque inhérent) et la Cotation de la prévention (Pré).

Conditionnalité de la cotation de la prévention : le niveau de la prévention (dispositif de

contrôle interne qui agit sur la probabilité ou l’occurrence d'un risque) ne peut être
supérieure ou égal (>=) à celui de la probabilité du risque inhérent, car si le risque est
survenu, c’est parce que le dispositif de contrôle est inefficace et/ou inadéquat. Par conséquent,
la cotation de la prévention sera toujours inférieure (<) d’au moins 1 point de celle de la
probabilité.

Livrables Etape 4 : Cartographie

des risques

Fin
Le risque résiduel correspond au risque brut non couvert (ou mal) par un
dispositif de contrôle interne absent (ou défaillant). Il est déduit sur la base
de l’appréciation des forces et faiblesses du dispositif de contrôle
interne de l’entité (la qualité du CI amplifie ou atténue la probabilité et
l’impact du risque brut).
En effet l’évaluation qualitative de la probabilité et de l’impact d’un risque
est inversement proportionnelle à la qualité du contrôle interne[1].

Niveau du contrôle interne Probabilité et impact du risque

Elevé Faible
Moyen Moyenne
Faible Elevée
2 Outils de cotation du risque résiduel
• Risque résiduel: L’exposition au risque qui existe après
considération des contrôles internes mis en place pour détecter ou
prévenir ces risques
Ampleur du Réponse et traitement du risque
Score Combiné risque résiduel
Niveau de risque résiduel inacceptable- les contrôles
sont inadéquats (mauvais design) ou inefficaces
15 - 25 ELEVE (mauvaise application). Contrôles nécessitent refonte
complète ou efforts significatifs dans leur application.
Le risque est soit Traité, Transféré ou terminé.
Niveau de risque résiduel inacceptable- les contrôles
sont inadéquats (mauvais design) ou inefficaces
8 - 14 MOYEN (mauvaise application). Contrôles nécessitent plus
d’efforts dans leur application.
Le risque est soit Traité, Transféré ou terminé.
.

Risque résiduel généralement acceptable – requiert une

1-7 FAIBLE amélioration minimale des contrôles, ou maintien en
l’état. Le risque peut être toléré.
 Évaluation des risques résiduels
Le risque résiduel est le niveau de
risque qui subsiste après prise en
compte de l’efficacité et de la
pertinence des contrôles internes.
Buts :
à Évaluer les risques réels, après prise en
compte des dispositifs de contrôle
interne.
à Mêmes matrices de cotation que pour les
risques bruts.
à Importance des bases d’incident
F Pour pouvoir répondre à la question: le
risque résiduel est-il acceptable ?
3. L’appétence au risque du management

Il s’agit de déterminer au près du Management,

le niveau d’appétence au risque (ou le niveau de
risque accepté) qui représente le niveau de risque
acceptable retenu par la hiérarchie dans l’attente
des objectifs.
• Il est établi sous forme de menu déroulant à
quatre (04) Niveaux :
- Traiter
- Tolérer
- Transférer
- Terminer
4 Rang de priorité

Il s’agit d’apprécier le niveau de gravité du

risque et donc son rang de priorité
(résolution des problèmes), en deux temps :

1. Niveau de survenance ou de récurrence

(expérience historique : survenu ou pas)

2. Niveau de gravité suivant une grille de 1 à 3

• En final, on obtient une cartographie des risques
pour la globalité de l'organisation découpée en «
ensembles homogènes » (« métiers », « entités »,
« processus »).

• Des modalités de mitigation sont décidées par la

Direction (décision quant à l'acceptation du
risque résiduel ou la définition et la mise en
œuvre de nouveaux dispositifs de prévention, de
réduction ou de protection pour en assurer la
maîtrise : assurance, dispositifs de contrôle
interne...), (Rapport type élaboration cartographie et plan
d’ABR, Réf. 16 Kit).
 Définition des plans d’action

Objectifs: Précis

La mise en œuvre de(s) plan(s) d’action

renforce la maîtrise des risques et répond
Placé sous
à deux préoccupations : responsabilité
Pertinent

Critère de
à Abaisser le niveau du risque résiduel qualité
à celui défini comme acceptable : le d’un plan
d’action
score cible ;
Suivi Réaliste
à Améliorer la qualité et l’efficience du
contrôle interne (changement en faveur
d’un dispositif moins coûteux, Ordonné
suppression des «sur–contrôles»). (Jalon)
e Un plan de management des risques (ou de
mitigation) est élaboré et validé par la
hiérarchie. Le plan de mitigation précise :

• Risques
• Cotation (et rang de priorité)
• Objectif (Activité/tâche)
• Action de remédiation (recommandation)
• Période retenue pour la mise en œuvre
• Responsable de l’action
• Coût estimatif
e La cartographie aide à définir la valeur des
mesures de contrôle:

– Là où aucun contrôle n’existe, mais devrait l’être

(Vulnérabilité)
– Là où les contrôles réduisent la probabilité de
survenance des risques
– Là où les contrôles évitent ou limitent les
conséquences du risque(Impact)
– Aide à orienter le travail des auditeurs et
inspecteurs internes dans le cadre d’une
approche d’audit basée sur les risques.
• Cartographie ou registre des risques (voir
page suivante)
 Risque
résiduel
Nota : Tout
Risque Évaluation du Plan de management
score élevé Classement Plan d'audit
Inhérent contrôle interne des risques
Conséquences probables
fait l’objet de
FRAP (Voir
Entités Bonnes QCI)
Éléments
impliquées pratiques
Causes

Mission/O Type clés du Appétence

Risque (Propriétaire, de CI de

Niveau de maturité CI
Ref. bjectifs/ de Contrôle pour le
identifié Fournisseur, maîtrise

Probabilité (P) 1 à 5
Activités risque interne risque Période
Client, des Rang Effort

Prévention

Probabilité
Protection
(Pro) 0 à 3

(Pré) 0 à 3
existants retenue Objectifs

= P - Pré
= I - Pro
Appui) risques Déjà de Actions Type d’Audit

Impact

Score
Impact(I) 1 à 5 pour Audit et

1à5
Survenu priorité (Recommand de Indicatif
mise Proposé Périmètre

Score= PxI
Oui/Non Échelle ations) revue (Jours/
en d’Audit
4à0 hommes)
œuvre

PROCESSUS DE PILOTAGE
ENVIRONEMENT DE CONTROLE
A- Les préalables au contrôle interne
Objectifs Généraux
A1
B- REGLES D'EXEMPLARITE ET D'INTEGRITE: E& I
B1
J GOUVERNANCE
J1
PROCESSUS METIERS
PM
1
PROCESSUS SUPPORTS OU DE SOUTIENS
PS
1
e Représentation Graphique du Risque Résiduel – Cartographie du Risque
La dernière étape est d’évaluer dans quelle mesure le système de contrôle
interne en place réduit le niveau du risque inhérent. Ce graphique indique
l’évolution du risque lorsque le contrôle interne est pris en compte.
 Synthèse de l’évaluation globale du dispositif de management
des risques : étendue de la cartographie
Au total ….. missions
v Inventaire des missions
répertoriées
assignées à chaque structure
v A une mission, des risques à
identifier (maxi 10)
v Choix et Evaluation des 3
risques majeurs par mission
• Niveau du Risque Inhérent
• Causes …. risques majeurs
• Conséquences analysés
• Bonnes pratiques
• CI (Existant, non existant, maturité)
• Niveau du Risque Résiduel
• Recommandations
• Plan d’audit)
 Le reporting consolidé

• Plusieurs visions possibles :

ü par scoring ;
ü par types de risques ;
ü par types d’impact ;
ü par degré de maîtrise, etc.
ü Analyses globales (tous Domaines confondus)
ü Analyses par métier.

Ø Problématiques inhérentes à tout exercice de consolidation :

à La consolidation répond à un besoin de pilotage global de l’entité :

• Elle impose des conventions d’agrégation (sommes, moyennes …) ;

• Celles-ci induisent « mécaniquement » des biais (lissage …) ;

• Ceux-ci nécessitent de combiner des éléments de reporting selon différentes approches.

Présentation des risques par Processus (pilotage, métiers et supports)
 Cartographie des risques inhérents ou bruts (tous Domaines
confondus)

L’analyse des risques inhérents (risques avant prise en compte des contrôles) donne une
répartition des niveaux de risques ci-après

Risques Inhérents - Total

Faible
1%
Moyen
28%

Elevé
71%
Cartographie des risques résiduels ou net (tous Domaines
confondus)
Présentation des risques Résiduels

Risques Résiduels - Total

Faible
11%

Moyen
Elevé
53%
36%
Cartographie des risques inhérents (ou bruts) les plus élevés
(tous Domaines confondus)

Zones de Risques inhérents Risques résiduels

Total Total
Risques Faible Moyen Elevé Faible Moyen Elevé
PROCESSUS
0 21 20 41 14 21 6 41
PILOTES
PROCESSUS
1 29 51 81 10 49 22 81
METIERS

PROCESSUS
2 38 157 197 10 100 87 197
SUPPORTS

Total 3 88 228 319 34 170 115 319

 Cartographie des risques : Synthèse et répartition par
processus et les plus élevés (tous Domaines confondus)

Zones de Risques inhérents Risques résiduels

Total Total
Risques Faible Moyen Elevé Faible Moyen Elevé
PROCESSUS
0% 7% 6% 13% 4% 7% 2% 13%
PILOTES
PROCESSUS
0% 9% 16% 25% 3% 15% 7% 25%
METIERS
PROCESSUS
1% 12% 49% 62% 3% 31% 27% 62%
SUPPORTS
Total 1% 28% 71% 100% 11% 53% 36% 100%
Présentation de la cartographie des risques les plus élevés
(tous Domaines confondus)
Tableau des risques résiduels de la structure en fonction du niveau de
la probabilité et de l’impact

Répartition des risques résiduels de la structure en fonction du niveau du risque : élevé

(rouge), moyen (jaune), faible (vert), selon leur probabilité d’occurrence ou de
fréquence et leur gravité (ampleur).
5
1 7 17 5 7
Critique
4
30 71 48 59 2
Majeur
Impact

