Académique Documents
Professionnel Documents
Culture Documents
SOUS LE THEME
M. Issouf Traore
M…………………………………
Date de Soutenance :
Promotion : 2020-2023
DEDICACE
Nous dédions ce travail à notre famille qui nous a donné la force et le courage nécessaire pour
être-là où nous en sommes, pour le soutien moral et la confiance portée à notre égard.
REMERCIEMENTS
Le présent mémoire étant la consécration de plusieurs années d’études et de recherche n’aurait
pas vu jour sans l’aide, la compréhension et le dévouement de certaines personnes qui, par leurs
conseils, bénédictions, et présence, nous ont apporté soutiens et accompagnements. Nous leurs
exprimons alors notre profonde gratitude et reconnaissance a :
• Nos chers parents qui, ont tout consentis pour notre réussite, particulièrement dans nos études
et toujours été présents à nos côtes, qu’Allah le tout puissant renforce nos liens et espérons
que vous êtes fiers de nous ;
• Notre directeur de mémoire M. Minkailou TOURE pour son assistance depuis l’embryon de
ce travail jusqu’à son aboutissement, aide et conseil malgré ses nombreuses occupations ;
SOMMAIRE
LISTE DES SIGLES ET ABBREVIATIONS
DG : Directeur Général
En effet, chaque processus ou sous-processus opérationnel dans la société peut faire naître des
risques opérationnels. Fondamentalement, un risque opérationnel participe à la concrétisation
potentielle d’une perte économique pour elle (coût effectif du risque, coût d’opportunité, coût du
risque net, etc.) dans le cadre du déploiement des activités d’exploitation de l’organisation. A
partir de là, toute activité d’exploitation peut logiquement être la source de concrétisation de
risques opérationnels. L’identification et la gestion des risques opérationnels doivent découler de
la mise en œuvre d’une politique de gestion efficiente par la SONATAM S.A en vue de maîtriser
les risques auxquels elle est confrontée. Cette analyse nous mène à nous interroger sur un certain
nombre de questions qui, sans nul doute seront d’une aide capitale pour mener à bien cette étude.
En ce qui concerne la question principale, elle s’énonce comme suit :
Dans quelle mesure l’audit interne contribue-t-il à la maîtrise des risques opérationnels au sein de
la SONATAM. S.A
• A la SONATAM S.A, quel est l’état des dispositifs actuels pour la maîtrise des risques
opérationnels (forces et ses faiblesses) ?
Ce mémoire consistera à analyser l’apport de l’audit interne à la SONATAM S.A dans la maîtrise
de ses risques opérationnels. Ce qui, est primordial pour les organisations est en vue d’assurer
une optimisation de leurs activités et l’atteinte des objectifs. Ainsi, cette étude sera une aubaine
pour confronter nos acquis intellectuels et théoriques appris à l’INTEC-SUP et de les adapter aux
réalités du monde professionnel. Et par conséquent de les développer les et d’expérimenter le
fonctionnement quotidien d’une entreprise notamment de son service d’audit interne comme la
SONATAM S.A. Dans ce sens, pour pouvoir mener à bien notre étude, il est primordial de se
fixer certains objectifs qui sont d’ordre général et spécifique. L’objectif général consistera à faire
face aux contraintes qui peuvent affectés le bon fonctionnement de la SONATAM S.A ainsi que
l’atteinte de ses objectifs à travers les dispositifs qu’elle met en œuvre pour les maîtriser. Pour ce
faire, nous nous intéresserons à l’apport de l’audit interne dans la maîtrise de ses risques
opérationnels.
En vue de répondre à nos questions posées et atteindre nos objectifs de recherche, nous nous
sommes référés sur les recherches des documents, des anciens mémoires, des donnés issus des
entretiens effectués.
Ainsi, notre document sera structuré en deux (02) grandes parties qui, seront développées comme
suit :
• La première partie est consacrée d’une part à la revue de littérature qui abordera les
aspects théoriques de la gestion, des dispositifs de maîtrise des risques opérationnels pour
ainsi mettre en exergue la démarche de l’audit interne dans le processus de maîtrise.
