Académique Documents
Professionnel Documents
Culture Documents
MINISTÈRES
Total 3 6/6
1. Contexte et jus+fica+on
•L’internalisa+on des direc+ves de l’UEMOA de 2009,
engage une dynamique de modernisa2on sans
précédent de la ges2on publique.
Avec la promulga2on de la Loi organique 2013-14 du
27/09/2013, l’État bascule d’une logique de moyens à
une logique de résultats et s’engage résolument dans
une démarche de performance visant l’améliora2on de
l’efficacité des poli2ques publiques à travers l’approche
programme, avec comme leviers la GAR, ABR (contrôle
interne et management des risques : art 16).
L’ article 9.2 de la Convention des Unies de
2003 contre la Corruption précise en effet
• Chaque État par,e prend, conformément aux
principes fondamentaux de son système
juridique, des mesures appropriées pour
promouvoir la transparence et la
responsabilité dans la ges,on des finances
publiques.
• ➡Ces mesures comprennent notamment:
a) Des procédures d’adoption du budget
national;
b) La communication en temps utile des
dépenses et des recettes ;
c) Un système de normes de comptabilité et
d’audit, et de contrôle au second degré ;
d) Des systèmes efficaces de gestion des
risques et de contrôle interne, et
e) S’il y a lieu, des mesures correctives en cas de
manquement aux exigences du présent
paragraphe
Ø Article 12 de la DIRECTIVE N° 06/2009/CM/UEMOA DU 26 JUIN
2009 PORTANT LOIS DE FINANCES AU SEIN DE L’UEMOA (Art 14 Loi
Organique n°2013-14 du 27 septembre 2013 relatives aux Lois des
Finances au Bénin)
8
Ø Article 13 de la DIRECTIVE N°
06/2009/CM/UEMOA DU 26 JUIN 2009
PORTANT LOIS DE FINANCES AU SEIN DE
L’UEMOA, article 16 LOLF Bénin du 27 sep 2013;
(17 CEMAC)
• »Sur la base des objectifs généraux fixés par le
ministre sectoriel, le responsable de programme
détermine les objectifs spécifiques, affecte les
moyens et contrôle les résultats des services
chargés de la mise en œuvre du programme. Il
s’assure du respect des dispositifs de contrôle
interne et de contrôle de gestion
• Les modalités de mise en œuvre des
contrôles budgétaires et comptables prévus
par la présente Direc@ve (LOIS) ainsi que par
la Direc@ve (Décret) portant règlement
général sur la comptabilité publique ;ennent
compte tant de la qualité et de l’efficacité du
contrôle interne que du contrôle de ges;on
pour chaque programme. Sans préjudice de
leurs missions de contrôle et de vérifica@on
de la régularité des opéra@ons financières,
les corps et ins@tu@ons de contrôle, ainsi que
la Cour des comptes, contrôlent les résultats
des programmes et en évaluent l’efficacité,
l’économie et l’efficience. »
En ce qui concerne la rénovation du
contrôle
• L’Ar%cles 94 de la Direc*ve n°07/2009/CM/UEMOA
(ou, ar'cles 115, 116, 118 et 119 du Décret Béninois
du 7 octobre 2014,) portant règlement général sur la
comptabilité publique précise que « Les organes et
corps de contrôle exercent leurs missions d’inspec%on,
de vérifica%on ou d’audit, conduisent leurs
inves%ga%ons et élaborent leurs rapports
conformément (à la règlementa%on qui les régit) aux
normes interna%onales en vigueur. »
• Voir également ar%cle 90, 91, 93 Direc%ve RGCP
11
ØCes articles fixent les normes d’exercice
professionnel des contrôles internes : ces
normes sont les normes internationales en
vigueur.
• L’exigence de qualité de ces contrôles est
donc la plus élevée.
12
La maison des normes nouvelles : la NGP promu par le Directive 09/2009 UEMOA
Audi externe
Inspection
(Lutte Contre Audit
la Fraude Supérieur
Responsabilité managériale
Tableau 1 : L’ancien et le nouveau système
Instance suprême
fixe L'Administration Le contrôle
(Roi, Parlement) +
Les obligations
1- Ancien système Vérifie
Les modalités
Loi, (décrets, règlements, Exécute (la régularité)
...
etc.) Sanctionne
TOUT
Évalue
(l'efficacité)
2- Nouveau système
Les objectifs Gère Mesure
Programme
Les résultats choix des moyens et (des (les résultats)
(revolving en fonction des
Les outils modalités) Recommande
résultats)
(des
améliorations)
CMMR
corps externes
4 ème niveau
audit externe (CdC), CAC, BAI
1 er niveau management
opérationnel ou fonctionnel
Les trois types de contrôles – Différences
Maîtrise des risques et audit interne :
le cercle vertueux
Maîtrise des risques Audit interne
36
• À l’instar d’une entreprise dans laquelle la
survenance d’un risque majeur, de niveau
stratégique ou opéraBonnel, peut entrainer sa
faillite et sa dispariWon, un État se doit
d’anWciper tout risque majeur, systémique, qui
affecterait :
– sa souveraineté́,
– sa sécurité
– son image,
– sa capacité́ d’acCon et de délivrance des service
publics,
– sa situaCon financière ou sa gesCon, au détriment des
citoyens.
37
• Chaque ministre en charge d’une poli+que
publique sait que, pour réussir les missions
pour lesquelles il a été́ nommé, il doit
impéra+vement se prémunir des principaux
risques pouvant compromeMre leur bonne
réalisa+on.
38
• Ce#e approche managériale d’an3cipa3on
est pourtant encore ignorée ou sous-u3lisée
par :
– les dirigeants publics,
– responsables administraBfs
– comme poliBques.
• Les ministres ont désormais a leur
disposi3on, 2 nouveaux organes pour les
accompagner :
– Le CMMR
– Le CMAI (supervisant l’acBvité de l’audit
interne assuré par les IGM)
39
• La valeur ajoutée d’une démarche de
maitrise des risques dans chaque
ministère, est désormais organisée sur la
base :
– du contrôle interne (CI) : qui est un mode de
responsabilisa+on des managers publics sur des
risques affectant les poli+ques qu’ils meUent en
œuvre
– et de l’audit interne (AI) : qui met sous
tension et évalue le contrôle interne dans une
logique de responsabilisa+on pour une
améliora+on con+nue
40
• Ainsi le CMMR permet à l’État de mieux
an+ciper ses risques :
– d’abord en les cartographiant afin d’en avoir une
meilleure connaissance et de pouvoir les
hiérarchiser ;
– ensuite, en proposant à temps des réponses
durables pour éviter que ces risques ne puissent
se concré2ser (plan de mi2ga2on).
– Enfin il apporte un ou2ls précieux à l’audit
interne pour l’élabora2on de son PAIR, orienté
sur les risques majeurs pouvant empêcher
l’aceinte des objec2fs du ministère
41
42
II.1 Un corpus juridique mis en place, cons+tué
par :
– le décret n° 2018-396 du 29 Aout 2018 portant
réorganisa2on des organes de contrôle en
République du Benin ;
– le décret n° 2018-397 du 29 Août 2018 portant
approba+on du cadre de référence de l'audit
interne dans l'administra+on de l'État en
République du Bénin ;
– le décret n° 2018-398 du 29 Août 2018 portant
statuts par2culiers des corps de contrôle de
l'ordre administra2f en République du Bénin
II.2 Organisa<on du contrôle et de
l’audit interne dans l’administra<on
• Remettre les ministres sectoriels au cœur du
dispositif de contrôle interne des ministères avec la
création
– de Comités Ministériels de Maîtrise des Risques - CMMR
– de Comités Ministériels d’Audit Interne – CMAI
• Placer les IGM chargées de l’audit interne dans les
ministères :
– sous la supervision technique des CMAI,
– Coordonnées par l’IGF chargée du suivi des suites données
aux principales recommandations des audits dans les
différents ministères
COMITÉ MINISTÉRIEL DE MAÎTRISE DES RISQUES – CMMR
Autorité : Secrétaire Général du Ministère
Mission :
Maîtriser les risques pouvant affecter l'efficacité des services en contribuant à renforcer le
dispositif de contrôle interne des Ministères
49
DÉFINITION DU CONTRÔLE
• Le COSO1, instance de référence internaWonale
en maWère de gesWon des risques, de contrôle
interne et de prévenWon des fraudes, a défini le
contrôle interne comme « le processus mis en
œuvre par l’organe d’administraWon, les
dirigeants et le personnel d’une organisaWon
desWné à fournir une assurance raisonnable
quant à la réalisaWon de ses objecWfs liés aux
opéraWons, à la conformité et aux reporWng ».