3
26 40 40 30
Modéré
2
4 4 2 8
Mineur
1
Non 1 1
significatif
Niveau 1
2 3
4 5
Peu Modérément
Rare Probable Très probable
probable probable
Probabilité
 Cartographie des risques: zone de risque par processus

Zone de Risque Risques Inhérents Risques Résiduels

Processus clefs Faibles Moyens Elevés Faibles Moyens Elevés

PROCESSUS DE PILOTAGE
Administrer et Coordonner les activités du
5 2 4 6 1
CILSS
Assurer les Audits 6 3 6 3
Total Processus de Pilotage 0 21 20 14 21 6
PROCESSUS METIERS
« Activités de contrôle »
Assurer la sécurité alimentaire, la Gestion des
ressources naturelles, population et le 4 11 2 10 3
développement
Assurer la maîtrise de l'eau 1 1 2
Assurer le management l'Information et
9 8 1 10 6
Recherche
Total Processus Métier 1 29 51 10 49 22
PROCESSUS SUPPORTS OU D’APPUI
« Activités de contrôle »
Assurer le Management Administratif,
2 41 14 29
Financier et Comptable
Gérer le système Informatique et la
4 11 8 7
documentation
Manager les ressources humaines 9 17 1 16 9
Total Processus Supports 2 38 157 10 100 87
TOTAL GENERAL (Processus Pilotage,
3 88 228 34 170 115
Métiers et Supports)
TOTAL GENERAL (Processus Pilotage,
319 319
Métiers et Supports)
Présentation de l’évolution des risques inhérents aux risques résiduels
au niveau du Processus Pilotage de la structure :
Type de risque : fréquence de citation (tous Domaines confondus)
Type de risque : fréquence de citation en % (tous Domaines confondus)
Risques résiduels (ou nets) : Hiérarchisation des risques opérationnels
suivant leurs probabilités par processus

Hiérarchisation des risques opérationnels suivant leurs probabilités

Codes Risques Catégorie de risque Probabilités

Validé par : Date :

Risques résiduels (ou nets) : Hiérarchisation des risques opérationnels
suivant leurs impacts par processus

Hiérarchisation des risques opérationnels suivant leurs impacts

Codes Risques Catégorie de risque Impact Type d’impact

Validé par : Date :

Analyse des risques résiduels par type d’impact
Analyse des risques par type d’impact et par processus clefs
Analyse des risques par type d’impact et par processus clefs
Amplitude de répartition de la probabilité et de l’impact du Risque
Inhérent de la structure (Fréquence d’apparition en fonction du niveau
de 1 à 5)
Amplitude de répartition de la probabilité et de l’impact du Risque
Résiduel
Répartition en impact et probabilité inhérents moyens des Domaines

- Chaque bulle
correspond à une
ligne d’activité.
- La taille de la bulle
représente le
nombre de risques
identifiés.
- La position de
chaque bulle
informe sur la
cotation moyenne
des risques.
Répartition en impact et probabilité résiduels moyens des Domaines de
la structure
 CAS SYNTHESE N°1
TEST DE CONNAISSANCE

QCM sur le Management des risques dans le secteur

public : principes et implications (Cahier du participant)

TRAVAUX DE GROUPE
DUREE :

Moyenne requise : 12/20

Nombre de questions 20 Vous avez moins de 12/20 : Vous devez
reprendre intégralement la lecture attentionnée
de la séquence 1 être concentré sur les deux
séquences qui suivent
q Test de Connaissances – Q1

• Le but d’un référentiel de contrôle est:

a. D’instaurer la discipline du contrôle interne à travers une organisation
b. D’introduire une cohérence entre le risque et les concepts de contrôle à
travers une organisation.
c. De démontrer la relation entre le risque et le contrôle
d. a, b, et c

q Test de Connaissances – Q2
•

• Le référentiel de contrôle du COSO:

a. Est fondé sur un environnement de contrôle et une bonne gestion des
risques
b. Peut être appliqué dans toutes/tous les opérations/services du secteur
public
c. Est le modèle préféré pour le secteur public
d. a, b, et c
qTest de Connaissances – Q3

• Une considération clef pour comprendre le

risque est que :
a. Le risque est de nature incertaine
b. Le risque ne peut pas être géré
c. Le risque est la responsabilité principale des
auditeurs internes
d. Aucune de ces réponses
q Test de Connaissances – Q4

• Une exposition aux risques avant d'envisager toute mesure de

contrôle interne en place est considérée comme:
a. Un risque stratégique
b. Un risque résiduel
c. Un risque inhérent
d. Aucune de ces réponses

q Test de Connaissances – Q5

• Les contrôles internes sont essentiellement mis en place pour:

a. Supprimer les risques
b. Accepter les risques
c. Réduire les risques
d. Transférer les risques
q Test de Connaissances – Q6

• Lequel de ces risques n'est pas un risque du secteur public?

a. Réputation
b. Stratégique
c. Contrôle
d. Aucune de ces réponses

q Test de Connaissances – Q7
•

• Quelle catégorie de risques est la plus importante dans le

secteur public?
a. Financier
b. Opérationnel
c. Réputation
d. Aucune de ces réponses
q Test de Connaissances – Q8
•

• Décider quel niveau de risque est acceptable ou

inacceptable considérant chaque catégorie de risques,
est une responsabilité clé de:
a. La Direction
b. Des auditeurs internes
c. a et b
d. Aucune de ces réponses
•

q Test de Connaissances – Q9
•

• Les risques sont évalués en termes de:

a. Vulnérabilité
b. Impact
c. Probabilité
•
d. a, b, et c
qTest de Connaissances – Q10
•

• Lequel n'est pas un élément du cadre COSO:

a. environnement de contrôle
b. Leadership
c. Les activités de contrôle
•
d. Information et communication
qTest de Connaissances – Q11
• En ce qui concerne les auditeurs internes, quelle
phrase est exacte:
a. L'indépendance est une condition préalable à
l'objectivité
b. L'objectivité est une condition préalable à
l'indépendance
c. L’indépendance et objectivité ne sont pas liées
•
d. Les auditeurs internes ne sont tenus d'être objectifs
q Test de Connaissances – Q12
• Dans un contexte de management et d’audit interne fondés
sur les risques, recommander des moyens pour éliminer ou
réduire les excès de contrôle des risques mineurs est une
responsabilité:
a. De la direction
b. Des auditeurs externes
c. Des auditeurs internes
d. Aucune de ces réponses
•

q Test de Connaissances – Q13

•

• Dans le contexte du management et de l’audit interne basés

sur le risque, le risque inhérent est normalement évalué en
termes de:
a. Probabilité
b. Impact
c. Probabilité x Impact
d. Dommage financier seulement
•
qTest de Connaissances – Q14

• Dans un contexte management et d’audit

interne basés sur le risque, la cartographie ou
Heatmap est une manière de décrire:
a. Une exposition aux risques
b. Les risques opérationnels
c. Les niveaux des critères de risques
d. Aucune de ces réponses
q Test de Connaissances – Q15

• Lorsque le plan d’audit interne basé sur les risques est

complété, dans quel ordre de priorité le chef du
département d’audit interne devrait-il communiquer les
questions suivantes à la direction:
I. Détection des expositions aux risques inacceptables
II. Les principaux objectifs d’audit interne à aborder
III. les principaux processus de contrôle liés à des
objectifs essentiels d'audit
IV. Les missions d’audit interne exclues du plan de travail
annuel
a. I, II, III, IV
b. II, III, I, IV
c. I, III, II, IV
d. IV, I, II, III
Ø

•
q Test de Connaissances – Q16
•

• Les objectifs d’audit interne sont principalement liés:

a. Aux objectifs de gestion du ministère
b. Aux missions d’audit interne individuelles
c. Les deux a. et b.
d. Aucune de ces réponses

q Test de Connaissances – Q17

•

• Une réunion d'ouverture avec la direction est la

suivante:
a. Obligatoire
b. Hautement souhaitable
c. Pas nécessaire
d. Il vaut mieux éviter d’avoir cette séance d’ouverture pour
•
assurer que l'équipe d'audit interne reste indépendant
q Test de Connaissances – Q18
•

• En suivant une approche fondée sur le risque pendant

une mission d’audit interne, quelle séquence de tâches
devraient suivre les auditeurs internes:
I. Comprendre les objectifs de gestion de l'entité
auditée
II. Comprendre et évaluer les risques de l'entité auditée
III. Suggérer des possibilités d’améliorations
significatives dans l'entité auditée
IV. Confirmer l'efficacité des pratiques de la gestion des
risques et des processus dans l'entité auditée
a. I, II, III, IV
b. III, I, II, IV
c. I, II, IV, III
d. I, III, II, IV
q Test de Connaissances – Q19
•

• Quelle est la relation entre les objectifs des missions d’audit interne et
les objectifs de l‘organisation :
a. Il n'y a pas de relation
b. Les objectifs de la mission doivent être liés aux objectifs de gestion
c. Les objectifs de gestion devraient être liés aux objectifs de l'engagement
d. Les objectifs de la mission et les objectifs de l‘organisation doivent être
tous liés aux contrôles internes
•

q Test de Connaissances – Q20

• Si la direction n’établit pas suffisamment de critères de mesure pour
déterminer l’atteinte des objectifs de gestion, les auditeurs internes
devraient:
a. Utiliser leurs propres normes
b. Délivrer un rapport d’audit interne notant l'absence de critères de
mesures adéquats
c. Travailler avec la direction pour l'élaboration de critères appropriés
d. Aucune de ces réponses
 Test de Connaissances – Q1
1. Le but d’un référentiel de contrôle est:
a. D’instaurer la discipline du contrôle interne à
travers une organisation
b. D’introduire une cohérence entre le risque et les
concepts de contrôle à travers une organisation.
c. De démontrer la relation entre le risque et le
contrôle
d. a, b, et c