I – DEFINITIONS:
Il existe une multitude de définitions de la notion de risque, mais nous allons nous contenter des
définitions du COSO et de l’ISO.
• Le premier point met en lumière le fait que le risque est inhérent à la fois à la formulation
de la stratégie et à la fixation des objectifs. En effet, les organisations en général mettent
en œuvre des stratégies afin d’atteindre des objectifs bien précis, les risques
correspondent à des barrières ou des obstacles susceptibles d’entraver la réalisation des
objectifs. En conséquence, chaque organisation a des stratégies et des objectifs différents,
à cet effet chacune d’elles sera confrontée à des risques qui lui sont propres.
• Le deuxième point est que le risque présente une menace pour toute organisation. Du
coup il doit être écarté ou éliminé, ce raisonnement nous renvoie à la volonté d’empêcher
un événement négatif de survenir.
Le risque opérationnel peut-être défini aussi comme les pertes dues aux lacunes du processus, du
système ou aux défaillances humaines, à des évènements inattendus ou au caractère inexécutable
des contrats.
Cette catégorie de risque comporte des effets pervers illimités et peut exposer une institution à
des pertes financières et de réputation considérables. Tel est notamment le cas des échecs
enregistrés récemment par des grandes entités dans le monde. Au même titre que les autres
institutions financières , la banque s’expose à divers types de risques opérationnels, y compris les
pertes potentielles liées aux activités internes ou les évènements externes causés par les
interruptions des systèmes d’information, de communication de sécurité matérielle, de continuité
des activités, de supervision, de traitement, des transactions, des systèmes et procédures de
règlement et l’exécution de responsabilités fiduciaires légales et de fonction d’agence .
Pour (Daniel, 2006), les risques opérationnels peuvent être juridiques, administratifs,
technologiques. Ils peuvent également être liés aux systèmes d’information, à l’environnement
d’activité comme les risques économiques, sociaux, politiques ou climatiques.
Le risque opérationnel concerne les pertes directes ou indirectes dues à une inadéquation ou à
une défaillance des procédures, du personnel et des systèmes internes d’une entreprise. Selon le
référentiel de Bâle, on recense 7 types de risques principaux :
Du fait de la multiplicité des menaces potentielles, le risque opérationnel est un enjeu financier
considérable. La concrétisation d’un risque peut avoir des conséquences désastreuses comme l’a
démontré en 1995, la faillite de Barings, la plus ancienne banque britannique qui a disparu suite à
un dysfonctionnement opérationnel dans le contrôle des opérations de trading. Le risque
opérationnel entraîne aussi des manques à gagner (coûts d’opportunité, pertes de revenus non
récupérables, etc.), sans compter les problèmes d’images lorsque les dysfonctionnements sont
médiatisés comme pour la Société Générale avec l’affaire Kerviel (2008).
SECTION 2 : LA GESTION DES RISQUES OPERATIONNELS
Les stratégies de gestion des risques sont les tactiques mises en œuvre pour appréhender ces
risques et comprendre leurs conséquences potentielles. Elles doivent faire partie de votre plan de
gestion des risques, qui est un processus documenté décrivant les méthodes qui utilise votre
entreprise ou votre équipe pour identifier les risques émergents et y remédier. La gestion des
risques dans l’entreprise est un volet important de votre stratégie métier et de vos relations avec
les parties prenantes. Dans de nombreux secteurs, les activités de l’entreprise sont soumises à des
exigences de conformité. Plusieurs organismes ont donc défini des normes de gestion des
risques, notamment le NIST (National Institue of Standards and Technology) et l’ISO
(Organisation Internationale de Normalisation).Le secteur de services financiers est, par
exemple, l’un des plus règlementés, avec de très nombreuses exigences de conformité. Le niveau
de risque est également très élevé, entre le stockage sécurisé des données clients, la prise de
décisions d’investissement ou encore la gestion des risques de crédit. Les entreprises de tous les
secteurs peuvent s’appuyer sur les principes de la norme ISO 31000 pour gérer les risques. Les
normes de gestion des risques aident les entreprises à mettre en place un plan de gestion des
risques de manière systématique.