• ☞COSO =Commicee of Sponsoring Organiza2ons of
the Treadway Commission
50
DÉFINITION DU MANAGEMENT DES RISQUES
DONNÉE PAR LE COSO2 RÉVISÉ 2017
• « Le processus mis en œuvre par le Conseil
d'administration, la direction générale, le
management et l'ensemble des collaborateurs de
l'organisation. Il est pris en compte dans
l'élaboration de la stratégie ainsi que dans toutes
les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles
d'affecter l'organisation et pour gérer les risques
dans les limites de son appétence au risque. Il
vise à fournir une assurance raisonnable quant à
l'atteinte des objectifs de l'organisation. »
51
• La maitrise des risques doit être l’affaire de
tous.
• Tous les agents de l’État, des gestionnaires aux
plus hauts responsables, sont concernés par
sa mise en œuvre
52
➢Elle repose sur deux piliers :
53
• 2/ l’obliga+on de disposer d’un système
d’audit interne (IGM) en charge d’évaluer et
d’améliorer ce disposi+f de contrôle interne
de façon con+nue.
• L’audit interne doit alors présenter toutes les
garan,es :
– d’indépendance (créa2on de corps, CMAI, mise à
disposi2on de moyens Art 25),
– de compétences et de crédibilité́ pour apporter
une réelle plus-value aux ministères.
54
• Le CMMR qui réunit l’ensemble des directeurs
vise à piloter cece démarche de contrôle
interne dans son ensemble, sur tout le
périmètre ministériel, en incluant :
– les fonc+ons support
– et les fonc+ons mé+ers.
• La maitrise des risques s’applique
ainsi a:
– ̀ tous les mé+ers,
– Tous niveaux hiérarchiques confondus.
55
Ø Les responsabilités spécifiques du CMMR sont :
• définir des poliWques de management des
risques, y compris les rôles et les responsabilités,
et parBciper à la fixaBon des objecBfs de mise en
œuvre (charte de contrôle interne et de
management des risques) ;
• définir, au sein des différentes unités du
ministère, les personnes responsables du
management des risques (les directeurs qui sont
les points focaux);
• promouvoir le management des risques dans
toute le ministère, en facilitant le développement
d'un savoir-faire technique et en aidant les
responsables à meWre en œuvre des traitements
du risque en foncBon des tolérances au risque de
l'organisaBon ;
• aider à intégrer le management des risques dans les
ac*vités de planifica*on et de management (sou'en
du DPP) ;
• établir un langage commun de management des
risques qui intègre des indicateurs homogènes rela*fs
à leur probabilité et à leur impact et qui définisse des
catégories communes de risques du ministère ;
• faciliter le développement par les managers de tableau
de bord qui *ennent compte de seuils quan*ta*fs et
qualita*fs et superviser le processus de repor*ng (avec
l’aide du DPP);
• rendre compte au Ministre, au CMAI et à l’IGF à la
fois :
– des progrès
– et des résultats atypiques ou anormaux
– et recommander et suivre la mise en œuvre les acMons
nécessaires (plan de miMgaMon).
• faire adhérer les acteurs mé+ers du contrôle
interne, et plus spécifiquement les managers :
– à l’iden2fica2on, l’analyse
– et à l’évalua2on des principaux risques placés
sous leur responsabilité
– à la hiérarchisa2on des risques validée par le
CMMR donnant une cartographie ministérielle des
risques
– Assor+t d’un tableau de bord de la ges+on des
ac+ons de préven+on des risques engagées par le
ministère (plan de mi+ga+on)
58
• La cartographie fait notamment par,e des
informa,ons u,les à l’Audit Interne (IGM et
IGF) pour pra+quer une analyse globale des
risques
• La cartographie des risques ministériels établit
et validée CMMR cons+tue un point d’appui
important au CMAI pour discuter et pour
approuver le plan d’audit interne, au regard
des risques iden+fiés comme prioritaires.
59
• La cartographie est aussi un support de
discussion et de partage entre les services
opéra+onnels.
• Elle permet d’installer le dialogue de ges+on
et un temps d’échange entre des services qui
se rencontrent peu fréquemment et de
décloisonner l’informa+on au sein des
organisa+ons.
60
III.4 Fonc4onnement du CMMR
• 1. La charte de contrôle interne et de
management des risques : Le CMMR doit
élaborer une charte de interne et de
management des risques précisant le
référen+el u+lisé, les rôles, responsabilités et
les ou+ls de mise en œuvre et de pilotage du
disposi+f de contrôle interne et de
management des risques (voir support de
forma+on des acteurs des 7 ministères)
61
• 2.Plan annuel (4 réunions au moins)
• Pour s’assurer de s’acquitter convenablement
de ses responsabilités, le CMMR doit
élaborer un plan annuel d’activités couvrant
ses domaines de responsabilité
• Ce plan doit intégrer un planning de
réalisation / actualisation de la cartographie
des risques du ministère (associée aux
échéances budgétaires) : voir projet proposé
62
• 3. Réunions (au moins 4 par an)
• Le nombre de réunions tenues chaque année
dépendra largement de la portée et de la
nature du travail des CMMR.
• L’efficacité générale des CMMR dépendra de
la qualité́ de la prépara+on des réunions par
le SGM et le DPP qui assure le secrétariat
(rapporteur).
63
• 4. Aeentes à l’égard du CMMR
➢Concevoir
• développer le disposiWf de contrôle interne, le
promouvoir et piloter sa mise en œuvre dans
l’ensemble du ministère.
• définir, à parBr des orientaBons sectorielles,
l’organisaWon du disposiWf de contrôle interne
(poliBque, processus de pilotage, responsabilités
des différents acteurs…) : Charte de contrôle
interne et de management des risques
• meWre à disposiBon des guides méthodologiques
et des ouBls et en assurer la mise à jour.
64
➢ Accompagner
• Sensibiliser les managers aux meilleures
pra,ques de contrôle interne.
• Contribuer à l’harmonisa,on des pra,ques en
diffusant une culture commune notamment
en termes d’intégrité et d’ahtude vis-à-vis des
risques.
65
• Sensibiliser et former les managers et leurs
collaborateurs aux meilleures pratiques de
contrôle interne
• Contribuer à la conduite du changement en
anticipant et en accompagnant les
transformations nécessaires à l’amélioration
de la performance et de la maîtrise des
activités.
66
• Animer le réseau des points focaux de contrôle
interne (Directeurs centraux et techniques).
• Aider les managers à décliner les direcBves et
orientaBons ministérielles dans des guides
praBques précisant les facteurs de risques et les
acWvités de contrôle correspondantes.
• Piloter le programme d’auto-évaluaWon du
contrôle interne et assurer une assistance à sa
mise en œuvre par les direcBons opéraBonnelles
et foncBonnelles.
• Meere en place les ouWls et les indicateurs de
suivi de l’efficacité du disposiWf de contrôle
interne.
67
• S’assurer du suivi de l'efficacité du disposi,f de
contrôle interne notamment à travers le suivi
de la mise œuvre des plans d’ac+ons et la
réalisa+on de certains plans de tests.
• Organiser les autocontrôles (par exemple en
testant la mise en œuvre d’ac,vités de
contrôle ou de plans de résolu,on de
défaillances)
68
➢ Rendre compte
• Traiter, consolider, commenter les informa,ons
(auto-évalua,ons, remontées d’indicateurs par
les animateurs du contrôle interne …) et le DPP.
• Préparer les communica,ons internes et
externes rela,ves au contrôle interne (CMAI,
IGF, etc.).
• Élaborer le rapport sur le contrôle interne et la
ges+on des risques adressé au CMAI, l’IGF,
IGM, etc. sur niveau de maitrise des risques et
des contrôles
69
• 5. AVentes à l’égard du président du CMMR
• Élaborer avec les membres la Charte de contrôle
interne et de management des risques et l’adopter
• Préparer le plan annuel du CMMR en collabora*on
avec les membres
• Surveiller les prépara'fs pour les réunions du CMMR
(ordre du jour, transmission des documents en temps
opportun, etc.)
• Présider les réunions du CMMRI (faciliter les
discussions, établir le consensus, inviter les
fournisseurs externes des services d’assurance à
par*ciper pour discuter des plans , conclusions, etc.)
• Diriger le processus d’auto-évalua*on du CMMR
70
• 6. A9entes à l’égard des membres du CMMR
• Bien connaitre les référen/els de contrôle interne et de
management des risques
• bien connaitre le CRAIE et les textes de la réforme qui
s’appliquent à leur travail
• Maîtriser les ou/ls d’élabora/on de la cartographie des
risques et du plan de mi/ga/on
• Conduire les ac@vités d’inden@fica@on / actualisa@on de
la cartographie des risques et du plan de mi@ga@on
• bien connaitre la portée de l’audit interne et les limites de
leurs champs d’ac@on
• Bien préparer et par/ciper ac/vement aux réunions
• Promouvoir une culture de communica/on ouverte,
honnête, respectueuse et directe entre les membres du
CMMR et le CMAI
71
• 7. SouWen de la part du Ministère
• Les ministres veillent à doter les organes de
contrôle de I 'ordre administraBf de leur
département ministériel de moyens humains,
matériels et financiers adéquats pour la
réalisaBon de leurs programmes d’acBvités tels
que validés par les Comités Ministériels d'Audit
Interne (arWcle 25 du décret précité).