399
 Test de Connaissances – Q1
1. Le but d’un référentiel de contrôle est:
a. D’instaurer la discipline du contrôle interne à
travers une organisation
b. D’introduire une cohérence entre le risque et les
concepts de contrôle à travers une organisation.
c. De démontrer la relation entre le risque et le
contrôle
d. a, b, et c

400
 Test de Connaissances – Q2
2. Le référentiel de contrôle du COSO:
a. Est fondé sur un environnement de contrôle et
une bonne gestion des risques
b. Peut être appliqué dans toutes/tous les
opérations/services du secteur public
c. Est le modèle préféré pour le secteur public
d. a, b, et c

401
 Test de Connaissances – Q2
2. Le référentiel de contrôle du COSO:
a. Est fondé sur un environnement de contrôle et
une bonne gestion des risques
b. Peut être appliqué dans toutes/tous les
opérations/services du secteur public
c. Est le modèle préféré pour le secteur public
d. a, b, et c

402
 Test de Connaissances – Q3
3. Une considération clé pour comprendre le risque
est que:
a. Le risque est de nature incertaine
b. Le risque ne peut pas être géré
c. Le risque est la responsabilité principale des
auditeurs internes
d. Aucune de ces réponses

403
 Test de Connaissances – Q3
3. Une considération clé pour comprendre le risque
est que:
a. Le risque est de nature incertaine
b. Le risque ne peut pas être géré
c. Le risque est la responsabilité principale des
auditeurs internes
d. Aucune de ces réponses

404
 Test de Connaissances – Q4
4. Une exposition aux risques--avant d'envisager toute
mesure de contrôle interne en place est considérée
comme:
a. Un risque stratégique
b. Un risque résiduel
c. Un risque inhérent
d. Aucune de ces réponses

405
 Test de Connaissances – Q4
4. Une exposition aux risques--avant d'envisager toute
mesure de contrôle interne en place est considérée
comme:
a. Un risque stratégique
b. Un risque résiduel
c. Un risque inhérent
d. Aucune de ces réponses

406
 Test de Connaissances – Q5
5. Les contrôles internes sont essentiellement mis en
place pour:
a. Supprimer les risques
b. Accepter les risques
c. Réduire les risques
d. Transférer les risques

407
 Test de Connaissances – Q5
5. Les contrôles internes sont essentiellement mis en
place pour:
a. Supprimer les risques
b. Accepter les risques
c. Réduire les risques
d. Transférer les risques

408
 Test de Connaissances – Q6
6. Lequel de ces risques n'est pas un risque du secteur
public?
a. Réputation
b. Stratégique
c. Contrôle
d. Aucune de ces réponses

409
 Test de Connaissances – Q6
6. Lequel de ces risques n'est pas un risque du secteur
public?
a. Réputation
b. Stratégique
c. Contrôle
d. Aucune de ces réponses : tous affectent le secteur public

410
 Test de Connaissances – Q7
• Quelle catégorie de risques est la plus importante
dans le secteur public africain ?
a. Financier
b. Opérationnel
c. Réputation
d. Aucune de ces réponses

411
 Test de Connaissances – Q7
• Quelle catégorie de risques est la plus importante
dans le secteur public africain ?
a. Financier
b. Opérationnel
c. Réputation
d. Aucune de ces réponses

412
 Test de Connaissances – Q8
8. Décider quel niveau de risque est acceptable ou
inacceptable considérant chaque catégorie de
risques, est une responsabilité clé de:
a. La Direction
b. Des auditeurs internes
c. a et b
d. Aucune de ces réponses

413
 Test de Connaissances – Q8
8. Décider quel niveau de risque est acceptable ou
inacceptable considérant chaque catégorie de
risques, est une responsabilité clé de:
a. La Direction
b. Des auditeurs internes
c. a et b
d. Aucune de ces réponses

414
 Test de Connaissances – Q9
9. Les risques sont évalués en termes de:
a. Vulnérabilité
b. Impact
c. Probabilité
d. a, b, et c

415
 Test de Connaissances – Q9
9. Les risques sont évalués en termes de:
a. Vulnérabilité
b. Impact
c. Probabilité
d. a, b, et c

416
 Test de Connaissances – Q10
10. Lequel n'est pas un élément du cadre COSO:
a. environnement de contrôle
b. Leadership
c. Les activités de contrôle
d. Information et communication

417
 Test de Connaissances – Q10
10. Lequel n'est pas un élément du cadre COSO:
a. environnement de contrôle
b. Leadership
c. Les activités de contrôle
d. Information et communication

418
 Test de Connaissances – Q11
11. En ce qui concerne les auditeurs internes, quelle
phrase est exacte:
a. L'indépendance est une condition préalable à l'objectivité
b. L'objectivité est une condition préalable à l'indépendance
c. L’indépendance et objectivité ne sont pas liées
d. Les auditeurs internes ne sont tenus d'être objectif

419
 Test de Connaissances – Q11
11. En ce qui concerne les auditeurs internes, quelle
phrase est exacte:
a. L'indépendance est une condition préalable à l'objectivité
b. L'objectivité est une condition préalable à l'indépendance
c. L’indépendance et objectivité ne sont pas liées
d. Les auditeurs internes ne sont tenus d'être objectif

420
 Test de Connaissances – Q12
• Dans un contexte de management et d’audit interne
fondés sur les risques, recommander des moyens
pour éliminer ou réduire les excès de contrôle des
risques mineurs est une responsabilité:
a. De la direction
b. Des auditeurs externes
c. Des auditeurs internes
d. Aucune de ces réponses

421
 Test de Connaissances – Q12
• Dans un contexte de management et d’audit interne
fondés sur les risques, recommander des moyens
pour éliminer ou réduire les excès de contrôle des
risques mineurs est une responsabilité:
a. De la direction
b. Des auditeurs externes
c. Des auditeurs internes
d. Aucune de ces réponses

422
 Test de Connaissances – Q13
• Dans le contexte du management et de l’audit
interne basés sur le risque, le risque inhérent est
normalement évalué en termes de:
a. Probabilité
b. Impact
c. Probabilité x Impact
d. Dommage financier seulement

423
 Test de Connaissances – Q13
• Dans le contexte du management et de l’audit
interne basés sur le risque, le risque inhérent est
normalement évalué en termes de:
a. Probabilité
b. Impact
c. Probabilité x Impact
d. Dommage financier seulement

424
 Test de Connaissances – Q14
• Dans un contexte management et d’audit interne
basés sur le risque, la cartographie ou Heatmap est
une manière de décrire:
a. Une exposition aux risques
b. Les risques opérationnels
c. Les niveaux des critères de risques
d. Aucune de ces réponses

425
 Test de Connaissances – Q14
• Dans un contexte management et d’audit interne
basés sur le risque, la cartographie ou Heatmap est
une manière de décrire:
a. Une exposition aux risques
b. Les risques opérationnels
c. Les niveaux des critères de risques
d. Aucune de ces réponses

426
 Test de Connaissances – Q15
15. Lorsque le plan d’audit interne basé sur les risques est
complété, dans quel ordre de priorité le chef de du
département d’audit interne devrait-il communiquer les
questions suivantes à la direction:
I. Détection des expositions aux risques inacceptables
II. Les principaux objectifs d’audit interne à aborder
III. les principaux processus de contrôle liés à des
objectifs essentiels d'audit
IV. Les missions d’audit interne exclues du plan de travail
annuel
a. I, II, III, IV
b. II, III, I, IV
c. I, III, II, IV
d. IV, I, II, III
427
 Test de Connaissances – Q15
15. Lorsque le plan d’audit interne basé sur les risques est
complété, dans quel ordre de priorité le chef de du
département d’audit interne devrait-il communiquer les
questions suivantes à la direction:
I. Détection des expositions aux risques inacceptables
II. Les principaux objectifs d’audit interne à aborder
III. les principaux processus de contrôle liés à des
objectifs essentiels d'audit
IV. Les missions d’audit interne exclues du plan de travail
annuel
a. I, II, III, IV
b. II, III, I, IV
c. I, III, II, IV
d. IV, I, II, III
428
 Test de Connaissances – Q16
16. Les objectifs d’audit interne sont principalement
liés:
a. Aux objectifs de gestion du ministère
b. Aux missions d’audit interne individuelles
c. Les deux a. et b.
d. Aucune de ces réponses

429
 Test de Connaissances – Q16
16. Les objectifs d’audit interne sont principalement
liés:
a. Aux objectifs de gestion du ministère
b. Aux missions d’audit interne individuelles
c. Les deux a. et b.
d. Aucune de ces réponses

430
 Test de Connaissances – Q17
• Une réunion d'ouverture avec la direction est la
suivante:
a. Obligatoire
b. Hautement souhaitable
c. Pas nécessaire
d. Il vaut mieux éviter d’avoir cette séance d’ouverture pour
assurer que l'équipe d'audit interne reste indépendant

431
 Test de Connaissances – Q17
• Une réunion d'ouverture avec la direction est la
suivante:
a. Obligatoire
b. Hautement souhaitable
c. Pas nécessaire
d. Il vaut mieux éviter d’avoir cette séance d’ouverture pour
assurer que l'équipe d'audit interne reste indépendant

432
 Test de Connaissances – Q18
18. En suivant une approche fondée sur le risque pendant
une mission d’audit interne, quelle séquence de tâches
devraient suivre les auditeurs internes:
I. Comprendre les objectifs de gestion de l'entité
auditée
II. Comprendre et évaluer les risques de l'entité auditée
III. Suggérer des possibilités d’améliorations
significatives dans l'entité auditée
IV. Confirmer l'efficacité des pratiques de la gestion des
risques et des processus dans l'entité auditée
a. I, II, III, IV
b. III, I, II, IV
c. I, II, IV, III
d. I, III, II, IV
433
 Test de Connaissances – Q18
18. En suivant une approche fondée sur le risque pendant
une mission d’audit interne, quelle séquence de tâches
devraient suivre les auditeurs internes:
I. Comprendre les objectifs de gestion de l'entité
auditée
II. Comprendre et évaluer les risques de l'entité auditée
III. Suggérer des possibilités d’améliorations
significatives dans l'entité auditée
IV. Confirmer l'efficacité des pratiques de la gestion des
risques et des processus dans l'entité auditée
a. I, II, III, IV
b. III, I, II, IV
c. I, II, IV, III
d. I, III, II, IV
434
 Test de Connaissances – Q19
19. Quelle est la relation entre les objectifs des
missions d’audit interne et les objectifs de
l'entreprise:
a. Il n'y a pas de relation
b. Les objectifs de la mission doivent être liés aux objectifs de
gestion
c. Les objectifs de gestion devraient être liés aux objectifs de
l'engagement
d. Les objectifs de la mission et les objectifs de l'entreprise
doivent être tous liés aux contrôles internes