La gestion des risques est une responsabilité conjointe entre le service d’audit interne et le
département du risk management (Brody & lowe, 2003). Les agents de gestion des risques sont
responsables de tous les processus qui fourniraient une gestion complète des risques.
Aucune entreprise n’est en mesure d’éviter systématiquement tous les risques, et tous les risques
n’auront pas forcement une issue négative. Les entreprises doivent évaluer le rapport
bénéfice/risque d’un événement et définir le niveau de risque acceptable. Cette évolution peut
ensuite servir à prendre des décisions.
La gestion des risques consiste à classer les risques en fonction de leur probabilité d’occurrence
et de la gravité de leur impact potentiel ainsi qu’à les traiter en cherchant à les limiter.
Identifiez et décrivez les risques potentiels. Il peut s’agir de risques financiers, de risques pour
l’exploitation (par exemple pour la chaine logistique), de risques liés aux projets, à l’activité et
au marché, entre autres. Les risques identifiés doivent être consignés dans un registre des risques
ou documentés dans autre format.
Analyse des risques
Actions de
Facteur maîtrise des
de risque risques et Gestion
ou Gravité Criticité d’identification Criticité du risque
N°/date situation Conséquences initiale initiale de l’autorité de résiduelle résiduel
à risque décision et leur
application
Déterminez l’importance d’un risque grâce aux audits internes et aux analyses des risques. Vous
devrez également définir le niveau de risque acceptable ainsi que les éléments à traiter en
priorité.
Une fois le niveau de priorité et l’importance des risques déterminés, vous pouvez établir une
stratégie de répondre qui vise à minimiser ou à maîtriser ces risques.
Les risques et les indicateurs de mesure doivent être suivis en permanence afin de garantir
l’efficacité des plans de limitation et d’être alerté lorsqu’un risque devient une menace plus
importante.
Approches de gestion des risques
Les principales approches de gestion des risques s’appuient sur les concepts d’évitement, de
réduction, de partage et de rétention.
-Evitement des risques : il s’agit d’arrêter et d’éviter toute activité qui présente un risque ;
-Réduction des risques : cette approche implique des actions permettant de réduire la
probabilité d’occurrence d’un risque ou l’ampleur de son impact ;
-Partage des risques : le partage des risques intervient lorsqu’une entreprise transfère le risque
vers une autre ou le partage avec celle-ci, par exemple, une entreprise partage un risque
lorsqu’elle externalise la fabrication ou le service clientèle à un tiers ;
-Rétention des risques : la rétention des risques se produit lorsque les risques ont été évalués et
que l’entreprise accepte de les prendre. Aucune mesure n’est prise pour limiter les risques, mais
il est possible de mettre en place un plan de secours.
Il est tout à fait possible d’identifier dans chaque entreprise les zones à risques afin de déterminer
les priorités des programmes de contrôle. Cette identification est réalisée avec l’encadrement de
la direction. Il est important que le dispositif mis en œuvre par l’entreprise afin de maîtriser les
risques soit évaluer de façon périodique pour s’assurer que celui-ci est adapté et proportionné au
profil de risques.
Les systèmes de contrôle interne sont destinés à protéger les actifs contre la perte, le vol et la
fraude. Ils visent à réduire la probabilité et la gravité d’événements défavorables ou non désirés.
Ces systèmes, bien que nécessaires à la bonne marche des opérations, sont incomplets dans la
mesure où ils se concentrent sur l’atténuation des risques sans permettre aux gestionnaires de
profiter des occasions positives pour mieux réaliser la mission et les objectifs de l’organisation.
Selon JIMINEZ & al (2008 :91), le dispositif fait intervenir plusieurs acteurs de l’entreprise car
les risques se trouvent à tous les niveaux et dans toutes les fonctions de l’entreprise. On citera
entre autre :
• la direction générale : elle a un rôle primordial car assurant l’efficacité du dispositif par
son implication et les moyens à allouer ;
• le comité d’audit : il doit être tenu au courant des modifications du profil de risques et les
décisions prises à leur égard doivent lui être présentées ;
• les opérationnels : ils gèrent les processus et assurent à leur niveau, la mise en place des
mesures correctives et leur application ;
• l’audit interne : il a pour mission d’auditer les dispositifs de gestion des risques
opérationnels et dans le cadre de l’élaboration des plans annuels d’audit.