• Pour effectuer son travail, le CMMR a besoin du
souWen du Ministre et du CMAI, en parWculier
de l’IGM et l’IGF (qui conserve son
indépendance) pour un appui méthodologie.
• Il s’agit d’un souBen technique et logisWque
72
• Il pourrait s’agir, notamment :
– De fournir de la documentaCon et des informaCons
– L’appui à l’élaboraCon / actualisaCon de la
cartographie des risques et du plan de miCgaCon
– Mise à disposiCon de vidéo projecteurs et
d’ordinateurs
– de réserver des salles de réunion
– d’organiser des déplacements,
– de préparer des rapports et des chartes,
– d’effectuer des recherches sur certains sujets
– et d’assurer la liaison avec les acteurs impliqués.
73
8. KIT DU MEMBRE DU CMAI
• 1. Renseignements généraux sur le ministère
• Textes fondateurs (AOF)
• Organigramme nomina,f
• Cartographie des risques et plan de mi,ga,on
(récent)
• Plan et poli,que sectoriels
• Programmes, responsables
• Codes de valeurs et d’éthique
74
• 2. Rapports sur la reddiWon des comptes
ministériels
• Cadre de Dépenses Moyen terme (CDMT)
• Projet annuel de performance (PAP) et rapport
annuel de performance (RAP) des 3 dernières
années
• 3. Documents sur le contrôle interne
• PoliBque de contrôle interne et Charte, manuel
• OuBls d’élaboraBon / actualisaBon de la
cartographie du plan de miBgaBon
• 4. Liste des rapports récents de l’IGM et des
autres organes de contrôle
75
• 5. Documents du CMAI
• Charte du CMAI
• Plan annuel
• Rapport annuel
76
2. Objec4f global de la forma4on
Exposés :
N° Fiches Titres / Contenu Stratégie d’animation
Étude de cas : Lecture et
Étude de cas introductif (voir fin du commentaire (L'Eau à Dakar :
document : page 107) : MANAGEMENT Services publics, intérêts privés et
Cas DES RISQUES ET RESPONSABILITE choix stratégiques)
DES GOUVERNANTS
88
Historique
¡ Depuis le 23 avril 1996, la sénégalaise des eaux (SDE)
actuellement filiale d’Eranove, l'un des leaders mondiaux de
la gestion déléguée des services publics, assure la
production et la distribution d'eau dans les principales villes
sénégalaises, soit près de quatre millions d'habitants
desservis
94
La SDE est liée à l'État du Sénégal par un contrat
d'affermage.
L'État assure la tutelle du secteur par
l'intermédiaire des ministères de
l'Hydraulique et des Finances.
Les missions de la SDE sont :
¡ Exploitation et entretien de l'infrastructure et du matériel
¡ Renouvellement du matériel d'exploitation
¡ Renouvellement contractuel des réseaux, des branchements,
des compteurs et du matériel électromécanique
95
¡ Extension de réseaux financée par des tiers
¡ Étude et justification des travaux de renouvellement et
d'extension de l'infrastructure
¡ Facturation et encaissement de l'eau potable et de la
redevance d'assainissement
¡ Communication et relations avec la clientèle
96
99
¡ Un ministre du gouvernement a insisté sur le fait qu'il
faudrait au-delà de 6000 camions-citernes en rotation
permanente pour pallier la perte enregistrée du fait de
l'incident "exceptionnel"
¡ Cela devrait plutôt pousser à réfléchir sur la gravité du
risque qui a été ignoré plutôt que sur le manque de
moyens a posteriori pour faire face à la phase aigue
d'une catastrophe.
¡ Il y aura toujours des catastrophes dont l'ampleur dépasse
les capacités humaines d'anticipation, mais il faudra
bien comprendre un jour que cette volonté divine peut être
la manifestation de la négligence humaine à prendre
consciencieusement ses responsabilités.
Il faut toujours chercher à minimiser le
risque : 100
Questions :
1. La situation ci - dessus peut – elle se produire au Burkina ?
2. que vous inspire ce cas réel par rapport au projet de mise en œuvre de l’approche risque
dans le secteur public au Burkina ?
NORMES PROFESSIONNELLE, MODALITES PRATIQUES
D’APPLICATION ET PRISE DE POSITION PERTINENTES
2010 – Planification
2100 – Nature du travail
2120 – Management des risques
Modalité pratique d’application 2010-1 : Prise en compte des risques et des menaces pour
l’élaboration du plan d’audit
Modalité pratique d’application 2120-1 : Evaluer la pertinence des processus de
management des risques
Modalité pratique d’application 2210.A1-1 : Evaluation des risques dans la planification de la
mission
Prise de position : Rôle de l’audit interne dans le management des
risques d’entreprise)
Modalité pratique d’application 2010-2 : Prise en compte du management des risques dans
la planification de l’audit interne
1. Quelques défini>ons (les mots clés de
la défini>on de l’AI à comprendre)
Impact
Facteurs de risques / dommageable :
Mode de Objectif
fonctionnement compromis
aléatoires (parapluie)
Manifestation
/ Fait
Prévention Protection
Facteurs de Impact
Cause risques Conséquence
organisationnelle financière ou autre
Risque de non détection ou d’audit Lié aux procédures d’audit mises en œuvre par l’auditeur pour identifier les anomalies
provenant de l’erreur ou de la fraude
Risque cible (ou appétence pour le risque) Niveau de risque acceptable ou à atteindre. Certains risques, quelque soit leur niveau,
peuvent être considérés comme inacceptables (tolérance zéro). Ces risques doivent
être mis sous contrôle permanent car leur survenance est jugée inacceptable (par
rapport à leur impact sur les objectifs de l’entité).
Risque résiduel Risque qui subsiste malgré les dispositifs de gestion des risques mis en place. Il est à
rapprocher du risque cible définit par le management.
Il constitue la menace (danger) que le manager doit garder sous contrôle, la mission
Le risque source d’audit doit détecter, comprendre (rechercher les causes) et préconiser la gestion
(stratégie et plan d’action de gestion des risques).
Le risque concourant C’est la menace responsable (cause) du risque source. L’appréciation du risque
coucouant conduit à identifier et à analyser les causes réelles des risques en vue
de prendre les mesures adéquates (stratégie et plan d’action de gestion des
risques)
Le risque incident Il constitue la conséquence de la réalisation de la menace source. Appréciation
conduisant à prioriser les risques en fonction de leur gravité (coefficient de risque)
et d’assurer ainsi une meilleure allocation des ressources.
1. La no+on de gouvernance : « Corporate
governance »
149
② Les risques sont inhérents à tous les aspects de la
vie
• À la lumière de ceMe défini+on du risque, il
devient évident qu'une organisa=on rencontre
un grand nombre de risques lorsqu'elle
s'efforce d'appliquer sa stratégie et d'a;eindre
ses objec=fs.
150
• Cette multitude de risques pouvant entraver
significativement la bonne marche de
l‘organisation, il apparaît d'autant plus nécessaire
de disposer d'un processus qui permette :
– de comprendre
– et de gérer efficacement les risques sur l'ensemble
de l'organisation.
151
ELa définition ci- dessus très large reflète certains
concepts fondamentaux.
152
2. Le référentiel du CI, COSO1- 2013
2.1. Défini+on du contrôle interne selon le COSO
2013
153
Nota : Le rôle de l'audit interne selon le
CRIPP transposé dans le secteur public
• Transposition de la Norme 2130.A1 – L'audit interne doit évaluer la
pertinence et l'efficacité du dispositif de contrôle choisi pour faire face
aux risques, d’origine externe ou interne à l’entité, relatifs à la
gouvernance, aux opérations et systèmes d'information de l'organisation.
Cette évaluation doit porter sur les aspects suivants :
– l’atteinte des objectifs stratégiques de l’organisation
– la fiabilité et l'intégrité des informations financières et
opérationnelles ;
– l'efficacité et l'efficience des opérations et des programmes ;
– le caractère soutenable des dépenses publiques ainsi que la
protection des actifs et des informations ;
– le respect des lois, règlements, règles, procédures et contrats.
2.2. Les 17 principes structurants du COSO1 2013
• Les 5 composantes de la version initiale du
COSO sont ici officiellement déclinées :
– en 17 principes
– complétés par des points d'attention
– et des illustrations.
• Le tableau ci-dessous précise ces principes
de base.