435
 Test de Connaissances – Q19
19. Quelle est la relation entre les objectifs des
missions d’audit interne et les objectifs de
l'entreprise:
a. Il n'y a pas de relation
b. Les objectifs de la mission doivent être liés aux objectifs de
gestion
c. Les objectifs de gestion devraient être liés aux objectifs de
l'engagement
d. Les objectifs de la mission et les objectifs de l'entreprise
doivent être tous liés aux contrôles internes

436
 Test de Connaissances – Q20
20. Si la direction n’établit pas suffisamment de critères
de mesure pour déterminer l’atteinte des objectifs
de gestion, les auditeurs internes devraient:
a. Utiliser leurs propres normes
b. Délivrer un rapport d’audit interne notant l'absence de critères
de mesures adéquats
c. Travailler avec la direction pour l'élaboration de critères
appropriés
d. Aucune de ces réponses

437
 Test de Connaissances – Q20
20. Si la direction n’établit pas suffisamment de critères
de mesure pour déterminer l’atteinte des objectifs
de gestion, les auditeurs internes devraient:
a. Utiliser leurs propres normes
b. Délivrer un rapport d’audit interne notant l'absence de critères
de mesures adéquats
c. Travailler avec la direction pour l'élaboration de critères
appropriés
d. Aucune de ces réponses

438
Test de Connaissances – Réponses Suggérées
1 d 8 a 15 b

2 d 9 d 16 c

3 a 10 b 17 b

4 b 11 a 18 c

5 c 12 c 19 b

6 d 13 c 20 c

7 d 14 a
439
METHODOLOGIE ET OUTILS Date : Durée

D’ELABORATION DE LA
CARTOGRAPHIE, DU PLAN DE
MITIGATION ET DU PLAN
D’AUDIT BASES SUR LES
RISQUES
Séquence 3 : Les applications pratiques de l’évaluation Classement : Sq3 Rédacteur :
des risques et planification de la mission SS

Objectifs ¨ Maîtriser les techniques et les outils d’établissement du plan d’audit

¨ Maîtriser la méthodologie d’élaboration du planning d’audit
¨ Savoir planifier les missions individuelles d’assurance et de conseil
¨ Savoir élaborer la cartographie des risques de fraude
¨ Planifier la mission

Exposés :

N° Fiches Titres / Contenu Stratégie d’animation

11 Etablissement du plan et du planning Exposés et discussions
d’audit
12 Planification et suivi des actions Exposés et discussions
d'amélioration
1. Rappel des prescriptions des normes IIA -2020
communication ; 2030 – Gestion des ressources

• Le Plan d’audit annuel est issu directement de l’analyse

des risques de la structure (Ministère, société, etc.). Il
considère aussi les résultats des travaux des corps de
contrôle d’autres Ministères, les travaux de la Cour des
Comptes, d’auditeurs externes, des missions de
diagnostics et programmes des unités de contrôle
qualité et les structures de contrôle interne du
Ministère.

• Le plan répond aux principes énoncés dans les Normes

internationales pour la pratique professionnelle de
l'audit interne émis par l’Institut d’Audit Interne (IIA) et
en particulier:
q IIA 2020 – Communication et approbation
• Le responsable de l'audit interne doit communiquer
aux instances dirigeantes son plan d'audit et ses
besoins, pour examen et approbation, ainsi que tout
changement important susceptible d'intervenir en
cours d'exercice. Le responsable de l'audit interne doit
également signaler l'impact de toute limitation de ses
ressources.

q IIA 2030 – Gestion des ressources

• Le responsable de l'audit interne doit veiller à ce que
les ressources affectées à cette activité soient
adéquates, suffisantes et mises en œuvre de manière
efficace pour réaliser le plan d'audit approuvé.
qInterprétation :
• On entend par ressources adéquates, la
combinaison de connaissances, savoir-faire et
autres compétences nécessaires à la
réalisation du plan d’audit. On entend par
ressources suffisantes, la quantité de
ressources nécessaires à la réalisation du plan
d’audit. Les ressources sont mises en œuvre
efficacement quand elles sont utilisées de
manière à optimiser la réalisation du plan
d’audit.
qNorme IIA 2060 - Rapports aux Instances
dirigeantes
• Le responsable de l'audit interne doit rendre
compte périodiquement aux instances
dirigeantes des missions, des pouvoirs et des
responsabilités de l'audit interne, ainsi que du
degré de réalisation du plan d audit. Il doit plus
particulièrement rendre compte :
– de l’exposition aux risques significatifs (y compris des
risques de fraude) et des contrôles correspondants;
– des sujets relatifs à la Gouvernance et;
– de tout autre problème répondant à un besoin ou à
une demande des instances dirigeantes.
3. La démarche et les outils détaillés pour l’élaboration
du plan pluriannuel et du planning ABR

3.1 La démarche et outil d’élaboration du plan ABR

pluriannuel

• Obtenir une assurance de la part des autres ministères

et tiers fournisseurs de service

• Définir les modalités de collaboration et de partage

des tâches avec les autres corps de contrôle

• Fournir l’assurance nécessaire à la Direction du

ministère, Cour des Comptes, bailleurs de fonds
q L’Elaboration du Plan pluriannuel d’Audit Basé sur les Risques

Objectifs
Catégories de
de Gestion Risques
• Strategique
• Operationnel
• Financier
• Technologique Mesure du Risque
• Reputation • Vulnérabilité
• Impact
• Probabilité

Contrôle
Interne

Risques Risques
Inhérents Résiduels
eConstruire une matrice comprenant les éléments suivants:
• Objectifs de gestion
• Processus/entités auditables
• Unités/Département responsables
• Evaluation des risques inhérents (avec justification des
facteurs de risque)
• Evaluation de la qualité des principaux contrôles clefs en
place
• Evaluation des risques résiduels (avec justification des
facteurs de risque)
• Classer les éléments de l’univers d’audit par niveau de
risques
• Appliquer la politique de couverture d’audit
• Déterminer les audits sur les 3 prochaines années, le
champ d’audit et les objectifs d’audit
q La politique de couverture

ü Le plan d’audit interne est habituellement axé sur :

• les risques actuels inacceptables, qui nécessitent une
action du management. Ils concernent des domaines dans
lesquels les contrôles clés ou les mesures d’atténuation
sont limités au minimum, et que la direction générale
souhaite faire auditer sans délai ;
• les dispositifs de contrôle sur lesquels l’organisation
s’appuie le plus ;
• les domaines dans lesquels il existe un écart considérable
entre risque inhérent et risque résiduel ;
• les domaines dans lesquels le risque inhérent est très
élevé.
• Les domaines à forte valeur ajoutée
• Les domaines significatifs
 Nota
• L’audit est une activité systématique (tout le
champ de l'organisation doit être couvert et
audité) et périodique (en principe en un
maximum de 3 ans).

• Mais le programme triennal doit reposer sur:

– une analyse de risque
– Les opportunités d’amélioration à forte valeur ajoutée
– Les domaines sensibles
 Plans d’audit

Plan de couverture des risques

Le budget temps annuel pourrait être réparti entre les activités suivantes :

Types de missions %
1. Missions de contrôle programmées 40%
2. Missions de contrôle « commandées » 20%
3. Missions de contrôle inopiné ; 5%
4. Suivi de la mise en œuvre des 5%
recommandations
5. Missions ponctuelles imprévues 5%
6. Mission d’élaboration/mise à jour de la 10%
cartographie des risque
7. Formation et stages 5%
8. Administration et réunions (internes, externes) 10%
TOTAL 100%
 Plans d’audit
Critères de programmation des missions

Ø Critères à prendre en compte lors de la programmation des missions d’audit:

v la disponibilité des ressources, humaines notamment;

v les compétences disponibles ;
v les missions conjointes (avec d’autres structures de contrôle);
v le risque de chevauchement des missions ;
v les périodes de formation ;
v les rencontres périodiques (exemple : cadre de concertation)
u Celle-ci va faire varier la fréquence des missions
d'audit selon les différents services qui constituent
cette organisation:
– tous les ans pour les plus exposés,
– tous les 2 ans pour d'autres,
– tous les 3 ans seulement, voire rarement, pour les zones
de risque faible et accepté.

• À partir de ce tableau, qui est au fond un plan de

charge, on peut déduire les besoins en nombre
d'auditeurs pour effectuer la tâche ainsi définie, dans
le temps imparti et avec la fréquence souhaitée.

• Chaque institution, à condition d'avoir préalablement

effectué ce travail, peut connaître ainsi le nombre
d'auditeurs qui lui sont nécessaires.
 Champ de l’Administration à auditer- périodicité

B1
B2
B3
B4
B5

Légende :

L'organisme comporte 5 directions

à auditer tous les ans

à auditer tous les 2 ans
à auditer tous les 3 ans
pourrait être négligé
3.2 – La structure du plan pluriannuel (voir
Réf.17 : Plan triennal d’ABR)

• Traditionnellement, et à quelques spécificités

près, chaque page du Plan d'audit va se
présenter sous la forme :
– d'un tableau à 9 colonnes s'il s'agit d'un Plan sur 5
ans
– et à 7 colonnes s'il s'agit d'un Plan sur 3 ans
¾Les 2 premières colonnes rappellent, pour
mémoire, les audits antérieurs en indiquant :
– l'année du dernier audit,
– le temps passé pour le réaliser (exprimé en
jours/auditeur ou en semaines/auditeur selon le degré
de finesse que l'on souhaite obtenir).