Pour une meilleure gestion des risques opérationnels il est nécessaire d’élaborer une cartographie
des risques, Selon JIMINEZ & al (2008 :116), la cartographie des risques opérationnels a pour
objectif d’identifier, d’évaluer, de classer, de comparer et de hiérarchiser les risques susceptibles
d’impacter une ligne de métier.
D’après JIMINEZ & (2008 :63), la cartographie des risques consiste donc à associer aux
processus modélisés les événements de risque qui peuvent entraîner une perte en donnant pour
chaque couple ainsi recensé une vision des impacts possibles de degré de maîtrise estimé. Elle
permet à l’entreprise d’avoir une bonne vision des risques auxquels elle est soumise et, par
conséquent, de sa capacité à y faire face.
En outre pour AHOUANGANSI (2010 :40-41), c’est un véritable inventaire des risques de
l’organisation. Cette cartographie permet d’atteindre trois objectifs :
• informer les responsables afin que chacun soit en mesure d’y adapter le management de
ses activités ;
Définition
La cartographie des risques est un document permettant de recenser les principaux risques d’une
organisation et de les présenter synthétiquement sous une forme hiérarchisée pour assurer une
démarche globale d’évaluation des risques. Elle n’est toutefois qu’une photographie des risques à
un instant donné. Selon la typologie des risques, les informations disponibles pour corroborer
l’évaluation, aideront les analyses, en particulier en matière de fréquence et d’impact.
Pour les risques « rares », la cartographie sera basée le plus souvent sur une identification et une
évaluation qualitative des risques par les opérationnels de l’entreprise au travers des
questionnaires ou d’atelier de travail.
IDENTIFIER
HIERARCHISER
AGIR
EVALUER
OPERATIONNELS
Aujourd’hui, il est extrêmement difficile de délimiter la définition de l’audit interne vu qu’il est
en évolution permanente. Dans ce cadre, nous choisirons la définition officielle adopté par l’IIA
(Institute of Internal Auditors) qui stipule que :
« L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer, et
contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique ses processus de management des
risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour
renforcer leur efficacité ».
La maîtrise des risques occupe de plus en plus une place importante dans les préoccupations des
dirigeants. Aussi les risques qui menacent les entreprises doivent-ils être identifiés et réduits à
des proportions acceptables. De ce fait, des conditions doivent être réunies pour mettre en place
un système efficace, parmi lesquelles un audit interne performant, un processus d’identification
et de mesure des risques simple.
Pour jouer pleinement son rôle dans la maîtrise des risques de l’organisation, l’auditeur adopte
des démarches pour mener ses missions. Plusieurs approches existent notamment l’approche
traditionnelle et l’approche.
BECOURT & al (2008 :25) distinguent six (06) types d’approche d’audit à savoir :
• l’approche par les systèmes : c’est la démarche la plus traditionnelle, elle s’adresse à des
opérations, systèmes de sorte qu’il est limité dans le temps à une partie de l’entreprise ;
• l’approche « audit total » : elle est illimitée et vise à la couverture totale de toutes les
fonctions et opérations ;
• l’approche audit transversal qui s’intègre plus ou moins dans les deux précédentes
catégories : recouvre au sein d’une organisation complexe, l’audit d’une fonction, d’une
procédure quel que soit le site dans lequel ceux-ci sont opérées. L’auditeur cherche à
mettre en évidence les risques, les vulnérabilités afin de permettre à l’organisation de les
optimiser ;
• l’approche « qualité totale », prolongée par l’approche juste à temps : est un moyen
d’identifier le risque d’audit afin de rendre le service attendu plus performant ;
• l’approche moderne : l’approche par les risques est une des conséquences directes de la
recherche d’efficacité par l’audit interne. Cette approche part du principe qu’il est peu
utile d’investir sur une partie significative dans des aires de l’entreprise où un risque est
susceptible d’apparaître.