• Les 17principes du COSO1 actualisé
2013, sont entrés en vigueur le 15
décembre 2014
155
156
157
3. Les référen+els ou cadre conceptuel de
management des risques du COSO2 (Du
COSO 1 au COSO 2) révisé en 2017
172
Composantes Principes
Exercer une surveillance des risques
1
par le conseil
Gouvernance et culture
La gouvernance donne le ton dans l’organisation, en 2 Définir les structures
insistant sur l’importance du management des risques organisationnelles.
de l’entreprise et en définissant les responsabilités de 3 Définir la culture souhaitée
surveillance de cette démarche. La culture correspond Démontrer l’engagement en faveur de
aux valeurs éthiques, aux comportements souhaités et 4
valeurs fondamentales
à la compréhension des risques dans l’entité.
Attirer, former et fidéliser des
5
personnes compétentes
173
Stratégie et définition des objectifs 6 Analyser le contexte de l’organisation
Le management des risques de l’entreprise, la stratégie 7 Définir l'appétence pour le risque
et la définition des objectifs contribuent conjointement 8 Évaluer les stratégies alternatives
au processus de planification stratégique. L’appétence
Définir les objectifs opérationnels
pour le risque est définie et ajustée à la stratégie ; les
objectifs opérationnels permettent de mettre en œuvre
la stratégie tout en servant de base pour l’identification, 9
l’évaluation et le traitement des risques.
174
Identifier les risques
Performance
Les risques qui peuvent affecter la réalisation de la
10
stratégie et des objectifs opérationnels doivent être
identifiés et évalués. Les risques sont priorisés selon
leur criticité dans le contexte de l’appétence pour le
risque de l’organisation. L’organisation sélectionne
ensuite les modalités de traitement des risques et
analyse en termes de portefeuille le niveau de risque 11 Évaluer la criticité des risques
assumé. Les résultats de ce processus sont 12 Prioriser les risques
communiqués aux parties prenantes clés concernées Mettre en œuvre les Modalités de
par les risques. 13 traitement des risques
Développer une vision globale du
14
portefeuille de risques
175
Revue et amendement 15 Évaluer les changements substantiels
En examinant la performance de l’entité, une Réexaminer les risques et la
organisation peut prendre en considération la manière 16
performance
dont les composantes du management des risques Poursuivre l’amélioration du
fonctionnent au fil du temps, et en fonction de
changements substantiels, ainsi que les éventuels
management des risques de
17 l’entreprise
amendements nécessaires.
176
Information, communication et rapports Tirer parti des données et des
Le management des risques de l’entreprise exige un
18
technologies
processus permanent d’obtention et de partage des Communiquer les informations
informations nécessaires, provenant de sources 19
relatives aux risques
internes et externes, qui sont transmises de façon
Rendre compte des risques, de la
ascendante, descendante ou transversale dans 20 culture et de la performance
l’organisation.
3.3 Modèles de Contrôle – Une Approche du
Risque et du Contrôle
risques.
Rendre compte aux organes dirigeants, notamment au comité d’audit,
du niveau de maitrise des risques et des contrôles.
D’ELABORATION DE LA
CARTOGRAPHIE, DU PLAN DE
MITIGATION ET DU PLAN
D’AUDIT BASES SUR LES
RISQUES
Séquence 2 : Comment élaborer une cartographie ou Classement : Sq2 Rédacteur :
registre des risques ? SS
Objectifs ¨ Maîtriser la démarche et les outils d’élaboration d’une cartographie des risques
¨ Maîtriser les techniques d'identification et d'évaluation des risques ;
¨ Maîtriser les grilles d'analyse des risques
NIVEAU 3
AUDIT EXTERNE
Contrôle
Interne
Risques Risques
Inhérents Résiduels
• La planification de la mission : Partir des objectifs de gestion et découper la structure en ensembles
Etape 1 homogènes (processus, sous processus et à l’intérieur de chaque processus, les entités.), … : l’univers
de management et d’audit
• Réalisation de la mission : Identifier et évaluer les risques bruts ou inhérents (risques de gestion
pouvant empêcher l’atteinte des objectifs du Département ou de l’unité : Causes, probabilité x impact
Etape 2
• Réalisation de la mission : Identifier et évaluer des contrôles internes clefs mis en œuvre dans le but
de répondre et mitiger les risques de gestion ci-dessus (prévision, protection)
Etape 3
• l’objet de la mission
• en pièces jointes :
– le planning de réalisation de la mission (macro programme : Réf. 2 et 3
Kit)
– la liste de la documentation nécessaire et des personnes à rencontrer
(Liste documentation nécessaire et personnes à rencontrer, Réf. 5 Kit)
SOUS PROCESSUS
(HIERARCHISES)
STRATEGIQUES OOBJECTIF
S chiffrés
OPERATIONNELS
INDICATEURS DE
PERFORMENCE
PROPRIETAIRE DU PROCESSUS
DESCRIPTION CARTOGRAPHIE DES PROCESSUS
ELEMENTS D’ENTREES
(INTRANTS)
ELEMENTS DE SORTIE
(EXTRANTS)
1. Position du problème : Les prescriptions de la
norme IIA 2010 – Planification
Le responsable de l'audit interne doit établir une planification fondée sur
les risques afin de définir des priorités cohérentes avec les objectifs
de l'organisation.
Interprétation :
• On peut citer :
– audit des contrats,
– audit de la micro-informatique,
– audit de la sécurité, etc.
• Travaux de groupe
• Les outils ci-après doivent être validés
• (Tableaux croisés et univers de management
et d’audit de la Structure)
1. Problématique de la gestion du risque
• Les risques sont des événements incertains susceptibles
d’affecter la réalisation des objectifs de l’organisation:
– Impact négatif – non atteinte des objectifs
– Impact positif ou opportunité– événement apportant un
bénéfice non attendu à l’organisation
Plan de remise en état en cas de Risques liés à la non préparation ou l’absence d’un plan de
Sinistre/ remise en état pouvant ainsi nuire au bon fonctionnement après
Continuité des affaires un sinistre (ex. désastre naturel, actes de terroristes, etc.) Ceci
amène une interruption dans le processus de production et
pourrait possiblement interrompre les opérations jusqu’à la
remise en fonction des installations. Les facteurs à inclurent:
• Procédures en cas de sinistres, et
• Plan de crise
Conformité/ Risques liés aux exigences de conformité. Par exemple:
Législation • Mécanismes d’application et supervision
• Conséquences de la non conformité, et
• Contraventions ou pénalités payées
Fraude et Risques liés aux actes illégaux ou irréguliers commis par des employés et
Corruption résultant en une perte d’actifs ou de ressources
1. Risques Economiques
2. Risques Stratégiques
3. Risques Financiers
4. Risques Opérationnels
5. Risques de fraude, corruption, détournement
6. Risques qualité des services
7. Risques Juridiques
8. Risques Informatiques
9. Risques Ressources Humaines
10. Risques d’images
11. Risques qualité de l’information
• Etape 2.2 Création d’une échelle de cotation
des risques et mise en œuvre (quantification
ou cotation)
Score Ampleur
Combiné du Risque Réponse et Traitement du Risque
(IxP) Inhérent
Probabilité
e Matrice des Risques Inhérents (ou registre) – Cartographie du Risque inhérents
Département:
Objectif(s) Départementaux
1. Xx
2. Xx
2. De procéder à la cotation de la qualité du contrôle interne par rapport à sa capacité de prévenir à protéger donc à maîtriser les risques
identifiés : adéquation de la conception et efficacité des contrôle (Matrice d’évaluation de la qualité du contrôle interne, Réf. 11 Kit,
ou Matrice des risques et contrôle, Réf. 13 Kit). (Tâche 2).
Par exemple une échelle de 4 en fonction des critères suivants :
* 0 à 3 pour la prévention : Qualité du dispositif de prévention des risques (formation, sensibilisation, contrôles, etc.)