• Ce rappel permet de prendre en compte les

retards (ou avances) antérieurs, de les apprécier
par rapport au nouveau coefficient de risque
adopté.
• Il donne également un élément d'information
important qui va aider à l'appréciation du temps
estimé nécessaire pour les audits à venir.
¾La troisième colonne indique le coefficient de
risque retenu (CR) lequel détermine la fréquence
adoptée sur le Plan.

¾La quatrième colonne mentionne les missions

d'audit, classés en :
– audit des structures,
– audit des cycles et processus,
– audit des thèmes.
Nota : On
pourrait ajouter les entités auditables
(propriétaires, clients, fournisseurs, supports)
• : Cinquième colonne
¾Les autres colonnes suivantes permettent de répartir ces
audits sur les années à venir selon la fréquence déterminée
comme indiqué précédemment (3 ou 5 ans).

• Ce Plan, élaboré une première fois en concertation avec

l'équipe d'audit et après consultation des principaux
responsables, doit être ajusté.

• En effet, il est nécessaire qu'il y ait adéquation entre les

ressources de l'Audit Interne et les besoins exprimés sur le
Plan.

• Lorsqu'on déduit vacances, temps de formation, absences

diverses, le temps disponible pour réaliser des audits est en
moyenne de 40 semaines par auditeur et par an (soit 200
jours).

• C'est dire qu'une équipe de 3 auditeurs dispose de 40 x 3 =

120 semaines.
¾Le budget temps figurant dans le Plan d'audit
devra donc être adapté à ce chiffre, en
prenant deux éléments en considération :

1 er élément

• Le souhait de la Direction Générale sur

l'évolution des effectifs de l'Audit Interne. Ce
peut être : croissance, réduction ou maintien.
2e élément

• Quelle que soit l'évolution des effectifs elle ne peut être

brutale car il faut sélectionner les auditeurs et les former
en cas de croissance, se réorganiser en cas de réduction.

¾ L'élaboration du Plan va donc comporter 5 étapes :

• Établir (ou mettre à jour) la liste exhaustive des missions

d'audit.
• Calculer (ou mettre à jour) le cœfficient de risque de
chaque mission et en déduire la périodicité.
• Bâtir le projet de Plan après consultation des principaux
responsables et l'exprimer en temps/auditeur.
• Ajuster en fonction des Ressources et des desiderata de la
Direction.
• Faire approuver le Plan par les instances dirigeantes.
3.3 – Elaboration du planning de réalisation du plan annuel

• Le planning n'est pas le Plan mais il est élaboré à partir de

la première année du Plan dont il retient les éléments. Il
traduit le Plan d'audit en emploi du temps pour chaque
auditeur.

¾Pour ce faire, 4 étapes sont à respecter :

• Connaître les périodes d'indisponibilité de chacun: congés -
temps de formation, réunions générales - dates de départ
et d'arrivée pour les mutations survenant en cours d'année.
• À partir de ces données, construire les équipes d'audit en
affectant les auditeurs aux missions retenues pour eux et
en prenant en compte l'enchaînement des missions.
• Obtenir l'accord des audités sur les périodes retenues pour
les missions d'audit.
• Élaborer l'emploi du temps de chacun.
¾On obtient alors un document qui va
permettre:

• à chaque auditeur de prévoir et d'organiser

son travail et ses déplacements,
• aux responsables d'audit interne d'insérer leur
activité dans ce planning,
• et de suivre l'avancement des travaux.
Planning
¾Ainsi on constate sur le planning, ci-dessus :

• que l'Audit du service Achats, prévu au Plan,

sera réalisé en janvier et au cours de la
première semaine de février par les 4
auditeurs,
• que l'Audit du Service Entretien sera assuré par
un seul auditeur de la seconde semaine de
février à la troisième semaine d'avril, mais
qu'un auditeur supplémentaire se joindra à lui
du 1 er mars au 8 avril, etc.
¾Ce planning doit évidemment être suivi et mis à jour car les retouches
sont incessantes et pour des raisons variées :

• mauvaise estimation du temps de travail nécessaire,

• mutations d'auditeurs en dehors des dates prévues,
• formations avancées ou décalées,
• maladies, absences imprévues,
• audits à la demande urgents et non planifiés,
• indisponibilité des audités,
• etc.

• Le suivi des temps de travail s'effectue à partir de relevés de temps

réalisés par les auditeurs ou les chefs de mission. Ces relevés
permettent l'ajustement permanent du planning : c'est un des rôles
essentiel des chefs de mission et du responsable de l'Audit Interne.

• Cet ajustement de la réalité sur les prévisions permet l'élaboration

du Reporting et des analyses statistiques.
4. Les étapes de la planification annuelle sur la base des risques en 10 Etapes
•Le programme annuel est construit sur la base de 10 étapes distinctes.
•Les 10 étapes sont les suivantes:
•Les Etapes de la Planification Annuelle Basée sur les Risques

Etape 1
• Determiner la Politique annuelle de Couverture d'audit Basée sur les Risques

Etape 2
• Construire l’Univers d’Audit

Etape 3
• Lier l’Univers d’Audit aux Objectifs de Gestion

Etape 4
• Analyser et Evaluer les Risques au sein de l’Univers d’Audit

Etape 5
• Valider l’Analyse et L’Evaluation des Risques avec la Direction du Ministère

Etape 6
• Obtenir Assurance des Autres Ministères et Tiers

Etape 7
• Developper un Plan Indicatif pour chaque Audit Proposé

Etape 8
• Assigner les Ressources au Plan

Etape 9
• Communiquer et Obtenir l’Approbation du Plan Basé sur les Risques

Etape 10 • Pilotage et Mise en Oeuvre du Plan

q Développer un Plan Indicatif pour chaque Audit
Proposé

• Les missions sont réparties en missions d’assurance y

compris audit de la fraude, et de conseil

¾Assurance et Conseil
• Les activités d’audit sont traditionnellement classées
selon deux catégories:
– assurance ou conseil.
– Les missions traditionnelles de l’Inspection comprennent
aussi des investigations qui sont des missions d’assurance.

• Le tableau ci-après identifie les principales différences

et caractéristiques des missions d’assurance et de
conseil.
Exemple de comparaison de mandat

Contrôle Audit Audit

Interne Interne Externe

Activité de Activité de
Gestion Activité de
Gouvernance Gouvernance
Externe
Interne
Informe le
Management et le
personnel d’une Informe les Informe les Représentants de
entité organes la Société Civile, les
exécutifs de actionnaires, le Marché
Direction et
organes de
gouvernance
 Exemple de processus et produits d’audit (typologie de services)

Conformité Financier Performance

Centré sur conformité d’une
activité, programme, entité
financiers préparés pour une
avec des politiques,
procédures, lois, réglements,
contrats
[LEGALITE/REGULARITE]
Centré sur attester la
conformité des états
activité , programme, entité
avec principes comptables
généralement admis
[RENDRE COMPTE]
Centré sur l’examen
de l’efficience,
efficacité d’une
activité,
programme, entité
[PERFORMANCE]

ISSAI 4000 à 4999

ISSAI 1000 à 2999 ISSAI 3000 à 3999
3. Vérification ou audit de performance

• C’est ainsi la conclusion logique de la démarche

d'audit, et c'est pourquoi nous l'abordons
seulement maintenant et y consacrons cette
session de formation.
• L’audit de système apprécie, on l'a vu,
l'efficacité du fonctionnement du système de
contrôle.
• L’audit de performance s'intéresse aux résultats
de la gestion, aux produits du système.
Missions d’Assurance: Missions de Conseil:
Les missions d’assurance visent à Ces activités ont pour objectifs d'améliorer les processus de
produire une évaluation objective et gouvernement d'entreprise, de management des risques et de contrôle
indépendante des processus de d'une organisation sans que l'auditeur interne n'assume aucune
gouvernance, de gestion des risques et responsabilité de gestion.
de contrôle en place au sein de Il s’agit généralement d’études, d’action de formation, facilitation,
l’organisation. assistance. Les processus sont généralement en phase de conception, mise
en place, transformation et réforme.
Typologie des missions: Typologie des missions:
¡ Contrôle de conformité avec ¡ Avis
politiques et procédures ¡ Revue de système d’information Pre/ post implémentation
¡ Architecture du système de contrôle
¡ Benchmarking
interne
¡ Fonctionnement effectif du système ¡ Formation sur la gestion des risques, le contrôle interne
de contrôle interne Une opinion formelle n’est généralement pas exprimée.
¡ Audit de performance
¡ Audit de la fraude
Une opinion formelle (par
exemple – satisfaisant, à
améliorer, non satisfaisant) est
généralement exprimée sur
l’état du système audité.
Une évaluation normalisée de la
zone auditée ou de l’importance
de chaque constat est
généralement fournie
(défaillance/faiblesse de contrôle,
défaillance/faiblesse significative
de contrôle, défaillance/faiblesse
matérielle de contrôle).
qAssigner les Ressources au Plan (voir tableau
d’affectation des ressources, Réf. 18 Kit)

• Le plan d’audit annuel a été développé sur une

base totale de X jours effectifs d’audit.

¾Le nombre effectif de jour d’audit (X) est obtenu

en considérant les points suivants :
• dans un premier temps, il y a lieu de prendre
l’effectif total de la direction de l’audit,
• ensuite l’audit par les risques devra coexister
avec les missions traditionnelles de l’inspection,
mandat du Ministre sur des investigations
spécifiques, exécution de contrôles plutôt
qu’opinion sur un système de contrôle.
• le nombre effectif (indicatif) de jour d’audit
correspond à un niveau de contrôle
relativement acceptable en considérant par
ailleurs qu’il est de bonne pratique en matière
de plan basé sur les risques de conserver 25 à
30% de temps non affecté afin :
– de faire face aux risques émergeants et missions
de conseil décidées en cours d’année
– et la nécessaire prise en compte d’une courbe
d’apprentissage en matière d’audit par les
risques.
• Il y a lieu enfin de retenir un nombre de journées-
hommes du nombre d’auditeurs de la structure d’audit
par 200 par 75%= X jours d’audit.
• Ce niveau d’effort doit correspondre à un nombre de
missions en considérant qu’une mission de 30 jours est
un minimum en matière d’audit par les risques du fait
de normes strictes de documentation des papiers de
travail et de toute les étapes de la mission, de la phase
de planification, exécution, et enfin de rapportage.