I- LA PRESENTATION DE LA DEMARCHE
COLLINS (1992 :28) ajoute que l’auditeur prend parfois le bilan (et le compte de résultat)
comme point de départ pour son étude à travers les systèmes. On appelle cette approche « top
down », car elle part des documents de synthèse. Dans cette approche de l’auditeur, on considère
l’entreprise comme un ensemble de risques.
Elle consiste en :
• à des rapports.
D’après SARDI (2002 :176-177), par cette approche les différentes composantes du système de
contrôle interne sont analysées pour apprécier leur efficacité.
Cette démarche de l’approche par les risques prend en considération plusieurs facteurs et
éléments nécessaires à sa mise en œuvre. Selon LEMANT (1995 :111), une mission d’audit
interne est menée par une équipe d’auditeurs, dirigée par un chef de mission qui est responsable
du succès de la mission. Celle-ci découpe en quatre (04) phases qui sont :
La phase de la préparation
Selon RENARD (2008 :217), cette phase débute par l’ordre de mission qui est le document qui
formalise le mandat donné par la direction générale à l’audit interne. Elle consistera ensuite à
prendre connaissance du domaine à auditer, à identifier les risques et à définir les objectifs.
La phase de réalisation
D’après BERTIN (2007 :42), l’auditeur poursuit deux (02) objectifs lors de cette phase :
Le travail sur terrain fait appel à des techniques (interview, observation physique, narration
examen analytique, sondages…) et à des moyens (questionnaires de contrôle interne, feuille de
révélation et d’analyse des problèmes…).
L’auditeur doit systématiquement valider ses constats identifiés lors de son intervention sur le
terrain en les portant à la connaissance du responsable.
La conclusion et rapport
Pour BERTIN (2008 :44), toute mission d’audit s’achève par la rédaction d’un rapport. Les
auditeurs présentent les conclusions générales de la mission en recueillant les objections et les
précisions des audités en vue de la rédaction du rapport d’audit. Une fois l’audit réalisé l’auditeur
doit remettre un rapport aux destinataires concernés.
« Le suivi des recommandations, qui plus est une collaboration entre auditeurs et audités,
commence avec la formulation des recommandations. Il se dessine avec la détermination du (ou
des) responsable(s) de chaque recommandation, lors de la validation du projet de rapport. Il se
formalise par l’engagement des responsables désignés dans le rapport sur des plans d’action. Il se
concrétise par la mise en place des actions de progrès agrées entre auditeurs et audités lors de la
revue des réponses. Il se manifeste par la diffusion périodique de l’état d’avancement des actions
de progrès. Il se termine avec une évaluation des résultats obtenus. » (LEMANT,1998 :128).
L’audit interne aura pour mission d’auditer les dispositifs de gestion des risques opérationnels
dans la phase de pré-homologation, puis dans le cadre des plans annuels d’audit.
Selon BILODEAU (revue de l’audit et contrôle internes, Avril 2001 :31-32), l’auditeur interne
doit faire preuve de conscience et de diligence professionnelle dans l’exercice de ses fonctions ce
qui lui permettra de contribuer à réduire les risques. Il évaluera selon le cadre de référence choisi,
la pertinence t l’efficacité du système de contrôle interne compte tenu des risques spécifiques à
chaque fonction ou métier de l’entreprise.
Selon OBERT (2004 :69), la démarche utilisée par l’auditeur dans son appréciation du contrôle
interne relatif aux principaux cycles d’opérations et d’éléments d’actifs ou de passifs qui en
résultent comporte deux phases essentielles :
°vérification par des tests que les procédures décrites et les contrôles indiqués sont
appliqués ;
Contrôle interne
Direction Générale
Directions
opérationnels
Audit interne
Direction Générale
Audit interne
Validation de l’efficacité du
contrôle interne
Parties prenantes
Principaux acteurs
Principal objectif
Source : nous-mêmes
La société des tabacs et allumettes du Mali (SONATAM S.A), est une entreprise malienne crée
en 1965 en grâce à la coopération sino-malienne. La SONATAM S.A a été privatisée en 2002.
Depuis cette privatisation, la société connaît d’importantes difficultés.