* 0 à 3 pour la Qualité du dispositif de protection contre les impacts des risques : pilotage institutionnel performant, formalisation des
procédures et diffusion, procédures appliquées et mises à jour, compétence suffisante, diffusées (détection, correction)
3. Procéder à une cotation des dispositifs de CI existants (Tâche 3) : capacité à réduire la probabilité des risques (prévention) et / ou
à réduire l’impact (protection) : appréciation globale du CI sur une grille de 1 à 5
Une note de (voir grille d’évaluation de la maturité du ci- après):
1 est attribuée pour un CI non ou peu fiable
2 est attribuée pour un CI informel
3 est attribuée pour un CI standardisé
4 est attribuée pour un CI maîtrisé ou surveillé
5 est attribuée pour un CI optimisé
4. Cette étape aboutit à la formalisation des résultats dans une maitrise d’évaluation du CI (Rapport type élaboration cartographie et
plan d’ABR Réf. 16 Kit). (tâches 4)
Matrice d’évaluation
Livrables Etape 3 (tâches 4) : du CI
3. Matrice d’évaluation du Contrôle Interne
eLes contrôles internes mis en place pour
maîtriser les risques peuvent être :
Il existe des mesures de prévention Qualité du Contrôle interne clef élevé induisant
2 adaptées qui sont mises en œuvre une probabilité du risque faible (ou peu
(Protection adaptée et efficace) probable) d’occurrence
Réf Réf. et domaines Identification Catégorie de Analyse Responsables Risque Inhérent Bonnes Identification des Evaluation des
. auditables (les des Risques risque (11 Causale (par (propriétaires pratiques Contrôles Internes Contrôles Internes
missions) : potentiels catégories) rapport des risques et
Prob I Score de CI de Clefs existants pour Clefs existants (Pro
composants P*I maîtrise mitiger le risque (par et Pré) = Maturité
Processus, sous (par rapport client,
objectifs du du CI) des risques rapport composants du CI
processus, missions, fournisseur, du CI) Pré Pro Niveau
activités, tâches CI) appui) de
maturité
CI
1à5
Environnement de
contrôle et
gouvernance
Processus Métiers
Processus d’appui
4. Traitement des Risques par les Activités de Contrôle
Interne
• Le contrôle interne est le principal mécanisme de traitement des risques.
Contrôle interne
=
Contrôle interne financier (budgétaire et comptable)
+
Contrôle interne de gestion
¾A- Les systèmes financiers de gestion et de
contrôle sont constitués par tous les systèmes de
finances publiques traditionnels qui sont en vigueur
dans l'Administration :
– budgétaire,
– comptable,
– de trésorerie,
– de paiement, etc.
CONTROLE INTERNE
- Les deux formes de contrôle interne :
comptable et financier ou de gestion
92
eREMARQUE
La dernière étape est d’évaluer avec les propriétaires des risques dans quelle mesure le système
de contrôle interne en place réduit le niveau du risque inhérent (probabilité/prévision ou
impact/protection). .
1. En rapprochant, pour chaque « ensemble homogène », la matrice des risques bruts
de celle concernant l'évaluation du contrôle interne, l’auditeur détermine les
risques résiduels (filtrés par le CI), il peut être déduit une cartographie des
risques résiduels (non couvert ou mal couvert par un dispositif de CI absent ou
défaillant) : (Tâche 1).
Fin
Le risque résiduel correspond au risque brut non couvert (ou mal) par un
dispositif de contrôle interne absent (ou défaillant). Il est déduit sur la base
de l’appréciation des forces et faiblesses du dispositif de contrôle
interne de l’entité (la qualité du CI amplifie ou atténue la probabilité et
l’impact du risque brut).
En effet l’évaluation qualitative de la probabilité et de l’impact d’un risque
est inversement proportionnelle à la qualité du contrôle interne[1].
Objectifs: Précis
Critère de
à Abaisser le niveau du risque résiduel qualité
à celui défini comme acceptable : le d’un plan
d’action
score cible ;
Suivi Réaliste
à Améliorer la qualité et l’efficience du
contrôle interne (changement en faveur
d’un dispositif moins coûteux, Ordonné
suppression des «sur–contrôles»). (Jalon)
e Un plan de management des risques (ou de
mitigation) est élaboré et validé par la
hiérarchie. Le plan de mitigation précise :
• Risques
• Cotation (et rang de priorité)
• Objectif (Activité/tâche)
• Action de remédiation (recommandation)
• Période retenue pour la mise en œuvre
• Responsable de l’action
• Coût estimatif
e La cartographie aide à définir la valeur des
mesures de contrôle:
Niveau de maturité CI
Ref. bjectifs/ de Contrôle pour le
identifié Fournisseur, maîtrise
Probabilité (P) 1 à 5
Activités risque interne risque Période
Client, des Rang Effort
Prévention
Probabilité
Protection
(Pro) 0 à 3
(Pré) 0 à 3
existants retenue Objectifs
= P - Pré
= I - Pro
Appui) risques Déjà de Actions Type d’Audit
Impact
Score
Impact(I) 1 à 5 pour Audit et
1à5
Survenu priorité (Recommand de Indicatif
mise Proposé Périmètre
Score= PxI
Oui/Non Échelle ations) revue (Jours/
en d’Audit
4à0 hommes)
œuvre
PROCESSUS DE PILOTAGE
ENVIRONEMENT DE CONTROLE
A- Les préalables au contrôle interne
Objectifs Généraux
A1
B- REGLES D'EXEMPLARITE ET D'INTEGRITE: E& I
B1
J GOUVERNANCE
J1
PROCESSUS METIERS
PM
1
PROCESSUS SUPPORTS OU DE SOUTIENS
PS
1
e Représentation Graphique du Risque Résiduel – Cartographie du Risque
La dernière étape est d’évaluer dans quelle mesure le système de contrôle
interne en place réduit le niveau du risque inhérent. Ce graphique indique
l’évolution du risque lorsque le contrôle interne est pris en compte.
Synthèse de l’évaluation globale du dispositif de management
des risques : étendue de la cartographie
Au total ….. missions
v Inventaire des missions
répertoriées
assignées à chaque structure
v A une mission, des risques à
identifier (maxi 10)
v Choix et Evaluation des 3
risques majeurs par mission
• Niveau du Risque Inhérent
• Causes …. risques majeurs
• Conséquences analysés
• Bonnes pratiques
• CI (Existant, non existant, maturité)
• Niveau du Risque Résiduel
• Recommandations
• Plan d’audit)
Le reporting consolidé
L’analyse des risques inhérents (risques avant prise en compte des contrôles) donne une
répartition des niveaux de risques ci-après
Elevé
71%
Cartographie des risques résiduels ou net (tous Domaines
confondus)
Présentation des risques Résiduels
Moyen
Elevé
53%
36%
Cartographie des risques inhérents (ou bruts) les plus élevés
(tous Domaines confondus)
PROCESSUS
2 38 157 197 10 100 87 197
SUPPORTS
3
26 40 40 30
Modéré
2
4 4 2 8
Mineur
1
Non 1 1
significatif
Niveau 1
2 3
4 5
Peu Modérément
Rare Probable Très probable
probable probable
Probabilité
Cartographie des risques: zone de risque par processus
PROCESSUS DE PILOTAGE
Administrer et Coordonner les activités du
5 2 4 6 1
CILSS
Assurer les Audits 6 3 6 3
Total Processus de Pilotage 0 21 20 14 21 6
PROCESSUS METIERS
« Activités de contrôle »
Assurer la sécurité alimentaire, la Gestion des
ressources naturelles, population et le 4 11 2 10 3
développement
Assurer la maîtrise de l'eau 1 1 2
Assurer le management l'Information et
9 8 1 10 6
Recherche
Total Processus Métier 1 29 51 10 49 22
PROCESSUS SUPPORTS OU D’APPUI
« Activités de contrôle »
Assurer le Management Administratif,
2 41 14 29
Financier et Comptable
Gérer le système Informatique et la
4 11 8 7
documentation
Manager les ressources humaines 9 17 1 16 9
Total Processus Supports 2 38 157 10 100 87
TOTAL GENERAL (Processus Pilotage,
3 88 228 34 170 115
Métiers et Supports)
TOTAL GENERAL (Processus Pilotage,
319 319
Métiers et Supports)
Présentation de l’évolution des risques inhérents aux risques résiduels
au niveau du Processus Pilotage de la structure :
Type de risque : fréquence de citation (tous Domaines confondus)
Type de risque : fréquence de citation en % (tous Domaines confondus)
Risques résiduels (ou nets) : Hiérarchisation des risques opérationnels
suivant leurs probabilités par processus
- Chaque bulle
correspond à une
ligne d’activité.
- La taille de la bulle
représente le
nombre de risques
identifiés.
- La position de
chaque bulle
informe sur la
cotation moyenne
des risques.