• Ce Plan, élaboré une première fois en concertation

avec l'équipe d'audit et après consultation des
principaux responsables, doit être ajusté. En effet, il est
nécessaire qu'il y ait adéquation entre les ressources
de l'Audit Interne et les besoins exprimés sur le Plan.
¾ L'élaboration du Plan va donc comporter 5 étapes :

• Établir (ou mettre à jour) la liste exhaustive des missions

d'audit.
• Calculer (ou mettre à jour) le cœfficient de risque de
chaque mission et en déduire la périodicité.
• Bâtir le projet de Plan après consultation des principaux
responsables et l'exprimer en temps/auditeur.
• Ajuster en fonction des Ressources et des desiderata de la
Direction.
• Faire approuver le Plan par la hiérarchie.
• Equivalent de 40 semaines de travail par personne soit 200
jours ouvrable compte tenu des vacances, des maladies,
des autres absences justifiées (formations, etc.)
 Tableau d’affectation des ressources Réf. 18 Kit

Effort d’Audit
Type de
Ref. Audit Proposé Indicatif (Jours Objectifs et Périmètre d’Audit
Revue
/ hommes)

A Pilotage ou Gouvernance

A1 - Avis Conseil 30 (minimum)

-Etudes Ø Exécuter des activités de conseil. par exemple:
-Conseil • des conseils à la direction générale concernant les conséquences pour le
-Formation risque et les contrôles de la mise en œuvre d'une solution de technologie de
l'information avancée;
• des conseils aux propriétaires de processus sur la manière de rationaliser ces
derniers afin de dégager des gains d'efficience;
• des conseils aux managers à tous les niveaux de l'organisation sur la manière
de documenter et de regrouper leurs évaluations des risques et des contrôles.
Ø Faciliter les autoévaluations comme ;
• l'évaluation par la direction générale des risques qui menacent l'organisation
dans son ensemble;
• l'évaluation par les propriétaires des processus des risques qui menacent leurs
activités.
Ø Mener des formations en interne, par exemple :
• renseigner la direction générale sur les nouvelles lignes directrices qui font
autorité sur la gouvernance entreprise dans le secteur public, le management
des risques et le contrôle ;
• informer les propriétaires des processus et le personnel sur les concepts
fondamentaux que sont la gouvernance d'entreprise, le management des
risques et le contrôle.
• Sensibiliser le personnel sur la fraude et la corruption et les contrôles en place
pour prévenir et détecter

B Métiers
B1
B2
C Supports ou soutien
C1
C2
Total
A1 -Audit de conformité
-Audit de performance (résultat)
-Audit d’efficacité ou de sécurité des
Système de Maîtrise des Risques
-Audit de la fraude
-Audit financier
- •
Assurance 30 (minimum) Ø Évaluer l'adéquation de la conception et l'efficacité opérationnelle des
contrôles au niveau des entités. Les contrôles au niveau des entités
peuvent être, par exemple :
• des contrôles sur le risque de contournement par la direction ;
• des contrôles sur le processus d'évaluation des risques de
l'organisation au niveau de
l'entité ;
• des contrôles visant à surveiller les résultats des opérations ;
• des contrôles sur le processus de communication de l'information
financière en fin d'exercice.
Ø Évaluer l'adéquation de la conception et l'efficacité opérationnelle des
contrôles des processus métier. Les contrôles des processus peuvent
être, par exemple :
• des contrôles sur l'efficacité et l'efficience des opérations ;
• des contrôles sur la fiabilité de la communication financière et/ou de la
direction ;
• des contrôles sur la conformité à la législation et à la réglementation
applicables.
Ø Évaluer l'adéquation de la conception et l'efficacité opérationnelle des
contrôles des systèmes d'information (SI). Les contrôles des SI
peuvent par exemple être :
• des contrôles généraux au niveau de l'entité tels que les contrôles
d'accès au système et les contrôles de gestion des changements;
• des contrôles applicatifs intégrés dans les programmes applicatifs
spécifiques.
Ø Évaluer directement les performances des processus métier. Les
performances des processus peuvent être, par exemple :
• l'efficacité et l'efficience opérationnelles exprimées par des indicateurs
tels que les
• indices de satisfaction des clients, le temps de cycle, la rotation du
personnel, etc ;
• la fiabilité de la communication financière, telle qu'exprimée par le
nombre et le montant des écritures de correction en fin d'exercice;
• la conformité à la législation et à la réglementation applicables, telle
qu'exprimée par des indicateurs comme le nombre d'accidents
déclarés ou les rejets à l'environnement
qCommuniquer et Obtenir l’Approbation du Plan
Basé sur les Risques par la hiérarchie

• Lorsque toutes les missions d’audit sont définies

et priorisées, le plan d’audit doit être avalisé par
la hiérarchie (les instances dirigeantes).
• Un plan d’audit est défini sur une période de 3 à 5
ans mais est revu annuellement et peut être
modifié sous demande expresse de la direction
générale (hiérarchie supérieure).
• La communication doit être exacte, objective,
claire, concise, constructive, complète et émise
en temps utile.
• L’identification, l’évaluation des risques et la
détermination des modalités de mitigation font
l’objet :
– d’une validation sur site retenues (PV compte rendu
réunion sur site, Réf. 8.2).
– d’une validation du rapport provisoire avec la
hiérarchie (PV, réunion validation rapport provisoire,
Réf.8.3)
– d’une prise en compte éventuelle des observations
des audités et finalisation du rapport final
– de diffusion du rapport final.
eSont présents à la réunion de validation du rapport sur
la cartographie des risques :

• les auditeurs affectés à la réalisation de la mission,

• la hiérarchie supérieure (propriétaire des risques),
accompagné de ses plus proches collaborateurs.

eLa réunion de validation à pour finalité de :

• présenter aux audités les conclusions de la mission
sous forme de feuilles de risque;
• les valider collectivement avec eux
• Lors de cette réunion sont proposés les axes de
progrès et un calendrier de mise en œuvre des plans
d'action
eLe projet de rapport est validé techniquement
page par page, selon sa structuration :

• Introduction :
– rappel des objectifs et des diligences mises en
œuvre
– présentation de façon succincte, des points
favorables qui ne donnent pas lieu à des
recommandations (points forts)
– description du système en place
• Analyse des risques : présentation des principaux risques majeurs
par processus et des recommandations formulées (modalités de
mitigation retenues)
• Plan d’audit basé sur les risques :
– Présentation de la politique de couverture et du plan d’audit associé
– Présentation des annexes
– rappel des concepts-clefs
– cartographie ou registre des Risques de la structure
– plan d’Audit Annuel Basé sur les risques de la structure
– liste des personnes rencontrées
– documents et rapports consultés
• Plan de management des risques ou de mitigation :
– Risques
– Cotation (et rang de priorité)
– Objectif (Activité/tâche)
– Action de remédiation (recommandation)
– Période retenue pour la mise en œuvre
– Responsable de l’action
– Coût estimatif
q Pilotage et Mise en Œuvre du Plan

• Il est de bonne pratique d’adresser un rapport périodique,

au minimum trimestriel à la hiérarchie sur l’exécution du
plan (en plus des rapports de mission). Les normes
professionnelles de l’audit interne prévoient les
dispositions suivantes:

Ø Norme IIA 2060 - Rapports aux instances dirigeantes

• Le responsable de l'audit interne doit rendre compte
périodiquement aux instances des missions, des pouvoirs
et des responsabilités de l'audit interne, ainsi que du degré
de réalisation du plan d audit. Il doit plus particulièrement
rendre compte:
– de l’exposition aux risques significatifs (y compris des risques de
fraude) et des contrôles correspondants;
– des sujets relatifs à la gouvernance et;
– de tout autre problème répondant à un besoin ou à une
demande des instances dirigeants.
 SYNTHESE : L’Elaboration du Plan d’Audit
Basé sur les Risques
• Déterminer une politique appropriée de couverture d’audit
basée sur les risques pluri-annuelle
– Elaborer une politique sur les critères suivants:
• Entités auditables qui doivent être incluses dans l’’univers d’audit
• Conditions d’’addition ou de suppression d’un processus, département ou
unité à l’ univers d’audit
• Décider d’une couverture annuelle
• Décider d’une couverture cyclique de l’univers d’audit (par ex. 2 ou 3 ans
– ou plus)
• Comment fournir une couverture d’audit pour les unités et processus non
inscrits sur la liste
• Revoir les ressources disponibles au regard de la politique de
couverture
• Décider de laisser ou non de la place pour les événements
survenant en cours d’année 487
• Construire l’univers d’audit en listant les
entités auditables:
– Revoir cet univers au moins une fois par an pour
identifier:
• Entités auditables à rajouter,
• Nouveau fournisseurs ou ministères sources de
services essentiels; et
• Entités auditables à supprimer (processus ou
opérations interrompus)
– Effectuer une évaluation annuelle du risque pour
identifier l’exposition aux risques à travers
l’univers d’audit
• Appliquer la politique de couverture d’audit
488
• Lier chaque entité auditable à un objectif de
gestion clef du ministère et à l’évaluation du
risque correspondante
– Ceci permet de conserver l’objectif de gestion et
les risques associés en considération depuis la
phase de planning jusqu’aux phases d’exécution et
de reporting
– Noter qu’un objectif de gestion peut correspondre
à plusieurs entités auditables et vice versa
– Points Clefs:
• Ne pas essayer de tout auditer mais focaliser l’audit sur les
objectifs de gestion liés à l’entité auditable; et
• Produire une assurance sur l’atteinte des objectifs dans les
délais