Crée en 1965, la Société Nationale des Tabacs et Allumettes du Mali (SONATAM S.A) est
l’opérateur historique dans l’industrie et la commercialisation de produits de tabacs au Mali, un
marché avoisinant les 4 milliards d’unités annuellement. Suite à sa privatisation en 2002, l’Etat
Malien, resté actionnaire majoritaire, s’est allié à des investisseurs de référence, et notamment le
Groupe Imperial Tobacco, pour assurer l’appui financier et l’expertise technique nécessaire pour
garantir la pérennité économique de cette entreprise. Les activités de la SONATAM S.A couvrent
l’intégralité de la chaine de valeur, de la production à la distribution, avec plus de 270 emplois
directs pourvus et 15000 emplois indirects générés, à travers le réseau de distribution de
cigarettes et ses sous-traitants locaux.
A noter qu’elle est une entreprise industrielle ayant pour fonctions la production, l’importation,
la commercialisation et la distribution de cigarettes. Elle compte un effectif de 277 personnes
avec 12 agences régionales à travers le pays. Le réseau de distribution de la SONATAM comme
15 200 partenaires.
En effet, elle justifie leur engagement envers la responsabilité sociale en précisant qu’il est une
entreprise citoyenne concerné. Cependant, des documents internes à l’industrie du tabac révèlent
les véritables objectifs des programmes parrainés par l’industrie, à savoir l’optimisation des
profits et des intérêts des entreprises.
• Objectifs :
De sa création à ce jour, elle demeure l’une des rares entreprises qui contribuent à prospérer en
remplissant sa mission classique celle de pourvoyeur d’emplois et de recettes pour l’Etat.
« Entre 2000 et 2014, la SONATAM S.A a contribué pour près de 260 milliards F CFA au budget
de l’Etat. Cette contribution aurait pu être beaucoup plus importante si elle n’avait pas été
victime de la fraude qui gangrène son secteur d’activité », dira Issouf Traoré, le directeur général.
Il ajoutera que le taux de fraude est estimé entre 12 et 28% et la contrebande participe donc à la
fragilisation du tissu économique et expose les consommateurs à des produits qui ne répondent
pas aux normes de qualité. C’est environ quinze dizaines de cartons de cigarettes, d’une valeur
de 30 millions, qui ont été incinérées. Tous les partenaires ont réitéré leur accompagnement à la
structure dans le cadre de sa lutte contre la fraude et la contrebande qui constituent quatre
objectifs majeurs : assurer des recettes confortables à l’Etat ; protéger les consommateurs en
mettant à leur disposition des produits de qualité ; contribuer à la protection et à la création
d’emplois et empêcher le financement des réseaux criminels et mafieux.
La SONATAM est une société en nom collectif (SNF) dont tous les associés sont des personnes
physiques. Dans ce cas, le gérant désigné doit obligatoirement détenir le majorité absolue des
parts sociales.
le contrôle de gestion a pour rôle d’apprécier des résultats au regard d’objectifs fixés
préalablement.
Elle renforce la composante industrielle de ses activités en signant un accord de partenariat avec
le groupe British Americain Tobacco (BAT). Ce nouveau partenaire, dont la cérémonie de
signature s’est déroulée le 7 septembre 2017 en présence du ministre malien du Développement
industriel, constitue une étape « majeure » dans le développement industriel de la SONATAM
S.A qui, dans le cadre de cet accord, a mobilisé un investissement de 10 milliards de Fcfa.
Les fonds mobilisés ont permis le transfert au Mali la fabrication de la marque Dunhill
International, « la marque la plus vendue sur le marché Malien », alors qu’elle était auparavant
importée des usines de British American Tobacco en Afrique du Sud, selon un communiqué de
presse de l’entreprise dont le capital est détenu majoritairement pour l’Etat malien.
Selon le ministre malien de l’Energie et de l’Eau au Mali, 65,3% de la population des zones
rurales ont accès à l’eau potable, contre 74,7% en zone urbaine (2018).
Elle a construit une nouvelle usine de production entièrement dédiée à la fabrication du Dunhill
International, et signe son retour dans le sphère très réservée aux entreprises les plus
performantes et les plus innovantes de notre pays. Mieux, elle précise ses ambitions et mobilise
les moyens pour les atteindre.