Répartition en impact et probabilité résiduels moyens des Domaines de
la structure
CAS SYNTHESE N°1
TEST DE CONNAISSANCE
TRAVAUX DE GROUPE
DUREE :
q Test de Connaissances – Q2
•
q Test de Connaissances – Q5
q Test de Connaissances – Q7
•
q Test de Connaissances – Q9
•
•
q Test de Connaissances – Q16
•
• Quelle est la relation entre les objectifs des missions d’audit interne et
les objectifs de l‘organisation :
a. Il n'y a pas de relation
b. Les objectifs de la mission doivent être liés aux objectifs de gestion
c. Les objectifs de gestion devraient être liés aux objectifs de l'engagement
d. Les objectifs de la mission et les objectifs de l‘organisation doivent être
tous liés aux contrôles internes
•
399
Test de Connaissances – Q1
1. Le but d’un référentiel de contrôle est:
a. D’instaurer la discipline du contrôle interne à
travers une organisation
b. D’introduire une cohérence entre le risque et les
concepts de contrôle à travers une organisation.
c. De démontrer la relation entre le risque et le
contrôle
d. a, b, et c
400
Test de Connaissances – Q2
2. Le référentiel de contrôle du COSO:
a. Est fondé sur un environnement de contrôle et
une bonne gestion des risques
b. Peut être appliqué dans toutes/tous les
opérations/services du secteur public
c. Est le modèle préféré pour le secteur public
d. a, b, et c
401
Test de Connaissances – Q2
2. Le référentiel de contrôle du COSO:
a. Est fondé sur un environnement de contrôle et
une bonne gestion des risques
b. Peut être appliqué dans toutes/tous les
opérations/services du secteur public
c. Est le modèle préféré pour le secteur public
d. a, b, et c
402
Test de Connaissances – Q3
3. Une considération clé pour comprendre le risque
est que:
a. Le risque est de nature incertaine
b. Le risque ne peut pas être géré
c. Le risque est la responsabilité principale des
auditeurs internes
d. Aucune de ces réponses
403
Test de Connaissances – Q3
3. Une considération clé pour comprendre le risque
est que:
a. Le risque est de nature incertaine
b. Le risque ne peut pas être géré
c. Le risque est la responsabilité principale des
auditeurs internes
d. Aucune de ces réponses
404
Test de Connaissances – Q4
4. Une exposition aux risques--avant d'envisager toute
mesure de contrôle interne en place est considérée
comme:
a. Un risque stratégique
b. Un risque résiduel
c. Un risque inhérent
d. Aucune de ces réponses
405
Test de Connaissances – Q4
4. Une exposition aux risques--avant d'envisager toute
mesure de contrôle interne en place est considérée
comme:
a. Un risque stratégique
b. Un risque résiduel
c. Un risque inhérent
d. Aucune de ces réponses
406
Test de Connaissances – Q5
5. Les contrôles internes sont essentiellement mis en
place pour:
a. Supprimer les risques
b. Accepter les risques
c. Réduire les risques
d. Transférer les risques
407
Test de Connaissances – Q5
5. Les contrôles internes sont essentiellement mis en
place pour:
a. Supprimer les risques
b. Accepter les risques
c. Réduire les risques
d. Transférer les risques
408
Test de Connaissances – Q6
6. Lequel de ces risques n'est pas un risque du secteur
public?
a. Réputation
b. Stratégique
c. Contrôle
d. Aucune de ces réponses
409
Test de Connaissances – Q6
6. Lequel de ces risques n'est pas un risque du secteur
public?
a. Réputation
b. Stratégique
c. Contrôle
d. Aucune de ces réponses : tous affectent le secteur public
410
Test de Connaissances – Q7
• Quelle catégorie de risques est la plus importante
dans le secteur public africain ?
a. Financier
b. Opérationnel
c. Réputation
d. Aucune de ces réponses
411
Test de Connaissances – Q7
• Quelle catégorie de risques est la plus importante
dans le secteur public africain ?
a. Financier
b. Opérationnel
c. Réputation
d. Aucune de ces réponses
412
Test de Connaissances – Q8
8. Décider quel niveau de risque est acceptable ou
inacceptable considérant chaque catégorie de
risques, est une responsabilité clé de:
a. La Direction
b. Des auditeurs internes
c. a et b
d. Aucune de ces réponses
413
Test de Connaissances – Q8
8. Décider quel niveau de risque est acceptable ou
inacceptable considérant chaque catégorie de
risques, est une responsabilité clé de:
a. La Direction
b. Des auditeurs internes
c. a et b
d. Aucune de ces réponses
414
Test de Connaissances – Q9
9. Les risques sont évalués en termes de:
a. Vulnérabilité
b. Impact
c. Probabilité
d. a, b, et c
415
Test de Connaissances – Q9
9. Les risques sont évalués en termes de:
a. Vulnérabilité
b. Impact
c. Probabilité
d. a, b, et c
416
Test de Connaissances – Q10
10. Lequel n'est pas un élément du cadre COSO:
a. environnement de contrôle
b. Leadership
c. Les activités de contrôle
d. Information et communication
417
Test de Connaissances – Q10
10. Lequel n'est pas un élément du cadre COSO:
a. environnement de contrôle
b. Leadership
c. Les activités de contrôle
d. Information et communication
418
Test de Connaissances – Q11
11. En ce qui concerne les auditeurs internes, quelle
phrase est exacte:
a. L'indépendance est une condition préalable à l'objectivité
b. L'objectivité est une condition préalable à l'indépendance
c. L’indépendance et objectivité ne sont pas liées
d. Les auditeurs internes ne sont tenus d'être objectif
419
Test de Connaissances – Q11
11. En ce qui concerne les auditeurs internes, quelle
phrase est exacte:
a. L'indépendance est une condition préalable à l'objectivité
b. L'objectivité est une condition préalable à l'indépendance
c. L’indépendance et objectivité ne sont pas liées
d. Les auditeurs internes ne sont tenus d'être objectif
420
Test de Connaissances – Q12
• Dans un contexte de management et d’audit interne
fondés sur les risques, recommander des moyens
pour éliminer ou réduire les excès de contrôle des
risques mineurs est une responsabilité:
a. De la direction
b. Des auditeurs externes
c. Des auditeurs internes
d. Aucune de ces réponses
421
Test de Connaissances – Q12
• Dans un contexte de management et d’audit interne
fondés sur les risques, recommander des moyens
pour éliminer ou réduire les excès de contrôle des
risques mineurs est une responsabilité:
a. De la direction
b. Des auditeurs externes
c. Des auditeurs internes
d. Aucune de ces réponses
422
Test de Connaissances – Q13
• Dans le contexte du management et de l’audit
interne basés sur le risque, le risque inhérent est
normalement évalué en termes de:
a. Probabilité
b. Impact
c. Probabilité x Impact
d. Dommage financier seulement
423
Test de Connaissances – Q13
• Dans le contexte du management et de l’audit
interne basés sur le risque, le risque inhérent est
normalement évalué en termes de:
a. Probabilité
b. Impact
c. Probabilité x Impact
d. Dommage financier seulement
424
Test de Connaissances – Q14
• Dans un contexte management et d’audit interne
basés sur le risque, la cartographie ou Heatmap est
une manière de décrire:
a. Une exposition aux risques
b. Les risques opérationnels
c. Les niveaux des critères de risques
d. Aucune de ces réponses
425
Test de Connaissances – Q14
• Dans un contexte management et d’audit interne
basés sur le risque, la cartographie ou Heatmap est
une manière de décrire:
a. Une exposition aux risques
b. Les risques opérationnels
c. Les niveaux des critères de risques
d. Aucune de ces réponses
426
Test de Connaissances – Q15
15. Lorsque le plan d’audit interne basé sur les risques est
complété, dans quel ordre de priorité le chef de du
département d’audit interne devrait-il communiquer les
questions suivantes à la direction:
I. Détection des expositions aux risques inacceptables
II. Les principaux objectifs d’audit interne à aborder
III. les principaux processus de contrôle liés à des
objectifs essentiels d'audit
IV. Les missions d’audit interne exclues du plan de travail
annuel
a. I, II, III, IV
b. II, III, I, IV
c. I, III, II, IV
d. IV, I, II, III
427
Test de Connaissances – Q15
15. Lorsque le plan d’audit interne basé sur les risques est
complété, dans quel ordre de priorité le chef de du
département d’audit interne devrait-il communiquer les
questions suivantes à la direction:
I. Détection des expositions aux risques inacceptables
II. Les principaux objectifs d’audit interne à aborder
III. les principaux processus de contrôle liés à des
objectifs essentiels d'audit
IV. Les missions d’audit interne exclues du plan de travail
annuel
a. I, II, III, IV
b. II, III, I, IV
c. I, III, II, IV
d. IV, I, II, III
428
Test de Connaissances – Q16
16. Les objectifs d’audit interne sont principalement
liés:
a. Aux objectifs de gestion du ministère
b. Aux missions d’audit interne individuelles
c. Les deux a. et b.
d. Aucune de ces réponses
429
Test de Connaissances – Q16
16. Les objectifs d’audit interne sont principalement
liés:
a. Aux objectifs de gestion du ministère
b. Aux missions d’audit interne individuelles
c. Les deux a. et b.