489
 Les Ressources Nécessaires à l’Exécution du
Plan ABR –
q Les normes IIA Standards précisent les conditions
d’exercice de la pratique professionnelle de l’audit interne:
• Normes de qualification des auditeurs internes (série
1000):
– Indépendance
– Objectivité
– Compétence et conscience professionnelle
• Normes de fonctionnement (série 2000) [qui peuvent être
développer dans un prochain atelier]

Ø Deux défis majeurs se posent à l’audit interne lors de la

mise en oeuvre de la méthode ABR:
– Humain
– Financier
490
 Ressources Humaines: Développement
d’un Cadre Professionnel et de la
Compétence du Personnel d’Audit (1/5)
• Le responsable de l’audit doit s’assurer que le
département d’audit interne, dans son ensemble,
posséde les compétences et capacités
nécessaires à la mise en oeuvre de la méthode
ABR:
– Leadership developpé au sein de l’’équipe
– Professionalisme défini et encouragé
– Normes de qualité interne définies et appliquée
– Revue de la bonne application de ces normes:
• Auto-évaluation
• Revue par ses pairs
• Revue qualité externe [“qui audite les auditeur?””)
491
Ressources Humaines: Aligner le Système
de Gestion de la Performance autour de la
Méthode ABR (2/5)
Développer une stratégie ABR:
• Définir des buts (départementaux et individuels)
• Former à la méthode et ses composantes
• Formation des formateurs
• Développer des ‘champions’ ABR, points focaux
et réseau de partage des connaissances
• Promotion basée sur les compétences
démontrées et les connaissances
• Mesurer les progrès réalisés
492
 Ressources Humaines: Introduire la Méthode
ABR à tous les Niveaux de l’Equipe d’Audit (3/5)

qAdopter une stratégie de développement:

• Utiliser le concept de ‘champions’ pour:
– Amener tous les auditeurs concernés par la
méthode ABR vers un niveau requis de
connaissance et maîtrise des techniques
• Mesurer le progrès du personnel formé
• Traiter les problèmes et défis au fur et à
mesure de leur survenance (et les anticiper)
493
 Ressources Humaines: Décider Quand il Est
Utile de Faire Appel à des Experts Extérieurs
(4/5)
• Développer une politique sur l’emploi d’experts
externes:
– Le type de risque et l’entité auditable détermine les
compétences nécessaires – commencer par là
– Reconnaitre les manques internes
– Effectuer une analyse des écarts de compétence (skills
gap analysis)
– Revues critiques demandant une intervention courte
– Assurez-vous du transfert de connaissance vers la
fonction d’audit interne
– Utilisez les procédures de détachement

494
 Ressources Humaines: Les Besoins
Professionnels à Plus Long Terme (5/5)
• Mettre en place une stratégie qui augmente le
professionalisme
• Identifier les formations et certifications utiles
à l’approche d’audit par les risques
• Encourager comme condition d’entrée la
connaissance de base de l’approche par les
risques
• Travailler avec les institutions de formation sur
l’introduction de formations ABR
495
 Ressources Financières: Allocation de fonds

• Commencer par calculer pour chaque audit:

– Coût direct de personnel and charges indirectes
– Coût de l’expertise externe
– Provision pour sous-estimation
• Calculer le coût total de l’ABR
– Additionner le coût de chaque audit
• Déterminer la politique d’inclusion ou
d’exclusion des audits pour des raisons
budgétaires
496
5. Les étapes de la planification individuelle de
chaque mission et de conduite

497
• 5.1 Processus des missions d’assurance
Planifier
• Déterminer les objectifs et
le périmètre de la mission
• Connaître l’audité,
notamment ses objectifs et
ses assertions
• Identifier et évaluer les
risques (Tableau des
forces et des faiblesses
apparentes : voir
cartographie ou registre
des risques si elle existe)
• Identifier les contrôles clés
• Evaluer l’adéquation de la
conception des contrôles
• Etablir un plan de test
• Elaborer un programme de
travail
• Allouer des ressources à la
mission
Exécuter communiquer
• Réaliser des tests pour • Evaluer les observations et
collecter des preuves faire rencontrer l’information
• Evaluer les preuves • Procéder à des
rassemblées et tirer des communications provisoires
conclusions et préliminaires
• Elaborer le tableau des • Rédiger le rapport d’audit
forces et des faiblesses final
réelles • Procéder à la
• Faire des observations et communication formelle et
formuler des informelle des résultats
recommandations définitifs
• Mettre en œuvre des
procédures de surveillance
et de suivi
498
5.2 Outils de planification et de réalisation d’une mission d’assurance
Mission assurée par :
Mission supervisée par :

Tableau des risques Tableau des forces et faiblesses apparentes Matrice des risques et Contrôles
Evaluation
Force: préliminaire
Faiblesses: Evaluation
Contrôles des risques Evaluation de
Points de Bonnes Contrôles adéquation Conclusion
Internes (opinion) Résultat du l’Efficacité
Finalité / contrôle ou pratiques / Internes Clefs Commentaires conception Résultat du Générale Réf. FAR
Risques Clefs - Risque test Opérationnell
Réf. Objectif étapes clefs Impacts Moyens du manquants ou /Justifications ou test (satisfaisant / à (n/a si non
potentiel existants ou Elevé (Conclusion e des
de CI du CI CI, inadéquats / Explications Architectur (Conclusion) améliorer / non applicable)
adéquats - Risque ) Contrôles
observables ressources pour mitiger le e des satisfaisant)
pour mitiger Moyen Identifiés
risque Contrôles
le risque - Risque
Faible

499
1. Plan d’action (plan de mitigation ou de management des
risques)

• A la suite de la cartographie, la stratégie de Traitement du Risque

(Bonnes pratiques + 4Ts : Traiter, Tolérer, Transférer, Terminer) ou
plan de mitigation doit faire l’objet d’un plan d’action proposé par les
opérationnels.

e Le plan de mitigation ou de management des risques joint

à la cartographie reprend les informations suivantes :

– Risques
– Cotation (et rang de priorité)
– Objectif (Activité/tâche)
– Action de remédiation (recommandation)
– Période retenue pour la mise en œuvre
– Responsable de l’action
– Coût estimatif
 •Plan de management des risques

Classement Objectif Actions Période Responsable Coût Indicateur de

retenue de l’action
(Activité (Recom estimatif suivi
pour mise
/tâche) mandati
Risques Coef Rang de en œuvre
on)
Risque priorité

a 25 1

b 22 2
Nota : le plan d’action est validé avec le propriétaire du risque (visé par
le responsable de l’entité)

2. La gestion des incidents, rapport et mise à jour du

registre des risques
• La mise en place d'un système de reporting à la hiérarchie concernée
de mise en œuvre du plan de mitigation complète le dispositif.

ü Le registre des incidents (manuel ou automatisé) donne les

indications suivantes :
• risque
• cotation
• propriétaire (responsable de la surveillance)
• sources de données
• méthode de collecte
• Fréquence de la surveillance
• Résultat observé
• Observations
• Un reporting périodique sur les incidents est fait à la
hiérarchie et à l’audit interne par les responsables
des risques (le suivi peut être automatisé).

• L’audit interne diligentera également des missions

de suivi des missions de suivi de la mise en œuvre
des plans d’action de management des risques.
• Ces actions conjuguées permettent la mise à jour :
– des tableaux de bord de suivi des risques
– et de la cartographie des risques.
 L’Ultra-Synthèse : l’outil de surveillance du top
management
• Suivi des mesures de réduction du risque :
- Couverture global ;
- Risques par risques (si significatif).

• Suivi des plans d’action

• Une vision dynamique de la maîtrise des risques :

– Prise en compte des plans d’actions ;

– Accent mis sur les variations affectant les risques principaux.

 Actualisation
• But : prendre en considération les changements affectant l’environnement de
la structure (Ministère) via une mise à jour régulière des données relatives au
dispositif de maîtrise des risques.
Ø Trois formes majeures d’actualisation :
1. Le suivi permanent des données relatives aux risques majeurs (mesure
de l’efficacité des dispositifs de contrôle interne et des progrès des
plans d’action) ;

1. L’enrichissement en continu des données « risques » du domaine.

Ø Sources : rapports d’audit, collecte des incidents, questionnaire…

2. L’actualisation annuelle de la démarche .

Pour finir les Conditions du Succès de la démarche

Soutien des Engagement du

ministères pilotes personnel

Volonté et Evaluation et
Implication des Accompagnement
politiques ponctuel externe

507
 Facteurs clefs de succès de l’approche ABR
Établir et utiliser une méthode au niveau des Corps de Ctr …

• L’introduction de la démarche de maîtrise des risques doit débuter

systématiquement par un travail méthodologique formalisé
 Synthèse des étapes de la démarche
Les principaux “entrants” de
la démarche sont…
1 des Identification et description
processus d’activité /Ministère
Analyse de l’évolution
Evaluation globale du système des activités / M / DCI
2 De management des risques / M
Recensement
Identification et évaluation d’incidents / M / DCI
3 des risques inhérents /M 9 actualisation
Ateliers
4
Identification et évaluation
du contrôle interne clef /M
8 Reporting Créatives

7 Plan d’audit /G
5 Evaluation des risques résiduels/M Rapports
d’audit

6 Acceptation des risques ou

élaboration de plans d’action/M Ateliers et
analyses thématiques et de priorisation
La Démarche de travail Général carto & Plan ABR

Définition / Mise à jour politique de couverture

pluriannuelle et annuelle

Entretiens annuels avec les responsables processus

risques Métiers et supports / Revue documentaire
clefs pour la compréhension des objectifs / risques
stratégiques et opérationnels

Cartographie des risques (Inhérents, CI, résiduels)