Le TFFA permettra d'identifier les risques opérationnels au niveau de chaque tâche et d'avoir une
vue sur les dispositifs mis en place pour les réduire. Devant chaque tâche il ya l'objectif fixé, le
risque encouru et les pratiques communément admises.
.L'existant opérationnel
- Gains
-Avancée
-Certifiés et contrôlés
-Savoir-faire et savoirs
-Reconnaissance
Les maîtrises
-Certifications et normalisations
-Tableaux de bords
LES FORCES
-Historique exploitable
-RH pérennisées
. L'existant opérationnel
-Incidents
-Pannes
-Dysfonctions
-Erreurs
-Retards
-Pertes
-Conflits
-Non maîtrisé
-Inutile
-Non connu
-Sous-utilisé
LES FAIBLESSES
-Risque technique
-Risque humain
-Manque constaté
-Manque exprimé
CHAPITRE IV : LA CONTRIBUTION DE L’AUDIT INTERNE A LA MAITRISE DES
RISQUES OPERATIONNELS
Il a été constaté que la société définit les rôles et responsabilités de ses agents et dispose de
procédures mais qui n’ont pas été formalisées par des manuels des procédures ; qui devrait
définir de façon claire et formelle les différents rôles des opérationnels. On dénote une absence
de politique formelle de gestion des risques par la non diffusion d’une démarche d’identification,
d’analyse et de traitement des risques et il n’existe pas de système d’information permettant la
diffusion des informations relatives aux risques. On a de ce fait un handicap à recenser les
éventuels risques pouvant affecter l’atteinte des objectifs et d’examiner les conséquences
potentielles et d’apprécier leur possible occurrence. Par conséquent certains risques face
auxquels des mesures n’ont pas été prises vont subsister dans l’entreprise et compromettre
l’atteinte des objectifs. Nonobstant, pour faire face à certains risques, un transfert de leur
conséquence notamment financière est effectué à travers le mécanisme de l’assurance.
Par ailleurs, on ne peut pas affirmer qu’il n’existe pas de dispositif de gestion des risques
opérationnels en tant que tel car la société prend en compte les événements qui dénotent
l’existence de risques par les enquêtes, les audits, les réclamations et les plaintes.
L’entreprise met en place un ensemble de procédures à savoir des contrôles à priori à travers, la
sécurisation des accès afin de faire face à ses différents risques. La mise en œuvre d’une
politique de gestion des risques traduit la volonté de la direction générale de connaître les risques
importants de l’entreprise, de les mettre sous contrôle et d’être informée de la qualité de leur
maîtrise. Celle-ci s’avère ainsi un enjeu majeur de survie et de développement, qui permet aux
entreprises d’assurer l’atteinte de leurs objectifs et d’améliorer leur performance. L’audit interne
en est un acteur capital car il a pour vocation de contribuer à l’identification et à l’évaluation des
risques auxquels l’entreprise est exposée et de l’accompagner dans la mise en place d’un
dispositif global de gestion des risques. Aussi, il évalue l’efficacité et la pertinence de ce
dispositif, notamment du contrôle interne.
2 Passable L’objectif de contrôle n’est pas atteint car le contrôle n’est pas adapté au
risque à couvrir
3 Insuffisante L’objectif de contrôle est partiellement atteint avec les procédures mises
en place mais on relève des incidents réguliers
4 Acceptable L’objectif de contrôle est atteint mais au prix des efforts ne permettant pas
une bonne optimisation du système des ressources
5 Appropriée L’objectif de contrôle est atteint de façon optimale
Source : nous-mêmes
II - L’évaluation du dispositif de maîtrise des risques opérationnels
La politique des risques reflète leur compréhension, leur mesure ainsi que leur contrôle par la
société. La maîtrise des risques opérationnels traduit la volonté des dirigeants d’améliorer le
processus décisionnel dans un contexte d’incertitude en vue d’une part de maximiser les
avantages et d’autre part de minimiser les coûts.
A la SONATAM S.A, il y’a l’absence d’une direction des risques proprement dite qui doit
assurer l’identification, l’évaluation et le traitement des risques afin d’assurer leur maîtrise. Les
différentes instances de contrôle se contentent d’effectuer les contrôles et de sanctionner au
besoin, comme c’est le cas de l’inspection générale des services.