d. Aucune de ces réponses
430
Test de Connaissances – Q17
• Une réunion d'ouverture avec la direction est la
suivante:
a. Obligatoire
b. Hautement souhaitable
c. Pas nécessaire
d. Il vaut mieux éviter d’avoir cette séance d’ouverture pour
assurer que l'équipe d'audit interne reste indépendant
431
Test de Connaissances – Q17
• Une réunion d'ouverture avec la direction est la
suivante:
a. Obligatoire
b. Hautement souhaitable
c. Pas nécessaire
d. Il vaut mieux éviter d’avoir cette séance d’ouverture pour
assurer que l'équipe d'audit interne reste indépendant
432
Test de Connaissances – Q18
18. En suivant une approche fondée sur le risque pendant
une mission d’audit interne, quelle séquence de tâches
devraient suivre les auditeurs internes:
I. Comprendre les objectifs de gestion de l'entité
auditée
II. Comprendre et évaluer les risques de l'entité auditée
III. Suggérer des possibilités d’améliorations
significatives dans l'entité auditée
IV. Confirmer l'efficacité des pratiques de la gestion des
risques et des processus dans l'entité auditée
a. I, II, III, IV
b. III, I, II, IV
c. I, II, IV, III
d. I, III, II, IV
433
Test de Connaissances – Q18
18. En suivant une approche fondée sur le risque pendant
une mission d’audit interne, quelle séquence de tâches
devraient suivre les auditeurs internes:
I. Comprendre les objectifs de gestion de l'entité
auditée
II. Comprendre et évaluer les risques de l'entité auditée
III. Suggérer des possibilités d’améliorations
significatives dans l'entité auditée
IV. Confirmer l'efficacité des pratiques de la gestion des
risques et des processus dans l'entité auditée
a. I, II, III, IV
b. III, I, II, IV
c. I, II, IV, III
d. I, III, II, IV
434
Test de Connaissances – Q19
19. Quelle est la relation entre les objectifs des
missions d’audit interne et les objectifs de
l'entreprise:
a. Il n'y a pas de relation
b. Les objectifs de la mission doivent être liés aux objectifs de
gestion
c. Les objectifs de gestion devraient être liés aux objectifs de
l'engagement
d. Les objectifs de la mission et les objectifs de l'entreprise
doivent être tous liés aux contrôles internes
435
Test de Connaissances – Q19
19. Quelle est la relation entre les objectifs des
missions d’audit interne et les objectifs de
l'entreprise:
a. Il n'y a pas de relation
b. Les objectifs de la mission doivent être liés aux objectifs de
gestion
c. Les objectifs de gestion devraient être liés aux objectifs de
l'engagement
d. Les objectifs de la mission et les objectifs de l'entreprise
doivent être tous liés aux contrôles internes
436
Test de Connaissances – Q20
20. Si la direction n’établit pas suffisamment de critères
de mesure pour déterminer l’atteinte des objectifs
de gestion, les auditeurs internes devraient:
a. Utiliser leurs propres normes
b. Délivrer un rapport d’audit interne notant l'absence de critères
de mesures adéquats
c. Travailler avec la direction pour l'élaboration de critères
appropriés
d. Aucune de ces réponses
437
Test de Connaissances – Q20
20. Si la direction n’établit pas suffisamment de critères
de mesure pour déterminer l’atteinte des objectifs
de gestion, les auditeurs internes devraient:
a. Utiliser leurs propres normes
b. Délivrer un rapport d’audit interne notant l'absence de critères
de mesures adéquats
c. Travailler avec la direction pour l'élaboration de critères
appropriés
d. Aucune de ces réponses
438
Test de Connaissances – Réponses Suggérées
1 d 8 a 15 b
2 d 9 d 16 c
3 a 10 b 17 b
4 b 11 a 18 c
5 c 12 c 19 b
6 d 13 c 20 c
7 d 14 a
439
METHODOLOGIE ET OUTILS Date : Durée
D’ELABORATION DE LA
CARTOGRAPHIE, DU PLAN DE
MITIGATION ET DU PLAN
D’AUDIT BASES SUR LES
RISQUES
Séquence 3 : Les applications pratiques de l’évaluation Classement : Sq3 Rédacteur :
des risques et planification de la mission SS
Exposés :
Objectifs
Catégories de
de Gestion Risques
• Strategique
• Operationnel
• Financier
• Technologique Mesure du Risque
• Reputation • Vulnérabilité
• Impact
• Probabilité
Contrôle
Interne
Risques Risques
Inhérents Résiduels
eConstruire une matrice comprenant les éléments suivants:
• Objectifs de gestion
• Processus/entités auditables
• Unités/Département responsables
• Evaluation des risques inhérents (avec justification des
facteurs de risque)
• Evaluation de la qualité des principaux contrôles clefs en
place
• Evaluation des risques résiduels (avec justification des
facteurs de risque)
• Classer les éléments de l’univers d’audit par niveau de
risques
• Appliquer la politique de couverture d’audit
• Déterminer les audits sur les 3 prochaines années, le
champ d’audit et les objectifs d’audit
q La politique de couverture
Types de missions %
1. Missions de contrôle programmées 40%
2. Missions de contrôle « commandées » 20%
3. Missions de contrôle inopiné ; 5%
4. Suivi de la mise en œuvre des 5%
recommandations
5. Missions ponctuelles imprévues 5%
6. Mission d’élaboration/mise à jour de la 10%
cartographie des risque
7. Formation et stages 5%
8. Administration et réunions (internes, externes) 10%
TOTAL 100%
Plans d’audit
Critères de programmation des missions
B1
B2
B3
B4
B5
Légende :
1 er élément
Etape 1
• Determiner la Politique annuelle de Couverture d'audit Basée sur les Risques
Etape 2
• Construire l’Univers d’Audit
Etape 3
• Lier l’Univers d’Audit aux Objectifs de Gestion
Etape 4
• Analyser et Evaluer les Risques au sein de l’Univers d’Audit
Etape 5
• Valider l’Analyse et L’Evaluation des Risques avec la Direction du Ministère
Etape 6
• Obtenir Assurance des Autres Ministères et Tiers
Etape 7
• Developper un Plan Indicatif pour chaque Audit Proposé
Etape 8
• Assigner les Ressources au Plan
Etape 9
• Communiquer et Obtenir l’Approbation du Plan Basé sur les Risques
¾Assurance et Conseil
• Les activités d’audit sont traditionnellement classées
selon deux catégories:
– assurance ou conseil.
– Les missions traditionnelles de l’Inspection comprennent
aussi des investigations qui sont des missions d’assurance.
Activité de Activité de
Gestion Activité de
Gouvernance Gouvernance
Externe
Interne
Informe le
Management et le
personnel d’une Informe les Informe les Représentants de
entité organes la Société Civile, les
exécutifs de actionnaires, le Marché
Direction et
organes de
gouvernance
Exemple de processus et produits d’audit (typologie de services)
Effort d’Audit
Type de
Ref. Audit Proposé Indicatif (Jours Objectifs et Périmètre d’Audit
Revue
/ hommes)
A Pilotage ou Gouvernance
B Métiers
B1
B2
C Supports ou soutien
C1
C2
Total
A1 -Audit de conformité Assurance 30 (minimum) Ø Évaluer l'adéquation de la conception et l'efficacité opérationnelle des
-Audit de performance (résultat) contrôles au niveau des entités. Les contrôles au niveau des entités
-Audit d’efficacité ou de sécurité des peuvent être, par exemple :
Système de Maîtrise des Risques • des contrôles sur le risque de contournement par la direction ;
-Audit de la fraude • des contrôles sur le processus d'évaluation des risques de
-Audit financier l'organisation au niveau de
- • l'entité ;
• des contrôles visant à surveiller les résultats des opérations ;
• des contrôles sur le processus de communication de l'information
financière en fin d'exercice.
Ø Évaluer l'adéquation de la conception et l'efficacité opérationnelle des
contrôles des processus métier. Les contrôles des processus peuvent
être, par exemple :
• des contrôles sur l'efficacité et l'efficience des opérations ;
• des contrôles sur la fiabilité de la communication financière et/ou de la
direction ;
• des contrôles sur la conformité à la législation et à la réglementation
applicables.
Ø Évaluer l'adéquation de la conception et l'efficacité opérationnelle des
contrôles des systèmes d'information (SI). Les contrôles des SI
peuvent par exemple être :
• des contrôles généraux au niveau de l'entité tels que les contrôles
d'accès au système et les contrôles de gestion des changements;
• des contrôles applicatifs intégrés dans les programmes applicatifs
spécifiques.