Proposition d’un Plan de Mitigation

des risques (recommandations) pour
traiter les risques

Elaboration / actualisation plan d’audit

pluriannuel basé sur les risques / Plan annuel
510
BIBLIOGRAPHIE SOMMAIRE

• Coopers et Lybrand, IFACI, la pratique du contrôle interne, Editions d’organisation, 3ème édition, 2015
• Kaplan et Norton, the Balanced Scorecard : Translating Strategy into Action, Boston: HBS Press, 1996
• Micheal Brassard et Diane Ritter, le Memory Jogger II, GOAL/QPC, The little book of bad excuses, Software program
managers network, 1998
• Jean – Paul Louisot, Gestion des risques, 100 questions pour comprendre et agir, AFNOR Editions, 2005
• Pascal Kerebel, mise en œuvre d’un contrôle interne efficace via un ERP, AFNOR Editions, 2007
• Phylippe Noirot, Jacques Walter, 100 questions pour comprendre et agir, le contrôle interne, AFNOR, 2009
• Alain-Gérard COHEN, Contrôle interne et audit publics, IFACI, LGDJ, 2008
• Frédéric Bernad, Rémi Gayraud, Laurent Rousseau, Contrôle interne, Maxima, Paris, 2008
• P. SCHICK, J. VERA, O. BOURROUILH-PAREGE, Audit interne et référentiels de risqué, DUNOD, Paris, 2010
• Pierre WINICKI, Réussir une réforme publique, DUNOD, Paris, 2007
• Andre Barilari, Michel Bouvier, La Nouvelle gouvernance financière de l’Etat, LGDJ, 2004
• Mohamed Hamazaoui, Gestion des risques d’entreprise et contrôle interne, Village Mondiale, Pearson Education France,
2005
• Sandra Curaba , Yannick Jarlaud , Salvatore Curaba, Evaluation des risques, Comment élaborer son document unique ?,
AFNOR, 2009
• Thierry Malleret, Sean Cleary, Klaus Schwab, Risques - Perception, évaluation, gestion, Maxima Laurent du Mesnil
éditeur, 2006
• The Role of Internal Auditing in Enterprise-wide Risk Management, International Professional Practices Framework
Position Paper (Altamonte Springs, FL: The Institute of Internal Auditors. 2009).
• « La cartographie: un outil de gestion des risques » Ed. AMRAE;
• IFACI , PriceWaterhouseCoopers ,Xandwell, Villepele V. (2005), Le management des risques de l'entreprise : Cadre de
référence - Techniques d'application, Ed. Organisation ...
• Cadre de référence de la gestion des risques (2003). FERMA, téléchargeable à l'adresse
http://www.amrae.fr/docs/MR/AMRAE/doc-acces-libre/fermacadrereferencerms-french.pdf
• Thierry Malleret (Auteur)
• › Consulter la page Thierry Malleret d'Amazon
• Trouver tous les livres, en savoir plus sur l'auteur.
• Voir réultats de recherche pour cet auteur
• Etes-vous un auteur? Infos sur La Plate-forme Auteurs
 Points de la planification
1. Rappel du planning de la phase d’élaboration de la cartographie,
du plan d’audit et de mitigation des risques
2. Validation des organigrammes des ministères
3. Choix des processus clés et finalisation des matrices
4. Constitution des équipes, choix des points focaux et affectation
des processus
5. Logistique, fournitures et prise en charge
6. Préparation de la réunion d’ouverture (Date, lieu, revue des slides,
etc.)
7. Revue des slides (Lancement ou ouverture)
8. Revue de la matrice d’analyse des risques
9. Revue du kit minimum
10. Constitution du dossier permanent
PLANNING PREVISIONNEL DE LA MISSION D’ELABORATION D’UNE
CARTOGRAPHIE DES RISQUES, LA FORMATION DES CADRES ET LA MISE EN
OEUVRE DE L’APPROCHE D’AUDIT BASE SUR LES RISQUES AU NIVEAU DE SEPT
(7) MINISTERES DU BÉNIN :
§ Ministère de la Justice et de la Législation (MJL),
§ Ministère des infrastructures et des transports (MIT),
§ Ministère de l’Économie Numérique et de la Digitalisation (MEND) ,
§ Ministère de la Communication et de la Poste (MCP)
§ Ministère de l’Eau et des Mines (MEM),
§ Ministère de l’Énergie (ME)
§ Ministère du Plan et du Développement (MPD).

Réf. Activités Période Livrables

PHASE 1 : APPUI A L’ELABORATION DE LA CARTOGRAPHIE, DU PLAN DE MITIGATION ET D’AUDIT
DES SIX (06) MINISTERES
1.1 PREPARATIFS Début phase 1

- Préparer avec l’IGF et le comité ad hoc et Guide ou Cahier du participant (+

le PAGIPG, des différentes phases de la Kit du Cartographe y compris les
mission (Mise en place d’une cellule matrices des risques des
interne de projet (CIP), planning, ministères)
logistique, etc. ;
Février 2021
- Préparation de la session de formation
des acteurs impliqués (au moins 360
personnes: auditeurs et managers) avec
l’IGF et PAGIPG (y compris la conception
du guide méthodologique avec les outils
d’indentification, d’analyse et de traitement
des risques)
1.2 FORMATION Du lundi 01 au
Assurer la formation de tous les acteurs vendredi 19 Mars - Rapport sur le déroulement de la
impliqués (les inspecteurs et vérificateurs 2021 : formation et la planification (Macro
de l’IGF et des autres structures, des autres • Lundi 01 au – programme, processus clés et
inspections et des managers des six (06) Vendredi 05 Mars organisation des équipes,
ministères, etc.) aux concepts 2021 : Atelier de inventaire des risques, etc.)
fondamentaux, à la méthodologie et aux formation du 1er
groupe
outils d’élaboration de la cartographie - Finalisation des matrices
• Lundi 08 au
des risques, du plan de maîtrise (ou de d’élaboration de la cartographie
Vendredi 12 Mars
mitigation) des risques et du plan 2021 : Atelier de des risques
d’audit basé sur les risques y compris la formation du 2e
sensibilisation sur le risque de la fraude groupe
+ Planification de la mission • Lundi 15 au
Vendredi 19 Mars
2021 : Atelier de
formation du 3e
groupe
1.3 TRAVAIL TERRAIN
Appuyer les équipes pour dresser une
cartographie des risques des six (6)
Ministères (i), Élaborer le plan de mitigation
ou d'actions pour la maîtrise des risques
(ii) ; Élaborer le plan d’audit pluriannuel
basé sur les risques des six (06) ministères
(iii) et choisir une mission à forte valeur
ajoutée à conduire sur le terrain (iv)
1.4 COMMUNICATION :
Élaborer et restituer le projet de rapport de
la cartographie à la haute hiérarchie des 6
ministères concernés, les propriétaires des
risques
1.5 CONTROLE QUALITE :
Assurer le contrôle qualité de la phase 1,
Finaliser, transmettre le projet de rapport
de mission et les rapports finaux de la
phase 1.
Du Lundi 22 Mars au
Vendredi 16 Avril Planification et Travail terrain
2021 d’identification et d’analyse des
risques dans les 6 ministères :
§ (1) Ministère de la Justice et de
la Législation (MJL),
§ (2) Ministère des Infrastructures
et des Transports (MIT),
§ (3) Ministère de l’Économie
Numérique et de la Digitalisation
(MEND) ,
§ (4) Ministère de l’Eau et des
Mines (MEM)
§ (5) Ministère de l’Énergie (ME)
§ (6) Ministère du Plan et du
Développement (MPD)
Du lundi 19 au Projet de rapport et restitution à la
vendredi 30 Avril haute hiérarchie :
2021 - Cartographie des risques des Six
(6) Ministères concernés ;
- Plan de mitigation ou d'actions
pour la maîtrise des risques ;
- Plan d’audit stratégique 2021-
2025 basé sur les risques
Du lundi 03 au Rapport de mission phase 1
vendredi 14 Mai Fin phase 1
2021
PHASE 2 APPUI A LA CONDUITE D’UNE MISSION D’AUDIT SELON LES NORMES IIA DANS LES 6
MINISTÈRES
2.1 FORMATION APPROFONDIE DES
AUDITEURS (ET DES MANAGERS DES
STRUCTURES À AUDITÉES) sur la
méthodologie et les outils de conduite
d’une mission d’audit individuel basé sur
les risques selon des normes d’exercice
professionnel de l’IIA
2.2 PLANIFICATION DE LA MISSION
2.3 EXECUTION DE LA MISSION (conduite
des vérifications sur le terrain) : Tester les vendredi 09 Juillet partir des MRC et des FAR
contrôles
2.4 COMMUNICATION :
Élaborer et restituer le projet de rapport
d’audit aux audités) et Finalisation des
dossiers (Permanant et courant) et
contrôle qualité (Rapport de revue qualité
des travaux et Rapport global de la
mission)
Du lundi 31 Mai au Début phase 2
vendredi 04 Juin Guide ou cahier de conduite des
2021 missions ABR selon les normes
d’exercice professionnel IIA
Du lundi 07 au - Avec les audités
vendredi 11 Juin - Finalisation des matrices
2021 d’audit
- TARIR, TFfa, Programme de
vérification, Feuilles de
couverture
- Réunion d’ouverture
- Rapport sur le déroulement de
la formation et la planification
Du lundi 14 Juin au Tests et évaluation définitive à
2021
Du lundi 12 au - Projet de rapport et restitution
vendredi 30 Juillet aux audités
2021 - Rapport de mission d’audit de
chaque Ministère + un plan
d’action de mise en œuvre des
recommandations
- Guide de conduite des
missions ABR
- Rapport d’analyse de la
pratique avec les normes IIA et
recommandations
- Rapport global de la mission
Fin phase 2
Validation de l’organigramme et choix
des processus clés par ministère
• Textes fondateurs (organigramme)
• Validation de l’univers d’audit et de
management
• Processus clé retenus
• Finalisation des matrices
 Constitution et répartition des
équipes par processus clé
• Directeur de mission
• Chefs de mission et constitution des équipes
• Affectation des processus
• Choix des points focaux
 Réunion d’ouverture
• Date et heure par ministère
• Revue des slides
 Revue des livrables
1. Fiche de description des postes
2. Matrice d’analyse des risques (cartographie,
plan d’audit et de mitigation des risques)
3. Dossier permanent (Lettre de mission, PV de
la réunion d’ouverture et de restitution sur
site, PV de restitution du rapport provisoire,
etc.)
1. Textes de la réforme
2. Kit du cartographe des risques (fichiers séparés)