L’identification des risques est une étape indispensable pour l’audit interne pour déceler les
différents risques associés à une activité. Le tableau suivant nous indique l’identification de
quelques risques.
L’audit évalue les risques en fonction des opérations et des activités essentiellement exposés
au risque opérationnel. Ce processus, mené en interne, repose souvent sur des contrôles
destinés à identifier les forces et faiblesses de l’environnement opérationnel. Il recense les
risques propres à chaque activité donnée et d’autres regroupant plusieurs activités. Elle peut
prendre en compte les risques, mais aussi les moyens de les atténuer.
II - Recommandations
La SONATAM S.A, est une entreprise qui fabrique des Tabacs et Allumettes au Mali dont l’Etat
malien est actionnaire majeur de cette entreprise depuis sa privatisation en 2002, qui offre divers
produits dans le domaine du Tabacs. Afin de mener à bien cette délicate mission dans un
environnement en pleine évolution, elle se doit de mettre en œuvre une politique efficace de
gestion des risques opérationnels auxquels elle est ou peut être confrontée. Pour assurer
l’effectivité de celle-ci, des dispositifs de contrôle interne et de maîtrise des risques efficaces
doivent être une réalité et ceci passe nécessairement par des conditions. Aussi, avons-nous jugé
utile de faire quelques recommandations sur les bonnes pratiques allant dans le sens d’une bonne
maîtrise de ses risques opérationnels.
Recommandation 4 : Au regard des risques que la SONATAM S.A peut rencontrer et qui
impactent son bon fonctionnement, il s’avère judicieux de mettre en place un service de risk
management qui aura la responsabilité d’identifier les différents risques, de les analyser et de
d’assurer leurs traitements afin de réduire leur gravité.
CONCLUSION
Le contrôle interne et l’audit interne jouent un rôle essentiel dans le processus itératif de gestion
des risques, dans lequel l’information générée par le dispositif de contrôle interne est renvoyée
au conseil d’administration et à la direction. Les mécanismes de contrôle interne contribuent à
améliorer la prise de décision car ils font en sorte que l’information soit précise, exhaustive et
disponible en temps voulu.
Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien
appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs
de la société. La probabilité d’atteindre ces objectifs ne relève par la seule volonté de la société.
Il existe en effet des limites inhérentes à tout système et processus. Ces limites résultent de
nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la faculté de
jugement ou de dysfonctionnements pouvant survenir en raison de défaillances techniques ou
humaines ou de simples erreurs.
Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités à
saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possible sur
l’occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions
inutilement coûteuses.
Notre démarche nous a permis d’atteindre nos objectifs, préalablement fixés et a montré les
insuffisances, les forces et les faiblesses des dispositifs de contrôle interne et de maîtrise des
risques opérationnels et comment l’audit interne contribue à son amélioration. Par cette analyse
des dispositifs, il en ressort que l’audit est d’une importance capitale pour assurer leur maîtrise à
travers leur évaluation et les recommandations formulées.
En outre, les constats effectués et les recommandations émises par les auditeurs après les
missions d’audit effectuées vise généralement à corriger les manquements auxquels fait face
l’entreprise. Leur prise en compte par les opérationnels permet également de réduire les risques
potentiels susceptibles d’influencer la rentabilité de l’entreprise et donc de l’orienter vers la
réalisation de ses objectifs.
ANNEXE 1 : Organigramme de la SONATAM S.A
• BILODEAU
• COLLINS Lionel ; VALIN Gérard, (1992), "Audit et contrôle interne: aspects financiers,
opérationnels et stratégiques", Edition Dalloz, 4ème édtion
• DESROCHES Alain, LEROY Alain, VALLEE Frédérique (2003) "la gestion des risques ;
principes et pratiques",Edition Lavoisier,
• LEMANT Olivier (1998), la conduite d'une mission d'audit interne, Editions Dunod 2ème
édition,
• SARDI Antoine (2002), Audit et contrôle interne bancaire, Editions AFGES, Paris