Ø Évaluer directement les performances des processus métier. Les
performances des processus peuvent être, par exemple :
• l'efficacité et l'efficience opérationnelles exprimées par des indicateurs
tels que les
• indices de satisfaction des clients, le temps de cycle, la rotation du
personnel, etc ;
• la fiabilité de la communication financière, telle qu'exprimée par le
nombre et le montant des écritures de correction en fin d'exercice;
• la conformité à la législation et à la réglementation applicables, telle
qu'exprimée par des indicateurs comme le nombre d'accidents
déclarés ou les rejets à l'environnement
qCommuniquer et Obtenir l’Approbation du Plan
Basé sur les Risques par la hiérarchie
• Introduction :
– rappel des objectifs et des diligences mises en
œuvre
– présentation de façon succincte, des points
favorables qui ne donnent pas lieu à des
recommandations (points forts)
– description du système en place
• Analyse des risques : présentation des principaux risques majeurs
par processus et des recommandations formulées (modalités de
mitigation retenues)
• Plan d’audit basé sur les risques :
– Présentation de la politique de couverture et du plan d’audit associé
– Présentation des annexes
– rappel des concepts-clefs
– cartographie ou registre des Risques de la structure
– plan d’Audit Annuel Basé sur les risques de la structure
– liste des personnes rencontrées
– documents et rapports consultés
• Plan de management des risques ou de mitigation :
– Risques
– Cotation (et rang de priorité)
– Objectif (Activité/tâche)
– Action de remédiation (recommandation)
– Période retenue pour la mise en œuvre
– Responsable de l’action
– Coût estimatif
q Pilotage et Mise en Œuvre du Plan
489
Les Ressources Nécessaires à l’Exécution du
Plan ABR –
q Les normes IIA Standards précisent les conditions
d’exercice de la pratique professionnelle de l’audit interne:
• Normes de qualification des auditeurs internes (série
1000):
– Indépendance
– Objectivité
– Compétence et conscience professionnelle
• Normes de fonctionnement (série 2000) [qui peuvent être
développer dans un prochain atelier]
494
Ressources Humaines: Les Besoins
Professionnels à Plus Long Terme (5/5)
• Mettre en place une stratégie qui augmente le
professionalisme
• Identifier les formations et certifications utiles
à l’approche d’audit par les risques
• Encourager comme condition d’entrée la
connaissance de base de l’approche par les
risques
• Travailler avec les institutions de formation sur
l’introduction de formations ABR
495
Ressources Financières: Allocation de fonds
497
• 5.1 Processus des missions d’assurance
Planifier Exécuter communiquer
• Déterminer les objectifs et • Réaliser des tests pour • Evaluer les observations et
le périmètre de la mission collecter des preuves faire rencontrer l’information
• Connaître l’audité, • Evaluer les preuves • Procéder à des
notamment ses objectifs et rassemblées et tirer des communications provisoires
ses assertions conclusions et préliminaires
• Identifier et évaluer les • Elaborer le tableau des • Rédiger le rapport d’audit
risques (Tableau des forces et des faiblesses final
forces et des faiblesses réelles • Procéder à la
apparentes : voir • Faire des observations et communication formelle et
cartographie ou registre formuler des informelle des résultats
des risques si elle existe) recommandations définitifs
• Identifier les contrôles clés • Mettre en œuvre des
• Evaluer l’adéquation de la procédures de surveillance
conception des contrôles et de suivi
• Etablir un plan de test
• Elaborer un programme de
travail
• Allouer des ressources à la
mission
498
5.2 Outils de planification et de réalisation d’une mission d’assurance
Mission assurée par :
Mission supervisée par :
Tableau des risques Tableau des forces et faiblesses apparentes Matrice des risques et Contrôles
Evaluation
Force: préliminaire
Faiblesses: Evaluation
Contrôles des risques Evaluation de
Points de Bonnes Contrôles adéquation Conclusion
Internes (opinion) Résultat du l’Efficacité
Finalité / contrôle ou pratiques / Internes Clefs Commentaires conception Résultat du Générale Réf. FAR
Risques Clefs - Risque test Opérationnell
Réf. Objectif étapes clefs Impacts Moyens du manquants ou /Justifications ou test (satisfaisant / à (n/a si non
potentiel existants ou Elevé (Conclusion e des
de CI du CI CI, inadéquats / Explications Architectur (Conclusion) améliorer / non applicable)
adéquats - Risque ) Contrôles
observables ressources pour mitiger le e des satisfaisant)
pour mitiger Moyen Identifiés
risque Contrôles
le risque - Risque
Faible
499
1. Plan d’action (plan de mitigation ou de management des
risques)
– Risques
– Cotation (et rang de priorité)
– Objectif (Activité/tâche)
– Action de remédiation (recommandation)
– Période retenue pour la mise en œuvre
– Responsable de l’action
– Coût estimatif
•Plan de management des risques
a 25 1
b 22 2
Nota : le plan d’action est validé avec le propriétaire du risque (visé par
le responsable de l’entité)
Volonté et Evaluation et
Implication des Accompagnement
politiques ponctuel externe
507
Facteurs clefs de succès de l’approche ABR
Établir et utiliser une méthode au niveau des Corps de Ctr …
7 Plan d’audit /G
5 Evaluation des risques résiduels/M Rapports
d’audit
• Coopers et Lybrand, IFACI, la pratique du contrôle interne, Editions d’organisation, 3ème édition, 2015
• Kaplan et Norton, the Balanced Scorecard : Translating Strategy into Action, Boston: HBS Press, 1996
• Micheal Brassard et Diane Ritter, le Memory Jogger II, GOAL/QPC, The little book of bad excuses, Software program
managers network, 1998
• Jean – Paul Louisot, Gestion des risques, 100 questions pour comprendre et agir, AFNOR Editions, 2005
• Pascal Kerebel, mise en œuvre d’un contrôle interne efficace via un ERP, AFNOR Editions, 2007
• Phylippe Noirot, Jacques Walter, 100 questions pour comprendre et agir, le contrôle interne, AFNOR, 2009
• Alain-Gérard COHEN, Contrôle interne et audit publics, IFACI, LGDJ, 2008
• Frédéric Bernad, Rémi Gayraud, Laurent Rousseau, Contrôle interne, Maxima, Paris, 2008
• P. SCHICK, J. VERA, O. BOURROUILH-PAREGE, Audit interne et référentiels de risqué, DUNOD, Paris, 2010
• Pierre WINICKI, Réussir une réforme publique, DUNOD, Paris, 2007
• Andre Barilari, Michel Bouvier, La Nouvelle gouvernance financière de l’Etat, LGDJ, 2004
• Mohamed Hamazaoui, Gestion des risques d’entreprise et contrôle interne, Village Mondiale, Pearson Education France,
2005
• Sandra Curaba , Yannick Jarlaud , Salvatore Curaba, Evaluation des risques, Comment élaborer son document unique ?,
AFNOR, 2009
• Thierry Malleret, Sean Cleary, Klaus Schwab, Risques - Perception, évaluation, gestion, Maxima Laurent du Mesnil
éditeur, 2006
• The Role of Internal Auditing in Enterprise-wide Risk Management, International Professional Practices Framework
Position Paper (Altamonte Springs, FL: The Institute of Internal Auditors. 2009).
• « La cartographie: un outil de gestion des risques » Ed. AMRAE;
• IFACI , PriceWaterhouseCoopers ,Xandwell, Villepele V. (2005), Le management des risques de l'entreprise : Cadre de
référence - Techniques d'application, Ed. Organisation ...
• Cadre de référence de la gestion des risques (2003). FERMA, téléchargeable à l'adresse
http://www.amrae.fr/docs/MR/AMRAE/doc-acces-libre/fermacadrereferencerms-french.pdf
• Thierry Malleret (Auteur)
• › Consulter la page Thierry Malleret d'Amazon
• Trouver tous les livres, en savoir plus sur l'auteur.
• Voir réultats de recherche pour cet auteur
• Etes-vous un auteur? Infos sur La Plate-forme Auteurs
Points de la planification
1. Rappel du planning de la phase d’élaboration de la cartographie,
du plan d’audit et de mitigation des risques
2. Validation des organigrammes des ministères
3. Choix des processus clés et finalisation des matrices
4. Constitution des équipes, choix des points focaux et affectation
des processus
5. Logistique, fournitures et prise en charge
6. Préparation de la réunion d’ouverture (Date, lieu, revue des slides,
etc.)
7. Revue des slides (Lancement ou ouverture)
8. Revue de la matrice d’analyse des risques
9. Revue du kit minimum
10. Constitution du dossier permanent
PLANNING PREVISIONNEL DE LA MISSION D’ELABORATION D’UNE
CARTOGRAPHIE DES RISQUES, LA FORMATION DES CADRES ET LA MISE EN
OEUVRE DE L’APPROCHE D’AUDIT BASE SUR LES RISQUES AU NIVEAU DE SEPT
(7) MINISTERES DU BÉNIN :
§ Ministère de la Justice et de la Législation (MJL),
§ Ministère des infrastructures et des transports (MIT),
§ Ministère de l’Économie Numérique et de la Digitalisation (MEND) ,
§ Ministère de la Communication et de la Poste (MCP)
§ Ministère de l’Eau et des Mines (MEM),
§ Ministère de l’Énergie (ME)
§ Ministère du Plan et du Développement (MPD).